Agilidade combina com seleção de auditorias?

Mostro uma matriz de seleção de auditorias caracterizada pela agilidade e pelo uso de critérios de riscos.

Por que riscos para seleção de auditorias?

A Instrução Normativa CGU nº 24/2015 converteu os riscos em um critério obrigatório para a seleção dos temas das auditorias.

A matriz de seleção de auditorias, de acordo com a norma, deve conter:

  • Os temas que poderão ser auditados (art. 4º, I)
  • A matriz de riscos, com descrição de sua elaboração (art. 4º, I)
  • A classificação de riscos dos temas que poderão ser auditados (art. 4º, I e § 1º)
  • A seleção dos temas que serão auditados (art. 4º, II)

Isso quer dizer que, na elaboração dos PAINTs (Planos Anuais de Auditoria Interna), as Uadins (unidades de auditoria interna) dos institutos federais precisam utilizar critérios de risco para selecionar os temas das auditorias do próximo exercício.

Leia também:

Visão geral da matriz de auditorias

Você deve conhecer a Matriz de Auditorias pela longa denominação “matriz de riscos para seleção de auditorias” ou “matriz de temas de auditorias”.

Seja qual for a denominação, ela é um diagrama que cruza critérios e define quais áreas de uma organização mais precisam de auditoria.

A Matriz de Auditorias tem espaço apenas para as incertezas negativas (riscos).

Riscos são as eventualidades cuja ocorrência pode prejudicar as finalidades do instituto federal.

Ela não tem espaço para incertezas positivas (oportunidades), que são eventualidades cuja ocorrência pode beneficiar o instituto federal.

Para focar a atividade da equipe de auditoria, a Matriz de Auditorias deve buscar responder uma só pergunta:

Quais programas do PLOA concentram os maiores riscos ao instituto federal?

Para conseguir uma resposta, delimite como fontes de informação:

  • o PLOA 2017 (Projeto de Lei Orçamentária Anual para o exercício 2017)
  • o PDI (Plano de Desenvolvimento Institucional) do instituto federal
  • as auditorias internas já realizadas pela Uadin ou em andamento
  • as solicitações do TCU (Tribunal de Contas da União) e da CGU (Controladoria-Geral da União em São Paulo) pendentes ou não de atendimento

A Matriz de Auditoria assumirá a forma de uma planilha com avaliações baseadas em informações consolidadas destas fontes de informação.

Clique aqui e visualize o modelo de Matriz de Auditoria.

(Para download, abra o link e clique em “Arquivo”, depois em “Fazer download como” e selecione o formato de sua preferência.)

(Aviso: O preenchimento da Matriz de Riscos é meramente ilustrativo. Qualquer semelhança com a realidade é mera coincidência.)

Como você pode ver no modelo de Matriz de Auditoria disponível no link, a Matriz de Auditorias tem quatro critérios de risco:

  • relevância
  • prestígio
  • vulnerabilidade
  • orçamento

O grau de risco de cada ação/atividade do PLOA resulta da soma das escalas alcançadas nos critérios de risco.

Passo a passo detalhado

Passo um: Quais os programas, as ações/atividades previtas pelo PLOA para o instituto federal?

Reproduza a previsão orçamentária do PLOA para o instituto federal nas colunas “Programa do PLOA”, “Ação/Atividade do PLOA” e “Valor” da Matriz de Auditorias.

Para isso, acesse a previsão orçamentária do instituto federal, que geralmente fica no volume V do PLOA (disponível no site do Orçamento Federal).

Todos os institutos federais têm a previsão orçamentária anual discriminada no PLOA – trata-se do projeto de lei que é convertido na LOA (Lei Orçamentária Anual) depois de aprovado pelo Congresso Nacional e sancionado pelo Presidente da República.

Passo dois: Qual a distribuição orçamentária entre as ações/atividades do PLOA para o instituto federal?

Obtenha a representatividade orçamentária das ações/atividades por meio da conversão delas em porcentagens.

As porcentagens estão na coluna “% do orçamento total” da Matriz de Auditorias.

Passo três: Quais os macroprocessos do instituto federal viabilizados por cada programa do PLOA?

Em uma etapa da elaboração do PAINT (Plano Anual de Auditoria Interna) anterior à Matriz de Auditorias, é importante que a equipe tenha identificado os macroprocessos organizacionais do instituto federal no PDI.

Na minha opinião, todos os institutos federais têm os mesmos macroprocessos porque os institutos federais operam segundo a mesma base normativa e prestam os mesmos serviços.

Mas é apenas uma opinião minha, e, se você quiser saber, eu acho que são nove os macroprocessos de qualquer instituto federal:

  1. Oferta, abertura e reestruturação de cursos
  2. Inovação e integração com o arranjo produtivo local
  3. Inserção profissional dos estudantes
  4. Atendimento aos discentes
  5. Governança
  6. Comunicação
  7. Gestão de pessoas
  8. Infraestrutura
  9. Orçamento e finanças

Seja quais forem, entretanto, os macroprocessos que você identificar para o instituto federal em que trabalha, anote-os na coluna “Macroprocessos viabilizados” da Matriz de Auditorias os macroprocessos viabilizados por cada uma das ações/atividades do PLOA.

Provavelmente, haverá ações/atividades do PLOA que viabilizam somente um macroprocesso, porém poderá acontecer de uma mesma ação/atividade viabilizar mais de um macroprocesso.

Isso é normal: o PLOA e o gerenciamento das autarquias não são integrados.

Acho que é suficiente vincular macroprocessos e ações/atividades do PLOA a partir de um juízo razoável da equipe de auditoria interna.

