mapas&cards
Ver o material →
Flashcards grátis · Auditoria Interna Governamental

Aula 04 — Planejamento da UAIG

57 flashcards com pergunta, gabarito e a referência da fonte. Estude de graça aqui ou de forma interativa (com repetição espaçada) no app.

Demandas extraordinárias
Uma estratégia comum para tratar demandas extraordinárias é a definição de uma reserva técnica, medida em percentual da capacidade operacional disponível na UAIG.
CERTO. Com reserva técnica, o plano inicial não ocupa todos os recursos; alternativamente, o plano ocupa o máximo e é revisado quando surge nova demanda.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.1.5.6 — Tratamento de demandas extraordinárias
Entre as estratégias mais utilizadas para tratamento desse tipo de demanda, está a definição de uma reserva técnica, medida em percentual da capacidade operacional disponível na UAIG. [...] o Plano de Auditoria Interna inicial não deverá ocupar todos os recursos disponíveis [...]. Alternativamente, poder-se-á definir que o Plano ocupará o máximo de recursos da UAIG [...].
Plano baseado em riscos
O Plano de Auditoria Interna deve ser baseado em riscos, o que significa concentrar os trabalhos nos objetos de auditoria com maior exposição a ameaças ao alcance dos objetivos.
É o documento que registra as atividades que a UAIG pretende desenvolver em um período, normalmente um ano.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.1 — Plano de Auditoria Interna baseado em riscos
O Plano de Auditoria Interna é o documento no qual são registradas as atividades que a UAIG pretende desenvolver em um determinado período de tempo, normalmente um ano. Deve ser baseado em riscos, o que significa que sua principal finalidade deve ser garantir que a [UAIG] concentre seus trabalhos nos objetos de auditoria com maior exposição a ameaças que possam afetar o alcance dos seus objetivos, ou seja, os de maior risco.
Maturidade da gestão de riscos
Os arcabouços técnicos mais comumente utilizados para a gestão de riscos são a ISO 31000 e o COSO ERM.
A maturidade da gestão de riscos indica a confiabilidade do cadastro de riscos e orienta a estratégia de auditoria.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.1.3 — Avaliação da maturidade da gestão de riscos
A maturidade da gestão de riscos é o grau em que a organização se encontra em relação à adoção e à aplicação da abordagem de gestão de riscos [...]. [Esse procedimento] dá uma indicação da confiabilidade do cadastro de riscos e auxilia na definição da estratégia de auditoria. (Os arcabouços técnicos mais comumente utilizados são a ISO 31000 e o COSO ERM.)
Formas de seleção dos trabalhos
As três formas comuns de selecionar os trabalhos com base em riscos são: avaliação de riscos realizada pela Unidade Auditada, avaliação de riscos realizada pela UAIG e seleção com base em fatores de risco.
Não há forma única; a UAIG escolhe a metodologia mais adequada à sua organização.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.1.4 — Seleção dos trabalhos com base em riscos
Embora a IN SFC nº 3, de 2017, estabeleça que os trabalhos [...] sejam definidos com base em riscos, não há uma forma única de fazê-lo [...]. [O Manual] apresenta três maneiras comumente utilizadas: a) seleção [...] com base na avaliação de riscos realizada pela Unidade Auditada; b) [...] pela UAIG; c) [...] com base em fatores de riscos.
Risco inerente
O risco inerente é o risco próprio da atividade, considerando-se que não houvesse controles para mitigá-lo.
CERTO. A lista de riscos identificados é uma lista de riscos inerentes; os controles e o risco residual são analisados em etapas seguintes.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.1.4.2.1 — Identificação dos riscos
A lista de riscos identificados constitui uma lista de riscos inerentes ao processo, ou seja, os riscos próprios da atividade, considerando-se que não houvesse controles para mitigá-los.
Mapa de Riscos
O Mapa de Riscos é uma representação gráfica em dois eixos — impacto e probabilidade — cujas áreas representam os diferentes níveis de risco.
CERTO. Permite visualizar a criticidade dos riscos conforme a área em que são plotados, exigindo escalas que diferenciem significativamente os riscos.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.1.4.2.2 — Avaliação dos riscos
Para fins de representação gráfica, pode ser utilizado o Mapa de Riscos, representado em dois eixos (impacto x probabilidade), cujas áreas representam os diferentes níveis de riscos. É possível, então, visualizar a criticidade dos riscos de acordo com a área em que são plotados no Mapa.
Conteúdo do Plano — capacitação
O Plano de Auditoria Interna deve prever, no mínimo, 40 horas de capacitação anual para cada auditor interno governamental, incluindo o responsável pela UAIG.
A capacitação visa ao desenvolvimento profissional contínuo e pode incluir cursos, seminários, pós-graduação e treinamento no trabalho.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.1.5.4 — Capacitação dos auditores internos governamentais
Previsão de, no mínimo, 40 horas de capacitação para cada auditor interno governamental, incluindo o responsável pela UAIG. [...] Essa capacitação [...] pode incluir cursos formais, seminários, workshops, [...] cursos de pós-graduação, [...] treinamento no trabalho, entre outros.
Rodízio de ênfase
O rodízio de ênfase é a rotação entre os objetos do universo de auditoria, para evitar concentrar vários trabalhos em um mesmo objeto e deixar objetos de menor risco sem auditoria.
