INTRODUÇÃO

Ao longo dos últimos anos, a globalização, o uso cada vez mais intensivo das tecnologias e diversos acontecimentos relacionados a demonstrações contábeis de grandes empresas geraram importantes mudanças no ambiente de negócios públicos e privados ao redor do mundo. Nesse contexto, a sociedade, de modo geral, vem exigindo maior qualidade nos serviços prestados, além de mais transparência, responsabilidade e adequada prestação de contas por parte das organizações. Tudo isso vem gerando uma série de demandas e desafios também para a Auditoria Interna, a exemplo da exigência cada vez mais frequente de atuação nas áreas de governança e de gerenciamento de riscos, inclusive no âmbito da administração pública, a qual, alguns anos atrás, estava, de certa forma, alheia a essas discussões.

Especificamente no Brasil, a partir da edição da Lei nº 12.527, de 18 de novembro de 2011, que regula o direito fundamental de acesso à informação, e da Instrução Normativa Conjunta MP/CGU nº 01, de 10 de maio de 2016, que dispõe sobre controles internos, gestão de riscos e governança no âmbito do Poder Executivo Federal, abriram-se novos horizontes para a atividade de auditoria interna governamental que, além de uma maior visibilidade dos trabalhos realizados, passou a ter também maiores oportunidades de contribuir mais diretamente para o alcance dos objetivos das organizações de que fazem parte. Tudo isso vem aproximando a Auditoria Interna das áreas de negócio das organizações, alçando-a a um patamar de maior importância, posto que passou a ser demandada para contribuir mais diretamente nas tomadas de decisão, tendo sua relevância reconhecida pelo nível estratégico das organizações.

Essas mudanças acarretaram, a seu turno, o aumento da responsabilidade das Unidades de Auditoria Interna Governamental (UAIG) em dar resposta adequada aos anseios da sociedade, exigindo que os auditores internos governamentais adquiram novas habilidades, adotem novas estratégias e, consequentemente, prestem maior variedade de serviços.

Nesse ambiente, em que se espera que a auditoria interna contribua cada vez mais para o aprimoramento da governança de órgãos e entidades, o Referencial Técnico da Atividade de Auditoria Interna Governamental do Poder Executivo Federal, aprovado pela IN SFC nº 03, de 09 de junho de 2017, definiu princípios, conceitos e diretrizes com a finalidade de nortear a prática da auditoria interna governamental, de modo a garantir uma atuação eficiente e eficaz por parte das UAIG.

De forma complementar, o presente Manual destina-se a orientar tecnicamente os órgãos e unidades que integram o Sistema de Controle Interno do Poder Executivo Federal (SCI) e as auditorias internas singulares dos órgãos e entidades do Poder Executivo Federal (Audin) sobre os meios de operacionalizar os conteúdos constantes do Referencial Técnico. Este documento, portanto, se propõe a indicar formas de colocar em prática os requisitos definidos, de modo a contribuir também para uniformizar entendimentos e práticas, sem, contudo, restringir a autonomia que cabe a cada UAIG no que tange à definição de seus métodos de trabalho, sistemas e modelos. Assim sendo, no primeiro capítulo, encontram-se os conceitos de Avaliação e de Consultoria que, de acordo com as diretrizes estabelecidas pela IN SFC nº 03, de 2017, constituem as atividades típicas de Auditoria Interna Governamental. Ambas as atividades guardam muitas semelhanças entre si, mas guardam também suas especificidades: enquanto a avaliação visa a fornecer opinião independente sobre governança, gerenciamento de riscos e estrutura de controles internos, a consultoria objetiva auxiliar as unidades auditadas nessas mesmas áreas, porém, por meio de assessoramento, aconselhamento, treinamento e facilitação.

A apuração, competência que, por força da Lei nº 10.180, de 6 de fevereiro de 2001, foi atribuída aos órgãos e unidades do Sistema de Controle Interno do Poder Executivo Federal, complementa as duas primeiras vertentes e constitui o tema do segundo capítulo. Essa atividade tem como objetivo verificar atos ou fatos ilegais ou irregulares, praticados por agentes públicos ou privados, na utilização de recursos públicos federais. O terceiro capítulo apresenta as atividades essenciais para o adequado “Gerenciamento da Atividade de Auditoria Interna”. Nele são descritas as atribuições de todos os envolvidos no processo de auditoria, desde o responsável pela UAIG até os membros das equipes. São apresentados também: os cuidados a serem adotados nos casos em que a UAIG optar pela participação de profissionais não pertencentes ao seu quadro de servidores; a atenção necessária a situações que podem prejudicar a objetividade nos trabalhos e o arcabouço mínimo para implementação de um Programa de Gestão e Melhoria da Qualidade (PGMQ).

O quarto capítulo trata do Planejamento da Unidade de Auditoria Interna Governamental, consubstanciado em um Plano de Auditoria Interna. A questão central é o planejamento baseado em riscos, um instrumental valioso, capaz de garantir que as UAIG concentrem seus esforços nas áreas e atividades cujo alcance dos objetivos pode ser mais fortemente impactado por eventos internos ou externos, ou seja, nas áreas de maior risco. O capítulo aborda ainda os componentes essenciais do Plano de Auditoria Interna e as atividades capazes de subsidiar a elaboração do Programa de Trabalho, além dos procedimentos e técnicas de auditoria mais comumente utilizados.

A execução dos trabalhos individuais de auditoria é o tema do quinto capítulo. Por meio deste, são apresentados os conteúdos, baseados em normas e nas melhores práticas nacionais e internacionais de auditoria, necessários para o desenvolvimento da fase também conhecida como trabalho de campo, quais sejam: comunicação com a Unidade Auditada durante a execução dos trabalhos; coleta e análise de dados; obtenção de evidências, elaboração dos achados de auditoria e das recomendações e, ainda, a organização e guarda de papéis de trabalho.

Como etapa fundamental dos trabalhos de auditoria, a “Comunicação dos Resultados” é abordada no sexto capítulo. Nessa seção, é ressaltada a necessidade de se realizar um planejamento específico para que as comunicações atinjam sua finalidade. São destacados também os requisitos de qualidade e as formas de comunicação. O relatório de auditoria, por ser a forma mais comumente utilizada para essa finalidade, recebe destaque: além de serem apresentadas diferentes formas de relatório, são indicados também os componentes mais frequentemente encontrados nesse tipo de documento.

O monitoramento constitui etapa fundamental da auditoria, tendo em vista que um trabalho somente pode ser considerado encerrado após o cumprimento das recomendações pela unidade auditada. Esse é o assunto tratado no sétimo e último capítulo, em que são apresentados: o processo de monitoramento, com destaque para suas etapas; as formas de lidar com especificidades, como recomendações oriundas de trabalhos de consultoria; como agir em casos de recomendações reiteradamente não atendidas; comunicação do estágio de implementação das melhorias recomendadas e, por fim, registro de benefícios financeiros e não financeiros alcançados por meio da atuação da UAIG. Ao final, são apresentados ainda exemplos de documentos que têm como finalidade facilitar a compreensão e a implementação dos conteúdos constantes deste Manual.

AUDITORIA INTERNA GOVERNAMENTAL

A Auditoria Interna Governamental, de acordo com a IN SFC nº 03, de 2017, é uma atividade independente e objetiva de avaliação e de consultoria, desenhada para adicionar valor e melhorar as operações de uma organização. Deve buscar auxiliar as organizações públicas a realizarem seus objetivos, a partir da aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de governança, de gerenciamento de riscos e de controles internos. Essa definição apresenta alguns aspectos que merecem destaque, os quais serão detalhados a seguir.

Governamental

A Auditoria Interna Governamental, embora apresente muitas semelhanças com a Auditoria Independente, apresenta também suas especificidades. Entre elas, pode-se destacar:

a) a obtenção e a análise de evidências relativas à utilização dos recursos públicos, a qual contribui diretamente para a garantia da accountability nas suas três dimensões, quais sejam: transparência, responsabilização e prestação de contas;

b) a contribuição para a melhoria dos serviços públicos, por meio da avaliação da execução dos programas de governo e da aferição do desempenho dos órgãos e das entidades no seu papel precípuo de atender à sociedade;

c) a atuação com vistas à proteção do patrimônio público.

Independência e objetividade

A independência e a objetividade são dois pressupostos fundamentais para o exercício da auditoria interna, tanto na condução dos trabalhos quanto na emissão de opinião pela UAIG. Estão associados o primeiro, à UAIG, e o segundo, à atitude do auditor em relação à Unidade Auditada.

Para que a função de auditoria interna seja independente, deve possuir autonomia técnica. Isso significa que o responsável pela UAIG deve se comunicar diretamente com as pessoas de maior nível hierárquico dentro da Unidade Auditada (alta administração ou conselho, se houver) que permitam à UAIG cumprir suas responsabilidades, livre de interferências na determinação do escopo, na execução dos procedimentos, no julgamento profissional e na comunicação dos resultados.

Os auditores internos governamentais, por sua vez, devem atuar de forma imparcial e isenta, evitando situações de conflito de interesses ou quaisquer outras que afetem sua objetividade, de fato ou na aparência, ou comprometam o seu julgamento profissional.

Adição de valor

A proposta de adicionar valor está diretamente vinculada à questão de a auditoria interna considerar, no planejamento dos trabalhos da UAIG, as estratégias, os objetivos, as metas da organização, os riscos a que os processos da Unidade Auditada estão sujeitos, além das expectativas dos destinatários dos trabalhos de auditoria, quais sejam: a alta administração, os gestores das organizações e das entidades públicas federais e a sociedade, de modo geral.

Somente dessa forma, os trabalhos de auditoria não estarão apartados das reais demandas das Unidades Auditadas e poderão contribuir de forma tempestiva e efetiva, em assuntos relevantes, críticos e/ou estratégicos para a organização. A título de exemplo, podem ser citados os trabalhos de auditoria em sistemas corporativos importantes para o alcance dos objetivos estratégicos da organização, dando ênfase a aspectos gerenciais e, não somente, à conformidade das transações resultantes dos sistemas. Essa abordagem representa um amadurecimento da auditoria e permite um novo posicionamento da UAIG, transformando-a em peça essencial no processo de tomada de decisão pela alta administração.

Abordagem sistemática e disciplinada

À medida que os objetos auditados se tornam mais complexos, as exigências para a realização do trabalho de auditoria se tornam maiores. Como resposta para esse novo desafio, a abordagem exige maior envolvimento da equipe de auditoria e maior conhecimento das áreas de negócio da Unidade Auditada, além de maior domínio dos procedimentos e das técnicas de auditoria. O trabalho de auditoria, portanto, deve ser metodologicamente estruturado, baseado em normas e padrões técnicos e profissionais e estar sempre suficientemente evidenciado.

Atuação dos auditores internos na melhoria da eficácia dos processos de governança, de gerenciamento de riscos e de controles internos

Os objetivos dos trabalhos de auditoria devem ser estabelecidos de forma que esses trabalhos contribuam para o alcance dos objetivos organizacionais da Unidade Auditada e para o aprimoramento dos processos de governança, de gerenciamento de riscos e de controle, os quais estão fortemente relacionados entre si. Para contribuir para o aperfeiçoamento desses processos, a UAIG deverá considerar a relação entre eles, as características específicas da Unidade Auditada e definir a melhor estratégia de atuação, já na etapa de elaboração do Plano de Auditoria Interna. Avaliação e consultoria

A avaliação e a consultoria são as duas vertentes típicas da atividade de auditoria interna e, por esse motivo, serão abordadas em seções específicas a seguir, ainda neste capítulo. Ambas se complementam para atingir o objetivo de agregar valor às organizações.

A apuração cumpre, juntamente com a avaliação e a consultoria, papel extremamente relevante, visto contribuir para que se apresentem respostas efetivas às violações de integridade, atendendo, dessa forma, a uma forte expectativa social. Não constitui uma função típica de auditoria interna governamental e vem sendo desenvolvida pelas UAIG que compõem o SCI, por força da Lei nº 10.180, de 2001; por esse motivo, será abordada no segundo capítulo.

AVALIAÇÃO

O trabalho de avaliação, como parte das atividades de auditoria interna, pode ser definido como a obtenção e a análise de evidências com o objetivo de fornecer opiniões ou conclusões independentes sobre um objeto de auditoria.

A Constituição Federal de 1988 prevê que esse tipo de trabalho seja realizado sobre temas variados, tais como: cumprimento das metas previstas no plano plurianual; execução dos programas de governo e dos orçamentos da União; legalidade, economicidade, eficiência e eficácia da gestão orçamentária, financeira e patrimonial nos órgãos e nas entidades da Administração Pública; e regularidade da aplicação de recursos públicos por entidades de direito privado. Desses temas, podem ser extraídos diversos objetos de auditoria, sobre os quais as equipes opinarão, por meio dos trabalhos de avaliação.

Tipos de serviço de avaliação

As características do objeto de auditoria, bem como os objetivos e a delimitação do escopo do trabalho são determinantes para a definição do tipo de avaliação que será realizado. Tradicionalmente, são classificados três tipos básicos , , sendo perfeitamente possíveis tanto o uso individual de um tipo como a combinação entre eles.

Financeira ou de Demonstrações Contábeis: busca a obtenção e a avaliação de evidências a respeito das demonstrações contábeis de um órgão ou de uma entidade para emitir opinião indicando se sua apresentação está adequada e de acordo com os princípios contábeis. Tem como finalidade proporcionar certeza razoável de que as demonstrações contábeis, portanto, são apresentadas em conformidade com os princípios de contabilidade válidos para aquela unidade.

Conformidade ou Compliance: visa à obtenção e à avaliação de evidências para verificar se certas atividades financeiras ou operacionais de um objeto de auditoria selecionado obedecem às condições, às regras e aos regulamentos a ele aplicáveis.

Operacional ou de Desempenho: obtém e avalia evidências a respeito da eficiência e da eficácia das atividades operacionais de um objeto de auditoria, podendo ser este, por exemplo, um órgão ou uma entidade, um departamento, uma política pública, um processo ou uma atividade. Possui a finalidade de verificar se os objetivos estabelecidos vêm sendo alcançados. Fornece análises objetivas para auxiliar a administração a melhorar seu desempenho e suas operações, reduzir custos, facilitar a tomada de decisões e de medidas corretivas pelas partes responsáveis. Esse tipo de avaliação envolve uma variedade de temas e de metodologias.

Aprimoramento da governança, do gerenciamento de riscos e dos controles internos da gestão

Além de avaliar os aspectos citados anteriormente, o trabalho de avaliação deve buscar fomentar os processos de governança, de gerenciamento de riscos e de controles internos relativos ao objeto e à Unidade Auditada, os quais mantêm forte relação entre si. Também constituem objetivos das equipes de auditoria, portanto, avaliar a eficácia desses três processos e contribuir para o seu aprimoramento.

Dessa forma, a UAIG deve atuar sobre a governança avaliando se esta atinge seus objetivos, tais como: promoção da ética e de valores; gerenciamento do desempenho organizacional e accountability; comunicação sobre riscos e controles aos demais atores da Unidade Auditada; e coordenação das atividades e comunicação das informações entre o conselho, se houver, os auditores externos e internos e a Administração.

Quanto ao gerenciamento de riscos, a UAIG atua avaliando questões como: se os riscos significativos são identificados e avaliados; se as respostas aos riscos são estabelecidas de forma compatível com o apetite a risco da Unidade Auditada e se as informações sobre riscos relevantes são coletadas e comunicadas de forma oportuna, permitindo que os responsáveis cumpram com as suas obrigações. Ademais, a equipe de auditoria deve buscar identificar potenciais riscos de fraude e verificar se a organização possui controles para tratamento desses riscos.

Em relação aos controles internos da gestão, a avaliação deve considerar os seguintes componentes: ambiente de controle, avaliação de riscos, atividades de controle, informação e comunicação e atividades de monitoramento. Também é preciso verificar se os controles são efetivos e eficazes na mitigação dos riscos a eles associados, considerando como atua a alta administração na sua prerrogativa de responsável pela implementação de controles e posterior supervisão do seu funcionamento. A avaliação sobre os controles deve contemplar o alcance dos objetivos estratégicos; a confiabilidade e a integridade das informações; a salvaguarda de ativos e aspectos de conformidade com leis e regulamentos, entre outros.

Ademais, ainda no intuito de avaliar a eficácia da governança, do gerenciamento de riscos e dos controles internos e de contribuir para o aprimoramento da gestão, a UAIG deve definir qual a melhor abordagem de avaliação, ou seja, qual será sua estratégia de atuação sobre essas três dimensões. Entre as possíveis abordagens, pode-se citar:

a) avaliações em estruturas, processos ou atividades relacionadas a cada uma das dimensões acima. Para exemplificar, utilizando apenas governança, em um trabalho poder-se-ia avaliar o funcionamento do conselho ou de um comitê; numa segunda auditoria, seriam avaliadas as políticas e medidas de integridade. Tais avaliações se somariam para emissão de opinião, por parte da UAIG, sobre governança;

b) avaliação única para cada dimensão que inclua todos os seus processos, estruturas ou atividades. Retomando o exemplo anterior, seriam avaliados de uma só vez o desenho e o funcionamento de todos os aspectos relativos à governança em uma única auditoria;

c) incorporação de componentes de governança, de gerenciamento de riscos e de controles internos nas avaliações dos objetos de auditoria que compõem o Plano de Auditoria Interna. Pode-se citar como exemplo um plano que inclua como objetos de auditoria um departamento, um programa governamental e um sistema. Na avaliação de cada um desses objetos, seriam exploradas as três dimensões citadas.

ETAPAS DA AVALIAÇÃO

A avaliação é composta basicamente das seguintes etapas: planejamento, execução, comunicação dos resultados e monitoramento, contudo, é importante ressaltar que não há uma divisão rígida entre elas. Como exemplos da flexibilidade entre as etapas, pode-se citar: a revisão do planejamento inicial, que pode ocorrer após o início da execução; uso de algumas técnicas de auditoria, que seriam tipicamente utilizadas na etapa de execução, ainda no planejamento, para obter subsídios suficientes para programar um trabalho; e a comunicação de fatos relevantes apurados, diretamente ao auditado, ainda durante a execução da auditoria. A seguir, será apresentado um panorama geral de cada uma dessas etapas, cujo detalhamento está registrado na seção 4.3 e nos capítulos 5, 6 e 7 deste Manual.

Planejamento

Em geral, um trabalho individual de avaliação deriva de um planejamento global, realizado anteriormente pela UAIG, para um período específico. A IN SFC nº 03, de 2017, define que deve ser estabelecido um Plano de Auditoria Interna baseado em riscos, levando-se em conta os objetivos estratégicos, as prioridades e as metas da Unidade Auditada, bem como os riscos a que seus processos estão sujeitos.

A IN SFC nº 03, de 2017, prevê também a necessidade de planejamento do trabalho individual de auditoria. Para tanto, são realizados levantamentos preliminares e análise dos principais riscos e das medidas de controles existentes, para se chegar ao objetivo daquela avaliação e à delimitação do escopo. Nesse contexto, define-se a quais questões sobre o objeto auditado aquele trabalho específico pretende responder.

Nessa fase, são definidos, ainda, os testes a serem executados e as técnicas que serão utilizadas, os quais comporão o programa de trabalho. Ademais, com base nas necessidades levantadas, é possível adotar medidas para prover os recursos humanos e os materiais necessários à execução da atividade.

Execução

A etapa de execução consiste em colocar em prática o programa de trabalho. Serão realizados os testes previstos, por meio das técnicas de auditoria selecionadas, e registrados os achados da equipe de auditoria, com base nos resultados obtidos. Os achados possibilitarão responder às questões de auditoria levantadas na fase de planejamento, atendendo ao objetivo estabelecido inicialmente para a avaliação.

Nesse processo de coleta e de análise de dados, a equipe de auditoria irá comparar a situação encontrada com os critérios preestabelecidos no programa de trabalho. Os resultados dessa comparação, ou seja, os achados de auditoria, deverão estar apoiados em evidências suficientes, confiáveis, fidedignas, relevantes e úteis.

É imprescindível que, durante todo o processo de auditoria, haja comunicação clara e eficiente com o auditado, obtendo junto a ele as informações necessárias ao trabalho, bem como fornecendo informações sobre os achados identificados pela equipe de auditores. Após a elaboração dos achados de auditoria, estes devem ser discutidos com a Unidade Auditada.

Em decorrência dos achados, podem ser emitidas recomendações, cujas propostas também devem ser apresentadas e debatidas com o auditado, a fim de se estabelecerem conjuntamente as medidas mais adequadas para mitigar as causas dos pontos levantados, bem como para proporcionar um ambiente de discussão e de entendimento mútuo.

Comunicação dos resultados

Após finalizar a etapa de execução, é necessário que a UAIG comunique o resultado final dos seus trabalhos. É pertinente discorrer sobre situações encontradas, análises realizadas, conclusões obtidas, opiniões geradas e recomendações efetuadas referentes ao objeto da auditoria. Nos trabalhos de avaliação, o destinatário principal é a alta administração, sem prejuízo do encaminhamento às demais partes interessadas. A comunicação final dos resultados deve também ser publicada na Internet, em observância ao princípio da publicidade consignado na Constituição Federal, ressalvados os casos previstos em lei.

Monitoramento

Encerradas as fases de planejamento, de execução e de comunicação dos resultados, tem-se uma fase de extrema importância: o monitoramento da implementação das recomendações emitidas.

Tal atividade deve ser realizada permanentemente para garantir a efetividade do trabalho de avaliação, que se alcança por meio da implementação das recomendações, as quais devem ser previamente acordadas com a alta administração. É necessário verificar se houve ganho de desempenho nos objetos avaliados a partir das recomendações e averiguar os motivos para a eventual falta de implementação do que tenha sido anteriormente pactuado. Faz-se igualmente importante registrar e medir os benefícios financeiros e não financeiros obtidos por meio da atividade de auditoria interna, tendo em vista que, se o objetivo de toda UAIG é agregar valor à gestão, é imprescindível que seja verificado se tal finalidade está sendo alcançada. Esse mecanismo confere maior transparência aos resultados alcançados pela UAIG.

CONSULTORIA

Por meio dos trabalhos que executam, os auditores internos governamentais entram em contato com uma grande variedade de temas essenciais para o funcionamento das organizações. Ademais, por intermédio de suas análises e recomendações, normalmente demonstram conhecimento a respeito de normas e de outros temas complexos e relevantes para as unidades, como controles internos e riscos. Diante disso, é possível que a alta administração da Unidade Auditada entenda ser oportuno consultar, aconselhar-se com ou contar com o apoio dos auditores sobre esses e outros assuntos com os quais eles lidam no seu dia a dia. Esse tipo de serviço prestado pelos auditores em resposta à solicitação das Unidades Auditadas denomina-se consultoria.

O serviço de consultoria é uma atividade de auditoria interna governamental que consiste em assessoramento, aconselhamento e outros serviços relacionados fornecidos à alta administração com a finalidade de respaldar as operações da unidade. Em regra, é prestado em decorrência de solicitação específica do órgão ou da entidade da Administração Pública Federal, ou ainda de órgão ou colegiado interministerial com competência para avaliação e monitoramento da ação governamental ou com papel de fortalecimento da governança, da gestão de riscos e dos controles internos do Poder Executivo Federal. Os trabalhos de consultoria devem abordar assuntos estratégicos da gestão, e sua natureza e seu alcance, acordados previamente.

