Como aplicar a nova instrução de PAINT e RAINT nas auditorias internas

O processo de planejamento e gestão das auditorias internas dos institutos federais foi reformulado no final de 2015. As novidades originaram um novo cenário para o qual as auditorias internas devem estar preparadas.

A Instrução Normativa nº 24, de 17 de novembro de 2015, da CGU (Controladoria-Geral da União), teve três focos distintos:

  1. elaboração e monitoramento do PAINT (Plano Anual de Auditoria Interna), dos trabalhos de auditoria e do RAINT (Relatório Anual de Auditoria Interna) (art. 1º)
  2. atribuição às unidades de auditoria interna dos entes federais da tarefa de auxiliar os órgãos de controle interno, no caso, a CGU (art. 18)
  3. atribuição à CGU, como órgão central do sistema de controle interno do Poder Executivo Federal, da solução de casos omissos (art. 20)

O primeiro tópico é o mais relevante e ocupa a quase totalidade da instrução normativa.

A IN CGU nº 24/2015 revoga integralmente a IN CGU nº 07/2006, que regulava a elaboração do PAINT e do RAINT (art. 22 c/c art. 21).

PAINT (Plano Anual de Auditoria Interna)

O PAINT tem por finalidade definir temas e macroprocessos que poderão constituir objeto de auditoria no exercício subsequente. Não podem ser incluídos atos de gestão (art. 2º, caput e § 2º).

A elaboração do PAINT toma por base os princípios da segregação de funções e da independência da atividade de auditoria interna (art. 2º, § 1º), e a consulta a documentações organizacionais, tais como (art. 3º):

  • planejamento estratégico
  • estrutura de governança
  • programa de integridade
  • gerenciamento de riscos corporativos
  • controles existentes
  • planos, metas e objetivos específicos
  • programas e políticas organizacionais

Os conteúdos mínimos do PAINT são:

  • temas ou macroprocessos que poderão ser auditados (art. 4º, I)
  • matriz de riscos, com descrição de sua elaboração (art. 4º, I)
  • classificação de riscos dos temas ou macroprocessos que poderão ser auditados (art. 4º, I e § 1º)
  • seleção dos temas ou macroprocessos que serão auditados (art. 4º, II)
  • estimativa de horas que serão dedicadas à capacitação em cursos e eventos (art. 4º, III e § 2º)

O processo de elaboração e aprovação do PAINT segue as seguintes etapas:

  1. Elaboração da preliminar do PAINT pela Uadin (Unidade de Auditoria Interna) (art. 2º, caput)
  2. Envio da preliminar ao OCI (órgão de controle interno, que costumava ser a CGU, Controladoria-Geral da União) até o último dia útil de outubro (art. 5º), que terá 15 dias, contados do recebimento, para emitir parecer
  3. Aprovação da proposta de PAINT ao Conselho Superior até o último dia útil de dezembro (art. 7º)
  4. Envio do PAINT aprovado ao OCI e ao Colégio de Dirigentes até o último dia útil de fevereiro (art. 8º)

O parecer do OCI a respeito da preliminar do PAINT, caso demore, não serve de condição às demais etapas, por isto não justifica o atraso delas (art. 6º, § 1º). A Unidade de Auditoria Interna, em qualquer caso, deverá estudar o parecer do OCI e emitir um documento com justificativa das proposições que decidir recusar.

Para estabelecer estas fases, adotei as seguintes equivalências:

  • OCI → CGU
  • Conselho de Administração → Conselho Superior
  • Conselho Fiscal → Colégio de Dirigentes

Acredito que a boa prática resulte no seguinte processo:

  1. Elaboração da preliminar do PAINT pela Uadin
  2. Envio da preliminar ao OCI
  3. Estudo do parecer do OCI, com incorporação ou não de suas proposição
  4. Redação de documento com indicação das proposições aceitas e das proposições recusadas
  5. Encaminhamento ao Conselho Superior da proposta de PAINT, do parecer do OCI e do documento sobre suas proposições
  6. Aprovação do PAINT pelo Conselho Superior
  7. Atualização do documento sobre as proposições do OCI em razão das decisões do Conselho Superior
  8. Envio, ao OCI e ao Colégio de Dirigentes, de pacote composto por PAINT aprovado, parecer do OCI sobre a preliminar, documento sobre suas proposições, ata da deliberação do Conselho Superior, documento atualizado sobre as proposições do OCI

Auditorias

A IN CGU nº 24/2015 institui três tipos de documentos essenciais aos trabalhos de auditoria:

  • os projetos das auditorias (arts. 9º e 10)
  • os relatórios de auditoria (art. 11)
  • os informes e os resumos dos relatórios de auditorias (arts. 12 e 13)

Todos estes documentos têm sua elaboração como responsabilidade da Uadin.

Projetos das auditorias

A Uadin deve elaborar um projeto de auditoria para cada auditoria que será efetivamente realizada. A Uadin não deve elaborar projetos de auditorias se não tiver certeza que as realizará; por isto, e em atenção ao dispositivo do art. 9º, os projetos das auditorias serão elaborados ao longo da execução do PAINT.

