QUESTÃO ERRADA: Segundo o IIA, é atribuição do cliente identificar as áreas e operações cujos riscos sejam relevantes, indicando-as ao auditor interno para que este determine as providências a serem adotadas.
Segundo a IIA:
2440.C2 – Durante os trabalhos de consultoria, pontos relativos à governança, gerenciamento de riscos e controles podem ser identificados. Toda vez que esses pontos forem significativos para a organização, devem ser comunicadas à alta administração e ao conselho.
Lembrando que consultoria é uma das responsabilidades da auditora interna (uma vez que é órgão staff – segundo conceito da disciplina Administração). Ela assessora a alta cúpula a municiando com informações para fins de melhoria dos processos.
Logo, há, claramente, uma inversão de papéis na questão quando diz que “é atribuição do cliente identificar as áreas e operações cujos riscos sejam relevantes, indicando-as ao auditor interno para que este determine as providências a serem adotadas”.
Aí o trabalho do auditor interno (de detetive) não teria razões para existir.
