Gestão de riscos efetiva como condição para implantação da auditoria baseada em riscos nas instituições governamentais

ARTIGO ORIGINAL

ANDRADE, Cleidinéa de Jesus ^[1]

ANDRADE, Cleidinéa de Jesus. Gestão de riscos efetiva como condição para implantação da auditoria baseada em riscos nas instituições governamentais. Revista Científica Multidisciplinar Núcleo do Conhecimento. Ano. 07, Ed. 10, Vol. 01, pp. 103-119. Outubro de 2022. ISSN: 2448-0959, Link de acesso: https://www.nucleodoconhecimento.com.br/administracao/implantacao-da-auditoria

RESUMO

A Administração Pública, nos últimos anos, vem passando por diversas mudanças advindas da internacionalização das normas e regulamentos voltados para a integridade, gestão de riscos e controles internos. Dentro desse contexto, a atividade de auditoria interna governamental deu início a uma nova abordagem focada nos riscos institucionais. Conhecida como Auditoria Baseada em Riscos – ABR, essa nova abordagem, associa a auditoria interna convencional à estrutura da gestão de riscos institucional. Desse modo, a questão que norteia essa pesquisa consiste em saber de que maneira a gestão de riscos contribui para a implantação da Auditoria Baseada em Riscos. Assim, o objetivo desta pesquisa é demonstrar se a gestão de riscos, uma vez instituída e formalizada, é condição fundamental para a implantação da Auditoria Baseada em Riscos nas Instituições Governamentais. Para tanto, foi realizada uma pesquisa bibliográfica com uma metodologia caracterizada como exploratória e com abordagem qualitativa. O estudo desta pesquisa permitiu mostrar que, por força normativa e normas internacionais, a ausência de uma gestão de riscos implementada e formalizada é um impedimento para implantação da Auditoria Baseada em Riscos, uma vez que esta precisa da matriz de riscos oficial da instituição para realizar o planejamento individual das auditorias e, assim, cumprir o seu o papel fundamental.

Palavras-chave: Gestão de riscos, Controle interno, Auditoria baseada em riscos.

1. INTRODUÇÃO 

O gerenciamento de riscos na gestão pública é uma ferramenta fundamental da boa governança. Nos últimos anos, por conta das mudanças advindas da internacionalização das normas e regulamentos, os órgãos de controle vêm incentivando sua implementação, a exemplo da Controladoria-Geral da União (CGU) e do Tribunal de Contas da União (TCU). Nesse sentido, uma das ações que visa garantir um melhor desempenho da gestão de riscos é o controle interno, pois ele permite manter os riscos em níveis aceitáveis. Veja que o controle interno é um instrumento dotado de um conjunto de políticas, procedimentos e atividades utilizadas pela administração de determinado órgão para gerenciar os seus objetivos, vislumbrando, assim, tratar os riscos a ele inerente (MIRANDA, 2017), para que os mesmos sejam alcançados e, consequentemente, o patrimônio público seja tutelado.

Nesse sentido, o art. 2º, inciso IV do Decreto n° 9.203/2017, considera que:

IV. Gestão de riscos é o processo de natureza permanente, estabelecido, direcionado e monitorado pela alta administração, que contempla as atividades de identificar, avaliar e gerenciar potenciais eventos que possam afetar a organização, destinado a fornecer segurança razoável quanto à realização de seus objetivos (BRASIL, 2017c).

Nota-se, então, que o controle interno é implementado com base na identificação e mensuração dos riscos institucionais, tornando-se uma ferramenta importante no gerenciamento dos potenciais riscos.

Assim, o COSO-ERM conceitua o gerenciamento de riscos como:

Processo conduzido em uma organização pelo conselho de administração, diretoria e demais empregados, aplicado no estabelecimento de estratégias, formuladas para identificar em toda a organização eventos em potencial, capazes de afetá-la, e administrar os riscos de modo a mantê-los compatível com o apetite a risco da organização e possibilitar garantia razoável do cumprimento dos seus objetivos (COSO, 2007, p. 4).

Veja que o processo de gerenciamento de riscos é conduzido por todos os envolvidos da organização para identificar todos os riscos potenciais e impactantes e, assim, tratá-los conforme o apetite a risco da organização. No entanto, na ausência de gerenciamento de riscos, cabe a Auditoria Interna apresentar o assunto à alta gestão e discutir sobre a obrigação de estabelecer um sistema de gerenciamento de riscos, até mesmo porque tal atuação integra seu papel fundamental, de forma a garantir que os processos de gestão de riscos sejam mais eficazes e os mais relevantes riscos do negócio sejam gerenciados corretamente, de maneira a atingir todos os níveis da organização. Ademais, para o reconhecimento dos riscos mais significativos, a auditoria interna deve se valer da abordagem de auditoria baseada em risco para uma atuação mais efetiva no tratamento e monitoramento dos riscos identificados (TCU, 2018).

