• Art. 1º Este Decreto dispõe sobre a política de governança da administração pública federal direta, autárquica e fundacional. Art. 18 A auditoria interna governamental deverá adicionar valor e melhorar as operações das organizações para o alcance de seus objetivos, mediante a abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gerenciamento de riscos, dos controles e da governança, por meio da: [...] II - adoção de abordagem baseada em risco para o planejamento de suas atividades e para a definição do escopo, da natureza, da época e da extensão dos procedimentos de auditoria.

• P. 8: Consultando Principais Stakeholders: O CAE deve consultar os principais stakeholders para cumprir com os requisitos das normas relacionadas à Norma 2010 – Planejamento. A comunicação contínua é vital para permitir ajustes ágeis às mudanças. Além disso, a comunicação contínua ajuda a garantir que a alta administração, o conselho e a atividade de auditoria interna compartilhem um entendimento comum dos riscos e prioridades de avaliação da organização. Stakeholders a Considerar: Conselho: comitê de auditoria, comitê de risco, comitês de governança, membros individuais do conselho; Alta administração, diretor de risco, Funções da segunda linha [...].

• 83. O Responsável pela UAIG deve estabelecer um plano baseado em riscos para determinar as prioridades da auditoria, de forma consistente com objetivos e metas institucionais da Unidade Auditada. 85. A UAIG deve realizar a prévia identificação de todo o universo auditável e considerar as expectativas da alta administração e demais partes interessadas em relação à atividade de auditoria interna para a elaboração do Plano de Auditoria Interna, bem como, a análise de riscos realizada pela Unidade Auditada por meio do seu processo de gerenciamento de riscos. 86. Caso a Unidade Auditada não tenha instituído um processo formal de gerenciamento de riscos, a UAIG deve se comunicar com a alta administração, de forma a coletar informações sobre suas expectativas e obter entendimento dos principais processos e dos riscos associados. Com base nessas informações, a UAIG deverá elaborar seu Plano de Auditoria Interna, priorizando os processos ou unidades organizacionais de maior risco. 89. A avaliação de riscos que subsidie a elaboração do Plano de Auditoria Interna da UAIG deve ser discutida com a alta administração e documentada, pelo menos, anualmente. 112. Cabe ao Responsável pela UAIG comunicar periodicamente os resultados do PGMQ à alta administração e ao conselho, se houver. As comunicações devem conter os resultados das avaliações internas e externas, as fragilidades encontradas que possam comprometer a qualidade da atividade de auditoria interna e os respectivos planos de ação corretiva, se for o caso. 160. O Responsável pela UAIG deve estabelecer políticas e procedimentos destinados a assegurar que a supervisão dos trabalhos seja realizada e documentada, devendo ser estabelecidos mecanismos para a uniformização de entendimentos decorrentes dos julgamentos profissionais individuais. 164. A comunicação de resultado dos trabalhos de avaliação tem por objetivo apresentar a opinião e/ou conclusões dos auditores internos e deve: a) considerar as expectativas e demais manifestações apresentadas no decurso dos trabalhos pela alta administração, pelo conselho, se houver e por outras partes interessadas; 176. É responsabilidade da alta administração da Unidade Auditada zelar pela adequada implementação das recomendações emitidas pela UAIG, cabendo-lhe aceitar formalmente o risco associado caso decida por não realizar nenhuma ação. 177. A implementação das recomendações comunicadas à Unidade Auditada deve ser permanentemente monitorada pela UAIG, devendo essa atividade ser prevista no Plano de Auditoria Interna. 180. Se a UAIG concluir que a Unidade Auditada aceitou um nível de risco que pode ser inaceitável para a organização, o responsável pela UAIG deve discutir o assunto com a alta administração ou o conselho, se houver.

• 2010 – Planejamento: O executivo-chefe de auditoria deve estabelecer um plano baseado em riscos para determinar as prioridades da atividade de Auditoria Interna, de forma consistente com as metas da organização. 2010.A1 – O planejamento dos trabalhos da atividade de Auditoria Interna deve ser baseado em uma avaliação de risco documentada, realizada pelo menos anualmente. As informações fornecidas pela alta administração e pelo conselho devem ser consideradas no processo. 2100 - A atividade de Auditoria Interna deve avaliar e contribuir para a melhoria dos processos de governança, gerenciamento de riscos e controles da organização, utilizando uma abordagem sistemática, disciplinada e baseada em riscos. A credibilidade e o valor da Auditoria Interna são aumentados quando os auditores são proativos e suas avaliações oferecem novos conhecimentos (insights) e consideram o impacto futuro. 2600 - Quando o executivo-chefe de auditoria conclui que a administração aceitou um nível de risco que pode ser inaceitável para a organização, o executivo-chefe de auditoria deve discutir o assunto com a alta administração. Caso o executivo-chefe de auditoria determine que a questão não foi resolvida, o executivo-chefe de auditoria deve comunicar a questão ao conselho.

