Abordagem da auditoria interna baseada em riscos

Prévia do material em texto

AUDITORIA 
NO SETOR 
PÚBLICO 
Guilherme Corrêa Gonçalves
Abordagem da auditoria 
interna baseada em riscos
Objetivos de aprendizagem
Ao final deste texto, você deve apresentar os seguintes aprendizados:
  Identificar os elementos da avaliação de riscos na auditoria pública.
  Descrever as espécies de riscos da auditoria interna.
  Diferenciar a auditoria interna baseada em riscos da auditoria 
tradicional.
Introdução
A abordagem da auditoria baseada em riscos tem por objetivo reduzir 
os riscos de produção de relatórios inadequados, de modo a atender às 
expectativas dos usuários em todos os aspectos relevantes da auditoria. 
Mas, o que é exatamente essa abordagem de auditoria baseada em riscos? 
Neste capítulo, você vai estudar a abordagem da auditoria interna baseada 
em riscos, verificando as diferenças entre essa abordagem e a abordagem 
tradicional. Você também vai conferir os elementos necessários para avaliar 
os riscos em auditorias públicas e compreender as espécies de riscos.
Auditoria baseada em riscos e auditoria 
tradicional 
A abordagem da auditoria baseada em riscos (ABR) pode ser considerada 
como uma evolução da abordagem tradicional de auditoria. Isso porque não se 
trata de um novo tipo de auditoria, mas de uma nova abordagem que pode ser 
aplicada a qualquer dos tipos de auditoria. Antes do uso da ABR, os trabalhos 
de auditoria tinham um viés mais retroativo, baseado em fatos pretéritos, ou 
seja, em atos já praticados. A busca da nova abordagem é pela proatividade, 
concentrando seus esforços na avaliação da postura da administração das 
organizações perante os riscos, enquanto a abordagem tradicional tem foco 
no sistema de controle interno, conforme Pommerening e Bencke (2011).
O Quadro 1 compara a auditoria tradicional e a ABR.
 Fonte: Adaptado de Pommerening e Bencke (2011). 
Aspecto da 
abordagem
Abordagem 
tradicional
Abordagem 
baseada em riscos
Foco da auditoria Sistema de 
controle interno
Risco do negócio
Foco do teste Testes com base em 
programas de trabalho, 
inspeções e reações
Antecipação e 
prevenção dos 
riscos na origem
Foco do relatório Adequação e eficácia 
do controle interno
Adequabilidade 
e eficácia da 
mitigação do risco
Resultados de auditoria Controle novo ou 
melhorado
Mitigação do risco
 Quadro 1. Comparação entre as abordagens tradicional e baseada em riscos 
Conforme se pode observar no Quadro 1, a ABR está focada nos riscos 
que envolvem o negócio, o que a torna mais abrangente do que a abordagem 
tradicional. Esta busca o que deve ser feito para o alcance dos resultados; já 
a ABR procura mostrar como alcançar tais resultados. Na ABR, o auditor 
primeiro define a estratégia, que representa o caminho mais apropriado para 
atingir o objetivo, estabelecendo o alcance, a oportunidade e a direção do 
trabalho. Para tanto, ele deve considerar as expectativas, os requerimentos, as 
características, o contexto e uma avaliação de riscos no nível geral do trabalho, 
de acordo com Pommerening e Bencke (2011).
A ABR traz mais benefícios para as organizações, pois, além desses as-
pectos, conta com maior receptividade dos trabalhos de auditoria por parte 
dos gestores, justamente por deixar de ter esse viés retroativo e passar a 
se preocupar com o gerenciamento dos riscos que podem comprometer os 
objetivos organizacionais.
