Em 9 de janeiro de 2024, o The Institute of Internal Auditors (IIA) publicou as Normas Globais de Auditoria Interna — o maior redesenho do marco normativo da profissão em quase três décadas. As novas normas entraram em vigor em 9 de janeiro de 2025, substituindo o conjunto de padrões profissionais de 2017 que havia orientado a função por quase uma década. Dezesseis meses após a data de vigência, muitas organizações brasileiras ainda estão calibrando seus modelos de auditoria interna em relação ao novo referencial.
O desafio não é trivial. A Norma Brasileira de Contabilidade NBC TI 01, editada pelo Conselho Federal de Contabilidade e que disciplina formalmente a auditoria interna no Brasil, baseia-se em estrutura anterior ao IPPF 2017 e permanece sem atualização equivalente ao padrão de 2024. Isso cria um intervalo de conformidade: os profissionais certificados pelo IIA — e as organizações que contratam serviços de auditoria interna com referência às melhores práticas internacionais — estão sujeitos a um conjunto de exigências mais amplo e mais exigente do que o previsto na norma local. Conhecer essa diferença é o ponto de partida para qualquer diagnóstico de adequação.
O que mudou: da estrutura de 2017 ao novo referencial
O IPPF 2017 (International Professional Practices Framework) organizava a prática de auditoria interna em elementos obrigatórios — Missão, Definição, Princípios Fundamentais, Código de Ética e Normas — e elementos recomendados, como guias de implementação e de prática suplementar. A estrutura era funcional, mas produzia redundâncias: o Código de Ética e as Normas de Atributo, por exemplo, cobriam terreno parcialmente sobreposto.
As Normas Globais de Auditoria Interna de 2024 consolidam esse conteúdo em um documento único e introduzem uma nova arquitetura. O novo referencial compreende três camadas:
- Normas Globais de Auditoria Interna — conjunto obrigatório de 15 Princípios e 52 Normas organizados em 5 Domínios;
- Requisitos Temáticos — normas obrigatórias aplicáveis quando o engajamento cobrir temas específicos, como cibersegurança e fraude;
- Orientação Global — material recomendado (não obrigatório) para suporte à implementação.
A linguagem normativa também foi padronizada de forma precisa: o termo "deve" (must, na versão original em inglês) indica requisito mandatório; "deveria" (should) indica prática recomendada com grau elevado de expectativa; "pode" (may) indica opção aceitável. Essa distinção — ausente nas normas anteriores com igual clareza — facilita auditorias de conformidade sobre a própria função de auditoria interna.
Outra mudança terminológica relevante é a substituição de "opinião" por "conclusão de engajamento". A mudança é conceitual: a conclusão é descrita como baseada no trabalho efetivamente realizado, sinalizando que o produto da auditoria interna é o resultado de um processo técnico documentado, e não um julgamento subjetivo do auditor.
Os 5 Domínios e o que eles exigem na prática
Domínio I — Propósito da Auditoria Interna
Este domínio estabelece a razão de ser da função: fortalecer a capacidade da organização de criar e proteger valor ao oferecer avaliações independentes de governança, gestão de riscos e controles internos. A inovação mais relevante aqui é o conceito de foresight (antecipação): o IIA passa a esperar que a auditoria interna conduza análises prospectivas (horizon scanning) para preparar a organização para riscos emergentes — e não apenas avalie riscos já materializados.
Domínio II — Ética e Profissionalismo
Este domínio unifica o Código de Ética com as antigas Normas de Atributo, eliminando sobreposições. Os requisitos de integridade, objetividade, confidencialidade e competência são mantidos, mas agora contextualizados dentro de uma mesma estrutura hierárquica. Para o Chief Audit Executive (CAE), o Domínio II inclui obrigação explícita de documentar e comunicar ao comitê de auditoria qualquer função adicional que o profissional desempenhe além da auditoria interna — e que possa comprometer sua independência.
Domínio III — Governança da Função de Auditoria Interna
Este é o domínio que introduz as chamadas "Condições Essenciais": o conjunto de responsabilidades que o conselho de administração e a alta administração da organização devem cumprir para que a função de auditoria interna opere com eficácia. Pela primeira vez, as normas do IIA colocam exigências formais sobre os órgãos de governança — não apenas sobre os auditores.