Nesse contexto, compete à alta gestão a responsabilidade pela implementação da gestão de riscos, assim como por estabelecer, continuamente, o monitoramento e o aprimoramento dos controles internos da gestão, e cabe à Auditoria Interna Baseada em Riscos avaliar sua eficácia, de forma que preserve a independência e não comprometa a imparcialidade e objetividade da Auditoria Interna, visto que a Auditoria Baseada em Riscos (ABR) é “uma metodologia que associa a auditoria interna ao arcabouço global de gestão de riscos de uma organização” (IIA, apud OLIVEIRA, 2019, p. 89). Oliveira (2019, p. 89) comenta que, “conforme entendimento do Instituto, a ABR possibilita que a auditoria interna dê garantia de risco ao conselho diretivo de que os processos de gestão de riscos estão gerenciando os riscos de maneira eficaz em relação ao apetite a riscos”.

A implantação da ABR revela expressivas mudanças na atuação e finalidade das auditorias, posto que as ações passaram a ser avaliadas ao longo de um processo e de forma proativa na identificação de impactos (CASTRO, 2015).

Em suma, a Auditoria Baseada em Riscos é uma metodologia que alia a auditoria interna convencional à estrutura de gestão de riscos da instituição, e por que razão a proposta do estudo consiste em saber de que maneira a gestão de riscos contribui para a implantação da Auditoria Baseada em Riscos.

A relevância se justifica não apenas pela importância do tema, mas também pelos recentes normativos relacionados à gestão de riscos e a ABR, no âmbito da Administração Pública Federal, tal como se observa na Instrução Normativa (IN), conjunta com o Ministério do Planejamento e a Controladoria Geral da União, nº 01, de 10 de maio de 2016; nº 03, de 09 de junho de 2017; nº 08, de 6 de dezembro de 2017 e nº 05, de 27 de agosto de 2021. Dessa maneira, o objetivo desta pesquisa é demonstrar se a gestão de riscos, uma vez instituída e formalizada, é condição fundamental para a implantação da Auditoria Baseada em Riscos nas Instituições Governamentais.

Para tanto, a técnica utilizada para coleta de dados foi a pesquisa bibliográfica. A metodologia da pesquisa se caracteriza como exploratória com abordagem qualitativa. Assim, buscou-se analisar as normas acerca da gestão de riscos e implantação da Auditoria Baseada em Riscos nas Instituições Governamentais e, com isso, abordar os conceitos da Auditoria Baseada em Riscos, controle interno e gestão de riscos, além de apresentar diversos assuntos que contribuirão para o alcance dos objetivos.

Assim, o estudo está estruturado em mais quatro capítulos além desta Introdução. No segundo capítulo, apresenta-se a Fundamentação Teórica, na sequência, a Metodologia e, por fim, as Considerações Finais.

2. FUNDAMENTAÇÃO TEÓRICA

2.1 CONTROLE INTERNO DA ADMINISTRAÇÃO PÚBLICA                                                                                              

O controle interno é uma importante ferramenta para a segurança da gestão, uma vez que esta responde pelos seus atos decisórios. Para o Comitê das Organizações Patrocinadoras – COSO (2013, p. 06), o controle interno é definido como um “processo conduzido pela estrutura de governança, administração e outros profissionais da entidade, e desenvolvido para proporcionar segurança razoável com respeito à realização dos objetivos relacionados a operações, divulgação e conformidade”.

O controle interno proporciona um ambiente capaz de acompanhar a eficiência dos resultados das organizações governamentais. Ele não só organiza como também avalia e controla todas as suas atividades. Veja que, no que se refere à seara pública, o controle interno atinge, simultaneamente, duas finalidades, uma como ferramenta que dará suporte ao administrador público e uma outra como meio de resguardar o cidadão (NAKANO, 2009).

A gestão dos controles internos influencia a melhoria dos processos gerenciais de entidades do setor público tanto em seus diferentes níveis de governo (federal, estadual ou municipal) como em diferentes esferas do poder da administração direta (Executivo, Legislativo e Judiciário) ou indireta (autarquias, fundações, consórcios públicos e empresas estatais) (ROSA; LUNKES; WOLFF, 2016, p. 94).

Apesar dos controles internos contribuírem significativamente para diminuição dos riscos institucionais, sempre haverá riscos que possa atrapalhar os objetivos. Neste sentido, a INTOSAI (2016, p. 12, tradução nossa)^[2] comenta que “um sistema efetivo de controle interno reduz a probabilidade de não alcançar os objetivos. No entanto, sempre haverá o risco de que o controle interno seja mal projetado ou não funcione como pretendido”.

Ademais, as ações de controle interno na administração pública são definidas por meio de políticas e procedimentos que asseguram a efetivação das diretrizes determinadas pela gestão para mitigar os riscos que podem impedir que os objetivos institucionais sejam atingidos.

2.2 GESTÃO DE RISCOS NO SETOR PÚBLICO

Consoante ao que foi dito no tópico anterior, faz-se importante comentar que o risco é inerente a qualquer atividade. Ele é chance de algo acontecer e causar impactos positivos e/ou negativos, além de gerar a incerteza nos objetivos (IBGC, 2015). Em consonância ao exposto, para Treasury [3]:

Risco é a incerteza dos resultados, sejam positivos (oportunidades) ou negativos (ameaças) de ações e eventos. O risco tem que ser avaliado em relação à combinação da probabilidade e impacto de algo realmente acontecer. A gestão de riscos inclui a identificação e avaliação de riscos (riscos inerentes) e a resposta a eles. (TREASURY 2004, p. 9, tradução nossa).