As finalidades desse tipo de serviço são agregar valor à organização e melhorar os seus processos de governança, de gestão de riscos e de controles internos, de forma condizente com os valores, as estratégias e os objetivos da Unidade Auditada, sem que o auditor interno governamental assuma qualquer responsabilidade que seja da administração.

Por meio de consultorias, é possível à UAIG:

a) contribuir para o aperfeiçoamento das políticas públicas e da atuação das organizações que as gerenciam, por exemplo, assistindo a unidade no processo de desenho ou de redesenho de programas e de sistemas;

b) auxiliar os órgãos e as entidades do Poder Executivo Federal na estruturação e no fortalecimento da primeira e da segunda linhas de defesa da gestão;

c) apoiar os órgãos e as entidades do Poder Executivo Federal na identificação de metodologias de gestão de riscos e de controles;

d) promover a capacitação e a orientação da Unidade Auditada.

Tipos de Serviços de Consultoria

Os serviços de consultoria compreendem atividades de assessoramento, de aconselhamento, treinamento e de facilitação. Essas atividades podem ser adaptadas para atender a problemas específicos identificados pela Unidade Auditada, desde que não comprometam a autonomia técnica da UAIG e a objetividade dos auditores internos governamentais.

Assessoramento/Aconselhamento

Os serviços de assessoramento e de aconselhamento geralmente caracterizam-se pela proposição de orientações em resposta a questões formuladas pela gestão. Podem decorrer de mudanças de cenário (externo e/ou interno) das organizações. Tais serviços não se destinam a responder questionamentos que ensejem pedidos de autorização ou de aprovação, como “posso fazer? ” e “sim ou não? ”, pois a tomada de decisão é competência exclusiva do gestor, devendo essa atividade ser mais uma fonte de informações a subsidiar sua decisão.

Os serviços dessa natureza são os que geralmente mais se aproximam dos trabalhos de avaliação, quando comparados com seu processo de operacionalização. Visam a responder questões como:

a) quais padrões de controle podem ser desenvolvidos para tratamento dos riscos de determinado processo de trabalho?

b) quais os riscos e as implicações para o controle das operações que a implementação de um novo sistema informatizado pode trazer?

c) quais são as opções para aumentar a eficiência e a segurança de um determinado processo de trabalho?

d) quais alternativas no desenho de determinada política pública devem ser avaliadas pela gestão antes de sua implementação?

e) quais são as medidas para aprimorar o processo de governança organizacional?

Questões dessa natureza são o ponto de partida para que os serviços de consultoria ofereçam respostas com alto potencial de contribuição efetiva à gestão e que de fato possam adicionar valor às organizações públicas. Contudo, é imprescindível que o escopo e o cronograma estejam objetivamente definidos e que, portanto, sejam estabelecidos limites para o seu desenvolvimento, os quais podem ser ajustados em decorrência de informações reveladas ao longo do trabalho.

Treinamento

Os serviços de treinamento decorrem da identificação pelos auditores ou pelos gestores de oportunidades ou de necessidades de melhoria em processos de trabalho que podem ser proporcionadas por meio de atividades de capacitação conduzidas pela UAIG. Não obstante, para se caracterizar como um serviço de consultoria, os treinamentos devem ter como objetivo o aperfeiçoamento dos processos de governança, de gerenciamento de riscos e a implementação de controles internos na organização.

Serviços de consultoria dessa natureza geralmente requerem:

a) análise de projetos bem-sucedidos da organização após sua conclusão, utilizando-os como subsídios para outros projetos;

b) benchmarking de áreas ou atividades, comparando-as com as de outras organizações do mesmo ramo de negócios (tais como universidades e hospitais públicos).

Facilitação

Assim como nos treinamentos, os serviços de facilitação têm como base os conhecimentos dos auditores internos relativos à governança, ao gerenciamento de riscos e aos controles internos. Nessa atividade, os auditores internos governamentais utilizam seus conhecimentos para facilitar discussões sobre esses temas, sendo necessário, portanto, um maior envolvimento com a atividade em questão. Consequentemente, também ao realizar serviços dessa natureza, o auditor interno governamental deve abster-se de assumir qualquer responsabilidade que seja da gestão da Unidade Auditada. Serviços de consultoria dessa natureza, geralmente, consistem em:

a) facilitar o processo de avaliação de riscos da organização;

b) facilitar a autoavaliação de governança e de controles internos;

c) facilitar o processo de redesenho de controles e de procedimentos para uma nova área ou processo em transformação ou, ainda, para criação, expansão ou aperfeiçoamento de política pública;

d) mediação de discussões sobre controles e processos de negócio importantes para o alcance dos objetivos da organização.

Embora exista uma clara delimitação entre os objetivos dos tipos de consultoria descritos acima, eles não são mutuamente excludentes, podendo coexistir em um mesmo trabalho.

Inclusão dos Serviços de Consultoria no Plano de Auditoria Interna

Os serviços de consultoria prestados pelas UAIG normalmente se originam de:

a) demandas oriundas da alta administração ou do conselho;

b) trabalhos identificados durante o processo de avaliação de riscos realizado pela UAIG, seja na etapa de estabelecimento do Plano de Auditoria Interna, seja durante o planejamento dos trabalhos individuais;

c) surgimento de condições novas ou em transformação na Unidade Auditada que mereçam a atenção da UAIG.

Para a inclusão de trabalhos de consultoria no Plano de Auditoria Interna, os seguintes fatores devem ser levados em consideração:

a) quando a demanda pelo trabalho de consultoria for da Unidade Auditada, a solicitação deve ser efetuada apenas pela alta administração da Unidade Auditada ou pelo conselho, ou ainda por órgão ou colegiado interministerial com competência para avaliação e monitoramento da ação governamental, ou ainda com papel de fortalecimento da governança, gestão de riscos e controles do Poder Executivo Federal;

b) quando o trabalho de consultoria for proposto pela UAIG, essa deve sensibilizar a alta administração da Unidade Auditada quanto à relevância do trabalho a ser realizado, o qual somente será incluído no Plano Anual se houver a concordância por parte da alta administração;

c) a seleção de trabalhos de consultoria para inclusão no plano também deve ser feita de acordo com a magnitude dos riscos associados aos objetos desses serviços;

d) se os potenciais resultados desses trabalhos contribuem para a melhoria dos processos de governança, de gerenciamento de riscos e de controles internos da Unidade Auditada;

e) se os auditores internos governamentais possuem conhecimento, habilidades ou outras competências necessárias à realização do serviço de consultoria;

f) se os serviços de consultoria propostos poderão gerar potenciais prejuízos à autonomia técnica da UAIG ou à objetividade do auditor;

g) o custo do trabalho de consultoria em relação aos potenciais benefícios;

h) a capacidade operacional da UAIG.

Etapas da Consultoria

Em geral, o processo de realização de consultoria, principalmente os trabalhos de assessoramento/aconselhamento, tem o fluxo similar ao de um trabalho de avaliação. Nesse sentido, devem ser observadas as orientações previstas na seção 4.3 e nos capítulos 5, 6 e 7 deste Manual, as quais devem ser aplicadas, quando apropriado. Contudo, há considerações específicas sobre o processo de consultoria, as quais serão apresentadas a seguir.

Planejamento

Antes de iniciar o trabalho de consultoria, a UAIG e a Unidade Auditada devem formalizar entendimento que defina as principais características dos serviços a serem prestados pela UAIG. Nesse documento, as partes devem definir os seguintes aspectos em comum acordo:

a) objetivos (relativos a: governança, gestão/gerenciamento de riscos e/ou controles internos);

b) natureza dos serviços (assessoria/aconselhamento, facilitação e/ou treinamento);

c) escopo (suficiente para abordar os objetivos acordados previamente);

d) prazo;

e) expectativas das partes;

f) responsabilidades das partes;

g) como e quando dar-se-á a comunicação de progresso e de resultados ao solicitante do trabalho;

h) forma de monitoramento das recomendações emitidas no final do trabalho, se houver;

i) outros aspectos que sejam fundamentais para a caracterização do trabalho.

Com relação à etapa de planejamento dos serviços de consultoria, é importante destacar que:

a) os objetivos dos trabalhos de consultoria devem estar relacionados aos processos de governança, de gerenciamento de riscos e de controles na extensão previamente acordada com a Unidade Auditada e devem ser consistentes com os seus valores, estratégias e objetivos;

b) os auditores internos devem assegurar que o escopo do trabalho seja suficiente para alcançar os objetivos previamente acordados, zelando para que eventuais alterações ou restrições quanto ao escopo sejam apropriadamente discutidas e acordadas com a Unidade Auditada;

c) o programa de trabalho pode variar na forma e no conteúdo de acordo com a natureza do trabalho.

Execução

Durante a realização dos trabalhos, os auditores internos governamentais devem analisar os processos de governança, de gerenciamento de riscos e de controles internos de forma consistente com os objetivos da consultoria, a fim de identificar pontos significativos que devam ser considerados e comunicados à alta administração e ao conselho, se houver.

No entanto, se os pontos significativos identificados envolverem fatos inquinados de ilegais ou irregulares, praticados por agentes públicos ou privados no âmbito da Unidade Auditada, a equipe de auditoria deverá levar tal situação ao conhecimento do supervisor do trabalho, para análise em conjunto e definição das medidas a serem adotadas, inclusive quanto à possibilidade de suspensão ou interrupção dos serviços de consultoria e à realização de outros tipos de trabalho relativos a tais fatos, se for o caso.

Comunicação dos resultados

As comunicações sobre o andamento e os resultados dos trabalhos podem variar na forma e no conteúdo, de acordo com os objetivos, o escopo e o propósito de cada trabalho. Tendem a não seguir padrões pré-determinados, especialmente em trabalhos de facilitação e de treinamento. A definição da forma de comunicação deve constar do entendimento formal firmado entre a UAIG e a Unidade Auditada antes de iniciar o trabalho.

As comunicações, especialmente a final, são apresentadas à alta administração da Unidade Auditada, a quem cabe a decisão de apresentá-las a outros interessados. À alta administração também podem ser apresentadas comunicações de progresso durante a realização do trabalho. As UAIG deverão promover a divulgação na Internet dos resultados dos trabalhos de consultoria, como instrumento de accountability da gestão pública e atendimento ao princípio da publicidade consignado na Constituição Federal, observando inclusive o disposto nos arts. 5º e 6º do Decreto nº 7.724, de 16 de maio de 2012. Entretanto, por possuírem caráter preparatório, os resultados da consultoria, utilizados como fundamento de tomada de decisão ou de ato administrativo, terão acesso ou divulgação assegurados a partir da edição do ato ou da decisão pela Unidade Auditada, conforme previsto no art. 20 do mesmo decreto.

Monitoramento

A forma de monitoramento de recomendações, nos casos em que essas forem emitidas, deve ser pactuada entre a UAIG e a Unidade Auditada antes do início dos trabalhos e dependerá de diferentes fatores, como o interesse do gestor público no monitoramento a ser realizado pela UAIG, os riscos de não implementação ou o valor da recomendação para a organização.

Se for o caso, a comunicação final deve conter registro indicando que o monitoramento das recomendações ocorrerá e como será feito.

Consultoria e Avaliação: Semelhanças e Diferenças

A principal diferença entre a avaliação e a consultoria consiste na origem da demanda: a própria UAIG, no primeiro caso, e a alta administração da unidade, no segundo caso. Esse aspecto, que a princípio pode ser considerado como um detalhe, possibilita, nos trabalhos de consultoria, que os auditores contem com uma disposição mais favorável por parte dos gestores, fato que geralmente favorece o consenso entre auditores e auditados.

A demanda também é capaz de influenciar o enfoque dado ao problema: a avaliação, em muitos casos, visa primeiramente a identificar o problema para, em momento posterior, buscar as soluções; nos trabalhos de consultoria, como normalmente o problema já foi identificado pelo gestor, de modo geral, o foco recai diretamente sobre a solução.

Tendo em vista que os trabalhos de consultoria, em sua grande maioria, estão relacionados à estruturação/revisão de processos, de políticas ou de procedimentos, o envolvimento da auditoria interna nessas iniciativas de mudança pode contribuir para o estabelecimento de processos eficazes e eficientes desde o momento de sua implantação, o que garante a essa atividade um caráter fortemente preventivo.

Há situações em que esses dois tipos de serviços apresentam uma fronteira bem demarcada. Podese citar como exemplos, por um lado, uma avaliação que tenha como finalidade emitir parecer sobre as contas da unidade e, por outro lado, uma consultoria prestada pelos auditores a respeito de uma política pública que será implementada. No primeiro caso, o escopo é previamente definido pela UAIG, que realiza o trabalho com vistas a informar ao controle externo se a administração atuou adequadamente na gestão dos recursos públicos a ela confiados. No segundo caso, os auditores têm como finalidade auxiliar o gestor a encontrar as melhores alternativas para a implantação da política pública que se constitui como objeto de consultoria. Portanto, ainda não há erros a serem apontados.

Em muitos casos, porém, ambos os serviços chegam a se confundir. Como exemplo, pode-se citar a emissão de recomendações estruturantes em resposta a fragilidades encontradas nos controles da Unidade Auditada por meio de um trabalho de avaliação. Nesse caso, pode ser necessário que os auditores prestem esclarecimentos e, eventualmente, até promovam capacitação sobre o objeto da recomendação.

As atividades de avaliação e de consultoria, em sua essência, portanto, não se opõem: ambas têm como finalidade agregar valor à gestão e podem se utilizar de técnicas e estratégias semelhantes.

Para fins didáticos, no entanto, alguns aspectos distintos entre os serviços de avaliação e os de consultoria são apresentados de forma resumida no quadro a seguir.

QUADRO 1 – Aspectos distintos entre Avaliação e Consultoria

QUADRO 1

Fonte: elaboração própria.

APURAÇÃO

A apuração consiste na execução de procedimentos cuja finalidade é averiguar atos e fatos inquinados de ilegalidade ou de irregularidade praticados por agentes públicos ou privados, na utilização de recursos públicos federais. Trata-se de competência em sintonia com a essência das normas e dos regulamentos aplicáveis ao SCI, no sentido precípuo de zelar pela correta aplicação de recursos públicos, ainda que, em alguns casos, exija atuação específica e diferenciada dos serviços típicos da atividade de auditoria interna.

Essa competência foi atribuída pela Lei nº 10.180, de 2001, aos órgãos e unidades do SCI, portanto, em princípio, não cabe às unidades singulares de Auditoria Interna. Contudo, tal responsabilidade pode também ser atribuída às Audin tanto por força de normativo, como por decisão da alta administração. Ademais, em que pese o dispositivo legal não ter sido explícito quanto às Audin, por definição, a atividade de auditoria interna governamental prevê que os auditores internos governamentais devem: a) estar alertas a situações ou transações que possam caracterizar indícios de fraude ou de ilegalidades, ainda que não possuam estrutura específica de apuração; b) possuir conhecimentos suficientes sobre os principais riscos de fraudes, bem como a predisposição para identificá-los adequadamente, verificando, inclusive, se a organização possui controles para o seu devido tratamento; c) quando houver indícios suficientes, realizar o adequado e tempestivo encaminhamento das informações às instâncias competentes.

Quando incumbidos apenas da prestação de serviços de avaliação e de consultoria, entretanto, não se espera, que os auditores internos governamentais tenham a especialização de uma pessoa cuja principal responsabilidade seja apurar fraudes.

ERRO e FRAUDE

Os atos e os fatos inquinados de ilegais ou irregulares, a que se refere a Lei 10.180, de 2001, podem constituir erro ou fraude. De acordo com a IN SFC nº 03, de 2017, fraudes são quaisquer atos ilegais caracterizados por desonestidade, dissimulação ou quebra de confiança. De acordo com a NBC TA 240, a fraude é “o ato intencional de um ou mais indivíduos da administração, dos responsáveis pela governança, empregados ou terceiros, que envolva dolo para obtenção de vantagem injusta ou ilegal”. Quanto ao erro, esse constitui ato não-voluntário, não-intencional, resultante de omissão, desconhecimento, imperícia, imprudência, desatenção ou má interpretação de fatos na elaboração de documentos, registros ou demonstrações. Nesses casos, verifica-se apenas culpa, pois não está caracterizada a intenção de causar dano.

Observa-se, portanto, que a intenção do agente é um fator distintivo entre as duas situações. Espelhada nesses conceitos, a apuração, no contexto do SCI, subdivide-se em apuração de erro e apuração de fraude.

A apuração de erro é cabível quando os elementos e informações disponíveis a respeito dos atos ou fatos inquinados de ilegais ou irregulares indicarem que esses foram praticados de forma não intencional por agentes públicos ou privados, na utilização de recursos públicos federais. À luz dos serviços prestados pela atividade de auditoria interna governamental, a apuração de erro pode ser tratada como um trabalho individual de avaliação e seguir as orientações das etapas de planejamento, execução, comunicação e monitoramento desse tipo de trabalho. É preciso, porém, que os auditores estejam atentos às seguintes especificidades:

a) o trabalho deve ser planejado com vistas a atender aos objetivos da demanda que o originou;

b) o auditor interno governamental deve confirmar formalmente com o demandante do trabalho se há restrições de sigilo. Eventuais restrições devem ser observadas durante toda a condução dos trabalhos, principalmente, na divulgação de informações, tanto na interlocução com a Unidade Auditada quanto na comunicação e na publicação dos resultados.

A apuração de fraude é aplicável quando houver suspeita de que os atos e fatos inquinados de ilegais ou irregulares, praticados por agentes públicos ou privados, na utilização de recursos públicos federais, sejam intencionais, isto é, sejam caracterizados por desonestidade, dissimulação ou quebra de confiança.

A fraude pode envolver esquemas sofisticados e cuidadosamente organizados para sua ocultação, de forma que os procedimentos de auditoria aplicados para coletar evidências podem ser ineficazes para a detecção de distorção relevante que envolva, por exemplo, conluio para a falsificação de documentação.

Assim, um trabalho de apuração de fraude tem diferenças básicas em relação a um trabalho de apuração de erro ou de avaliação, pois seu planejamento se baseia em uma suspeita (fundamentada) de fraude; objetiva produzir material para um processo judicial ou administrativo e tem por escopo possível irregularidade ou ilegalidade decorrente de atos ou fatos intencionais. O planejamento da apuração de erro se baseia em elementos que indicam a existência de erro; objetiva a correção da situação, caso se comprove, por meio de recomendações e tem por escopo possível irregularidade ou ilegalidade decorrente de fatos não intencionais. Já o planejamento da avaliação é comumente baseado em riscos, abrange aspectos amplos de gestão e tem como base uma presunção de legalidade dos atos.

ORIGEM DOS TRABALHOS

A origem do trabalho de apuração pode ser tanto interna quanto externa à UAIG. Exemplos de origem interna incluem alertas de processos de auditoria contínua, informações obtidas na execução de outros trabalhos com objetivos e escopo diversos ou levantamentos realizados pela UAIG a partir de notícias. A origem externa pode decorrer de denúncia e de requisições de outros órgãos e entidades que possuam essa prerrogativa. Conforme será explorado no capítulo referente ao planejamento da auditoria interna governamental, a aceitação de uma demanda extraordinária, a exemplo da apuração, para o período do Plano Anual de Auditoria Interna em andamento, ensejará a repactuação das atividades previstas, com consequente exclusão de algum trabalho planejado, caso não exista reserva técnica disponível.

APURAÇÃO de FRAUDE

Todos na organização têm um papel a desempenhar na manutenção de um ambiente íntegro e, consequentemente, no combate à fraude. A alta administração, no entanto, é a principal responsável pela prevenção à fraude, pois cabe a ela o mapeamento dos riscos e o estabelecimento dos respectivos controles internos da gestão, que devem ser adequados aos riscos existentes. Cabe a ela também estabelecer as políticas e as normas referentes ao tema. Assim sendo, ela é responsável por garantir que a fraude não ocorra.

A alta administração também é responsável por garantir que as suspeitas de fraude sejam devidamente investigadas e solucionadas, por meio da designação da área responsável pela apuração e do provimento de recursos para que esta área funcione. A partir do resultado de uma apuração, caberá à alta administração, ainda, implementar medidas preventivas e corretivas, conforme as recomendações e as determinações de outros órgãos de defesa do Estado decorrentes do referido trabalho.

No decorrer da execução de trabalhos de auditoria em que seja identificado indício de fraude, o auditor interno governamental deve discutir com o supervisor do trabalho, a fim de avaliar se há elementos indicativos suficientes para que se inicie a apuração de fraude ou se antes é necessário o aprofundamento das análises. Quando houver elementos suficientes para iniciar uma apuração de fraude, o supervisor deve submeter o caso às instâncias competentes, conforme definido nos processos internos da UAIG.

Seja de origem interna ou de origem externa, quando forem identificados elementos que indiquem ter ocorrido uma transgressão, a UAIG deve, se assim deliberarem as instâncias competentes, começar uma apuração. Nesses casos, a UAIG estruturará tal atividade, providenciando o desenvolvimento de controles sobre o processo de apuração de fraude, a fim de evitar vazamento de informações, incluindo a elaboração de procedimentos eficazes, a obtenção e a preservação de evidências suficientes e adequadas sobre as transgressões, e a comunicação dos resultados. É importante que o processo de apuração seja desenvolvido, no que couber, em conformidade com as orientações estabelecidas neste Manual.

A evidenciação dos esquemas de fraude, por vezes, necessita da aplicação de meios que extrapolam o conhecimento comum e as prerrogativas legais da atividade de auditoria interna governamental. A equipe de apuração, com o objetivo de manter a sua proficiência, deve obter conhecimentos e habilidades suficientes sobre esquemas de fraude, técnicas de investigação e legislação aplicável , bem como buscar apoio especializado e primar pelo bom relacionamento com as demais instituições de defesa do Estado.

Desse modo, é comum a atuação conjunta com órgãos parceiros, a fim de promover o intercâmbio de informações e de estabelecer ações integradas ou complementares para proporcionar maior efetividade à apuração de fraude.

Tipos de Fraudes

As condutas previstas nos dispositivos legais relativos às punições administrativas, civis e penais, servem para ilustrar os tipos de fraude que podem ser praticadas contra a Administração Pública, apesar de não ser papel do auditor interno governamental efetuar a tipificação ou o julgamento. São exemplos: os crimes da Lei de Licitações , notadamente o caso da fraude ao caráter competitivo do certame; crimes previstos no Código Penal , como a concussão e a corrupção passiva; atos ímprobos da Lei de Improbidade Administrativa , como a percepção de benefício por agente público atingido ou amparado por ação ou omissão de suas atribuições e os atos lesivos contra a Administração Pública previstos na Lei Anticorrupção.

A fraude pode ainda estar combinada a outros crimes mais gerais, como o de associação criminosa, previsto na Lei das Organizações Criminosas , e de lavagem ou ocultação de bens, direitos e valores, tipificado na Lei de Lavagem de Dinheiro.

