Post on 07-Nov-2018
– Guia Prático
SELECIONANDO, USANDO ECRIANDO MODELOS DE MATURIDADE:
FERRAMENTA PARA TRABALHOS DEAVALIAÇÃO E CONSULTORIA
JULHO DE 2013
IPPF – Guia Prático
Selecionando, Usando e Criando Modelos de Maturidade: Ferramenta para Trabalhos de Avaliação e Consultoria
www.globaliia.org/standards-guidance
Índice
Sumário Executivo ........................................................................................................ 1
Introdução .................................................................................................................... 2
Exemplo de Uso de Modelo de Maturidade Para Auditores Internos ................................ 3
Selecionando Modelos de Maturidade ........................................................................... 4
Criando e Usando Modelos de Maturidade ..................................................................... 5
Um Modelo de Maturidade do Ambiente de Controle Interno Comumente Aceito ........... 12
Pontos Principais Para Revisão ................................................................................... 14
Exemplos de Modelos de Maturidade ........................................................................... 15
Recursos Adicionais ................................................................................................... 27
Sobre os Autores e Revisores ....................................................................................... 28
IPPF – Guia Prático
Selecionando, Usando e Criando Modelos de Maturidade: Ferramenta para Trabalhos de Avaliação e Consultoria
www.globaliia.org/standards-guidance / 1
Sumário Executivo Modelos de maturidade estabelecem uma base
sistemática de mensuração para descrever o estado
“como está” de um processo. A maturidade de um
processo pode, então, ser comparada com as
expectativas da administração ou contrastada com a
maturidade de outros processos similares para
propósitos de benchmarking. Também podem ser
obtidos insights a partir do modelo, para a
determinação de opções de melhoria que ajudem um
processo a cumprir com seus objetivos definidos ao
longo do tempo.
Um modelo de maturidade descreve os componentes
do processo que se acredita que levem a melhores
produtos e melhores resultados. Um nível baixo de
maturidade significa uma baixa probabilidade de
sucesso em cumprir consistentemente com um
objetivo, enquanto um nível maior de maturidade
significam uma maior probabilidade de sucesso. A
tolerância a riscos da organização deve ser
considerada ao determinar o nível de maturidade que
a administração espera ter em prática.
Os auditores podem usar os modelos de maturidade
como critérios para avaliar processos do negócio como
parte de trabalhos de avaliação, oferecendo, assim,
um entendimento fácil de comunicar acerca do
ambiente de governança, riscos ou controle sob
revisão. Na ausência dos critérios definidos para um
processo, o auditor pode trabalhar com a
administração para definir critérios adequados,
usando um modelo de maturidade.
Este guia prático oferece orientações sobre os usos
dos modelos de maturidade, identifica considerações
para sua seleção e oferece instruções sobre como
desenvolvê-los. Deve-se ter cuidado para aplicar
apropriadamente os modelos de maturidade em
trabalhos de avaliação ou consultoria, incluindo a
validação de sua aplicabilidade ao processo sob
revisão. Os componentes de modelos de maturidade
existentes são oferecidos para uso “como estão” ou
como base para um modelo feito sob medida
especificamente para o processo da organização.
IPPF – Guia Prático
Selecionando, Usando e Criando Modelos de Maturidade: Ferramenta para Trabalhos de Avaliação e Consultoria
www.globaliia.org/standards-guidance / 2
Introdução As organizações podem usar um modelo de
maturidade para descrever seu estado de
desenvolvimento ou de seus processos quanto às
expectativas estabelecidas de controle e
gerenciamento. Os mecanismos de classificação
dentro de um modelo de maturidade podem ajudar as
organizações a simplificar a determinação de quando
o gerenciamento do controle e do processo é aceitável
ou, alternativamente, para identificar as ações
necessárias para melhorar a maturidade da
organização ou do processo.
Métricas de resultado (ex., retorno financeiro,
conformidade do programa, vendas e satisfação do
cliente) oferecem, em muitos casos, os critérios finais
de mensuração do sucesso de um processo. No
entanto, a administração e os auditores podem querer
entender a qualidade do desenvolvimento e do
funcionamento dos processos que levam a esses
resultados. Infelizmente, uma avaliação da adequação
dos esforços para atingir um conjunto determinado de
resultados pode ser difícil de desenvolver,
considerando as diversas variáveis que promovem o
desempenho comercial. Um modelo de maturidade
devidamente elaborado pode tornar tal avaliação mais
consistente e repetível.
O conceito de modelos de maturidade cresceu a partir
de programas de gestão da qualidade total, que
enfatizavam a melhoria contínua. Um dos modelos
mais conhecidos é o Capability Maturity Model
(CMM – Modelo de Maturidade de Capacidades),
desenvolvido pela Carnegie Melon University para
ajudar a melhorar o desenvolvimento de software.
Embora existam muitas variações dos modelos de
maturidade, todos os modelos geralmente têm níveis
de 0 a 5 que descrevem uma organização, processo de
gerenciamento, conjunto de controles ou outro
elemento das operações de uma organização (isto é,
descrevem os insumos ou processos que acreditam
que levam à melhor execução e melhor consistência
dos resultados). O nível 0 geralmente é alguma
variação da execução não existente ou ad hoc,
enquanto o nível 5 é geralmente considerado como
um processo de alta maturidade, sustentável e/ou
otimizado. O nível 5 pode não ser a meta da
organização, visto que o custo de atingir o nível 5
pode, às vezes, exceder os benefícios. Em outras
palavras, a tolerância a riscos da administração pode
ser alta o suficiente para permitir que o processo seja
menos exato ou consistente, ou pode não ser
estrategicamente importante o suficiente investir para
que certos processos atinjam o nível 5 com
consistência.
Modelos de maturidade, quando desenvolvidos
apropriadamente, oferecem:
Uma estrutura para visualizar o futuro, o
estado desejado e o desenvolvimento de
planos de melhoria.
Referências para comparação dos processos da
organização, interna ou externamente.
Um mecanismo para trazer insights sobre o
caminho da melhoria, de um processo imaturo
à sua maturidade.
Um método disciplinado, comparativamente
fácil de entender e implementar.
Conforme sugerido pela palavra “maturidade”, os
processos de governança, riscos e controle de uma
organização evoluem com o tempo e podem subir ou
descer na escala de maturidade (a escala de 0 a 5
mencionada anteriormente). A Norma 2210.A3 das
Normas Internacionais para a Prática Profissional de
Auditoria Interna (Normas) é importante para que os
auditores entendam e apliquem ao usar modelos de
maturidade. Ela diz:
“São necessários critérios adequados para avaliar a
governança, o gerenciamento de riscos e os controles.
Os auditores internos devem verificar a extensão na
qual a administração e/ou o conselho estabeleceu
critérios adequados para determinar se os objetivos e
metas têm sido alcançados. Se forem adequados, os
auditores internos devem utilizar tais critérios em sua
avaliação. Se inadequados, os auditores internos
devem identificar critérios de avaliação apropriados
por meio de discussão com a administração e/ou o
conselho.”
IPPF – Guia Prático
Selecionando, Usando e Criando Modelos de Maturidade: Ferramenta para Trabalhos de Avaliação e Consultoria
www.globaliia.org/standards-guidance / 3
Ao usar ou desenvolver modelos de maturidade, o
auditor deve determinar se “a administração e/ou
conselho estabeleceu critérios adequados” na seleção
e aplicação do modelo. Este guia prático elabora sobre
esse conceito nas próximas seções. Geralmente, no
entanto, considere os dois pontos a seguir:
Um auditor que planeje usar um modelo de
maturidade em seu trabalho de avaliação deve
primeiro considerar se o modelo está apto para
uso.1 Presumindo que o modelo seja usado
corretamente, sua habilidade de previsão é
relevante para o objetivo comercial
mensurado? Por exemplo, um modelo de
maturidade que avalia elementos de
conformidade não seria apropriado para
oferecer uma perspectiva sobre a qualidade do
gerenciamento de um objetivo operacional do
negócio.
Um auditor que planeje usar um modelo de
maturidade em um trabalho de avaliação deve
determinar independentemente qual “nível de
maturidade” é adequado para atingir um
objetivo. Por exemplo, o nível 5 de um modelo
de maturidade de satisfação do cliente pode
não ser necessário para atingir um resultado
comercial desejado. No entanto, o auditor —
depois de entender o modelo e sua criação —
pode não concordar com a posição da
administração de que um processo de nível 1
seja aceitável para o objetivo de atender as
necessidades do cliente.
Exemplo de Uso de Modelo
de Maturidade Para
Auditores Internos Presuma que uma organização acabou de estabelecer
um grupo de investimentos comunitários para fazer
doações a instituições de caridade e outras causas
importantes. A organização espera que leve dois anos
1 Pöppelbuß, Jens e Röglinger, Maximilian, “What Makes a Useful Maturity Model? A Framework of General Design Principles for Maturity Models and Its Demonstration in Business Process Management” (2011).
para desenvolver todas as políticas e procedimentos
necessários para operar como desejado. A visão de
longo prazo é que o programa de investimentos
comunitários seja reconhecido como um dos 100
principais do país. Após realizar uma avaliação de
riscos do planejamento de auditoria, o chief audit
executive (CAE) incluiu esse assunto no plano anual
seis meses após o grupo ter sido formado.
Objetivos de auditoria interna em potencial poderiam
ser avaliar:
Se os controles de investimentos comunitários
estão em conformidade com as leis e
regulamentos relevantes.
Se um plano estratégico adequado está em
prática para identificar e avaliar o impacto das
instituições que receberem doações.
