Baixe o app para aproveitar ainda mais
Prévia do material em texto
AUDITORIA NO SETOR PÚBLICO Guilherme Corrêa Gonçalves Abordagem da auditoria interna baseada em riscos Objetivos de aprendizagem Ao final deste texto, você deve apresentar os seguintes aprendizados: Identificar os elementos da avaliação de riscos na auditoria pública. Descrever as espécies de riscos da auditoria interna. Diferenciar a auditoria interna baseada em riscos da auditoria tradicional. Introdução A abordagem da auditoria baseada em riscos tem por objetivo reduzir os riscos de produção de relatórios inadequados, de modo a atender às expectativas dos usuários em todos os aspectos relevantes da auditoria. Mas, o que é exatamente essa abordagem de auditoria baseada em riscos? Neste capítulo, você vai estudar a abordagem da auditoria interna baseada em riscos, verificando as diferenças entre essa abordagem e a abordagem tradicional. Você também vai conferir os elementos necessários para avaliar os riscos em auditorias públicas e compreender as espécies de riscos. Auditoria baseada em riscos e auditoria tradicional A abordagem da auditoria baseada em riscos (ABR) pode ser considerada como uma evolução da abordagem tradicional de auditoria. Isso porque não se trata de um novo tipo de auditoria, mas de uma nova abordagem que pode ser aplicada a qualquer dos tipos de auditoria. Antes do uso da ABR, os trabalhos de auditoria tinham um viés mais retroativo, baseado em fatos pretéritos, ou seja, em atos já praticados. A busca da nova abordagem é pela proatividade, concentrando seus esforços na avaliação da postura da administração das organizações perante os riscos, enquanto a abordagem tradicional tem foco no sistema de controle interno, conforme Pommerening e Bencke (2011). O Quadro 1 compara a auditoria tradicional e a ABR. Fonte: Adaptado de Pommerening e Bencke (2011). Aspecto da abordagem Abordagem tradicional Abordagem baseada em riscos Foco da auditoria Sistema de controle interno Risco do negócio Foco do teste Testes com base em programas de trabalho, inspeções e reações Antecipação e prevenção dos riscos na origem Foco do relatório Adequação e eficácia do controle interno Adequabilidade e eficácia da mitigação do risco Resultados de auditoria Controle novo ou melhorado Mitigação do risco Quadro 1. Comparação entre as abordagens tradicional e baseada em riscos Conforme se pode observar no Quadro 1, a ABR está focada nos riscos que envolvem o negócio, o que a torna mais abrangente do que a abordagem tradicional. Esta busca o que deve ser feito para o alcance dos resultados; já a ABR procura mostrar como alcançar tais resultados. Na ABR, o auditor primeiro define a estratégia, que representa o caminho mais apropriado para atingir o objetivo, estabelecendo o alcance, a oportunidade e a direção do trabalho. Para tanto, ele deve considerar as expectativas, os requerimentos, as características, o contexto e uma avaliação de riscos no nível geral do trabalho, de acordo com Pommerening e Bencke (2011). A ABR traz mais benefícios para as organizações, pois, além desses as- pectos, conta com maior receptividade dos trabalhos de auditoria por parte dos gestores, justamente por deixar de ter esse viés retroativo e passar a se preocupar com o gerenciamento dos riscos que podem comprometer os objetivos organizacionais. Abordagem da auditoria interna baseada em riscos2 Os riscos considerados na auditoria interna Para melhor compreender a avaliação de riscos, é importante conhecer o conceito de risco nessa abordagem. Segundo Hill (2006), frequentemente se foca o aspecto negativo do risco, mas é importante lembrar que o risco inclui tanto eventos positivos como negativos. Risco não necessariamente signifi ca perigo; ele simplesmente signifi ca não saber o que o futuro reserva. Isso é essencial ao desenvolvimento, de modo geral, pois este decorre das soluções encontradas para a resolução dos problemas envolvidos nos riscos. As inova- ções técnicas e sociais são criadas para solucionar problemas de toda ordem. Portanto, o risco pode ser visto como uma possibilidade de algo que já é esperado acontecer ou não acontecer. Essa possibilidade não implicará necessariamente em algo indesejável, já que os resultados em torno do que se espera podem apresentar tanto benefícios como malefícios, dependendo de o resultado estar além ou aquém do esperado, conforme