Módulo 2 - O papel da auditoria interna em uma organização

Prévia do material em texto

Auditoria e Controle
para Estatais
O Papel da auditoria interna 
em uma organização2
M
ód
ul
o
2Enap Fundação Escola Nacional de Administração Pública
Enap, 2020
Enap Escola Nacional de Administração Pública
Diretoria de Educação Continuada
SAIS - Área 2-A - 70610-900 — Brasília, DF
Fundação Escola Nacional de Administração Pública
Presidente 
Diogo Godinho Ramos Costa
Diretor de Educação Continuada
Paulo Marques
Coordenador-Geral de Educação a Distância 
Carlos Eduardo dos Santos
Conteudistas 
Fabio Silva Vasconcelos (Conteudista, 2018) / Giane Gomes Nascimento Nakano (Conteudista, 2018) Gustavo 
de Queiroz Chaves (Conteudista, 2018) Tiago Chaves Oliveira (Conteudista, 2018)
Coordenadora Enap
Priscilla Campos Pereira (Coordenadora Enap, 2019)
Desenvolvimento do curso realizado no âmbito do acordo de Cooperação Técnica FUB / CDT / Laboratório 
Latitude e Enap.
Curso produzido em Brasília 2020.
3Enap Fundação Escola Nacional de Administração Pública
1. O Modelo das Três Linhas de Defesa ............................................. 5
1.1 Estudo de caso ................................................................................. 9
2. Estruturas metodológicas que suportam a atuação da auditoria 
interna ........................................................................................... 16
2.1 COSO I (ou COSO ICIF) ................................................................... 16
2.2 COSO II (ou COSO ERM) ................................................................. 18
2.3 ISO 31000 ...................................................................................... 20
2.4 COBIT 5 .......................................................................................... 22
3. Serviços prestados pela auditoria interna ................................... 24
3.1 Avaliação ....................................................................................... 24
3.2 Consultoria .................................................................................... 27
3.3 Apuração ....................................................................................... 29
4. Diferença entre auditoria interna e independente ...................... 30
4.1 Princípios e estrutura de normas da atuação dos auditores ......... 31
4.2 Resultados dos trabalhos de avaliação e consultoria .................... 33
4.3 Marcos da auditoria no Brasil ........................................................ 35
4.4 Estudo de caso ............................................................................... 36
5. Referências bibliográficas ........................................................... 38
Sumário
4Enap Fundação Escola Nacional de Administração Pública
5Enap Fundação Escola Nacional de Administração Pública
1. O Modelo das Três Linhas de Defesas
Antes de aprendermos sobre o papel que a auditoria interna deve exercer em uma organização, 
precisamos entender qual a função dos diversos atores que contribuem para o cumprimento da 
missão institucional de uma entidade. Para garantir a realização de seus objetivos, é necessário 
implementar controles internos capazes de impedir ou minimizar a ocorrência de riscos que 
ameaçam tais objetivos.
Então, como áreas finalísticas e de conformidade, a auditoria interna e a alta administração 
devem atuar conjuntamente para alcançar os objetivos de uma organização?
As atividades relacionadas ao gerenciamento de riscos e à implantação e funcionamento 
de controles nos processos estão cada vez mais difundidas dentro das organizações, dada a 
complexidade do ambiente de negócios. Isso requer uma coordenação desses esforços, para 
que não haja sobreposição na atuação de diferentes áreas, tampouco restem lacunas sem 
gerenciamento de riscos e funcionamento de controles eficazes.
Diante desse desafio, surgiu, na comunidade europeia, por meio da Federação das Associações 
Europeias de Gestão de Riscos (Ferma) e da Confederação Europeia do Instituto de Auditoria 
Interna (ECIIA), o Modelo das Três Linhas de Defesa. Esse modelo passou a ser reconhecido 
mundialmente por parte das organizações e das entidades que representam as funções de 
gerenciamento de riscos e de controles. Em 2013, foi objeto da “Declaração de Posicionamento 
do IIA” (The Institute of Internal Auditors), sendo um marco em sua divulgação.
 
Para acessá-la na íntegra, clique no link: http://www.planejamento.gov.br/assuntos/
empresas-estatais/palestras-e-apresentacoes/2-complemento-papeis-das-areas-de-
gestao-de-riscos-controles-internos-e-auditoria-interna.pdf
A Instrução Normativa Conjunta MP/CGU nº 01/2016, que “dispõe sobre controles internos, 
gestão de riscos e governança no âmbito do Poder Executivo federal”, utilizou esse modelo 
como referência. De forma semelhante, o “Referencial Técnico da Atividade de Auditoria Interna 
Governamental”, elaborado pela CGU e aprovado pela Instrução Normativa nº 03, de 09 de junho 
de 20171, também considera tal modelo, conforme item 7:
A estrutura de controles internos dos órgãos e entidades da Administração Pública 
Federal deve contemplar as três linhas de defesa da gestão ou camadas, a qual 
deve comunicar, de maneira clara, as responsabilidades de todos os envolvidos, 
provendo uma atuação coordenada e eficiente, sem sobreposições ou lacunas.
1 https://repositorio.cgu.gov.br/handle/1/33409
M
ód
ul
o O Papel da auditoria interna 
em uma organização2
http://www.planejamento.gov.br/assuntos/empresas-estatais/palestras-e-apresentacoes/2-complemento-papeis-das-areas-de-gestao-de-riscos-controles-internos-e-auditoria-interna.pdf
http://www.planejamento.gov.br/assuntos/empresas-estatais/palestras-e-apresentacoes/2-complemento-papeis-das-areas-de-gestao-de-riscos-controles-internos-e-auditoria-interna.pdf
http://www.planejamento.gov.br/assuntos/empresas-estatais/palestras-e-apresentacoes/2-complemento-papeis-das-areas-de-gestao-de-riscos-controles-internos-e-auditoria-interna.pdf
6Enap Fundação Escola Nacional de Administração Pública
O Modelo das Três Linhas de Defesa propõe uma abordagem coesa e coordenada, estabelecendo 
os papeis a serem exercidos pela gerência, pela supervisão, pela auditoria e, inclusive, pela alta 
administração. Isso demonstra que todos têm participação no gerenciamento de riscos de uma 
entidade.
A figura a seguir ilustra como deve ser estruturada uma organização para que o gerenciamento 
de riscos e o funcionamento dos controles sejam bem-sucedidos.
Modelo das 3 Linhas de Defesa
Figura 1: Declaração de Posicionamento do IIA: as três linhas de defesa 
do gerenciamento eficaz de riscos e controles, 2013
Primeira linha de defesa
As estruturas que compõem a primeira linha de defesa identificam, avaliam e dão tratamento aos 
riscos, garantindo que as atividades estejam de acordo com os objetivos e metas estabelecidos. 
Consequentemente, os controles internos primários associados aos processos e atividades 
conduzidas pelas gerências devem ser exercidos pelas estruturas que compõem esse nível da 
gestão.
O controle da gerência é a primeira linha de defesa no gerenciamento de riscos, incluindo não 
apenas aqueles que ocupam o cargo de gerente, como o conjunto de funcionários que atuam no 
nível operacional. Isso significa que a responsabilidade primária deve ser desse nível da gestão, 
pois é o proprietário dos processos e, consequentemente, dos riscos associados a eles.
7Enap Fundação Escola Nacional de Administração Pública
Nesse nível estão incluídas as áreas responsáveis pelos processos operacionais e de negócios 
da organização, tais como áreas de produção e comerciais. Os gerentes que atuam na primeira 
linha são os detentores dos riscos porque conhecem a fundo suas áreas de negócio, conseguindo 
identificar e tratar tais riscos de forma mais eficiente, sendo apoiados pelas outras linhas de 
defesa e pela alta administração.
A supervisão do gerenciamento de riscos exercido na primeira linha, bem como o funcionamento 
dos controles internos, contarão com a atuação da segundalinha de defesa, constituída por 
áreas corporativas ligadas à gestão de riscos, à qualidade e à conformidade.
Segunda linha de defesa
A segunda linha de defesa é composta por diversas funções de controle de riscos e supervisão 
de conformidades. Ela garante um arcabouço importante para que a primeira linha exerça seu 
papel ao mesmo tempo que a supervisiona, identificando possíveis falhas. Aqui estão incluídas 
funções típicas de gestão, que possuem interferência sobre o papel exercido pela primeira linha 
de defesa no tocante a riscos e controles. São exemplos:
• Gerenciamento de riscos: exercida por uma área específica ou comitê que promova 
a facilitação na implementação do gerenciamento de riscos por parte da gerência 
da primeira linha de defesa, auxiliando em questões como: identificação de riscos, 
definição do apetite a risco e padronização do reporte de informações sobre o resultado 
do gerenciamento de riscos para outros atores da organização. Cabe aqui, ainda, a 
atividade de monitoramento da função desempenhada pela primeira linha de defesa. O 
grande desafio é evidenciar que a gestão de riscos não pertence exclusivamente a uma 
área de gerenciamento de riscos, mas, antes de tudo, aos proprietários dos processos 
que estão na primeira linha de defesa.
• Conformidade: quando riscos específicos, tais como a não conformidade com leis 
e marcos regulatórios, são monitorados. Normalmente existem diversas áreas ou 
atividades que supervisionam a conformidade, podendo existir áreas específicas por 
tipos de monitoramento, como saúde e segurança, cadeia de fornecimento, ambiental 
e monitoramento da qualidade, a depender do setor da entidade.
• Controladoria: também pode estar presente em alguns tipos de organização, 
monitorando os riscos financeiros e questões de reportes financeiros.