As condições essenciais incluem, entre outras:
- aprovação do estatuto (charter) da auditoria interna pelo conselho;
- garantia de que o CAE se reporta funcionalmente ao conselho ou ao comitê de auditoria, e não exclusivamente à administração;
- avaliação da adequação dos recursos da função;
- supervisão do Programa de Qualidade e Melhoria (QAIP) da auditoria interna.
O Domínio III também formaliza a exigência de que o CAE desenvolva uma Estratégia de Auditoria Interna — documento que traduz os objetivos organizacionais em prioridades de auditoria para o médio prazo, revisado periodicamente com o conselho e a alta administração.
Domínio IV — Gestão da Função de Auditoria Interna
Este domínio trata da operação da função: planejamento de auditoria baseado em riscos, gestão de recursos humanos e tecnológicos, coordenação com outras funções de asseguração (segunda linha de defesa, auditoria externa) e comunicação de resultados.
A novidade de maior impacto operacional neste domínio é o QAIP (Quality Assurance and Improvement Program) obrigatório para todas as funções de auditoria interna, independentemente do porte — incluindo funções com apenas um profissional. O QAIP inclui avaliações internas contínuas e avaliações externas periódicas.
A Avaliação Externa de Qualidade (EQA) deve ser conduzida por um avaliador externo qualificado e independente ao menos uma vez a cada cinco anos. Para ser considerado qualificado para conduzir a EQA, o avaliador ou sua equipe deve incluir profissional com certificação CIA (Certified Internal Auditor). A Avaliação Externa pode ser substituída por uma Autoavaliação com Validação Independente, mas apenas mediante aprovação do comitê de auditoria.
Domínio V — Execução de Serviços de Auditoria Interna
Este domínio cobre o planejamento e a execução dos engajamentos individuais de asseguração e consultoria: definição de escopo, comunicação com o cliente interno, coleta de evidências, critérios de suficiência, documentação de papéis de trabalho, relatório de resultados e acompanhamento de ações corretivas.
A principal mudança em relação a 2017 é a integração explícita do uso de tecnologia como requisito — e não apenas como boa prática. O auditor interno deve avaliar se as ferramentas disponíveis permitem cobertura adequada dos riscos identificados no planejamento, e o CAE deve reportar ao conselho eventuais limitações tecnológicas que restrinjam a capacidade da função.
Requisitos Temáticos: a camada obrigatória por domínio de risco
A estrutura de 2024 introduziu os Requisitos Temáticos como uma categoria normativa nova. Diferentemente das Normas, que se aplicam universalmente, os Requisitos Temáticos são acionados quando o engajamento de auditoria abrange determinado tema. Tornaram-se obrigatórios em janeiro de 2025 e cobrem, entre outros, cibersegurança, fraude e fatores ambientais, sociais e de governança (ASG/ESG).
A criação de Requisitos Temáticos para ASG é particularmente relevante no contexto brasileiro de 2026. Entidades Fechadas de Previdência Complementar, empresas listadas na B3 e organizações submetidas a reguladores com agenda de sustentabilidade já enfrentam exigências de divulgação de risco climático e social. A auditoria interna agora tem orientação normativa específica para avaliar se os processos de gestão de riscos ASG da organização são adequados.
O cenário brasileiro: NBC TI 01 e o intervalo de conformidade
A NBC TI 01, emitida pelo CFC por meio da Resolução CFC nº 986/2003 e alterada pela Resolução CFC nº 1.329/2011, foi estruturada com base em referencial anterior ao IPPF 2017. Ela trata de aspectos como independência, planejamento, execução e relatórios de auditoria interna, mas não contempla a arquitetura de cinco domínios, o QAIP com EQA obrigatória, as condições essenciais de governança impostas ao conselho, a estratégia de auditoria interna, os Requisitos Temáticos ou o conceito de foresight.
Isso significa que uma organização brasileira que observa apenas a NBC TI 01 está operando com um modelo de governança da auditoria interna que está, no mínimo, duas gerações normativas atrás do estado da arte internacional.
O CFC ainda não publicou revisão da NBC TI 01 alinhada ao IPPF 2024. No entanto, auditores certificados pelo IIA Brasil e organizações que adotam as melhores práticas internacionais como referência contratual — frequentemente cláusula explícita em regulamentos internos e políticas de governança — estão sujeitas às novas normas do IIA, independentemente da posição da norma local.