Etapas da Apuração de Fraude

A realização da apuração de fraude, assim como as demais atividades da função de auditoria interna governamental, tem a sua realização dividida nas etapas de planejamento, execução, comunicação dos resultados e monitoramento. Antes do planejamento, entretanto, devido às suas especificidades, normalmente tem-se a apuração preliminar. A seguir são apresentadas as peculiaridades e as considerações relevantes sobre cada etapa.

Apuração preliminar

A apuração se inicia normalmente com base na "alegação de fraude". Esse documento deve conter as informações conhecidas sobre o suposto caso de fraude. De modo geral, consiste em uma denúncia de um membro da própria organização ou da sociedade, um caso compartilhado por outra instituição de defesa do patrimônio público ou, ainda, uma situação encontrada na execução dos serviços prestados pela atividade de auditoria interna.

Uma apuração de fraude só deve iniciar quando houver informações suficientes que levariam um indivíduo prudente, com conhecimento razoável e treinado profissionalmente, a acreditar que uma fraude ocorreu, está ocorrendo ou possa vir a ocorrer.

O auditor interno governamental deve, portanto, realizar a apuração preliminar da alegação de fraude com o objetivo de formar opinião sobre a real possibilidade de sua ocorrência. No decorrer da análise, o auditor deve pesquisar e confrontar as informações sobre o possível fato com dados de trabalhos passados, sistemas de informação, fontes abertas e outros meios a que tiver acesso.

A apuração preliminar deve indicar, com base nas informações produzidas, se é possível ter razoável segurança de que os fatos expostos na alegação possam ser verdadeiros e justificam a necessidade de um trabalho de apuração de fraude, ou se, por outro lado, as informações são infundadas ou insuficientes para dar continuidade ao trabalho e/ou, minimamente, para comunicar o caso às autoridades competentes. O resultado deve ser documentado, incluindo as novas informações obtidas, a proposta de atuação e, se for o caso, a proposta de comunicação a outras instituições.

Planejamento

O responsável pela apuração deve, se possível, elaborar o plano da apuração em conjunto com todos os integrantes da equipe, de forma a aproveitar o conhecimento, as habilidades e as competências do grupo. O plano deverá ser aprimorado durante a execução do trabalho, à medida que novos fatos sejam conhecidos e que as estratégias sejam atualizadas.

A estrutura da apuração de fraude varia de acordo com os fatos e as circunstâncias apurados. Contudo, alguns pontos comuns devem ser considerados na elaboração de todo plano de apuração. São eles: o resultado da análise preliminar da alegação de fraude; os objetivos da apuração; quem será mantido informado; o escopo; as responsabilidades dos envolvidos; o cronograma; a necessidade de participação de outras instituições públicas que atuam na defesa do patrimônio público; a forma de atuação; os recursos necessários, entre outros.

O plano de apuração de fraude deve ser elaborado para orientar o trabalho no sentido de concluir se a fraude foi, está sendo ou poderá vir a ser cometida, quais as pessoas envolvidas, como foi perpetrada, a motivação, a extensão e quais fragilidades nos controles internos da gestão permitiram a violação. Deverá também estabelecer os procedimentos necessários à máxima reunião de elementos probatórios disponíveis e admitidos no Direito, para fundamentar eventuais ações de ressarcimento e de responsabilização contra os envolvidos.

Se houver a cooperação com outras instituições, é importante que atividades, estimativas de prazos, responsáveis e contatos de cada uma estejam claros no plano de apuração, a fim de que os resultados esperados sejam alcançados.

Execução

Os procedimentos específicos para obtenção de evidência empregados na apuração de fraude irão variar com base na situação específica e nas metas definidas pela equipe. Os procedimentos investigativos comuns incluem:

a) trabalhos individuais de avaliação;

b) vigilância;

c) entrevistas;

d) análise de dados e documentos.

Os trabalhos individuais de avaliação devem seguir, no que couber, as etapas previstas nos capítulos 5, 6 e 7 deste Manual, tendo como base os objetivos definidos no plano de apuração de fraude. Nesse tipo de trabalho, o auditor interno governamental buscará evidenciar a ocorrência dos supostos atos ou fatos inquinados de ilegais ou irregulares. Devem ser observadas eventuais restrições estabelecidas sobre a divulgação de informações relativas ao trabalho, tanto na interlocução com a Unidade Auditada quanto na comunicação e na publicação dos resultados, tendo em vista que, em regra, as apurações de fraude envolvem informações sigilosas e são realizadas sob segredo de justiça.

A vigilância envolve observar as atividades de determinados indivíduos sem o seu conhecimento.29 Pode ser considerada pelos auditores como metodologia regular e legítima para viabilizar a evidenciação de fraude, porém, o auditor interno governamental deve receber treinamento específico, caso seja designado para desempenhá-la, dado que sua execução compreende riscos, inclusive de integridade física. Comumente é realizada por autoridades policiais e profissionais da área de inteligência.

A entrevista é técnica útil para viabilizar a descoberta de novos fatos relacionados ao objeto da apuração e a indicação de novos caminhos de investigação. Embora deva ser corroborada por outros tipos de evidências, pode servir como prova testemunhal. Em que pese a entrevista ser uma técnica comumente empregada na auditoria, a entrevista de testemunhas e acusados no âmbito investigativo costumeiramente não é realizada pelo auditor interno governamental, a não ser durante trabalhos de apuração, quando os suspeitos ainda não têm conhecimento de que uma apuração de fraude está sendo realizada. As autoridades policiais e as oriundas dos ministérios públicos geralmente realizam esse tipo de entrevista, que pode contar com o apoio dos auditores internos governamentais na sua condução.

A análise de dados e documentos é atividade já empregada no planejamento e na execução dos trabalhos de auditoria e, desse modo, faz parte das técnicas comumente utilizadas pelos auditores internos governamentais. A apuração de fraude, entretanto, exigirá conhecimentos e habilidades adicionais quando incluir a análise de dados bancários, fiscais, telefônicos, telemáticos e outros, obtidos pelo compartilhamento de informações com órgãos parceiros, mediante autorização judicial.

Comunicação dos resultados

Durante a execução dos trabalhos de apuração, podem ser emitidas comunicações aos órgãos parceiros, quando houver, ou a outras instâncias consideradas necessárias. Um relatório escrito ou outra comunicação formal devem ser emitidos ao final da fase de execução, sendo importante a anexação dos papéis de trabalho que caracterizem o ato apurado, quando o relatório se destinar a outros órgãos de defesa do Estado, que atuarão dentro de suas respectivas áreas. O conteúdo pode incluir a razão da investigação, o período analisado e o de execução, os achados, o resultado da avaliação dos controles internos da gestão a partir dos fatos relatados, as conclusões, as ações necessárias a serem realizadas, as ações corretivas já adotadas pela Unidade Auditada e as recomendações para aprimoramento.

O auditor interno governamental deve abster-se de proferir qualquer juízo técnico de conhecimento alheio às suas funções (ex.: tipificar penal ou administrativamente a conduta de responsáveis), bem como de proferir qualquer manifestação de teor pessoal ou subjetivo sobre os acontecimentos mensurados no exame fático da apuração. Assim, seu pronunciamento deve se restringir a evidenciar, de forma técnica e objetiva, as questões eventualmente irregulares sob o prisma eminentemente administrativo, devidamente fundamentadas pelos elementos probatórios atinentes.

Nesse contexto, caso a mesma questão mensurada pelo auditor venha a ser de interesse de outros órgãos de defesa do Estado que atuem nas demais esferas do Direito, o encaminhamento às instâncias competentes para julgamento deverá ser realizado pelo real detentor daquela atribuição. No âmbito penal, será através do eventual indiciamento por delegado de polícia ou do oferecimento da denúncia por membro do Ministério Público. No âmbito civil, será através de eventual ação de improbidade proposta pela advocacia pública ou por membro do Ministério Público.

Não é atribuição do auditor interno governamental julgar os envolvidos, mas tão somente apontar os fatos verificados na investigação. Contudo, o relatório pode recomendar a adoção de procedimentos para responsabilização de pessoas físicas e jurídicas e restituição de valores, inclusive com o devido encaminhamento aos demais órgãos de defesa do Estado potencialmente interessados. Depois que a fraude for apurada e comunicada às instâncias competentes, é importante que a UAIG e a alta administração façam uma análise das lições aprendidas, visando refletir, por exemplo, sobre como a fraude ocorreu, quais controles falharam e como novas fraudes podem ser prevenidas ou detectadas.

Sigilo

O auditor interno governamental deve manter sigilo e ter cuidado com informações relacionadas à possível existência de fraude. Durante a execução dos trabalhos, na interlocução com a Unidade Auditada, na comunicação e na publicação dos resultados ou mesmo após a comunicação às instâncias competentes, o sigilo deve ser mantido ainda que as informações obtidas não estejam diretamente relacionadas ao escopo do trabalho. A confidencialidade evitará alertar os possíveis perpetradores , estando inclusive resguardada pela Lei de Acesso à Informação.

A realização de procedimentos administrativos com vistas à punição dos envolvidos independe das ações penais e cíveis . Entretanto, o auditor interno governamental deve observar o fim do sigilo da apuração de fraude, ou obter autorização judicial, se houver segredo de justiça, antes de proceder os encaminhamentos para recomendar que as autoridades competentes adotem eventuais medidas na esfera administrativa de sua atribuição.

Monitoramento

A UAIG deve acompanhar os desdobramentos das ações decorrentes da apuração de fraude, a fim de quantificar e registrar os resultados e benefícios da sua atuação, em acordo com os princípios e a metodologia compatíveis com regulamentação do órgão central do SCI.

Alguns exemplos de possíveis desdobramentos são: recomendação para aprimoramento dos controles internos da gestão, responsabilização de pessoas físicas e jurídicas, restituição de valores, punição de profissionais pelo conselho de classe, ações cíveis e penais. Com relação ao monitoramento de recomendações, devem ser observadas também as instruções contidas no capítulo 7.

DEPOIMENTO COMO TESTEMUNHA

O auditor interno governamental pode ser chamado a depor como testemunha em ação administrativa, civil ou penal a respeito de qualquer trabalho de que tenha participado. A chance de isso ocorrer em um trabalho de apuração é maior, pois envolve atos e fatos que, sendo ilegais ou irregulares, podem resultar na punição da parte acusada.

O Responsável pela UAIG deve garantir que o auditor tenha o apoio de sua organização, assim como a oportunidade de conhecer previamente como funciona esse tipo de processo, uma vez que o produto da atividade de auditoria interna é institucional.

Se o auditor desejar ser acompanhado nas audiências por procurador/advogado da AGU, a UAIG deverá auxiliá-lo na elaboração do pedido de representação junto àquela instituição. Dessa maneira, a UAIG pode não só prestar apoio ao seu servidor/empregado envolvido nos trabalhos mas também garantir a eficácia dos produtos institucionais em todas as esferas de Direito - civil, penal e administrativo.

Recomenda-se que o auditor interno governamental reveja, antes do seu depoimento, os produtos do trabalho realizado e elabore anotações para ter segurança ao prestar depoimento. Acima de tudo, o depoente deve ser honesto e fiel às evidências.

Por fim, cabe ressaltar que não é papel da testemunha satisfazer qualquer parte no processo, pois o compromisso deve ser somente com os fatos evidenciados. Assim, o auditor interno governamental deverá se restringir exclusivamente às informações e aos fatos decorrentes de seus trabalhos eventualmente integrados aos autos, evitando se pronunciar sobre qualquer questão alheia à sua participação específica.

GERENCIAMENTO DA ATIVIDADE DE AUDITORIA INTERNA

A atividade de auditoria interna deve ser desenvolvida de forma que as UAIG adicionem valor às Unidades Auditadas e às políticas públicas sob sua responsabilidade, fomentando a melhoria dos processos de governança, de gerenciamento de riscos e de controles internos da gestão.

Para que alcance essas finalidades, faz-se necessário que o responsável pela UAIG gerencie de forma eficaz tanto as atividades de auditoria quanto os auditores internos, os quais, por sua vez, também devem assumir suas responsabilidades nesse processo.

ATRIBUIÇÕES DO RESPONSÁVEL PELA UAIG

Além de administrar a UAIG, de forma que a Unidade de Auditoria Interna Governamental alcance sua finalidade, atenda aos normativos e que os auditores internos atuem em conformidade com os princípios e requisitos éticos, são atribuições do responsável pela UAIG (sem prejuízo das demais citadas na IN SFC nº 03, de 2017):

Atribuições gerais:

a) compartilhar informações e coordenar as atividades da unidade com outras instâncias prestadoras de serviços de auditoria;

b) ao considerar a aceitação de trabalhos de consultoria, avaliar se os resultados desses trabalhos contribuem para a melhoria dos processos de governança, de gerenciamento de riscos e de controles internos da Unidade Auditada;

c) liderar a gestão da qualidade;

d) comunicar à alta administração e ao conselho (se houver):

- o desempenho da atividade de auditoria interna governamental;

- os resultados do PGMQ;

- os casos de não conformidade com a IN SFC nº 03, de 2017, que impactem o escopo geral ou a operação da atividade de auditoria interna (nesse caso deve comunicar também à respectiva unidade responsável pela supervisão técnica);

e) definir procedimentos relativos à estrutura e à organização, bem como a política de armazenamento de papéis de trabalho, preferencialmente em meio digital;

f) comunicar a informação correta a todas as partes que tenham recebido comunicação final, emitida pela UAIG, que contenha erro ou omissão significativa, e providenciar para que a versão anteriormente publicada seja atualizada;

g) discutir com o conselho, se houver, ou com a alta administração os casos em que a UAIG concluir que a Unidade Auditada aceitou um nível de risco que pode ser inaceitável para a organização;

h) gerenciar as ameaças à autonomia técnica e à objetividade.

Atribuições relativas à supervisão:

a) responsabilizar-se pela supervisão dos trabalhos, a qual poderá ser delegada, sem prejuízo de sua responsabilidade;

b) estabelecer políticas e procedimentos destinados a assegurar que a supervisão seja realizada e documentada, em todas as etapas dos trabalhos, com a finalidade de assegurar o atingimento dos objetivos, a qualidade dos produtos e a consistência das opiniões emitidas.

ATRIBUIÇÕES RELATIVAS À GESTÃO DE RECURSOS

Cabe ao responsável pela UAIG estabelecer um plano baseado em riscos para determinar as prioridades da auditoria e zelar pela adequação e disponibilidade dos recursos necessários (humanos, financeiros e tecnológicos) para o cumprimento do Plano de Auditoria Interna. Para isso, ele deve:

a) designar, para cada trabalho, equipe composta por auditores internos governamentais que possuam, coletivamente, a proficiência necessária para realizar a auditoria com êxito;

b) identificar deficiências e lacunas e buscar supri-las por meio de ações como:

- viabilização de treinamento no trabalho;

- estímulo à participação em conferências e seminários, tendo em vista o desenvolvimento profissional e a atualização de conhecimentos dos auditores;

- solicitação, quando necessário, de opinião técnica especializada por meio de prestadores de serviços externos à UAIG, conforme seção 3.3.2.

Para garantir que os recursos sejam bem utilizados, o responsável pela UAIG, ou algum auditor sob sua delegação, deverá, além de definir as equipes de auditoria com base na proficiência dos auditores, elaborar um cronograma, que indique o tempo a ser investido em cada atividade, com previsão de data de início e data de término, e um levantamento dos recursos e informações necessários para a realização dos trabalhos.

Nesse processo, devem ser considerados, entre outros elementos:

a) objetivo e escopo do trabalho;

b) o quantitativo de horas disponíveis (excluindo-se afastamentos, férias, licenças, treinamentos etc.);

c) o período estimado para a realização de cada etapa;

d) a complexidade das tarefas a serem executadas;

e) o conhecimento, as habilidades e as competências dos auditores disponíveis para o trabalho;

f) situações que possam comprometer a objetividade dos auditores;

g) o local onde serão desenvolvidas as atividades;

h) os recursos tecnológicos disponíveis e os necessários;

i) o orçamento disponível.

ATRIBUIÇÕES DOS PARTICIPANTES DA AUDITORIA

É necessário que a UAIG estabeleça formalmente, por meio de políticas ou manuais, as atribuições dos participantes dos trabalhos de auditoria, de modo que haja clareza quanto às responsabilidades a serem desempenhadas por eles. O estabelecimento dessas atribuições facilita o gerenciamento dos recursos humanos, especialmente a definição das equipes.

Os papéis desempenhados variarão conforme as especificidades de cada UAIG. Não obstante, de modo a auxiliar nessa definição, encontram-se elencados a seguir papéis, atividades e responsabilidades tipicamente atribuídos ao supervisor, ao coordenador de equipe e aos auditores internos governamentais.

SUPERVISOR DO TRABALHO

A supervisão tem como finalidade assegurar o atingimento dos objetivos do trabalho e a qualidade dos produtos. Esse papel cabe ao responsável pela UAIG ou a outro integrante da Unidade de Auditoria Interna com conhecimentos técnicos e experiência suficientes a quem essa competência seja delegada formalmente.

A supervisão deve ser realizada por meio de um processo contínuo de acompanhamento das atividades, que abrange todas as fases da auditoria, com a finalidade de assegurar a qualidade do trabalho, o alcance dos objetivos e o desenvolvimento da equipe.

A intensidade da supervisão pode variar de acordo com alguns fatores, tais como, conhecimento e capacidade profissional dos membros da equipe de auditoria e grau de complexidade do trabalho.

Atribuições relativas à função de supervisão dos trabalhos geralmente compreendem:

a) definir a equipe de auditoria, de forma a garantir a proficiência coletiva;

b) indicar o coordenador de equipe;

c) garantir que a auditoria seja realizada de acordo com as normas e práticas de auditoria aplicáveis;

d) interagir com a equipe e instruí-la, durante todo o trabalho de auditoria, inclusive na fase de planejamento, promovendo oportunidades de desenvolvimento dos auditores;

e) em conjunto com a equipe e o coordenador, elaborar cronograma para o trabalho de auditoria e zelar pelo seu cumprimento;

f) conduzir a elaboração do programa de trabalho, promovendo a participação e a interação da equipe de auditoria;

g) aprovar o programa de trabalho e autorizar eventuais alterações;

h) garantir o cumprimento do programa de trabalho e o alcance dos objetivos;

i) confirmar se as evidências suportam os achados, as conclusões e as recomendações elaboradas pela equipe;

j) revisar os papéis de trabalho e certificar-se de que foram devidamente elaborados e de que sustentam os achados e as conclusões alcançadas pela equipe;

k) assegurar a qualidade dos produtos e das comunicações e, se necessário, solicitar aos auditores evidências adicionais ou esclarecimentos;

l) sempre que possível, conduzir as reuniões de abertura e as que tenham como finalidade discutir os achados e as possíveis soluções com os representantes da Unidade Auditada;

m) manter a confidencialidade e a segurança de informações, dados, documentos e registros;

n) garantir que haja evidências da realização do trabalho de supervisão.

COORDENADOR DE EQUIPE

O coordenador de equipe é um auditor, em geral, mais experiente, e que possui perfil e competência profissional adequados para auxiliar na realização dos trabalhos em conformidade com os padrões e os requisitos de qualidade estabelecidos. Adicionalmente, atua como facilitador da interação da UAIG com a Unidade Auditada durante o trabalho de auditoria.

Atribuições relativas à função de supervisão dos trabalhos geralmente compreendem, além daquelas relativas aos auditores internos governamentais:

a) auxiliar na elaboração do cronograma de atividades e zelar pelo seu cumprimento;

b) liderar a execução do trabalho, de forma a garantir o cumprimento do planejamento;

c) participar da elaboração do programa de trabalho e, quando necessário, apresentar sugestões de alterações do planejamento ao supervisor;

d) manter interlocução com a Unidade Auditada e atender aos seus servidores/funcionários e dirigentes, sobretudo para esclarecer o conteúdo de documentos emitidos durante o trabalho de auditoria;

e) assegurar-se de que os documentos de comunicação da UAIG com a Unidade Auditada atendam aos parâmetros contidos neste documento e nos demais normativos aplicáveis;

f) acompanhar os integrantes da equipe de auditoria na aplicação de testes que demandem interação com os gestores ou servidores/funcionários da Unidade Auditada, tais como entrevistas ou aplicações de questionários;

g) solicitar a intervenção do supervisor sempre que esta seja necessária para assegurar o cumprimento das normas, das orientações, a segurança da equipe e a solução de eventuais conflitos.

AUDITORES INTERNOS GOVERNAMENTAIS

Atribuições típicas dos auditores internos governamentais compreendem:

a) executar o trabalho de acordo com as normas e práticas de auditoria aplicáveis;

b) observar as orientações do supervisor e do coordenador de equipe;

c) em conjunto com o coordenador e o supervisor, elaborar cronograma para o trabalho de auditoria;

d) participar da elaboração do programa de trabalho;

e) executar as atividades de acordo com o planejamento realizado;

f) coletar e analisar informações relevantes e precisas por meio de procedimentos e técnicas de auditoria apropriados;

g) elaborar os documentos de comunicação com a Unidade Auditada e submetê-los à avaliação do coordenador de equipe;

h) assegurar a suficiência e a adequação das evidências de auditoria para apoiar achados, recomendações e conclusões da auditoria;

i) registrar as atividades realizadas em papéis de trabalho, conforme políticas e orientações estabelecidas pela UAIG;

j) manter a confidencialidade e a segurança de informações, dados, documentos e registros;

k) comunicar quaisquer achados críticos ou potencialmente significativos ao coordenador ou ao supervisor do trabalho em tempo hábil;

l) quando houver limitação do trabalho, comunicar o fato, de imediato, ao coordenador ou ao supervisor do trabalho.

PARTICIPAÇÃO DE PROFISSIONAIS EXTERNOS À UAIG

Os trabalhos de auditoria interna governamental são realizados pelos auditores da própria UAIG. No entanto, para assegurar que estejam presentes as competências coletivas da equipe necessárias à realização dos trabalhos; para promover o aprendizado e a troca de experiências, capazes de proporcionar o fortalecimento recíproco entre unidades da Administração Pública; e para evitar a duplicação de esforços, o responsável pela UAIG poderá contar com a participação de profissionais externos à Unidade de Auditoria Interna Governamental.

Essa participação poderá ocorrer das seguintes formas:

a) equipe composta por auditores de outras UAIG;

b) equipe composta por auditores de órgãos de controle externo ou interno de outras esferas governamentais;

c) cooperação entre as UAIG e instituições públicas que atuam na defesa do patrimônio público (tais como Ministério Público e Polícia Federal);

d) solicitação de opinião técnica especializada de prestadores de serviços externos à UAIG;

O Decreto nº 3.591, de 6 de setembro de 2000, estabelece também a possibilidade de contratação de empresas privadas de auditoria, nos termos do artigo 16:

“A contratação de empresas privadas de auditoria pelos órgãos ou pelas entidades da Administração Pública Federal indireta somente será admitida quando comprovada, junto ao Ministro supervisor e ao Órgão Central do Sistema de Controle Interno do Poder Executivo Federal, a impossibilidade de execução dos trabalhos de auditoria diretamente pela Secretaria Federal de Controle Interno ou órgãos setoriais do Sistema de Controle Interno do Poder Executivo Federal.”