Ávila (2014). Conforme o Tribunal de Contas da União (BRASIL, 2017, documento on-line), o risco “[…] é inerente a todas as atividades humanas, em todos os campos. No âmbito da gestão de recursos públicos, o risco está presente tanto nas atividades que envolvem a aplicação desses recursos, como naquelas que envolvem a fiscalização e o controle da sua boa e regular aplicação”. Principais riscos na administração pública As possibilidades de falhas que afastem a organização de seus objetivos podem vir tanto da inefi ciência nos procedimentos quanto das defi ciências materiais das diferentes áreas. Essas situações podem ocorrer quando: há problemas de competência da gestão, uma vez que, quanto menor a competência, maior o risco de deficiências no controle; a estrutura ou o tamanho da unidade não é adequada — quanto maior a demanda por controle, mais estreito é o limite de erro; há mudanças recentes — nesse caso, a probabilidade das deficiências do controle se dá pelas novidades que surgiram; 3Abordagem da auditoria interna baseada em riscos é alta a complexidade das operações, pois a probabilidade de erro é incrementada; é alta a liquidez de ativos, o que põe o sistema de controle sob pressão, pois aumenta a possibilidade de desfalques; são diminuídas as condições econômico-financeiras da unidade, pois o risco de quebras no controle é frequentemente maior em unidades que estão sob significante arrocho econômico; há um rápido crescimento da organização, pois isso traz a necessidade de ampliar o sistema de controle; há um tempo demasiado entre uma auditoria e outra; há falta de motivação entre os funcionários, o que pode ser indicativo de situações de alto risco para os controles. Elementos da avaliação de riscos na auditoria interna A busca pelos objetivos de uma organização pública envolve riscos decorrentes da sua realidade, das circunstâncias que a envolvem, das demandas sociais e da própria dinâmica da administração pública, inclusive com relação à necessária transparência de seus atos e aos requisitos legais e regulatórios. Assim, organizações públicas necessitam identifi car, analisar e gerenciar riscos, dando o tratamento necessário a eles, de modo a propiciar segurança no alcance dos objetivos organizacionais, conforme Ávila (2014). A sistematização da gestão de riscos gera benefícios que impactam dire- tamente cidadãos e outras partes interessadas da organização. Essa sistemati- zação viabiliza o adequado suporte às decisões de alocação e uso apropriado de recursos públicos, aumentando o grau de eficiência e eficácia no processo de criação, proteção e entrega de valor público e otimizando o desempenho e os resultados entregues à sociedade. No entanto, a gestão de riscos não é uma atividade autônoma, separada das demais, mas parte dos processos or- ganizacionais, incluindo planejamento estratégico, gestão de projetos, gestão de processos, entre outros. A gestão de riscos é parte integrante e indissociável das responsabilidades administrativas e, segundo o TCU (BRASIL, 2017), inclui atividades como: estabelecer um ambiente apropriado, incluindo a estrutura para ge- renciar riscos; definir, articular e comunicar os objetivos e o apetite a risco; Abordagem da auditoria interna baseada em riscos4 identificar potenciais ameaças ou oportunidades ao cumprimento dos objetivos; avaliar os riscos, determinando o impacto e a probabilidade de a ameaça ocorrer; selecionar e implantar respostas aos riscos, por meio de controles e outras ações; comunicar asinformações sobre os riscos de forma consistente em todos os níveis; monitorar e coordenar os processos e os resultados do gerenciamento de riscos; e fornecer avaliação quanto à eficácia com que os riscos são gerenciados. Essas atividades envolvem responsabilidades de pessoas, cargos e funções em todos os níveis da organização. Portanto, a gestão de riscos da organização e o gerenciamento de riscos na auditoria interna devem estar alinhados e atuar de forma sistemática, conforme veremos a seguir. A auditoria interna tem a função de, a partir da aplicação de uma abordagem sistemática e disciplinada, melhorar a efi cácia dos processos de gerenciamento de riscos, controle e governança. A Figura 1 indica os papéis que a auditoria interna pode ou não assumir. Figura 1. Papéis legítimos da auditoria interna, abrangendo a gestão de riscos (GR). Fonte: Brasil (2017, documento on-line). 