Estabelece-se um ciclo (por exemplo, três, quatro ou cinco anos) para auditar os objetos de menor risco. Não confundir com o rodízio de auditores.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.1.5.2 — Trabalhos selecionados em função do rodízio de ênfase
O rodízio de ênfase constitui uma rotação entre os objetos que compõem o universo de auditoria em determinado período, de modo a evitar, por um lado, a realização de diversos trabalhos de auditoria sobre um mesmo objeto; por outro lado, a inexistência de trabalhos sobre outros objetos associados a um menor risco. [...] deve ser estabelecida uma metodologia na qual seja especificado o período (ou ciclo) [...] (por exemplo, três, quatro ou cinco anos).
Periodicidade do plano
Deverá ser elaborado um Plano de Auditoria Interna para cada exercício.
Os órgãos e unidades do SCI podem estabelecer período não coincidente com o ano civil, para harmonizar o planejamento com o das demais UAIG.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.1.6 — Periodicidade do Plano de Auditoria Interna
Deverá ser elaborado um Plano de Auditoria Interna para cada exercício. Os órgãos e as unidades integrantes do SCI, dada a necessidade de harmonização do seu planejamento com o planejamento das demais UAIG, poderão estabelecer período não coincidente com o ano civil para o seu Plano.
Confirmação externa
A confirmação externa, ou circularização, obtém declaração formal e independente de partes externas sobre fatos ligados às operações da Unidade Auditada.
A resposta deve ser escrita e, por provir de fonte independente, pode ser mais confiável do que a evidência gerada internamente.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.3.4.6.4 — Confirmação externa (Circularização)
A confirmação externa, ou circularização, é a técnica utilizada para a obtenção de declaração formal e independente de partes externas (pessoas, empresas, órgãos fiscalizadores etc.) a respeito de fatos ligados às operações da Unidade Auditada. [...] A evidência [...] deve se apresentar na forma escrita [...]. A depender das circunstâncias, pode ser mais confiável do que a evidência gerada internamente [...], haja vista provir de fonte independente.
Processo normatizado x fluxo real
Se o auditor detectar divergências relevantes entre o processo normatizado e o fluxo real praticado no cotidiano, deve aprofundar os exames, pois isso pode indicar inadequação dos controles ou que as normas estão inapropriadas.
CERTO. As diferenças identificadas e sua origem devem ser registradas, pois podem representar inobservância ou inadequação dos controles internos.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.3.1.1 — Mapeamento/validação do objeto selecionado
É preciso atentar para a existência de possíveis diferenças entre o processo normatizado (leis, portarias, resoluções etc.) e o seu fluxo real [...]. Caso o auditor detecte divergências relevantes [...], deverá aprofundar os exames, tendo em vista que essas diferenças podem representar inobservância e/ou inadequação dos controles internos ou até indicar que as normas estão inapropriadas. [...] as eventuais diferenças identificadas e a sua origem devem ser registradas.
Causa do risco
Na análise de riscos, a causa é composta por fontes de risco somadas às vulnerabilidades.
Fontes de risco (pessoas, processos, sistemas, eventos externos etc.) associadas às vulnerabilidades possibilitam que um evento ocorra.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.3.2.1.1 — Identificação de riscos inerentes
Para a identificação das causas, devem ser verificadas as fontes de riscos e suas vulnerabilidades, tendo em vista que as fontes de riscos associadas às respectivas vulnerabilidades possibilitam que um evento ocorra, ou seja, que um risco se materialize. (Quadro 4: CAUSA = FONTES + VULNERABILIDADES.)
Risco de auditoria
O risco de auditoria é o risco de o auditor chegar a conclusões inválidas ou fornecer opiniões equivocadas, e inter-relaciona-se com os riscos inerente, de controle e de detecção.
Os trabalhos visam segurança razoável, não absoluta; o auditor deve reduzir o risco de auditoria a um nível aceitável definindo a abordagem (natureza, época e extensão).
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.3.2.1.3 — Identificação e avaliação preliminar dos controles internos
[...] é recomendável que os auditores [...] considerem [...] o “risco de o auditor chegar a conclusões inválidas e/ou fornecer opiniões equivocadas com base no trabalho de auditoria realizado”, isto é, o risco de auditoria. [...] Os trabalhos de auditoria visam a obter segurança razoável, não absoluta [...]. [...] os auditores devem ter como objetivo reduzir o risco de auditoria a um nível aceitável. O risco de auditoria se inter-relaciona com os riscos inerentes, de controle e de detecção [...].
Características dos controles
Quanto à função, os controles podem ser preventivos, detectivos, corretivos, diretivos, compensatórios ou complementares; quanto à forma de implementação, podem ser manuais ou automatizados.
Avaliar a função e a forma dos controles ajuda a concluir sobre sua adequação ao risco a que respondem.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.3.2.1.3 — Identificação e avaliação preliminar dos controles internos
[Considerar] as características dos controles, especialmente, quanto à função (preventivo, detectivo, corretivo, diretivo, compensatório ou complementar) e à forma de implementação (manual ou automatizada) [...].
Natureza dos procedimentos
Quanto à finalidade, os procedimentos de auditoria classificam-se em testes de controle e procedimentos substantivos; estes últimos subdividem-se em testes de detalhes e procedimentos analíticos substantivos.
Quanto ao tipo, os procedimentos são as técnicas de auditoria (inspeção, observação, indagação, recálculo etc.).
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.3.4.3 — Natureza
De acordo com a finalidade, tem-se: testes de controle e procedimentos substantivos, sendo que, estes últimos [...] se subdividem em testes de detalhes e procedimentos analíticos substantivos. De acordo com o tipo, tem-se: inspeção, confirmação externa, recálculo, observação, indagação, procedimentos analíticos, reexecução, entre outros. Os procedimentos classificados por “tipo” são também conhecidos como “técnicas de auditoria”.
