Baixe o app para aproveitar ainda mais
Leia os materiais offline, sem usar a internet. Além de vários outros recursos!
Metodologia de Auditoria com Foco em Riscos e Processos
Compartilhar
Prévia do material em texto
TRIBUNAL DE CONTAS DA UNIÃO 1 Secretaria-Geral de Controle Externo Secretaria de Controle Externo do Desenvolvimento Econômico TC 025.642/2014-6 Tipo: Administrativo (Produção de Conhecimento) Interessados: Secretaria de Métodos Aplicados e Suporte à Auditoria e Secretaria-Geral de Controle-Externo (Segecex) ROTEIRO DE METODOLOGIA DE AUDITORIA COM FOCO EM RISCOS E PROCESSOS INTRODUÇÃO O presente roteiro objetiva registrar e disponibilizar para uso interno do TCU metodologia de auditoria com foco em riscos e processos, aplicada pela equipe de fiscalização do TC 015.436/2013-6 - Levantamento de Auditoria realizado em quatro unidades dos Ministérios da Ciência, Tecnologia e Inovação (MCTI) e do Desenvolvimento, Indústria e Comércio Exterior (MDIC), para verificar a qualidade da gestão por elas exercida sobre as políticas públicas industriais e setoriais baseadas em mecanismos de renúncias tributárias federais. Na oportunidade, a equipe aplicou metodologia para avaliação de riscos operacionais e de gestão, e para isso elegeu os processos administrativos executados pelas UJs como a ferramenta de gestão objeto de estudo para compreensão e análise desses riscos. Em outras palavras, trata-se da aplicação de procedimentos de forma sistemática e disciplinada visando mapear processos de trabalho, objetivos, riscos e controles associados. O método possui ampla flexibilidade para aplicação em fiscalizações do controle interno ou externo e serve como parâmetro de aferição objetiva do nível de governança e maturidade da gestão de riscos de um ou mais macroprocessos de gestão. O trabalho culminou no Acórdão 3.695/2013-TCU-Plenário, em cuja proposta de deliberação o Ministro Relator consignou: Não posso prosseguir sem deixar registrado meu louvor a este trabalho metodológico, que trará contribuição significativa não apenas para este Levantamento de Auditoria, mas também, e principalmente, para futuras fiscalizações. Por isso proporei recomendação à Segecex para divulgação deste excelente trabalho da SecexDesenvolvimento no âmbito de outras secretarias técnicas, a fim de que possa vir a subsidiar e apoiar futuros trabalhos desta Corte. Diante disso, o Tribunal deliberou: 9.17. recomendar à Segecex a divulgação deste trabalho metodológico da SecexDesenvolvimento no âmbito de outras secretarias técnicas, a fim de que possa vir a subsidiar e apoiar futuros trabalhos desta Corte. O Levantamento de riscos em renúncias tributárias sob responsabilidade do MCTI e do MDIC também foi considerado um dos trabalhos inovadores desenvolvidos pelo TCU em 2013, conforme noticiado no União nº 207, de 13/11/2013. Em 2014, o mesmo trabalho possibilitou a personalização das contas das unidades jurisdicionadas (UJs) envolvidas, as quais, considerando respectivos níveis de gestão de riscos, passarão a elaborar seus relatórios de gestão com informações detalhadas e selecionadas sobre a Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 51966769. TRIBUNAL DE CONTAS DA UNIÃO 2 Secretaria-Geral de Controle Externo Secretaria de Controle Externo do Desenvolvimento Econômico operacionalização de políticas financiadas com recursos extraorçamentários (renúncias de receitas tributárias). CONTEXTUALIZAÇÃO O conceito de governança no setor público compreende essencialmente os mecanismos de liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar a atuação da gestão, com vistas à condução de políticas públicas e à prestação de serviços de interesse da sociedade (BRASIL, 2014). Os mecanismos de liderança, estratégia e controle se subdividem em componentes que, em conjunto, contribuem para o alcance dos objetivos dos órgãos e entidades. Um dos componentes do mecanismo de controle é a gestão de riscos e controles internos (BRASIL, 2014). A gestão de riscos traduz um processo contínuo conduzido pela alta administração, diretoria e demais empregados, aplicado no estabelecimento de estratégias, formuladas para identificar em toda a organização eventos em potencial capazes de afetá-la, e administrar os riscos de modo a mantê- los compatíveis com o apetite a risco da instituição e possibilitar garantia razoável do cumprimento dos seus objetivos (COSO, 2004). O risco é o efeito da incerteza sobre os objetivos da organização (ABNT, 2009). Abrange eventos positivos, com o potencial de agregar valor, e negativos, com a capacidade de destruir valor. O desafio da governança nas organizações do setor público é determinar quanto risco aceitar na busca do melhor valor para os cidadãos e demais partes interessadas, o que significa prestar serviço de interesse público da melhor maneira possível (BRASIL, 2014). Os controles internos, por sua vez, são os instrumentos de operacionalização da política de gestão de riscos da organização e dão resposta aos eventos indesejáveis. É nesse contexto que, para avaliar a governança de órgãos e entidades sob o prisma da gestão de riscos e controles internos, este Roteiro propõe metodologia objetiva aplicável a trabalhos de fiscalização do controle externo e interno da Administração Pública. O método pressupõe a construção de matrizes de risco para avaliação de probabilidades e impactos em relação às etapas de operacionalização de quaisquer macroprocessos de gestão, os quais podem ser compreendidos como agrupamentos de processos necessários para a produção de uma ação ou desempenho de uma atribuição da organização, ou, ainda, como grandes conjuntos de atividades por meio dos quais a organização cumpre sua missão (BRASIL, 2013). Os macroprocessos finalísticos são de grande interesse para os controles externo e interno, pois se referem à essência da organização, caracterizam sua atuação, estão diretamente relacionados aos seus objetivos estratégicos e recebem apoio de outros processos internos, gerando produtos e serviços para seus clientes interno e externo (BRASIL, 2013). Como resultado da aplicação dos procedimentos, obtém-se uma avaliação qualitativa e quantitativa da gestão de riscos de uma organização ou política pública. O diferencial da metodologia é a capacidade de objetivação dos resultados, como se verá adiante. No Brasil, são poucos os órgãos e entidades públicas que possuem política ou práticas de gestão de riscos formalmente estabelecida. Essa lacuna torna a aplicação da metodologia ainda mais profícua e pedagógica, pois possibilita evidenciar práticas inconscientes ou informais de administração do risco. Ainda que as instituições não possuam políticas de gestão de riscos instituídas, informalmente dispõem de elementos incipientes de resposta a risco (controles internos) que, captados pela metodologia, possibilitam mensurar o nível de governança em relação ao componente de gestão de riscos e controles internos. Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 51966769. TRIBUNAL DE CONTAS DA UNIÃO 3 Secretaria-Geral de Controle Externo Secretaria de Controle Externo do Desenvolvimento Econômico NORMAS GERAIS APLICÁVEIS As Normas de Auditoria do Tribunal de Contas da União – NAT (BRASIL, 2010) e as Normas Internacionais para a Prática Profissional de Auditoria Interna (IIA, 2012) prescrevem o estabelecimento de objetivos para cada trabalho de auditoria. Segundo essas diretrizes, é preciso realizar uma avaliação preliminar de objetivos e riscos relevantes relacionados ao objeto da auditoria, cujos resultados deverão estar refletidos nos objetivos estabelecidos para a fiscalização. No desenvolvimento dos objetivos deve-se considerar, além das exposições significativas a riscos,a probabilidade de erros, irregularidades e descumprimentos a princípios, normas legais e regulamentações aplicáveis. Na fase de planejamento, para determinar a extensão e o alcance da auditoria, o auditor ou unidade de auditoria deve dispor de informações sobre os objetivos relacionados ao objeto que será auditado e aos riscos relevantes associados a esses objetivos, bem como à confiabilidade dos controles adotados para tratar os eventos indesejáveis. Quando na auditoria a ser proposta as informações relativas aos objetivos, riscos e controles do objeto auditado não estiverem disponíveis, tais informações deverão ser obtidas na fase de planejamento do trabalho. A necessidade e a profundidade dos procedimentos para a obtenção desses dados variarão de acordo com os objetivos e o escopo da auditoria em questão. Caso o objeto e o escopo do trabalho sejam amplos, deve ser avaliada a conveniência de se realizar ação de controle prévia e específica para se obter conhecimento sobre o objeto auditado (Levantamento), devendo-se considerar seus resultados no planejamento de auditorias com foco em riscos. Portanto, a metodologia pode ser aplicada tanto em Levantamentos quanto em Auditorias, respeitadas as peculiaridades de cada instrumento, conforme se explicará ao final. CONCEITOS APLICADOS No que tange aos conceitos aplicados à metodologia, têm-se os seguintes: Risco: possibilidade de algo acontecer e ter um impacto nos objetivos de organizações, programas ou atividades governamentais, sendo medido em termos de consequências e probabilidades (BRASIL, 2012a). O evento de risco, portanto, materializa o risco, consequência negativa para o alcance dos objetivos institucionais. Na prática, os termos “evento de risco” e “risco” podem ser tratados como sinônimos. Objetivo: ‘algo’ que se estabeleceu para ser alcançado, de caráter quantitativo ou qualitativo (BRASIL, 2012b); Controle Interno: processo efetuado pela administração e por todo o corpo funcional, integrado ao processo de gestão em todas as áreas e todos os níveis de órgãos e entidades públicos, estruturado para enfrentar riscos e fornecer razoável segurança de que, na consecução da missão, dos objetivos e das metas institucionais, os princípios constitucionais da administração pública e os objetivos gerais de controle serão atendidos (BRASIL, 2012a). Em síntese, os controles internos representam as atividades para tratar (responder aos) riscos, assegurando, assim, com certa razoabilidade, que os objetivos sejam alcançados. Os controles internos representam, portanto, instrumentos de governança à disposição dos gestores, pois convergem para a consecução dos objetivos das instituições e seus programas. Fonte de risco: é o elemento que, individualmente ou combinado, tem potencial intrínseco para dar origem ao risco, podendo ser tangível ou intangível (ABNT, 2009). Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 51966769. TRIBUNAL DE CONTAS DA UNIÃO 4 Secretaria-Geral de Controle Externo Secretaria de Controle Externo do Desenvolvimento Econômico Em outras palavras, as fontes de risco são todos os sujeitos, objetos ou situações que podem originar um evento negativo. São classificadas em seis categorias: pessoas, processos, sistemas, infraestrutura (física ou organizacional), tecnologia ou ainda eventos externos à organização. De forma geral, os riscos podem ser divididos em duas espécies (BRASIL, 2009): Risco inerente: é o risco do negócio, do processo ou da atividade, independente dos controles internos administrativos adotados; Risco residual: é o risco que remanesce após a mitigação por controles internos. Portanto, o risco residual é a parcela do risco inerente que permanece após a implementação de atividades administrativas que permitam reduzir a probabilidade e/ou impacto do evento, de modo a evitar, reduzir, compartilhar ou, ainda, aceitar o risco (hipótese em que riscos residual e inerente terão a mesma valoração). METODOLOGIA Tendo por base as normas e conceitos acima, passa-se à exposição da metodologia de levantamento de riscos por processos, que consiste na aplicação de procedimentos de forma sistemática e disciplinada visando mapear processos de trabalho, seus objetivos, riscos e controles associados. Em linhas gerais, a metodologia se propõe a identificar e registrar a existência de diretrizes, normas, procedimentos, práticas informais, controles internos e outros elementos que permitam visualizar, de forma objetiva, a política de gestão de risco das unidades, mesmo que esses não estejam formalizados. Utiliza-se como referência o modelo de avaliação de controles internos denominado COSO ERM (Enterprise Risk Management), do Committee of Sponsoring Organizations of the Treadway Commission (COSO), organização privada criada nos EUA em 1985 para prevenir e evitar fraudes nas demonstrações contábeis das empresas. O modelo considera que a gestão de riscos das instituições deve ser avaliada segundo oito componentes (dimensões) que lhe são intrínsecos (COSO, 2004). Nessa linha, a presente metodologia se propõe a avaliar os cinco elementos centrais do modelo, os quais podem ser traduzidos em perguntas que, didaticamente, facilitam o entendimento dos pontos: a) Fixação de Objetivos : a unidade fixou objetivos para a política pública? b) Identificação de Eventos : quais eventos podem oferecer risco à gestão? c) Avaliação de Riscos: como se configuram os riscos identificados em termos de probabilidade e impacto de ocorrência? d) Resposta a Riscos: a unidade implementou controles para responder aos riscos? e) Atividades de Controle: qual é a qualidade dos controles internos estabelecidos? De que forma os controles internos respondem aos riscos relacionados? A opção por apenas cinco elementos do COSO ERM não retira a importância atr ibuída aos demais (ambiente de controle, informação e comunicação, monitoramento). Eventual prolongamento da metodologia permite que o auditor facilmente avalie os demais componentes do modelo. Nesse contexto, devem ser aplicados procedimentos e técnicas na construção do cenário sobre a gestão de risco das unidades, a seguir detalhados por fases. Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 51966769. TRIBUNAL DE CONTAS DA UNIÃO 5 Secretaria-Geral de Controle Externo Secretaria de Controle Externo do Desenvolvimento Econômico Etapa 1 – Conhecimento prévio do objeto a ser fiscalizado Nesta etapa, realizada ainda na fase de planejamento da fiscalização, a equipe deve delimitar o objeto da fiscalização, que pode ser uma política pública ou um recorte dessa (ex. Programa Mais Médicos), um processo de gestão (ex. processo de gestão de licitações e contratos no Ministério da Educação), ou uma atividade estatal (ex. supervisão bancária pelo Banco Central do Brasil). Uma vez delimitado o objeto, a equipe deve levantar e estudar a legislação aplicável, o regimento interno do órgão/entidade gestor (para identificação de competências e responsabilidades de unidades e autoridades), trabalhos anteriores dos órgãos de controle interno e externo sobre o assunto, bem como as informações disponibilizadas na internet e em outros meios de comunicação (estudos, artigos, reportagens etc.). Essa etapa é realizada internamente e tem cunho teórico. Principalmente a partir da leitura da legislação, a equipe deve identificar como o objeto da fiscalização é operacionalizado sob a forma de processos ou macroprocessos de gestão, ou seja, agrupamentos de processos necessários para a produção de uma ação ou dese mpenho de uma atribuição da organização (BRASIL, 2013). Em geral, as leis ou regulamentos internos já preveemsubdivisões das atividades, o que possibilita a identificação. Por exemplo, no caso de transferências voluntárias (convênios), podemos identificar os seguintes macroprocessos: levantamento de necessidades para conveniamento, concessão, execução e prestação de contas. Nesse momento inicial, os macroprocessos podem ser agrupados ou divididos conforme conveniência da equipe e tendo em vista o objetivo da fiscalização. Também podem ser escolhidos para análise apenas os macroprocessos considerados mais relevantes. No segundo momento, a equipe deve requerer à UJ, por meio de Ofícios de Requisição: a) documento formalizado contendo planejamento estratégico (ou assemelhado) do objeto da fiscalização, ou como esse se insere no planejamento estratégico da UJ, para identificação de objetivos, indicadores e metas associadas; b) fluxogramas gráficos (em formato de diagramas de blocos) e narrativos (descrição textual sucinta) dos macroprocessos – mapas de processos; c) normativos internos eventualmente aplicáveis à gestão dos macroprocessos e as unidades internas responsáveis pela gestão do objeto, de modo a ampliar e aprofundar o conhecimento sobre o assunto. Referida solicitação objetiva aprofundar o entendimento sobre o funcionamento dos macroprocessos sob a ótica da UJ, seu nível de maturidade na organização e formalização das atividades e a legislação infrarregulamentar ou complementar aplicável, nem sempre disponível ou identificável pela equipe ao buscar as informações remotamente. Essa etapa geralmente tem grande efeito pedagógico para a UJ, pois na maioria das vezes não há mapa de processos, tampouco planejamento estratégico instituído. Assim, a demanda do TCU gera a obrigação de criação dos documentos, o que por si só já é positivo para a gestão. Provavelmente, a equipe perceberá a necessidade de complementação ou ajustes dos fluxogramas e fluxos narrativos, caso não atendam às necessidades da fiscalização. É comum estarem excessivamente sucintos (apresentados apenas para cumprir formalidade/demanda do TCU) ou excessivamente detalhados (em muito nível operacional). As etapas subsequentes apresentam os procedimentos necessários para solução dessa dificuldade. Após recebimento das informações, a equipe deve avaliar a conveniência e oportunidade de nova definição de macroprocessos. Em face da realidade da UJ, deve-se tentar retratar os Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 51966769. TRIBUNAL DE CONTAS DA UNIÃO 6 Secretaria-Geral de Controle Externo Secretaria de Controle Externo do Desenvolvimento Econômico macroprocessos na forma como são separados na própria unidade gestora. Para isso, é possível redefinir as divisões teóricas inicialmente previstas, aglutinando, separando ou redividindo os macroprocessos objeto do ofício de requisição. As respostas apresentadas devem propiciar o aprofundamento da visão geral do objeto por parte da equipe, com destaque para as normas internas aplicáveis e à visão apresentada pela UJ sobre seus macroprocessos. Etapa 2 - Entrevistas com gestores e operadores do processo: Nesse momento, a equipe deve ir a campo e reunir-se com os gestores da UJ para aprofundar o conhecimento e afastar eventuais dúvidas acerca dos objetivos e operacionalização dos macroprocessos. As reuniões devem ser executadas essencialmente mediante a aplicação de técnicas de entrevista e, em alguns casos, de exame documental de processos e atos administrativos relativos à gestão dos macroprocessos para confirmação de informações. A equipe deve realizar reuniões com os titulares ou responsáveis pelas unidades/subunidades/áreas técnicas responsáveis pela execução dos macroprocessos (nível operacional). Sempre que possível, convém realizar uma reunião sobre cada macroprocesso, ou por unidade operacional, de modo a envolver um gestor de cada vez. As reuniões têm o seguinte objetivo: a) conhecer a operacionalização de macroprocessos em nível adequado de detalhe, conforme objetivos da fiscalização, em especial e por exemplo: estudar o perfil dos operadores dos macroprocessos (servidores efetivos, temporários ou terceirizados? Qual é área de formação? Qual é a experiência?), os sistemas utilizados para operacionalização e controle de dados (qual é a interface do cliente? Qual é a interface do usuário interno? Quais são seus campos? Quais são seus defeitos, vantagens e desvantagens? Qual é o nível de segurança da informação? É amigável ou não? É meramente declaratório? Pode-se anexar documentos? O sistema realiza crítica sobre os dados? O sistema é mero repositório de dados ou oferece apoio à análise? Qual é o nível de informatização do trabalho? Como é realizado o trabalho fora do sistema de informática? Existem processos administrativos? Como é o seu trâmite? Quais análises são efetuadas? Quem decide o mérito? Existem instâncias de revisão técnica? Existem instâncias de revisão jurídica? Existem instâncias de revisão meramente hierárquica ou política? Qual é o nível de interferência política e/ou dos clientes nas decisões? Qual é o produto de saída (output) do macroprocesso? Como o produto é encaminhado às demais áreas envolvidas? Como a unidade se comunica com as demais áreas envolvidas? Qual é o nível de gestão e governança das autoridades sobre o macroprocesso? Ele está realmente estruturado e formalizado ou é informal? b) confirmar se as informações apresentadas