A IN CGU nº 24/2015, art. 9º, prescreve seis componentes aos projetos de auditoria:

  1. Objetivos
  2. Escopo
  3. Prazo
  4. Questões de auditoria
  5. Alocação de recursos
  6. Práticas de avaliação dos controles internos

Parece coerente entender o escopo como a abrangência da auditoria, o que abarca as unidades analíticas elencadas no art. 10, § 1º: uma subsidiária, uma divisão, uma unidade operacional ou um macroprocesso.

A meu ver, a IN CGU nº 24/2015 tropeçou na forma de definir o processo de auditoria. Poderia ter recorrido ao vocabulário técnico da área de auditoria interna, caso em que teríamos as questões de auditoria como um dos procedimentos de auditoria possíveis, e não como um procedimento de auditoria obrigatório. Tal como está, a instrução normativa sugere a obrigatoriedade das questões de auditoria (também conhecidas como checklists, ou listas de verificação).

Outra vantagem que um vocabulário técnico teria trazido seria uma definição menos dúbia das práticas de avaliação dos controles internos. A instrução normativa não chega a defini-las, mas determina que sejam usadas as melhores e que considerem, no mínimo, os componentes de ambiente de controle, avaliação de riscos, atividades de controle, informação e comunicação, e atividade de monitoramento (art. 10, caput). Todos estão sucintamente definidos no art. 10, § 2º, e chegaram a ser retomados pela Instrução Normativa CGU/MPOG nº 01/2016, porém com definições mais extensas e em um contexto diferente, que é o da gestão de risco.

A relação entre a previsão pela IN CGU nº 24/2015 com a mesma previsão pela IN CGU/MPOG nº 01/2016 é algo a ser analisado futuramente. Por ora, ficam como tópicos de avaliação dos controles internos em uma auditoria.

Relatórios de auditoria

Se uma auditoria tem como marco inicial um projeto, ela tem como marco final um relatório. A IN CGU nº 24/2015 manteve-se sintética ao extremo no respeito aos relatórios de auditoria. Somente apontou, como seus componentes:

  1. Objetivos da auditoria
  2. Escopo da auditoria
  3. Critérios de análise
  4. Recomendações
  5. Conclusão, com base nos achados de auditoria

Informes e resumos dos relatórios de auditoria

Quando do encerramento de uma auditoria, marcado pela elaboração de um relatório de auditoria, a Uadin terá 30 dias para informar o OCI (que poderá requisitar o respectivo relatório, a qualquer tempo) e deverá encaminhar um resumo do relatório da auditoria ao Conselho Superior e ao Colégio de Dirigentes (arts. 12 e 13).

Parece boa prática que a Uadin envie, ao OCI como ao Conselho Superior e ao Colégio de Dirigentes, em 30 dias do encerramento de cada auditoria e em formato eletrônico, o resumo do do respectivo relatório.

RAINT (Relatório Anual de Auditoria Interna)

O RAINT tem por finalidade apresentar os resultados dos trabalhos da Uadin.

A IN CGU nº 24/2015 prescreve como seus conteúdos mínimos:

  • análise descritiva das auditorias realizadas previstas ou não no PAINT, bem como justificativa e, se for o caso, previsão de futura realização, das auditorias não realizadas, embora previstas no PAINT (art. 15, I, III e IV)
  • descrição das capacitações em cursos e eventos
  • análises descritivas da maturidade dos controles internos do instituto federal, do desempenho da Uadin e dos benefícios que esta aportou ao instituto federal (art. 15, II, V e VIII)
  • balanço de recomendações emitidas, implementadas, não implementadas e, para estas últimas, os prazos de futuro adimplemento

O RAINT deve emiti-lo a Uadin até o último dia útil de fevereiro do exercício subsequente ao exercício do PAINT (art. 16).

O processo de emissão do RAINT comporta as seguintes etapas:

  1. Elaboração do RAINT pela Uadin (art. 16)
  2. Apreciação pelo Conselho Superior (art. 16)
  3. Disponibilização ao OCI (art. 16)
  4. Publicação no portal institucional na web (art. 19)

Monitoramento

A IN CGU nº 24/2015 determina o monitoramento das auditorias através de dois instrumentos: um sistema e um relatório gerencial, ambos focados no adimplemento de recomendações de auditoria.

O sistema gerencial, preferencialmente informatizado (art. 17, caput), deve ser destinado ao acompanhamento das recomendações dos órgãos de controle interno e externo, o que inclui o TCU, a CGU e a Uadin; do Conselho Superior e do Colégio de Dirigentes; e de outros entes de fiscalização ou regulação com os quais o instituto federal se relacione.

Não parece plausível o desenvolvimento de um sistema tão amplo. Um sistema especializado nas recomendações da CGU e da Uadin, e nos acórdãos do TCU, pode ser mais promissor.

O relatório gerencial (art. 17, §§ 1º, 2º e 3º) deve ser elaborado pela Uadin e encaminhado ao Conselho Superior e disponibilizado ao OCI. Sua periodicidade será mensal e seu conteúdo compreenderá as recomendações emitidas, as recomendações atendidas, as recomendações desatendidas e as justificadas dos gestores para as recomendações desatendidas.