Em todos os casos, deve ser realizada a adequada supervisão dos trabalhos, nos termos da IN SFC n.º 03, de 2017, e da seção 3.2.1 deste Manual. As seções seguintes apresentam parâmetros a serem observados no desenvolvimento dos trabalhos referidos nas alíneas citadas anteriormente.

TRABALHOS COMPARTILHADOS

Trata-se dos trabalhos executados de forma compartilhada por unidades de auditoria, conforme alíneas "a" e "b" da seção anterior. Para a sua realização, é fundamental que, sob a liderança do(s) supervisor(es), a equipe de auditoria elabore o planejamento de forma conjunta. Também é imperioso que os membros da equipe mantenham atitude de colaboração e integração durante todo o trabalho.

Em relação ao planejamento, à execução, à comunicação dos resultados do trabalho e ao monitoramento das recomendações, de forma geral, aplicam-se os preceitos normalmente utilizados nos trabalhos individuais das unidades de auditoria envolvidas, bem como os da IN SFC nº 3, de 2017, e os deste Manual.

Além dos documentos habituais decorrentes das etapas de auditoria (planejamento, execução, comunicação dos resultados e monitoramento), abordados em outras seções deste Manual, deve ser estabelecido entendimento por escrito, assinado pelos Responsáveis pelas unidades de auditoria envolvidas, no qual devem constar, no mínimo, os seguintes termos acordados para o trabalho:

a) objetivo e escopo;

b) responsabilidades das partes, inclusive quanto à supervisão do trabalho, que pode ser compartilhada entre os responsáveis pelas unidades de auditoria envolvidas;

c) eventuais restrições à comunicação dos resultados do trabalho e ao acesso aos seus registros;

d) outras expectativas em relação ao trabalho.

Entre essas "expectativas", podem ser definidos, sobretudo nos casos em que as unidades de auditoria não estiverem subordinadas aos mesmos normativos nem seguirem os mesmos padrões, os seguintes aspectos:

a) necessidade de sigilo;

b) sistemática de emissão de documentos destinados à Unidade Auditada (qual o padrão a ser utilizado, quem assinará, quem será o destinatário, entre outros);

c) propriedade e acesso aos papéis de trabalho durante e após a realização da auditoria;

d) comunicação dos resultados (qual o padrão a ser utilizado; quem assinará; como será emitido, entre outros);

e) restrições necessárias à divulgação de informações relativas ao trabalho, tanto na interlocução com a Unidade Auditada quanto na comunicação dos resultados, especialmente nos casos de trabalhos sob segredo de justiça ou que envolvam informações sigilosas;

f) monitoramento das recomendações (quem realizará e de que forma, por exemplo).

As unidades de auditoria envolvidas devem avaliar a necessidade de emitir, de forma complementar, termo de confidencialidade e de objetividade específico para o trabalho, a ser subscrito pelos profissionais que dele participem.

Esse documento deve prever que o profissional declare ter pleno conhecimento do entendimento formalizado entre as partes para realização do trabalho compartilhado, e que se comprometa:

a) com o cumprimento dos preceitos específicos que foram acordados para o referido trabalho;

b) com o cumprimento dos preceitos da IN SFC nº 3, de 2017, e de outras normas e códigos de ética pertinentes, inclusive quanto à inexistência de conflitos de interesses impeditivos de sua atuação imparcial e objetiva no referido trabalho;

c) a manter em sigilo as informações a que tiver acesso na realização das atividades que lhe serão atribuídas.

Sempre que possível, as orientações contidas nesta seção aplicar-se-ão também aos trabalhos compartilhados com servidores oriundos dos órgãos de defesa do Estado. No entanto, como não raramente esses trabalhos se desenvolvem sob segredo de justiça, é natural que haja uma maior flexibilidade na negociação e no desenvolvimento de suas etapas.

COLABORAÇÃO DE ESPECIALISTAS EXTERNOS À UAIG

Um prestador de serviços externo é um profissional ou organização, sem vínculo direto com a UAIG, que detenha conhecimento, habilidade e experiência em algum tema específico necessário para o desenvolvimento de trabalhos de auditoria, tais como:

a) avaliações de ativos, como imóveis, investimentos complexos, joias/pedras preciosas, obras de arte;

b) cálculos atuariais de obrigações com benefícios de funcionários;

c) fusões e aquisições;

d) investigações de fraude e segurança;

e) interpretação de requisitos legais, regulatórios, técnicos;

f) mensuração de condições físicas e/ou quantidades de ativos, como petróleo ou outros tipos de reservas minerais;

g) mensuração de trabalho concluído e a ser concluído de contratos em andamento;

h) avaliações relacionadas à tecnologia da informação.

São exemplos desses colaboradores externos: advogados; atuários; engenheiros; especialistas ambientais; especialistas em segurança; estatísticos; geólogos; investigadores de fraudes; profissionais da área de tecnologia da informação e empresas prestadoras de serviço nessas áreas.

Nas atividades de auditoria interna governamental do Poder Executivo Federal, esses especialistas podem ser oriundos:

a) da própria organização a que pertence a UAIG. É possível convidar um profissional da área de tecnologia da informação, por exemplo, para apoiar um trabalho de auditoria;

b) de outros órgãos/entidades públicos. Tendo em vista a necessidade de racionalização de recursos públicos, a utilização de prestadores de órgãos ou de entidades públicos deve ser a opção preferencial. Nesse caso, cabe à UAIG contatar os responsáveis por essas organizações e estabelecer formalmente a parceria necessária;

c) da esfera privada. Nas situações em que houver a impossibilidade de estabelecimento de parcerias na esfera pública, podem ser utilizados, como colaboradores, especialistas da esfera privada. Nesses casos, a UAIG deve observar as regras próprias de licitação e contratos da organização à qual pertence.

Para utilizar os serviços de prestador externo, o responsável pela UAIG precisa avaliar as competências desse especialista em relação ao trabalho a ser realizado, considerando aspectos importantes, tais como:

a) certificação/formação/licença profissional e/ou outro reconhecimento de sua competência no tema que será objeto de seus serviços;

b) formação acadêmica e treinamentos recebidos que estejam relacionados com o tema em questão;

c) experiência no tipo de trabalho a ser realizado;

d) filiação em organização profissional apropriada e adesão ao código de ética daquela organização;

e) reputação, que pode ser confirmada mediante contato com terceiros que conheçam seu trabalho.

Outro aspecto fundamental é que haja garantia de objetividade por parte do prestador de serviços externo. Dessa forma, devem ser consideradas as seguintes possibilidades de conflito de interesses, entre outras:

a) compensações, incentivos ou punições que possa vir a receber;

b) interesses financeiros;

c) relação pessoal ou profissional com setores do órgão ou entidade auditada ou com o objeto do trabalho que prejudiquem a objetividade e outros serviços que o especialista possa estar prestando à mesma organização incompatíveis com aquele que desenvolverá no âmbito do trabalho de auditoria.

A responsabilidade dos auditores da UAIG em relação ao trabalho não é reduzida pela colaboração de prestadores de serviços externos, e os cuidados que devem ser adotados antes de se aceitar a opinião do especialista devem ser tanto maiores quanto maiores forem o risco ou a significância do objeto avaliado. Para que a opinião dos especialistas seja utilizada pelos auditores internos governamentais, quer como subsídio para o desenvolvimento das etapas do trabalho, quer como evidência para os achados de auditoria, é necessário que a UAIG:

a) garanta que o trabalho do colaborador externo seja planejado, documentado e supervisionado;

b) avalie se o trabalho foi realizado de acordo com os critérios predefinidos e com aqueles constantes do PGMQ;

c) verifique se a opinião e as evidências apresentadas são apropriadas e suficientes e se passam pelo crivo da razoabilidade;

d) decida sobre a necessidade de realizar testes adicionais.

Para assegurar que os especialistas contribuam efetivamente para o desenvolvimento dos trabalhos, a UAIG deve emitir termo de confidencialidade e objetividade específico para a atividade a ser desenvolvida. Esse termo deve ser subscrito pelo especialista, o qual deverá se comprometer:

a) com o cumprimento dos preceitos específicos que estejam sendo acordados para o referido trabalho;

b) com o cumprimento dos preceitos da IN SFC nº 3, de 2017, e de outras normas e códigos de ética pertinentes, inclusive quanto à inexistência de conflitos de interesses impeditivos de sua atuação imparcial e objetiva no referido trabalho;

c) a manter em sigilo as informações a que tiver acesso na realização das atividades que lhe serão atribuídas.

Antes de iniciar o trabalho, é importante também que a UAIG obtenha do colaborador externo autorização para utilizar e divulgar a sua opinião.

Caso seja necessária a contratação de empresa de auditoria, nos termos do artigo 16 do Decreto 3.591, de 2000, devem ser adotados, no que couber, os mesmos preceitos indicados nesta seção para a contratação de especialistas.

GERENCIAMENTO DE SITUAÇÕES QUE PODEM AFETAR A OBJETIVIDADE

As situações que podem prejudicar a objetividade devem ser gerenciadas tanto no nível organizacional quanto no nível individual. Devem, portanto, ser consideradas e avaliadas pelo responsável pela UAIG e pelos próprios auditores internos governamentais.

Assim sendo, se o responsável pela UAIG identificar situações de ameaças à objetividade em relação a auditor interno governamental inicialmente indicado para compor a equipe de auditoria ou para supervisionar determinado trabalho, deve substituí-lo por outro que não tenha restrições de atuação. Não obstante, se situações de ameaça existirem, porém não forem identificadas pelo responsável pela UAIG, cabe ao auditor interno governamental, ao obter conhecimento preliminar do objeto do trabalho para o qual foi designado, declarar-se formalmente impedido para realizá-lo.

Os procedimentos de substituição do auditor, pelo responsável pela UAIG, ou a declaração de impedimento, pelo próprio auditor, devem ser adotados também em caso de a ameaça à objetividade surgir durante a realização dos trabalhos de auditoria.

SITUAÇÕES COMUNS DE AMEAÇA À OBJETIVIDADE

As situações mais comuns de ameaça à objetividade do trabalho do auditor são as seguintes:

Pressão externa: algumas vezes o auditor pode perceber uma excessiva expectativa em relação aos seus achados: ora para que realize grandes descobertas, ora para que não se detenha sobre itens suspeitos. Outras vezes a expectativa é de que realize as tarefas exatamente da mesma forma como sempre foram feitas antes, sem quaisquer inovações. Essa expectativa pode provir de auditores externos, de reguladores, da própria Unidade Auditada ou, por vezes, dos próprios componentes da equipe de auditoria.

Interesse econômico no desempenho da organização: os auditores internos governamentais podem ter receio de que achados significantes, como a descoberta de atos ilegais, possam prejudicar o futuro da organização e, portanto, os seus próprios interesses como servidores/funcionários, ou outros interesses financeiros, como é o caso dos auditores de sociedades de economia mista detentores de ações da organização negociadas em bolsas de valores.

Envolvimento anterior com o objeto de auditoria: os auditores internos governamentais podem ter atuado, antes de compor o quadro funcional da UAIG, nas áreas de gestão da Unidade Auditada, e terem sido responsáveis ou participado das atividades a serem auditadas. Podem ainda ter tido outros vínculos profissionais com as atividades, seja por meio de comércio, seja por meio de prestação de serviço.

Relacionamento pessoal: os auditores internos governamentais a serem designados não devem ter vínculos de amizade ou de parentesco (quando parentes em linha reta, colateral ou por afinidade, até o terceiro grau) com o responsável ou com algum servidor/funcionário que atue diretamente com o objeto da auditoria. Em situações como essa, os auditores podem se sentir tentados a deixar passar, suavizar ou atrasar a comunicação de achados de auditoria, para evitar comprometer o amigo ou parente.

Familiaridade: essa ameaça pode surgir em decorrência de um relacionamento de longo prazo do auditor interno governamental com o responsável pelo objeto de auditoria. Pode levar à perda da objetividade durante o trabalho, fazendo com que o auditor faça um pré-julgamento com base em problemas prévios ou em casos de sucesso anteriores, e que assuma um posicionamento consistente com o pré-julgamento, e não com a situação objetiva que está auditando.

Preconceito cultural, étnico ou de gênero: se os auditores internos governamentais possuírem preconceitos em relação a práticas ou costumes diferentes dos seus, a determinado grupo étnico ou a um gênero específico, podem ter sua objetividade comprometida ao auditar um objeto de auditoria gerenciado ou composto por servidores/funcionários que se enquadrem nessas condições. Nesse caso, os auditores podem assumir, indevidamente, posturas excessivamente críticas, não condizentes com a realidade.

Inclinações cognitivas: muitas vezes o auditor possui uma inclinação, que pode mesmo ser inconsciente, em interpretar informações. Se a perspectiva adotada é muito crítica, o auditor pode ignorar informações positivas. Da mesma forma, se adotar uma posição favorável e positiva, pode deixar de considerar informações negativas. Nesses casos, é comum que haja certas noções preconcebidas, as quais o impelem a ver evidências que confirmem tais noções.

Revisão dos próprios trabalhos: essa ameaça pode surgir quando um auditor interno governamental atua sobre um objeto já auditado por ele anteriormente. Nessas situações, ao realizar trabalhos de auditoria posteriores, o auditor pode se tornar menos crítico ou menos atento a erros ou deficiências. Ocorre, por exemplo: quando audita uma política, uma área ou um setor repetidas vezes ou por anos consecutivos; ou quando presta serviços de avaliação sobre a implantação de um sistema informatizado que auxiliou a implantar por meio de uma consultoria anterior.

Ameaça de intimidação: ocorre quando um auditor interno é impedido de agir objetivamente devido a ameaças, a pressão psicológica ou a constrangimento, de forma aberta ou velada, por responsáveis pelo objeto de auditoria ou por outras partes interessadas.

Conduta tendenciosa: surge quando os auditores internos governamentais agem tendenciosamente em favor ou contra o responsável pelo objeto de auditoria ou algum servidor ou funcionário que atue diretamente com o objeto auditado.

MEDIDAS QUE PODEM REDUZIR AS AMEAÇAS À OBJETIVIDADE

De acordo com a IN SFC nº 3, de 2017, para evitar a ameaça decorrente de envolvimento anterior com o objeto de auditoria, de relacionamento pessoal e de familiaridade, é necessário que os auditores não participem de trabalhos nessas atividades por um período mínimo de 24 meses após o término do vínculo.

Além dessa medida, há outras que podem ser adotadas com a finalidade de impedir ou evitar que a objetividade dos auditores seja prejudicada. Entre elas, encontram-se:

a) promoção de ambiente em que o pensamento objetivo seja valorizado, e as inclinações e preconceitos sejam desaprovados, com possível impacto em avaliações e promoções;

b) inclusão de membro na equipe com ponto de vista diferente dos demais;

c) estabelecimento de rodízio dos auditores e dos supervisores de trabalho em relação aos objetos a serem auditados. Nesse caso, é importante não confundir o objeto auditado com a Unidade Auditada, pois esta pode possuir uma ampla gama de objetos de auditoria. O rodízio deve ser estabelecido de acordo com os recursos de pessoal disponíveis na UAIG, estabelecendo-se prazo máximo de permanência (auditando um mesmo objeto) e prazo mínimo de quarentena (afastamento).

d) treinamento sobre métodos, abordagens e ameaças à objetividade;

e) supervisão próxima e atuante;

f) revisão cuidadosa dos trabalhos;

g) avaliação de qualidade.

É, pois, fundamental que, não apenas o responsável pela UAIG, mas todos os auditores internos sejam capazes de identificar as situações aqui descritas, em trabalhos de qualquer natureza, e busquem adotar providências para minimizar seus efeitos.

GESTÃO E MELHORIA DA QUALIDADE

A UAIG deve instituir formalmente e manter um Programa de Gestão e Melhoria da Qualidade (PGMQ) com o objetivo de promover a avaliação e a melhoria contínua dos processos de trabalho, dos produtos emitidos e da eficácia e da eficiência da atividade de auditoria interna governamental.

O PGMQ deve considerar aspectos específicos da UAIG, tendo em vista seu tamanho, sua estrutura e suas necessidades, observadas as definições deste Manual.

O Programa deve ser aplicado tanto no nível de trabalhos individuais de auditoria, quanto em um nível mais amplo da atividade de auditoria interna. As avaliações devem incluir todas as fases da atividade de auditoria interna governamental, quais sejam, os processos de planejamento, de execução dos trabalhos, de comunicação dos resultados e de monitoramento, e ainda:

a) o alcance do propósito da atividade de auditoria interna;

b) a conformidade dos trabalhos com as disposições da IN SFC nº 3, de 2017, com outros normativos que definam atribuições para a atividade de auditoria interna, com as boas práticas nacionais e internacionais aplicáveis e com os manuais ou procedimentos operacionais estabelecidos pela própria UAIG;

c) a conduta ética e profissional dos auditores.

Além das avaliações a serem realizadas, a estrutura do PGMQ deve estabelecer:

a) as responsabilidades dos atores de nível gerencial da UAIG e das equipes de auditoria no processo de garantia da qualidade;

b) a frequência de realização das atividades de avaliação e da comunicação de resultados do Programa.

AVALIAÇÕES

O PGMQ deve ser implementado por meio de avaliações internas e externas, as quais devem ser devidamente documentadas.

Os resultados das avaliações realizadas devem ser periodicamente consolidados com a finalidade de fornecer informações gerenciais e de identificar necessidades de capacitação e oportunidades para aprimoramento da atividade de auditoria interna governamental, as quais podem ser registradas em um plano de ação.

Avaliações internas

As avaliações internas contemplam um conjunto de procedimentos e de ações realizadas ou conduzidas pela UAIG com vistas a aferir, internamente ou junto às partes interessadas, a qualidade dos trabalhos realizados.

As avaliações internas compreendem o monitoramento contínuo e as avaliações periódicas.

Monitoramento contínuo

Constitui um conjunto de atividades de caráter permanente, operacionalizadas por meio de processos, práticas profissionais padronizadas, ferramentas, pesquisas de percepção e indicadores gerenciais. Tem por objetivo acompanhar o desenvolvimento das atividades da UAIG para assegurar sua conformidade com as normas profissionais e de conduta aplicáveis e a eficiência dos processos.

Compreende, entre outras, as seguintes formas de realização:

a) planejamento e supervisão dos trabalhos de auditoria e demais atividades realizadas pela UAIG;

b) a revisão dos documentos expedidos pelos auditores, dos papéis de trabalho e dos relatórios.

c) a utilização de indicadores de desempenho;

d) a identificação de pontos fracos ou áreas com deficiência, bem como os planos de ação para tratar essas questões;

e) a avaliação realizada pelos auditores, após a conclusão dos trabalhos;

f) o feedback de gestores e de partes interessadas;

g) listas de verificação (checklists) para averiguar se manuais e procedimentos estão sendo seguidos.

Ao estabelecer indicadores de desempenho, devem ser consideradas, entre outras, as seguintes necessidades de abordagem:

a) o desempenho da UAIG em relação ao Plano Anual de Auditoria Interna;

b) o grau de atendimento às recomendações emitidas pela UAIG;

c) a eficiência da força de trabalho alocada à UAIG, considerados a quantidade e a relevância dos trabalhos realizados e os benefícios deles decorrentes.

A avaliação realizada pelos auditores, após a conclusão dos trabalhos, tem por objetivo aferir a percepção dos membros das equipes de auditoria quanto:

a) ao desempenho, à conduta ética e à postura profissional do próprio auditor;

b) ao planejamento, à execução do trabalho, ao processo de supervisão, à alocação de recursos (humanos, materiais, tecnológicos e de tempo) e ao alcance do objetivo da auditoria.

O feedback de gestores e de partes interessadas deve, preferencialmente, ser obtido por meio de levantamentos ou entrevistas estruturadas com o objetivo de coletar sua percepção quanto à relevância, à qualidade e ao valor agregado pela atividade da UAIG, nas seguintes modalidades:

a) pesquisa de percepção ampla: realizada junto à alta administração da organização e a partes interessadas, com periodicidade preferencialmente anual, destinada a colher informações sobre a percepção geral quanto à atuação da UAIG e a agregação de valor promovida pela atividade de auditoria interna governamental;

b) pesquisa de avaliação pontual: realizada junto aos gestores das áreas auditadas, após a finalização do trabalho de auditoria e a divulgação do resultado correspondente, com foco na avaliação da qualidade do processo de auditoria, do relatório (ou outra forma de comunicação) produzido e da conduta profissional dos auditores.

Avaliações periódicas

Podem ser realizadas pela própria UAIG ou por outros profissionais do órgão ou entidade ao qual a UAIG pertence com conhecimento e experiência suficientes sobre as práticas de auditoria interna governamental e sobre avaliação de qualidade.

Constituem avaliações mais amplas do que aquelas realizadas no âmbito do monitoramento contínuo e se destinam a verificar a conformidade da atuação da UAIG com os padrões normativos e operacionais estabelecidos.

As avaliações periódicas devem ser realizadas de forma sistemática, contemplando a revisão dos trabalhos realizados, considerando-se todas as suas etapas. Essas avaliações devem ser realizadas de maneira a fornecer diagnósticos quanto ao desempenho da UAIG e a indicar aspectos que necessitem ser melhorados.

As avaliações periódicas devem contemplar uma avaliação objetiva sobre a qualidade, a adequação e a suficiência: do processo de planejamento; das evidências e dos papéis de trabalho produzidos ou coletados pelos auditores; das conclusões alcançadas; da comunicação dos resultados; do processo de supervisão dos trabalhos; e do processo de monitoramento das recomendações emitidas.

Avaliações externas

A avaliação externa deve ocorrer pelo menos uma vez a cada cinco anos. Visa à obtenção de opinião independente sobre o conjunto geral dos trabalhos de auditoria realizados pela UAIG e sua conformidade com os princípios e as disposições da IN SFC nº 3, de 2017, e outras normas aplicáveis.

As avaliações externas devem ser conduzidas por profissional ou organização qualificados e independentes, externos à estrutura da UAIG. Assim, tais avaliações podem ser realizadas, por exemplo, pela unidade do SCI responsável pela supervisão técnica ou por outra UAIG, sendo vedada a realização de avaliações recíprocas em um mesmo ciclo, nas quais duas UAIG se avaliem mutuamente.

Os profissionais e as organizações também podem ser privados, mas devem deter formação, conhecimento técnico e experiência na prática de auditoria interna e no processo de avaliação de qualidade, os quais devem ser apropriados ao tamanho e à complexidade da UAIG.

Podem ser implementadas, alternativamente, por meio de autoavaliação, desde que essa seja submetida a um processo de validação independente, por profissional ou organização externo devidamente qualificado para essa atribuição.

ESTABELECIMENTO DOS CRITÉRIOS DE AVALIAÇÃO

O responsável pela UAIG deve definir os instrumentos por meio dos quais as avaliações internas serão realizadas, tais como: roteiros, questionários, listas de verificação (checklists) e indicadores.

As avaliações internas poderão ser realizadas em base censitária ou amostral, a critério da UAIG, resguardada, sempre que necessária, a identificação dos respondentes.

A partir do desenvolvimento das atividades do PGMQ e da sua incorporação à cultura da organização, o responsável pela UAIG deverá definir escala de classificação para avaliar o nível de conformidade da UAIG e estabelecer objetivos e metas a serem atingidos de acordo com a escala adotada.