Como se pode ver, o conhecimento quanto aos riscos existentes na instituição permite que a alta gestão adote medidas eficientes para combater as incertezas que possam impedir o alcance dos objetivos. Para isso, Machado (2016) considera imprescindível uma gestão de riscos, uma vez que consiste no processo que abrange a detecção dos riscos presentes nas organizações e em suas atividades, para que possa aferir a gravidade desses riscos e prever futuros eventos indesejáveis, além de delinear um plano de ação para atuar sobre estes riscos com o intuito de minimizar ocorrências e impactos sobre a organização e aumentar a possibilidade de alcançar os objetivos organizacionais.

A Associação Brasileira de Normas Técnicas (ABNT) coloca que:

A gestão de riscos é vista como central nos processos de gestão da organização, de tal forma que os riscos sejam considerados em termos do efeito da incerteza sobre os objetivos. O processo e a estrutura de governança são baseados na gestão de riscos. A gestão de riscos eficaz é considerada por gestores como sendo essencial para a realização dos objetivos da organização (ABNT, 2009, p. 23).

Dentro desse contexto, a fim de aprimorar e fortalecer o sistema de controle da Administração Pública Federal, o governo vem criando normas e regulamentos que convergem para as normas e modelos internacionais voltados para a integridade, gestão de riscos e controles internos.

Na administração pública federal, o início da abordagem da avaliação dos controles com foco no gerenciamento de riscos se deu em 2015, com a IN nº 24. A referida norma dispõe sobre o Plano Anual de Auditoria Interna (PAINT) e o Relatório Anual de Atividades da Auditoria Interna (RAINT). Esta norma previa, além de outras coisas, que as unidades de auditoria interna, quando da elaboração de seus Planos Anuais de Auditoria, deveriam considerar o planejamento estratégico, a estrutura de governança, os controles e o gerenciamento de riscos (BRASIL, 2015). A presente norma foi revogada, em outubro de 2018, pela IN nº 09, e esta foi revogada pela IN nº 05, de 27 de agosto de 2021. Destaca-se que a atual norma, além de prever novas exigências, também prevê que as unidades de auditoria interna, quando da elaboração de seus Planos Anuais de Auditoria, devem considerar o planejamento estratégico, o processo de governança, os controles internos e o gerenciamento de riscos (BRASIL, 2021).

Entretanto, o regulamento que orienta os órgãos e as entidades públicas à estruturação de mecanismos de controles internos, gestão de riscos e governança no Poder Executivo Federal é a IN MP/CGU nº 01, de 10 de maio de 2016, em que apresenta os conceitos, os princípios, os objetivos e responsabilidades relacionados aos temas. (BRASIL, 2016)

Mais tarde, em 2016, a CGU instituiu a IN nº 03/2017, que se posiciona como um instrumento de convergência das práticas de auditoria interna governamental com normas, modelos e boas práticas internacionais. Segundo a IN nº 03/2017, “alta administração e o conselho, se houver, é responsável pelo processo de gerenciamento dos riscos, que deve alcançar toda a organização, contemplando a identificação, a análise, a avaliação, o tratamento, o monitoramento e a comunicação dos riscos” (BRASIL, 2017a, p. 15). Veja que todos são responsáveis por gerir os riscos, mas a responsabilidade pelo processo é da alta gestão, cabendo-lhe tomar medidas eficientes e buscar ferramentas e estruturas de governança baseada em gestão de riscos.

2.3 AUDITORIA BASEADA EM RISCOS NAS INSTITUIÇÕES GOVERNAMENTAIS

Os conceitos de auditoria, divulgados por vários autores, se complementam e nos levam a entender a sua importância para o alcance dos objetivos institucionais, como podemos ver abaixo:

Segundo Crepaldi (apud BRITO; FONTENELLE, 2015, p. 2), auditoria é o “levantamento, estudo e avaliação sistemática das transações, procedimentos, operações, rotinas e das demonstrações financeiras de uma entidade”.

O TCU (2011, p. 12) conceitua a atividade de auditoria como “o exame independente e objetivo de uma situação ou condição, em confronto com um critério ou padrão preestabelecido, para que se possa opinar ou comentar a respeito para um destinatário predeterminado”.

Baseado no IIA, o “Referencial Técnico da Atividade de Auditoria Interna Governamental do Poder Executivo Federal”, aprovado pela IN nº 03, de 09 de junho de 2017, define a auditoria interna governamental como:

Atividade independente e objetiva de avaliação e de consultoria, desenhada para adicionar valor e melhorar as operações de uma organização. Deve buscar auxiliar as organizações públicas a realizarem seus objetivos, a partir da aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de governança, de gerenciamento de riscos e de controles internos (BRASIL, 2017a, p. 4).

De acordo com Attie (apud BRAGA 2016, p. 164), “…a auditoria governamental rompe as barreiras do diagnóstico, acrescentando em seu escopo o compromisso com a melhoria dos sistemas administrativos, de fortalecimentos dos controles primários, de resposta ao risco e, ainda, de garantia razoável do atingimento dos objetivos”.