• Art. 32. Para fins de realização de auditorias, a unidade de auditoriainterna deve estabelecer um PALP, quadrienal, e um PAA, preferencialmente baseados em riscos, para determinar as prioridades da auditoria, de forma consistente comobjetivos e metas institucionais da entidade auditada. Art. 34. No processo de elaboração dos planos de auditoria, a unidade deauditoria interna deve considerar os objetivos estratégicos da organização, bem como a análise de riscos realizada pelas unidades auditadas.

• P. 6: O DEA deve utilizar técnicas de avaliação de riscos no desenvolvimento do plano da atividade de auditoria interna e na determinação das prioridades para a alocação dos recursos de auditoria interna. A avaliação de riscos é utilizada para selecionar áreas a serem incluídas no plano da atividade de auditoria interna. Além disso, o DEA deve buscar orientação sobre o que o conselho e a organização consideram importantes para auxiliar na avaliação de riscos, na priorização de projetos e na alocação dos recursos de auditoria.

• O conselho de administração, com o apoio do comitê de auditoria, deve participar ativamente no planejamento dos trabalhos de auditoria interna, aprovar o planejamento anual, analisar os resultados e monitorar a implementação das recomendações apresentadas pela auditoria interna. Relatórios deverão ser encaminhados à diretoria, com base em informações entregues ao comitê de auditoria e ao conselho. Auditoria interna Fundamento Tem a responsabilidade de monitorar, avaliar e realizar recomendações visando a aperfeiçoar os controles internos e as normas e procedimentos estabelecidos pelos administradores. As organizações devem possuir uma função de auditoria interna, própria ou terceirizada. A diretoria e, particularmente, o diretor-presidente também são diretamente beneficiados pela melhoria do ambiente de controles decorrente de uma atuação ativa da auditoria interna. O trabalho da auditoria interna deve estar alinhado com a estratégia da organização e baseado na matriz de riscos.

• P. 3: A auditoria interna presta avaliação e assessoria independentes e objetivas sobre a adequação e eficácia da governança e do gerenciamento de riscos. Isso é feito através da aplicação competente de processos sistemáticos e disciplinados, expertise e conhecimentos. Ela reporta suas descobertas à gestão e ao corpo administrativo para promover e facilitar a melhoria contínua. Ao fazê-lo, pode considerar a avaliação de outros prestadores internos e externos.

• Art. 1º Este Decreto dispõe sobre a política de governança da administração pública federal direta, autárquica e fundacional. Art. 18 A auditoria interna governamental deverá adicionar valor e melhorar as operações das organizações para o alcance de seus objetivos, mediante a abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gerenciamento de riscos, dos controles e da governança, por meio da: I - realização de trabalhos de avaliação e consultoria de forma independente, segundo os padrões de auditoria e ética profissional reconhecidos internacionalmente; II - adoção de abordagem baseada em risco para o planejamento de suas atividades e para a definição do escopo, da natureza, da época e da extensão dos procedimentos de auditoria; e III - promoção à prevenção, à detecção e à investigação de fraudes praticadas por agentes públicos ou privados na utilização de recursos públicos federais.

• P. 8: 17. Os serviços de avaliação compreendem a análise objetiva de evidências pelo auditor interno governamental com vistas a fornecer opiniões ou conclusões em relação à execução das metas previstas no plano plurianual; à execução dos programas de governo e dos orçamentos da União; à regularidade, à economicidade, à eficiência e à eficácia da gestão orçamentária, financeira e patrimonial nos órgãos e nas entidades da Administração Pública; e à regularidade da aplicação de recursos públicos por entidades de direito privado. 18. Por natureza, os serviços de consultoria representam atividades de assessoria e aconselhamento, realizados a partir da solicitação específica dos gestores públicos. Os serviços de consultoria devem abordar assuntos estratégicos da gestão, como os processos de governança, de gerenciamento de riscos e de controles internos e ser condizentes com os valores, as estratégias e os objetivos da Unidade Auditada. Ao prestar serviços de consultoria, a UAIG não deve assumir qualquer responsabilidade que seja da Administração. [...] 23. Além das competências relacionadas à função típica de auditoria interna governamental do Poder Executivo Federal, a Lei nº 10.180, de 6 de fevereiro de 2001, também contemplou a apuração de atos ou fatos inquinados de ilegais ou irregulares, praticados por agentes públicos ou privados, na utilização de recursos públicos federais como competência dos órgãos e unidades do SCI. Essas atividades devem ser conduzidas, no que couber, em conformidade com os princípios e diretrizes estabelecidos neste Referencial Técnico.