Por meio do uso de um modelo de maturidade, a
função de auditoria poderia validar se os esforços
atuais de avaliação de instituições de caridade estão
adequados (hipoteticamente, adequado seria o nível 3
de maturidade, em que um entendimento e um
levantamento dos resultados das instituições estejam
em prática), mas poderia recomendar que um nível 4
consistente esteja em prática (hipoteticamente, o
nível 4 pediria o monitoramento proativo do reporte
das instituições e o gerenciamento periódico da
validação dos resultados das instituições).
Esse continuum de maturidade estaria em contraste
com um processo de classificação de aprovado/
reprovado ou satisfatório/insatisfatório. O modelo de
maturidade oferece os critérios, o mapeamento da
condição atual e a recomendação de seguir para o
próximo nível, se tal recomendação for justificada. No
exemplo, o modelo serve como ótimo método para
avaliar um processo em desenvolvimento (nesse caso,
o grupo de investimentos comunitários).
O uso de modelos de maturidade não será o melhor
método de avaliação para os auditores aplicarem em
todos os casos. Para definir se o modelo de
maturidade deve ou não ser usado, avalie as situações
IPPF – Guia Prático
Selecionando, Usando e Criando Modelos de Maturidade: Ferramenta para Trabalhos de Avaliação e Consultoria
www.globaliia.org/standards-guidance / 4
descritas a seguir e considere as possíveis
consequências de métodos diferentes de avaliação e
reporte.
SITUAÇÃO
POSSÍVEIS CONSEQUÊNCIAS POR METODOLOGIA DE REPORTE
Reporte de Aprovado/Reprovado ou Satisfatório/Insatisfatório
Reporte por Nível de Modelo de Maturidade
A Organização Precisa de uma Opinião Clara
Oferece um claro entendimento da opinião do auditor.
A não ser que declarado explicitamente, os leitores podem não ter clareza do que é “bom o suficiente”. Quando o atingimento de um certo nível é aceitável ou inaceitável?
A Adesão da Administração é Importante
Vereditos de sim/não podem ser difíceis de transmitir. Também podem ser contraproducentes quanto ao tempo para compartilhar, negociar e confirmar a opinião de aprovação/reprovação, em comparação com o tempo de discutir opções reais de melhoria.
Concentra a discussão no nível de execução consistente em um continuum — permitindo a discussão de opções de melhoria contínua.
Auditoria de um Processo Complexo ou Indefinido
Mais difícil de aplicar uma abordagem de aprovação/reprovação.
Permite o mapeamento da distribuição em um continuum de expectativas quanto ao processo.
Objetivo de Conformidade Oferece uma clara opinião sobre o atingimento da conformidade.
Considerando a expectativa de cumprir com requisitos de conformidade, qualquer outra coisa além do maior nível de maturidade poderia ser interpretada como uma preocupação.
Objetivo Operacional Mais difícil para a administração e o auditor identificarem as deficiências exatas do processo que constituem uma aprovação ou reprovação.
Permite à administração um papel mais fácil de comunicação do nível de expectativa de maturidade.
Objetivo Aspiracional/de Melhoria Contínua
Pode ser impossível criar critérios úteis de aprovação/reprovação, já que todos os processos, ao longo do tempo, podem ter sucesso ou fracasso, dependendo da facilidade ou dificuldade das expectativas definidas.
Permite um nível de maturidade que todos os processos possam atingir, também incluindo possíveis níveis mais altos de maturidade que promovam o desempenho aspiracional.
Selecionando Modelos de
Maturidade
A administração pode ter definido um modelo de
maturidade para uso dentro da organização. Se sim, o
auditor interno poderia adotar o modelo como
ferramenta, após avaliar cuidadosamente a relevância
e adequação do modelo para a avaliação ou opinião
IPPF – Guia Prático
Selecionando, Usando e Criando Modelos de Maturidade: Ferramenta para Trabalhos de Avaliação e Consultoria
www.globaliia.org/standards-guidance / 5
oferecida. Alternativamente, há diversos modelos de
maturidade disponíveis para uso a partir de grupos e
associações da indústria. Esses modelos também
devem ser avaliados como adequados para o propósito
antes do uso.
Modelos de maturidade envolvem um certo nível de
subjetividade; portanto, é necessário cuidado ao
prestar avaliação à administração de que um processo
seja adequadamente controlado com base em uma
avaliação feita por um modelo de maturidade. O
auditor deve garantir que o modelo seja adequado ao
propósito e devidamente implementado. Os modelos
podem ser usados para descrever o estado “como está”
do processo ou comparar uma implementação de
processo com outra.1
O uso de um modelo de maturidade, em comparação
com outras técnicas e metodologias de auditoria, não
deve alterar o nível de proficiência e zelo profissional
devido que os auditores empregam. O modelo de
maturidade não deve ser empregado como checklist,
substituindo a responsabilidade do auditor de
identificar independente e objetivamente riscos não
mitigados e uma possível inadequação de controles.
O modelo deve servir como uma estrutura e um guia
para discussão sobre a maturidade da governança, dos
riscos e dos controles.
Ao selecionar um modelo de maturidade, os auditores
devem entender o objetivo da administração e a
adequação do modelo em apoio ao objetivo da
administração. Considere o seguinte:
Qual o resultado desejado pela administração?
Por exemplo, a administração deseja avaliar o
sucesso do ciclo de vida do desenvolvimento
de sistemas, a excelência do processo de
vendas ou a segurança ambiental? Quais
métricas quantitativas ou declarações
qualitativas descrevem o resultado desejado
pela administração?
O modelo considerado é adequado para
promover o resultado desejado? O modelo
deve ter sido criado por especialistas de
confiança, internos ou externos à organização,
que entendam a correlação entre certas
funções do processo e o resultado desejado
pela organização. O nível de diligência em
confirmar a habilidade de previsão do modelo
variará — de um modelo criado internamente
por líderes experientes do negócio, internos à
organização, para um criado e pesquisado
externamente, que considere experiências de
muitas organizações. Ambas as abordagens
poderiam ser apropriadas, dependendo da
situação.
Os dois fatores principais a controlar na escolha de
um modelo são:
Seguir um modelo melhoraria a probabilidade
de atingimento de um resultado?
Alternativamente, o modelo encorajaria ações
contraproducentes ou voltaria a atenção da
administração para melhorias de processo que
não estejam relacionadas à motivação do
resultado desejado?
A administração teria uma falsa sensação de
confiança de que o resultado será atingido se
uma avaliação — usando o modelo — mostrar
um alto nível de maturidade do processo?
Embora se espere que seguir o modelo e
aumentar a maturidade de um processo
melhorem as chances de um resultado de
sucesso, ainda pode haver risco e incerteza
substanciais de que o resultado será atingido.
O uso do modelo trará o nível apropriado de
confiança?
Divulgue a fonte do modelo. Os auditores devem
divulgar em seu relatório a fonte do modelo, como ele
foi desenvolvido, quem participou de sua criação e por
que o auditor — e a administração, se apropriado —
acredita que o modelo escolhido seja válido para o
processo e objetivo sob revisão.
Criando e Usando Modelos
de Maturidade Os auditores com proficiência apropriada, ou em
conjunto com a administração ou especialistas
externos, podem criar modelos adequados ao
IPPF – Guia Prático
Selecionando, Usando e Criando Modelos de Maturidade: Ferramenta para Trabalhos de Avaliação e Consultoria
www.globaliia.org/standards-guidance / 6
propósito. Auditores com experiência limitada com
modelos de maturidade ou que queiram explorar
pesquisas mais detalhadas sobre sua criação devem
considerar revisar o trabalho de pesquisa What Makes
a Useful Maturity Model?2
Criar um modelo envolve três passos:
1. Determinar o propósito do modelo e seus
componentes.
2. Determinar a escala.
3. Desenvolver as expectativas para cada nível
componente.
Usar um modelo de maturidade envolve esses passos
adicionais:
1. Definir metas para cada componente.
2. Avaliar o nível de maturidade por componente.
3. Considerar o que o modelo pode ter deixado
passar.
4. Reportar as conclusões.
5. Revisitar o modelo regularmente.
Para os propósitos desta seção, leia o Exemplo 3,
Modelo de Maturidade de Capacidades de Auditoria
Interna do Setor Público (veja a página 25) e, então,
volte para este trecho, para continuar a discussão
sobre a criação de um modelo.
Criando um Modelo de Maturidade
Passo 1 – Determine o propósito do modelo e
seus componentes.
O objetivo a ser abordado deve, primeiramente, ser
definido da mesma forma que o auditor faria se fosse
escolher um modelo já criado. Os auditores devem
considerar essas perguntas:
O que a administração deseja avaliar (ex.,
sucesso do ciclo de vida de desenvolvimento de
sistemas, excelência do processo de vendas ou
segurança ambiental)?
Quais processos comerciais estão envolvidos?
O modelo será aplicado a diferentes tipos de
processos de gerenciamento, para melhorar a
2 Pöppelbuß, Jens e Röglinger, Maximilian, “What Makes a Useful Maturity Model? A Framework of General Design Principles for Maturity Models and Its Demonstration in Business Process Management” (2011).
conformidade, os controles e a governança
organizacional em geral?
A auditoria interna está avaliando um conjunto
específico de tarefas da indústria ou da
empresa, que exija certo nível de conhecimento
sobre processos, ferramentas, técnicas ou
habilidades?
Como a auditoria interna pode declarar o
resultado esperado do processo quanto às
métricas ou declarações qualitativas?
Com esse objetivo em mente, os componentes que
promovem esse objetivo são, então, identificados.
Essa é a parte mais importante do desenvolvimento
do modelo, em que o auditor identifica os elementos
críticos que — com base no julgamento do criador do
modelo — melhorarão a probabilidade de atingimento
do objetivo e os resultados.
