A Auditoria Interna é uma atividade relevante para o fortalecimento da governança das organizações públicas e privadas. Ao longo dos últimos anos ela vem aumentando a sua abrangência (escopo de atuação) e direcionando esforços e recursos para os RISCOS RELEVANTES DA ORGANIZAÇÃO QUE PODEM AFETAR NA CONSECUÇÃO DOS OBJETIVOS, de forma a agregar valor e benefícios para os “stakeholders”, além de contribuir para a sustentabilidade dos negócios.
Na esfera pública, a Instrução Normativa Nº 09, de 9 de outubro de 2018 estabelece a sistemática para elaboração, comunicação e aprovação do Plano Anual de Auditoria Interna – PAINT e para elaboração e comunicação do Relatório Anual de Atividades de Auditoria Interna – RAINT das Unidades de Auditoria Interna Governamental do Poder Executivo Federal (UAIG), nos termos da Instrução Normativa SFC nº 03, de 09 de junho de 2017.
Na elaboração do PAINT a Unidade de Auditoria Interna Governamental (UAIG) deve considerar o planejamento estratégico, as expectativas da Alta Administração e demais partes interessadas, os RISCOS SIGNIFICATIVOS a que a organização está exposta e os processos de governança, de gerenciamento de riscos e de controles internos. Dessa forma, é importante que a Auditoria Interna defina uma estratégia para se obter uma avaliação sistêmica dos processos supracitados, em harmonia com as estratégias e os objetivos de negócios.
Um componente-chave na definição do PAINT, que pode subsidiar a formulação da estratégia, é a Gestão de Riscos. Em linhas gerais, a definição da estratégia de auditoria dependerá do nível de maturidade da gestão de riscos da empresa, ou seja, o grau em que a organização se encontra em relação à adoção e à aplicação da abordagem de gestão de riscos.
Se o processo de gerenciamento de riscos está formalizado, se os princípios, a estrutura e os processos de gestão de riscos existem e estão integrados aos processo de gestão, Auditoria Interna poderá utilizar o cadastro de riscos (Matriz de Riscos Corporativos) como insumos para o planejamento do PAINT. Caso a organização não tenha instituído um processo formal ou, ainda, que já tenha instituído, mas o cadastro de risco é incipiente, a UAIG poderá selecionar os trabalhos de auditoria utilizando, por exemplo, umas das seguintes abordagens:
· Seleção dos trabalhos com base na avaliação de riscos realizada pela própria UAIG; ou
· Seleção dos trabalhos com base em fatores de risco.
Em ambos os casos supracitados, de acordo com o Manual de Orientações Técnicas da CGU, deve ficar claro para todas as partes envolvidas que a relação dos riscos a ser construída pela UAIG tem por finalidade servir de base para a priorização dos trabalhos de auditoria, e que, ainda que possa contribuir para o gerenciamento de riscos da organização, não substitui a responsabilidade da Alta Administração, do Conselho (se houver) e dos gestores nesse processo.
Um requisito fundamental, é a definição e formalização de critérios de riscos, de modo que a UAIG possa atribuir os pontos aos objetos de auditoria mapeados e consolidar os resultados em uma ou mais matrizes de riscos, com o auxílio de alguma metodologia de normalização, que permita a sua comparabilidade com base em premissas estabelecidas.
Após a contabilização da pontuação dos objetos de auditoria com base na avaliação de riscos, estes devem ser ordenados de forma que aqueles que receberam maior “nota” sejam considerados prioritários.
A fim de permitir a harmonização do planejamento das UAIG, a racionalização de recursos e evitar a sobreposição de trabalhos, a proposta de PAINT baseada em riscos deve ser encaminhada ao órgão responsável pela supervisão técnica e às demais partes interessadas, as quais devem se manifestar sobre o Plano recebido, em tempo hábil, e recomendar, quando necessária, a inclusão ou a exclusão de trabalhos específicos.
* William Bini é IT Internal Auditor da Dataprev, bacharel em Tecnologia da Informação pela Universidade da Cidade e possui pós-graduação em Gestão da Segurança da Informação pela Universidade Gama Filho