em tese na resposta ao ofício de requisição (idealização ou formalização do macroprocesso) correspondem ao que é executado na realidade. Notar que geralmente não ocorre correspondência entre teoria e realidade, e essas diferenças são percebidas apenas nas reuniões de detalhamento dos macroprocessos. c) caso a equipe não tenha segurança suficiente nas informações coletadas nas reuniões e deseje confirmar o modus operandi do macroprocesso, deverá promover exame documental de atos/processos/sistemas envolvidos, com o único propósito de verificar como ocorre na prática (não tem objetivo de buscar irregularidades ou criticar a não correspondência do processo com a teoria prevista nas normas ou mapas de processo). Como já ressaltado, convém realizar uma reunião sobre cada macroprocesso, ou por unidade operacional, de modo a envolver um gestor de cada vez. Dessa maneira, eventuais deficiências de comunicação entre as unidades envolvidas surgem mais claramente para a equipe. Não há necessidade de entrevistas estruturadas, pois a equipe conhecerá melhor o macroprocesso no Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 51966769. TRIBUNAL DE CONTAS DA UNIÃO 7 Secretaria-Geral de Controle Externo Secretaria de Controle Externo do Desenvolvimento Econômico momento da reunião. Portanto, eventual “engessamento” da reunião na forma de roteiro não é aconselhável. Ao final dessas reuniões, a equipe deve produzir os seguintes documentos, para cada macroprocesso: a) Fluxograma do macroprocesso: documento que fornece uma representação gráfica do processo de trabalho, evidenciando a sequência das atividades, os prazos e o fluxo de documentos entre as áreas envolvidas. Destaca-se que os fluxogramas devem ser desenvolvidos/ajustados em conjunto com as unidades fiscalizadas e objeto de validação, ou seja, aposição de assinatura e data do gestor responsável, para evitar questionamentos futuros e dar segurança a equipe de que eventual modificação dos macroprocessos não impacte a validade das conclusões das etapas posteriores da fiscalização. Para confecção desses documentos, o TCU dispõe dos softwares Bizagi e Dia. Exemplos desenvolvidos no TC 015.436/2013-6 constam da peça 2; b) Fluxo narrativo: documento que descreve, de forma textual e com maiorriqueza de detalhes, a sequência das atividades dos processos de trabalho, a legislação relacionada a cada etapa, os sistemas informatizados envolvidos e os mecanismos de controle adotados, sejam esses normatizados ou apenas práticas de trabalho executadas pelos setores. Esse documento é importante como repositório de informações sobre detalhes dos macroprocessos, tanto para reforço das conclusões da fiscalização quanto para trabalhos futuros. Exemplos constam da peça 3; Tais documentos, quando estudados em conjunto, mesmo após a fiscalização ou por quem dela não participou, proporcionam a obtenção de amplo entendimento acerca da operacionalização dos macroprocessos de gestão e permitem identificar mais facilmente os riscos envolvidos, etapa subsequente que passa a ser objeto de comentários. Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 51966769. TRIBUNAL DE CONTAS DA UNIÃO 8 Secretaria-Geral de Controle Externo Secretaria de Controle Externo do Desenvolvimento Econômico Etapa 3 - Identificação e avaliação de riscos: Uma vez conhecidos os objetivos do objeto de auditoria, seus macroprocessos e a sequência de atividades desenvolvidas em cada etapa (informações constantes do fluxo narrativo e dos fluxogramas), deve-se iniciar a identificação e avaliação de riscos. Essa parte do trabalho deve ser desenvolvida internamente e de forma exploratória. Individualmente, cada membro da equipe de fiscalização deve elaborar rol de possíveis eventos que possam impactar negativamente na consecução dos objetivos do objeto da fiscalização, tomando por base os dados colhidos nas etapas anteriores. Findada a etapa individual de trabalho, a equipe deve reunir, discutir e consolidar, em matriz única, os riscos individualmente identificados, passando assim para a avaliação do impacto (magnitude de um efeito negativo) e probabilidade (estimada) de ocorrência de cada risco segundo as variáveis da matriz abaixo: Figura 1 – Mapa de Riscos (probabilidade vs. impacto): A matriz acima é adaptável às conveniências da equipe de auditoria, até porque não existe um padrão normatizado no TCU para níveis e escalas. Optou-se no TC 015.436/2013-6 por escalas de cinco níveis de probabilidade e cinco de impacto, para enriquecer a avaliação e tornar a planilha simétrica. Ademais, a classificação de riscos em altos ou baixos, simplesmente, poderia perder sutilezas de detalhamento necessárias às avaliações seguintes. Como se trata de trabalho exploratório e de conhecimento amplo do objeto, realizado em Levantamento para fins de conhecimento do objeto e dos riscos, ou em fase de planejamento de Auditoria, para determinação de escopo, realizou-se mensuração de probabilidade e impacto de forma qualitativa, e não quantitativa (estatística), segundos os critérios abaixo. A mensuração quantitativa poderá ocorrer na fase de execução de auditoria, ou em trabalho fiscalizatório com escopo reduzido derivado do Levantamento de gestão de riscos. Os critérios foram adaptados a partir dos conceitos constantes do Curso de Controles Internos do TCU (BRASIL, 2012), de forma a abranger maior leque de avaliações de natureza operacional ou de conformidade. Os conceitos são, na medida do possível, auto excludentes, de modo a reduzir a subjetividade das avaliações da equipe. Tabela 1 - Escala de Impactos (consequências) Impacto Significado Muito Baixo Degradação das operações ou atividades, porém causando impactos mínimos para a instituição (em termos financeiros, danos à imagem, afetação da qualidade de produtos e serviços, prejuízo às finalidades da política pública). Baixo Degradação das operações ou atividades, causando pequenos impactos para a instituição. Inclui impropriedades formais e prejuízos menores às finalidades da política pública. Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 51966769. TRIBUNAL DE CONTAS DA UNIÃO 9 Secretaria-Geral de Controle Externo Secretaria de Controle Externo do Desenvolvimento Econômico Médio Interrupção das operações ou atividades, causando impactos significativos para a instituição, porém passíveis de recuperação. Inclui ilegalidades, dano ao erário passível de recuperação e danos aos fins da política pública. Alto Interrupção das operações ou atividades, causando impactos de reversão muito difícil para a instituição e/ou para a política pública. Inclu i ilegalidades, dano ao erário passível de recuperação por processos complexos, demorados e/ou custosos, e danos relevantes aos fins da política pública. Muito Alto Interrupção das operações ou atividades, causando impactos irreversíveis para a instituição e para a política pública. Inclui ilegalidades e infringência a mandamentos constitucionais, dano ao erário irreversível e danos relevantes aos fins da política pública. Tabela 2 - Escala de Probabilidades* Frequência Significado Muito Baixa Evento extraord inário para os padrões conhecidos da gestão e operação do processo. Embora possa assumir dimensão estratégica para a manutenção do processo, não há histórico disponível de sua ocorrência. Baixa Evento casual, inesperado. Muito embora raro, há histórico de ocorrência conhecido pelos principais gestores e operadores do processo. Média Evento esperado, porque se reproduz com frequência reduzida, porém constante. Seu histórico de ocorrência é de conhecimento da maioria dos gestores e operadores do processo. Alta Evento usual, corriqueiro. Devido à sua ocorrência habitual ou conhecida em uma dezena ou mais de casos, aproximadamente, seu histórico é amplamente conhecido por parte de gestores e operadores do processo. Muito Alta Evento se reproduz muitas vezes, se repete seguidamente, de maneira assídua, numerosa e não raro de modo acelerado. Interfere de modo claro no ritmo das atividades, sendo evidenciável para os que conhecem o processo. *Caso seja inviável verificar histórico de ocorrência do evento, esse deve ser estimado conforme o julgamento profissional da equipe, considerando a tendência de comportamento dos agentes envolvidos (stakeholders), inclusive a possibilidade de risco moral (moral hazard) diante, tão somente, da existência dos controles regulamentares e normativos. Durante a avaliação de riscos, a equipe deve buscar o consenso sobre a existência ou não dos riscos. Deve ainda dimensionar o grau de rigor nas avaliações, buscando, sempre que possível, a obtenção de número razoável de eventos de risco, evitando ater-se a riscos menores ou insignificantes, concentrando-se em riscos com potencial para afetar os objetivos, o desempenho, a conformidade e a reputação do objeto fiscalizado. A intelecção e discussão da equipe sobre os eventos de risco contribui para consolidar o entendimento sobre a visão geral do objeto e seu funcionamento, na forma de macroprocessos. O inventário de riscos construído pela equipe deve ser registrado em planilha cujo formato será exposto adiante. Etapa 4 - Realização de workshops de riscos com operadores do processo Finalizada a etapa de levantamento e avaliação de riscos por parte da equipe, devem ser realizados workshops (oficinas de debate) com os operadores dos macroprocessos (servidores/empregados/colaboradores lotados nas unidades que lidam diariamente com os macroprocessos e são responsáveis por executá- los), para aperfeiçoar o inventário de eventos de risco. Caso o grupo participante seja pequeno, a equipe deverá reunir-se com todos simultaneamente. Na hipótese de equipes grandes, a equipe deverá escolher participantes (de cinco a dez) conforme perfil profissional e pessoal, bem como capacidade e interesse de colaborar com a fiscalização. Na oportunidade, a equipedeve esclarecer aos presentes a desnecessidade de identificação e registro das informações prestadas como pessoais, a impossibilidade de responsabilização perante o TCU em face das declarações prestadas e a vertente operacional e colaborativa da fiscalização, cujo objetivo é contribuir para a melhoria da gestão. Em outras palavras, deve-se afastar dos presentes o receio ou constrangimento natural decorrente de uma reunião com equipe Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 51966769. TRIBUNAL DE CONTAS DA UNIÃO 10 Secretaria-Geral de Controle Externo Secretaria de Controle Externo do Desenvolvimento Econômico do TCU, o qual é esperado e natural de pessoas que não têm costume de lidar com órgãos de controle. Diferente é a situação do gestor, acostumado ao fato. Importante ainda impedir a presença do gestor (respectivo chefe dos presentes) na reunião, para evitar eventual timidez ou coação sobre os entrevistados, conferindo maior liberdade de expressão. Deve-se dar preferência a realizar uma reunião por equipe da UJ, o que é mais produtivo. Na oportunidade, a equipe deve perquirir dos operadores dos macroprocessos, isto é, aqueles que melhor conhecem seu funcionamento, os riscos envolvidos na gestão. Ao notar o interesse colaborativo da equipe de fiscalização, não é difícil ganhar a confiança dos entrevistados nesse sentido. Caso as pessoas não compreendam os conceitos de gestão de risco, o que é muito provável de ocorrer, deve-se utilizar de linguagem menos técnica, no sentido de indagá- los sobre todos os possíveis fatos “que podem levar a algo dar errado” na gestão. A equipe deve anotar todas as considerações e/ou solicitar que os presentes preencham fichas com essas informações (sem identificação). Após as reuniões, a equipe de fiscalização deve debater as informações colhidas, identificando dentre essas quais são fontes de riscos, eventos de risco ou efeitos de eventos de risco. Do debate, a equipe deverá complementar e/ou revisar seu inventário de riscos com os eventos de riscos aventados pelos operadores dos processos. Etapa 5 - Realização de workshops de riscos com gestores dos macroprocessos Encerrada a etapa de validação/contribuição dos operadores dos processos, a equipe deve consolidar todos os eventos de risco em planilha específica. Em face disso, deverá solicitar reunião com os gestores de nível operacional (em geral, gerentes), de preferência um de cada vez, com os seguintes objetivos: a) confirmação dos eventos de riscos inventariados, por meio da ratificação, pelo gestor, da possibilidade de materialização/ocorrência do evento negativo; b) verificação da existência e conformação dos controles internos existentes como resposta aos eventos de risco, ou ainda a inexistência desses e identificação de novos riscos não detectados pela equipe de fiscalização. Na prática, a equipe deverá indagar o gestor sobre todos os riscos inventariados, ouvindo sua opinião sobre a pertinência e viabilidade das situações levantadas, sua probabilidade e impacto estimados. Em cada caso, a equipe deve indagar sobre quais controles internos existem para evitar ou impedir a ocorrência do evento de risco. Caso o gestor não tenha consciência do que represente um controle interno, a equipe deverá indagar sobre os procedimentos administrativos incidentes sobre os possíveis riscos apresentados. A equipe deverá avaliar a qualidade e suficiência dos controles internos apresentados conforme tabela abaixo, registrando essa informação na matriz, que será exposta adiante. Tabela 3 - Escala de Avaliação do Controle Avaliação Significado Inexistente Inexistente ou não funcional/implementado. Fraco Controle não institucionalizado, depositado na esfera de conhecimento pessoal dos operadores do processo, em geral realizado de maneira manual. Suficiente para mitigar a minoria dos eventos de risco. Mediano Controle razoavelmente institucionalizado e operante, em geral realizado