• A avaliação e a consultoria são as duas vertentes típicas da atividade de auditoria interna e, por esse motivo, serão abordadas em seções específicas a seguir, ainda neste capítulo. Ambas se complementam para atingir o objetivo de agregar valor às organizações. A apuração cumpre, juntamente com a avaliação e a consultoria, papel extremamente relevante, visto contribuir para que se apresentem respostas efetivas às violações de integridade, atendendo, dessa forma, a uma forte expectativa social. Não constitui uma função típica de auditoria interna governamental e vem sendo desenvolvida pelas UAIG que compõem o SCI, por força da Lei nº 10.180, de 2001; por esse motivo, será abordada no segundo capítulo.

• Art. 10. Os órgãos e as unidades do sistema de controle interno deverão, quando detectada eventual omissão dos responsáveis em cumprir a obrigação de prestação de contas nos termos desta instrução normativa, comunicar a autoridade administrativa competente para fins do disposto no art. 8º da Lei 8.443, de 1992. Art. 12. A atuação dos órgãos e unidades do sistema de controle interno nos trabalhos de asseguração relacionados às prestações de contas dos responsáveis abrange: I - a avaliação do cumprimento da obrigação de prestar contas, no atendimento das finalidades previstas no art. 3º e dos critérios estabelecidos nos arts. 4º, 8º e 9º desta instrução normativa; II - a certificação, consoante o disposto no inciso IV do art. 74 da Constituição Federal e no art. 50 da Lei 8.443, de 1992, realizada de acordo com as normas técnicas de auditoria, mediante auditoria integrada financeira e de conformidade nas UPC, unidades, contas contábeis ou ciclos de transações relacionados ao BGU, conforme planejamento integrado descrito no art. 14 e observado o parágrafo único do art. 18 desta instrução normativa; e III - os demais trabalhos de avaliação e de outras naturezas, constantes nos planos anuais de atividades de auditoria interna ou de fiscalização dos órgãos de controle interno, nos termos dos incisos I a III do art. 74 da Constituição Federal.

• Art. 9º § 3º A auditoria interna deverá: [...] II - ser responsável por aferir a adequação do controle interno, a efetividade do gerenciamento dos riscos e dos processos de governança e a confiabilidade do processo de coleta, mensuração, classificação, acumulação, registro e divulgação de eventos e transações, visando ao preparo de demonstrações financeiras.

• Art. 2º Para os fins deste normativo considera-se: I – Auditoria Interna – atividade independente e objetiva que presta serviços de avaliação (assurance) e de consultoria, que tem como objetivo adicionar valor e melhorar as operações de uma organização. A auditoria deve auxiliar aorganização no alcance dos objetivos estratégicos, adotando uma abordagem sistemática e disciplinada para a avaliação e melhoria da eficácia dos processos de gerenciamento de riscos, de controle, e de governança corporativa.

• O The IIA acredita que o forte apoio da administração e do conselho em relação à auditoria interna é alimentado por relações desenvolvidas a partir da confiança recíproca e de interações frequentes e relevantes com o chief audit executive. P. 3: A auditoria interna fortalece a governança corporativa por meio de auditorias baseadas em riscos que prestam avaliação e oferecem conhecimentos sobre os processos e as estruturas que levam a organização ao sucesso.

• 112. Cabe ao Responsável pela UAIG comunicar periodicamente os resultados do PGMQ à alta administração e ao conselho, se houver. As comunicações devem conter os resultados das avaliações internas e externas, as fragilidades encontradas que possam comprometer a qualidade da atividade de auditoria interna e os respectivos planos de ação corretiva, se for o caso. 176. É responsabilidade da alta administração da Unidade Auditada zelar pela adequada implementação das recomendações emitidas pela UAIG, cabendo-lhe aceitar formalmente o risco associado caso decida por não realizar nenhuma ação. 177. A implementação das recomendações comunicadas à Unidade Auditada deve ser permanentemente monitorada pela UAIG, devendo essa atividade ser prevista no Plano de Auditoria Interna. 180. Se a UAIG concluir que a Unidade Auditada aceitou um nível de risco que pode ser inaceitável para a organização, o responsável pela UAIG deve discutir o assunto com a alta administração ou o conselho, se houver.

• O conselho de administração, com o apoio do comitê de auditoria, deve participar ativamente no planejamento dos trabalhos de auditoria interna, aprovar o planejamento anual, analisar os resultados e monitorar a implementação das recomendações apresentadas pela auditoria interna. Relatórios deverão ser encaminhados à diretoria, com base em informações entregues ao comitê de auditoria e ao conselho.