Abordagem da auditoria interna baseada em riscos2
Os riscos considerados na auditoria interna
Para melhor compreender a avaliação de riscos, é importante conhecer o 
conceito de risco nessa abordagem. Segundo Hill (2006), frequentemente se 
foca o aspecto negativo do risco, mas é importante lembrar que o risco inclui 
tanto eventos positivos como negativos. Risco não necessariamente signifi ca 
perigo; ele simplesmente signifi ca não saber o que o futuro reserva. Isso é 
essencial ao desenvolvimento, de modo geral, pois este decorre das soluções 
encontradas para a resolução dos problemas envolvidos nos riscos. As inova-
ções técnicas e sociais são criadas para solucionar problemas de toda ordem. 
Portanto, o risco pode ser visto como uma possibilidade de algo que já 
é esperado acontecer ou não acontecer. Essa possibilidade não implicará 
necessariamente em algo indesejável, já que os resultados em torno do que se 
espera podem apresentar tanto benefícios como malefícios, dependendo de o 
resultado estar além ou aquém do esperado, conforme Ávila (2014).
Conforme o Tribunal de Contas da União (BRASIL, 2017, documento on-line), o risco 
“[…] é inerente a todas as atividades humanas, em todos os campos. No âmbito da 
gestão de recursos públicos, o risco está presente tanto nas atividades que envolvem 
a aplicação desses recursos, como naquelas que envolvem a fiscalização e o controle 
da sua boa e regular aplicação”.
Principais riscos na administração pública
As possibilidades de falhas que afastem a organização de seus objetivos podem 
vir tanto da inefi ciência nos procedimentos quanto das defi ciências materiais 
das diferentes áreas. Essas situações podem ocorrer quando:
  há problemas de competência da gestão, uma vez que, quanto menor a 
competência, maior o risco de deficiências no controle; 
  a estrutura ou o tamanho da unidade não é adequada — quanto maior 
a demanda por controle, mais estreito é o limite de erro;
  há mudanças recentes — nesse caso, a probabilidade das deficiências 
do controle se dá pelas novidades que surgiram; 
3Abordagem da auditoria interna baseada em riscos
  é alta a complexidade das operações, pois a probabilidade de erro é 
incrementada;
  é alta a liquidez de ativos, o que põe o sistema de controle sob pressão, 
pois aumenta a possibilidade de desfalques;
  são diminuídas as condições econômico-financeiras da unidade, pois 
o risco de quebras no controle é frequentemente maior em unidades 
que estão sob significante arrocho econômico;
  há um rápido crescimento da organização, pois isso traz a necessidade 
de ampliar o sistema de controle;
  há um tempo demasiado entre uma auditoria e outra;
  há falta de motivação entre os funcionários, o que pode ser indicativo 
de situações de alto risco para os controles. 
Elementos da avaliação de riscos na auditoria 
interna
A busca pelos objetivos de uma organização pública envolve riscos decorrentes 
da sua realidade, das circunstâncias que a envolvem, das demandas sociais 
e da própria dinâmica da administração pública, inclusive com relação à 
necessária transparência de seus atos e aos requisitos legais e regulatórios. 
Assim, organizações públicas necessitam identifi car, analisar e gerenciar 
riscos, dando o tratamento necessário a eles, de modo a propiciar segurança 
no alcance dos objetivos organizacionais, conforme Ávila (2014). 
A sistematização da gestão de riscos gera benefícios que impactam dire-
tamente cidadãos e outras partes interessadas da organização. Essa sistemati-
zação viabiliza o adequado suporte às decisões de alocação e uso apropriado 
de recursos públicos, aumentando o grau de eficiência e eficácia no processo 
de criação, proteção e entrega de valor público e otimizando o desempenho 
e os resultados entregues à sociedade. No entanto, a gestão de riscos não é 
uma atividade autônoma, separada das demais, mas parte dos processos or-
ganizacionais, incluindo planejamento estratégico, gestão de projetos, gestão 
de processos, entre outros. 