de maneira manual ou automática como parte do quotidiano da gestão. Suficiente para mitigar eventos de risco comuns e rotineiros. Satisfatório Controle institucionalizado, normatizado, operante e atualizado, realizado de maneira eletrônica (exceto se inviável) e suficiente para mitigar a maioria dos eventos de risco, salvo nos casos demasiadamente fora dos padrões conhecidos de ocorrência. Forte Controle institucionalizado e normatizado, realizado de maneira eletrônica (exceto se Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 51966769. TRIBUNAL DE CONTAS DA UNIÃO 11 Secretaria-Geral de Controle Externo Secretaria de Controle Externo do Desenvolvimento Econômico inviável) e suficiente para mitigar todos os eventos de risco, salvo nos casos demasiadamente fora dos padrões conhecidos de ocorrência. Como resultado, a equipe terá a visão estruturada do objeto da fiscalização, com informações sobre seus objetivos, macroprocessos e atividades desenvolvidas para atingir os objetivos, os riscos inerentes a cada etapa, controles internos adotados e sua qualidade, bem como o risco residual estimado, cujo cálculo é exposto adiante. Essas avaliações permitirão o direcionamento e otimização dos esforços dos controles interno e externo, em razão do conhecimento obtido acerca do funcionamento e das fragilidades de cada macroprocesso do objeto. Etapa 6 – Registro, revisão e finalização das matrizes de riscos Para registro de todas as avalições, sugere-se modelo de matriz de risco em planilha formato MS Excel, denominada Matriz de Riscos por Processos (MRP), cujo formato básico é exposto na peça 4). É documento metodologicamente estruturado para permitir a visualização integrada e resumida dos seguintes elementos da gestão de riscos (da primeira à última coluna): a) objetivo da política pública; b) macroprocesso de gestão; c) riscos inerentes por macroprocesso, caracterizados por: evento de risco, categoria (operacional, conformidade ou de imagem), classificação da probabilidade, classificação do impacto, avaliação da probabilidade e avaliação do impacto; d) resultado numérico do risco inerente (multiplicação da probabilidade pelo impacto, em uma escala de 0 a 100), conforme Figura 1 (acima); e) descrição dos controles internos associados a cada risco, classificação do controle interno e avaliação do controle interno; d) resultado do risco residual estimado, ou seja, o risco mitigado após a aplicação dos controles internos, conforme o diagrama abaixo: e) resultado numérico do risco residual estimado, ou seja, o risco mitigado após a aplicação dos controles internos. Para essa finalidade, considerou-se a Figura 3 (abaixo), por aproximação (estimativa metodológica): Em relação ao último ponto, quando se executa levantamento ou na fase de planejamento de auditoria, trata-se de risco residual estimado, e não efetivo, uma vez que não foram aplicados testes de auditoria para mensuração do nível de eficácia dos controles internos. A avaliação dos controles internos se dá apenas em tese, sem exame de casos concretos, com base nos conceitos das tabelas de escalas qualitativas para classificação de riscos e controles. Informações detalhadas sobre a mensuração dos riscos inerentes e residuais constam de tópico específico adiante. Considerando os dados acima, a MRP deverá apresentar a seguinte estrutura: Figura 2 – Estrutura de Matriz de Riscos por Processos (MRP) Risco Inerente Aplicação de Controles Internos Risco Residual Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 51966769. TRIBUNAL DE CONTAS DA UNIÃO 12 Secretaria-Geralde Controle Externo Secretaria de Controle Externo do Desenvolvimento Econômico Fonte: TC 015.436/2013-6 (Levantamento sobre gestão de riscos em políticas de renúncia de receitas dos Ministérios da Ciência, Tecnologia e Inovação e do Desenvolvimento, Indústria, Comércio Exterior). Na peça 5, é apresentado um exemplo da MRP preenchida conforme um caso real (TC 015.436/2013-6). As informações da última coluna se aplicam somente à modalidade de fiscalização auditoria, conforme tópico específico adiante. A MRP é o produto mais importante do trabalho de investigação e registro de riscos associados ao objeto de auditoria, pois consolida todo o levantamento de informações relacionadas aos objetivos, riscos e controles associados ao objeto de auditoria, servindo como parâmetro de aferição objetiva da maturidade da governança pública no que tange à gestão de riscos de um ou mais macroprocessos de gestão. Além disso, é uma fonte importante de comunicação, pois as colunas de riscos inerente e residual são apresentadas em esquema de cores em verde, amarelo, laranja e vermelho, o que reflete, respectivamente, eventos de riscos baixos, médios, elevados e extremamente elevados. Portanto, colunas predominantemente verdes ou amarelas indicam gestão com níveis baixos ou intermediários de risco. Já colunas excessivamente avermelhadas traduzem elevado nível de risco associado à gestão como um todo. Ademais, a confrontação entre as cores predominantes das colunas dos riscos inerente e residual permite visualizar o efeito dos controles internos na mitigação do risco inerente. Ou seja, uma maior redução dos tons de cores entre essas duas colunas (de vermelho para laranja, ou de laranja para amarelo) representa a dimensão do efeito dos controles internos na mitigação dos riscos. No caso prático do TC 015.436/2013-6, a equipe submeteu as MRPs produzidas para comentários e críticas dos técnicos da Controladoria-Geral da União vinculados às unidades responsáveis por também fiscalizar as UJs envolvidas. A contribuição do controle interno ajudou a aperfeiçoar as conclusões obtidas. INFORMAÇÕES COMPLEMENTARES Cálculo dos valores numéricos associados aos eventos de risco Viu-se que no TC 015.436/2013 foi utilizada matriz de riscos com o seguinte formato de avaliação de riscos inerentes, em termos de probabilidades e impactos: Figura 3 – Mapa de Riscos (probabilidade vs. impacto): Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 51966769. TRIBUNAL DE CONTAS DA UNIÃO 13 Secretaria-Geral de Controle Externo Secretaria de Controle Externo do Desenvolvimento Econômico Na prática, a multiplicação dos percentuais de probabilidade pelos índices de impacto gera um número de resultado, que representa a magnitude do risco. Em qualquer dos dois eixos, utiliza-se a seguinte escala: a) muito baixo: 20; b) baixo: 40; c) médio: 60; d) alto: 80; e) muito alto: 100. Por exemplo, um evento de probabilidade baixa (40%) com impacto alto (80%) representará um risco inerente de valor 32, correspondente à multiplicação entre os dois fatores (0,4 por 0,8). A mesma regra se aplica a todas as demais classificações da Figura 3. Já o cálculo do risco residual envolve a avaliação do controle interno associado, que, caso existente, tende a mitigar o risco envolvido, ou seja, reduzir sua valoração. A mitigação será determinada