A segunda linha de defesa desempenha uma função de gestão crucial no modelo das três linhas, 
posto que atua sobre a primeira linha dando suporte e monitoramento, ao passo que reporta 
à alta administração e ao conselho o desempenho do processo de gerenciamento de risco e 
dos controles internos. Também pode incluir a identificação de questões atuais e emergentes 
ou mudanças no apetite ao risco implícito da organização, o fornecimento de orientações e 
treinamentos sobre processos de gerenciamento de riscos, dentre outras funções que promovam 
o aumento da maturidade do gerenciamento de riscos na organização.
Está presente na função de gerenciamento de riscos a estratégia, a inteligência por trás do 
8Enap Fundação Escola Nacional de Administração Pública
processo, coordenando os esforços de todas as partes da organização e, inclusive, verificando a 
inter-relação entre os riscos que possuem proprietários distintos dentro da organização.
Nesse sentido, riscos considerados baixos isoladamente, quando interagem com outros eventos 
e condições, têm o potencial para causar grandes danos, o que confere importância significativa 
à segunda linha de defesa, pois esta pode alcançar uma visão integrada dos riscos.
Terceira linha de defesa
A terceira linha de defesa é composta pela auditoria interna. É uma boa prática de governança que 
ela se reporte tecnicamente ao nível mais alto da organização, podendo ser a alta administração, 
o Conselho ou o Comitê de Auditoria, estando garantida, dessa forma, maior independência se 
comparada às estruturas da primeira e da segunda linhas de defesa, associadas normalmente 
com funções de gestão.
O item 19 do “Referencial Técnico da Atividade de Auditoria Interna Governamental” 
disciplina que:
Os trabalhos de avaliação dos processos de gestão de riscos e controles pelas 
UAIG [Unidades de Auditoria Interna Governamental] devem contemplar, em 
especial, os seguintes aspectos: adequação e suficiência dos mecanismos de 
gestão de riscos e de controles estabelecidos; eficácia da gestão dos principais 
riscos; e conformidade das atividades executadas em relação à política de gestão 
de riscos da organização.
Assim sendo, os trabalhos da auditoria interna incluem avaliações sobre governança, 
gerenciamento de riscos e controles internos, podendo ser abrangentes e incluir qualquer 
unidade, estrutura, atividade ou processo da entidade. Nesse sentido, é possível avaliar a eficácia 
e a eficiência do processo de gerenciamento de riscos e da estrutura de controles internos, 
avaliando, inclusive, a atuação das estruturas das outras linhas de defesa.
Alta administração
Em que pese a alta administração e as estruturas de governança, tais como Conselho de 
Administração, Conselho Deliberativo e Comitês, não componham nenhuma das três linhas de 
defesa, são os principais interessados nos resultados provenientes desse modelo.
A alta administração é responsável pelo monitoramento da gestão de riscos e pelo desenho 
e funcionamento da estrutura de controles internos, valendo-se do reporte de várias fontes 
de dentro da organização, tais como área de gerenciamento de riscos e auditoria interna, para 
cumprir seu papel. Daí a importância de um modelo em que existam linhas ou camadas para 
garantir a eficiência do gerenciamento de riscos e do funcionamento dos controles internos, 
contribuindo para o atingimento dos objetivos organizacionais.
Agentes externos
9Enap Fundação Escola Nacional de Administração Pública
É preciso destacar, ainda, os agentes externos à organização, tais como auditores externos, 
reguladores e outros órgãos externos. Eles atuam de forma significativa, seja avaliando as três 
linhas de defesa da organização, seja estabelecendo regras de negócio e requisitos legais que 
contribuem para fortalecer os controles. Figuram como linhas de defesa adicionais, mas seu 
enfoque tende a ser limitado, pontual, se comparado à completude do Modelo das Três Linhas 
de Defesa.
1.1 Estudo de caso
A partir de um escândalo conhecido no mercado financeiro, o caso Barings Bank, vamos identificar 
as falhas ocorridas e que poderiam ter sido evitadas com o uso do Modelo das Três Linhas de 
Defesa. O que deu errado? Como estruturas e atores do Barings Bank poderiam ter atuado para 
evitar fatos que culminaram em um prejuízo sem precedentes na história do banco?
História do Barings Bank
O Barings Bank foi fundado em 1762 por John e Francis Baring. A instituição era o banco mercantil 
mais antigo de Londres. A princípio, sua atuação tinha como foco o financiamento do comércio 
externo, mas, após as Guerras Napoleônicas (1807-1815), o crescimento da instituição ocorreu, 
principalmente, pela redução de restrições comerciais e pela maior facilidade de movimentação 
de capitais internacionais. Ao longo dos anos, o banco havia se consolidado como uma instituição 
financeira respeitada, que havia financiado as Guerras Napoleônicas, a aquisição de Louisiana e 
era o banco pessoal da rainha da Inglaterra.
Na história recente, precisamente nos anos 1990, controlava mais de cem companhias sob o 
nome de Baring Public Limited Company, ampliando suas operações de corretagem internacional 
e, como consequência, surgiram escritórios em Tóquio, Singapura, Londres e no resto do mundo, 
com novos funcionários sendo contratados e promovidos rapidamente.
Dentre tais funcionários, estava um jovem londrino chamado Nick Leeson, de 22 anos, que já 
havia trabalhado em diversos bancos e será a figura central na narrativa desse escândalo.
A primeira linha de defesa
Leeson começou a trabalhar no back office, uma unidade responsável pela liquidação, 
documentação, suporte e registro contábil de operações com derivativos, primeiramente em 
Londres e, posteriormente, em Jacarta.
Foi promovido a gerente-geral da Barings Future Singapore (BFS) em fevereiro de 1992. Essa 
subsidiária foi criada para atuar no mercado de derivativos local. Leeson passou a acumular 
as funções típicas do back office, de chefe dos operadores de pregão (sendo ele próprio 
também operador) e de gerente. A função de gerente incluía a contratação de operadores e de 
funcionários do back office, o que resultou na contrataçãode profissionais pouco preparados 
acerca do mercado de derivativos.
10Enap Fundação Escola Nacional de Administração Pública
A partir de então, teve início uma série de acontecimentos que, de 1992 a 1995, levaram o banco 
à sua maior crise, culminando na venda dele pelo valor simbólico de 1 libra.
Apenas com o que foi apresentado, já podemos pensar em algumas questões iniciais que podem 
ser assim colocadas:
1ª) Foi identificado que o fato de um mesmo funcionário executar operações e ser responsável 
por registrá-las poderia gerar um risco de fraude?
2ª) Mesmo que o risco tenha sido identificado, o tratamento dado foi adequado?
3ª) Ora, se o proprietário do risco é o responsável pelo processo (no caso, o Sr. Leeson), conforme 
estudamos anteriormente, mesmo que tenha sido planejado um gerenciamento de riscos, houve 
a adequada supervisão do cumprimento de tal planejamento pela segunda linha de defesa?
O início das fraudes
A princípio, as fraudes teriam começado em 17 de julho de 1992, quando Leeson utilizou uma 
conta, chamada de conta 88888, para encobrir a falha de uma funcionária que havia comprado 
por engano vinte contratos de títulos futuros do Japan Governmental Bond (JGB), o tesouro 
japonês, tendo uma perda de quase 20 mil libras.
A subsidiária BSF, que só podia realizar operações para seus clientes, utilizou a conta citada para 
encobrir seus sucessivos erros. A partir de então, essa conta passou a ser utilizada para registro 
de transações não autorizadas.
À luz do Modelo das Três Linhas de Defesa, podemos levantar novas questões:
4ª) Se havia um risco e este foi mapeado, deveria haver um controle para mitigá-lo, passível 
de ter seu funcionamento monitorado e avaliado pelas outras linhas de defesa e, em última 
instância, pela alta administração. Algum controle foi implementado?
5ª) Se sim, houve algum tipo de monitoramento ou avaliação?
A evolução dos prejuízos
É possível acompanhar no gráfico a evolução dos prejuízos financeiros resultantes de diversas 
operações não autorizadas realizadas pela subsidiária de Singapura, as quais podem ser 
consideradas eventos de risco que se concretizaram:
Data Perdas reais (em libras)
Julho/1992 20 mil
Janeiro/1993 8 milhões
11Enap Fundação Escola Nacional de Administração Pública
Setembro/1993 mais de 1 milhão
Janeiro/1994 23 milhões
Dezembro/1994 170 milhões
Janeiro/1995 200 milhões
Fevereiro/1995 600 milhões
O ápice do escândalo
Nos primeiros seis meses de 1994, do lucro de 50 milhões de libras divulgado oficialmente 
pelo banco, cerca de 25 milhões eram provenientes das atividades da subsidiária de Singapura. 
Porém, a realidade era que as perdas acumuladas já chegavam a 50 milhões de libras, ou seja, o 
equivalente aos lucros totais oficiais do Barings no mesmo período.
Ao final de 1994, o prejuízo era de 170 milhões de libras. Entretanto, oficialmente, as 
demonstrações contábeis apontavam que as atividades da BFS haviam gerado um lucro de 28 
milhões de libras, fazendo com que a bonificação de Leeson fosse de 400 mil libras.
Outra fonte para o risco de fraude pode ser identificada aqui: o pagamento de bônus indevido 
por meio de uma política remuneratória em função do desempenho financeiro.
6ª) Será que tal fonte de risco foi identificada?
7ª) Se sim, houve alguma medida mitigadora relacionada? Uma prática empresarial, como a 
bonificação, não precisa necessariamente ser banida. Mecanismos de governança que permitam 
seu bom funcionamento podem ser adotados, figurando como medidas mitigadoras e de controle.
Ao que tudo indica, não havia nenhuma medida capaz de atuar sobre essa fonte de risco, 
pois não verificamos controles adequados que garantissem a fidedignidade dos indicadores 
utilizados, verificados por áreas ou funções sem conflito de interesse com a questão.