5Abordagem da auditoria interna baseada em riscos Os papéis que a auditoria interna pode assumir se dividem entre os que ela deve assumir, pois são fundamentais, os que ela pode assumir, com sal- vaguardas, e os que ela não deve assumir. As atividades indicadas à esquerda da figura são as funções fundamentais da auditoria interna na gestão de risco, capazes de assegurar que os processos de gerenciamento de riscos operem de maneira eficaz e que os riscos significativos do negócio sejam gerenciados adequadamente. As atividades indicadas ao centro da figura são papéis legí- timos da auditoria, com salvaguardas; ou seja, ela deve assumir esses papéis com salvaguardas à sua independência e à objetividade dos auditores. Já os papéis indicados à direita da figura não devem ser assumidos pela auditoria interna, pois comprometeriam os valores fundamentais para que ela forneça asseguração, livre de quaisquer influências, sobre a eficácia dos processos de gerenciamento de riscos e controles. A auditoria interna deve proporcionar uma compreensão clara da estratégia da organização e de sua execução, riscos associados e seu gerenciamento. Além disso, seus trabalhos devem viabilizar planos de ação para o tratamento dos riscos identificados. Segunda a Instrução Normativa Conjunta da Controladoria-Geral da União (CGU) e do Ministério Público nº. 01, de 10 de maio de 2016, auditoria interna é: […] atividade independente e objetiva de avaliação e de consultoria, dese- nhada para adicionar valor e melhorar as operações de uma organização. Ela auxilia a organização a realizar seus objetivos, a partir da aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gerenciamento de riscos, de controles internos, de integridade e de governança. As auditorias internas no âmbito da Ad- ministração Pública se constituem na terceira linha ou camada de defesa das organizações, uma vez que são responsáveis por proceder à avaliação da operacionalização dos controles internos da gestão (primeira linha ou camada de defesa, executada por todos os níveis de gestão dentro da orga- nização) e da supervisão dos controles internos (segunda linha ou camada de defesa, executada por instâncias específicas, como comitês de risco e controles internos). Compete às auditorias internas oferecer avaliações e assessoramento às organizações públicas, destinadas ao aprimoramento dos controles internos, de forma que controles mais eficientes e eficazes mitiguem os principais riscos de que os órgãos e entidades não alcancem seus objetivos (BRASIL, 2016, documento on-line). Abordagem da auditoria interna baseada em riscos6 Desenvolvimento da auditoria interna O processo de auditoria interna se desenvolve em três fases distintas: planeja- mento, execução e relatório, seguido do acompanhamento ou monitoramento das recomendações, conforme demonstrado na Figura 2. Figura 2. Processo de avaliação dos controles internos em nível de entidade. Fonte: Brasil (2012, documento on-line). Levantamento prévio Definição ou revisão da estrutura de controle Desenvolvimento dos instrumentos de avaliação Testes de controle (desenho e efetividade operacional) Fase de planejamento Fase de execução Fase de relatório Monitoramento Legenda: Avaliação a partir dos resultados dos testes de controle Comunição de resultados Monitoramento (follow-up) Essas etapas se desenvolvem a partir do planejamento, que se divide em três atividades: a) levantamento prévio; b) definição ou revisão da estrutura de controle; e c) desenvolvimento dos instrumentos de avaliação. O produto final dessa etapa é a consolidação das informações no plano de trabalho. Na fase de execução, são realizados os testes de controle e a avaliação a partir dos resultados desses testes. O teste de desempenho avalia a concepção (forma de implementação) do controle, e o teste de efetividade operacional avalia o seu funcionamento. Nessa fase, são aplicados os instrumentos de 7Abordagem da auditoria interna baseada em riscos avaliação elaborados na etapa de planejamento e adotados procedimentos de auditoria para testar o funcionamento dos controles existentes. A fase final é a comunicação de resultados por meio do relatório, seguida do monitoramento, conforme aponta o TCU (BRASIL, 2017). Procedimentos de auditoria e escala para avaliação de evidências Quanto mais complexa a organização e quanto mais complexos os processos