Ao definir uma escala de classificação para avaliar o nível de conformidade da UAIG, o responsável pela UAIG deve, preferencialmente, utilizar como base roteiros ou padrões metodológicos já consolidados, nacional ou internacionalmente, que tenham como finalidade a aferição do nível de maturidade geral da atividade de auditoria interna.

Essa definição deve contribuir para a estruturação de um processo de melhoria contínua, de forma a possibilitar o desenvolvimento de um nível adequado de capacidade da UAIG.

COMUNICAÇÃO DOS RESULTADOS

Cabe ao responsável pela UAIG comunicar periodicamente os resultados do PGMQ à alta administração e ao conselho, se houver. Essa comunicação tem por finalidade promover e reforçar o patrocínio da alta administração e do conselho em relação à atividade de auditoria interna. As comunicações devem contemplar:

a) o escopo, a frequência e os resultados das avaliações internas e externas realizadas;

b) o nível de conformidade da UAIG, de acordo com a escala adotada;

c) as oportunidades de melhoria identificadas;

d) as fragilidades encontradas que possam comprometer a qualidade da atividade de auditoria interna;

e) os planos de ação corretiva, se for o caso;

f) o andamento das ações para melhoria da atividade de auditoria interna;

g) a qualificação e a independência da equipe de assessoria ou avaliação, quando for o caso.

A UAIG deve estabelecer formalmente a periodicidade de comunicação dos resultados do PGMQ, o qual deve ocorrer, ao menos, quando da apresentação do relatório anual sobre os resultados da UAIG.

Os casos de não conformidade com a IN SFC nº 3, de 2017, que impactem o escopo geral ou a operação da atividade de auditoria interna (a exemplo de situações que impliquem prejuízo permanente à autonomia técnica ou à objetividade, restrições à realização do escopo dos trabalhos, restrição de recursos ou outras condições que afetem a capacidade da atividade de auditoria interna de cumprir seu propósito ou suas responsabilidades perante as partes interessadas) devem ser comunicados pelo responsável pela UAIG à alta administração e ao conselho, se houver, bem como ao respectivo órgão ou unidade do SCI responsável pela supervisão técnica da UAIG.

Com base nessa comunicação, o órgão ou unidade do SCI responsável pela supervisão técnica deve apoiar a UAIG por meio de ações de orientação, capacitação e desenvolvimento conjunto de um plano de ação que aborde as fragilidades identificadas e estabeleça ações com vistas ao seu saneamento.

DECLARAÇÕES DE CONFORMIDADE

A UAIG somente deve declarar conformidade com os preceitos da IN SFC nº 3, de 2017, e com normas internacionais que regulamentam a prática profissional de auditora interna se o PGMQ sustentar essa afirmação, considerando a escala de classificação adotada pela UAIG.

PLANEJAMENTO DA UNIDADE DE AUDITORIA INTERNA GOVERNAMENTAL

Fase vital de qualquer trabalho, o planejamento tem como finalidade estabelecer um arranjo ordenado, isto é, organizar as partes ou passos necessários à consecução de determinado objetivo.

Na auditoria, o planejamento cumpre os seguintes papéis, que contribuem diretamente para a efetividade e a qualidade dos trabalhos :

a) auxilia o auditor a organizar adequadamente o trabalho de auditoria para que seja realizado de forma eficaz e eficiente;

b) ajuda a identificar os recursos necessários e a assegurar a eficiência do seu uso;

c) permite a elaboração de cronogramas de trabalho realistas;

d) auxilia o auditor a dedicar atenção apropriada às áreas mais importantes da auditoria;

e) auxilia na seleção dos membros da equipe de trabalho;

f) facilita o trabalho de supervisão e de revisão;

g) auxilia o auditor a identificar e a resolver tempestivamente problemas potenciais;

h) apoia o auditor na tomada de decisão a respeito de mudanças que venham a ocorrer durante o trabalho.

O planejamento, portanto, consiste em um processo dinâmico e contínuo, o qual, para ser realizado adequadamente, requer conhecimento razoável sobre a unidade e o objeto auditados. Dessa forma, é recomendável que os auditores ao planejarem os trabalhos, realizem pesquisas, entrevistem pessoas que trabalham na Unidade Auditada ou com o objeto que será auditado e interajam com a alta administração, a fim de tornar mais precisas as informações nas quais irão se basear para realizar suas atividades.

Por tudo isso, o planejamento deve também ser flexível. Isso significa que poderá ser ajustado, durante a sua execução, desde que com a anuência do responsável pela sua aprovação, sempre que houver alterações significativas no contexto do trabalho ou novas informações e conclusões advierem e tornarem os ajustes úteis e oportunos.

De acordo com a IN SFC nº 3, de 2017, o planejamento da auditoria interna se divide em duas etapas:

a) definição do Plano de Auditoria Interna baseado em riscos (etapa de identificação dos trabalhos a serem realizados prioritariamente pela UAIG);

b) planejamento dos trabalhos (individuais) de auditoria.

PLANO DE AUDITORIA INTERNA BASEADO EM RISCOS

O Plano de Auditoria Interna é o documento no qual são registradas as atividades que a UAIG pretende desenvolver em um determinado período de tempo, normalmente um ano. Deve ser baseado em riscos, o que significa que sua principal finalidade deve ser garantir que a Unidade de Auditoria Interna Governamental concentre seus trabalhos nos objetos de auditoria com maior exposição a ameaças que possam afetar o alcance dos seus objetivos, ou seja, os de maior risco.

A UAIG deve elaborar o Plano de Auditoria Interna em harmonia com as estratégias e os objetivos das organizações. Para isso, a UAIG deve considerar:

a) o planejamento estratégico da Unidade Auditada;

b) as expectativas da alta administração e das demais partes interessadas;

c) a análise de riscos realizada pela Unidade Auditada por meio do seu processo de gerenciamento de riscos, quando houver.

Caso a Unidade Auditada não tenha instituído um processo formal de gerenciamento de riscos, ou o seu cadastro de riscos não seja confiável, a UAIG deve se comunicar com a alta administração, de forma a obter entendimento sobre os principais processos e os riscos a eles associados.

A UAIG, ao elaborar o plano de auditoria, deve definir também a melhor estratégia para se obter uma avaliação sistêmica dos processos de governança, de gerenciamento de riscos e de controles internos: se a partir da realização de uma avaliação geral sobre esses temas ou da consolidação de um conjunto suficiente de trabalhos individuais realizados em um dado período.

Para o desenvolvimento do plano baseado em riscos, é recomendável que a UAIG observe as seguintes etapas, as quais devem ser devidamente documentadas, à medida que forem executadas:

a) entendimento da Unidade Auditada;

b) definição do universo de auditoria;

c) avaliação da maturidade da gestão de riscos;

d) seleção dos trabalhos de auditoria com base em riscos.

ENTENDIMENTO DA UNIDADE AUDITADA

A finalidade dessa etapa é adquirir conhecimentos sobre a Unidade Auditada; os seus objetivos; as estratégias e os meios pelos quais ela monitora o seu desempenho e os processos de governança, de gerenciamento de riscos e de controles internos. Dessa forma, a UAIG poderá ter segurança suficiente para identificar as áreas de maior relevância, os principais riscos e assim recomendar medidas que contribuam de fato para o aperfeiçoamento da gestão.

Para alcançar o conhecimento necessário para essa etapa, existem duas abordagens comumente usadas: uma abordagem de cima para baixo (top-down) e uma abordagem de baixo para cima (bottom-up).

A abordagem "de cima para baixo" se inicia no nível da unidade. Primeiramente, identificam-se os objetivos organizacionais e, em seguida, os processos principais relacionados a cada um desses objetivos, ou seja, aqueles processos cujas falhas comprometem diretamente o alcance dos objetivos da organização. Uma vez identificados, esses processos são analisados com mais detalhes. Para isso podem ser divididos em nível de subprocessos até chegar ao nível de atividade.

A abordagem "de baixo para cima" começa pelo exame das atividades. Em seguida, essas atividades são agregadas em processos que são identificados por toda a organização. O próximo passo é determinar os principais objetivos dos processos identificados.

As informações que devem ser adquiridas nessa etapa dizem respeito ao modelo de negócio da organização, ou seja: visão, missão, valores, objetivos, estratégias, processos e sistemas de gestão empregados pela unidade. Devem ser observados também o gerenciamento de riscos; como seus processos estão estruturados; o monitoramento de desempenho dos processos; que produtos ou serviços oferece; quais são os clientes; os beneficiários alvo entre outras informações necessárias para a compreensão dos seus objetivos e como seus processos estão estruturados para alcançá-los.

As fontes de informação mais comumente consideradas nesse processo são:

a) o conselho, a alta administração, os gestores dos processos e as demais partes interessadas, com quem é possível coletar diversas informações, entre elas, as expectativas em relação à atividade de auditoria interna;

b) áreas responsáveis pelo recebimento de denúncias da Unidade Auditada ou outras instâncias públicas que detenham essa competência, a fim de subsidiar a elaboração do planejamento;

c) documentos sobre planejamento organizacional (missão, visão, objetivos, valores, metas, indicadores etc.);

d) estrutura organizacional e de governança;

e) sistemas de gestão empregados;

f) marco legal e regulatório (leis, decretos, regimento interno, regulamentações externas incidentes sobre a Unidade Auditada e suas atividades, bem como políticas, procedimentos e manuais internos relevantes etc.);

g) resultados de trabalhos auditoria anteriores.

DEFINIÇÃO DO UNIVERSO DE AUDITORIA

A definição do universo de auditoria demanda amplo conhecimento, por parte da UAIG, sobre o negócio da Unidade Auditada, motivo pelo qual é recomendável que a sua estruturação seja iniciada após a realização da etapa descrita na seção anterior. Somente após ser obtida a compreensão dos objetivos da organização e dos seus principais processos, é possível definir os objetos que irão compor o universo de auditoria.

O universo de auditoria consiste no conjunto de objetos sobre os quais a UAIG pode realizar suas atividades, como: unidades de negócios, linhas de produtos ou serviços, processos, programas, sistemas, controles, operações, contas, divisões, funções, procedimentos, políticas.

Como os objetos podem variar bastante de uma UAIG para outra, é necessário que cada uma defina o conceito de objeto de auditoria que será adotado para a realização do seu plano de auditoria. Idealmente esse conceito deverá ser validado pela instância que aprovará o Plano de Auditoria Interna, uma vez que todo o planejamento da auditoria interna será realizado com base nesses objetos.

É preciso também definir quais informações constarão no cadastro dos objetos identificados, as quais devem permitir o entendimento do universo de auditoria da UAIG. Entre as informações passíveis de serem inseridas, estão a descrição do objeto e a indicação: da área responsável, dos principais normativos relacionados e de eventuais riscos que já tenham sido levantados pela UAIG ou pela própria organização, além de datas e conclusões referentes aos últimos trabalhos de auditoria realizados por parte da UAIG e de outras instituições de auditoria governamental e privada, se for o caso.

Definidos o conceito de objeto de auditoria e como esses serão descritos, cabe aos auditores responsáveis por essa etapa organizar os objetos que comporão o universo de auditoria e documentá-los. Preferencialmente, os objetos de auditoria devem ser registrados de forma hierárquica, em uma estrutura de árvore, que permita agregações em níveis variados. Para que um objeto possa ser comparado com outros, porém, é necessário que estejam no mesmo nível hierárquico, ou seja; não se deve, por exemplo, comparar um processo com uma etapa de outro processo.

AVALIAÇÃO DA MATURIDADE DA GESTÃO DE RISCOS

A maturidade da gestão de riscos é o grau em que a organização se encontra em relação à adoção e à aplicação da abordagem de gestão de riscos, ou seja: se dispõe de gerenciamento de riscos formalizado, se os princípios, a estrutura e os processos de gestão de riscos existem e estão integrados aos processos de gestão. Esse grau pode variar desde ausência de uma abordagem formal até existência de gestão de riscos totalmente incorporada às operações.

A finalidade dessa etapa é obter uma visão geral do quanto a administração e o conselho (se houver) determinam, avaliam, gerenciam e monitoram os riscos de forma harmoniosa com o arcabouço técnico adotado pela organização. Esse procedimento auxilia a UAIG no seu processo de planejamento, pois dá uma indicação da confiabilidade do cadastro de riscos e auxilia na definição da estratégia de auditoria.

Para que essa etapa atinja sua finalidade, faz-se necessário que a UAIG defina o modelo de avaliação de maturidade de gestão de riscos a ser aplicado.

O modelo deve prever os estágios de evolução da gestão de riscos, em níveis de maturidade, que caracterizem melhorias na implementação do processo de gestão de riscos.

A utilização do cadastro de riscos da organização e a definição da estratégia de auditoria dependerão do grau de maturidade da gestão de riscos da Unidade Auditada. Entre as estratégicas passíveis de serem utilizadas, de acordo com os diferentes graus de maturidade, destacam-se as constantes do quadro a seguir, que podem ser ampliadas, a depender do crivo da UAIG.

QUADRO 2 – Relação entre a Maturidade da Gestão de Riscos e o Planejamento da Auditoria IMPORTAR FOTO Fonte: elaboração própria

Após a realização da avaliação da maturidade da gestão de riscos da Unidade Auditada, é necessário que a alta administração e o conselho sejam informados sobre a conclusão da UAIG para que possam instituir a gestão de riscos, caso não haja na unidade, ou retroalimentar o processo, caso este já esteja implantado.

SELEÇÃO DOS TRABALHOS DE AUDITORIA COM BASE EM RISCOS

Embora a IN SFC nº 3, de 2017, estabeleça que os trabalhos que comporão o plano de auditoria sejam definidos com base em riscos, não há uma forma única de fazê-lo: cabe à UAIG, de acordo com suas especificidades, estabelecer a metodologia mais adequada para a sua organização. Este Manual, no entanto, com a finalidade de auxiliar nesse processo, apresenta três maneiras comumente utilizadas para esse fim:

a) seleção dos trabalhos com base na avaliação de riscos realizada pela Unidade Auditada;

b) seleção dos trabalhos com base na avaliação de riscos realizada pela UAIG;

c) seleção dos trabalhos com base em fatores de riscos.

Seleção dos trabalhos com base na avaliação de riscos realizada pela Unidade Auditada

Caso a UAIG tenha segurança razoável de que o processo de gerenciamento de riscos da Unidade Auditada apresenta alto nível de maturidade e, consequentemente, uma indicação de que o cadastro de riscos é confiável, os riscos identificados e mensurados pela organização poderão ser utilizados como insumo para a elaboração do Plano de Auditoria Interna.

Isso significa que, com base nos registros do processo de gerenciamento de riscos, a UAIG conhecerá os objetivos (estratégicos e operacionais), os riscos inerentes associados, com sua respectiva mensuração, e os controles internos da gestão implementados pela Unidade Auditada para mitigá-los. A próxima etapa então será vincular os riscos aos objetos estabelecidos no universo de auditoria.

Vinculação dos riscos aos objetos de auditoria

Como essa forma de seleção se baseia no cadastro de riscos da Unidade Auditada, é provável que não haja uma correspondência direta entre os riscos e o universo de auditoria. Para relacionar os objetos do universo de auditoria aos riscos, pode-se agrupar os riscos da mesma forma que o universo estiver estruturado: por categorias (por exemplo: financeiro, ambiental, de sistemas...) ou por unidade administrativa, função, macroprocesso, ação de governo, política... Assim, a UAIG disporá de uma lista em que os objetivos organizacionais, os riscos inerentes e os objetos de auditoria estarão associados. Na sequência, é necessário classificar os objetos de auditoria com base nos riscos associados a cada um deles. Se a um mesmo objeto estiverem associados, por exemplo, três riscos, pode-se somar os riscos associados a esse objeto ou, alternativamente, selecionar o risco de maior magnitude.

O princípio básico dessa definição consiste em considerar aqueles riscos com os maiores índices. Uma forma possível de hierarquização é somar os índices dos riscos de cada objeto de auditoria e, posteriormente, ordenar os objetos de auditoria com base no resultado da soma realizada.

Seleção dos trabalhos com base na avaliação de riscos realizada pela UAIG

Se a Unidade Auditada não possuir um processo de gerenciamento de riscos implementado ou se for incipiente, a UAIG poderá selecionar os trabalhos de auditoria a partir da identificação e da avaliação de riscos realizada por ela própria.

Para que o resultado do processo de levantamento e de avaliação dos riscos seja condizente com a realidade e útil, é fundamental que a UAIG interaja com a alta administração e com os gestores no decorrer de todo o seu desenvolvimento. Não obstante, deve ficar claro para todas as partes envolvidas que a relação dos riscos a ser construída pela UAIG tem por finalidade servir de base para a priorização dos trabalhos de auditoria, e que, ainda que possa contribuir para o gerenciamento de riscos da organização, não substitui a responsabilidade da alta administração, do conselho (se houver) e dos gestores nesse processo.

As etapas a serem realizadas nesta forma de seleção normalmente compreendem:

a) conhecimento dos objetivos (estratégicos e operacionais) organizacionais, conforme orientações constantes na seção 4.1.1 deste Manual (Entendimento da Unidade Auditada);

b) identificação dos riscos passíveis de ameaçar os objetivos organizacionais;

c) avaliação dos riscos;

d) associação dos riscos ao universo de auditoria, conforme descrito na seção 4.1.4.1.1 deste Manual (Vinculação dos riscos aos objetos de auditoria).

Identificação dos riscos

Com base no universo de auditoria, nos objetivos identificados e demais informações coletadas na etapa de entendimento sobre a Unidade Auditada, a UAIG deve, com o auxílio de técnicas de identificação de riscos apropriadas, compilar uma lista de riscos, conhecidos ou previsíveis, capazes de comprometer o alcance dos objetivos pela organização. Entre as técnicas passíveis de serem utilizadas pela UAIG nessa etapa, estão incluídas:

a) Brainstorming;

b) Entrevistas estruturadas ou semiestruturadas;

c) Técnica Delphi;

d) Listas de verificação;

e) Análise preliminar de Perigos;

f) Estudo de perigos e operabilidade;

g) Análise de causa e efeito;

h) Técnica estruturada (E se);

i) Análise de SWOT;

j) Análise de modos de falha e efeito.

A lista de riscos identificados constitui uma lista de riscos inerentes ao processo, ou seja, os riscos próprios da atividade, considerando-se que não houvesse controles para mitigá-los.

Avaliação dos riscos

Após os riscos serem identificados, é necessário avaliá-los, de modo que possam ser classificados e mesmo comparados. Para tanto, busca-se estimar a sua magnitude (nível de risco) com base, por exemplo, nos critérios do impacto do evento e sua probabilidade de ocorrência. Essa avaliação pode ser realizada por meio de métodos qualitativos e quantitativos. A depender do grau de conhecimento que possua da Unidade Auditada ou mesmo do processo de avaliação de riscos, a UAIG pode basear sua análise em outros critérios, como vulnerabilidade e velocidade do impacto, ou até mesmo desdobrar os critérios impacto e probabilidade em outros critérios menores.

É recomendável que, para classificar os riscos em termos de impacto e de probabilidade, sejam definidas escalas para essas duas perspectivas. Essas escalas possibilitam interpretação e aplicação consistentes por diferentes partes envolvidas. Quanto mais descritivas forem as escalas, melhor será a interpretação pelos usuários. O ideal é encontrar o equilíbrio entre simplicidade e abrangência.

Os Anexos A e B apresentam exemplos de escalas de impacto e de probabilidade. As escalas devem permitir uma diferenciação significativa para fins de classificação dos riscos, o que permitirá representá-los de forma hierárquica ou em forma gráfica, em função do seu nível. Para fins de representação gráfica, pode ser utilizado o Mapa de Riscos, representado em dois eixos (impacto x probabilidade), cujas áreas representam os diferentes níveis de riscos. É possível, então, visualizar a criticidade dos riscos de acordo com a área em que são plotados no Mapa.

O Anexo C apresenta o exemplo de um Mapa de Riscos.

Seleção dos trabalhos com base em fatores de risco

Uma outra forma de selecionar os trabalhos de auditoria com base em riscos, ainda que indiretamente, é associar os objetos de auditoria a fatores riscos. Esse método costuma ser executado fundamentalmente em dois estágios: definição dos fatores de risco e priorização dos objetos de auditoria.

Definição dos fatores de risco

Esta etapa consiste na definição dos critérios de priorização, chamados de fatores de risco, os quais são empregados para identificar a importância relativa das condições e eventos que poderiam afetar adversamente a organização.

Não existe uma regra única para essa definição, mas a UAIG deve estabelecer os fatores de risco que considere mais adequados à realidade da Unidade Auditada. É necessário também que haja dados disponíveis relacionados a esses fatores e que eles sejam definidos de modo a possibilitar a atribuição de alguma medida (graus, pontos, categorias...) aos objetos de auditoria mapeados. É importante também que a UAIG considere, ao estabelecer os fatores, os processos de governança, de gerenciamento de riscos e de controles internos da Unidade Auditada, bem como a possibilidade de ocorrência de erros, fraudes ou não conformidades significativas.

Os fatores de risco podem ser quantitativos ou qualitativos. O que caracteriza os critérios quantitativos é que podem ser mensurados em alguma medida, tais como número de denúncias recebidas, materialidade (que pode ser entendida como o recurso envolvido naquele objeto de auditoria ou seu custo associado, por exemplo), tempo desde a última auditoria realizada sobre aquele objeto, quantidade de recomendações pendentes de atendimento, nota de avaliação de controles internos, impacto econômico, entre outros.

Já os critérios qualitativos se caracterizam por um certo grau de subjetividade, justamente por não haver uma forma objetiva de os quantificar. Alguns exemplos são o impacto social e ambiental associado àquele objeto de auditoria, a qualidade e a aderência de seus controles internos, a gravidade dos achados das últimas auditorias, a relevância daquele objeto específico para o alcance dos objetivos estratégicos da Unidade Auditada, a estabilidade do objeto de auditoria, a possibilidade de ocorrência de problemas relacionados ao objeto identificado, o grau de maturidade do objeto de auditoria que está sendo avaliado ou das unidades envolvidas em sua execução.

No caso de critérios qualitativos, pode ser definida uma escala de avaliação, com gradações qualitativas, de modo que a UAIG possa atribuir os pontos aos objetos de auditoria mapeados (1 – muito baixo; 2 – baixo; 3 – moderado; 4 – alto; e 5 – muito alto, por exemplo). Podem ser utilizadas também outras técnicas que permitam a uniformização das unidades de medida dos critérios definidos.

Nada impede que sejam utilizados tanto critérios quantitativos quanto qualitativos, mas deve-se buscar alguma metodologia de normalização dos dados, de modo que tais critérios possam compor uma mesma fórmula de pontuação.

Deve-se evitar a utilização de critérios que não possam ser associados a todos os objetos de auditoria. Caso não seja possível (como por exemplo, se a materialidade for utilizada como critério, e nem todo objeto possuir um valor monetário atribuído a ele), o universo de auditoria deve ser subdividido, de modo que as avaliações sejam feitas separadamente. Posteriormente, os resultados devem ser consolidados em uma ou mais matrizes, com o auxílio de alguma metodologia de normalização que permita a sua comparabilidade com base em premissas estabelecidas.