A gestão de riscos é parte integrante e indissociável das responsabilidades 
administrativas e, segundo o TCU (BRASIL, 2017), inclui atividades como: 
  estabelecer um ambiente apropriado, incluindo a estrutura para ge-
renciar riscos; 
  definir, articular e comunicar os objetivos e o apetite a risco; 
Abordagem da auditoria interna baseada em riscos4
  identificar potenciais ameaças ou oportunidades ao cumprimento dos 
objetivos; 
  avaliar os riscos, determinando o impacto e a probabilidade de a ameaça 
ocorrer; 
  selecionar e implantar respostas aos riscos, por meio de controles e 
outras ações; 
  comunicar asinformações sobre os riscos de forma consistente em 
todos os níveis; 
  monitorar e coordenar os processos e os resultados do gerenciamento 
de riscos; e 
  fornecer avaliação quanto à eficácia com que os riscos são gerenciados.
Essas atividades envolvem responsabilidades de pessoas, cargos e funções 
em todos os níveis da organização. Portanto, a gestão de riscos da organização 
e o gerenciamento de riscos na auditoria interna devem estar alinhados e atuar 
de forma sistemática, conforme veremos a seguir.
A auditoria interna tem a função de, a partir da aplicação de uma abordagem 
sistemática e disciplinada, melhorar a efi cácia dos processos de gerenciamento 
de riscos, controle e governança. A Figura 1 indica os papéis que a auditoria 
interna pode ou não assumir.
Figura 1. Papéis legítimos da auditoria interna, abrangendo a gestão de riscos (GR).
Fonte: Brasil (2017, documento on-line).
5Abordagem da auditoria interna baseada em riscos
Os papéis que a auditoria interna pode assumir se dividem entre os que 
ela deve assumir, pois são fundamentais, os que ela pode assumir, com sal-
vaguardas, e os que ela não deve assumir. As atividades indicadas à esquerda 
da figura são as funções fundamentais da auditoria interna na gestão de risco, 
capazes de assegurar que os processos de gerenciamento de riscos operem de 
maneira eficaz e que os riscos significativos do negócio sejam gerenciados 
adequadamente. As atividades indicadas ao centro da figura são papéis legí-
timos da auditoria, com salvaguardas; ou seja, ela deve assumir esses papéis 
com salvaguardas à sua independência e à objetividade dos auditores. Já os 
papéis indicados à direita da figura não devem ser assumidos pela auditoria 
interna, pois comprometeriam os valores fundamentais para que ela forneça 
asseguração, livre de quaisquer influências, sobre a eficácia dos processos 
de gerenciamento de riscos e controles. 
A auditoria interna deve proporcionar uma compreensão clara da estratégia 
da organização e de sua execução, riscos associados e seu gerenciamento. 
Além disso, seus trabalhos devem viabilizar planos de ação para o tratamento 
dos riscos identificados. 
Segunda a Instrução Normativa Conjunta da Controladoria-Geral da União (CGU) e do 
Ministério Público nº. 01, de 10 de maio de 2016, auditoria interna é:
[…] atividade independente e objetiva de avaliação e de consultoria, dese-
nhada para adicionar valor e melhorar as operações de uma organização. 
Ela auxilia a organização a realizar seus objetivos, a partir da aplicação 
de uma abordagem sistemática e disciplinada para avaliar e melhorar a 
eficácia dos processos de gerenciamento de riscos, de controles internos, 
de integridade e de governança. As auditorias internas no âmbito da Ad-
ministração Pública se constituem na terceira linha ou camada de defesa 
das organizações, uma vez que são responsáveis por proceder à avaliação 
da operacionalização dos controles internos da gestão (primeira linha ou 
camada de defesa, executada por todos os níveis de gestão dentro da orga-
nização) e da supervisão dos controles internos (segunda linha ou camada 
de defesa, executada por instâncias específicas, como comitês de risco e 
controles internos). Compete às auditorias internas oferecer avaliações e 
assessoramento às organizações públicas, destinadas ao aprimoramento 
dos controles internos, de forma que controles mais eficientes e eficazes 
mitiguem os principais riscos de que os órgãos e entidades não alcancem 
seus objetivos (BRASIL, 2016, documento on-line).