Procedimentos substantivos
Os procedimentos substantivos verificam a suficiência, a exatidão e a validade dos dados e subdividem-se em testes de detalhes e procedimentos analíticos substantivos.
Os testes de detalhes examinam registros e operações; os procedimentos analíticos substantivos usam comparações para avaliar adequação.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.3.4.5 — Procedimentos substantivos
Os procedimentos substantivos têm como finalidade verificar a suficiência, a exatidão e a validade dos dados obtidos. [...] subdividem-se em: a) testes de detalhes [...]: se referem ao exame de registros contábeis e das operações/documentos que lhes deram origem [...]; b) procedimentos analíticos substantivos [...]: envolvem a utilização de comparações para avaliar adequação [...].
Análise documental
Na análise documental, o auditor deve verificar a autenticidade, a normalidade, a aprovação e a oficialidade dos documentos examinados.
CERTO. Autenticidade (fidedignidade), normalidade (operação usual e conforme normas), aprovação (por pessoa autorizada) e oficialidade (registro em órgão competente) são os aspectos verificados.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.3.4.6.3 — Análise documental
É necessário que o auditor [...] verifique: a) se a documentação é fidedigna e merece confiabilidade (autenticidade); b) se a transação se refere à operação normalmente executada naquele contexto e se está de acordo com os objetivos e normativos da Unidade Auditada (normalidade); c) se a operação e os documentos [...] foram aprovados por pessoa autorizada (aprovação); d) [...] nos casos de documentos oficiais, se existe o registro em órgão competente (oficialidade).
Reexecução
Na reexecução, o auditor executa independentemente procedimentos ou controles originalmente realizados pela Unidade Auditada, diferentemente da observação, em que o servidor executa e é observado pelo auditor.
CERTO. Na reexecução é o próprio auditor quem executa, colhendo diretamente informações sobre a legitimidade e veracidade dos dados.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.3.4.6.8 — Reexecução
Conforme definição constante da NBC TA 500, “a reexecução envolve a execução independente pelo auditor de procedimentos ou controles que foram originalmente realizados como parte do controle interno da Unidade Auditada.” De forma diversa da observação, em que o empregado/servidor [...] realiza os procedimentos e é observado pelo auditor, aqui o auditor executa os procedimentos e colhe diretamente informações [...].
Benchmarking
Os quatro tipos de benchmarking são: competitivo (outra organização do mesmo setor), de processo (função), estratégico (estratégias de sucesso) e interno (entre áreas da mesma organização).
O benchmarking compara o desempenho com uma referência para identificar boas práticas e oportunidades de melhoria.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.3.4.6.10 — Benchmarking
A literatura especializada apresenta 4 tipos de benchmarking: a) competitivo: estuda uma outra organização do mesmo setor [...]; b) de processo (função): o foco da comparação não é a organização em si, mas processos desenvolvidos por ela [...]; c) estratégico: [...] a busca de estratégias competitivas de sucesso; d) interno: consiste na identificação e na aplicação das melhores práticas de uma área da organização em outras áreas da mesma organização.
Amostragem
A amostragem em auditoria é a aplicação de procedimentos em menos de 100% dos itens de uma população, de forma que todos os itens tenham chance de ser selecionados.
É útil quando o censo é inviável ou antieconômico e a informação da amostra é suficiente para os objetivos pretendidos.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.3.4.7 — Amostragem
Amostragem em auditoria é a aplicação de procedimentos de auditoria em menos de 100% dos itens de uma população relevante para fins de auditoria, de forma que todos os itens da população tenham chance de serem selecionados. [...] É bastante útil em situações onde a execução do censo é inviável ou antieconômica e a informação obtida da amostra é suficiente para atender aos objetivos pretendidos.
Risco de amostragem
O risco de amostragem é o risco de a conclusão baseada na amostra ser diferente da que se obteria examinando toda a população; em geral, quanto maior o tamanho da amostra, menor esse risco.
É parte do risco de auditoria e deve ser reduzido a níveis aceitavelmente baixos.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.3.4.7 — Amostragem
[...] o risco de amostragem [...] é o risco de que a conclusão baseada na amostra seja inadequada, ou seja, diferente da conclusão obtida se o procedimento fosse aplicado em toda a população. [...] O risco de amostragem é influenciado pelo plano amostral utilizado e pelo tamanho da amostra, de forma que para um mesmo plano amostral, em geral, quanto maior for o tamanho da amostra menor o risco de amostragem.
Papéis do planejamento
O planejamento auxilia o auditor a dedicar atenção apropriada às áreas mais importantes, a elaborar cronogramas realistas e a identificar e resolver tempestivamente problemas potenciais.
CERTO. O planejamento contribui diretamente para a efetividade e a qualidade dos trabalhos, organizando os recursos e facilitando a supervisão e a revisão.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · Cap. 4 — Planejamento da UAIG
Na auditoria, o planejamento cumpre os seguintes papéis [...]: [...] c) permite a elaboração de cronogramas de trabalho realistas; d) auxilia o auditor a dedicar atenção apropriada às áreas mais importantes da auditoria; [...] g) auxilia o auditor a identificar e a resolver tempestivamente problemas potenciais [...].
Tipos de controle por função
Quanto à função, o controle preventivo impede a ocorrência de eventos indesejados, enquanto o controle detectivo não impede a ocorrência, mas detecta a materialização do risco e alerta a gestão.
