O gerenciamento de riscos e o novo papel da auditoria interna

riscos em auditoria interna

Duas inovações normativas trouxeram os riscos para o centro das atenções das Uadins (Unidades de Auditoria Interna) dos institutos federais.

Primeira: a Instrução Normativa nº 24/2015, emitida pela CGU (Controladoria-Geral da União) com o intuito de orientar a elaboração dos planos e relatórios anuais de auditoria interna (os PAINTs e os RAINTs, respectivamente). (Para saber mais a respeito, clique aqui.)

Segunda: a Instrução Normativa nº 01/2016, emitida pela CGU em parceria com o MPOG (Ministério do Planejamento, Orçamento e Gestão) com o intuito de introduzir o gerenciamento de riscos nos entes do Poder Executivo federal. (Para saber mais a respeito, clique aqui.)

Ambas as normativas têm despertado uma expectativa crescente acerca do papel das Uadins na definição do gerenciamento de riscos em institutos federais.

Em um whitepaper de 2009, o IIA (Institute of Internal Auditors) repartiu este papel em três tipos:

  • papel fundamental (“core internal audit roles”)
  • papel legítimo (“legitimate internal audit roles”)
  • papel ilegítimo (“roles internal audit should not undertake”)

A diferença entre eles, para o IIA, está na crescente prática de atos de gestão, que vai de zero no papel fundamental até um máximo intolerável no papel ilegítimo; no papel legítimo, a auditoria interna ocupa um meio termo delicado.

O “papel fundamental” pode corresponder a uma definição razoável de auditoria interna: uma auditoria interna é uma avaliação sistemática de uma situação em comparação com um critério. Não é a criação do critério, nem a implementação ou a manutenção dele.

O “papel legítimo” pode corresponder à participação da auditoria interna na prática de atos de gestão. Neste papel, a auditoria interna presta consultoria para o desenvolvimento da estrutura de gerenciamento de riscos.

O “papel ilegítimo” pode corresponder à prática de atos de gestão pela auditoria interna. Neste papel, a auditoria interna desempenharia atos de gestão tendentes ao estabelecimento e à manutenção da estrutura de gerenciamento de riscos.

Na visão do IIA, quanto mais a Uadin desempenhar os componentes do “papel legítimo”, que são atos de gestão, mais ela estará longe de seu “papel fundamental” e mais estará perto de seu “papel ilegítimo”.

A esse respeito, o IIA fez uma ressalva importante: o “papel legítimo” da auditoria implica a execução de atos de gestão, e, por isto, deve ser abreviado, restringido ou, de preferência, evitado.

O IIA recomenda que a auditoria interna desempenhe o papel legítimo exclusivamente se tiver larga experiência em seu papel fundamental e sólido domínio prático e teórico de gerenciamento de riscos.

O IIA também recomenda que os projetos de gerenciamento de riscos, tão logo sejam implementados pela unidade de auditoria interna, passem à responsabilidade da alta administração, que os assumirá daí em diante em sua integralidade.

A viabilidade da proposta do IIA para as Uadins, entretanto, requer alguma consideração.

Tenho a opinião de que a relação das Uadins com o gerenciamento de riscos deve limitar-se ao papel fundamental.

O TCU (Tribunal de Contas da União), no Acórdão TCU nº 1.089/2014, não apenas se posicionou contrário à prática de atos de gestão pelas Uadins, como trouxe dados preocupantes:

  • A prática de atos de gestão, em desrespeito à segregação de funções, acontece em 30% das Uadins de universidades e institutos federais
  • A avaliação dos controles internos é realizada por 33% das Uadins de universidades e institutos federais
  • Nenhuma das Uadins executava, em 2014, qualquer tipo de auditoria relacionada com o gerenciamento de riscos, até como consequência de nenhuma das universidades ou dos institutos federais adotar qualquer sistema de gestão de riscos

Isso quer dizer que as Uadins têm dificuldade de desempenhar seu papel fundamental e, provavelmente, não possuem experiência em gerenciamento de riscos o suficiente para desempenhar o papel legítimo apresentado no whitepaper do IIA.

De forma realista, o TCU posiciona-se assim a respeito da relação das Uadins com o gerenciamento de riscos:

“A maior interessada em realizar a avaliação e a gestão dos riscos deveria ser a própria administração, pois tais instrumentos apontariam as providências a serem tomadas a fim de evitar que vulnerabilidades não detectadas impeçam o atingimento dos objetivos da organização. A Audin deveria atuar na avaliação desses instrumentos, apontando as oportunidades de melhoria” (Acórdão TCU nº 1.089/2014, item 214).

Neste trecho, o TCU reiterou o que já expressara em um estudo de 2009, intitulado “Critérios Gerais de Controle Interno na Administração Pública”:

“A auditoria interna, que não deve ser confundida com controle interno ou com unidade de ou do controle interno, é um controle da própria gestão que tem por atribuição medir e avaliar a eficiência e eficácia de outros controles. Importa destacar que não cabe à auditoria interna estabelecer estratégias para gerenciamento de riscos ou controles internos para mitigá-los, pois estas são atividades próprias dos gestores. Cabe-lhe avaliar a qualidade desses processos.” (p. 7)

Acredito que, levando em conta o que eu falei até aqui, há como reorganizar os componentes dos papeis “fundamental”, “legítimo” e “ilegítimo” de forma condizente com a situação em geral das Uadins.

As Uadins poderiam tomar as seguintes medidas com relação ao gerenciamento de riscos dos institutos federais:

  • Avaliar, por meio de auditoria, a estrutura de gerenciamento de riscos com relação ao referencial empregado em sua elaboração (obrigatoriamente a Instrução Normativa CGU/MPOG nº 01/2016, e opcionalmente algum outro)
  • Avaliar, por meio de auditoria, a execução dos procedimento de gerenciamento de riscos
  • Opinar, por meio de parecer, sobre a estrutura de gerenciamento de riscos que for submetida à aprovação do Conselho Superior
  • Promover, por meio de consultoria, o conhecimento acerca da existência de referenciais de gerenciamento de riscos

Porém, as Uadins não deveriam:

  • Preparar ou treinar a alta administração a reagir a riscos ou a gerenciar riscos
  • Treinar a alta administração acerca de referenciais de gerenciamento de riscos
  • Coordenar ou desempenhar atividades de projeto, execução ou implementação de ERM (Enterprise Risk Management, ou Estrutura de Gestão de Riscos Corporativos)

Em síntese: cabe às Uadins realizar auditorias da estrutura e do gerenciamento de riscos elaborados e implementados pela alta administração dos institutos federais. Tal é a abordagem do IIA para auditoria de riscos, que mostrei nesta outra postagem.

Veja também:

Crédito da imagem: Abigail Keenan do Unsplash