É interessante que os auditores internos documentem
o plano de desenvolvimento do modelo — delineando
a pesquisa e a coleta de dados técnicos (como a
facilitação por especialistas) que ajudam a determinar
quais componentes devem fazer parte do modelo. Os
auditores devem considerar o seguinte ao selecionar
os componentes:
O componente — se gerido consistentemente
— melhorará a probabilidade de atingimento
do resultado?
Se um componente não estiver incluído, isso
impactará negativamente a probabilidade de
atingir o resultado? Tenha cuidado aqui, para
se concentrar em incluir poucos componentes
críticos que mereçam atenção, melhoria e
execução consistente, em vez de tudo que a
administração poderia estar fazendo para
supervisionar o processo.
O criador do modelo pode avaliar a correlação
entre o componente e o resultado desejado?
Essa correlação está baseada em um estudo ou
pesquisa que compare processos de
maturidade alta e baixa aos resultados desses
processos? Alternativamente, os especialistas
IPPF – Guia Prático
Selecionando, Usando e Criando Modelos de Maturidade: Ferramenta para Trabalhos de Avaliação e Consultoria
www.globaliia.org/standards-guidance / 7
e profissionais experientes — o que incluiria a
administração e os auditores — acreditam que
o componente contribui para o aumento da
probabilidade de atingir o resultado? Quais
pesquisas, evidências ou conhecimentos
especializados a auditoria interna pode usar
para fazer essa determinação?
No modelo de referência — Exemplo 3 —, um
componente são as Práticas Profissionais. Pode-se
presumir que os autores desse modelo pensavam que
um maior nível de maturidade em seguir práticas
profissionais contribui para o resultado desejado das
funções de auditoria interna do setor público. Esse
componente, aparentemente, foi parte de algumas
áreas críticas que, se deixadas de lado ou não geridas
com consistência, poderiam ser prejudiciais para o
objetivo da administração. Por fim, pode-se presumir
que a pesquisa mostre a diferença entre o nível dos
resultados atingidos pelas funções de auditoria do
setor público sem alta maturidade em práticas
profissionais e aquelas com alta maturidade. Essa
pesquisa poderia ser embasada quantitativamente,
por meio da correlação estatística, ou embasada
qualitativamente, por meio de entrevistas com
especialistas e CAEs da área.
Os componentes variarão com base no objetivo da
administração. Quando a conformidade for o objetivo,
controles específicos de conformidade, expectativas
de governança, conjuntos relevantes de habilidades
regulatórias e outros elementos podem ser
componentes importantes para o modelo. Se a
avaliação do ambiente geral de controle for o objetivo,
então, a segregação básica de deveres, o mapeamento
dos controles e conceitos de avaliação de riscos
podem ser componentes importantes. Na avaliação
dos departamentos de vendas em campo da
organização, certas práticas de rastreamento de
possíveis vendas ou análises de mercado podem ser
consideradas componentes fundamentais.
Componentes são aquelas categorias de atributos de
processo relevantes e necessárias para cumprir — ou,
ao menos, para melhorar a probabilidade de cumprir
— com o objetivo avaliado. Voltando ao Exemplo 3, o
estudo de pesquisa sobre capacidades de auditoria
interna do setor público revelou esses componentes
como relevantes:
Serviços e Papel da Auditoria Interna
Gestão de Pessoas
Práticas Profissionais
Gestão de Desempenho e Prestação de Contas
Relações Organizacionais e Cultura
Estruturas de Governança
Praticantes que participaram da pesquisa do The IIA
que criou o modelo do Exemplo 3 determinaram que
uma avaliação da capacidade de uma função de
auditoria do setor público precisava considerar esses
seis componentes. Esses componentes eram os drivers
de sucesso ou fracasso, de criação ou destruição de
capacidades, para tal função de auditoria interna.
Cuidado: Determinar os componentes pode variar de
um exercício simples, como uma única reunião para
coletar perspectivas de especialistas experientes na
organização, a uma pesquisa extensa, amplamente
financiada e empírica, que determine, por meio da
análise estatística de muitos processos e organizações,
quais componentes realmente impactam o resultado
desejado sendo revisado. Os auditores devem ter clareza
ao avaliar o nível de previsibilidade que desejam que seu
modelo tenha. Na maioria dos casos, uma reunião
formal com especialistas da organização pode ser
adequada para a seleção dos componentes necessários
para trazer insights e melhorias à organização e um nível
razoável de certeza quanto à escolha do objetivo do
processo.
Passo 2 – Determine a escala.
Depois que os componentes forem identificados, o
auditor deve determinar qual escala será usada. Os
exemplos mostrados neste guia prático usam o nível 0
ou 1 como base, indo ao nível 5 como maior nível de
maturidade. Geralmente, o menor nível é a ausência
de controles e disciplina de processo, enquanto o
nível 5 é reservado apenas para aqueles poucos
processos que mostram uma execução otimizada ou
IPPF – Guia Prático
Selecionando, Usando e Criando Modelos de Maturidade: Ferramenta para Trabalhos de Avaliação e Consultoria
www.globaliia.org/standards-guidance / 8
de melhores práticas. No modelo de referência, o
Exemplo 3, Modelo de Maturidade de Capacidades
de Auditoria Interna do Setor Público, cinco níveis
são usados:
Nível 5 – Otimização
Nível 4 – Gerenciado
Nível 3 – Integrado
Nível 2 – Infraestrutura
Nível 1 – Inicial
Cuidado: Ao desenvolver o modelo, o auditor deve
considerar cuidadosamente as palavras usadas como
título de cada nível. “Melhor Prática”, por exemplo, é
uma expressão que pode ser usada incorretamente ou
causar confusão. Nem todo nível pode precisar de uma
“Melhor Prática”, já que isso estaria além das
necessidades de tolerância a riscos da organização. Os
títulos devem ajudar a transmitir a conquista esperada
de cada nível.
Passo 3 – Desenvolva as expectativas para cada
nível componente.
O próximo passo é definir as expectativas sobre o que
deve estar em prática para que um processo atinja o
nível de cada componente avaliado. O Exemplo 1,
Modelo de Maturidade de Capacidades de Processos,
tem seis componentes que os criadores do modelo
acharam que seriam fundamentais para a governança
geral dos processos:
Planejamento Estratégico/Gestão Financeira
Expectativas do Cliente/Parte Interessada
Riscos
Métricas
Capital Humano
Gestão de Processos e Autoavaliação
Em Expectativas do Cliente/Parte Interessada, é
possível revisar o conjunto de expectativas de cada
nível. Nesse caso, cada nível agrega ao anterior — o
que significa que, para atingir o nível 4, são
necessários também cumprir com os requisitos dos
níveis 1-3.
NÍVEL 1 NÍVEL 2 NÍVEL 3 NÍVEL 4 NÍVEL 5
Reativo Repetível Definido e Gerenciado Sustentado Otimizado
Expectativas do Cliente/ Parte Interessada
As expectativas das partes interessadas são identificadas ou rastreadas informalmente.
A tomada de decisões sobre os processos é baseada nas expectativas ou feedback das partes interessadas.
As principais partes interessadas são identificadas.
As expectativas “críticas à satisfação do cliente” são documentadas.
O sucesso do processo em cumprir com as expectativas e feedback é monitorado.
O feedback das partes interessadas é coletado via enquetes, grupos de foco e metodologias inovadoras de Voice of the Customer. Retrabalhos/erros que impactem as expectativas das partes interessadas têm projetos de melhoria em desenvolvimento.
O feedback das partes interessadas valida que o processo atinge ou excede as expectativas das partes interessadas.
Iniciativas proativas estão em prática para minimizar ou eliminar o retrabalho/erros.
Neste exemplo, os criadores do modelo criaram um
conjunto de expectativas progressivamente maior,
culminando no nível 5, Otimizado — um processo
cujas partes interessadas confirmam que atinge suas
expectativas e em que a administração tem esforços
proativos para reduzir erros. Nesse caso, os criadores
do modelo construíram o modelo com a intenção de
que todos os processos atinjam o nível 3, enquanto
IPPF – Guia Prático
Selecionando, Usando e Criando Modelos de Maturidade: Ferramenta para Trabalhos de Avaliação e Consultoria
www.globaliia.org/standards-guidance / 10
apenas processos críticos tenham o esforço de atingir
o nível 5.
Para elaborar esse componente, a equipe que criou o
modelo teria considerado a variação de opções para
gerenciar as expectativas dos clientes e das partes
interessadas e, então, criado as expectativas de cada
nível. Assim como com a determinação dos
componentes a usar, os reais requisitos de cada
componente podem ser determinados por pesquisa
aprofundada ou por conversas facilitadas com
especialistas. Um modelo de maturidade focado em
processos gerais, como o usado neste exemplo, será
geralmente aplicável a qualquer processo. Um
modelo de maturidade focado em uma indústria ou
função específica pode exigir diligência específica e
conquistas demonstradas de pessoas, processos e
tecnologias especializados.
Considerações para esse passo incluem:
Até que ponto cada nível agrega ao anterior?
Qual a qualidade do alinhamento das
expectativas de cada nível à expectativa de que
o processo atinja certo nível de maturidade —
como nível 3 versus nível 5?
Para as expectativas de cada nível, um
processo ou organização que cumpra com esse
requisito terá uma chance razoável de atingir o
resultado previsto para aquele nível — como
estar “Definido e Gerenciado” no nível 3 ou
“Sustentado” no nível 4?
As expectativas para um certo nível são
consistentes com todos os componentes? Por
exemplo, os requisitos do nível 3 desse
componente — Expectativas do Cliente/Parte
Interessada — são devidamente equivalentes
aos requisitos do nível 3 para Capital
Humano?
Cuidado: O mesmo nível de diligência aplicado à
determinação dos principais componentes que deveriam
existir no modelo deve ser aplicado à definição das
expectativas de cada nível do modelo. Determine os
principais requisitos em comparação com tudo que
poderia ser feito.