O preventivo atua antes do evento; o detectivo atua após, provocando a gestão a adotar ações corretivas.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · Glossário — verbetes Controle preventivo e Controle detectivo
Controle preventivo: são os controles que impedem a ocorrência de eventos indesejados. Controle detectivo: são os controles que detectam a materialização de eventos de risco, contudo não impedem a sua ocorrência. Alertam sobre a existência de problemas ou desvios do padrão, com o objetivo de provocar a gestão para adotar as ações corretivas.
Segregação de funções
A segregação de funções consiste em separar entre pessoas diferentes as responsabilidades de registro, autorização e aprovação de transações, bem como o manuseio dos ativos relacionados.
CERTO. Reduz o risco de erros ou de ações inadequadas ou fraudulentas e é avaliada na identificação dos controles internos.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · Glossário — verbete Segregação de funções
Segregação de funções: consiste na separação de funções de tal forma que estejam segregadas entre pessoas diferentes, a fim de reduzir o risco de erros ou de ações inadequadas ou fraudulentas. Geralmente implica dividir as responsabilidades de registro, autorização e aprovação de transações, bem como de manuseio dos ativos relacionados.
Componentes do risco de auditoria
O risco de controle é o risco de que um erro material não seja evitado ou detectado tempestivamente pelos controles internos da entidade; o risco de detecção é o risco de que os procedimentos do auditor não detectem uma distorção relevante existente.
Diferente do risco inerente (exposição sem considerar ações gerenciais), o risco de detecção é o único diretamente controlado pelo auditor por meio da natureza, época e extensão dos procedimentos.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · Glossário — verbetes Risco de controle e Risco de detecção
Risco de controle: risco de que um erro ou classificação indevida materiais que possam constar de uma afirmação não sejam evitados ou detectados tempestivamente pelos controles internos da entidade. Risco de detecção: é o risco de que os procedimentos executados pelo auditor [...] não detectem uma distorção existente que possa ser relevante [...].
Características do planejamento
O planejamento da auditoria é um processo dinâmico, contínuo e flexível, podendo ser ajustado durante a execução desde que com a anuência do responsável pela sua aprovação.
CERTO. A flexibilidade permite ajustes quando há alterações significativas no contexto ou novas informações, sempre com anuência do responsável pela aprovação.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · Cap. 4 — Planejamento da UAIG
O planejamento, portanto, consiste em um processo dinâmico e contínuo [...]. Por tudo isso, o planejamento deve também ser flexível. Isso significa que poderá ser ajustado, durante a sua execução, desde que com a anuência do responsável pela sua aprovação, sempre que houver alterações significativas no contexto do trabalho ou novas informações [...].
Etapas do plano baseado em riscos
As etapas recomendadas para o desenvolvimento do plano baseado em riscos são: entendimento da Unidade Auditada, definição do universo de auditoria, avaliação da maturidade da gestão de riscos e seleção dos trabalhos com base em riscos.
CERTO. Essas quatro etapas devem ser documentadas à medida que executadas e antecedem a seleção dos trabalhos prioritários.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.1 — Plano de Auditoria Interna baseado em riscos
Para o desenvolvimento do plano baseado em riscos, é recomendável que a UAIG observe as seguintes etapas, as quais devem ser devidamente documentadas, à medida que forem executadas: a) entendimento da Unidade Auditada; b) definição do universo de auditoria; c) avaliação da maturidade da gestão de riscos; d) seleção dos trabalhos de auditoria com base em riscos.
Abordagens de entendimento
Na etapa de entendimento, a abordagem top-down (de cima para baixo) começa pela identificação dos objetivos organizacionais, enquanto a abordagem bottom-up (de baixo para cima) começa pelo exame das atividades.
A top-down parte da unidade rumo aos processos; a bottom-up agrega atividades em processos e depois identifica seus objetivos.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.1.1 — Entendimento da Unidade Auditada
A abordagem “de cima para baixo” se inicia no nível da unidade. Primeiramente, identificam-se os objetivos organizacionais e, em seguida, os processos principais relacionados a cada um desses objetivos [...]. A abordagem “de baixo para cima” começa pelo exame das atividades. Em seguida, essas atividades são agregadas em processos [...]. O próximo passo é determinar os principais objetivos dos processos identificados.
Universo de auditoria
O universo de auditoria é o conjunto de objetos sobre os quais a UAIG pode realizar suas atividades, e os objetos só podem ser comparados entre si quando estiverem no mesmo nível hierárquico.
CERTO. Recomenda-se registrar os objetos em estrutura de árvore; não se deve comparar um processo com uma etapa de outro processo, por estarem em níveis diferentes.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.1.2 — Definição do universo de auditoria
O universo de auditoria consiste no conjunto de objetos sobre os quais a UAIG pode realizar suas atividades [...]. Preferencialmente, os objetos de auditoria devem ser registrados de forma hierárquica, em uma estrutura de árvore [...]. Para que um objeto possa ser comparado com outros, porém, é necessário que estejam no mesmo nível hierárquico, ou seja; não se deve, por exemplo, comparar um processo com uma etapa de outro processo.
Maturidade e estratégia
Quando a gestão de riscos está incorporada às operações da Unidade Auditada e o cadastro é confiável, a UAIG pode utilizar esse cadastro de riscos como insumo para o Plano de Auditoria Interna.
CERTO. Em maturidade alta, a UAIG aproveita o cadastro da unidade; em maturidade inexistente ou incipiente, usa método alternativo (fatores de risco ou riscos identificados pela própria UAIG).