Veja que, diferentemente da auditoria contábil ou financeira, a Auditoria Governamental vai além das demonstrações financeiras, uma vez que suas atividades abarcam não só os relatórios mas também as melhorias dos processos administrativos, controles internos, gerenciamento de riscos e da governança, oferecendo uma segurança na concretização dos objetivos. Ademais, a Auditoria é considerada parte de um sistema de controle interno, visto que será ela a responsável por avaliar, entre outras áreas, os controles da entidade.

Como se pode observar, os órgãos de controle vêm aprimorando as atividades da Auditoria Interna Governamental, aderindo aos avanços das técnicas e ferramentas advindas do ambiente de negócios públicos e privados, já utilizadas internacionalmente, saindo de um enfoque de conferência e identificação de irregularidades e fraudes para o enfoque no gerenciamento de riscos e aprimoramento dos controles internos, contribuindo com informações mais fidedignas para as tomadas de decisões. De acordo com o TCU (2011, p. 21), “a auditoria interna encontra-se frente a um novo paradigma, que se baseia na visão dos processos organizacionais com enfoque nos riscos do negócio e numa orientação global, holística e sistemática, e não somente na verificação da conformidade legal e normativa de atos”. Como dito anteriormente, com foco nos riscos do negócio, a auditoria deixa de ser convencional e passa a ser considerada uma auditoria baseada em riscos.

McNamee comenta que a Auditoria Baseada em Riscos é:

Uma mudança no foco da auditoria interna para incluir nos seus trabalhos a visão de futuro sem prejuízo da segurança do presente e a confirmação do passado. É importante ressaltar que a responsabilidade pela identificação, análise, avaliação e manejo dos riscos é da direção das entidades. O papel da auditoria é dar garantias de que tais riscos estão sendo gerenciados adequadamente (McNAMEE apud CASTRO, 2015, p. 485).

Com o intuito de priorizar as ações de auditoria, a Auditoria Baseada em Riscos deve detectar, medir e dar preferência aos riscos de maior severidade do impacto (CASTRO, 2015).

Em meio aos avanços, e com intuito de contribuir com Referencial, a CGU instituiu o “Manual de Orientações Técnicas da Atividade de Auditoria Interna Governamental”, aprovado pela IN nº 08, de 06 de dezembro de 2017. O presente manual propõe a padronização de interpretações e procedimentos da auditoria interna governamental, além de estabelecer que a principal finalidade do plano anual de auditoria baseado em riscos é assegurar que a Unidade de Auditoria Interna foque nos objetos de auditoria mais expostos aos riscos de maior magnitude do impacto nos objetivos (BRASIL, 2017b).

Ademais, de acordo com o presente Manual de Orientações Técnica, às unidades de auditoria interna devem:

Elaborar o PAINT em harmonia com as estratégias e os objetivos das organizações, considerando:

a. O planejamento estratégico da Unidade Auditada;

b. As expectativas da alta administração e demais partes interessadas;

c. A análise de riscos realizada pela Unidade Auditada por meio do seu processo de gerenciamento de riscos, se houver (BRASIL, 2017b, p. 50).

Contudo, é o grau de maturidade da gestão de riscos que irá determinar a atuação da auditoria neste processo de identificação e avaliação dos riscos. Neste caso, o Manual de Orientações Técnicas da Atividade de Auditoria Interna Governamental do Poder Executivo Federal – MOT (BRASIL, 2017b) discorre sobre as formas para definir os trabalhos de auditoria da seguinte forma:

a. Os trabalhos selecionados com base na avaliação de riscos realizada pela Unidade Auditada podem ocorrer quando houver segurança e confiança satisfatória do gerenciamento de riscos, ou seja, dispõe de alto nível de maturidade. Dessa maneira, os riscos controlados pela organização poderão ser utilizados na elaboração do Plano de Auditoria Interna;

b. Em se tratando da ausência de uma gestão de riscos ou que a mesma seja incipiente, a própria Unidade de Auditoria Interna poderá realizar os trabalhos de identificação e avaliação de riscos para selecionar os trabalhos de auditoria. Deve-se esclarecer que a relação dos riscos definida pela Auditoria Interna servirá apenas como base para a priorização de seus trabalhos;

c. Uma terceira opção para selecionar os trabalhos de auditoria com base em riscos, é associar os objetos de auditoria a fatores de riscos.

Ainda segundo o Manual de Orientações Técnicas da CGU (BRASIL, 2017b), a importância da avaliação da maturidade da gestão de riscos para o desenvolvimento do PAINT é conferir à equipe de auditoria um sinal de confiabilidade do cadastro de riscos da Unidade Auditada, bem como ajudar a Unidade de Auditoria Interna a definir sua estratégia de auditoria.

Baseado no exposto, é dever da alta gestão cumprir as exigências normativas, uma vez que esta é responsável pela boa governança, que é alcançada, principalmente, por meio de uma gestão de riscos efetiva, controles internos e uma auditoria baseada em Riscos.