O modelo do auditor deve agora parecer com o
modelo abaixo, com componentes específicos e
expectativas inseridas em cada nível. O auditor pode
ter selecionado mais componentes ou um número
diferente de níveis para o modelo.
NÍVEL 1 NÍVEL 2 NÍVEL 3 NÍVEL 4 NÍVEL 5
Componente 1 Expectativas – Componente 1/Nível 1
Expectativas – Componente 1/Nível 2
Expectativas – Componente 1/Nível 3
Expectativas – Componente 1/Nível 4
Expectativas – Componente 1/Nível 5
Componente 2 Expectativas – Componente 2/Nível 1
Expectativas – Componente 2/Nível 2
Expectativas – Componente 2/Nível 3
Expectativas – Componente 2/Nível 4
Expectativas – Componente 2/Nível 5
Componente 3 Expectativas – Componente 3/Nível 1
Expectativas – Componente 3/Nível 2
Expectativas – Componente 3/Nível 3
Expectativas – Componente 3/Nível 4
Expectativas – Componente 3/Nível 5
IPPF – Guia Prático
Selecionando, Usando e Criando Modelos de Maturidade: Ferramenta para Trabalhos de Avaliação e Consultoria
www.globaliia.org/standards-guidance / 10
Usando um Modelo de Maturidade
Passo 4 – Defina metas para cada componente.
Uma vez que a escala e os componentes tenham sido
definidos, o próximo passo é determinar o nível alvo
de maturidade da organização para cada componente.
De modo geral, a análise de custo-benefício mostra
que nem todos os componentes de um processo
devem operar no maior nível de maturidade. Em
conjunto com a avaliação do apetite de risco de uma
organização, a maturidade alvo para alguns
componentes pode ser, por exemplo, Nível 3 ou 4. A
organização pode não querer dedicar recursos para
levar esses componentes a um alto nível de
maturidade e pode querer aceitar o risco de que os
objetivos do processo tenham maior probabilidade de
fracasso como resultado. Os auditores devem
consultar as Normas do The IIA quanto aos riscos e à
comunicação da aceitação de riscos para mais
orientações.
Considere os exemplos contrastantes a seguir:
A administração criou um modelo de
maturidade para o setor de vendas, para
avaliar a maturidade do processo de seus 100
escritórios de vendas. A administração espera
que todos os escritórios de vendas atinjam o
nível 5 (otimizado) ao longo do tempo, mas
permite que cada escritório priorize o que será
abordado inicialmente, dentre os
componentes avaliados. No entanto, qualquer
componente avaliado como Nível 1 ou 2 é
considerado um alerta vermelho, exigindo um
plano imediato de intervenção por parte da
liderança regional.
A organização adotou um modelo de
maturidade de governança geral de processos.
Esperava-se que todos os processos aderissem
ao modelo; no entanto, apenas a conquista do
nível 3 é esperada de todos os processos. Cada
função de gerenciamento determina quais
processos específicos são críticos para a
organização, exigindo níveis 4 ou 5 de
maturidade. Processos não críticos podem ser
excluídos especificamente da obrigação de
“empregar os recursos para atingir o mais alto
estado de maturidade”, já que essa não seria
uma alocação otimizada de recursos na
organização.
Cuidado: Os auditores não devem presumir que os
gerentes devam buscar obter o mais alto nível de
maturidade para todos os componentes do modelo de
maturidade, em todos os processos avaliados. Isso
poderia ser muito custoso ou arriscado para a
organização. A meta de um modelo é apresentar a gama
de possibilidades, avaliar a maturidade atual do processo
e, então, definir metas para melhoria, onde tais
melhorias fizerem sentido e estiverem alinhadas com os
objetivos organizacionais.
Passo 5 – Avalie o nível de maturidade por
componente.
Por fim, os auditores avaliam o processo em si, por
meio da observação, questionamento, reexecução e
outros testes apropriados para validar a atual
maturidade do processo. A maioria dos modelos é
criada com o pressuposto de que, para atingir um
nível, todos os requisitos daquele nível e de todos os
anteriores foram atingidos. A tarefa não é diferente de
qualquer outra auditoria, com o modelo de
maturidade atuando como critérios de avaliação.
Um método de avaliação que uma função de auditoria
poderia usar seria que a gerência do processo ou
função revisada conduzisse uma autoavaliação,
incluindo a coleta de quaisquer evidências de
desempenho. A função de auditoria, então, validaria
essa avaliação.
Passo 6 – Considere o que o modelo pode ter
deixado passar.
Todos os modelos de maturidade são embasados em
pesquisas, entendimento e perspectivas obtidos por
meio da avaliação de implementações anteriores de
processos de negócio — não por uma avaliação da
execução atual do processo revisado. Além disso,
nenhum modelo pode considerar todas as
circunstâncias que podem mitigar o risco de que um
resultado não seja atingido. Deve-se ter cuidado para
não aplicar o modelo como um simples checklist.
IPPF – Guia Prático
Selecionando, Usando e Criando Modelos de Maturidade: Ferramenta para Trabalhos de Avaliação e Consultoria
www.globaliia.org/standards-guidance / 11
Os auditores devem sempre realizar seus trabalhos de
forma a permitir a identificação de riscos significantes
para os objetivos da organização. Consequentemente,
o uso de um modelo de maturidade não exime o
auditor da responsabilidade de considerar, para o
processo específico em análise, o que o modelo pode
deixar passar em termos de mitigação de risco e
orientação de controle. Os auditores devem aplicar o
zelo profissional devido na determinação do nível de
análise, além da simples aplicação do modelo
necessário para cumprir com seu escopo de
engajamento. Esse escopo deve ser documentado,
como observado no próximo passo.
Passo 7 – Reporte as conclusões.
Conforme mencionado anteriormente, a base para a
seleção do modelo e os detalhes de como o modelo foi
projetado devem ser claramente divulgados em
qualquer relatório para o qual o modelo tenha sido a
base da avaliação. O objetivo do modelo — aquele
sobre o qual o modelo está fornecendo uma
perspectiva — deve estar claro. Se a administração
determinou o nível de maturidade que é considerado
adequado, o auditor deve, então, determinar
independentemente se a “administração estabeleceu
critérios adequados” para a seleção e aplicação do
modelo. (Veja a Norma 2210.A3).
Os auditores — e a administração — devem ser
cautelosos, no entanto, para não exagerar a
probabilidade de que um determinado nível de
maturidade do processo alcance um resultado
específico ao longo do tempo. Qualquer conteúdo
que pretenda garantir ou certificar o atingimento de
determinado resultado, considerando que o processo
tenha cumprido com um determinado estado de
maturidade, deve ser evitado.
Os auditores devem determinar como as métricas
reais de resultado do processo sob revisão devem ser
apresentadas no relatório e validadas conforme
apropriado. Por exemplo, um processo de fabricação
pode ser avaliado como tendo um alto nível de
maturidade, mas os clientes podem continuar
rejeitando as peças fabricadas. Esses fatos não podem
invalidar a adequação do modelo de maturidade; no
entanto, reportar apenas sobre a avaliação do modelo
— um alto nível de maturidade — pode ser enganoso
para o leitor, sem o contexto das métricas reais de
resultado.
Conforme observado no passo anterior, os auditores
têm a obrigação de pensar fora do modelo —
independentemente do quão bem construído ele pode
ter sido —, para considerar se as circunstâncias
específicas em análise podem levar a outras lacunas
na implementação da governança, riscos ou controles.
Se for o caso, o auditor deve discutir tais lacunas no
relatório. Alternativamente, se o escopo do trabalho
for simplesmente aplicar o modelo sem quaisquer
considerações adicionais de riscos não mitigados, esse
escopo focado deve ser claramente divulgado. Aqui
está um exemplo de tal divulgação.
NÍVEL 1 NÍVEL 2 NÍVEL 3 NÍVEL 4 NÍVEL 5
Componente 1 Expectativas – Componente 1/Nível 1
Expectativas – Componente 1/Nível 2
Expectativas – Componente 1/Nível 3
Expectativas – Componente 1/Nível 4
Expectativas – Componente 1/Nível 5
Componente 2 Expectativas – Componente 2/Nível 1
Expectativas – Componente 2/Nível 2
Expectativas – Componente 2/Nível 3
Expectativas – Componente 2/Nível 4
Expectativas – Componente 2/Nível 5
Componente 3 Expectativas – Componente 3/Nível 1
Expectativas – Componente 3/Nível 2
Expectativas – Componente 3/Nível 3
Expectativas – Componente 3/Nível 4
Expectativas – Componente 3/Nível 5
Seta Roxa = Nível Alvo Seta Laranja = Nível Atual
IPPF – Guia Prático
Selecionando, Usando e Criando Modelos de Maturidade: Ferramenta para Trabalhos de Avaliação e Consultoria
www.globaliia.org/standards-guidance / 12
“Nossa avaliação foi limitada à aplicação do modelo
de maturidade ao processo x. Este modelo de
maturidade foi baseado na pesquisa conduzida por x
e com especialistas identificados pela administração.
Não realizamos análises adicionais destinadas a
identificar riscos adicionais não mitigados que
pudessem afetar a probabilidade de que o processo
atinja os objetivos da administração. Se tivéssemos
realizado essa análise adicional, outras lacunas
poderiam ter sido identificadas”.
Este modelo (acima) mostra duas cores como um
exemplo de forma de reporte. Uma cor representa o
nível esperado de atingimento, enquanto o outro
representa o nível atual. Onde existam lacunas, é
desejável que o auditor trabalhe com a administração
para desenvolver recomendações para melhoria.
Passo 8 – Revisite o modelo regularmente.