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.1.3 — Avaliação da maturidade da gestão de riscos (Quadro 2)
Gestão de riscos e controles internos incorporados às operações da Unidade Auditada → a UAIG utiliza o cadastro de riscos da Unidade Auditada, se julgá-lo confiável. Inexistência de abordagem formal de gestão de riscos ou processo incipiente → a UAIG utiliza método de planejamento alternativo, por exemplo, baseado em fatores de riscos ou a partir de riscos identificados pela própria UAIG.
Avaliação dos riscos
A magnitude (nível) de um risco costuma ser estimada com base em dois critérios: o impacto do evento e a sua probabilidade de ocorrência.
A avaliação pode usar métodos qualitativos e quantitativos, e outros critérios como vulnerabilidade e velocidade do impacto.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.1.4.2.2 — Avaliação dos riscos
[...] busca-se estimar a sua magnitude (nível de risco) com base, por exemplo, nos critérios do impacto do evento e sua probabilidade de ocorrência. Essa avaliação pode ser realizada por meio de métodos qualitativos e quantitativos. [...] a UAIG pode basear sua análise em outros critérios, como vulnerabilidade e velocidade do impacto [...].
Fatores de risco
Materialidade, número de denúncias recebidas e tempo desde a última auditoria são exemplos de fatores de risco quantitativos.
CERTO. Os fatores quantitativos podem ser mensurados; já impacto social, gravidade dos achados e relevância estratégica do objeto são exemplos de fatores qualitativos.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.1.4.3.1 — Definição dos fatores de risco
Os fatores de risco podem ser quantitativos ou qualitativos. O que caracteriza os critérios quantitativos é que podem ser mensurados em alguma medida, tais como número de denúncias recebidas, materialidade [...], tempo desde a última auditoria realizada [...]. Já os critérios qualitativos [...]: o impacto social e ambiental [...], a gravidade dos achados das últimas auditorias, a relevância daquele objeto específico para o alcance dos objetivos estratégicos [...].
Aprovação do plano
A proposta de Plano de Auditoria Interna das Audin deve ser encaminhada ao órgão ou unidade do SCI responsável pela supervisão técnica (CGU, Ciset ou unidade setorial), que pode recomendar a inclusão ou exclusão de trabalhos.
CERTO. A ausência de manifestação tempestiva do supervisor não impede a aprovação interna pelo conselho ou pela alta administração; depois, dá-se ciência da versão final ao supervisor técnico.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.1.8 — Comunicação e aprovação do Plano de Auditoria Interna
A proposta de Plano de Auditoria Interna das Audin [...] deve ser encaminhada ao órgão ou à unidade do SCI responsável pela sua supervisão técnica (CGU, Ciset ou unidade setorial [...]), o qual deve se manifestar [...] e recomendar, quando necessária, a inclusão ou a exclusão de trabalhos [...]. A ausência de manifestação tempestiva [...] não impede a [...] aprovação interna do planejamento pelo conselho ou [...] pela alta administração. Após a aprovação [...], as Audin deverão dar ciência de sua versão final ao órgão ou unidade do SCI responsável pela sua supervisão técnica.
Planejamento dos trabalhos individuais
O planejamento dos trabalhos individuais compreende a análise preliminar do objeto, a definição dos objetivos e do escopo e a elaboração do programa de trabalho.
CERTO. É fundamental que todos os membros da equipe participem ativamente dessa etapa, contribuindo com seus conhecimentos.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.3 — Planejamento dos trabalhos individuais de auditoria
A IN SFC nº 3, de 2017, prevê a necessidade de se considerarem [...]: a) análise preliminar do objeto da auditoria; b) definição dos objetivos e do escopo do trabalho [...]; c) elaboração do programa de trabalho. É fundamental que todos os membros da equipe participem dessa etapa ativamente, de forma que todos contribuam com seus conhecimentos e experiências [...].
Objetivos e escopo
Os objetivos do trabalho consistem nas questões que a auditoria pretende responder, enquanto o escopo declara o foco, a extensão e os limites da auditoria.
Escopo e objetivos devem ser compatibilizados: a amplitude do escopo deve ser suficiente para atingir os objetivos.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.3.2 — Objetivos e escopo do trabalho de auditoria
Os objetivos consistem basicamente nas questões a que a auditoria pretende responder. [...] o escopo deve apresentar uma clara declaração do foco, da extensão e dos limites da auditoria, e sua amplitude deve ser suficiente para que os objetivos da auditoria sejam atingidos. Escopo e objetivos, portanto, devem ser compatibilizados.
Programa de trabalho
O programa de trabalho de avaliação deve conter as questões de auditoria, os critérios de auditoria e as técnicas, a natureza e a extensão dos testes, e deve ser aprovado formalmente pelo supervisor do trabalho.
CERTO. Os critérios de auditoria são referenciais (padrão razoável e atingível) para avaliar se a situação atende ao esperado; o programa pode ser ajustado com anuência do supervisor.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.3.3 — Elaboração do programa de trabalho
No programa de trabalho de avaliação, devem constar: a) as questões (e subquestões) de auditoria [...]; b) os critérios de auditoria, que constituem referenciais para avaliar se a situação a ser avaliada atende ao esperado [...] (padrão razoável e atingível de desempenho) [...]; c) as técnicas, a natureza e a extensão dos testes [...]. O programa de trabalho deve ser aprovado formalmente pelo supervisor do trabalho, podendo ser ajustado [...] mediante a anuência do supervisor [...].