Posteriormente, é necessário definir se serão estabelecidos pesos para diferenciar os critérios. Em caso positivo, esses pesos e a forma como foram estabelecidos devem ficar registrados, na descrição da metodologia.

É importante que, uma vez definidos os critérios, haja a validação por parte da instância que aprovará o Plano de Auditoria Interna, para que todos os envolvidos se apropriem da forma como será realizado o planejamento das atividades da auditoria interna e que seja possível a comparação entre os objetos de auditoria ao longo dos anos.

Após a contabilização da pontuação dos objetos de auditoria, estes devem ser ordenados de forma que aqueles que receberam maior “nota” sejam considerados prioritários.

CONTEÚDO DO PLANO DE AUDITORIA INTERNA

Os trabalhos de auditoria, cuja forma de seleção, baseada em análise de riscos, foi detalhada ao longo da seção 4.1.4, constituem uma parte fundamental do Plano de Auditoria Interna, mas não a única. A UAIG deve avaliar a necessidade de incluir, no referido plano, trabalhos de auditoria solicitados pela alta administração e pelas demais partes interessadas. Além disso, deve considerar: a eventual necessidade de inclusão ou exclusão de itens em função do planejamento de outras UAIG que exerçam a função de auditoria de forma concorrente e a necessidade de rodízio de ênfase sobre os objetos de auditoria.

Tendo em vista as atribuições da UAIG, portanto, é necessário que o Plano de Auditoria Interna apresente:

QUADRO 3 – Conteúdo mínimo do Plano de Auditoria Interna

QUADRO

Fonte: elaboração própria

Para cada trabalho incluído no plano, deve haver indicação quanto ao tipo de trabalho (avaliação, consultoria, apuração ou outra atividade que não seja típica da função de auditoria interna). Devem também ser apresentados o seu objetivo geral e as informações necessárias para dimensionamento dos recursos a serem alocados.

Relação dos trabalhos de auditoria ou outros de realização obrigatória

Muitas organizações governamentais contam com menor liberdade na seleção das auditorias que realizam, seja devido a leis, seja por demanda de autoridades governamentais. Essas avaliações obrigatórias devem constar do plano. No entanto, sobre esses objetos, não há que se falar em avaliação de riscos no momento de elaboração do plano de auditoria, uma vez que, de forma independente da análise dos riscos, os trabalhos devem ser realizados. Nesses casos, a avaliação do risco poderá ocorrer, caso a legislação permita, na etapa de planejamento dos trabalhos individuais, conforme será explicitado na seção 4.3.2.1 deste Manual. Devem ser considerados prioritariamente, de modo que seja garantida a disponibilidade de recursos para atender a essas demandas.

Relação dos trabalhos de auditoria selecionados em função do rodízio de ênfase

O rodízio de ênfase constitui uma rotação entre os objetos que compõem o universo de auditoria em determinado período, de modo a evitar, por um lado, a realização de diversos trabalhos de auditoria sobre um mesmo objeto; por outro lado, a inexistência de trabalhos sobre outros objetos associados a um menor risco.

Para definição do rodízio de ênfase, deve ser estabelecida uma metodologia na qual seja especificado o período (ou ciclo) dentro do qual serão realizados trabalhos de auditoria para os objetos de auditoria de menor risco (por exemplo, três, quatro ou cinco anos).

A metodologia também deve considerar a diferenciação entre os riscos associados aos objetos para definir a frequência de realização dos trabalhos. Por exemplo, pode haver objetos de auditoria para os quais deva ser realizado trabalho de auditoria em todos os exercícios, enquanto outros, por terem menores riscos associados, podem ser auditados a cada dois anos ou até mais.

Excepcionalmente, a depender do nível de risco e da relação custo-benefício, o responsável pela UAIG poderá definir que alguns objetos poderão ser auditados em intervalos ainda maiores.

É importante que a metodologia para aplicação do rodízio de ênfase seja aprovada pela autoridade responsável pela aprovação do Plano de Auditoria Interna, uma vez que os trabalhos realizados em função desse rodízio impactarão a elaboração do Plano.

Relação dos trabalhos de auditoria selecionados com base na avaliação de riscos

A metodologia utilizada deve ser documentada, devendo explicitar o método e os critérios utilizados para classificação desses trabalhos; eventuais pesos atribuídos aos critérios; e os aspectos utilizados para definir quantos e quais trabalhos serão priorizados.

Se trabalhos de auditoria estabelecidos como essenciais pela alta administração ou pelo conselho forem incluídos no planejamento da UAIG em detrimento de outros trabalhos classificados por meio dos critérios de risco, devem constar na documentação da metodologia os fatores motivadores para a sua realização.

Caso a priorização dos objetos de auditoria não possa ser obedecida, as razões também devem ser registradas e, sempre que possível, avaliadas pela UAIG no exercício subsequente para fins de melhoria contínua do processo de planejamento.

Capacitação dos auditores internos governamentais

A previsão de carga horária mínima de 40 horas de capacitação anual dos auditores internos governamentais visa a permitir o aperfeiçoamento dos seus conhecimentos, de suas habilidades e de outras competências, por meio do desenvolvimento profissional contínuo. Essa capacitação deve se dar preferencialmente com base em um programa de formação e desenvolvimento de recursos humanos e pode incluir cursos formais, seminários, workshops, encontros, visitas técnicas, cursos de pós-graduação, cursos a distância, curso de progressão funcional, treinamento no trabalho, entre outros.

Importa destacar ser competência do responsável pela UAIG: identificar as deficiências e as lacunas na formação e no desempenho dos auditores e buscar supri-las por meio de ações como as citadas no parágrafo anterior. Caberá, portanto, também a ele identificar a necessidade de fornecer oportunidades que excedam a carga horária mínima obrigatória, o que é bastante recomendável, sobretudo em decorrência das constantes modificações pelas quais a área de auditoria vem passando, além do surgimento de novas tecnologias, da maior exigência da sociedade em relação à prestação de contas, à transparência, entre outros.

Monitoramento de recomendações não implementadas

A UAIG deve estabelecer a forma e a frequência do monitoramento das recomendações emitidas em trabalhos anteriores com base nos riscos envolvidos e na complexidade do objeto da recomendação. A depender da criticidade, pode ser necessária a realização de trabalho de auditoria específico para avaliação da implementação das recomendações.

Indicação de como serão tratadas demandas extraordinárias recebidas pela UAIG

As demandas extraordinárias constituem trabalhos cuja necessidade surge durante o período de execução do Plano de Auditoria Interna. Uma vez consideradas importantes pela UAIG e aprovadas pela instância responsável pela aprovação do Plano, essas demandas podem ser a ele incorporadas.

Entre as estratégias mais utilizadas para tratamento desse tipo de demanda, está a definição de uma reserva técnica, medida em percentual da capacidade operacional disponível na UAIG. Para isso, pode-se avaliar o histórico de demandas extraordinárias recebidas para se obter uma média de alocação de recursos. De acordo com essa proposta, o Plano de Auditoria Interna inicial não deverá ocupar todos os recursos disponíveis, uma vez que parte da capacidade operacional estará reservada para trabalhos cuja necessidade de realização poderá ser identificada ao longo do exercício.

Alternativamente, poder-se-á definir que o Plano ocupará o máximo de recursos da UAIG, de modo que haja um processo de revisão quando surgir a necessidade de realização de novos trabalhos durante a sua execução.

Atividades relacionadas à elaboração do Plano de Auditoria Interna do exercício subsequente

O Plano deve conter previsão para as etapas de elaboração do Plano de Auditoria Interna do ano subsequente, indicando as atividades necessárias e a capacidade operacional a ser alocada nessa discussão.

Atividades destinadas à avaliação do Plano de Auditoria Interna do exercício em curso

Devem ser previstas, no Plano de Auditoria Interna:

a) as atividades de avaliação da sua execução, as quais devem ocorrer no próprio exercício de vigência;

b) a periodicidade dessa aferição (se bimestral, trimestral, quadrimestral ou semestral) que poderá variar de acordo com a quantidade de trabalhos constantes do Plano e do custo de obtenção das informações necessárias para essa avaliação;

c) a forma por meio da qual essas atividades serão realizadas, a qual deverá ser validada pela instância responsável pela sua aprovação.

A avaliação da execução do Plano deve subsidiar as eventuais alterações e culminar com a elaboração de um relatório sobre os resultados da UAIG no exercício. A elaboração desse relatório também deve estar prevista no Plano de Auditoria Interna. Estará prevista, portanto, em cada plano, a elaboração do relatório referente ao Plano do exercício anterior.

O conteúdo e o prazo para elaboração desse relatório serão tratados em normativo específico a ser emitido pelo órgão central do SCI.

Exposição, sempre que possível, das premissas, restrições e riscos associados à execução do Plano de Auditoria Interna

Considerando que o Plano de Auditoria Interna contém as atividades a serem executadas pela UAIG ao longo do exercício seguinte ao da sua elaboração, convém que, sempre que possível, sejam explicitadas as premissas sobre as quais o Plano foi construído e quais são os riscos e/ou restrições previamente identificados

PERIODICIDADE DO PLANO DE AUDITORIA INTERNA

Deverá ser elaborado um Plano de Auditoria Interna para cada exercício. Os órgãos e as unidades integrantes do SCI, dada a necessidade de harmonização do seu planejamento com o planejamento das demais UAIG, poderão estabelecer período não coincidente com o ano civil para o seu Plano.

RECURSOS

A UAIG deve possuir clareza de quais competências técnicas são requeridas para a execução dos trabalhos constantes do Plano de Auditoria Interna. Deve prever, ainda, o esforço e o cronograma para cada trabalho, com as datas de início e fim, e, sempre que possível, o custo estimado.

A definição do esforço estimado pode ser feita na métrica que melhor convier à UAIG, de acordo com sua realidade e, eventualmente, com seus sistemas internos de gestão de recursos humanos. A forma mais comum, no entanto, baseia-se na definição das horas de trabalho requeridas.

Essa definição permitirá ao responsável pela UAIG avaliar a adequação e a disponibilidade de recursos humanos, financeiros e tecnológicos para a execução dos trabalhos ao longo do período ao qual se refere o Plano de Auditoria Interna. Tais fatores também poderão ser utilizados para definição da ordem de realização dos trabalhos.

Caso os auditores internos governamentais não possuam, coletivamente, as competências técnicas requeridas para a realização dos trabalhos, cabe ao responsável pela UAIG providenciar formas de superar essa dificuldade, a exemplo de: capacitação prévia dos auditores que irão executar o trabalho; realização de trabalhos compartilhados com auditores governamentais externos à UAIG; contratação de especialistas externos. Nos dois últimos casos, deve ser observada a seção 3.3 deste Manual.

COMUNICAÇÃO E APROVAÇÃO DO PLANO DE AUDITORIA INTERNA

Para permitir a harmonização do planejamento das UAIG, a racionalização de recursos e evitar a sobreposição de trabalhos, a proposta de Plano de Auditoria Interna das Audin e das unidades setoriais do SCI, e suas eventuais alterações, devem ser encaminhadas ao órgão ou à unidade do SCI responsável pela sua supervisão técnica(CGU, Ciset ou unidade setorial do SCI, conforme o caso), o qual deve se manifestar sobre o Plano recebido, em tempo hábil, e recomendar, quando necessária, a inclusão ou a exclusão de trabalhos específicos.

A ausência de manifestação tempestiva das unidades e dos órgãos supervisores não impede a adoção, por parte das Audin e das unidades setoriais do SCI, das providências necessárias à aprovação interna do planejamento pelo conselho ou pela instância com atribuição equivalente ou, inexistindo ambos, pela alta administração.

Após a aprovação do Plano de Auditoria Interna, as Audin deverão dar ciência de sua versão final ao órgão ou unidade do SCI responsável pela sua supervisão técnica (CGU, Ciset ou unidade setorial do SCI, conforme o caso). Da mesma forma, o Plano de Auditoria Interna dos órgãos setoriais e das unidades setoriais do SCI devem ser encaminhados, anualmente, ao órgão central do SCI ou à Ciset, conforme o caso, para exercício da supervisão.

Ademais, os órgãos e unidades integrantes do SCI devem comunicar seu Plano de Auditoria Interna às respectivas Unidades Auditadas e às Audin que estão sob sua supervisão, de forma a estabelecer um ambiente de cooperação e harmonia.

Para orientar a operacionalização do fluxo de comunicação e aprovação, devem ser observados os termos definidos em normativo específico a ser emitido pelo Órgão central do SCI.

ALTERAÇÃO DO PLANO DE AUDITORIA INTERNA

Nos momentos de avaliação do Plano, a UAIG pode identificar a necessidade de que trabalhos previstos inicialmente sejam alterados e demandas extraordinárias que surjam ao longo do exercício sejam inseridas.

Caso não tenha sido definida nenhuma reserva técnica para essas situações, ou tal reserva já tenha sido esgotada, deve-se fazer a avaliação da oportunidade e da conveniência de se acrescentarem tais trabalhos ao Plano de Auditoria Interna. Essa avaliação pode depender da prioridade dos novos trabalhos e da avaliação de risco realizada pela UAIG, podendo ter como consequência:

a) o acréscimo desses trabalhos sem alteração daquilo que já estava previsto, caso haja capacidade operacional disponível;

b) a redução de escopo de trabalhos que já estavam planejados;

c) a exclusão de alguns trabalhos menos prioritários, liberando recursos para a execução dos novos projetos.

Todo o processo de revisão deverá ser documentado, e a metodologia, discutida e aprovada pela instância responsável. O Plano com as alterações deverá ser divulgado aos mesmos atores que tomaram conhecimento da versão inicial. A depender do tamanho da UAIG, do volume e do tipo de alterações realizadas e da relevância dos trabalhos que estão sendo excluídos/incluídos, a alteração do Plano deverá ser submetida à análise da instância responsável pela aprovação da versão inicial.

É importante também avaliar a possibilidade de criação de indicadores que permitam demonstrar o quanto o Plano foi alterado ao longo de sua execução.

Dessa forma, torna-se mais fácil identificar as possíveis causas dessas alterações e avaliar a metodologia de elaboração, o que pode promover o aperfeiçoamento do processo de planejamento.

No caso das Audin, aquelas alterações passíveis de encaminhamento para aprovação da alta administração ou do conselho devem ser disponibilizadas previamente para manifestação da CGU, ou do respectivo órgão ou unidade setorial do SCI responsável pela supervisão técnica.

FORMALIZAÇÃO DO TRABALHO DE AUDITORIA

Antes de ser iniciado, o trabalho de auditoria deve ser formalizado internamente por meio de documento expedido pelo responsável pela UAIG ou por outro agente a quem essa competência for delegada. Esse documento deve trazer a síntese das principais diretrizes e informações acerca do trabalho e pode ser produzido antes mesmo da elaboração do programa de trabalho, que traz informações mais completas sobre a atividade que será desenvolvida.

A nomenclatura, o modelo, o conteúdo, e a forma de expedição (física ou eletrônica) devem ser definidos em normatização interna de cada UAIG. Em relação à nomenclatura, é mais comum a utilização de Ordem de Serviço.

Quanto ao conteúdo, normalmente constam as seguintes informações:

a) o tipo de trabalho a ser realizado;

b) a Unidade Auditada;

c) o objeto da auditoria;

d) o objetivo estabelecido no Plano de Auditoria Interna;

e) o prazo previsto para desenvolvimento das atividades;

f) os auditores que comporão a equipe de auditoria, o responsável pela supervisão e o responsável pela coordenação do trabalho.

Essa formalização visa à organização interna e tem como destinatários os auditores. Há, entretanto, a necessidade de que o trabalho seja comunicado formalmente também à Unidade Auditada, o que deve ocorrer tão logo a UAIG tenha clareza sobre as diretrizes do trabalho e haja a necessidade de maior interação com os responsáveis pelo objeto da auditoria.

PLANEJAMENTO DOS TRABALHOS INDIVIDUAIS DE AUDITORIA

Para cada trabalho de auditoria previsto no Plano de Auditoria Interna, deve ser realizado um planejamento específico, o qual deve estabelecer os principais pontos de orientação das análises a serem realizadas, incluindo, entre outras, informações acerca dos objetivos do trabalho, do escopo, das técnicas a serem aplicadas, das informações requeridas para os exames, do prazo de execução e da alocação dos recursos ao trabalho.

É fundamental que todos os membros da equipe participem dessa etapa ativamente, de forma que todos contribuam com seus conhecimentos e experiências para definir os objetivos e os meios de alcançá-los e conheçam as atividades que estarão sob sua responsabilidade, bem como a importância dessas atividades para o sucesso do trabalho.

Para que se realize adequadamente essa etapa, a IN SFC nº 3, de 2017, prevê a necessidade de se considerarem, entre outras, as atividades descritas a seguir:

a) análise preliminar do objeto da auditoria;

b) definição dos objetivos e do escopo do trabalho, considerando os principais riscos existentes e a adequação e suficiência dos mecanismos de controle estabelecidos;

c) elaboração do programa de trabalho.

Os passos descritos a seguir são indicados para que os auditores tenham segurança razoável na elaboração do planejamento dos trabalhos individuais de auditoria com foco em riscos e, consequentemente, agreguem valor à Unidade Auditada, identificando oportunidades para aperfeiçoamento dos processos de governança, gerenciamento de riscos e de controle dessa unidade.

ANÁLISE PRELIMINAR DO OBJETO DE AUDITORIA

A análise preliminar do objeto constitui uma etapa fundamental dos trabalhos de auditoria. É necessária para ajudar os auditores internos governamentais a obter uma compreensão suficiente do objeto de auditoria e para que se estabeleçam de forma mais clara os objetivos, o escopo do trabalho, os exames a serem realizados e os recursos necessários para a realização da auditoria.

Essa etapa normalmente começa com uma análise do Plano de Auditoria Interna, para que a equipe obtenha o entendimento do contexto do trabalho selecionado e do motivo pelo qual ele foi incluído no plano. Devem ser considerados também os aspectos relevantes coletados durante o entendimento da Unidade Audita que impactam no objeto de auditoria, especialmente:

a) os objetivos e estratégias da Unidade Auditada e os meios pelos quais ela monitora o seu desempenho;

b) os riscos significativos a que a Unidade Auditada está exposta e as medidas de controle a eles relacionadas (definidos pela estrutura organizacional competente, conforme a política de gestão de riscos da organização);

c) os processos de governança, de gerenciamento de riscos e de controles internos da Unidade Auditada.

Posteriormente, a equipe realiza o levantamento de outras informações, como as seguintes:

a) objetivos e riscos associados ao objeto de auditoria (definidos pela estrutura organizacional competente, conforme a política de gestão de riscos da organização) e os controles internos associados a esses riscos;

b) apetite a risco da organização em relação aos riscos associados ao objeto da auditoria (definido pela estrutura organizacional competente, conforme a política de gestão de riscos da organização);

c) relação do objeto de auditoria com a missão, visão, objetivos estratégicos da Unidade Auditada;

d) objetivos e estrutura de governança, de gerenciamento de riscos e controles do objeto de auditoria;

e) indicadores de desempenho do objeto de auditoria;

f) fluxogramas (mapas de processos) relacionados ao objeto da auditoria;

g) responsáveis pelo objeto da auditoria;

h) estrutura organizacional das áreas envolvidas;

i) leis e regulamentos, normas, orientações, manuais e procedimentos internos, decisões de órgãos reguladores relacionados ao objeto de auditoria;

j) jurisprudência de interesse (Tribunal de Contas da União, Supremo Tribunal Federal, Superior Tribunal de Justiça etc.);

k) estudos sobre o objeto da auditoria;

l) quantidade/lotação/perfil da força de trabalho envolvida (inclusive terceirizados);

m) principais insumos utilizados (energia, equipamentos, matéria-prima etc.);

n) sistemas informatizados utilizados;

o) partes interessadas;

p) programas/ações orçamentários envolvidos;

q) materialidade dos recursos (em R$);

r) histórico de achados;

s) recomendações dos órgãos de controle pendentes de atendimento;

t) informações extraídas de sistemas corporativos, da imprensa, da internet;

u) resultados de trabalhos anteriores.

Uma parte dessas informações pode ser obtida a partir dos papéis de trabalho do tipo permanente mantidos pela UAIG. Outra parte dessas informações pode ser obtida por meio de entrevistas e reuniões com os gestores e servidores/empregados da Unidade Auditada ou por meio de visitas in loco, para se observar o funcionamento do objeto a ser auditado.

Mapeamento/validação do objeto selecionado

O objeto selecionado em uma auditoria normalmente é um processo. Entende-se por processo um conjunto de atividades sequenciadas e relacionadas entre si que têm como finalidade transformar insumos em produtos e serviços. Embora não seja obrigatório, recomenda-se o desenho do processo a ser auditado, ou seja, o fluxo do processo, o qual permite que se enxerguem com maior facilidade seus participantes e suas atribuições, os controles existentes, as oportunidades de melhoria, e também: a ausência de controles em etapas-chave, lacunas, problemas e, principalmente, os riscos que ameaçam os objetivos do objeto da auditoria.

Mapear um processo significa desenhar a sequência de atividades, de decisões e de documentos indicando o sentido de seu fluxo, de forma a deixar clara a relação entre todos esses elementos, de acordo com uma visão que parte do nível maior de detalhe para o menor. Trata-se, pois, da análise estruturada do objeto da auditoria, de seus componentes (agentes, responsáveis, atividades, processos, subprocessos, produtos, entre outros) e do relacionamento entre eles, de forma a tornálo mais facilmente compreensível.

Caso o gestor já tenha mapeado os seus processos, os auditores deverão realizar procedimentos (a exemplo de entrevistas com funcionários responsáveis pela gestão e pela execução do processo que será auditado) para testar os fluxos e verificar se o mapeamento realizado corresponde à realidade e se atende às necessidades do trabalho que será desenvolvido.

Se o processo não tiver sido mapeado pelo gestor ou se o mapa não for considerado adequado para o trabalho de auditoria, os auditores poderão realizar o mapeamento ou, ao menos, elaborar um memorando descritivo que identifique as atividades desenvolvidas, sua sequência e os responsáveis pelas etapas do processo. Para tanto, será necessária uma forte interação com os gestores e com os demais profissionais que se relacionam com o objeto da auditoria na Unidade Auditada. Para que essa etapa seja concluída adequadamente, pode ser também necessária a realização de alguns testes, como análise documental, observação, entre outros.

É preciso atentar para a existência de possíveis diferenças entre o processo normatizado (leis, portarias, resoluções etc.) e o seu fluxo real, aquele que ocorre no cotidiano da Unidade Auditada. Caso o auditor detecte divergências relevantes entre a descrição do processo e o modo como ele é realizado, na prática, deverá aprofundar os exames, tendo em vista que essas diferenças podem representar inobservância e/ou inadequação dos controles internos ou até indicar que as normas estão inapropriadas. Assim sendo, as eventuais diferenças identificadas e a sua origem devem ser registradas.

Validação com o gestor

O mapeamento/memorando descritivo deve ser realizado com a participação das pessoas que conhecem o processo em questão e seu contexto organizacional, ou seja, os gestores e profissionais envolvidos nessas atividades. Dessa forma, é necessário que a equipe de auditoria, nos casos em que ela própria tiver realizado o mapeamento do processo, verifique junto aos respectivos gestores se a descrição ou o desenho estão compatíveis com a realidade.