2.4  PAPEL DA AUDITORIA INTERNA NO GERENCIAMENTO DE RISCOS

Com o propósito de gerir os riscos e melhorar os processos para atingir os objetivos institucionais, o IIA criou, em 2013, o Modelo das Três Linhas de Defesa. Atualizado em 2020, passou a se chamar Modelo das Três linhas do IIA. A presente ferramenta auxilia as organizações a detectar estruturas e processos que melhor contribuem para o alcance dos objetivos e contribuem fortemente para uma boa governança e gerenciamento de riscos. O trabalho das três linhas deve estar alinhado para proteger e gerar valor institucional. O trabalho em conjunto das três linhas garante segurança das informações necessárias para a tomada de decisões baseada em riscos (IIA, 2020).

De acordo com o IIA (2020, p. 3), “os papéis de primeira linha estão mais diretamente alinhados com a entrega de produtos e/ou serviços aos clientes da organização, incluindo funções de apoio. Os papéis da segunda linha fornecem assistência no gerenciamento de riscos”. Além disso, ainda de acordo com o IIA (2020, p. 3), os papéis da segunda linha “podem se concentrar em objetivos específicos do gerenciamento de riscos, como: conformidade com leis, regulamentos e comportamento ético aceitável; controle interno; segurança da informação e tecnologia; sustentabilidade; e avaliação da qualidade”.

Na terceira linha está a Auditoria Interna, que, segundo o IIA (2020, p. 3), “presta avaliação e assessoria independentes e objetivas sobre a adequação e eficácia da governança e do gerenciamento de riscos”. Como se pode observar, o papel da Auditoria Interna é de avaliar e melhorar a eficácia dos processos de gerenciamento de riscos, controle e governança.

Em consonância ao exposto, como já mencionado, é importante salientar que o papel fundamental da auditoria interna é assegurar que os processos de gerenciamento de riscos funcionem de modo eficaz e que os riscos mais graves sejam controlados satisfatoriamente em toda organização (TCU, 2017)

Figura 1 – O papel da auditoria interna no Gerenciamento de Riscos.

A figura acima, elaborada pelo IIA (2009), destaca os três tipos de papéis que a Auditoria Interna deve, pode ou não deve assumir, são, respectivamente: os papéis fundamentais, os papéis legítimos e os papéis ilegítimos. Essa divisão objetiva salvaguardar a independência e objetividade dos auditores. Com o avanço da maturidade da gestão de risco da organização e a incorporação gradual do gerenciamento de riscos nas operações do negócio, a atuação da auditoria interna na promoção do Gerenciamento de Riscos vai se tornando prescindível (IIA, 2009).

Segundo resumo de uma pesquisa elaborada por Sarens e Beelde (2006, p. 7, tradução nossa)[4], quanto ao papel dos auditores no gerenciamento de riscos, “os auditores internos são provedores potencialmente importantes de avaliações independentes do sistema de gerenciamento de riscos e controle interno (asseguração), eventualmente combinados com assistência de gestão mais orientada para a prática (consultoria) nessa área”.

Em harmonia com o Instituto dos Auditores Independentes (IIA), o item 3 da IN nº 03/2017 dispõe que o propósito da atividade de auditoria interna governamental é “aumentar e proteger o valor organizacional das instituições públicas, fornecendo avaliação, assessoria e aconselhamento baseados em risco” (BRASIL, 2017b). Para tanto, o item 84 da IN nº 03/2017 coloca que, no planejamento de suas atividades, é fundamental que se considerem “as estratégias, os objetivos, as prioridades, as metas da Unidade Auditada, além dos riscos a que seus processos estão sujeitos” (BRASIL, 2017b).

2.5 DESAFIOS DA AUDITORIA BASEADA EM RISCOS NAS INSTITUIÇÕES FEDERAIS

Como já visto anteriormente, a gestão de riscos tem se mostrado uma ferramenta de grande importância para o atingimento dos objetivos institucionais. A Auditoria Baseada em Riscos, por sua vez, contribui com o seu papel de prover avaliação independente e dar garantias de que os riscos estão sendo gerenciados. Porém, apesar da ABR trazer várias contribuições, os desafios para sua implantação são grandes.

Um dos principais desafios está relacionado a ausência de uma gestão de riscos efetiva. Uma vez identificada dificuldades ou falhas na abordagem da gestão de riscos da instituição, a auditoria interna buscará estratégia alternativa para planejar os trabalhos de auditoria. Diante disso, a auditoria interna acaba assumindo outros papéis que não seja o de asseguração.  Segundo Cicco:

As organizações com um nível baixo de maturidade de riscos podem estar assim porque os gerentes e diretores não aceitam o fato de que um bom arcabouço de gestão de riscos é um elemento essencial de um bom sistema de controle interno. A auditoria interna pode precisar desenvolver um programa de atividades de longo prazo para poder ter sucesso com a gestão de riscos (CICCO, 2007, p. 26).

O IIA (apud OLIVEIRA, 2019, p. 91) reforça a responsabilidade da administração pela gestão de riscos, especialmente quanto à implementação de controles e de outras respostas aos riscos.

Um outro desafio importante está relacionado a qualificação profissional. A ABR exige maiores competências e habilidades por parte dos auditores em diversas áreas, inclusive de como lidar com público, como saber entrevistar, influenciar, assistir e resolver problemas (CICCO, 2007).