Técnicas de identificação de riscos
Entre as técnicas de identificação de riscos estão brainstorming, técnica Delphi, análise SWOT, listas de verificação e análise de causa e efeito.
A Norma ABNT NBR ISO 31010 orienta a seleção e aplicação dessas técnicas.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.1.4.2.1 — Identificação dos riscos
Entre as técnicas passíveis de serem utilizadas pela UAIG nessa etapa, estão incluídas: a) Brainstorming; b) Entrevistas estruturadas ou semiestruturadas; c) Técnica Delphi; d) Listas de verificação; [...] g) Análise de causa e efeito; [...] i) Análise de SWOT [...]. (A Norma ABNT NBR ISO 31010 fornece orientações sobre a seleção e aplicação dessas técnicas.)
Trabalhos obrigatórios
Para os trabalhos de auditoria de realização obrigatória (por lei ou demanda de autoridade), não há avaliação de riscos no momento de elaboração do plano, pois eles devem ser realizados independentemente da análise de riscos.
CERTO. Esses trabalhos são considerados prioritariamente; a avaliação de risco, se a legislação permitir, pode ocorrer na etapa de planejamento dos trabalhos individuais.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.1.5.1 — Trabalhos de realização obrigatória
Essas avaliações obrigatórias devem constar do plano. No entanto, sobre esses objetos, não há que se falar em avaliação de riscos no momento de elaboração do plano de auditoria, uma vez que, de forma independente da análise dos riscos, os trabalhos devem ser realizados. Nesses casos, a avaliação do risco poderá ocorrer, caso a legislação permita, na etapa de planejamento dos trabalhos individuais [...].
Formalização do trabalho
O trabalho de auditoria é formalizado internamente por documento expedido pelo responsável pela UAIG, cuja nomenclatura mais comum é Ordem de Serviço, tendo como destinatários os auditores.
Esse documento traz a síntese das diretrizes do trabalho; também é necessário comunicar formalmente o trabalho à Unidade Auditada.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.2 — Formalização do trabalho de auditoria
Antes de ser iniciado, o trabalho de auditoria deve ser formalizado internamente por meio de documento expedido pelo responsável pela UAIG [...]. Em relação à nomenclatura, é mais comum a utilização de Ordem de Serviço. [...] Essa formalização visa à organização interna e tem como destinatários os auditores. Há, entretanto, a necessidade de que o trabalho seja comunicado formalmente também à Unidade Auditada [...].
Risco residual
O risco residual é aquele que permanece após a implantação da resposta da administração (controles); por exemplo, um risco inerente grau 10 com controles muito fracos grau 2 resulta em risco residual 8.
CERTO. O risco residual decorre do risco inerente descontado do nível de controle, sendo fundamental para definir os testes de auditoria.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.3.2.1.3 — Identificação e avaliação preliminar dos controles internos
Após a identificação do risco inerente e a identificação do nível de controle, é possível concluir o nível de risco residual, isto é, aquele que permanece após a implantação da resposta da administração. Por exemplo: se a um risco inerente foi atribuído o grau 10 (muito alto) e os controles para esse risco forem considerados muito fracos, grau 2, tem-se o risco residual 8, também bastante alto.
Testes de controle
Os testes de controle avaliam o desenho e a efetividade operacional dos controles, ou seja, se eles realmente impedem ou revelam falhas e se estão funcionando da forma estabelecida.
CERTO. As técnicas usadas para testar controles incluem observação, indagação, análise documental e reexecução de controle, isoladas ou combinadas.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.3.4.4 — Testes de controle
Os testes de controle são aqueles que avaliam o desenho e a efetividade operacional dos controles, ou seja, se os controles realmente impedem ou revelam a ocorrência de falhas nas atividades controladas e se eles estão funcionando da forma estabelecida. [...] As técnicas geralmente usadas para testar o desenho dos controles [...] são observação, indagação, análise documental ou uma combinação delas, teste de reexecução de controle, entre outras.
Observação
A observação consiste no exame de processo ou procedimento executado por outros, geralmente servidores da Unidade Auditada, para averiguar se opera em conformidade com os critérios definidos.
Não deve ser confundida com a inspeção: observar pessoas/procedimentos é observação; examinar os itens diretamente é inspeção. Por ser limitada no tempo e sujeita à mudança de comportamento, deve ser corroborada por outras fontes.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.3.4.6.2 — Observação
[A observação] consiste no exame de processo ou de procedimento executado por outros, normalmente empregados/servidores da Unidade Auditada, com a finalidade de averiguar se o item sob exame opera em conformidade com os padrões (critérios) definidos. [...] A observação não deve ser confundida com a inspeção física. [...] as provas coletadas por esse meio devem ser corroboradas por outras fontes.
Recálculo
O recálculo consiste na verificação da exatidão matemática de cálculos efetuados pela Unidade Auditada ou por terceiros, mas prova apenas a exatidão matemática, não a validade dos algarismos das bases examinadas.
CERTO. Para validar os algarismos que compõem as bases são necessários outros tipos de testes.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.3.4.6.6 — Recálculo
Essa técnica consiste na verificação da exatidão matemática de cálculos efetuados pela própria Unidade Auditada ou por terceiros. [...] O auditor deve estar atento ao fato de que a conferência dos cálculos prova apenas a exatidão matemática das operações; para determinar a validade dos algarismos que compõem as bases examinadas, são necessários outros tipos de testes.
Etapas do planejamento
O planejamento da auditoria interna divide-se em duas etapas: a definição do Plano de Auditoria Interna baseado em riscos e o planejamento dos trabalhos individuais de auditoria.