envolvendo a sua gestão de riscos, mais formais e extensas serão as práticas implementadas por meio de políticas, procedimentos e controles, para assegurar que os princípios, a estrutura e o processo de gestão de riscos estejam presentes e funcionem adequadamente. Assim, os procedimentos de auditoria devem ser planejados para lidar com as circunstâncias específi cas de cada entidade auditada, refl etindo a sua maior ou menor complexidade. Ainda, devem permitir a obtenção de evidências de auditoria sufi cientes e apropriadas para realizar a avaliação e a indicação de achados de auditoria (BRASIL, 2017). As evidências de auditoria são obtidas mediante a aplicação dos procedi- mentos de auditoria e os seus respectivos instrumentos de coleta de dados, com base nos critérios estabelecidos. Para tanto, o TCU, por exemplo, aplica a escala para avaliação das evidências de auditorias (Figura 3). Com essa escala, o auditor busca coletar dados por meio de questões e subquestões de auditoria e comparar a realidade encontrada com os critérios estabelecidos no planejamento da auditoria. Isso permite ao auditor aplicar a pontuação de cada aspecto da gestão de riscos da organização. Para cada um desses critérios, o auditor deve concluir se obteve a evidência necessária para fundamentar suas conclusões e apontar as respectivas recomen- dações sobre aspectos da gestão de riscos que necessitam ser aperfeiçoados. Além disso, ele deve verificar se, no conjunto, cada evidência é suficiente e apropriada para fundamentar a sua conclusão geral sobre o nível de maturidade da gestão de riscos da organização, conforme o TCU (BRASIL, 2017). Abordagem da auditoria interna baseada em riscos8 Figura 3. Escala para avaliação das evidências de auditorias. Fonte: Brasil (2017, documento on-line). Plano Anual de Atividades de Auditoria Interna A Secretaria Federal de Controle Interno (SFC) do Ministério da Transparência e da CGU é responsável por expedir normas para a orientação normativa e a supervisão técnica das unidades de auditoria interna dos órgãos do Poder Executivo Federal. Por meio da Instrução Normativa SFC nº. 24, de 17 de novembro de 2015 (BRASIL, 2015), a SFC sistematizou a incorporação de aspectos de avaliação de riscos ao planejamento das ações das unidades de auditoria interna, criando o Plano Anual de Atividades de Auditoria Interna (PAINT). Essa normativa prevê que o PAINT seja elaborado pelas unidades de auditoria interna das entidades da administração direta e indireta, de forma a definir temas e macroprocessos a serem auditados a cada exercício. Tambémdestaca que, ao prestar serviços de consultoria, as unidades de auditoria in- terna governamental (UAIGs) não devem assumir qualquer responsabilidade que seja da Administração, pois, por sua natureza, os serviços de consultoria representam atividades de assessoria e aconselhamento. A IN nº. 24/2015 9Abordagem da auditoria interna baseada em riscos (BRASIL, 2015) acrescenta ainda que esses serviços devem abordar assuntos estratégicos da gestão, como os processos de governança, de gerenciamento de riscos e de controles internos, e ser condizentes com os valores, as estratégias e os objetivos da unidade auditada. A IN nº. 24/2015 (BRASIL, 2015) prevê, ainda, que sejam considerados na elaboração do PAINT o planejamento estratégico, a estrutura de governança, o programa de integridade, o gerenciamento de riscos corporativos, os con- troles existentes, os planos, as metas, os objetivos específicos, os programas e as políticas do respectivo órgão ou entidade. Além disso, a IN nº. 24/2015 determina que o planejamento dos trabalhos da atividade de auditoria interna deve ser baseado em uma avaliação de risco documentada, realizada pelo menos anualmente, cujo conteúdo mínimo deverá constar no PAINT, prevendo: I – relação dos macroprocessos ou temas passíveis de serem trabalhados, classificados por meio de matriz de risco, com a descrição dos critérios uti- lizados para a sua elaboração; II – identificação dos macroprocessos ou temas constantes da matriz de risco, a serem desenvolvidos no exercício seguinte, considerando o prazo, os recursos disponíveis e os objetivos propostos; e III – estimativa de horas destinadas às ações de capacitação e participação em eventos que promovam o fortalecimento das atividades de auditoria interna (BRASIL, 2015, documento on-line). Além dessa