Depois de aplicar o modelo, a auditoria interna deve
rever como cada um dos elementos do modelo (níveis,
componentes e expectativas), quando implementado,
parece estar alcançando os resultados desejados do
processo. A expectativa de alcançar certo nível está
muito alta? Alternativamente, a avaliação parece fácil
demais e não leva a melhorias que aumentem o nível
da resiliência esperada do processo? Ao longo do
tempo, o auditor deve buscar entender quaisquer
fracassos de atingir o resultado do processo e ligar
esse aprendizado à melhoria do modelo em si. O
fracasso teria sido um indicador de que mudanças nas
3 COBIT 4.1, 2007 © IT Governance Institute, Anexo III, p. 186. Todos os direitos reservados. Usado com permissão.
expectativas de certo componente, de certo nível,
devam ser consideradas para aumentar a chance de
atingir o objetivo daqui para frente?
Um Modelo de Maturidade
do Ambiente de Controle
Interno Comumente Aceito Na página 13 está o modelo de maturidade do
ambiente de controle do COBIT 4.1 (Control
Objectives for Information Technology), publicado pela
ISACA.3 Embora a ISACA tenha publicado versões
posteriores do COBIT — incluindo o COBIT 5 —,
esse modelo ainda serve como referência útil para
consideração da maturidade do ambiente de controle.
O desenvolvimento do modelo do COBIT 4.1 por
parte da ISACA envolveu a pesquisa de uma
variedade de modelos de maturidade. Da mesma
forma, os auditores internos podem usar o modelo
como uma base para sua avaliação da maturidade das
estruturas de controle interno ou para o
desenvolvimento de seus próprios modelos de
maturidade. O modelo usa apenas um componente
(Ambiente de Controle Interno) e 6 níveis, indo de
inexistente a otimizado.
IPPF – Guia Prático
Selecionando, Usando e Criando Modelos de Maturidade: Ferramenta para Trabalhos de Avaliação e Consultoria
www.globaliia.org/standards-guidance / 13
COBIT 4.1
NÍVEL DE MATURIDADE STATUS DO AMBIENTE DE CONTROLE INTERNO
0 – Inexistente Não existe o reconhecimento da necessidade de controles internos. Controles não são parte da cultura ou missão da empresa. Existe um alto risco de deficiências de controles e de incidentes.
1 – Inicial / Ad hoc Existe algum reconhecimento da necessidade de controles internos. A abordagem aos requisitos de riscos e controle é ad hoc e desorganizada, sem comunicação ou monitoramento. Deficiências não são identificadas. Funcionários não estão conscientes de suas responsabilidades.
2 – Repetível, porém Intuitivo Controles estão em funcionamento, mas não são documentados. A sua operação é dependente do conhecimento e da motivação das pessoas. A eficácia não é adequadamente avaliada. Existem muitas fragilidades nos controles e elas não são adequadamente tratadas; o impacto pode ser severo. Ações gerenciais para resolver os problemas de controle não são priorizadas ou consistentes. Os funcionários podem não estar conscientes de suas responsabilidades.
3 – Processo Definido Controles estão em funcionamento e são adequadamente documentados. A eficácia operacional é avaliada periodicamente e existe um número médio de problemas. No entanto, o processo de avaliação não é documentado. Embora a gerência trate a maioria dos problemas de controle de maneira previsível, algumas fragilidades de controle persistem e os impactos ainda podem ser severos. Os funcionários estão conscientes de suas responsabilidades relacionadas a controles.
4 – Gerenciado e Mensurável Existe um ambiente eficaz de controle interno e gerenciamento de riscos. Uma avaliação formal e documentada dos controles ocorre frequentemente. Muitos controles são automatizados e regularmente revisados. A gerência provavelmente detecta a maioria dos problemas de controle, mas nem todos os problemas são rotineiramente identificados. Existe um acompanhamento contínuo para solucionar as fragilidades de controle. O uso limitado e tático da tecnologia é aplicado para automatizar os controles.
5 – Otimizado Um programa corporativo de riscos e controles proporciona uma resolução contínua e eficaz de questões relacionadas aos controles e riscos. O gerenciamento de controles internos e de riscos é integrado às práticas corporativas, apoiado por um monitoramento automatizado em tempo real, com total prestação de contas quanto ao monitoramento dos controles, gerenciamento de riscos e procedimentos para conformidade. A avaliação dos controles é contínua, baseada na autoavaliação e em análises de lacunas e de causa-raiz. Os funcionários estão proativamente envolvidos no aprimoramento dos controles.
IPPF – Guia Prático
Selecionando, Usando e Criando Modelos de Maturidade: Ferramenta para Trabalhos de Avaliação e Consultoria
www.globaliia.org/standards-guidance / 14
Pontos Principais Para Revisão Considerando que se deve ter cuidado ao usar modelos de maturidade, os auditores devem revisar esses pontos
principais ao longo de um trabalho.
PONTOS PRINCIPAIS PARA REVISÃO
Um auditor que planeje usar um modelo de maturidade em um trabalho de avaliação deve, primeiramente, considerar se o modelo é adequado ao propósito.
Um auditor que planeje usar um modelo de maturidade em um trabalho de avaliação deve determinar, independentemente, qual “nível de maturidade” do modelo é adequado para atingir o objetivo.
Modelos de maturidade envolvem um certo nível de subjetividade; portanto, é necessário cuidado ao prestar avaliação à administração de que um processo seja adequadamente controlado com base na avaliação de um modelo de maturidade. Faça-se essas perguntas ao considerar usar um modelo: Seguir um modelo melhoraria a probabilidade de atingir o resultado? A administração teria uma falsa sensação de confiança de que o resultado será atingido se a avaliação — usando o modelo —
mostrar um alto estado de maturidade do processo?
Os auditores devem divulgar, em seu relatório, a fonte do modelo, como ele foi elaborado, quem participou da elaboração do modelo e por que o auditor — e a administração, conforme apropriado — acredita que o modelo seja válido para o processo e objetivo avaliados.
Os auditores devem avaliar claramente o nível de previsibilidade que desejam que seu modelo tenha.
Os auditores não devem presumir que os gerentes devam buscar obter o mais alto nível de maturidade em todos os componentes do modelo de maturidade, em todos os processos avaliados. Pode ser muito custoso ou arriscado para a organização.
Deve-se ter cuidado para não aplicar o modelo como um simples checklist. Os auditores devem sempre conduzir seu trabalho de forma a permitir a identificação dos riscos significantes aos objetivos da organização. Da mesma forma, o uso de um modelo de maturidade não exime o auditor da responsabilidade de considerar, para o processo específico sob revisão, o que o modelo pode deixar passar quanto à mitigação de riscos e orientação de controle.
Os auditores — e a administração — devem tomar cuidado para não exagerar a probabilidade de que um determinado nível de maturidade do processo atinja um determinado resultado ao longo do tempo. Qualquer conteúdo que pretenda garantir ou certificar o atingimento de determinado resultado, considerando que o processo tenha cumprido com um determinado estado de maturidade, deve ser evitado.
Os auditores devem determinar como as métricas reais de resultado do processo revisado devem ser apresentadas no relatório e validadas conforme apropriado.
Após empregar o modelo, a auditoria interna deverá revisitar periodicamente como cada um dos elementos do modelo (níveis, componentes e expectativas) parece levar ao atingimento dos resultados desejados para o processo.
IPPF – Guia Prático
Selecionando, Usando e Criando Modelos de Maturidade: Ferramenta para Trabalhos de Avaliação e Consultoria
www.globaliia.org/standards-guidance / 15
Exemplos de Modelos de
Maturidade Os três modelos a seguir são exemplos que os
auditores podem usar como oferecidos, ou alavancar
para o desenvolvimento de seus próprios modelos de
maturidade. Os modelos de exemplo usam, cada um,
seis componentes e cinco níveis de maturidade para
abordar seus objetivos:
Exemplo 1: Modelo de Maturidade de Capacidades
de Processos de Empresas Fortune 100
Exemplo 2: Modelo de Maturidade de Programas de
Conformidade e Ética
Exemplo 3: Modelo de Maturidade de Capacidades
de Auditoria Interna do Setor Público
Exemplo 1: Modelo de Maturidade de
Capacidades de Processos
Uma empresa Fortune 100 usou o conceito de
modelos de maturidade e personalizou para o
ambiente da organização no exemplo a seguir. O
objetivo do modelo é abordar a maturidade geral das
capacidades de processos em seis componentes de
processos: Planejamento Estratégico/Gestão Financeira,
Expectativas do Cliente/Parte Interessada, Riscos,
Métricas, Capital Humano e Gestão de Processos/
Autoavaliação. Essa estrutura foi aplicada com
sucesso, tanto em revisões de processos de alto nível
quanto em revisões detalhadas de subprocessos. O
modelo foi desenvolvido usando a contribuição de
profissionais experientes de auditoria, assim como de
membros de um grupo de processos internos.
A administração define um alvo para cada
componente (nível 1 a nível 5) e conduz uma
autoavaliação. A função de auditoria interna, então,
audita o processo de forma independente e opina
sobre o nível de maturidade. A administração e a
auditoria interna concordam quanto aos elementos
que demonstram cada nível de maturidade.
NÍVEL 1 NÍVEL 2 NÍVEL 3 NÍVEL 4 NÍVEL 5
Reativo Repetível Definido e Gerenciado Sustentado Otimizado
Observações Mínimo Nível Alvo
Sugerido Hurdle rate do ROI não
justifica que todos os processos atinjam este nível.
Descrição Geral
O processo não está formalizado.
Execução inconsistente.
O processo está mais formalizado (documentado).
Execução repetível. A administração
entende o processo geral.
O processo está totalmente definido e executado com consistência.