pela avaliação do controle interno realizada conforme Tabela 3, cujos efeitos estimados (em tese e por simplificação metodológica) são os seguintes: Tabela 4 – Efeitos da mitigação do risco inerente pelos controles internos Avaliação do Controle Mitigação Obtenção do valor numérico do risco residual estimado Inexistente Capaz de mitigar 0% dos eventos de risco Multiplicar risco inerente por 1,0 Fraco Capaz de mitigar 20% dos eventos de risco Multiplicar risco inerente por 0,8 Mediano Capaz de mitigar 40% dos eventos de risco Multiplicar risco inerente por 0,6 Satisfatório Capaz de mitigar 60% dos eventos de risco Multiplicar risco inerente por 0,4 Forte Capaz de mitigar 80% dos eventos de risco Multiplicar risco inerente por 0,2 Em relação ao controle forte não ser capaz de mitigar 100% dos eventos de risco, cabe registrar que tal avaliação decorre do fato de que nenhum controle interno é capaz de responder a todos os riscos, ou seja, nenhum controle é infalível, especialmente porque são concebidos ou operados por seres humanos, sujeitando-os a burlas de variados tipos. Assim, por exemplo, um risco inerente de valor 100 (extremamente elevado), se mitigado por um controle forte, conduzirá a um risco residual de valor 20 (médio), devido à multiplicação de 100 por 0,2. Se esse mesmo risco inerente estiver sujeito a um controle interno fraco, o risco residual associado será de valor 80 (100 x 0,8), ainda assim extremamente elevado. Se não houver controle interno, riscos inerente e residual terão a mesma valoração. Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 51966769. TRIBUNAL DE CONTAS DA UNIÃO 14 Secretaria-Geral de Controle Externo Secretaria de Controle Externo do Desenvolvimento Econômico A partir da aplicação dos quocientes previstos na terceira coluna da Tabela 4 sobre os valores numéricos dos riscos da Figura 3, é possível, por simples cálculos matemáticos, obter um parâmetro numérico de risco residual estimado associado a cada risco inerente: Figura 2 – Tabela de Hiato de Controle (risco inerente vs. eficácia do controle): Esses cálculos tencionam reproduzir, por estimativa, o efeito dos controles internos na mitigação dos riscos inerentes, conforme exemplo esquemático abaixo: Figura 4 – Exemplo de cálculo do efeito estimado da mitigação do risco inerente por controles internos O risco residual estimado também pode ser denominado hiato de controle, por representar o resíduo de risco inerente que permanece após aplicação dos controles, ou ainda a parcela do risco residual carente de controles internos para que seja mitigado adequadamente. Aplicação da metodologia em trabalhos de Levantamento ou Auditoria No início deste roteiro, salientou-se que a metodologia pode ser aplicada tanto em Levantamentos quanto em Auditorias, respeitadas as peculiaridades de cada instrumento. Se aplicada em Levantamento, a Etapa 1 (conhecimento prévio do objeto a ser fiscalizado) deve ser executada na fase de planejamento, enquanto as demais, a iniciar com as reuniões com os gestores das unidades operacionais envolvidas, devem ocorrer na fase de execução, inclusive a finalização do inventário de riscos nas MRPs. Ao designar um trabalho de fiscalização específico para levantamento de riscos, a unidade técnica poderá dedicar-se especificamente a esse fim, sem o encargo de coletar evidências como ocorre em auditoria, possibilitando aumento de escopo e maior detalhamento. Se a metodologia for aplicada em auditorias, no entanto, todo o inventariamento de riscos (etapas 1 a 6, expostas acima) deve ser realizado na fase de planejamento. Nesse caso, o trabalho não poderá envolver escopo demasiadamente amplo, sob pena de inviabilização de prazos. De posse do levantamento de riscos do objeto, nessa situação com escopo limitado, a equipe poderá determinar o escopo da execução de auditoria, priorizando áreas de riscos mais elevados. Rememore-se que, conforme abordado no tópico sobre normas gerais de auditoria aplicáveis, em toda auditoria é preciso realizar uma avaliação preliminar de objetivos e riscos relevantes relacionados ao objeto. No desenvolvimento dos objetivos da auditoria, deve-se considerar, além das exposições significativas a riscos, a probabilidade de erros, irregularidades e Risco InerenteExt. Elevado 80 Controle Satisfatório Risco Residual Elevado 32 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 51966769. TRIBUNAL DE CONTAS DA UNIÃO 15 Secretaria-Geral de Controle Externo Secretaria de Controle Externo do Desenvolvimento Econômico descumprimentos a princípios, normas legais e regulamentações aplicáveis. A metodologia ora proposta satisfaz esses requisitos normativos. Em face dos riscos identificados no planejamento, a equipe deverá definir procedimentos de auditoria para teste dos controles internos, isto é, para verificação da qualidade e suficiência dos controles administrativos face a eventuais casos concretos de materialização dos eventos de risco. Esse trabalho demanda a realização de auditoria de conformidade, na qual poderão ser identificadas irregularidades ou deficiências de controle, a depender do objetivo auditorial. Na execução, a equipe poderá ainda confirmar se a avaliação qualitativa de riscos e controles internos realizada com base na metodologia se confirma do ponto de vista quantitativo. Para manter a vinculação entre riscos e procedimentos de auditoria (testes de controles internos), sugere-se que a MRP seja complementada com coluna específica, retratada na Figura 2 (última coluna) sob o título “Referência – Teste de CI”. Para cada evento de risco a ser abordado na auditoria, deve haver um procedimento de auditoria (PA) referenciado, de modo a manter a consistência entre os papeis de trabalho do planejamento (MRP) e os da execução (procedimentos de auditoria). RELATÓRIO DA FISCALIZAÇÃO No caso de Levantamento, devem-se observar no que for cabível os Padrões de Levantamento do Tribunal (Portaria-Segecex 15/2011), assim como, em auditorias, a norma aplicável, conforme a modalidade seja conformidade ou operacional. No entanto, por se tratar de técnica de fiscalização inovadora no TCU, não há norma tivos que prevejam o formato de relatório. Na inexistência de diretrizes de relatório para trabalho especificamente voltado para gestão de riscos, a SecexDesenvolvimento, após entendimentos prévios com o Ministro Relator do TC 015.436/2013-6, optou por destacar, no corpo do relatório, os seguintes grupos de riscos: a) riscos estruturais gerais: decorrentes de deficiências na governança dos ministérios, os quais, por serem gerais e menos objetiváveis, não puderam ser abordadas nas respectivas MRPs. São riscos ou fontes de riscos estruturais do Poder Executivo Federal, sobretudo em relação à estruturação normativa, gerencial e de competências. São situações que escapam à gestão dos ministérios e deveriam ser tratadas por órgão superior com poderes normativos