• P. 2: Os Papéis do Conselho e do Comitê de Auditoria Uma prática de governança corporativa para empresas listadas – algumas vezes obrigatória – é usar comitês de auditoria para oferecer uma supervisão reforçada da integridade financeira e ética das empresas de capital aberto. O comitê de auditoria, formado por diretores independentes, pode fortalecer bastante a independência, a integridade e a eficácia das atividades de auditoria, oferecendo uma supervisão independente dos planos de trabalho e dos resultados da auditoria interna e externa, avaliando as necessidades de recursos e qualificações de auditoria e mediando o relacionamento dos auditores com a organização. Os comitês de auditoria também garantem que os resultados de auditoria sejam transmitidos e que quaisquer melhorias ou ações corretivas recomendadas sejam tratadas ou resolvidas. Os comitês de auditoria podem ter essa mesma função em organizações privadas e do setor público. Idealmente, a auditoria interna deve reportar funcionalmente ao conselho ou ao comitê de auditoria e administrativamente à gerência. O The IIA acredita que o forte apoio da administração e do conselho em relação à auditoria interna é alimentado por relações desenvolvidas a partir da confiança recíproca e de interações frequentes e relevantes com o chief audit executive.

• 2600 - Quando o executivo-chefe de auditoria conclui que a administração aceitou um nível de risco que pode ser inaceitável para a organização, o executivo-chefe de auditoria deve discutir o assunto com a alta administração. Caso o executivo-chefe de auditoria determine que a questão não foi resolvida, o executivo-chefe de auditoria deve comunicar a questão ao conselho.

• Art. 65. As avaliações internas de qualidade envolvem duas partesrelacionadas entre si: o monitoramento contínuo e as autoavaliações periódicas. § 1º O monitoramento contínuo permite verificar a eficiência dosprocessos para garantir a qualidade das auditorias, incluindo planejamento e supervisão,execução e monitoramento dos trabalhos, com o objetivo de: I – obter feedback dos clientes de auditoria e outros interessados;

• 106. A UAIG deve instituir e manter um Programa de Gestão e Melhoria da Qualidade (PGMQ) que contemple toda a atividade de auditoria interna governamental, desde o seu gerenciamento até o monitoramento das recomendações emitidas, tendo por base os requisitos estabelecidos por este Referencial Técnico, os preceitos legais aplicáveis e as boas práticas nacionais e internacionais relativas ao tema. 112. Cabe ao Responsável pela UAIG comunicar periodicamente os resultados do PGMQ à alta administração e ao conselho, se houver. As comunicações devem conter os resultados das avaliações internas e externas, as fragilidades encontradas que possam comprometer a qualidade da atividade de auditoria interna e os respectivos planos de ação corretiva, se for o caso

• Normalmente, as principais partes interessadas da atividade de auditoria interna são divididas em internas e externas. As partes interessadas internas incluem: conselho de administração (ou um comitê como o comitê de auditoria); alta administração; gerência de operações e suporte; auditores internos. [...] A atividade de auditoria interna deve identificar todas as partes interessadas relevantes e seus respectivos interesses no trabalho da atividade de auditoria interna ou no suporte a ela e deve solicitar feedback de cada uma dessas partes conforme apropriado. Feedbacks específicos trarão insights quanto a: o propósito e a responsabilidade da auditoria interna e se eles são compreendidos pelos diferentes níveis da organização; a adequação da independência e da objetividade da auditoria interna; entregáveis alvo e expectativas da atividade de auditoria interna; prioridades atuais e planejadas do negócio e a correlação delas com o escopo da atividade, conforme apropriado; deficiências atuais, se existirem, da atividade de auditoria interna; qualidade e suficiência da comunicação da atividade; nível atual de satisfação, ou insatisfação, com a frequência e natureza dos trabalhos planejados e realizados; nível atual de satisfação, ou insatisfação, com os recursos da atividade de auditoria interna; as necessidades em constante mudança do negócio, riscos relacionados e a habilidade da auditoria interna fornecer serviços de avaliação e consultoria.

• P. 7: A atividade de auditoria interna deve desenvolver um programa de avaliação interna apropriado e deve identificar os Indicadores Chave de Desempenho (Key Performance Indicators – KPIs). Os KPIs da atividade de auditoria interna compõem uma plataforma para discutir questões relacionadas à atividade e possivelmente ganhar o apoio do conselho para conduzir as mudanças necessárias. O estabelecimento dos KPIs deve ser feito em um grupo que inclua a alta administração, assim como o conselho, e deve haver um consenso de que os KPIs escolhidos são significantes e apropriados.