Métricas adequadas estão definidas, para permitir capacidades de avaliação de qualidade/de autoavaliação.
A tomada de decisão de administração e projetos de melhoria contínua são baseados em dados, métricas e feedback da avaliação de qualidade/ autoavaliação.
Níveis de serviço perfeito são atingidos.
Verificados independentemente como melhores da classe.
Ideias e técnicas inovadoras são executadas de forma contínua.
IPPF – Guia Prático
Selecionando, Usando e Criando Modelos de Maturidade: Ferramenta para Trabalhos de Avaliação e Consultoria
www.globaliia.org/standards-guidance / 16
Modelo de Maturidade de Capacidades de Processos
NÍVEL 1 NÍVEL 2 NÍVEL 3 NÍVEL 4 NÍVEL 5
Reativo Repetível Definido e Gerenciado Sustentado Otimizado
Planejamento Estratégico/ Gestão Financeira
As iniciativas são identificadas e tarefas são atribuídas.
As iniciativas são reavaliadas anualmente.
Marcos de projeto são monitorados.
Recursos são alocados e rastreados.
Planejamento estratégico da unidade de negócio, departamento ou processo inclui iniciativas de 1-3 anos com base nas expectativas das partes interessadas.
Elementos financeiros, de processo, recursos humanos e gerenciamento de riscos estão incluídos no planejamento.
O planejamento estratégico apoia o plano estratégico corporativo quanto ao crescimento de clientes, margem de lucros do segmento, vantagem competitiva e cumprimento estratégico das intenções.
Priorização de recursos e iniciativas é baseada no ROI ou em requisitos de governança/ conformidade.
Iniciativas de planejamento estratégico de 1-3 anos cumprem consistentemente com suas metas de marcos.
Expectativas financeiras e das partes interessadas são cumpridas.
O plano estratégico incorpora alternativas e opções para mudanças de longo prazo (3-6 anos) na indústria e regulatórias.
Expectativas do Cliente/ Parte Interessada
As expectativas das partes interessadas são identificadas ou rastreadas informalmente.
A tomada de decisões do processo é baseada nas expectativas e feedback das partes interessadas.
As principais partes interessadas são identificadas.
Expectativas críticas para a satisfação da qualidade são documentadas.
O sucesso do processo em cumprir com as expectativas e feedback é monitorado.
O feedback das partes interessadas é coletado via enquete, grupos de foco e metodologias inovadoras de voice of the customer.
Retrabalho/erros que impactem as expectativas das partes interessadas têm projetos de melhoria em desenvolvimento.
O feedback das partes interessadas valida que o processo cumpre ou excede as expectativas das partes interessadas.
Iniciativas proativas estão em prática para minimizar ou eliminar o retrabalho/erros.
IPPF – Guia Prático
Selecionando, Usando e Criando Modelos de Maturidade: Ferramenta para Trabalhos de Avaliação e Consultoria
www.globaliia.org/standards-guidance / 17
NÍVEL 1 NÍVEL 2 NÍVEL 3 NÍVEL 4 NÍVEL 5
Reativo Repetível Definido e Gerenciado Sustentado Otimizado
Riscos
Avaliação de riscos limitada ou inexistente.
Ao menos anualmente, uma revisão dos riscos dos processos é feita.
O risco é considerado nos planos de projeto e iniciativas.
Um processo abrangente de avaliação de riscos é desenvolvido, cobrindo riscos estratégicos, financeiros, de conformidade e operacionais.
A probabilidade e o impacto de possíveis riscos ou oportunidades são formalmente avaliados.
A administração articula formalmente a tolerância a riscos.
Planos específicos de mitigação são implementados com base na avaliação e na análise de custo-benefício.
A avaliação de riscos é revisada e atualizada conforme apropriado ao longo do ano.
O ROI da alocação de recursos incorpora a avaliação de riscos no processo de priorização.
Os riscos são mitigados abaixo das metas de tolerância a riscos definidas pela administração.
Métricas
Poucas ou nenhuma métrica é identificada, rastreada ou reportada.
As principais métricas são identificadas e elementos de mensuração são precisos.
Existem métodos para rastrear e reportar à administração continuamente.
Principais métricas com indicadores alvo de desempenho são identificadas para atributos financeiros, de conformidade, estratégicos, operacionais, de recursos humanos e de partes interessadas (balanced scorecard).
Mensuração do desempenho real em comparação com as métricas alvo é precisa e comunicada à administração e aos associados.
As principais métricas, metas e sistemas de mensuração são reavaliados e validados continuamente para mudanças dos processos, dos recursos e iniciativas de estratégia corporativa.
Iniciativas específicas de melhoria são desenvolvidas e priorizadas para métricas que não atingem as metas de desempenho.
As principais metas de métricas são atingidas consistentemente em todas as áreas.
Atividades proativas são implementadas, de modo que lacunas não ocorram entre a realidade e a meta.
IPPF – Guia Prático
Selecionando, Usando e Criando Modelos de Maturidade: Ferramenta para Trabalhos de Avaliação e Consultoria
www.globaliia.org/standards-guidance / 18
NÍVEL 1 NÍVEL 2 NÍVEL 3 NÍVEL 4 NÍVEL 5
Reativo Repetível Definido e Gerenciado Sustentado Otimizado
Capital Humano
Um processo de desenvolvimento de recursos não existe ou é informal.
Um processo de treinamento de recursos não existe ou é informal.
O processo de desenvolvimento é formalizado e documentado para todos os níveis dos associados.
Descrições dos cargos e expectativas são documentados e comunicados.
Programas de treinamento são implementados.
Um processo formalizado de desenvolvimento de recursos é executado com consistência.
Um programa formal de treinamento para todos os níveis é estabelecido e sua conclusão é rastreada.
Um plano formal de sucessão e de recrutamento está em prática.
A compensação está correlacionada às expectativas documentadas de gestão de desempenho e às contribuições.
Métricas alvo de eficiência e eficácia da força de trabalho são identificadas e métodos de mensuração estão em prática para resultados reais.
Projetos de melhoria contínua são iniciados para lacunas entre o desempenho real e a métrica alvo.
As principais metas de métricas são atingidas consistentemente em todas as áreas.
Atividades proativas são implementadas, de modo que lacunas não ocorram entre a realidade e a meta.
Gestão de Processos e Autoavaliação
Processos e procedimentos não são documentados ou são conhecidos informalmente.
Políticas, documentos de procedimentos de alto nível e modelos básicos existem, que promovem processos repetíveis.
Os controles são identificados e notados na documentação.
A documentação é mantida, comunicada e precisa.
Evidências padrão estão disponíveis, incluindo um sistema de gestão de controles de processos, narrativas e fluxos de processos.
A documentação está prontamente disponível para auditoria externa sem aviso prévio.
Principais controles e normas de execução de controles são rastreados para processos/produtos atuais e novos.
A avaliação formal de qualidade por meio da autoavaliação é executada regularmente para os principais processos.
Políticas de retenção de registros estão em prática e são monitoradas.
A documentação de processos e controles é proativamente desenvolvida e validada, antes de novos sistemas, produtos ou iniciativas.
Iniciativas proativas são realizadas com base em lacunas identificadas por meio de autoavaliações.
IPPF – Guia Prático
Selecionando, Usando e Criando Modelos de Maturidade: Ferramenta para Trabalhos de Avaliação e Consultoria
www.globaliia.org/standards-guidance / 19
Exemplo 2: Modelo de Maturidade do Programa de Conformidade e Ética
Este modelo foi adaptado a partir de um modelo publicado pela The IIA’s Research Foundation (IIARF), que se
aplica ao programa de conformidade e ética da organização.
ATRIBUTOS DE MATURIDADE DO PROGRAMA DE CONFORMIDADE E ÉTICA4
Atributo Inicial Repetível Definido Maduro Alto Nível
1. Código de Ética
Como o código delineia com eficácia as expectativas da administração quanto à conduta ética?
Não há código de ética formalmente documentado.
Em geral, não há outros meios de comunicar as expectativas da administração quanto à conduta ética.
Um código de ética foi desenvolvido, mas pode não ser abrangente ou atual.
Funcionários experientes geralmente entendem as expectativas da administração quanto à conduta ética, mas novos funcionários podem não ter qualquer forma de determinar essas expectativas.
Um código de ética abrangente existe, foi aprovado pelo conselho e é revisado a cada dois a três anos, para determinar as atualizações necessárias.
Todos os funcionários devem assinar anualmente que estão em conformidade com o código de ética.
Novos funcionários devem assinar um documento, declarando que leram e entendem o código de ética.
O código de ética é revisado conforme apropriado, além do aconselhamento legal, para garantir que permaneça atualizado e apropriado.
O código de ética é revisado anualmente e atualizado conforme necessário.
Todos os funcionários completam questionários anuais que fazem perguntas mais aprofundadas de conformidade com o código de ética.
Políticas específicas de conformidade e ética estão em prática para apoiar e oferecer orientações adicionais sobre os principais componentes do código.
Grupos de foco periódicos e/ou pesquisas são conduzidos com uma amostra representativa dos funcionários, para avaliar seu entendimento do código de ética e suas percepções do nível de conformidade em toda a organização.
4 Adaptado de The IIA Research Foundation. Internal Auditing: Assurance & Consulting Services. Altamonte Springs, Fla.: IIARF, 2009.
IPPF – Guia Prático
Selecionando, Usando e Criando Modelos de Maturidade: Ferramenta para Trabalhos de Avaliação e Consultoria
www.globaliia.org/standards-guidance / 20
Modelo de Maturidade do Programa de Conformidade e Ética
ATRIBUTOS DE MATURIDADE DO PROGRAMA DE CONFORMIDADE E ÉTICA4
Atributo Inicial Repetível Definido Maduro Alto Nível
2. Cultura e consistência
Como a organização percebe o compromisso da administração com a conformidade?