Abordagem da auditoria interna baseada em riscos6
Desenvolvimento da auditoria interna 
O processo de auditoria interna se desenvolve em três fases distintas: planeja-
mento, execução e relatório, seguido do acompanhamento ou monitoramento 
das recomendações, conforme demonstrado na Figura 2.
Figura 2. Processo de avaliação dos controles internos em nível de entidade.
Fonte: Brasil (2012, documento on-line).
Levantamento
prévio
Definição ou
revisão da
estrutura de
controle
Desenvolvimento
dos instrumentos
de avaliação
Testes de
controle
(desenho e
efetividade
operacional)
Fase de planejamento
Fase de execução
Fase de relatório
Monitoramento
Legenda:
Avaliação a
partir dos
resultados dos
testes de
controle
Comunição de
resultados
Monitoramento
(follow-up)
Essas etapas se desenvolvem a partir do planejamento, que se divide em 
três atividades: 
a) levantamento prévio; 
b) definição ou revisão da estrutura de controle; e 
c) desenvolvimento dos instrumentos de avaliação. 
O produto final dessa etapa é a consolidação das informações no plano de 
trabalho. Na fase de execução, são realizados os testes de controle e a avaliação 
a partir dos resultados desses testes. O teste de desempenho avalia a concepção 
(forma de implementação) do controle, e o teste de efetividade operacional 
avalia o seu funcionamento. Nessa fase, são aplicados os instrumentos de 
7Abordagem da auditoria interna baseada em riscos
avaliação elaborados na etapa de planejamento e adotados procedimentos de 
auditoria para testar o funcionamento dos controles existentes. A fase final é a 
comunicação de resultados por meio do relatório, seguida do monitoramento, 
conforme aponta o TCU (BRASIL, 2017).
Procedimentos de auditoria e escala para avaliação de 
evidências
Quanto mais complexa a organização e quanto mais complexos os processos 
envolvendo a sua gestão de riscos, mais formais e extensas serão as práticas 
implementadas por meio de políticas, procedimentos e controles, para assegurar 
que os princípios, a estrutura e o processo de gestão de riscos estejam presentes 
e funcionem adequadamente. Assim, os procedimentos de auditoria devem 
ser planejados para lidar com as circunstâncias específi cas de cada entidade 
auditada, refl etindo a sua maior ou menor complexidade. Ainda, devem permitir 
a obtenção de evidências de auditoria sufi cientes e apropriadas para realizar a 
avaliação e a indicação de achados de auditoria (BRASIL, 2017).
As evidências de auditoria são obtidas mediante a aplicação dos procedi-
mentos de auditoria e os seus respectivos instrumentos de coleta de dados, 
com base nos critérios estabelecidos. Para tanto, o TCU, por exemplo, aplica 
a escala para avaliação das evidências de auditorias (Figura 3). Com essa 
escala, o auditor busca coletar dados por meio de questões e subquestões de 
auditoria e comparar a realidade encontrada com os critérios estabelecidos 
no planejamento da auditoria. Isso permite ao auditor aplicar a pontuação de 
cada aspecto da gestão de riscos da organização.
Para cada um desses critérios, o auditor deve concluir se obteve a evidência 
necessária para fundamentar suas conclusões e apontar as respectivas recomen-
dações sobre aspectos da gestão de riscos que necessitam ser aperfeiçoados. 
Além disso, ele deve verificar se, no conjunto, cada evidência é suficiente e 
apropriada para fundamentar a sua conclusão geral sobre o nível de maturidade 
da gestão de riscos da organização, conforme o TCU (BRASIL, 2017).
Abordagem da auditoria interna baseada em riscos8
Figura 3. Escala para avaliação das evidências de auditorias.
Fonte: Brasil (2017, documento on-line).