O pagamento de bônus por sucesso, embora muito comum, deve ser bem estruturado e 
comunicado dentro das empresas, a fim de evitar vulnerabilidades. Em diversos casos, os bônus 
foram tidos como incentivos equivocados que levaram corporações a perdas ou mesmo a 
falências. No caso em questão, se ele simulasse um desempenho acima do real, seria diretamente 
beneficiado, e devido à fragilidade dos controles implementados, tinha todos os mecanismos 
para tanto: executava e registrava as operações, sem haver uma adequada supervisão das suas 
atividades por outras linhas de defesa.
Em janeiro de 1995, um desastre agravou drasticamente a situação da BSF: o Japão foi atingido 
pelo terremoto de Kobe. Com isso, houve uma queda geral dos mercados asiáticos, aumentando 
ainda mais as perdas da BFS, que já passavam de 200 milhões de libras. Entretanto, poucos dias 
após o terremoto, Leeson decidiu adotar uma estratégia ainda mais agressiva: aumentou seu 
12Enap Fundação Escola Nacional de Administração Pública
volume de negócios nos contratos futuros do índice de ações do Nikkei 225, acreditando em uma 
rápida superação da instabilidade do mercado e consequente aumento geral dos preços. Nota-se 
uma clara evolução da fraude, ainda sem qualquer intervenção por parte da alta administração 
do banco.
Posteriormente, no fim de janeiro, Leeson adquiriu cerca de 10.000 contratos futuros do índice 
Nikkei 225. Isso impulsionou o mercado, subindo de maneira considerável naquela semana, de 
forma que o valor dos contratos ficara próximo do valor que tinham antes do terremoto. Dessa 
forma, Leeson conseguiu recuperar as perdas acumuladas e passou a vender títulos do governo 
japonês a descoberto, aumentando os pedidos de margem à sede do Barings em Londres. 
Entretanto, no início de fevereiro de 1995, o preço dos contratos despencou novamente, 
ampliando de maneira rápida os prejuízos acumulados na conta 88888, já que a posição de 
Leeson no mercado continuava alta.
Falhas na gestão
Leeson se reportava diretamente a quatro pessoas: o gerente regional de operações do Barings 
no sul da Ásia, seu supervisor direto lotado em Singapura; o gerente global de futuros e opções, 
lotado em Tóquio; e, por último, dois executivos do Barings Securities Limited (BSL), lotados 
em Londres. Os relatos mostram que não havia a devida supervisão sobre suas atividades pelo 
superior imediato, porém era reconhecido como um operador competente. A combinação dos 
dois fatores fazia com que seus pedidos de margem fossem concedidos sem questionamentos 
pela sede em Londres.
Esse desenho adotado pela gestão do Barings Bank, com uma definição de alçadas que acabava 
por fragmentar o reporte do trabalho de Leeson, gerava uma vulnerabilidade, ou seja, uma 
visão fragmentada dos riscos assumidos por ele, sem que permitissem uma visão completa da 
atuação da subsidiária BSL pela alta administração, o que, de fato, ocorreu.
A segunda linha de defesa
O Barings Bank contava com uma Comissão de Riscos, que fixava limites para a atuação das 
subsidiárias. No caso do BSL, podemos comparar os limites estabelecidos com as operações 
efetuadas, conforme o quadro a seguir:
Contratos Limites estabelecidos Posições reais (set./1994)
JGB 100 2.000
Índice Nikkei 225 200 5.000
Euroyen 500 1.000
A falta de supervisão sobre as atividades da BFS é clara quando se analisam os limites fixados 
pela Comissão de Riscos do Barings sobre sua subsidiária singapuriana e as posições reais. Os 
limites máximos das posições que a BFS podia assumir eram: 100 contratos de JGB futuros; 200 
contratos futuros do índice Nikkei 225 e 500 contratos de Euroyen futuros. Contudo, no início 
13Enap Fundação Escola Nacional de Administração Pública
do mês de setembro de 1994, a posição mantida por Leeson já era de 2.000 contratos de JGB 
futuros, 5.000 contratos futuros do índice Nikkei 225 e 1.000 contratos de Euroyen futures.
É possível constatar que havia uma segunda linha de defesa responsável por estabelecer 
parâmetros para a primeira linha.
8ª) Mas será que havia supervisão quanto ao cumprimento de tais regras?
A extrapolação dos limites em níveis tão altos, chegando a 25 vezes o valor permitido no casodo 
Índice Nikkei, demonstra que não havia supervisão nem controles eficazes por parte da segunda 
linha de defesa sobre o trabalho de Leeson.
A terceira linha de defesa
Há relatos de que a auditoria interna havia apontado, em algum de seus relatórios preliminares, 
que seria possível que a BFS efetuasse transações fictícias e cobrasse margens extras. Diante 
disso, a recomendação sugerida foi uma apresentação diária por parte da BFS de ajustes de 
margem.
Entretanto, Leeson alegou que o ajuste diário seria inviável. O gerente regional de operações do 
Barings no sul da Ásia concordou com Leeson e os apontamentos supracitados foram retirados 
do relatório da auditoria.
Aqui podemos perceber uma atuação positiva da auditoria enquanto terceira linha de defesa, 
identificando um risco que, ao que parece, não foi mapeado pela gestão. Contudo, o reporte 
do que fora apurado não chegou à alta administração do banco.
De qualquer forma, como aprendemos com o Modelo das Três Linhas de Defesa, a alta 
administração e as estruturas de governança, tais como Conselho de Administração, Conselho 
Deliberativo e Comitês, são os principais interessados nos resultados provenientes desse 
modelo.
Se o resultado do trabalho da auditoria interna tivesse sido levado em consideração, a fraude 
poderia ter sido descoberta na época.
Posteriormente, em julho de 1994, uma auditoria interna foi realizada na BFS. O relatório final 
apontou a falta de segregação de funções, decorrente do fato de que Leeson exercia tanto a 
chefia das operações quanto a chefia do back office, podendo, dessa forma, mascarar os registros.
A conclusão da auditoria foi correta ao identificar a falta de segregação de funções.
É preciso ter em mente que o auditor interno deve estar preparado para observar indícios de 
qualquer tipo de fraude. Porém, como não é um especialista no assunto, ele não é obrigado a 
fazer esse tipo de detecção.
14Enap Fundação Escola Nacional de Administração Pública
A alta administração
Até aqui, percebemos que a alta administração do Barings Bank não havia detectado o que estava 
ocorrendo. Além disso, adotava medidas que fortaleciam a prática fraudulenta e facilitavam a 
ocultação das transações irregulares.
Leeson pedia frequentemente transferência de margem de Londres para Singapura, o que 
poderia ter sinalizado para a alta administração que havia algo errado. Alguns fatores combinados 
contribuíram para que a fraude se desenrolasse sem questionamentos por parte da direção do 
banco em Londres:
• O conhecimento de Leeson sobre a contabilização das operações com derivativos, de forma a 
ocultar as transações.
• A falta de supervisão em relação ao registro dessas operações.
• Sua atuação concomitantemente como gerente e operador de pregão.
• A existência de clientes com grandes volumes de transações.
• Seu desempenho espetacular para os resultados do Barings em períodos anteriores.
Quando um gerenciamento de riscos é adequado, a alta administração pode atuar sobre o risco 
de fraude. Como houve falhas relacionadas às três linhas de defesa, quer por omissão, quer por 
um reporte inadequado, a alta administração não estava munida de subsídios para intervir no 
que estava ocorrendo.
Curiosamente, em janeiro de 1994, foram divulgados lucros de 200 milhões de libras relativos ao 
exercício anterior. Metade desse valor foi utilizada para o pagamento de bonificações à diretoria 
e funcionários. Leeson recebeu uma bonificação de 100 mil libras, equivalente ao dobro dos seus 
salários recebidos durante o ano de 1993.
Devido aos lucros obtidos pelo banco, atribuídos às operações com derivativos, Leeson se 
destacava e tinha um desempenho considerado espetacular, não gerando questionamentos 
ou dúvidas sobre os seus resultados e enfraquecendo eventuais avaliações que apontassem 
fragilidade sobre sua forma de atuar, como foi feito pela auditoria interna. Entretanto, as 
operações realizadas por ele já acumulavam um prejuízo de 23 milhões de libras.
Já ao final do mesmo ano, o volume de perdas não registradas era de 170 milhões de libras. 
Porém, oficialmente, as demonstrações contábeis apontavam que as atividades da BFS haviam 
gerado um lucro de 28 milhões de libras, fazendo com que a bonificação de Leeson referente às 
suas atividades naquele ano fosse de 400 mil libras.
O sistema de bonificação era uma fonte de risco de fraude, contudo não foi devidamente 
considerada, o que gerou consequências financeiras para o banco.
15Enap Fundação Escola Nacional de Administração Pública
Auditores externos
As firmas de auditoria Coopers & Lybrand (responsável pelas contas anuais da organização 
Barings e, em 1994, da BFS) e Deloitte & Touche (responsável pela auditoria das contas anuais 
da BFS em 1992 e 1993), não funcionaram adequadamente como uma linha de defesa adicional.
Ademais, o Banco da Inglaterra, que atua como Banco Central do Reino Unido, mesmo tendo 
conhecimento dos níveis de lucratividade apresentados pelas atividades do Barings na Ásia, 
também aceitou a explicação de que essa lucratividade era originada da volatilidade dos 
mercados asiáticos.
Em 2 de fevereiro de 1995, a BFS teve uma auditoria independente da empresa Coopers & 
Lybrand (C&L). Para enganá-la, Leeson falsificou documentos e extratos bancários. Com isso, em 
3 de fevereiro, foi apresentado relatório preliminar positivo para a atuação da BFS.
O desfecho do escândalo
Uma semana após a conclusão da última auditoria independente, os prejuízos chegavam a 200 
milhões de libras. Apesar da situação se agravar, a falência ainda poderia ser evitada, já que o 
capital acionário do banco era próximo de 500 milhões de libras. No entanto, nas duas semanas 
seguintes, essas perdas triplicaram, ultrapassando 600 milhões de libras.