Leia também:

Passo quatro: Quais os riscos de relevância?

No quarto passo e nos seguintes, você avaliará os riscos de cada ação/atividade do PLOA segundo quatro critérios de risco:

  • relevância
  • prestígio
  • vulnerabilidade
  • orçamento

Os riscos de relevância refletem as incertezas que, se verificadas na execução de uma ação/atividade do PLOA, poderão reduzir ou extinguir a capacidade do instituto federal cumprir sua finalidade, a qual consiste em educar os estudantes.

Os riscos de relevância têm quatro escalas:

  • Impacto em 4 ou mais macroprocessos → 6
  • Impacto em 3 ou 2 macroprocessos → 4
  • Impacto em apenas 1 macroprocesso → 2
  • Impacto em nenhum macroprocesso → 0

Passo cinco: Quais os riscos de imagem?

Os riscos de imagem refletem as incertezas que, se verificadas na execução de uma ação/atividade do PLOA, poderão denegrir o prestígio do instituto federal diante de seus estudantes.

Os riscos de imagem têm duas escalas:

  • As falhas têm prováveis impactos negativos → 1
  • As falhas têm improváveis impactos negativos → 0

Passo seis: Quais os riscos de criticidade?

Os riscos de criticidade refletem incertezas que, se verificadas na execução de uma ação/atividade do PLOA, poderão deixar os controles internos vulneráveis a erros e fraudes.

Os riscos de criticidade têm três escalas:

  • As falhas dos controles internos são preocupantes → 5
  • As falhas dos controles internos são desconhecidas → 3
  • As falhas dos controles internos são aceitáveis → 1

O critério de criticidade, tal como o de imagem, acho que deve basear-se no juízo razoável da equipe de auditoria.

A equipe pode escolher a escala “preocupante” quando há recomendações frequentes, reiteradas ou alarmantes em relatórios de auditoria ou quando há descentralização de tarefas através das unidades administrativas.

Pode escolher a escala “desconhecida” quando as tarefas de uma ação/atividade do PLOA não haviam sido auditadas há mais de 12 meses.

Finalmente, a equipe pode escolher a escala “aceitável” quando não era o caso de nenhuma das situações anteriores.

A confiança na capacidade de julgamento dos membros da equipe de auditoria é importante porque aproveita a perícia que eles acumulam em anos de trabalho e estudo.

Leia também:

Passo sete: Quais os riscos de materialidade?

Os riscos de materialidade refletem incertezas que, se verificadas na execução de uma ação/atividade do PLOA, poderão comprometer parte significativa do orçamento do instituto federal.

Os riscos de materialidade têm três escalas:

  • O orçamento da ação representa mais de 10% do orçamento total → 3
  • O orçamento da ação representa entre 1 e 10% do orçamento total → 2
  • O orçamento da ação representa menos de 1% do orçamento total → 1

Passo oito: Qual o grau de risco de cada ação/atividade do PLOA 2017 para o instituto federal?

O grau de risco varia de 1 a 17 e é igual à soma da escala de riscos atingida pela ação/atividade do PLOA 2017 nos critérios de risco:

Grau de risco = Relevância + Imagem + Criticidade + Materialidade

Passo nove: Quais os temas de auditoria para 2017?

A princípio, as ações/atividades do PLOA com maior grau de risco devem ser escolhidas como temas de auditoria; mas outros fatores também podem entrar em cena, tais como a perícia dos auditores, a determinação do TCU, a solicitação da CGU, ou a decisão do Consup.

Um fator que deve ser considerado é o volume de auditorias em andamento.

Diante de um volume de auditorias muito grande de auditorias em andamento, a equipe de auditoria deve sopesar se vale a pena assumir iniciar novos temas de auditoria ou se vale a pena encerrar o que já se encontra em andamento.

O PAINT não é hora de definir os objetos de auditoria

Uma medida importante é incluir no PAINT somente a indicação dos temas das auditorias.

A definição dos objetos das auditorias deve ficar reservada para a implementação do PAINT no exercício por vir.

O PAINT não parece adequado para a definição de objetos de auditoria.

Parece melhor que os objetos de auditoria devem ser definidos em projetos construídos dentro dos parâmetros do PAINT quando este estiver em implementação.

No próximo exercício, durante a implementação do PAINT, a equipe de auditoria terá melhores condições de definir os objetos de auditoria pertinentes com os temas apontados pela Matriz de Auditorias, elaborar os projetos das auditorias e realizá-las.

É esta, aliás, a determinação do art. 9º da Instrução Normativa CGU nº 24/2015:

Art. 9º. O planejamento operacional dos trabalhos de auditoria, com a definição dos objetivos, escopo, prazo, questões de auditoria e alocação de recursos deverá ser elaborado pelas unidades de auditoria interna ao longo da execução do PAINT.

Leia também:

Melhoramentos

O modelo de Matriz de Auditorias que acabei de apresentar busca a simplicidade acima de tudo.

Naturalmente, porém, ele pode ser melhorado e customizado. Vejo como possibilidades interessantes:

  • ajustes no peso das pontuações dos critérios de avaliação das ações/atividades do PLOA
  • embasamento da avaliação dos critérios de imagem e criticidade em entrevistas com membros da alta gestão do instituto federal
  • inclusão, no critério de criticidade, de aspectos de governança corporativa, gerenciamento de riscos e controles internos

Agradecimentos

Esta postagem não existiria sem as ideias do professor Vidal Dias e do IIA (Institute of Internal Auditors); e a receptividade de pessoas com quem tenho trabalhado em institutos federais.