EFPCs: a convergência com as exigências da Previc
Para Entidades Fechadas de Previdência Complementar, a adoção das Normas Globais de Auditoria Interna de 2024 não é apenas questão de alinhamento com melhores práticas: ela converge diretamente com exigências regulatórias domésticas.
A Resolução Previc nº 26/2025, vigente desde 1º de janeiro de 2026, introduziu para entidades S1 e S2 a obrigatoriedade de contratar auditorias atuariais e de benefícios independentes com periodicidade quinquenal, além de ampliar os requisitos de evidenciação nas demonstrações financeiras. O mesmo normativo reforçou a independência dos Conselhos Deliberativo e Fiscal e estabeleceu condições de reporte que espelham, no contexto previdenciário, as Condições Essenciais do Domínio III do IIA.
Em paralelo, os artigos 368-A e 368-B da Resolução Previc nº 26/2025 introduzem a avaliação de riscos ASG como requisito para todas as EFPCs — o que, pela lente dos Requisitos Temáticos das Normas Globais, passa a ser matéria de escopo para qualquer engajamento de auditoria interna que cubra a gestão de investimentos da entidade.
Entidades que estruturam sua função de auditoria interna segundo as Normas Globais do IIA de 2024 estarão mais bem posicionadas para demonstrar conformidade com as exigências de governança da Resolução Previc nº 26/2025 e para responder aos ciclos de supervisão baseada em riscos da Previc.
O que fazer em 2026: checklist de adequação
- Revisar o estatuto (charter) da auditoria interna para verificar se contempla os requisitos do Domínio II e do Domínio III, incluindo reporte funcional ao conselho e independência do CAE.
- Mapear os 5 Domínios contra a estrutura atual da função de auditoria interna — identificar lacunas em planejamento estratégico, gestão de recursos e uso de tecnologia.
- Implantar ou atualizar o QAIP (Programa de Qualidade e Melhoria) com avaliações internas documentadas e cronograma de Avaliação Externa de Qualidade para o ciclo quinquenal.
- Elaborar ou revisar a Estratégia de Auditoria Interna, alinhada aos objetivos da organização e aprovada pelo conselho ou comitê de auditoria.
- Verificar a qualificação do avaliador externo para a EQA: a equipe deve incluir profissional com certificação CIA.
- Identificar quais Requisitos Temáticos se aplicam aos engajamentos programados — especialmente para riscos de cibersegurança, fraude e ASG.
- Avaliar o impacto da mudança terminológica nos relatórios e papéis de trabalho: substituir "opinião" por "conclusão de engajamento" e adotar a distinção "deve"/"deveria"/"pode" na documentação interna.
- Para EFPCs: cruzar o plano de auditoria interna com as exigências da Resolução Previc nº 26/2025 e garantir que os engajamentos de investimentos cubram a avaliação de riscos ASG conforme os arts. 368-A e 368-B.
- Comunicar ao conselho as lacunas identificadas e o plano de adequação, incluindo recursos adicionais eventualmente necessários — obrigação explícita do CAE sob o Domínio III.
- Acompanhar a atualização da NBC TI 01 pelo CFC: quando publicada, verificar alinhamento e ajustar políticas internas.
Como a WMR Consultoria pode apoiar
A adequação às Normas Globais de Auditoria Interna de 2024 exige diagnóstico técnico preciso, revisão de documentos normativos internos e, em muitos casos, requalificação de processos e equipes. Não é um processo que se conclui com a leitura das normas: demanda mapeamento de lacunas, priorização de ajustes e acompanhamento de implementação.
A WMR Consultoria, fundada por Wander Mendes Rodrigues com 40 anos de experiência em auditoria interna, controladoria, previdência complementar e prática fiscal, oferece suporte completo nesse processo. Realizamos diagnósticos de conformidade da função de auditoria interna em relação às Normas Globais do IIA de 2024, incluindo revisão do estatuto, avaliação do QAIP existente, estruturação da Estratégia de Auditoria Interna e orientação para a contratação ou condução da Avaliação Externa de Qualidade.
Para Entidades Fechadas de Previdência Complementar, integramos a adequação às normas do IIA com os requisitos de governança da Resolução Previc nº 26/2025, oferecendo visão unificada das obrigações regulatórias e das melhores práticas profissionais.
Organizações que desejam conhecer sua posição atual em relação ao novo referencial podem solicitar à WMR uma avaliação diagnóstica inicial — o ponto de partida para um plano de adequação realista e proporcional ao porte e à complexidade da função.