Diante disso, no dia do pagamento das bonificações relativas ao ano anterior, 24 de fevereiro 
de 1995, Leeson declarou-se culpado pelos crimes de fraude contra os auditores externos do 
Barings e contra a SIMEX (Bolsa de Singapura), sendo condenado a seis anos e meio de prisão. O 
total de prejuízos gerados por Leeson foi de 927 milhões de libras.
Conclusão
Os riscos se materializam quando há falhas de atuação, principalmente, entre a primeira e segunda 
linhas de defesa. Quando o proprietário do processo não gerencia os riscos adequadamente e 
a segunda linha falha em não identificá-los nem reportá-los à alta gestão, tem início um efeito 
cumulativo, dificultando a atuação da terceira linha de defesa. A situação se agrava quando a 
terceira linha não identifica erros na atuação da segunda linha e passa a carecer de subsídios 
para auditar a primeira linha.
No caso Barings Bank, várias fontes de risco não identificadas geraram vulnerabilidades associadas 
ao risco de fraude. Além disso, houve ausência de uma supervisão eficaz no gerenciamento de 
riscos. Assim sendo, podemos relembrar alguns fatos importantes relacionados à fraude:
• Ausência de segregação das funções de back office e de operações.
• Conflito de interesses entre a atuação de Leeson como gerente-geral e o recebimento de bônus.
• Estrutura de alçadas e de reporte descentralizada, impedindo que a administração tivesse uma 
visão ampla sobre a atuação da subsidiária e do próprio Leeson.
16Enap Fundação Escola Nacional de Administração Pública
• Falta de supervisão por parte da segunda linha de defesa.
• Desconsideração dos apontamentos da auditoria interna.
2. Estruturas metodológicas que suportam a atuação da 
auditoria interna
Existem diversas estruturas metodológicas que dão suporte à atuação da auditoria interna. No 
tema “controle interno”, presente na maioria dos trabalhos de auditoria, o COSO I destaca-se 
como um framework que permite avaliar a eficácia de um sistema de controle interno a partir da 
relação entre objetivos institucionais, componentes próprios do modelo e a entidade. Já o COSO 
II aborda o processo de gerenciamento de riscos que, quando bem executado pelas estruturas 
de governança, permite alcançar os objetivosinstitucionais. Ainda no tema riscos, a ISO 31000 
fornece diretrizes gerais para gerenciar riscos em quaisquer atividades, incluindo a tomada 
de decisão em todos os níveis. Vamos conhecer também o COBIT 5, referencial para gestão e 
governança de tecnologia da informação.
2.1 COSO I (ou COSO ICIF)
O Committee of Sponsoring Organizations of the Tradeway Commision (COSO) é uma organização 
privada, sem fins lucrativos, criada nos Estados Unidos, em 1985, para prevenir e evitar fraudes 
nas demonstrações contábeis.
Em 1992, o COSO publicou a primeira versão da obra Internal Control – Integrated Framework 
(ICIF), em português Controle Interno – Estrutura Integrada, conhecida como COSO I ou COSO 
ICIF. Sua finalidade era desenvolvimento, implementação e aplicação de controles internos, 
servindo, inclusive, como referência para avaliação da sua eficácia.
Diante das mudanças ocorridas no mundo e, especialmente, daquelas que afetaram diretamente 
o ambiente de negócios, como as oriundas da evolução tecnológica ou de regulações, esse 
framework foi aprimorado, resultando na publicação, em 2003, de sua nova versão.
O conceito original de controle interno, de acordo com a publicação de 1992, era:
“[...] processo projetado e implementado pelos gestores para mitigar riscos e alcançar objetivos”.
Em 2003, o conceito evoluiu para:
“[...] é um processo conduzido pela estrutura de governança, pela administração e por outros 
profissionais da entidade e desenvolvido para proporcionar segurança razoável com respeito à 
realização dos objetivos relacionados a operações, divulgação e conformidade.”
Essa estrutura do framework é representada por um cubo, conforme a figura a seguir:
17Enap Fundação Escola Nacional de Administração Pública
Fonte: COSO, adaptado
A nova versão utilizou a estrutura original como base, mantendo a essência do conceito de 
controle interno e a estrutura de cinco componentes. Entretanto, algumas novidades foram 
incorporadas. As principais são:
• Formalização de conceitos fundamentais presentes na versão original. Na segunda versão, eles 
foram transformados em 17 princípios, os quais estão relacionados a cinco componentes.
• Ampliação dos formatos de Relatórios Financeiros, no âmbito do Objetivo de Divulgação 
(Relatórios), com inserção do formato de Divulgação Não Financeira Interna, proporcionando 
inclusão de informações importantes para a gestão e que variam de uma organização para outra.
• Incorporação das mudanças ocorridas no ambiente de negócios entre 1992 e 2003, com um 
destaque especial para a Lei Sarbanes-Oxley entre outras, tais como: governança, globalização, 
mudanças legais, avanços tecnológicos.
Em suma, o objetivo desse framework é auxiliar a gestão na implementação de uma estrutura 
de controles internos eficaz, que proporcione segurança razoável do alcance dos objetivos 
institucionais, tipificados em operacionais, de divulgação e de conformidade. Ao mesmo tempo, 
auxilia na avaliação da eficácia da estrutura instituída.
Embora a avaliação de riscos seja um componente do COSO I, o enfoque recai sobre a estrutura 
de controles internos. Dessa forma, não são fornecidos todos os subsídios necessários para a 
organização implementar um processo de gerenciamento de riscos nele. Para suprir essa lacuna, 
foi publicado outro framework direcionado à gestão de riscos corporativos.
18Enap Fundação Escola Nacional de Administração Pública
2.2 COSO II (ou COSO ERM)
Em 2004, o COSO publicou a obra Enterprise Risk Management – Integrated Framework (ERM), 
em português Gerenciamento de Riscos Corporativos – Estrutura Integrada, conhecido como 
COSO II ou COSO ERM. Ela estabelece uma estrutura para o gerenciamento de riscos corporativos, 
auxiliando as organizações a implementarem e a desenvolverem tal processo.
Nesse framework, o gerenciamento de riscos corporativos é definido como:
[...] um processo, colocado em prática pela estrutura de governança, pela 
administração e pelos outros funcionários de uma entidade. Ele é aplicado na 
fixação de estratégias e em toda a entidade, desenhado para identificar eventos 
que podem afetar a entidade, para gerenciar o risco e para fornecer garantia 
razoável de que os objetivos de uma entidade serão realizados.
O COSO II representa uma evolução do COSO I, mantendo as bases que o constituem e 
acrescentando instrumento mais focado na temática “risco”, a qual abarca os controles internos, 
que são o enfoque do COSO I. Além disso, riscos estão fortemente ligados à governança, que 
representa uma instância maior, conforme pode ser observado na figura:
 Fonte: COSO I, adaptado
Mas, então, quais são as inovaçõestrazidas pelo 
COSO II?
Tipos de objetivos
Foram acrescentados os objetivos estratégicos, 
que estão em um nível mais elevado que os outros, 
estando associados à missão e à missão da entidade, 
enquanto os outros objetivos (operacionais, de 
comunicação e de conformidade) estão alinhados 
com os objetivos estratégicos.
Fonte: COSO II, adaptado
19Enap Fundação Escola Nacional de Administração Pública
Componentes
O componente avaliação de risco foi expandido e divido em três: identificação de eventos, 
avaliação de riscos e resposta aos riscos. Além disso, houve a inserção do componente fixação 
de objetivos.
Conceitos de apetite a risco e tolerância ao risco
Tais conceitos foram introduzidos no COSO ERM, sendo que apetite a risco significa a quantidade 
de risco que uma organização está disposta a aceitar para realizar sua missão, enquanto tolerância 
ao risco significa o nível aceitável de variação no desempenho dos processos organizacionais 
para atingimento dos objetivos.
Visão de conjunto
É imprescindível que os riscos compostos sejam considerados de forma conjunta no processo de 
gerenciamento de riscos. Enquanto o COSO I dá ênfase nos objetivos de forma individual, o novo 
framework enfatiza a visão de conjunto.
Perceba na imagem a seguir como ficou o cubo após essas alterações.
Em 2017, foi publicada nova versão desse framework, chamada Enterprise 
Risk Management – Integrating with Strategy and Performance, em português 
Gerenciamento dos Riscos Corporativos – Integrado com Estratégia e 
20Enap Fundação Escola Nacional de Administração Pública
Performance, enfatizando a importância de se considerar os riscos tanto na 
definição de estratégias quanto na melhoria da performance. 
A nova versão traz, em sua primeira parte, uma perspectiva dos conceitos atuais 
e em desenvolvimento e aplicações do gerenciamento de riscos corporativos. 
A segunda parte apresenta 20 princípios organizados em 5 componentes: 
governança e cultura; estratégia e definição de objetivos; performance, 
monitoramento do desempenho e revisão; e informação, comunicação e 
divulgação.
2.3 ISO 31000
A ISO 31000: gestão de riscos: princípios e diretrizes, publicada originalmente em 2009, criou um 
padrão internacional para gestão de riscos corporativos. Nela encontramos a afirmação de que o 
propósito da gestão de riscos é a criação e proteção de valor.
Nesta norma, risco é definido como “efeito da incerteza nos objetivos”. Já a gestão de riscos 
é definida como “atividades coordenadas para dirigir e controlar uma organização no que se 
refere a riscos”.
Em 2018, a norma foi atualizada e, embora seu objetivo permaneça o mesmo, a nova versão 
trouxe como principais alterações:
• Os princípios de gerenciamento de riscos foram revisados, pois são os principais critérios para 
o gerenciamento bem-sucedido de riscos.