A organização parece indiferente à conformidade e à ética.
O programa foi desenvolvido por poucos indivíduos, sem contribuição externa.
Há percepções de inconsistências disciplinares e “favoritismo”.
Pessoas são promovidas sem consideração formal de conduta ética.
Eventos de não conformidade são normalmente conhecidos a partir de reclamações, em vez de por meio de atividades de monitoramento ou auditoria.
Há percepções de que a conformidade e a ética são importantes.
O programa foi desenvolvido para abordar consequências legais da não conformidade.
A disciplina é geralmente deixada a cargo dos gerentes comerciais e de departamento e, como tal, não é sempre consistente.
Apesar da conduta ética parecer ser considerada, não faz parte das descrições dos cargos.
Eventos de não conformidade são geralmente reportados tempestivamente, mas há poucos esforços para reportar os eventos antes da não conformidade.
A percepção é que a alta administração leva a conformidade e a ética a sério e “faz o que prega”.
O programa foi desenvolvido com contribuições do jurídico, recursos humanos e auditoria interna.
O setor de Recursos Humanos é consultado para garantir que ações disciplinares sejam apropriadas e em conformidade com regulamentos.
As descrições dos cargos incluem expectativas de conduta ética.
Muitos funcionários levantam questões de conformidade antes que se tornem problemas.
A conformidade e a ética são tópicos de reuniões da organização e dos departamentos, garantindo uma mensagem cultural consistente.
O programa foi desenvolvido com contribuição de diversos grupos de funcionários.
Decisões disciplinares envolvem a combinação apropriada de pessoas de recursos humanos, jurídico e conformidade, para garantir adequação e consistência.
Descrições de cargos e entrevistas cobrem formalmente a conduta ética.
Funcionários sentem-se encorajados a fazer perguntas sobre questões de conformidade.
Pesquisas ou grupos de foco periódicos são realizados, para avaliar a percepção da cultura de conformidade e ética e para fazer ajustes onde necessário.
Contribuições periódicas são solicitadas dos funcionários para melhorar o programa.
Ações disciplinares são revisadas por um grupo independente (ex., auditoria interna), para apoiar a consistência de tais ações.
As pessoas são reconhecidas por demonstrar conduta ética.
Alguns funcionários fazem recomendações para melhorar o programa de conformidade.
IPPF – Guia Prático
Selecionando, Usando e Criando Modelos de Maturidade: Ferramenta para Trabalhos de Avaliação e Consultoria
www.globaliia.org/standards-guidance / 21
ATRIBUTOS DE MATURIDADE DO PROGRAMA DE CONFORMIDADE E ÉTICA4
Atributo Inicial Repetível Definido Maduro Alto Nível
3. Conscientização
Qual o nível de consciência dos funcionários e partes interessadas externas sobre o programa de conformidade e ética e seus requisitos?
Os funcionários estão geralmente cientes de que o programa existe, mas não têm certeza de como obter informações.
Os funcionários não estão familiarizados com requisitos específicos.
Os funcionários não sabem quem gerencia o programa de conformidade e ética.
As partes interessadas não sabem sobre o programa.
Funcionários estão cientes de que o programa existe, passaram por um treinamento e sabem intuitivamente alguns dos requisitos contidos no programa.
Funcionários sabem quem é o chief compliance officer, mas não outros envolvidos na gestão do programa de conformidade e ética.
As partes interessadas presumem que exista um programa, mas não sabem a respeito.
Há uma conscientização difundida entre os funcionários sobre o programa.
Todos os funcionários passaram por treinamento nos últimos três anos.
Funcionários sabem quem é o chief compliance officer e os gerentes de compliance.
As partes interessadas estão cientes da existência do programa e podem encontrar referências no site da empresa.
Treinamento anual reforça o programa, com módulos individuais entregues com maior aprofundamento.
Funcionários sabem quais indivíduos são responsáveis pelas principais áreas de conformidade.
A conformidade com as expectativas do programa e de ética é coberta nos contratos com fornecedores.
Ocorrem comunicações regulares, para lembrar/atualizar os funcionários sobre as expectativas do programa.
O programa faz parte do reporte externo de sustentabilidade feito anualmente.
IPPF – Guia Prático
Selecionando, Usando e Criando Modelos de Maturidade: Ferramenta para Trabalhos de Avaliação e Consultoria
www.globaliia.org/standards-guidance / 22
ATRIBUTOS DE MATURIDADE DO PROGRAMA DE CONFORMIDADE E ÉTICA4
Atributo Inicial Repetível Definido Maduro Alto Nível
4. Estrutura e Prestação de Contas
Qual o nível de eficácia da estrutura de gestão do programa e de aplicação de prestação de contas?
Não há estrutura formal para o programa de conformidade e ética.
A supervisão independente não existe ou é ad hoc.
A prestação de contas não está definida.
As investigações são ad hoc.
Os riscos de conformidade não são entendidos.
Um executivo de conformidade foi atribuído, mas as responsabilidades do cargo não estão bem desenvolvidas.
A supervisão e monitoramento são inconsistentes e reativas.
A prestação de contas é amplamente entendida, mas não está formalmente documentada.
As investigações são normalmente conduzidas pelas pessoas apropriadas.
Os riscos de conformidade são geralmente entendidos, mas não estão formalmente documentados.
Uma estrutura de conformidade e ética foi estabelecida, com prestação de contas atribuída aos executivos responsáveis pelas áreas de conformidade.
A supervisão é definida a partir da perspectiva da alta administração e do conselho.
O monitoramento é estabelecido, incluindo a auditoria interna e outros.
Há um ponto de foco para determinar quem deve conduzir as investigações.
Os riscos e cenários de conformidade são documentados.
O reporte por parte dos executivos da área de conformidade ao chief compliance officer é tempestivo e consistente.
O comitê aplicável do conselho recebe trimestralmente atualizações sobre questões de conformidade e ética.
A auditoria interna tem um plano consistente para auditar todos os riscos de conformidade.
Um protocolo formal de investigação existe, que delineia recursos apropriados a usar (internos vs. externos), requisitos de documentação e como as investigações são encerradas.
Uma avaliação formal de riscos de conformidade foi realizada.
Um plano integrado de monitoramento foi implementado, envolvendo o chief compliance officer, executivos da área de compliance e a auditoria interna.
Investigações sensíveis ou significantes são conduzidas de acordo com o protocolo, por indivíduos treinados em técnicas forenses e de investigação.
Cenários de riscos de conformidade foram identificados, avaliados e mapeados quanto aos controles de conformidade e são atualizados ao menos anualmente.
IPPF – Guia Prático
Selecionando, Usando e Criando Modelos de Maturidade: Ferramenta para Trabalhos de Avaliação e Consultoria
www.globaliia.org/standards-guidance / 23
ATRIBUTOS DE MATURIDADE DO PROGRAMA DE CONFORMIDADE E ÉTICA4
Atributo Inicial Repetível Definido Maduro Alto Nível
5. Automação e Integração de Processos
Com que eficácia os controles e processos de conformidade e ética são padronizados, integrados e automatizados?
Não há controles e procedimentos formais de conformidade e ética, embora muitos funcionários saibam intuitivamente como agir.
Não há protocolo formal para funcionários e terceiros reportarem eventos de possível não conformidade.
Informações/dados relativos à conformidade e ética não estão disponíveis.
Há alguns controles e procedimentos de conformidade e ética, mas não são consistentes em toda a organização ou documentados formalmente.
Há testes limitados dos controles e procedimentos em prática.
Funcionários geralmente entendem que podem contatar o jurídico ou recursos humanos, se suspeitarem de um evento de não conformidade.
Informações/dados relativos a eventos de conformidade e ética são difíceis de compilar.
Os controles e procedimentos de conformidade e ética estão bem documentados e padronizados em toda a organização.
Controles e procedimentos de conformidade e ética são testados periodicamente, para identificar lacunas ou fraquezas.
Há uma linha externa de denúncias, por meio da qual funcionários ou terceiros podem reportar eventos de possível não conformidade.
Alguns controles de conformidade e ética estão integrados a outros processos do negócio e automatizados até o ponto em que os sistemas existentes apoiam.
São preparados alguns relatórios padrão sobre eventos de conformidade e ética.
Controles e procedimentos de conformidade e ética são parte integrante dos processos do negócio.
Muitos controles de conformidade e ética abordam os principais riscos de conformidade como parte da visão de governança, riscos e conformidade (GRC) do programa.
Há diversas formas para funcionários ou terceiros reportarem eventos de possível não conformidade e todas seguem um protocolo consistente de coleta de dados sobre o evento e sua utilização.
Um plano de teste consistente é usado, para garantir que os controles e procedimentos de conformidade e ética operem com eficácia.
Usa-se tecnologia para auxiliar na identificação e investigação de eventos de conformidade e ética.
A empresa estabeleceu um programa integrado de GRC, que garante que os riscos de conformidade sejam geridos em consistência com o apetite a riscos da organização.
Softwares de gestão de eventos são usados, para garantir que todos os principais dados sejam coletados e que a resolução do evento seja documentada completa e consistentemente.
Softwares de GRC são usados para oferecer dados integrados sobre o programa.
Rotinas integradas de tecnologia são executadas regularmente, para prevenir ou detectar tempestivamente possíveis eventos de conformidade e ética.
IPPF – Guia Prático
Selecionando, Usando e Criando Modelos de Maturidade: Ferramenta para Trabalhos de Avaliação e Consultoria
www.globaliia.org/standards-guidance / 24
ATRIBUTOS DE MATURIDADE DO PROGRAMA DE CONFORMIDADE E ÉTICA4
Atributo Inicial Repetível Definido Maduro Alto Nível
6. Metas e Métricas
Como o sucesso do programa de conformidade e ética é mensurado?