A primeira identifica os trabalhos prioritários da UAIG; a segunda detalha cada trabalho específico previsto no plano.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · Cap. 4 — Planejamento da UAIG
De acordo com a IN SFC nº 3, de 2017, o planejamento da auditoria interna se divide em duas etapas: a) definição do Plano de Auditoria Interna baseado em riscos (etapa de identificação dos trabalhos a serem realizados prioritariamente pela UAIG); b) planejamento dos trabalhos (individuais) de auditoria.
Análise preliminar — objeto
O objeto selecionado em uma auditoria normalmente é um processo, entendido como um conjunto de atividades sequenciadas que transformam insumos em produtos e serviços.
Recomenda-se o desenho (mapeamento) do processo para visualizar participantes, controles, lacunas e riscos.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.3.1.1 — Mapeamento/validação do objeto selecionado
O objeto selecionado em uma auditoria normalmente é um processo. Entende-se por processo um conjunto de atividades sequenciadas e relacionadas entre si que têm como finalidade transformar insumos em produtos e serviços. [...] recomenda-se o desenho do processo a ser auditado [...], o qual permite que se enxerguem com maior facilidade seus participantes e suas atribuições, os controles existentes, as oportunidades de melhoria [...] e [...] os riscos que ameaçam os objetivos do objeto da auditoria.
Controles-chave e testes
Riscos inerentes altos com controles fracos ou inexistentes são avaliados por meio de procedimentos substantivos, enquanto controles-chave com desenho adequado são avaliados por testes de controle.
CERTO. Os controles-chave (capazes de reduzir um risco inerente alto a um risco residual baixo) entram no escopo e prevalecem os testes de controle; sem controles adequados, usam-se procedimentos substantivos.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.3.2.2 — Definição dos objetivos e do escopo do trabalho
Os controles que comporão o escopo serão os controles internos chave, ou seja, aqueles capazes de, em uma situação de risco inerente alto, atuar para que o risco residual seja baixo. [...] Os testes que prevalecerão [...] serão os testes de controle. Pode haver, entretanto, riscos inerentes altos com controles fracos ou inexistentes. Nesse caso, [...] será realizada por meio de procedimentos substantivos [...].
Inspeção
A inspeção consiste na verificação de registros, documentos ou ativos e permite ao auditor formar opinião quanto à existência física do item examinado.
CERTO. Na inspeção física a evidência é coletada sobre bens tangíveis, verificando existência, atributos, estado de conservação e correspondência com os registros.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.3.4.6.1 — Inspeção
A inspeção consiste na verificação de registros, de documentos ou de ativos, que proporcionará ao auditor [...] a formação de opinião quanto à existência física do objeto ou do item examinado. [...] Na inspeção física, a evidência é coletada sobre bens tangíveis. [...] pode ser utilizada também para verificar os atributos de um objeto, como [...] o estado de conservação de um bem [...].
Tipos de entrevista
A indagação oral (entrevista) pode ser livre (não estruturada), semiestruturada ou estruturada, conforme o grau de rigidez do roteiro.
As informações da indagação oral não são consideradas suficientemente objetivas, pois costumam vir de servidores da unidade; por isso devem ser ratificadas por outros procedimentos.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.3.4.6.5 — Indagação
Existem diferentes tipos de entrevista: a) livre ou não estruturada: realizada sem roteiro prévio ou com roteiro simplificado [...]; b) semiestruturada: realizada mediante um roteiro previamente estabelecido [...]; c) estruturada: baseada em roteiro fixo, com perguntas bem definidas. [...] as informações obtidas por meio das indagações orais não [são] consideradas suficientemente objetivas ou imparciais, inclusive porque [...] se originam de empregados/servidores da Unidade Auditada, não de fonte independente.
TAAC
As Técnicas de Auditoria Assistidas por Computador (TAAC) permitem ampliar a cobertura das amostras, possibilitando analisar dados de toda a população e diminuindo o risco de opinião equivocada.
CERTO. As ferramentas de TAAC classificam-se em generalistas, especializadas e de utilidade geral, e melhoram a eficácia e a eficiência da auditoria.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.3.4.6.11 — Técnicas de Auditoria Assistidas por Computador (TAAC)
As Técnicas de Auditoria Assistidas por Computador (TAAC) [...]. Os principais benefícios [...]: [...] a ampliação da cobertura das amostras, ou seja, possibilitam que dados de toda a população sejam analisados, o que diminui o risco de emissão de opinião equivocada pelo auditor [...]. As ferramentas de TAAC podem ser classificadas [...]: a) generalistas; b) especializadas; c) de utilidade geral.
Documentação do entendimento
Os papéis de trabalho que documentam o entendimento do objeto auditado devem permitir que outra pessoa qualificada, sem contato anterior com o objeto, possa compreendê-lo, e devem ser arquivados como papel de trabalho permanente.
Essas informações servem de subsídio para outras auditorias sobre a mesma Unidade Auditada.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.3.1.2 — Documentação do entendimento
É necessário organizar os papéis de trabalho utilizados para obtenção do entendimento do objeto auditado, de modo a possibilitar que outra pessoa com conhecimento suficiente das práticas de auditoria interna governamental, que não teve contato anterior com o objeto, possa compreendê-lo. [...] sugere-se que sejam organizadas e arquivadas como papel de trabalho permanente.
Procedimentos analíticos
Conforme a NBC TA 520, os procedimentos analíticos consistem em avaliações de informações por meio da análise das relações plausíveis entre dados financeiros e não financeiros.