• A importância da liderança pela alta administração é destacada, assim como a integração da 
gestão de riscos, começando pela governança da organização.
• Foi dada maior ênfase na natureza iterativa da gestão de riscos, porque novos conhecimentos 
e análises levam à revisão de processos, ações e controles.
• O conteúdo é simplificado com maior foco na manutenção de um modelo de sistemas abertos 
para atender a múltiplas necessidades e contextos.
Entendendo a normaA norma pode ser entendida a partir da seguinte divisão:
Princípios →Estrutura →Processo
As diretrizes da ISO 31000 fornecem uma declaração dos princípios de gerenciamento de riscos. 
Os oito princípios da nova versão podem ser observados na figura:
21Enap Fundação Escola Nacional de Administração Pública
Fonte: ISO 31000 (2018)
A estrutura trata de como integrar a gestão de riscos à governança e às atividades da organização 
para que ela seja eficaz, sendo imprescindível o apoio da alta administração nesse processo. A 
figura a seguir demonstra o que é a estrutura conforme a norma:
Fonte: ISO 31000 (2018)
De acordo com a própria norma, “o processo de gestão de riscos envolve, na aplicação 
sistemática de políticas, procedimentos e práticas para as atividades de comunicação e consulta, 
estabelecimento do contexto e avaliação, tratamento, monitoramento, análise crítica, registro e 
relato de riscos”. Ele foi ilustrado da seguinte forma:
22Enap Fundação Escola Nacional de Administração Pública
Fonte: ISO 31000 (2018), adaptado
2.4 COBIT 5
O COBIT é um framework sobre governança e gestão de TI existente desde 1996 e que, atualmente, 
está na versão 5. Está estruturado em cinco princípios e seu objetivo é auxiliar as organizações 
a criarem valor por meio da tecnologia da informação, equilibrando a utilização de recursos, a 
otimização dos níveis de risco e a realização de benefícios. Clique em cada princípio para ver sua 
aplicação.
Fonte: ISO 31000 (2018)
23Enap Fundação Escola Nacional de Administração Pública
Princípio 1: Satisfazer as necessidades das partes interessadas
O objetivo do COBIT é auxiliar as organizações a criarem valor a partir do uso da TI. Considerando 
isso, pode ser personalizado para qualquer entidade por meio da cascata de objetivos, que 
converte os objetivos institucionais de alto nível em objetivos de TI específicos e gerenciáveis.
Princípio 2: Envolver todas as áreas da empresa
O COBIT integra a governança de TI à corporativa. Ele abrange todas as funções e processos 
dentro da organização, tratando informações e tecnologias relacionadas como ativos, não se 
restringindo à função de TI.
Princípio 3: Empregar uma estrutura única e integrada
Há muitas normas e boas práticas relacionadas a TI, atendendo a um conjunto específico de 
atividades. Ao longo do tempo, houve um alinhamento do COBIT com esses frameworks, 
transformando-o em um modelo unificado para a TI.
Princípio 4: Possibilitar uma abordagem holística
A implementação eficiente e eficaz da governança de TI requer uma abordagem holística, levando 
em consideração vários componentes interativos, chamados de habilitadores. O COBIT 5 define 
sete categorias de habilitadores:
• Princípios, políticas e modelos
• Processos
• Estruturas organizacionais
• Cultura, ética e comportamento
• Informação
• Serviços, infraestrutura e aplicativos
• Pessoas, habilidades e competências
Princípio 5: Separar governança de gerenciamento
Governança e gestão atendem a diferentes propósitos e, portanto, possuem desenhos 
institucionais distintos. De acordo com o próprio framework, temos as seguintes definições:
A governança garante que as necessidades, condições e opções das Partes 
Interessadas sejam avaliadas a fim de determinar objetivos corporativos acordados 
e equilibrados; definindo a direção através de priorizações e tomadas de decisão; 
e monitorando o desempenho e a conformidade com a direção e os objetivos 
estabelecidos. [...]
A gestão é responsável pelo planejamento, desenvolvimento, execução e monitoramento das 
atividades em consonância com a direção definida pelo órgão de governança a fim de atingir os 
objetivos corporativos.
24Enap Fundação Escola Nacional de Administração Pública
Embora governança e gestão possuam modelos institucionais, atividades e responsabilidades 
diferentes, dado que a governança tem o objetivo de avaliar, orientar e monitorar, existem muitas 
interações entre ela e a gestão, a fim de garantir um processo de governança eficaz.
3. Serviços prestados pela auditoria interna
Vamos conhecer quais são os serviços prestados pela auditoria interna. O “Referencial Técnico da 
Atividade de Auditoria Interna Governamental” do Poder Executivo federal, aprovado por meio 
da Instrução Normativa nº 03/2017, traz a seguinte definição de auditoria:
A auditoria interna governamental é uma atividade independente e objetiva 
de avaliação e de consultoria, desenhada para adicionar valor e melhorar as 
operações de uma organização. Deve buscar auxiliar as organizações públicas a 
realizarem seus objetivos, a partir da aplicação de uma abordagem sistemática e 
disciplinada para avaliar e melhorar a eficácia dos processos de governança, de 
gerenciamento de riscos e de controles internos.
Segundo esse conceito, já é possível conhecer os dois serviços tipicamente prestados pela 
auditoria: avaliação e consultoria. Assim sendo, a unidade de auditoria interna, por meio de um 
plano de auditoria, normalmente de periodicidade anual, prevê, com base em uma abordagem 
baseada em riscos, uma série de trabalhos individuais de avaliação e de consultoria. Nesse sentido, 
avaliação e consultoria são duas vertentes da atividade de auditoria que se complementam para 
atingir o objetivo de agregar valor às organizações.
Outro serviço que pode ser executado pela auditoria interna governamental é o de apuração de 
fraude, o qual, mesmo não sendo um serviço típico e necessariamente prestado pela auditoria, 
pode estar previsto em normativos, assim como outros serviços também podem ser atribuídos à 
unidade de auditoria por meio de normas diversas.
3.1 Avaliação
Mas o que é uma avaliação? Qual o produto esperado?
O serviço de avaliação compreende a obtenção e a análise de evidências com o objetivo de 
fornecer opiniões ou conclusões sobre um objeto de auditoria frente a um critério, padrão ou 
mesmo boas práticas, como o COSO I e o COSO II.
Para exemplificar o que é um serviço de avaliação, vamos verificar parte do que aconteceu 
no escândalo financeiro do Barings Bank, por meio da descrição de dois fatos relacionados ao 
trabalho da terceira linha de defesa, ou seja, a auditoria interna.
1. Há relatos de que a auditoria interna havia apontado, em algum de seus relatórios preliminares, 
possíveis transações fictícias efetuadas e margens extras cobradas pelo Barings Future Singapore 
(BFS). Diante disso, a recomendação sugerida foi uma apresentação diária por parte do BFS de 
25Enap Fundação Escola Nacional de Administração Pública
ajustes de margem.
Nesse caso, é possível identificar alguns elementos constantes no conceito de avaliação, tais 
como:
Obtenção de evidências
Depreende-se da conclusão obtida pela auditoria interna que foram coletadas evidências 
relacionadas ao processo de registro de operações efetuadas pela subsidiária de Singapura no 
dia a dia de suas operações.
Análise de evidências
A análise das evidências frente a um padrão interno ou mesmo a uma boa prática do setor 
permitiu concluir sobre a vulnerabilidade existente no processo de registro, possibilitando a 
ocorrência de fraudes por algum funcionário mal-intencionado.
Conclusão
Diante da conclusão a que se chegou e da relação de importância do processo auditado com 
os objetivos da organização, foi recomendada a implementação de um controle interno para 
reduzir a possibilidade de registro fictício de operações, qual seja, a apresentação diária dos 
ajustes de margem.
2. Em julho de 1994, uma auditoria interna foi realizada na BFS. O relatório final apontou a falta 
de segregação de funções, pois Leeson exercia tanto a chefia das operações quanto a chefia do 
back office, podendo, dessa forma, mascarar os registros.
Obtenção de evidências
Depreende-se da conclusão obtida pela auditoria interna que foram coletadas evidências 
relacionadas ao acúmulo de funções de Leeson. Nesse caso, como tratava-se de algo 
institucionalizado, foram evidências fáceis de se obter.
Análise de evidências
A análise das evidênciascoletadas de acúmulo de cargos frente ao princípio básico da segregação 
de funções, que preconiza a separação das atividades de autorização, execução, controle e 
contabilização das operações de autorização, permitiu concluir sobre a vulnerabilidade existente 
no processo, ou seja, eventual probabilidade de ocorrência de fraude.
Conclusão
Diante de um processo com vulnerabilidades, devido à falta de controles internos adequados 
para mitigar o risco de fraude, a conclusão da auditoria já apontava para a necessidade do que 
seria um controle interno eficaz: a segregação de funções no processo.
26Enap Fundação Escola Nacional de Administração Pública
Tipos de avaliação
Existem diferentes tipos de avaliação, que podem ser utilizados separadamente ou de forma 
combinada em um mesmo trabalho. A classificação mais utilizada, constante do “Manual de 
Orientações Técnicas da Atividade de Auditoria Interna Governamental”, é a seguinte:
Demonstrações contábeis 
ou financeiras Conformidade ou compliance
Operacional ou
de desempenho
Consiste em opinar se os 
registros contábeis foram 
efetuados de acordo com 
os princípios fundamentais 
de contabilidade e se as 
demonstrações refletem 
adequadamente a situação 
econômico-financeira do 
patrimônio e os resultados 
do período examinado. JGB
Propõe-se a determinar a 
adequação dos processos, 
procedimentos e atividades 
das unidades auditadas 
com as normas existentes, 
bem como a legitimidade 
dos atos de gestão quanto 
aos aspectos contábil, 
financeiro, orçamentário 
e patrimonial.