e de gestão; b) riscos de caráter transversal: conjunto de eventos que perpassam a gestão de mais de uma política pública e unidade gestora das políticas objeto do TC 015.436/2013-6, com variações decorrentes da legislação e dos procedimentos de controle administrativo específicos; c) riscos específicos de cada política pública: eventos associados apenas a gestão de uma política pública e não das demais integrantes do escopo da fiscalização. No caso prático, foram eleitos os riscos inventariados na MRP cuja avaliação quantitativa resultou em níveis “elevado” ou “extremamente elevado”. No relatório, os eventos foram esmiuçados em termos de causa e efeitos de conformidade ou operacional. Tendo em vista que o cerne da metodologia e o produto esperado são a identificação e avaliação de riscos do objeto fiscalizado, o relatório deve destacá- los, remetendo a anexos a parte preliminar, qual seja, o detalhamento de processos de trabalho (macroprocessos) das UJs. A eleição dos riscos a serem destacados e da profundidade da abordagem em relatório dependem de julgamento profissional da equipe conforme o objetivo do trabalho, nível de governança da entidade e complexidade do objeto. Riscos não abordados em relatório devem estar registrados na MRP de forma resumida e autoexplicativa. Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 51966769. TRIBUNAL DE CONTAS DA UNIÃO 16 Secretaria-Geral de Controle Externo Secretaria de Controle Externo do Desenvolvimento Econômico DIFERENCIAIS DA METODOLOGIA Esta metodologia apresentou as seguintes vantagens ou utilidades no caso prático (TC 015.436/2013-6): a) Conhecimento aprofundado do objeto; b) Customização dos Relatórios de Gestão e dos Processos Anuais de Contas; c) Interlocução com a CGU durante o processo; d) Estreitamento da relação com a UJ; e) Planejamento da unidade técnica e direcionamento da atuação futura. Como resultado do inventário de riscos do TC 015.436/2013-6, as UJs envolvidas pactuaram planos de ação com a SecexDesenvolvimento, para, no médio prazo, implementarem medidas para aprimoramento de controles internos para tratamento dos riscos identificados pelo TCU. Referida medida se mostrou de grande repercussão para aprimoramento da gestão das UJs. LIMITAÇÕES DA METODOLOGIA Como limitações à metodologia, tem-se: a) Caráter exploratório do levantamento de riscos : o trabalho de identificação de riscos tem cunho exploratório e envolve a identificação, reconhecimento e/ou intelecção sobre possíveis eventos que possam afetar os objetivos das políticas. Apesar da construção coletiva em equipe, respaldada pelas contribuições de gestores e operadores dos processos e corroborada pelo Controle Interno, é possível que algum evento de risco não tenha sido identificado, mas venha a ocorrer. Existe ainda a possibilidade de ocorrência de fraudes imprevisíveis, não detectadas neste trabalho; b) Ausência de testes de controles internos : se aplicada em Levantamento, os controles internos administrativos são avaliados conforme seu desenho e funcionamento (em tese), sem que sobre eles sejam aplicados testes de auditoria. Nesse caso, a avaliação dos controles internos representa uma estimativa de eficácia, sendo passível de testes apenas em trabalhos de Auditoria. CONCLUSÃO Pelo presente roteiro, a SecexDesenvolvimento disponibiliza à Secretaria de Métodos Aplicados e Suporte à Auditoria (Seaud) este guia metodológico prático de avaliação e identificação de riscos e controles, também denominada metodologia de auditoria (em sentido amplo) com foco em processos e riscos, a qual pode ser incorporada aos materiais de uso interno para divulgação de boas práticas e metodologias do controle externo (ref. Acórdão 3.695/2013-TCU-Plenário, subitem 9.17). Importante ressaltar que se trata de metodologia de auditoria com foco em risco, a qual não se confunde com o objeto da Nota Técnica-Seaud 3/2014, que trata de seleção, pelo TCU, de objetos de auditoria com foco em risco. A equipe do TC 015.435/2013-6 se coloca à disposição da Seaud para difusão de boas práticas por meio de reuniões, participação na confecção de materiais de apoio ou em cursos internos com o objetivo de difundir a metodologia para aplicação em outros trabalhos do Tribunal. SecexDesenvolvimento, 1ª DT, em 26/9/2014. Antonio José Saraiva de Oliveira Júnior AUFC – Matrícula 8127-2 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 51966769. TRIBUNAL DE CONTAS DA UNIÃO 17 Secretaria-Geral de Controle Externo Secretaria de Controle Externo do Desenvolvimento Econômico REFERÊNCIAS BIBLIOGRÁFICAS ABNT. Associação Brasileira de Normas Técnicas. ABNT NBR ISSO 31000: Gestão de riscos – princípios e diretrizes, 2009. Disponível em: <http://www.abntcatalogo.com.br/norma.aspx?ID=57311>. Acesso em: 25 de junho de 2014. BRASIL. Tribunal de Contas da União. Governança Pública: ReferencialBásico de Governança Aplicável a Órgãos e Entidades da Administração Pública e Ações Indutoras de Melhoria. Brasília: TCU, Secretaria de Planejamento, Governança e Gestão, 2014. _____. Tribunal de Contas da União. Portaria nº 175/2013. Dispõe sobre orientações às unidades jurisdicionadas ao Tribunal quanto à elaboração de conteúdos dos relatórios de gestão referentes ao exercício de 2013. Brasília, 9 de julho de 2013. _____. Tribunal de Contas da União. Glossário de Termos do Controle Externo - Segecex/Adsup/Adplan. Brasília: TCU, setembro de 2012a. _____. Tribunal de Contas da União. Curso de avaliação de controles internos / Tribunal de Contas da União; Conteudistas: Antonio Alves de Carvalho Neto, Bruno Medeiros Papariello. 2ª ed. – Brasília: TCU, Instituto Serzedello Corrêa, 2012b. _____. Tribunal de Contas da União. Anexo à Portaria-TCU nº 280/2010. Normas de Auditoria do Tribunal de Contas da União. Brasília, 8 de dezembro de 2010. _____. Tribunal de Contas da União. Critérios gerais de controle interno na Administração Pública: um estudo dos modelos e das normas disciplinadoras em diversos países. Brasília, 2009. Disponível em: <http://portal2.tcu.gov.br/portal/pls/portal/docs/2056688.PDF>. Acesso em: 25 de junho de 2014. COSO. Committee of Sponsoring Organizations of the Treadway Commission. Gerenciamento de Riscos Corporativos – Sumário Executivo, Estrutura e Gerenciamento de Riscos na Empresa – Integrated Framework: Application Techniques, 2004. Versão em português disponível em: <http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_Portuguese.pdf>. Acesso em: 25 de junho de 2014. IIA, The Institute of Internal Auditor. Normas Internacionais para a Prática Profissional de Auditoria Interna. São Paulo, 2012. Versão em português disponível em: < http://www.iiabrasil.org.br/new/2013/downs/IPPF/standards2013_portuguese.pdf>. Acesso em: 25 de junho de 2014. Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 51966769.
Continue navegando
Materiais relacionados
Perguntas relacionadas
Compartilhar