delimitação do conteúdo, a IN nº. 24/2015 (BRASIL, 2015) estabelece que a UAIG deve realizar a prévia identificação de todo o universo auditável. Deve ainda considerar as expectativas da alta administração e das demais partes interessadas em relação à atividade de auditoria interna e a análise de riscos realizada pela unidade auditada por meio do seu processo de gerenciamento de riscos. Abordagem da auditoria interna baseada em riscos10 ÁVILA, M. D. G. Gestão de riscos no setor público. Revista Controle: Doutrinas e artigos, v. 12, n. 2, p. 179-198, 2014. Disponível em: http://revistacontrole.ipc.tce.ce.gov.br/index. php/RCDA/article/view/110. Acesso em: 13 dez. 2019. BRASIL. Controladoria-Geral da União. Instrução Normativa no. 24, de 17 de novembro de 2015. Dispõe sobre o Plano Anual de Auditoria Interna (PAINT), os trabalhos de audi- toria realizados pelas unidades de auditoria interna e o Relatório Anual de Atividades da Auditoria Interna (RAINT) e dá outras providências. Diário Oficial da União, 18 nov. 2015. Disponível em: http://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/ content/id/30175122/do1-2015-11-18-instrucao-normativa-n-24-de-17-de-novembro- -de-2015-30175118. Acesso em: 13 dez. 2019. BRASIL. Ministério Público. Controladoria-Geral da União. Instrução Normativa Conjunta MP/CGU no. 1, de 10 de maio de 2016. Dispõe sobre controles internos, gestão de riscos e governança no âmbito do Poder Executivo federal. Diário Oficial da União, 11 maio 2016. Disponível em: http://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/ content/id/21519355/do1-2016-05-11-instrucao-normativa-conjunta-n-1-de-10-de- -maio-de-2016-21519197. Acesso em: 13 dez. 2019. BRASIL. Tribunal de Contas da União. Gestão de riscos: roteiro de auditoria. Brasília: TCU, 2017. E-book. Disponível em: https://portal.tcu.gov.br/biblioteca-digital/roteiro-de- -auditoria-de-gestao-de-risco.htm. Acesso em: 13 dez. 2019. BRASIL. Tribunal de Contas União. Avaliação de controles internos: apresentações, eventos e cursos. Brasília: Instituto Serzedello Corrêa, 2012. Disponível em: https://portal.tcu. gov.br/biblioteca-digital/avaliacao-de-controles-internos-8A81881F6364D8370163BE- 6255D23F7E.htm. Acesso em: 13 dez. 2019. HILL, S. Guia sobre a gestão de riscos no serviço público. In: CANADA SCHOOL OF PUBLIC SERVICE. Cadernos ENAP. Brasília: Escola Nacional de Administração Pública, 2006. Disponível em: https://repositorio.enap.gov.br/bitstream/1/651/1/Uma%20 explora%c3%a7%c3%a3o%20inicial%20da%20literatura%20sobre%20a%20 inova%c3%a7%c3%a3o.pdf. Acesso em: 13 dez. 2019. POMMERENING, E. J.; BENCKE, F. F. Auditoria convencional e auditoria baseada em riscos: contribuições à gestão organizacional. Unoesc & Ciência - ACSA, v. 2, n. 1, p. 15-26, 2011. Leituras recomendadas BRASIL. Tribunal de Contas da União. Manual de auditoria operacional. 3. ed. Brasília: TCU, Secretaria de Fiscalização e Avaliação de Programas de Governo, 2010. E-book. Disponível em: https://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?fileId=8A 81881F6B4849B5016B7A41035069A3. Acesso em: 13 dez. 2019. 11Abordagem da auditoria interna baseada em riscos BRASIL. Tribunal de Contas da União. Padrões de auditoria de conformidade: Portaria- -SEGECEX no. 26, de 19 de outubro de 2009. Boletim do Tribunal de Contas da União, v. 63, n. 2, 2010. Disponível em: https://portal.tcu.gov.br/lumis/portal/file/fileDownload. jsp?fileId=8A8182A259ADCD370159B2FD99B04042. Acesso em: 13 dez. 2019. CARVALHO NETO; A. A.; GOMES, A. R. Auditoria baseada em riscos. Brasília: TCU, 2018. MARQUES, M. C. C.; ALMEIDA, J. J. M. Auditoria no sector público: um instrumento para a melhoria da gestão pública. Revista Contabilidade & Finanças – USP, v. 15, n. 35, p. 84-95, 2004. Disponível em: http://www.spell.org.br/documentos/ver/24182/ auditoria-no-sector-publico--um-instrumento-para-a-melhoria-da-gestao-publica. Acesso em: 13 dez. 2019. Os links para sites da Web fornecidos neste capítulo foram todos testados, e seu fun- cionamento foi comprovado no momento da publicação do material. No entanto, a rede é extremamente dinâmica; suas páginas estão constantemente mudando de local e conteúdo. Assim, os editores declaram não ter qualquer responsabilidade sobre qualidade, precisão ou integralidade das informações referidas em tais links. Abordagem da auditoria interna baseada em riscos12
Compartilhar