Documentação do entendimento

É necessário organizar os papéis de trabalho utilizados para obtenção do entendimento do objeto auditado, de modo a possibilitar que outra pessoa com conhecimento suficiente das práticas de auditoria interna governamental, que não teve contato anterior com o objeto, possa compreendê-lo.

Tendo em vista que as informações coletadas até esta etapa são relevantes, contribuem para o conhecimento da Unidade Auditada e servem de subsídios para outras auditorias, sugere-se que sejam organizadas e arquivadas como papel de trabalho permanente.

OBJETIVOS E ESCOPO DO TRABALHO DE AUDITORIA

Finalizada a análise preliminar do objeto de auditoria, a equipe deverá ter condição de definir, ainda que preliminarmente, os objetivos do trabalho de auditoria e proceder a uma primeira declaração do escopo, os quais poderão ser aprimorados após a avaliação dos riscos e dos controles associados ao objeto.

Os objetivos consistem basicamente nas questões a que a auditoria pretende responder. Devem ser descritos de modo que o propósito da auditoria fique claro; além disso, devem ser concisos, realistas e não conter termos ambíguos ou abstratos. Devem ser cuidadosamente elaborados para cada trabalho pelas seguintes razões:

a) definem especificamente os resultados pretendidos na auditoria;

b) direcionam o escopo, os testes, o tempo, os recursos e as competências necessárias na equipe, a metodologia e a natureza do trabalho de auditoria;

c) orientam a formulação dos achados de auditoria.

Ao desenvolver os objetivos do trabalho, os auditores internos governamentais devem:

a) observar que objetivos do trabalho constituem o desdobramento do objetivo geral inicialmente definido no Plano da Auditoria Interna e devem estar em harmonia com os objetivos do objeto auditado. Para os trabalhos de auditoria não previstos inicialmente no plano, os objetivos do trabalho devem ser elaborados para atender o aspecto específico que o motivou;

b) considerar os principais riscos e a adequação e a suficiência dos mecanismos de controle estabelecidos;

c) considerar as expectativas das partes interessadas;

d) considerar a possibilidade de ocorrência de erros significativos, fraudes, não conformidades e outras exposições relacionadas ao objeto da auditoria.

Como um trabalho de auditoria, geralmente, não pode abranger tudo, os auditores internos devem determinar os limites da auditoria, o que será e o que não será incluído, ou seja, o escopo. Quando os auditores internos estabelecem o escopo do trabalho, eles consideram componentes como os limites da área ou do processo, subprocessos, período de tempo e localizações geográficas a serem avaliadas.

Assim, o escopo deve apresentar uma clara declaração do foco, da extensão e dos limites da auditoria, e sua amplitude deve ser suficiente para que os objetivos da auditoria sejam atingidos. Escopo e objetivos, portanto, devem ser compatibilizados.

Além dos objetivos do trabalho, outros elementos contribuem para se definir o escopo. São eles: o tipo do trabalho que se pretende realizar; as necessidades dos usuários potenciais dos resultados do trabalho; o tipo e a extensão dos problemas encontrados nos relatórios de auditoria dos anos anteriores; trabalhos de auditoria elaborados por outra UAIG, por órgão de controle externo ou entidade de auditoria privada; os níveis de materialidade e dos riscos identificados; a adequação dos mecanismos de controle, entre outros.

Avaliação de riscos e de controles

Para considerar os principais riscos e a adequação e a suficiência dos mecanismos de controle estabelecidos, sobretudo nas organizações que não possuam uma abordagem consistente em gestão de riscos, a equipe de auditoria poderá utilizar técnicas de avaliação de riscos. Essa etapa tem como propósitos: identificar quais riscos podem influenciar o cumprimento dos objetivos do objeto da auditoria; verificar as causas e as consequências desses riscos; classificá-los e, ainda, identificar e avaliar a adequação do desenho dos controles internos da gestão, de forma a concluir sobre quais riscos e controles deverão ser analisados prioritariamente.

Identificação de riscos inerentes

Nos casos em que o gestor disponibilizar o processo mapeado, os objetivos do objeto de auditoria e os riscos identificados, a equipe deverá realizar análise e revisão desses documentos com a finalidade de averiguar a sua suficiência e a sua adequação ao trabalho de auditoria que será realizado.

Caso o gestor não tenha clareza sobre os objetivos e os riscos relativos ao objeto de auditoria, os auditores deverão interagir com ele, de forma a confirmar o entendimento sobre os objetivos obtido na etapa de análise preliminar do objeto de auditoria.

Em seguida, com base nos objetivos identificados, nas demais informações coletadas na etapa de análise preliminar do objeto de auditoria e com o auxílio das técnicas de identificação de riscos, a equipe deverá compilar uma lista de riscos, conhecidos ou previsíveis, associados ao objeto de auditoria, capazes de comprometer o alcance dos seus objetivos.

Para auxiliar no desenvolvimento dessa etapa, podem ser utilizadas as mesmas técnicas citadas na seção 4.1.4.2.1.

Os riscos constantes da lista devem ser os inerentes ao objeto, ou seja, os riscos próprios da atividade.

Uma vez identificados os riscos, é preciso compreendê-los, verificando suas causas e também as suas consequências, isto é, os resultados do evento que podem afetar os objetivos.

Para a identificação das causas, devem ser verificadas as fontes de riscos e suas vulnerabilidades, tendo em vista que as fontes de riscos associadas às respectivas vulnerabilidades possibilitam que um evento ocorra, ou seja, que um risco se materialize. Para identificar as consequências, normalmente são suficientes o conhecimento do processo e a dedução lógica.

O Quadro 4 não constitui uma lista exaustiva, mas contribui para o levantamento de possíveis causas de risco.

QUADRO 4

Fonte: Adaptado de COSO ERM e Curso de Controles Internos do TCU. SFC (2017)

Avaliação dos riscos inerentes

Analisados os riscos inerentes ao processo, é preciso calcular a sua magnitude, considerando-se os princípios já detalhados na seção 4.1.4.2.2. É importante notar, no entanto, que, aquele item se refere aos riscos que ameaçam o alcance dos objetivos da organização, ao passo que, nesta etapa, trata-se dos riscos relacionados ao alcance dos objetivos específicos do objeto selecionado para o trabalho de auditoria.

Identificação e avaliação preliminar dos controles internos

Com base nas informações coletadas na análise preliminar, e nos riscos relevantes relacionados aos objetivos do objeto de auditoria, os auditores devem identificar e avaliar preliminarmente os respectivos controles que a gestão adota para gerenciar esses riscos.

As finalidades dessa etapa são identificar os controles internos estabelecidos para tratamento dos riscos relevantes e avaliar se o seu desenho está adequado aos riscos a que pretendem responder.

A identificação dos controles, na verdade, é uma extensão da análise preliminar do objeto de auditoria e da avaliação de riscos realizados em etapa anterior. Então, ao realizar essa atividade, é importante ter a compreensão:

a) dos objetivos do objeto de auditoria e dos respectivos riscos;

b) dos procedimentos e das normas relacionados ao objeto da auditoria;

c) dos sistemas de informação que dão suporte ao objeto de auditoria;

d) dos diferentes tipos de atividades de controle: procedimentos de autorização e aprovação; segregação de funções (autorização, execução, registro, controle); controle de acesso a recursos e registros; verificações; conciliações; avaliação do desempenho operacional; avaliação das operações, dos processos e das atividades; supervisão, entre outros.

A avaliação preliminar dos controles consiste na verificação do modo como os controles foram planejados e estruturados e se o seu desenho é capaz de garantir segurança razoável de que os riscos relacionados ao objeto em questão estão sendo gerenciados a um nível aceitável. É atividade fundamental para o planejamento da auditoria, pois dela decorrerão: o risco de controle, o nível do risco residual e a definição dos testes de auditoria.

Nessa etapa, é importante considerar:

a) a existência de compatibilidade entre os objetivos do objeto de auditoria, seus riscos e os objetivos dos controles estabelecidos;

b) a relação custo-benefício;

c) a segregação de funções e o rodízio de funcionários;

d) a definição de responsabilidades;

e) se os controles foram desenhados em consonância com os princípios dos controles internos da gestão previstos na IN Conjunta MP/CGU nº 01, de 2016;

f) as características dos controles, especialmente, quanto à função (preventivo, detectivo, corretivo, diretivo, compensatório ou complementar) e à forma de implementação (manual ou automatizada);

g) se o controle avaliado é o único ou o principal destinado a mitigar determinado risco;

h) a frequência com que o controle é acionado (permanente, anual, trimestral, mensal, semanal, diário ou por transação).

Também devem ser verificadas, com base em benchmarking, por exemplo, as melhores práticas de controles que mitiguem os riscos relevantes identificados, com o objetivo de aferir se o que é praticado pelo gestor pode ser aperfeiçoado.

Com base nessas informações e no julgamento profissional dos auditores internos governamentais, o resultado da avaliação preliminar dos controles internos da gestão deverá ser registrado. Para tanto, podem ser usadas escalas em termos quantitativos, de 1 a 10, por exemplo, ou em termos não quantitativos, como: inexistente, fraco, mediano, satisfatório ou forte.

O Apêndice A apresenta um exemplo de estrutura de matriz de risco e de controle para registro dos resultados dos processos de avaliação preliminar de riscos e controles.

Após a identificação do risco inerente e a identificação do nível de controle, é possível concluir o nível de risco residual, isto é, aquele que permanece após a implantação da resposta da administração. Por exemplo: se a um risco inerente foi atribuído o grau 10 (muito alto) e os controles para esse risco forem considerados muito fracos, grau 2, tem-se o risco residual 8, também bastante alto.

Adicionalmente ao resultado da avaliação de riscos e da adequação do desenho dos controles, é recomendável que os auditores internos governamentais considerem, no planejamento dos trabalhos, o “risco de o auditor chegar a conclusões inválidas e / ou fornecer opiniões equivocadas com base no trabalho de auditoria realizado”, isto é, o risco de auditoria. Com base nessa informação, pode-se determinar a melhor abordagem de auditoria (natureza, época e extensão dos procedimentos para coleta de evidências).

Os trabalhos de auditoria visam a obter segurança razoável, não absoluta, de que os dados auditados estão corretos. Assim sendo, o auditor precisa lidar com o risco de não detectar algum erro existente e, portanto, emitir uma opinião inapropriada. Para evitar que isso se dê, os auditores devem ter como objetivo reduzir o risco de auditoria a um nível aceitável. O risco de auditoria se inter-relaciona com os riscos inerentes, de controle e de detecção, conforme demonstrado na figura abaixo.

FIGURA 1 – Inter-relação entre o Risco de Auditoria e os Riscos Inerente, de Controle e de Detecção

FIGURA 1

Fonte: elaboração própria

Uma vez identificados o risco inerente e o risco de controle, é possível decidir sobre quais procedimentos de auditoria serão aplicados, quando e em qual extensão, a fim de reduzir o nível do risco de detecção e, consequentemente, o risco de auditoria.

Definição dos objetivos e do escopo do trabalho de auditoria

Após a identificação dos riscos de maior relevância e da avaliação preliminar dos respectivos controles, a equipe terá mais elementos para definir, ou rever, se estabelecidos preliminarmente, os objetivos e o escopo do trabalho.

Os controles que comporão o escopo serão os controles internos chave, ou seja, aqueles capazes de, em uma situação de risco inerente alto, atuar para que o risco residual seja baixo. Para isso, de acordo com a análise realizada pela equipe de auditoria, devem possuir desenho adequado e estar, ao menos aparentemente, em correto funcionamento.

A título de exemplo, suponha-se que a um determinado risco inerente tenha sido atribuído o grau máximo e que esse grau seja 10. A equipe, ao avaliar o controle a ele relacionado, conclui que o grau atribuído a esse controle deve ser 8. O resultado da equação (10-8) indica que o risco residual é 2, isto é, bastante baixo. Assim sendo, esse controle deverá ser selecionado para a avaliação da equipe de auditoria.

Além desses controles na situação indicada, podem também compor o escopo aqueles que servem para mitigar um grande número de riscos. Os testes que prevalecerão nas duas situações apontadas serão os testes de controle.

Pode haver, entretanto, riscos inerentes altos com controles fracos ou inexistentes. Nesse caso, a equipe não deixará de realizar a sua avaliação, mas esta será realizada por meio de procedimentos substantivos, com o objetivo de identificar o impacto resultante da inexistência ou da inadequação dos controles.

Quando houver, por exemplo, dois riscos relevantes (“R1” e “R2”) com igual magnitude, tendo o risco “R1” vários controles para mitigá-lo e o,“R2”, um único controle, poderá ser considerada menos prioritária a avaliação do conjunto de controles do risco “R1”.

A quantidade de riscos e controles a serem avaliados, bem como a profundidade dos procedimentos a serem aplicados, vai depender do tempo, dos recursos disponíveis e da gravidade da situação encontrada.

É importante ressaltar que quaisquer limitações do escopo que venham a ocorrer devem ser documentadas e discutidas com o supervisor do trabalho e, caso afetem a capacidade da UAIG executar suas atividades de forma independente e objetiva, o responsável pela UAIG deve discutir o prejuízo com a alta administração e com o conselho (se houver), a fim de buscar apoio para solucioná-lo.

ELABORAÇÃO DO PROGRAMA DE TRABALHO

Com base nos objetivos estabelecidos para o trabalho de auditoria e no escopo, definidos com fundamento no conhecimento acumulado por meio das etapas anteriores (ou seja, nos objetivos do objeto auditado, nos principais riscos e na avaliação preliminar dos controles a eles relacionados), a equipe de auditoria decidirá por meio de quais tipos de testes (substantivos ou de controle) procederá a sua avaliação, de modo a formar a convicção para a emissão de sua opinião. Nesta etapa, terá condições, portanto, de elaborar o programa de trabalho.

O programa de trabalho, cujo exemplo pode ser verificado no Apêndice B, constitui um importante instrumento de planejamento e pode ser desenvolvido em formatos variados.

No programa de trabalho de avaliação, devem constar:

a) as questões (e subquestões) de auditoria, que deverão ser respondidas por meio das análises, na fase de execução. Essas questões devem traduzir os objetivos da auditoria individual a ser realizada e devem torná-los claros tanto para os auditores quanto para os supervisores, contribuindo também para a etapa posterior de elaboração do relatório;

b) os critérios de auditoria, que constituem referenciais para avaliar se a situação a ser avaliada atende ao esperado. Representam um padrão razoável e atingível de desempenho a ser utilizado na fase de aplicação dos testes de auditoria para verificar a adequação de controles, de sistemas, de processos, de práticas, ou de qualquer outro objeto de auditoria. Também podem ser usados para avaliar economia, eficiência e eficácia. O critério é um dos componentes do achado de auditoria, tal como apresentado na seção 5.4.2.

c) as técnicas, a natureza e a extensão dos testes necessários para identificar, analisar, avaliar e documentar as informações durante a execução do trabalho, de modo a permitir a emissão da opinião pela equipe. Para avaliar os controles internos da gestão selecionados, a equipe de auditoria deverá selecionar/desenvolver os instrumentos por meio dos quais conduzirá a aplicação dos testes, tais como:

- Questionário de Avaliação de Controles Internos (QACI);

- procedimentos de auditoria, apresentados em detalhe na seção 4.3.4;

- roteiros de verificação;

- checklist de análise documental;

- roteiro de entrevista, entre outros.

O programa de trabalho deve ser aprovado formalmente pelo supervisor do trabalho, podendo ser ajustado, também mediante a anuência do supervisor, em decorrência de novas informações e conhecimentos adquiridos no decorrer da auditoria.

4.3.4 PROCEDIMENTOS DE AUDITORIA

Procedimento de auditoria é um conjunto de exames, previstos no programa de trabalho, com a finalidade de obter evidências suficientes, confiáveis, fidedignas, relevantes e úteis, que permitam responder a uma questão de auditoria definida na fase de planejamento do trabalho.

A escolha dos procedimentos a serem utilizados para o alcance dos objetivos de auditoria é feita durante a fase de planejamento. Para tanto, devem ser levados em consideração:

a) a extensão, a época e a natureza dos procedimentos;

b) a capacidade que o procedimento detém de contribuir para o alcance dos objetivos da auditoria;

c) a relação custo x benefício de realização dos procedimentos.

Extensão e profundidade

Cabe ao auditor interno governamental determinar, de acordo com cada caso específico, a extensão e a profundidade de operações a serem examinadas. Para tanto, deve se basear:

a) na complexidade e no volume das operações;

b) na natureza do item em exame;

c) nos principais riscos e na avaliação preliminar dos controles a eles relacionados;

d) no grau de segurança e no tipo de evidência que pretende obter, a fim de fundamentar sua opinião.

É necessário também que o auditor verifique se há necessidade de que todos os itens componentes do universo sob análise sejam revisados de acordo com a mesma extensão e profundidade.

4.3.4.2 Época

A época diz respeito ao período apropriado para a aplicação dos procedimentos de auditoria. O benefício proporcionado pela utilização de determinado procedimento será maior ou menor em decorrência de o momento de sua aplicação ser oportuno ou não.

Natureza

Conforme as Normas Brasileiras de Contabilidade, a natureza do procedimento de auditoria se refere à sua finalidade e ao seu tipo .

De acordo com a finalidade, tem-se: testes de controle e procedimentos substantivos, sendo que, estes últimos, por sua vez, se subdividem em testes de detalhes e procedimentos analíticos substantivos.

De acordo com o tipo, tem-se: inspeção, confirmação externa, recálculo, observação, indagação, procedimentos analíticos, reexecução, entre outros. Os procedimentos classificados por "tipo" são também conhecidos como "técnicas de auditoria".

4.3.4.4 Testes de Controle

Os testes de controle são aqueles que avaliam o desenho e a efetividade operacional dos controles, ou seja, se os controles realmente impedem ou revelam a ocorrência de falhas nas atividades controladas e se eles estão funcionando da forma estabelecida. Visam a verificar se as atividades de controle:

a) foram formalizadas (se isto for uma condição necessária), por meio de políticas e de manuais, por exemplo;

b) encontram-se atualizadas;

c) são frequentemente divulgadas e reforçadas junto aos responsáveis pela sua operacionalização;

d) são pertinentes, frente à magnitude dos respectivos riscos avaliados;

e) foram e continuam sendo efetivamente observadas e aplicadas de maneira uniforme.

As técnicas geralmente usadas para testar o desenho dos controles e obter evidência de auditoria suficiente sobre sua adequação são observação, indagação, análise documental ou uma combinação delas, teste de reexecução de controle, entre outras.

Ao planejar e executar testes de controle, o auditor interno governamental deve:

a) executar procedimentos para obter evidência de auditoria sobre a efetividade operacional dos controles, incluindo:

- o modo como os controles foram aplicados ao longo do período;

- a consistência dos controles;

- por quem ou por quais meios eles foram aplicados.

b) determinar se os controles a serem testados dependem de outros controles (controles indiretos) e, caso afirmativo, se é necessário obter evidência de auditoria que suporte a operação efetiva desses controles indiretos.

4.3.4.5 Procedimentos substantivos

Os procedimentos substantivos têm como finalidade verificar a suficiência, a exatidão e a validade dos dados obtidos. São empregados pelo auditor quando é necessário obter evidências suficientes e convincentes sobre as transações, que lhe proporcionem fundamentação para a sua opinião acerca de determinados fatos.

Os procedimentos substantivos subdividem-se em:

a) testes de detalhes (também denominados testes de transações e saldos): se referem ao exame de registros contábeis e das operações/documentos que lhes deram origem, bem como a conformidade dos atos administrativos;

b) procedimentos analíticos substantivos (também denominados revisões analíticas): envolvem a utilização de comparações para avaliar adequação – comparando, por exemplo, o saldo de uma conta com dados não financeiros a ela relacionados.

São exemplos de procedimentos substantivos: observar contagem física de estoque, comparar estoques com catálogo atual de vendas, examinar faturas (de fornecedores) pagas, entre outros.

Os procedimentos substantivos são de fundamental importância na complementação dos testes de controle, considerando que é a partir dos primeiros que o auditor tem condições de constatar a fidedignidade das operações e registros produzidos pela Unidade Auditada.

4.3.4.6 Técnicas de Auditoria

Conforme disposto na IN SFC nº 3, de 2017, os auditores internos governamentais devem reunir, em conjunto, qualificação e conhecimentos necessários para o trabalho, devendo possuir conhecimentos adequados sobre as técnicas de auditoria.

É fundamental observar a finalidade específica de cada técnica, de modo a evitar a aplicação de técnicas inadequadas, a execução de exames desnecessários e o desperdício de recursos humanos e de tempo. O auditor também deve estar atento ao fato de que as técnicas de auditoria não são excludentes, mas complementares.

Várias são as técnicas de auditoria que podem ser utilizadas na execução dos trabalhos. Este Manual não tem por objetivo apresentar todas as técnicas existentes, mas sim aquelas mais comumente utilizadas nos trabalhos de auditoria.

4.3.4.6.1 Inspeção

A inspeção consiste na verificação de registros, de documentos ou de ativos, que proporcionará ao auditor interno governamental a formação de opinião quanto à existência física do objeto ou do item examinado. Por meio da inspeção física, o auditor deve: verificar, através do exame visual, o item específico a ser examinado; comprovar que ele realmente existe; avaliar se o item sob exame é fidedigno; apurar a quantidade real existente fisicamente; realizar exame visual ou providenciar exame laboratorial a fim de averiguar se o objeto examinado é o que deveria ser e se permanece em perfeitas condições de uso.

Na inspeção física, a evidência é coletada sobre bens tangíveis. Além de ser utilizada para confirmar se um item existe ou está onde deveria estar, essa técnica pode ser utilizada também para verificar os atributos de um objeto, como, por exemplo: o estado de conservação de um bem, o prazo de validade de produtos e os tipos de materiais utilizados. A inspeção física, portanto, não existe por si só. Ela é uma técnica complementar que ajuda o auditor a se certificar de que há uma verdadeira correspondência entre a realidade e os registros da Unidade Auditada e de que os registros estão corretos e seus valores adequados, em função da quantidade e da qualidade do item examinado.

=====4.3.4.6.2 Observação=====

A observação pode ser bastante útil em quase todas as fases da atividade de auditoria. Consiste no exame de processo ou de procedimento executado por outros, normalmente empregados/servidores da Unidade Auditada, com a finalidade de averiguar se o item sob exame opera em conformidade com os padrões (critérios) definidos.

Essa técnica requer do auditor:

a) capacidade de julgamento e de constatação visual;

b) conhecimento especializado;61

c) habilidade para perceber eventuais comportamentos e procedimentos destoantes do padrão de execução.

Essa técnica requer ainda percepção aguçada para notar as nuances que podem ocorrer no ambiente devido à presença do auditor, tendo em vista ser natural que, quando observado, o indivíduo aja de maneira mais aprovável/adequada do que nas situações em que se encontra mais descontraído. No caso de uma observação dos controles internos de um órgão/entidade, por exemplo, para cujo exame essa técnica costuma ser bastante útil, é possível que os executores da atividade que esteja sendo observada realizem-na de forma mais correta ou mais cuidadosa do que o fariam no seu cotidiano. Essa situação, juntamente com o fato de a observação ser limitada no tempo, representa fragilidades na evidência a ser obtida, motivo pelo qual as provas coletadas por esse meio devem ser corroboradas por outras fontes.