Objetiva avaliar a 
adequação de atividades, 
projetos, programas e 
ações governamentais, 
bem como entidades 
e órgãos públicos, 
quanto a aspectos de 
economicidade, eficiência, 
eficácia e efetividade, com 
objetivo de contribuir para 
o melhor desempenho 
da gestão pública.
Governança, gerenciamento de riscos e controle interno
A Instrução Normativa Conjunta MP/CGU nº 01/2016 abordou os temas governança, 
gerenciamento de riscos e controles internos, fortemente relacionados entre si. Atualmente, a 
auditoria interna atua nesses três temas avaliando a eficácia de cada um e contribuindo para o 
seu aprimoramento nas unidades auditadas. Clique em cada tema para saber como é feita a sua 
avaliação. 
Governança
A governança é avaliada por meio do funcionamento de processos, tais como: definição de 
alçadas de decisão; accountability; comunicação e relacionamento entre alta administração, 
conselho, comitês existentes e auditorias interna e independente.
Gerenciamento de riscos
O gerenciamento de riscos é avaliado a partir de diversos elementos do macroprocesso que 
Fonte:
27Enap Fundação Escola Nacional de Administração Pública
permeia a organização, basicamente buscando verificar se tais elementos estão operando 
efetivamente, por meio do seu alinhamento com os objetivos organizacionais, da qualidade de 
como se procedem os processos de identificação e avaliação dos riscos-chave (riscos com maior 
impacto sobre a organização), da qualidade de como se dá a identificação e implementação de 
respostas, se os desdobramentos do apetite a risco estabelecidos pelo Conselho de Administração 
ou alta administração encontram-se adequados, da qualidade do registro e do reporte dos 
resultados à área de gerenciamento de riscos e à alta administração, do nível de maturidade 
atingido pelo macroprocesso na organização ou se os princípios estabelecidos em sua política 
estão presentes e em funcionamento.
Controle interno
Os controles internos são avaliados quanto à efetividade e à eficácia para mitigar os riscos a 
eles associados, complementando a avaliação sobre o gerenciamento de riscos. Não é apenas 
uma resposta a um determinado risco, conforme abordado e contemplado na avaliação do 
gerenciamento de riscos, é necessário que os controles sejam analisados a partir dos componentes 
ambiente de controle, tais como avaliação de riscos, atividades de controle, informação e 
comunicação e atividades de monitoramento. 
É comum confundir os conceitos de auditoria e de avaliação, utilizando o 
primeiro como sinônimo do segundo. Portanto, é importante esclarecer que a 
atividade de auditoria é mais abrangente, contando também com o serviço de 
consultoria, que será descrito a seguir.
3.2 Consultoria
O serviço de consultoria compreende assessoramento, aconselhamento, treinamento e 
facilitação em temas estratégicos para a gestão da unidade auditada, nos quais a auditoria interna 
possui um conhecimento mais aprofundado. Ela busca potencializar o conhecimento acumulado 
pela Unidade de Auditoria Interna Governamental (UAIG) em proveito da organização para o 
atingimento de seus objetivos.
Em geral, este serviço é solicitado pela unidade auditada, sendo pactuados com a unidade de 
auditoria interna os termos da consultoria e, por tratar de temas estratégicos, é demandado pela 
alta administração ou por gestores de nível estratégico. Isso corrobora o fato de que a consultoria 
não é um serviço de análise de contratos ou de situações pontuais destinado a autorizar ou 
desautorizar que a administração tome determinadas decisões, pois tal papel não se coaduna 
com a missão e a independência da auditoria interna.
De forma similar à avaliação, a consultoria tem como objetivo agregar valor à organização e 
melhorar os seus processos de governança, de gerenciamento de riscos e de controles internos, 
respeitando os valores, as estratégias e os objetivos dela. É importante ressaltar que o auditor 
28Enap Fundação Escola Nacional de Administração Pública
interno não assume qualquer responsabilidade que seja da administração, nem compromete sua 
independência e sua objetividade.
Tipos de Consultoria
Os três diferentes tipos de consultoria existentes podem ser executados individualmente ou 
combinados entre si.
Assessoramento e aconselhamento
De acordo com o “Manual de Orientações Técnicas da Atividade de Auditoria Interna 
Governamental”, este tipo de consultoria visa fornecer orientações sobre questões formuladas 
pela gestão, tais como:
• Quais padrões de controle podem ser desenvolvidos para tratamento dos riscos de determinado 
processo de trabalho?
• Quais os riscos e as implicações para o controle das operações que a implementação de um 
novo sistema informatizado pode trazer?
• Quais são as opções para aumentar a eficiência e a segurança de um determinado processo de 
trabalho?
• Quais alternativas no desenho de determinada política pública devem ser avaliadas pela gestão 
antes de sua implementação?
• Quais são as medidas para aprimorar o processo de governança organizacional?
Treinamento
São atividades de capacitação que têm como objetivo o aperfeiçoamento dos processos de 
trabalho da unidade auditada. Para ser considerado consultoria, deve perpassar os temas 
governança, gerenciamento de riscos e controles internos.
Facilitação
Assim como no treinamento, para ser considerado consultoria este tipo deve perpassar os 
temas governança, gerenciamento de riscos e controles internos, de forma ampla ou aplicada 
em determinado macroprocesso relevante para a organização. A atividade consiste em facilitar 
discussões abarcando esses temas, por meio da utilização dos conhecimentos e habilidades 
interpessoais normalmente desenvolvidas pelos auditores internos na condução de técnicas 
como brainstorming, análise SWOT, grupo focal, análise de modos de falhas e efeitos, dentre 
outras técnicas.
Por exemplo: facilitar as etapas de identificação e de avaliação de riscos, que compõem o 
gerenciamento de riscos da unidade auditada. Nesse caso, os auditores não fazem o papel da 
29Enap Fundação Escola Nacional de Administração Pública
administração, definindo uma lista de riscos ou realizando a avaliação quantitativa dos riscos, 
mas nortearão os responsáveis sobre como promover as discussões com o público interno, quais 
técnicas utilizar, quais ferramentas ou sistemas estão disponíveis para realizar o gerenciamento 
de riscos, quais metodologias existem.Em geral, os trabalhos de consultoria estão relacionados à estruturação ou à revisão de 
processos, de políticas ou de procedimentos, partindo, dessa forma, de um problema ou de 
uma demanda já identificado pela unidade auditada. A atuação da auditoria interna pode ser de 
forma preventiva, auxiliando no desenho (ou redesenho) de processos eficientes e eficazes, sem 
que assuma qualquer responsabilidade da administração nas suas tomadas de decisão, de forma 
a preservar a objetividade para a realização de serviços de avaliação.
3.3 Apuração
A apuração compreende a execução de procedimentos para averiguar atos e fatos inquinados de 
ilegais ou de irregulares, praticados por agentes públicos ou privados, na utilização de recursos 
públicos. Ainda que não seja um serviço típico de auditoria, pode ser executado pelas unidades 
de auditoria interna governamental por força de normativo ou por decisão da alta administração.
Utilizando como exemplo o escândalo financeiro do Barings Bank, temos a seguinte explicação 
da atuação da auditoria:
Destaque h, h, h, h, 
A conclusão da auditoria foi correta ao identificar a falta de segregação de 
funções. É preciso ter em mente que o auditor interno deve estar preparado 
para observar indícios de qualquer tipo de fraude. Porém, como não é um 
especialista no assunto, ele não é obrigado a fazer esse tipo de detecção.
Conforme o “Manual de Orientações Técnicas da Atividade de Auditoria Interna Governamental”, 
os auditores internos governamentais devem:
1. Estar alertas a situações ou transações que possam caracterizar indícios de fraude ou de 
ilegalidades, ainda que não possuam estrutura específica de apuração.
2. Possuir conhecimentos suficientes sobre os principais riscos de fraudes, bem como a 
predisposição para identificá-los adequadamente, verificando se a organização possui controles 
para o seu devido tratamento.
3. Quando houver indícios suficientes, realizar o adequado e tempestivo encaminhamento das 
informações às instâncias competentes.
Entretanto, quando incumbidos apenas da prestação de serviços de avaliação e de consultoria, 
não se espera que eles tenham a especialização de apurar fraudes.
30Enap Fundação Escola Nacional de Administração Pública
Já no caso de verificação de fraude, os auditores internos utilizarão meios que extrapolam o 
conhecimento comum. Precisam obter conhecimentos e habilidades sobre esquemas de fraude, 
técnicas de investigação e legislação aplicável.
Nesses casos, a unidade de auditoria interna governamental estruturará tal atividade, 
desenvolvendo controles que garantam o sigilo, a obtenção e a guarda de evidências suficientes 
e adequadas sobre os fatos e definirá como será feita e a quem se destinará a comunicação dos 
resultados. 
4. Diferença entre auditoria interna e independente
A auditoria independente é uma atividade que utiliza procedimentos técnicos específicos 
com a finalidade de atestar a adequação de um ato ou fato, imprimindo-lhe características de 
confiabilidade. O serviço mais comum prestado pelo auditor independente é a auditoria das 
demonstrações contábeis, a qual constitui o conjunto de procedimentos técnicos que tem por 
objetivo a emissão de parecer sobre a adequação dos registros que demonstram a posição 
patrimonial e financeira, o resultado das operações, as mutações do patrimônio líquido e 
demais demonstrações financeiras da entidade auditada, consoante as Normas Brasileiras de 
Contabilidade e a legislação específica, no que for pertinente.
Ainda que a origem da auditoria interna tenha relação com os serviços prestados pela auditoria 
independente, a evolução das organizações, a ampliação da complexidade das operações e as 
expansões geradas pela globalização foram diferenciando seus papéis, objetivos perseguidos, 
bem como os principais destinatários das informações.