3. METODOLOGIA

A pesquisa realizada é classificada como exploratória, assim, a finalidade é aprofundar o assunto para melhor compreendê-lo e deixá-lo mais claro ou criar questionamentos relevantes para condução da pesquisa (BEUREN, 2008).

Os dados levantados requereram o emprego da abordagem qualitativa para refinar a pesquisa e fazer uma análise mais profunda da investigação. A pesquisa qualitativa considera o processo mais importante do que o produto. O interesse do pesquisador ao estudar um determinado problema é verificar como ele se mostra nas atividades, nos procedimentos e nas atuações do dia a dia (OLIVEIRA, 2011).

A coleta de dados ocorreu por meio de pesquisa bibliográfica, como: livros, artigos e dissertações publicadas, trabalhos de instituições, manuais e procedimentos de órgãos públicos e normativos voltados para a temática do presente estudo.

4. CONSIDERAÇÕES FINAIS

A adoção da prática da Gestão de Riscos na administração pública tornou-se obrigatória a partir da publicação da Instrução Normativa Conjunta MP/CGU nº 01/2016, de 10 de maio de 2016. Com efeito, o TCU e a CGU vêm estabelecendo estratégias para a promoção, estimulação e aperfeiçoamento de práticas de gestão de riscos, controles internos e governança nas instituições governamentais. Essas estratégias incorporam modelos mundialmente reconhecidos.

Dentro desse novo contexto está a Auditoria Baseada em Riscos, que tem a responsabilidade de avaliar, entre outras coisas, a gestão de riscos. Considerada uma auditoria renovada, ela não só valia a gestão de riscos como se utiliza do seu produto, que é a matriz de riscos oficial da instituição para realizar o planejamento individual das auditorias.

Para tanto, é necessário que haja uma gestão de riscos efetiva para assegurar que os objetivos institucionais sejam alcançados. Dessa maneira, cabe a alta gestão implementá-la, e, neste sentido, o TCU (2018) concorda que é a alta administração a responsável pela sua concepção, estruturação e implementação. Ou seja, uma gestão de riscos efetiva deve fazer parte da estrutura da gestão, deve ter o comprometimento e o envolvimento da alta administração de forma tornar a gestão mais eficiente e efetiva.

Diante do exposto, o presente artigo buscou responder de que maneira a gestão de riscos contribui para a implantação da Auditoria Baseada em Riscos.

A fim de responder o presente problema, abordou-se sobre: Controle Interno na Administração Pública, Gestão de Riscos no Setor Público, Auditoria Baseada em Riscos nas Instituições Governamentais, Papel da Auditoria Interna no Gerenciamento de Riscos e sobre os Desafios da Auditoria Baseada em Riscos nas Instituições Federais.

O estudo mostrou os papéis fundamentais da auditoria interna na gestão de riscos, que é o de proporcionar segurança, a todos os interessados, de que os processos de gerenciamento de riscos operam de maneira eficaz e que os riscos significativos do negócio são gerenciados adequadamente em todos os níveis da organização (TCU, 2018). Nesse aspecto, foi possível verificar que além de fornecer asseguração, a auditoria interna também pode assumir os papéis legítimos com salvaguardas.

Quanto à maturidade da gestão de riscos, observou-se que ela não só influencia no papel da auditoria interna, mas também na auditoria baseada em riscos. A avaliação da maturidade é uma das etapas de implementação da Auditoria Baseada em Riscos, seu resultado guiará a estratégia da ABR. Assim, o resultado na implantação da ABR está diretamente relacionado com a estrutura de gestão de riscos adotada pela organização e seu nível de maturidade.

Logo, pode-se inferir que na ausência de uma gestão de riscos efetiva, ou estando ala na fase inicial, a Auditoria Baseada em Riscos não poderá ser realizada. De forma incisiva, Cicco (2007), afirma que, caso a estrutura da gestão de risco não for satisfatória ou inexistir, a organização não estará preparada para adotar a ABR, além de, sobretudo, transparecer vulnerabilidade no sistema de controle interno implantado na organização.

Finalmente, a pesquisa conseguiu demonstrar que a gestão de riscos consolidada é essência para implantação da Auditoria Baseada em Riscos. Sua ausência, o que demonstra uma maturidade incipiente, leva as unidades de Auditoria Interna a selecionar os trabalhos com base na própria avaliação de riscos e a implementar a metodologia mais adequada a sua realidade, demandando maior tempo e esforço.

Dessa maneira, a alta gestão deve cumprir as exigências normativas, implementando uma gestão de riscos efetiva, de forma a conferir, à equipe de auditoria interna, confiabilidade no portfólio dos riscos institucionais, para que a mesma possa cumprir o seu propósito, que é aumentar e proteger o valor da organização.

REFERÊNCIAS

ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO 31000: gestão de riscos: princípios e diretrizes. 1ª ed. RJ: ABNT, 2009.

BEUREN, I. M. Como Elaborar Trabalhos Monográficos em Contabilidade: Teoria e Prática. São Paulo: Atlas, 2008.

BRAGA, M. V. de A. Dos galhos à raiz: a percepção das irregularidades e a atuação do controle interno. In: BLIACHERIENE, A. C.; BRAGA, M. V. de A.; RIBEIRO, R. J. B. Controladoria no Setor Público. Belo Horizonte: Fórum, 2016.