Plano Anual de Atividades de Auditoria Interna
A Secretaria Federal de Controle Interno (SFC) do Ministério da Transparência 
e da CGU é responsável por expedir normas para a orientação normativa e 
a supervisão técnica das unidades de auditoria interna dos órgãos do Poder 
Executivo Federal. Por meio da Instrução Normativa SFC nº. 24, de 17 de 
novembro de 2015 (BRASIL, 2015), a SFC sistematizou a incorporação de 
aspectos de avaliação de riscos ao planejamento das ações das unidades 
de auditoria interna, criando o Plano Anual de Atividades de Auditoria 
Interna (PAINT). 
Essa normativa prevê que o PAINT seja elaborado pelas unidades de 
auditoria interna das entidades da administração direta e indireta, de forma a 
definir temas e macroprocessos a serem auditados a cada exercício. Tambémdestaca que, ao prestar serviços de consultoria, as unidades de auditoria in-
terna governamental (UAIGs) não devem assumir qualquer responsabilidade 
que seja da Administração, pois, por sua natureza, os serviços de consultoria 
representam atividades de assessoria e aconselhamento. A IN nº. 24/2015 
9Abordagem da auditoria interna baseada em riscos
(BRASIL, 2015) acrescenta ainda que esses serviços devem abordar assuntos 
estratégicos da gestão, como os processos de governança, de gerenciamento de 
riscos e de controles internos, e ser condizentes com os valores, as estratégias 
e os objetivos da unidade auditada.
A IN nº. 24/2015 (BRASIL, 2015) prevê, ainda, que sejam considerados na 
elaboração do PAINT o planejamento estratégico, a estrutura de governança, 
o programa de integridade, o gerenciamento de riscos corporativos, os con-
troles existentes, os planos, as metas, os objetivos específicos, os programas 
e as políticas do respectivo órgão ou entidade. Além disso, a IN nº. 24/2015 
determina que o planejamento dos trabalhos da atividade de auditoria interna 
deve ser baseado em uma avaliação de risco documentada, realizada pelo 
menos anualmente, cujo conteúdo mínimo deverá constar no PAINT, prevendo: 
I – relação dos macroprocessos ou temas passíveis de serem trabalhados, 
classificados por meio de matriz de risco, com a descrição dos critérios uti-
lizados para a sua elaboração; 
II – identificação dos macroprocessos ou temas constantes da matriz de 
risco, a serem desenvolvidos no exercício seguinte, considerando o prazo, os 
recursos disponíveis e os objetivos propostos; e 
III – estimativa de horas destinadas às ações de capacitação e participação em 
eventos que promovam o fortalecimento das atividades de auditoria interna 
(BRASIL, 2015, documento on-line).
Além dessa delimitação do conteúdo, a IN nº. 24/2015 (BRASIL, 2015) 
estabelece que a UAIG deve realizar a prévia identificação de todo o universo 
auditável. Deve ainda considerar as expectativas da alta administração e das 
demais partes interessadas em relação à atividade de auditoria interna e a 
análise de riscos realizada pela unidade auditada por meio do seu processo 
de gerenciamento de riscos.
Abordagem da auditoria interna baseada em riscos10
ÁVILA, M. D. G. Gestão de riscos no setor público. Revista Controle: Doutrinas e artigos, 
v. 12, n. 2, p. 179-198, 2014. Disponível em: http://revistacontrole.ipc.tce.ce.gov.br/index.
php/RCDA/article/view/110. Acesso em: 13 dez. 2019.
BRASIL. Controladoria-Geral da União. Instrução Normativa no. 24, de 17 de novembro 
de 2015. Dispõe sobre o Plano Anual de Auditoria Interna (PAINT), os trabalhos de audi-
toria realizados pelas unidades de auditoria interna e o Relatório Anual de Atividades 
da Auditoria Interna (RAINT) e dá outras providências. Diário Oficial da União, 18 nov. 
2015. Disponível em: http://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/
content/id/30175122/do1-2015-11-18-instrucao-normativa-n-24-de-17-de-novembro-
-de-2015-30175118. Acesso em: 13 dez. 2019.