A auditoria interna, por sua natureza e função dentro das organizações modernas, tem sinergia 
e envolvimento com muitas áreas da organização inclusive com a auditoria independente, o que 
lhe proporciona capacidades únicas para que suas entregas realizadas por meio de serviços de 
avaliação e consultoria exerçam maior impacto e influência positiva junto aos níveis executivos.
Segundo as boas práticas internacionais, a função de auditoria interna deve:
• Ajudar a organização a alcançar os seus objetivos estratégicos, operacionais, de comunicação 
e de conformidade.
• Avaliar e melhorar a eficácia do gerenciamento de riscos, controle e governança.
• Realizar os serviços de avaliação e consultoria para adicionar valor e melhorar as operações por 
meio de uma abordagem sistemática e disciplinada com base em risco.
Assim, dentre outros focos de trabalho pela auditoria interna, cita-se o enfoque na eficácia 
operacional e na eficiência dos processos de negócios, a confiabilidade das informações de 
sistemas corporativos e a qualidade proporcionada para as tomadas de decisões, a salvaguarda 
de ativos contra perdas, incluídas as decorrentes de fraudes, a conformidade de processos com 
políticas, contratos, leis, dentre outros.
31Enap Fundação Escola Nacional de Administração Pública
São muitos e diversos os objetivos atualmente perseguidos pelas auditorias internas, 
diferentes daqueles antigamente realizados em apoio aos trabalhos realizados pelas auditorias 
independentes, mais voltados para asseguração, com razoável certeza, da fidedignidade das 
informações das demonstrações financeiras e contábeis.
Porém, o que distingue os resultados de uma avaliação realizada pela área de auditoria interna, 
de uma autoavaliação realizada pela própria equipe? Por exemplo, a eficácia do controle interno 
sobre um macroprocesso da área de vendas ou do setor financeiro. Quais as principais variáveis 
associadas a esse empoderamento sobre suas opiniões junto ao Conselho de Administração e à 
alta administração?
Para compreendermos melhor os fundamentos que proporcionam maior grau de confiança 
depositada sobre suas opiniões produzidas nas avaliações ou mesmo nos insights entregues por 
meio dos serviços de consultoria junto aos demais gestores, precisaremos conhecer um pouco 
dos princípios e da estrutura de normas que guiam e suportam a atuação de seus profissionais.
4.1 Princípios e estrutura de normas da atuação dos 
auditores
Segundo o Instituto de Auditores Internos (IIA), a eficácia das auditorias internas, bem como de 
atuação de seus auditores, é alcançada quando exercida com base na Estrutura Internacional 
de Práticas Profissionais (IPPF), que se desdobra em Orientações Mandatórias e Orientações 
Recomendadas.
As Orientações Mandatórias especificam a essência da estrutura organizacional esperada para 
as auditorias internas, os seus relacionamentos, as características essenciais dos serviços de 
auditoria prestados, os atributos, as competências, as normas de comportamento dos auditores 
internos e os processos adotados para isso. As Orientações Mandatórias desdobram-se nos 
Princípios Fundamentais, no Código de Ética, em Normas e na Definição da Atividade de Auditoria 
Interna.
No recente alinhamento às normas internacionais de auditoria interna promovido pela Secretaria 
Federal de Controle Interno, estrutura da CGU, como Órgão Central do Sistema de Controle 
Interno do Poder Executivo federal, esses principais elementos foram incorporados para guiar a 
atuação das Unidades de Auditoria Interna Governamentais (UAIG) do Poder Executivo federal 
por meio das Instruções Normativas nº 03/20172 e nº 08/20173. As auditorias internas de 
estatais configuram-se como UAIG, devendo, portanto, buscar o alinhamento com os princípios 
e diretrizes contemplados nos normativos no exercício de suas atividades de auditoria interna.
O IIA-Brasil, em sua página4, preconiza que:
2 https://repositorio.cgu.gov.br/handle/1/33409
3 https://repositorio.cgu.gov.br/handle/1/33405
4 https://iiabrasil.org.br//ippf/principios-fundamentais
32Enap Fundação Escola Nacional de Administração Pública
Os Princípios Fundamentais, vistoscomo um todo, articulam a eficácia da auditoria interna. 
Para que uma função de Auditoria Interna seja considerada eficaz, todos os Princípios devem 
estar presentes e operar com eficiência. A maneira como um auditor interno, bem como uma 
atividade de auditoria interna demonstra a realização dos Princípios Fundamentais pode ser bem 
diferente de uma organização para outra, mas o fracasso em alcançar qualquer um dos Princípios 
implicaria em uma atividade de auditoria interna não tão eficaz quanto poderia ser no alcance 
da missão de Auditoria Interna.
Ao todo são 10 princípios fundamentais que servem como propósitos fundamentais e base para 
o Código de Ética, Normas e outras Orientações da IPPF. Devido a sua relevância e, por ser a base 
que consolida o prestígio dos trabalhos de avaliação e consultoria junto às partes interessadas, 
em especial junto às instâncias de governança corporativa e da alta administração da organização, 
conforme apresentado na imagem abaixo. 
Figura: Princípios fundamentais, adaptado
33Enap Fundação Escola Nacional de Administração Pública
Os princípios fundamentais buscam orientar a atuação das auditorias internas no sentido da 
agregação de valor, com foco nos objetivos organizacionais, entre outros fins. Essa atuação deve 
ser por abordagem baseada em riscos, com o mais alto grau de qualificação, comportamento 
ético, zelo profissional e sempre guiado pela objetividade.
As opiniões emitidas devem ser resultado de um processo sistematizado e suportadas em 
evidências coletadas com a utilização de técnicas adequadas. Todo esse rigor profissional e 
metodológico foi sendo construído ao longo das décadas como forma de assegurar o maior 
atributo que uma auditoria interna possa ter dentro de uma organização: sua credibilidade junto 
aos gestores, à alta administração e às estruturas de governança corporativa. É com base nesses 
pilares presentes que uma parte interessada poderá valorizar mais uma determinada opinião 
gerada pela função de auditoria interna frente a tantas outras que possam ser produzidas por 
outras estruturas organizacionais internas.
Esses fundamentos permitem que as auditorias internas possuam o empoderamento necessário 
para cumprir o papel esperado dentro das organizações e ter impactos diferentes no resultado 
de seus trabalhos aos gerados por outras estruturas organizacionais. Para isso, especialmente em 
organizações que contam com estruturas mais complexas de áreas responsáveis pela governança 
corporativa separadas da alta administração, faz-se necessário que a auditoria interna possua 
um estatuto aprovado pelo Conselho de Administração.
O estatuto de auditoria interna é um documento formal que define o propósito, 
a autoridade e a responsabilidade da atividade de auditoria interna. Além disso, 
esse documento estabelece a posição da atividade de auditoria interna dentro 
da organização, incluindo a natureza da relação funcional do executivo chefe 
de auditoria com o conselho; autoriza o acesso aos registros, aos funcionários 
e às propriedades físicas relevantes ao desempenho do trabalho da auditoria; 
define o escopo das atividades de auditoria interna; e determina a natureza 
dos trabalhos que serão prestados, se avaliação, consultoria ou apuração.
4.2 Resultados dos trabalhos de avaliação e consultoria 
Os principais destinatários dos resultados dos trabalhos de avaliação e consultoria realizados 
pela auditoria interna são as estruturas de governança corporativa, a alta administração e os 
gestores (primeira e segunda linhas de defesa). Nota-se que todos são internos da organização, 
entretanto, caso não haja impedimento no estatuto, a auditoria interna pode prestar também 
serviços de avaliações para partes externas da organização como reguladores ou para a auditoria 
independente. No caso da Administração Pública Federal, incluem-se dentre os destinatários a 
sociedade, conforme descrito no item 15 da Instrução Normativa nº 03/20175.
5 https://repositorio.cgu.gov.br/handle/1/33409
34Enap Fundação Escola Nacional de Administração Pública
Os produtos dos trabalhos de uma auditoria interna são geralmente apresentados por meio 
de relatório composto dos achados de auditoria, opinião da equipe de auditoria suportada por 
evidências e critérios adequados e recomendações para melhoria dos processos auditados ou pela 
consultoria prestada. Posteriormente à adequada comunicação feita pela UAIG aos envolvidos 
sobre os resultados do trabalho de auditoria, é feito, de forma periódica pela auditoria interna, 
um processo de monitoramento acerca da implementação das recomendações pelos gestores, 
de forma a garantir a efetividade de seu trabalho por meio de agregação de valor à organização.
Quanto aos trabalhos típicos de auditoria prestados pelas auditorias independentes, cujo parecer 
e relatório são normalmente endereçados aos acionistas e à administração da entidade, os 
destinatários são agentes de mercado, tais como acionistas, investidores, reguladores, fundos de 
investimentos, instituições financeiras e empresas que tenham negócios com a entidade, entre 
outros, ainda que usuários internos possam e devam fazer uso das informações geradas para 
melhoria dos processos organizacionais.