BRASIL. Controladoria Geral da União – CGU. Instrução Normativa n.º 24, de 17 de novembro de 2015. Dispõe sobre o Plano Anual de Auditoria Interna (PAINT), os trabalhos de auditoria realizados pelas unidades de auditoria interna e o Relatório Anual de Atividades da Auditoria Interna (RAINT) e dá outras providências. Brasília, 2015. Disponível em: https://repositorio.cgu.gov.br/handle/1/33406. Acesso em: 29 jul. 2021.

BRASIL. Controladoria Geral da União – MP/CGU. Instrução Normativa Conjunta n.º 01, de 10 de maio de 2016. Dispõe sobre controles internos, gestão de riscos e governança no âmbito do Poder Executivo federal. Brasília, 2016. Disponível em: https://repositorio.cgu.gov.br/handle/1/33947.  Acesso em: 1 mai. 2021.

BRASIL. Controladoria Geral da União – CGU. Instrução Normativa n.º 03, de 09 de junho de 2017. Aprova o Referencial Técnico da Atividade de Auditoria Interna Governamental do Poder Executivo Federal. Brasília, 2017a. Disponível em: https://repositorio.cgu.gov.br/handle/1/33409. Acesso em: 7 jun. 2021.

BRASIL. Controladoria Geral da União – MT/CGU. Instrução Normativa conjunta nº 08, de 06 de dezembro de 2017. Institui o Manual de orientações técnicas da atividade de auditoria interna governamental do Poder Executivo Federal. Brasília, 2017b. Disponível em: https://repositorio.cgu.gov.br/handle/1/33405. Acesso em: 7 jun. 2021.

BRASIL. Decreto n.º 9.203, de 22 de novembro de 2017. Dispõe sobre a política de governança da administração federal direta, autárquica e fundacional. Brasília, 2017c. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2017/decreto/d9203.htm. Acesso em: 23 mar. 2021

BRASIL. Controladoria Geral da União – CGU. Instrução Normativa n.º 05, de 27 de agosto de 2021. Dispõe sobre o Plano Anual de Auditoria Interna, sobre o Relatório Anual de Atividades de Auditoria Interna e sobre o parecer sobre a prestação de contas da entidade das unidades de auditoria interna governamental sujeitas à supervisão técnica do Sistema de Controle Interno do Poder Executivo Federal. Brasília, 2021. Disponível em: https://www.in.gov.br/en/web/dou/-/instrucao-normativa-n-5-de-27-de-agosto-de-2021-342352374.  Acesso em 15 set.2021.

BRITO, C.; FONTENELLE, R. Auditoria Privada e Governamental. Rio de Janeiro: Impetus, 2015.

CASTRO, D. P. de. Auditoria, Contabilidade e controle interno no Setor público: Integração das áreas do Ciclo de Gestão: Planejamento, Orçamento, Finanças, Contabilidade e Auditoria e Organização dos Controles Internos, como suporte à Governança Corporativa. São Paulo: Atlas, 2015.

CICCO, F. de. Auditoria Baseada em Riscos: Como implementar a ABR nas organizações: uma abordagem inovadora. São Paulo: Risk Tecnologia, 2007. Disponível em: http://www.risktecnologia.com.br/AMOSTRA_%20Manual_ABR.pdf.  Acesso em: 26 mai. 2021

COSO – Committee of Sponsoring Organizations of the Treadway Commission.  Gerenciamento de riscos corporativos: estrutura integrada. São Paulo: PriceWatherhouseCoopers, Audibra, 2007. Disponível em: https://www.coso.org/documents/coso-erm-executive-summary-portuguese.pdf. Acesso em: 12 ago. 2021.

COSO – Committee of Sponsoring Organizations of the Treadway Commission. Controle Interno – estrutura integrada: Sumário Executivo e Estrutura. Tradução de Price Waterhouse Coopers e Instituto dos Auditores Internos do Brasil. São Paulo: The IIA, PwC, 2013. Disponível em: https://iso31000.net/sumario-executivo-coso-2013/. Acesso em: 09 jun. 2022.

TREASURY, H.M.The orange book: Management of Risk – Principles and Concepts. Londres: HM Treasury, 2004.

INSTITUTE OF INTERNAL AUDITORS GLOBAL – IIA. Declaração de Posicionamento do IIA: O Papel da Auditoria Interna no Gerenciamento de Riscos Corporativos. Tradução do Instituto dos Auditores Internos do Brasil. São Paulo: Instituto dos Auditores Internos do Brasil, 2009. Disponível em: https://iiabrasil.org.br/korbilload/upl/ippf/downloads/declarao-de-pos-ippf-00000001-21052018101250.pdf. Acesso em: 15 jul. 2021.

INSTITUTE OF INTERNAL AUDITORS GLOBAL – IIA. Declaração de Posicionamento do IIA: As Três Linhas de Defesa no Gerenciamento Eficaz de Riscos e Controles. Tradução do Instituto dos Auditores Internos do Brasil. 2013. Disponível em: https://iiabrasil.org.br//ippf/declaracoes-de-posicionamento. Acesso em: 15 jun. 2021.