Sua premissa é que as relações entre informações tendem a se manter, salvo situações como erros, fraudes ou eventos não usuais; inconsistências exigem outros procedimentos.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.3.4.6.7 — Procedimentos analíticos
Conforme estabelece a NBC TA 520, os procedimentos analíticos consistem em “avaliações de informações contábeis por meio de análise das relações plausíveis entre dados financeiros e não financeiros [...]”. Uma de suas premissas é que as relações entre as informações existem e tendem a se manter, a menos que ocorram situações que provoquem alguma alteração [...] (erros; fraude; ou atos ilegais).
Tipos de amostragem
Na amostragem probabilística, a seleção é feita por sorteio aleatório e os resultados podem ser generalizados para toda a população; na não-probabilística, a seleção é subjetiva e os resultados não podem ser generalizados.
CERTO. A amostragem probabilística é sempre recomendável; a não-probabilística tem aplicabilidade restrita a análises pontuais, válidas apenas para os itens selecionados.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.3.4.7 — Amostragem
a) amostragem probabilística: a seleção é feita por sorteio aleatório [...]. Os resultados da amostra podem ser generalizados para toda a população [...]; b) amostragem não-probabilística: [...] a seleção é feita por critérios subjetivos [...]. Os resultados da amostra não podem ser generalizados para toda a população [...]. Em geral, o uso da amostragem probabilística é sempre recomendável, enquanto que a amostragem não-probabilística tem aplicabilidade restrita a análises pontuais.
Controle corretivo e diretivo
O controle corretivo corrige os efeitos negativos de eventos indesejados, enquanto o controle diretivo causa ou incentiva a ocorrência de um evento desejável, como treinamentos e manuais.
CERTO. Há ainda o controle compensatório (reduz o risco quando os primários são ineficazes) e o complementar (trabalha junto com outros para reduzir o risco a nível aceitável).
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · Glossário — verbetes Controle corretivo, diretivo, compensatório e complementar
Controle corretivo: são os controles que corrigem os efeitos negativos de eventos indesejados. Controle diretivo: causam ou incentivam a ocorrência de um evento desejável (ex.: treinamento de funcionários, manuais). Controle compensatório: são controles que podem reduzir o risco quando os controles primários são ineficazes. Controle complementar: são os controles que trabalham junto com outros controles para reduzir o risco a um nível aceitável.
Rastreamento e Vouching
No rastreamento, parte-se do documento para verificar se a transação foi registrada (afirmações de integridade); no vouching, parte-se da transação registrada para verificar se há documentação de base (afirmações de existência/ocorrência).
São executados em sentidos opostos; o rastreamento detecta quantias lançadas a menor e o vouching detecta lançamentos a maior.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.3.4.6.9 — Rastreamento e Vouching
No rastreamento, o auditor primeiramente seleciona documentos que representam transações e, posteriormente verifica se aquelas transações foram de fato registradas no sistema contábil; no vouching, o auditor seleciona primeiramente as transações e, em seguida, verifica se existe de fato a documentação que lhe serve de base [...]. A primeira ajuda a detectar quantias lançadas a menor [...] (afirmações de integridade). A segunda possibilita a detecção de lançamentos a maior [...] (afirmações de existência ou ocorrência).
Alocação da equipe
Ao final da etapa de planejamento, o supervisor deve reavaliar se as estimativas de recursos, custos e prazo estão compatíveis e se a equipe designada dispõe da proficiência necessária.
CERTO. Caso a equipe não tenha a proficiência exigida, o supervisor deve proceder a ajustes e atualizar os papéis de trabalho de planejamento.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.3.5 — Alocação da equipe de auditoria
Ao final da etapa de planejamento, o supervisor do trabalho deve reavaliar se as estimativas iniciais de recursos, custos e prazo para realização da auditoria estão compatíveis com as atividades a serem realizadas. Ainda, deve verificar se a equipe inicialmente designada dispõe da proficiência necessária [...]. Caso negativo, deve proceder a ajustes [...]. Se houver alterações, é necessário [...] que as respectivas informações sejam atualizadas nos papéis de trabalho de planejamento.
Extensão e profundidade
A extensão e a profundidade das operações a serem examinadas são determinadas pelo auditor com base na complexidade e no volume das operações, na natureza do item, nos principais riscos e na avaliação preliminar dos controles.
O auditor deve ainda verificar se todos os itens do universo sob análise precisam ser revisados com a mesma extensão e profundidade.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.3.4.1 — Extensão e profundidade
Cabe ao auditor interno governamental determinar, de acordo com cada caso específico, a extensão e a profundidade de operações a serem examinadas. Para tanto, deve se basear: a) na complexidade e no volume das operações; b) na natureza do item em exame; c) nos principais riscos e na avaliação preliminar dos controles a eles relacionados; d) no grau de segurança e no tipo de evidência que pretende obter [...].
Época dos procedimentos
A época diz respeito ao período apropriado para a aplicação dos procedimentos de auditoria, sendo o benefício do procedimento maior ou menor conforme o momento de sua aplicação seja oportuno ou não.
CERTO. Junto com a extensão e a natureza, a época é um dos fatores considerados na escolha dos procedimentos durante o planejamento.
Referência
Manual de Orientações Técnicas — Auditoria Interna Governamental
CGU/SFC, 2017 · item 4.3.4.2 — Época
A época diz respeito ao período apropriado para a aplicação dos procedimentos de auditoria. O benefício proporcionado pela utilização de determinado procedimento será maior ou menor em decorrência de o momento de sua aplicação ser oportuno ou não.