Os elementos da observação são:

a) identificação da atividade específica a ser observada;

b) observação da sua execução;

c) comparação do comportamento observado com os padrões;

d) avaliação e conclusão.

A observação não deve ser confundida com a inspeção física. O auditor pode, por exemplo, observar a forma como empregados/servidores da Unidade Auditada realizam a contagem anual de estoques. Nesse caso, estará realizando uma observação, cujo objeto são pessoas, procedimentos e processos. O auditor também pode, entretanto, examinar certos itens em estoque, para fazer sua própria avaliação da condição em que eles se encontram. Nesse caso, estará realizando uma inspeção.

4.3.4.6.3 Análise Documental

A análise documental visa à comprovação das transações que, por exigências legais, comerciais ou de controle, são evidenciadas por documentos, a exemplo de faturas, notas fiscais, certidões, portarias, declarações etc. Tem como finalidade a verificação da legitimidade do documento, mas também da transação.

Essa técnica envolve o exame de dois tipos de documentos: internos, produzidos pela própria Unidade Auditada, e externos, produzidos por terceiros.

É necessário que o auditor interno governamental, ao examinar tais documentos, verifique:

a) se a documentação é fidedigna e merece confiabilidade (autenticidade);

b) se a transação se refere à operação normalmente executada naquele contexto e se está de acordo com os objetivos e normativos da Unidade Auditada (normalidade);

c) se a operação e os documentos examinados foram aprovados por pessoa autorizada (aprovação);

d) se os registros foram preenchidos corretamente (datas, destinatários...) e, nos casos de documentos oficiais, se existe o registro em órgão competente (oficialidade).

A análise documental fornece evidência de auditoria com graus de confiabilidade variáveis, que dependem da natureza e da fonte dos registros e, no caso de registros internos, da eficácia dos controles internos.

4.3.4.6.4 Confirmação externa (Circularização)

A confirmação externa, ou circularização, é a técnica utilizada para a obtenção de declaração formal e independente de partes externas (pessoas, empresas, órgãos fiscalizadores etc.) a respeito de fatos ligados às operações da Unidade Auditada. Serve também para a verificação, junto a fontes externas à Unidade Auditada, da fidedignidade das informações obtidas internamente.

Apesar de ser frequentemente relevante no tratamento de afirmações relacionadas a saldos contábeis e seus elementos, essa técnica não se restringe a este assunto. O auditor pode, por exemplo, solicitar confirmação de termos de contratos ou transações da Unidade Auditada com terceiros ou pode questionar se foram realizadas quaisquer modificações no contrato e, em caso afirmativo, quais são os detalhes relevantes.

A evidência de auditoria obtida pelo auditor como resposta de terceiro (a parte que confirma) deve se apresentar na forma escrita (impressa, eletrônica ou em outra mídia). A depender das circunstâncias, pode ser mais confiável do que a evidência gerada internamente pela Unidade Auditada, haja vista provir de fonte independente.

4.3.4.6.5 Indagação

A indagação escrita ou oral (entrevista) consiste na formulação de perguntas com a finalidade de obter informações, dados e explicações que contribuam efetivamente para o alcance dos objetivos do trabalho de auditoria. Normalmente é utilizada para obter informações complementares ou para compreender fatos que não puderam ser esclarecidos por meio de outras técnicas de auditoria. Pode ser utilizada interna ou externamente à Unidade Auditada.

Embora ambas indagações sejam bastante úteis no contexto da auditoria, a entrevista pode ser considerada mais adequada para as situações em que há muitos aspectos a serem esclarecidos, porque facilita e agiliza o fluxo de informações.

Existem diferentes tipos de entrevista:

a) livre ou não estruturada: realizada sem roteiro prévio ou com roteiro simplificado (contendo os principais pontos de interesse da equipe, mas permitindo que sejam formuladas outras questões no momento). Nesse tipo de entrevista, deve ser dada ao entrevistado a liberdade de desenvolver o assunto. Geralmente, é usada em estudos exploratórios;

b) semiestruturada: realizada mediante um roteiro previamente estabelecido; normalmente traz perguntas fechadas e algumas abertas;

c) estruturada: baseada em roteiro fixo, com perguntas bem definidas.

Para obter êxito na realização da indagação oral, o auditor deve realizar um planejamento. Nessa etapa, ele deverá:

a) obter o conhecimento sobre a Unidade Auditada, sobre a área a ser examinada e também sobre a técnica a ser utilizada;

b) listar as informações a serem obtidas;

c) construir um roteiro de entrevista com questões objetivas organizadas por ordem de importância;

d) selecionar o entrevistado (é interessante levantar informações sobre o entrevistado e a relação que ele tem com o assunto);

e) definir o número de entrevistados, se for mais de um;

f) marcar a hora e o local da entrevista com antecedência.

O resultado da indagação pode ser influenciado por fatores relacionados à qualidade pessoal e profissional do auditor, dessa forma é preciso que o entrevistador:

a) seja educado, prestativo, discreto e objetivo;

b) tenha boa comunicação verbal, disposição para ouvir, empatia no momento da realização da entrevista, além de atitude compreensiva e neutra, ou seja, não deve emitir opiniões (contrárias ou a favor) acerca das colocações do entrevistado;

c) esteja atento a informações que possam ser subentendidas;

d) apresente comportamento adequado na busca de informações, não estimulando debates/situações polêmicas que possam desviar o foco da entrevista e dificultar a cooperação do entrevistado;

e) evite: tom acusatório; declarações não sustentadas por evidências ou que façam o entrevistado se sentir coagido; questionamentos desnecessários, não relacionados com o objeto da auditoria ou ainda o uso excessivo de termos técnicos.

Para a realização adequada da entrevista, o auditor interno governamental precisa também observar os seguintes passos:

a) caso pretenda que a entrevista seja gravada, perguntar ao entrevistado se ele concorda com a gravação antes de iniciar a entrevista;

b) cuidar para que o número de entrevistadores seja de, no mínimo, dois, de modo que um possa efetuar anotações, enquanto o outro realiza as perguntas, sobretudo se a entrevista não for gravada, e também para que se resguarde a segurança dos auditores;

c) buscar local adequado em que não haja interrupções, barulhos, distrações;

d) explicar o objetivo da entrevista;

e) após formalizar o resultado da entrevista (reduzido a termo), submetê-lo formalmente ao entrevistado para fins de ratificação, estabelecendo-se um prazo para resposta (o encaminhamento pode ser realizado por e-mail).

Encerrada a entrevista, as informações obtidas devem ter a sua veracidade avaliada. É possível que as respostas forneçam informações divergentes das que o auditor obteve por outros meios, o que poderá tornar necessárias a modificação de procedimentos de auditoria ou a execução de outros não previstos inicialmente.

Ainda que não haja divergências, é necessário que o auditor execute outros procedimentos, com a finalidade de obter evidência que ratifique aquelas alcançadas por meio da entrevista. Isso se deve ao fato de as informações obtidas por meio das indagações orais não serem consideradas suficientemente objetivas ou imparciais, inclusive porque, na maioria das vezes, se originam de empregados/servidores da Unidade Auditada, não de fonte independente.

4.3.4.6.6 Recálculo A conferência de cálculos, também chamada de recálculo, é uma técnica simples, porém bastante completa. É amplamente utilizada, tendo em vista que grande parte das operações das Unidades Auditadas envolvem valores, números, quantidades e estão sujeitas, portanto, a erro ou a fraude. Essa técnica consiste na verificação da exatidão matemática de cálculos efetuados pela própria Unidade Auditada ou por terceiros. Pode ser realizada de forma manual ou eletrônica. O auditor deve estar atento ao fato de que a conferência dos cálculos prova apenas a exatidão matemática das operações; para determinar a validade dos algarismos que compõem as bases examinadas, são necessários outros tipos de testes. 4.3.4.6.7 Procedimentos analíticos Conforme estabelece a NBC TA 520, os procedimentos analíticos consistem em "avaliações de informações contábeis por meio de análise das relações plausíveis entre dados financeiros e não financeiros. Procedimentos analíticos compreendem, também, o exame necessário de flutuações ou relações identificadas que são inconsistentes com outras informações relevantes ou que diferem significativamente dos valores esperados". Os procedimentos analíticos, portanto, constituem uma técnica por meio da qual o auditor avalia informações contábeis (montantes financeiros, quantidades físicas, índices ou percentuais) mediante comparação com parâmetros ou expectativas identificados ou desenvolvidos pelo auditor. Para tanto, poderá utilizar-se de métodos simples a técnicas estatísticas avançadas. Uma de suas premissas é que as relações entre as informações existem e tendem a se manter, a menos que ocorram situações que provoquem alguma alteração. Podem ser citados como exemplos dessas situações: "transações ou eventos não usuais ou não recorrentes; alterações contábeis, organizacionais, operacionais, ambientais e tecnológicas; ineficiências; ineficácias; erros; fraude; ou atos ilegais."74 Os procedimentos analíticos contribuem para a identificação de: a) diferenças inesperadas; b) ausência de diferenças quando esperadas; c) erros em potencial; d) possíveis fraudes ou atos ilícitos; e) outras transações ou eventos incomuns ou não recorrentes.75 São exemplos de procedimentos analíticos:

a) a comparação de informações do período corrente com as expectativas baseadas nas informações de períodos anteriores; b) o estudo das relações entre informações financeiras e não financeiras (por exemplo: gastos registrados com a folha de pagamento comparados com alterações na média de número de funcionários); c) a comparação de determinada informação com expectativas baseadas em informação similar de outra unidade organizacional. Ao se utilizar dessa técnica, é necessário que o auditor avalie a confiabilidade dos dados que lhe estão servindo como base para estabelecer os parâmetros. Para tanto, deve estar atento: a) à fonte dos dados; b) à possibilidade de comparar esses dados com outros oriundos de outras fontes; c) à natureza e à relevância das informações disponíveis; d) à existência e à confiabilidade de controles sobre a elaboração dos dados. Ao identificar relações inconsistentes entre os dados analisados e os parâmetros estabelecidos, o auditor deverá executar outros procedimentos, como a indagação, por exemplo, a fim de obter as evidências necessárias para a emissão da sua opinião sobre o objeto auditado. 4.3.4.6.8 Reexecução Conforme definição constante da NBC TA 500, "a reexecução envolve a execução independente pelo auditor de procedimentos ou controles que foram originalmente realizados como parte do controle interno da Unidade Auditada." De acordo com essa técnica, o auditor executa novamente procedimentos, cálculos, atividades de controle, a fim de testar os sistemas, processos e controles internos, confirmando, assim, a veracidade, a correção e a legitimidade dos atos/fatos registrados. De forma diversa da observação, em que o empregado/servidor da Unidade Auditada realiza os procedimentos e é observado pelo auditor, aqui o auditor executa os procedimentos e colhe diretamente informações acerca da sua adequabilidade, e da legitimidade e veracidade dos dados. 4.3.4.6.9 Rastreamento e Vouching Ambas as técnicas se aplicam mais notadamente às auditorias financeiras, mas a lógica que as preside pode ser útil para realizar todos os outros tipos de auditoria. Consistem basicamente em verificar a correspondência entre lançamentos contábeis e a documentação que lhe serve de base. São executadas, entretanto, em sentido oposto: no rastreamento, o auditor primeiramente seleciona documentos que representam transações e, posteriormente verifica se aquelas transações foram de fato registradas no sistema contábil; no vouching, o auditor seleciona primeiramente as transações e, em seguida, verifica se existe de fato a documentação que lhe serve de base e, por conseguinte, se aquela transação de fato ocorreu.

A primeira ajuda a detectar quantias lançadas a menor nos registros contábeis e, consequentemente, permite que o auditor obtenha evidências relacionadas com afirmações de integridade. A segunda possibilita a detecção de lançamentos a maior nos registros contábeis e, por conseguinte, a obtenção de evidências sobre afirmações de existência ou ocorrência. 4.3.4.6.10 Benchmarking Embora não se trate originalmente de uma técnica de auditoria, o benchmarking é bastante útil para a avaliação de desempenho e até para a avaliação de risco das Unidades Auditadas. A técnica consiste basicamente em comparar algum aspecto do desempenho de uma organização com o de outra organização, ou mesmo com outra área da própria organização, cujo desempenho positivo possa ser considerado uma referência. Para tanto, é necessário analisar o desempenho das unidades comparadas quantitativa e qualitativamente e medir a diferença entre o desempenho de uma de outra. Em seguida, é preciso identificar as principais ações que contribuem para a diferença de desempenho, que, normalmente, consistem em boas práticas de gestão e, na sequência, as oportunidades de melhoria. A literatura especializada apresenta 4 tipos de benchmarking: a) benchmarking competitivo: estuda uma outra organização do mesmo setor a que pertence a unidade cujos processos pretende-se aperfeiçoar; b) benchmarking de processo (função): o foco da comparação não é a organização em si, mas processos desenvolvidos por ela; portanto, o benchmarking não é realizado necessariamente com uma organização do mesmo setor; mas sim com aquela em que haja processo(s) semelhante(s). Um bom exemplo seria: gestão de recursos humanos; c) benchmarking estratégico: tem como finalidade não um processo específico, mas sim a busca de estratégias competitivas de sucesso; d) benchmarking interno: consiste na identificação e na aplicação das melhores práticas de uma área da organização em outras áreas da mesma organização. 4.3.4.6.11 Técnicas de Auditoria Assistidas por Computador As Técnicas de Auditoria Assistidas por Computador (TAAC) estão situadas no contexto das Técnicas de Auditoria Baseadas em Tecnologia (TABC) conceituadas como sendo quaisquer ferramentas automatizadas de auditoria, como softwares gerais de auditoria, geradores de dados de teste, programas computadorizados de auditoria e utilitários de auditoria especializada. Essas técnicas envolvem a realização de análises de dados com uso de tecnologia para apoiar a avaliação de controles.

As TAAC podem melhorar significativamente a eficácia e eficiência da auditoria durante as fases de planejamento, execução, relatoria e acompanhamento das recomendações. As TAAC permitem aos auditores investigar dados e informações de forma interativa e reagir imediatamente aos resultados, modificando e aprimorando a abordagem de auditoria inicial. Os principais benefícios de sua aplicação são: a) o aprimoramento do planejamento e do gerenciamento das auditorias; b) realização de análises mais robustas sobre bases de dados; c) a ampliação da cobertura dos testes de auditoria (possibilitam a análise de grandes volumes de dados); d) a ampliação da cobertura das amostras, ou seja, possibilitam que dados de toda a população sejam analisados, o que diminui o risco de emissão de opinião equivocada pelo auditor; e) mais robustez e assertividade na execução de testes substantivos e de controle; f) diminuição da necessidade de realização de testes manuais; g) simplificação ou automatização do processo de análise de dados; h) aumento da efetividade dos procedimentos de auditoria. Quando os dados processados com a utilização de TAAC forem usados como evidência de auditoria, em regra, deverão passar por exames de confiabilidade. Esses exames podem envolver a avaliação sobre a consistência dos controles existentes na organização para a manutenção da integridade e da segurança das informações utilizadas. No exercício do zelo profissional devido, os auditores internos governamentais devem considerar a utilização de auditoria baseada em tecnologia e outras técnicas de análise de dados para cumprirem os objetivos estabelecidos para a auditoria. Nesse sentido, demanda-se que estejam devidamente capacitados a aplicar as principais técnicas de auditoria baseadas em tecnologia disponíveis para a execução dos trabalhos a eles designados. As ferramentas de TAAC podem ser classificadas da seguinte forma : a) generalistas: são softwares utilizados para processar, simular, analisar amostras, gerar dados estatísticos, sumarizar, apontar duplicidade e outras funções que o auditor desejar; b) especializadas: são softwares desenvolvidos para executar tarefas específicas e especializadas em uma circunstância definida. Podem, inclusive, ser desenvolvidos pelo auditor; c) de utilidade geral: são aqueles softwares que não foram desenvolvidos especificamente para auditoria, mas auxiliam no processo, como planilhas eletrônicas, software de gerenciamento de banco de dados, ferramentas de Business Intelligence, software estatístico, etc.

4.3.4.7 Amostragem A amostragem é uma técnica que consiste na obtenção de informações a respeito de uma população a partir da investigação de apenas uma parte da mesma. O objetivo da utilização de amostragem é obter informações sobre uma parte da população e fazer afirmações válidas a respeito de suas características. É bastante útil em situações onde a execução do censo é inviável ou antieconômica e a informação obtida da amostra é suficiente para atender aos objetivos pretendidos. Para facilitar o entendimento sobre o tema é necessário a compreensão do conceito de população. População é entendida como um conjunto de todos os elementos sob investigação. Segundo Cohran : []...a população a ser amostrada deve coincidir com a população sobre a qual se deseja a informação (população alvo). Às vezes, por razões de praticabilidade ou conveniência, a população amostrada é mais restrita que a população alvo. Caso isso aconteça essa restrição deve ser mencionada nas conclusões dos resultados. Não se deve confundir a população-alvo com a população referenciada nem com a população realmente amostrada (ou de pesquisa). Entende-se por população-alvo aquela para qual se gostaria de obter a informação. E por população referenciada aquela cuja definição foi baseada num sistema de referência (cadastro) e não necessariamente é a mesma da população-alvo. Já a população de pesquisa ou amostrada é aquela que será realmente coberta pela pesquisa, que pode conter unidades não previstas, ou ainda não incluir unidades que, apesar de previstas, foram perdidas. Amostragem em auditoria é a aplicação de procedimentos de auditoria em menos de 100% dos itens de uma população relevante para fins de auditoria, de forma que todos os itens da população tenham chance de serem selecionados . O objetivo do auditor, ao usar amostragem em trabalhos de auditoria, é obter uma base razoável dentro dos critérios e objetivos estabelecidos em cada tipo de amostragem, para concluir sobre a população (população de pesquisa) da qual a amostra foi selecionada. Para cumprir seus objetivos é importante que a amostra seja representativa em relação a população da qual foi selecionada, ou seja, para fins de conclusão ela deve ser aproximadamente uma réplica em pequena escala da população, permitindo mensuração do erro que se está cometendo ao não examinar toda a população. A medida do erro pode ser expressa por meio do risco de amostragem, que é o risco de que a conclusão baseada na amostra seja inadequada, ou seja, diferente da conclusão obtida se o procedimento fosse aplicado em toda a população. Ele pode ser de dois tipos: a) concluir que a população está adequada, sob determinado critério, quando na realidade ela está inadequada; b) concluir que a população está inadequada, sob determinado critério, quando na realidade ela está adequada.

O risco de amostragem, como parte do risco de auditoria, deve ser administrado e reduzido a níveis aceitavelmente baixos, em conformidade com o nível de asseguração necessário para a auditoria. O risco de amostragem é influenciado pelo plano amostral utilizado e pelo tamanho da amostra, de forma que para um mesmo plano amostral, em geral, quanto maior for o tamanho da amostra menor o risco de amostragem. Pode-se definir os tipos de amostragem segundo suas características gerais e aplicabilidade em auditoria: a) amostragem probabilística: a seleção é feita por sorteio aleatório, é utilizada a teoria das probabilidades para calcular os resultados das amostras, e da mesma forma é calculado o risco de amostragem. Os resultados da amostra podem ser generalizados para toda a população e em geral a probabilidade de seleção dos itens é conhecida; b) amostragem não-probabilística: pode ser definida como qualquer amostragem que não possui as características da amostragem probabilística, em geral podemos dizer que: a seleção é feita por critérios subjetivos e o risco de amostragem não é calculado de forma objetiva. Os resultados da amostra não podem ser generalizados para toda a população e a probabilidade de seleção dos itens não é conhecida. A escolha do tipo de amostragem é determinada pela finalidade do procedimento de auditoria , , devendo ser considerado também o dever de fornecer informação baseada em evidência suficiente e apropriada, e a necessidade de reduzir ou administrar o risco de chegar a conclusões inapropriadas. Desse modo, pode-se situar os tipos de amostragem segundo sua adequação: a) a amostragem probabilística deve ser utilizada quando a finalidade do procedimento de auditoria é obter evidências, informações, conclusões, avaliações ou recomendações sobre a população por meio da generalização dos resultados da amostra; b) a amostragem não-probabilística não pode ser utilizada em procedimentos cuja finalidade é obter evidências, informações, conclusões, avaliações ou recomendações sobre a população por meio de generalizações do resultado da amostra. A amostra não- probabilística pode ser utilizada quando a finalidade do procedimento de auditoria é obter informações, conclusões, avaliações ou recomendações que se aplicam somente aos itens selecionados na amostra. Em geral, o uso da amostragem probabilística é sempre recomendável, enquanto que a amostragem não-probabilística tem aplicabilidade restrita a análises pontuais. Na definição de uma amostra devem ser consideradas as características da população e ser determinado um tamanho de amostra que torne o risco de amostragem baixo o suficiente para atingimento dos objetivos88, . Em trabalhos com diferentes objetos e procedimentos, há necessidade de definir a estratégia amostral e o tamanho de amostra adequado para cada caso. Sendo assim a amostragem em auditoria deve ser planejada e executada visando ao efetivo cumprimento dos objetivos de cada trabalho, considerando suas especificidades. Devido às particularidades técnicas que envolvem a amostragem o auditor deve dispor dos recursos e conhecimentos técnicos necessários para a escolha da estratégia adequada, sempre observando o princípio do zelo profissional e da proficiência. Os resultados da amostra devem ser calculados em conformidade com a estratégia amostral utilizada. Na divulgação dos resultados da amostra deve-se informar se é possível generalizar os resultados para toda a população, ou seja, dizer que os resultados são generalizáveis implica que a amostra é probabilística, e também explicitar o risco de amostragem considerado. Em amostras probabilísticas o risco é expresso em termos da precisão das estimativas, intervalos de confiança e inferências. Devem estar adequadamente documentadas, inclusive nos papéis de trabalho, as informações suficientemente detalhadas sobre todas as etapas relativas ao processo de amostragem: questionário/checklist, descrição da população, descrição do plano amostral , processo e critérios de seleção da amostra, amostra efetivamente coletada, crítica de dados, identificação e tratamento de não-resposta e metodologia de cálculo dos resultados; para fins de transparência, consulta, respaldo e comprovação das conclusões do trabalho do auditor e viabilizar o trabalho de revisão. 4.3.5 ALOCAÇÃO DA EQUIPE DE AUDITORIA

Ao final da etapa de planejamento, o supervisor do trabalho deve reavaliar se as estimativas iniciais de recursos, custos e prazo para realização da auditoria estão compatíveis com as atividades a serem realizadas. Ainda, deve verificar se a equipe inicialmente designada dispõe da proficiência necessária para a realização do trabalho. Caso negativo, deve proceder a ajustes, de modo que a equipe executora do trabalho disponha do conhecimento, das habilidades e de outras competências necessárias à sua realização. Se houver alterações, é necessário, ainda, que as respectivas informações sejam atualizadas nos papéis de trabalho de planejamento