INSTITUTE OF INTERNAL AUDITORS GLOBAL – IIA. Modelo das Três Linhas do IIA 2020. Tradução do Instituto dos Auditores Internos do Brasil. São Paulo: Instituto dos Auditores Internos do Brasil, 2020. Disponível em: https://iiabrasil.org.br/korbilload/upl/editorHTML/uploadDireto/20200758glob-th-editorHTML-00000013-20082020141130.pdf. Acesso em: 29 jul. 2022.

INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA – IBGC. Código das melhores práticas de governança corporativa. 5ª ed. São Paulo: Instituto Brasileiro de Governança Corporativa, 2015. Disponível em: https://portal.tcu.gov.br/biblioteca-digital/codigo-das-melhores-praticas-de-governanca-corporativa.htm. Acesso em:  5 ago. de 2022.

INTERNATIONAL STANDARDS OF SUPREME AUDIT INSTITUTIONS – INTOSAI. Guidelines for Internal Control Standards for the Public Sector. Vienna: INTOSAI General Secretariat – RECHNUNGSHOF, 2016.  Disponível em: https://www.issai.org/pronouncements/endorsed-as-intosai-gov-9100/. Acesso em: 03 set. 2021.

MACHADO, C. M. R. A função da retroalimentação do Controle Interno. In: BLIACHERIENE, A. C.; BRAGA, M. V. de A.; RIBEIRO, R. J. B. Controladoria no Setor Público. Belo Horizonte: Fórum, 2016.

MIRANDA, R. F. A. Implementando a Gestão de Riscos no Setor Público. 1ª reimpressão. Belo Horizonte: Fórum, 2017.

NAKANO, V. M. COSO I: estudo do processo de fiscalização de obras no TCU. 2009. 112f. Monografia (Especialização em Auditoria Interna e Controle Governamental) – Instituto Serzedello Corrêa, Brasília, DF, 2009.

OLIVEIRA, M. F. de. Metodologia científica: um manual para a realização de pesquisas em Administração. Catalão: UFG, 2011.

OLIVEIRA, T. F. Avaliação das Práticas de Auditoria Interna da Secretaria Federal de Controle Interno da CGU sob a Ótica da Auditoria Baseada em Riscos. Revista CGU. v. 11, n. 19, p 84-101, 2019. Disponível em: https://revista.cgu.gov.br/Revista_da_CGU/article/view/73. Acesso em: 19 set. 2021.

ROSA, F. S. da; LUNKES, R. J.; WOLFF, M. J. Conceitos e fundamentos de controle interno para gestão pública. In: BLIACHERIENE, A. C.; BRAGA, M. V. de A; RIBEIRO, R. J. B. Controladoria no Setor Público. Belo Horizonte: Fórum. 2016.

SARENS, G.; BEELDE, I. Internal auditors’ perception about their role in risk management: A comparison between US and Belgian companies. Managerial Auditing Journal, v. 21, n. 1, p. 63-80, 2006. Disponível em: https://www.emerald.com/insight/publication/issn/0268-6902/vol/21/iss/1. Acesso em: 9 mar. 2021.

TRIBUNAL DE CONTAS DA UNIÃO – TCU. Auditoria governamental. Brasília: Instituto Serzedello Corrêa, 2011. Disponível em: http://portal.tcu.gov.br/biblioteca-digital/curso-de-auditoria-governamental. Acesso em: 23 mar. 2021.

TRIBUNAL DE CONTAS DA UNIÃO – TCU. Roteiro de Auditoria de Gestão de Riscos. Brasília: TCU, 2017. Disponível em: http://portal.tcu.gov.br/biblioteca-digital/roteiro-de-auditoria-de-gestao-de-risco.htm. Acesso em: 18 abr. 2021.

TRIBUNAL DE CONTAS DA UNIÃO. Referencial básico de gestão de riscos. Brasília: TCU, 2018. Disponível em: https://repositorio.cgu.gov.br/handle/1/33144. Acesso em: 1 set. 2021.

APÊNDICE – REFERÊNCIA NOTA DE RODAPÉ

2. An effective system of internal control reduces the probability of not achieving the objectives. However, there will always be the risk that internal control will be poorly designed or fail to operate as intended (INTOSAI, 2016, p. 12).

3. Risk is defined as this uncertainty of outcome, whether positive opportunity or negative threat, of actions and events. The risk has to be assessed in respect of the combination of the likelihood of something happening, and the impact which arises if it does actually happen. Risk management includes identifying and assessing risks (the “inherent risks”) and then responding to them (TREASURY, 2004, p. 9).

4. Internal auditors are potentially important providers of independent evaluations of the risk management and internal control system (assurance), eventually combined with more practice-oriented management assistance (consulting) in this area (SARENS; BELDEE, 2006, p. 7).

^[1] Mestre em Direção e Administração de Empresas pela Universidad de La Empresa – UDE, Especialista em Gestão Tributária pela Faculdade de Ilhéus – CESUPI, e Bacharel em Ciências Contábeis pela Universidade Estadual de Santa Cruz – UESC. ORCID: 0000-0002-3643-6303.

Enviado: Agosto, 2022.

Aprovado: Outubro, 2022.