Em geral, exceto quando as auditorias independentes são contratadas para prestação de 
serviços de consultoria, semelhante aos prestados pelas auditorias internas, o seu papel é de 
dar credibilidade às informações financeiras e aos demonstrativos contábeis informados pela 
administração por meio de emissão de opinião, bem como de demandar ajustes da administração, 
para que os números divulgados expressem com razoável certeza a fidedignidade dos resultados 
das operações da organização. Em geral, as opiniões prestadas pela auditoria independente 
sobre as demonstrações contábeis seguem o padrão do Banco do Brasil:
Em nossa opinião, as demonstrações contábeis acima referidas apresentam, em 
todos os aspectos relevantes, a posição patrimonial e financeira, consolidada do 
Banco do Brasil S.A. em 30 de junho de 2017, o desempenho consolidado de suas 
operações e os seus respectivos fluxos de caixa consolidados para o semestre findo 
nessa data, de acordo com as práticas contábeis adotadas no Brasil aplicáveis às 
instituições autorizadas a funcionar pelo Banco Central do Brasil.6
Como resultado da falta de confiança decorrente da crise de 1929, nos EUA 
houve a obrigação legal para que as companhias abertas contratassem 
auditoria independente para emissão de parecer sobre a adequação de que 
as demonstrações contábeis representam a posição patrimonial e financeira, 
o resultado das operações, as mutações do patrimônio líquido e demais 
demonstrações financeiras da entidade. A partir da Lei Sarbanes-Oxley, 
em 2002, com impactos similares em muitos países, inclusive no Brasil, as 
companhias com ações na Bolsa de Valores passaram a ter a exigência de que 
os auditores independentes emitissem também uma avaliação sobre a eficácia 
do controle interno corporativo relacionado com os relatórios financeiros e 
6 https://www.bb.com.br/docs/pub/siteEsp/ri/pt/dce/dwn/2T17DemoContMP.pdf
35Enap Fundação Escola Nacional de Administração Pública
demonstrativos contábeis. Para exemplificar, acompanhe a opinião emitida 
pela auditoria independente sobre os demonstrativos contábeis consolidados 
da Petróleo Brasileiro S.A. – Petrobras e controladas, em 31 de dezembro 
2017, contemplando a opinião acerca dos controles internos relacionados ao 
objetivo de comunicação.
Em nossa opinião, a demonstração contábil consolidada referida anteriormente 
apresenta adequadamente, em todos os aspectos relevantes, a posição 
patrimonial e financeira da Companhia em 31 de dezembro de 2017, o 
resultado de suas operações e seu fluxo de caixa para o exercício findo em 31 
de dezembro de 2017, de acordo com as normas internacionais de relatório 
financeiro (IFRS) emitidas pelo International Accounting Standards Board - 
IASB. Adicionalmente, em nossa opinião, a Companhiamanteve, em todos 
os aspectos relevantes, controles internos efetivos sobre as Demonstrações 
Contábeis consolidadas em 31 de dezembro de 2017, com base no critério 
estabelecido no Controle Interno - Estrutura Integrada (2013) emitido pelo 
Conselho da Organização Patrocinadora da Comissão de Treadway7
4.3 Marcos da auditoria no Brasil
No Brasil, a auditoria independente foi regulamentada em 1965, tendo sido constituído, em 
1971, o Instituto dos Auditores Independentes do Brasil (IBRACON) pela união de dois institutos 
com contadores que atuavam como auditores independentes. Esse Instituto é o paralelo do IIA 
Brasil para as auditorias independentes.
De forma similar, a atividade de auditoria interna vem sendo promovida no Brasil desde 1960, 
por meio da fundação do Instituto dos Auditores Internos do Brasil.
Atualmente, o IIA Brasil está entre os cinco maiores institutos de auditoria interna em atuação no 
mundo dentre os afiliados do The Institute of Internal Auditors. Pesquisa realizada pela Deloitte 
8com o IIA Brasil, em 2016, junto a 201 líderes de auditoria interna de empresas que atuam no 
país, constatou que
[...] o desejo por mudanças na auditoria interna identificado no Brasil segue uma 
tendência mundial por transformações em tecnologia, modelos de reporte a maior 
equilíbrio entre as funções consultivas e de assurance (avaliação), como forma de 
viabilizar uma atuação relevante e estratégica, pautada na geração de valor.
Esses resultados demonstram que as auditorias internas no Brasil vêm atuando em sintonia com 
estruturas similares de outros países.
Ambos os institutos, IBRACOM e IIA Brasil, assumem papel primordial na busca da estruturação, 
7 Consulte o arquivo Demonstrações Contábeis - Petrobrás na biblioteca do curso.
8 https://cgead.enap.gov.br/attachments/download/47337/ODA%206%20-%20Deloitte_auditoria_interna_2016.pdf
36Enap Fundação Escola Nacional de Administração Pública
desenvolvimento e promoção da atividade de auditoria que, sob certa perspectiva, guardam 
grandes semelhanças sobre a sistemática e os princípios norteadores, porém com destinatários 
e objetivos diferenciados.
Ainda que os trabalhos realizados pela auditoria interna possam ser utilizados pela auditoria 
independente, para reduzir custos de contratação e busca de eficiência na alocação de recursos, 
seu campo de atuação não se restringe ao objetivo de comunicação associados aos resultados 
financeiros e de demonstrações contábeis, geralmente pontos de maior interesse pela auditoria 
independente.
É comum confundir os conceitos de auditoria e de avaliação, utilizando o 
primeiro como sinônimo do segundo. Portanto, é importante esclarecer 
que a atividade de auditoria é mais abrangente, contando também com o 
serviço de consultoria, que será descrito a seguir Desde 2010, o Brasil adota 
as normas internacionais de auditoria independente e de contabilidade: as 
International Standards on Auditing (ISA), denominadas no país de Normas 
Internacionais de Auditoria, e as International Financial Reporting Standards 
(IFRS), aqui conhecidas como Normas Internacionais de Contabilidade. 
As normas são emitidas, respectivamente, pela International Accounting 
Standards Board (IASB) e pela International Federation of Accountants 
(IFAC). A adoção das normas internacionais, que se iniciou em 2005 com a 
criação do Comitê de Pronunciamento de Contábeis (CPC), ocorre com a 
participação de diversos atores interessados. De forma similar, as normas 
internacionais são traduzidas e encaminhadas para o CPC revisar eventuais 
conceitos e emitir pronunciamento técnico a respeito. Em seguida, os órgãos 
responsáveis pela regulação da profissão (Conselho Federal de Contabilidade) 
e do mercado (Comissão de Valores Mobiliários) determinam sua aplicação 
pelos profissionais, incorporando ao arcabouço nacional por meio das Normas 
Brasileiras de Contabilidade Técnica de Auditoria (NBC TA). 
Mais informações sobre a auditoria independente podem ser obtidas no sítio 
eletrônico do IBRACON.
4.4 Estudo de caso
Após discorrermos sobre a teoria, os papéis esperados de cada estrutura, auditoria interna e 
auditoria independente, suas especificidades e complementariedade em algumas organizações 
devem ter ficado mais compreensíveis.
E o que poderíamos esperar em relação ao caso do Barings Bank9 sobre a atuação de ambas?
9 http://www.anpad.org.br/admin/pdf/2013_EnANPAD_EPQ1900.pdf
37Enap Fundação Escola Nacional de Administração Pública
Certamente, pelas consequências decorrentes das operações realizadas no banco que levaram à 
sua falência, é possível afirmar que as duas falharam na realização de suas atividades, frustrando 
as expectativas e levando descrédito ao papel dessas estruturas.
Há relatos de que a auditoria interna havia apontado, em algum de seus relatórios preliminares, 
que seria possível que o Barings Future Singapore (BFS), subsidiária do Barings Bank criada em 
Singapura para atuar no mercado de derivativos local, efetuasse transações fictícias e cobrasse 
margens extras. Diante disso, a recomendação sugerida foi uma apresentação diária por parte 
do BFS de ajustes de margem.
Entretanto, promovido a gerente-geral em fevereiro de 1992 e principal responsável pelas fraudes, 
Leeson alegou que o ajuste diário seria inviável. O gerente regional de operações do Barings no 
sul da Ásia concordou e os apontamentos supracitados foram retirados do relatório da auditoria. 
Acrescente-se que esse supervisor direto não se interessava pela parte de futuros e opções, não 
exercendo nenhuma supervisão sobre suas atividades e facilitando seu convencimento quando 
do apontamento pela auditoria interna.
Temos uma atuação acertada da auditoria, enquanto terceira linha de defesa, identificando 
um risco que não foi mapeado pela gestão. Por outro lado, o reporte do que fora apurado não 
chegou à alta administração do banco, que estava localizada em Londres, talvez por não mensurar 
adequadamente as potenciais consequências desse risco e que poderiam extrapolar o apetite de 
risco e até mesmo a capacidade de risco da organização.
De qualquer forma, a alta administração e as estruturas de governança, tais como Conselho de 
Administração, Conselho Deliberativo e Comitês, são os principais interessados nos resultados 
provenientes do Modelo das Três Linhas de Defesa, devendo ser comunicados acerca do 
gerenciamento dos riscos-chave associados aos objetivos organizacionais. Também poderia 
ter sido de interesse da auditoria independente verificar e mesmo ampliar os testes acerca de 
eventuais riscos identificados em trabalhos realizados pela auditoria interna que possam estar 
associados a controles internos relacionados ao objetivo de comunicação. A certeza é que, se o 
resultado do trabalho da auditoria interna tivesse sido levado em consideração pela magnitude 
das consequências que os riscos identificados traziam para a organização, a fraude poderia ter 
sido descoberta, seus prejuízos reduzidos e eventuais responsabilidades apuradas.
Posteriormente, em julho de 1994, uma auditoria interna foi realizada na BFS. O relatório final 
apontou a falta de segregação de funções, decorrente do fato de que Leeson exercia tanto a 
chefia das operações quanto a chefia do back office, podendo mascarar os registros.
A conclusão da auditoria foi correta ao identificar a falta de segregação de funções, porém foi 
incapaz de mensurar adequadamente o nível de risco envolvido para aprofundar as análises. 
Quanto à não identificação das fraudes pela auditoria interna, mas apenas de fragilidades nos 
controles internos, é preciso ter em mente que o auditor interno deve estar preparado para 
observar indícios qualquer tipo de fraude. Porém, como não é um especialista no assunto, ele 
não é a obrigado a fazer esse tipo de detecção. A essa época as perdas acumuladas por Leeson já 
chegavam a 50 milhões de libras, ainda que os balanços apontassem uma geração de lucro pelo 
BFS na ordem de 25 milhões de libras. Ao final de 1994, o volume