BRASIL. Ministério Público. Controladoria-Geral da União. Instrução Normativa Conjunta 
MP/CGU no. 1, de 10 de maio de 2016. Dispõe sobre controles internos, gestão de riscos 
e governança no âmbito do Poder Executivo federal. Diário Oficial da União, 11 maio 
2016. Disponível em: http://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/
content/id/21519355/do1-2016-05-11-instrucao-normativa-conjunta-n-1-de-10-de-
-maio-de-2016-21519197. Acesso em: 13 dez. 2019.
BRASIL. Tribunal de Contas da União. Gestão de riscos: roteiro de auditoria. Brasília: TCU, 
2017. E-book. Disponível em: https://portal.tcu.gov.br/biblioteca-digital/roteiro-de-
-auditoria-de-gestao-de-risco.htm. Acesso em: 13 dez. 2019.
BRASIL. Tribunal de Contas União. Avaliação de controles internos: apresentações, eventos 
e cursos. Brasília: Instituto Serzedello Corrêa, 2012. Disponível em: https://portal.tcu.
gov.br/biblioteca-digital/avaliacao-de-controles-internos-8A81881F6364D8370163BE-
6255D23F7E.htm. Acesso em: 13 dez. 2019.
HILL, S. Guia sobre a gestão de riscos no serviço público. In: CANADA SCHOOL OF 
PUBLIC SERVICE. Cadernos ENAP. Brasília: Escola Nacional de Administração Pública, 
2006. Disponível em: https://repositorio.enap.gov.br/bitstream/1/651/1/Uma%20
explora%c3%a7%c3%a3o%20inicial%20da%20literatura%20sobre%20a%20
inova%c3%a7%c3%a3o.pdf. Acesso em: 13 dez. 2019.
POMMERENING, E. J.; BENCKE, F. F. Auditoria convencional e auditoria baseada em riscos: 
contribuições à gestão organizacional. Unoesc & Ciência - ACSA, v. 2, n. 1, p. 15-26, 2011.
Leituras recomendadas
BRASIL. Tribunal de Contas da União. Manual de auditoria operacional. 3. ed. Brasília: 
TCU, Secretaria de Fiscalização e Avaliação de Programas de Governo, 2010. E-book. 
Disponível em: https://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?fileId=8A
81881F6B4849B5016B7A41035069A3. Acesso em: 13 dez. 2019.
11Abordagem da auditoria interna baseada em riscos
BRASIL. Tribunal de Contas da União. Padrões de auditoria de conformidade: Portaria-
-SEGECEX no. 26, de 19 de outubro de 2009. Boletim do Tribunal de Contas da União, v. 
63, n. 2, 2010. Disponível em: https://portal.tcu.gov.br/lumis/portal/file/fileDownload.
jsp?fileId=8A8182A259ADCD370159B2FD99B04042. Acesso em: 13 dez. 2019.
CARVALHO NETO; A. A.; GOMES, A. R. Auditoria baseada em riscos. Brasília: TCU, 2018.
MARQUES, M. C. C.; ALMEIDA, J. J. M. Auditoria no sector público: um instrumento 
para a melhoria da gestão pública. Revista Contabilidade & Finanças – USP, v. 15, n. 
35, p. 84-95, 2004. Disponível em: http://www.spell.org.br/documentos/ver/24182/
auditoria-no-sector-publico--um-instrumento-para-a-melhoria-da-gestao-publica. 
Acesso em: 13 dez. 2019.
Os links para sites da Web fornecidos neste capítulo foram todos testados, e seu fun-
cionamento foi comprovado no momento da publicação do material. No entanto, a 
rede é extremamente dinâmica; suas páginas estão constantemente mudando de 
local e conteúdo. Assim, os editores declaram não ter qualquer responsabilidade 
sobre qualidade, precisão ou integralidade das informações referidas em tais links.
Abordagem da auditoria interna baseada em riscos12