Nenhuma meta ou métrica formal existe ou é considerada.
Embora metas e métricas não estejam formalizadas, os funcionários geralmente entendem que a ausência de eventos de conformidade e ética é um indicador de um programa de sucesso.
Metas amplas de conformidade e ética são estabelecidas e comunicadas.
Métricas amplas existem para mensurar a natureza e frequência dos eventos de conformidade e ética.
Metas específicas de conformidade e ética são integradas ao processo anual de definição de metas para cada área de conformidade.
Métricas são estabelecidas para cada área de conformidade.
Todos os funcionários têm métricas individuais de conformidade e ética.
As métricas são integradas ao processo geral de mensuração de desempenho.
IPPF – Guia Prático
Selecionando, Usando e Criando Modelos de Maturidade: Ferramenta para Trabalhos de Avaliação e Consultoria
www.globaliia.org/standards-guidance / 25
Exemplo 3: Modelo de Maturidade de Capacidades de Auditoria Interna do Setor Público
Além de aplicar o modelo de maturidade a diferentes processos dentro da organização, a auditoria interna também
pode fazer uma avaliação de seus próprios processos, usando uma estrutura sob medida de modelo de maturidade.
O exemplo a seguir foi adaptado a partir de um modelo publicado pela The IIARF, desenvolvido para avaliar os
departamentos de auditoria interna do setor público, mas pode facilmente ser adaptado e aplicado a todos os setores.
MATRIZ MODELO DE CAPACIDADES DE AUDITORIA INTERNA5
Serviços e Papel
da AI Gestão de Pessoas
Práticas Profissionais
Gestão de Desempenho e Prestação de
Contas
Relações Organizacionais e
Cultura
Estruturas de Governança
Nível 5 – Otimização
A auditoria interna é reconhecida como principal agente de mudança.
Envolvimento da liderança em órgãos profissionais.
Projeção da força de trabalho.
Melhoria contínua em práticas profissionais.
Planejamento estratégico da auditoria interna.
Reporte público da eficácia da auditoria interna.
Relações eficazes e contínuas.
Independência, poder e autoridade da atividade de auditoria interna.
Nível 4 – Gerenciado
Avaliação geral de governança, gerenciamento de riscos e controle.
AI contribui para o desenvolvimento da administração.
AI apoia ativamente órgãos profissionais.
Planejamento da força de trabalho.
Estratégia de auditoria alavanca o gerenciamento de riscos da organização.
Integração de métricas qualitativas e quantitativas de desempenho.
CAE orienta e influencia a administração de maior nível.
Supervisão independente da atividade de auditoria interna.
O CAE reporta à autoridade de maior nível.
Nível 3 – Integrado
Serviços de consultoria.
Auditorias de desempenho e value-for-money.
Desenvolvimento de equipe e competências.
Equipe qualificada profissionalmente.
Coordenação da força de trabalho.
Estrutura de gestão da qualidade.
Planos de auditoria com base em riscos.
Métricas de desempenho.
Informações de custo.
Relatórios de gerenciamento da auditoria interna.
Coordenação com outros grupos de revisão.
Componente integrante da equipe de gerenciamento.
Supervisão da atividade de auditoria interna por parte da administração.
Mecanismos de financiamento.
5 Adaptado de The IIA Research Foundation. Internal Audit Capability Model (IA-CM) For the Public Sector. Altamonte Springs, Fla.: IIARF, 2009.
IPPF – Guia Prático
Selecionando, Usando e Criando Modelos de Maturidade: Ferramenta para Trabalhos de Avaliação e Consultoria
www.globaliia.org/standards-guidance / 26
MATRIZ MODELO DE CAPACIDADES DE AUDITORIA INTERNA5
Serviços e Papel
da AI Gestão de Pessoas
Práticas Profissionais
Gestão de Desempenho e Prestação de
Contas
Relações Organizacionais e
Cultura
Estruturas de Governança
Nível 2 – Infraestrutura
Auditoria de conformidade.
Desenvolvimento profissional individual.
Pessoas habilidosas são identificadas e recrutadas.
Estrutura de práticas profissionais e processos.
Plano de auditoria é baseado nas prioridades da administração e das partes interessadas.
Orçamento operacional de auditoria interna.
Plano de negócios de auditoria interna.
Gestão dentro da atividade de auditoria interna.
Total acesso às informações, ativos e pessoas da organização.
Relações de reporte estabelecidas.
Nível 1 – Inicial
Ad hoc e não estruturadas; auditorias únicas isoladas ou revisões de documentos e transações para precisão e conformidade; resultados dependem das habilidades dos indivíduos específicos dentro do cargo; nenhuma prática profissional específica estabelecida, além das oferecidas por associações profissionais; financiamento aprovado pela administração, conforme necessário; ausência de infraestrutura; auditores provavelmente fazem parte de uma unidade organizacional maior; nenhuma capacidade estabelecida; portanto, não há áreas principais específicas de processos.
IPPF – Guia Prático
Selecionando, Usando e Criando Modelos de Maturidade: Ferramenta para Trabalhos de Avaliação e Consultoria
www.globaliia.org/standards-guidance / 27
Recursos Adicionais Os auditores internos podem consultar outros
modelos de maturidade para insights ao desenvolver
seus próprios modelos. A seguir, estão alguns
exemplos.
IIA Path to Quality Model (PTQM) – O PTQM
fornece uma estrutura para o CAE avaliar o estado
atual da capacidade de qualidade da atividade de
auditoria interna, definir um nível adequado de
capacidade de qualidade para a atividade e apresentar
os passos ao longo de um caminho para a atividade de
auditoria, para que ela alcance a meta de capacidade
de qualidade. As categorias consistem em: Início (1),
Emergente (2), Em Conformidade (3), Alavancando
(4) e Liderando (5).
O RIMS Risk Maturity Model é uma ferramenta para
executivos de gerenciamento de riscos e outros com
responsabilidades de gerenciamento de riscos, para
desenvolver programas de gerenciamento de riscos
corporativos sustentáveis. Os níveis incluem: Ad Hoc
(1), Inicial (2), Repetível (3), Gerenciado (4) e
Liderança (5).
Os Capability Maturity Models (CMM) do Software
Engineering Institute (SEI) são uma adaptação
analítica do uso de modelos de maturidade para
processos de engenharia de software, capacidades de
pessoas, integração de processos e outros usos. As
categorias consistem em: Inicial (1), Gerenciado (2),
Definido (3), Quantitativamente Gerenciado (4) e
Otimização (5).
A International Standards Organization (ISO) e a
International Electrotechnical Commission (IEC)
desenvolveram o ISO/IEC 15504, que é o modelo de
referência para modelos de maturidade (consistindo
de níveis de capacidade que, por sua vez, consistem
de atributos de processo e práticas genéricas), em
comparação com o qual os avaliadores podem alocar
as evidências coletadas durante sua avaliação, para
que possam dar uma determinação geral das
capacidades da organização para entrega de produtos
(softwares, sistemas, serviços de TI). Os seis níveis
incluem: Incompleto (0), Executado (1), Gerenciado
(2), Estabelecido (3), Previsível (4) e Otimização (5).
Para uma análise aprofundada de modelos de
maturidade, consulte o trabalho What Makes a Useful
Maturity Model? A Framework of General Design
Principles for Maturity Models and Its Demonstration
in Business Process.
Jens Pöppelbuß, European Research Center for
Information Systems, University of Münster,
Maximilian Röglinger, FIM Research Center,
University of Augsburg.
IPPF – Guia Prático
Selecionando, Usando e Criando Modelos de Maturidade: Ferramenta para Trabalhos de Avaliação e Consultoria
www.globaliia.org/standards-guidance / 28
Sobre os Autores e
Revisores
Autor:
James Rose, CIA, CRMA, CPA
Revisores:
Maria E. Mendes, CIA, CCSA
Steven Jameson, CIA, CCSA, CFSA, CRMA
Sobre o Instituto
Sobre os Guias Práticos
Isenção de Responsabilidade
Copyright
SEDE GLOBAL T: +1-407-937-1111
247 Maitland Ave. F: +1-407-937-1101
Altamonte Springs, FL 32701 EUA W: www.globaliia.org
130513
Fundado em 1941, The Institute of InternalAuditors (IIA) é uma associação profissional comsede global em Altamonte Springs, Fla., EUA.O The IIA é a voz da profissão de auditoria internaem todo o mundo, autoridade reconhecida, lídervalorizado, advogado chefe e principal educador.
Os Guias Práticos fornecem uma orientação detalhada para a condução de atividades de auditoria interna. Eles incluem processos e procedimentos detalhados, como ferramentas e técnicas, programas e abordagens passo-a-passo, assim como exemplos de deliverables. Os Guias Práticos são parte da IPPF do The IIA. Como parte da categoria de orientação Fortemente Recomendada, a conformidade não é obrigatória, mas é altamente recomendada, e a orientação é endossada pelo The IIA por meio de processos formais de revisão e aprovação. Para mais materiais de orientação fidedignos fornecidos pelo The IIA, por favor visite nosso website: https://globaliia.org/standards-guidance.
O The IIA publica este documento para fins informativos e educacionais. Este material de orientação não tem como objetivo fornecer respostas definitivas a específicas circunstâncias individuais e, como tal, tem o único propósito de servir de guia. O The IIA recomenda que você sempre busque conselhos especializados independentes, relacionados diretamente a qualquer situação específica. O The IIA não assume responsabilidade pela confiança depositada unicamente neste guia.
Os direitos autorais deste documento pertencem ao The IIA. Para permissão para reprodução, favor entrar em contato com o The IIA pelo e-mail: guidance@theiia.org.