Manual de auditoria

Manual de
Auditoria
Interna
AUDITORIA-GERAL DA UFMG
2ª Versão
INTRODUÇÃO Belo Horizonte - 2013
APRESENTAÇÃO

Manual de Auditoria Interna
2
APRESENTAÇÃO
Em 2011, a Auditoria-Geral da UFMG decidiu elaborar seu primeiro manual, visando à melhoria dos
procedimentos internos e preencher lacuna existente desde sua constituição. Em sua segunda
edição, o Manual de Auditoria Interna da UFMG traz algumas atualizações e revisões no que tange às
mudanças legais e normativas, bem como na incorporação de novos procedimentos e recentes
metodologias de trabalho.
A finalidade básica deste manual é reunir de forma sistematizada conceitos básicos sobre a matéria,
as principais legislações correlatas, plano de trabalho, organização, competências, forma de
planejamento e execução das ações de auditoria e controle, comunicação dos relatórios, diretrizes
gerais e o estabelecimento de procedimentos essenciais ao desenvolvimento das atividades de
auditoria, visando, principalmente, alcançar uniformidade de atendimento, padronização mínima dos
procedimentos e disciplinar as atividades no âmbito da Auditoria-Geral da UFMG. Além disso, são
abordadas as condutas profissionais do auditor quando da realização dos trabalhos de auditoria e
elementos do código de ética.
Assim, o objetivo deste Manual é servir de orientação e auxílio aos integrantes da Auditoria- Geral e
a todos aqueles que pretendam obter subsídios acerca dos procedimentos de Auditoria e das
disposições normativas.
Este Manual é resultado de pesquisas realizadas em livros, manuais de auditoria do setor público,
artigos, legislações, normas técnicas/profissionais e na experiência acumulada da prática de auditoria
dos servidores lotados no órgão.
Não se pretende esgotar os assuntos aqui abordados, mas, estar abertos a uma constante revisão em
parceria com nossos colegas, objetivando uma melhoria contínua e atualização em face de alterações
na legislação.
Espera-se que a experiência decorrente da aplicação desse manual possa promover importantes
ajustes ao longo do tempo, sobretudo, na necessidade de introdução de métodos e procedimentos
que sejam determinantes para a modernização da gestão governamental.
O sucesso de todo e qualquer manual de padronização, ou de regras, depende,
preponderantemente, do bom-senso de quem o utiliza, pois o perigo das regras está na sua
interpretação. Este trabalho não substitui o conhecimento da legislação que afeta ao mesmo, seu
êxito não depende do bom nível cultural de quem irá manuseá-lo, mas, e principalmente, da
sensibilidade e humildade do seu consultante.
A versão, sempre atualizada, deste manual e seus complementos (programas de trabalho e
procedimentos de auditoria) estão disponibilizados no diretório P:AUDManual Auditoria e no sítio
eletrônico da Auditoria-Geral: https://www.ufmg.br/auditoria.

3
Sumário
1. DA UNIDADE DE AUDITORIA INTERNA.......................................................................................5
1.1 Histórico e objetivos................................................................................................................ 5
1.2 Definição da auditoria interna ................................................................................................ 6
1.3 Legislação aplicável ................................................................................................................. 9
1.4 Organização........................................................................................................................... 11
1.5 Competência regimental....................................................................................................... 12
1.6 Áreas de atuação................................................................................................................... 12
1.7 Conduta do auditor............................................................................................................... 14
1.8 Código de ética............................................................................................................................ 15
1.8.1 Deveres do auditor ............................................................................................................... 15
1.8.2 Vedações ao auditor............................................................................................................. 16
2. PROCESSO DE AUDITORIA ....................................................................................................... 17
2.1 Plano de auditoria....................................................................................................................... 18
2.2 Planejamento dos trabalhos ....................................................................................................... 20
2.2.1 Programa de auditoria......................................................................................................... 21
2.2.2. Avaliação dos controles internos......................................................................................... 26
2.2.3 Critérios e técnicas de amostragem..................................................................................... 40
2.2.4 Risco de auditoria................................................................................................................. 49
2.3 Execução dos trabalhos de auditoria .......................................................................................... 53
2.3.1 Reunião de abertura dos trabalhos com o auditado............................................................ 53
2.3.2 Estudo e avaliação dos controles internos........................................................................... 53
2.3.3 Aplicação dos programas de auditoria ................................................................................ 55
2.3.4 Dos procedimentos gerais de auditoria ............................................................................... 56
2.3.5 Erro e irregularidade ............................................................................................................ 72
2.3.6 Achados em auditoria (constatações).................................................................................. 73
2.3.7 Evidências de auditoria ........................................................................................................ 79
2.3.8 Papeis de trabalho................................................................................................................ 81
2.4 Comunicação dos resultados ...................................................................................................... 90
2.4.1 Atributos da comunicação escrita........................................................................................ 93
2.4.2 Tipos de Relatórios de Auditoria .......................................................................................... 96
2.4.3 Estrutura do relatório de auditoria ...................................................................................... 98
2.4.4 Audiência e comentários do auditado................................................................................ 101

4
2.5 Monitoramento do trabalho de auditoria – follow-up ............................................................. 101
2.5.1 Plano de ação para implementação das recomendações.................................................. 102
3. DA ATUALIZAÇÃO DO MANUAL DE AUDITORIA INTERNA ....................................................... 103
4. DA OBRIGATORIEDADE DE CUMPRIMENTO ........................................................................... 103
ANEXOS
I- Regimento Interno da Auditoria-Geral da UFMG
II- Ofício Circular GR. 007/2013
APÊNDICE
A- Código de Ética do Auditor Interno da UFMG
B- Plano Anual de Atividades de Auditoria Interna – PAINT (Modelo)
C- Ordem de Serviço de designação (Modelo)
D- Programa de Trabalho de Auditoria – PTA (Modelo)
E- Procedimento de Auditoria – PA (Modelo)
F- Ofícios de apresentação e solicitação de documentos (Modelos)
G- Localização de documentos e modelos utilizados nos trabalhos de auditoria
H- Relatório de Auditoria (Modelo)
I- Plano de ação para implementação das recomendações da Auditoria- Geral (Modelo)
J- Controle de atualização

5
1. DA UNIDADE DE AUDITORIA INTERNA
1.1 Histórico e objetivos
A Auditoria Interna da Universidade Federal de Minas Gerais (UFMG) foi instituída, em 1972, como
órgão vinculado ao Conselho Universitário, como determinado no art. 20 do Estatuto dessa
Instituição. Somente em julho de 1974, porém, foi definitivamente implantada por meio de convênio
firmado entre a Reitoria da UFMG e a Faculdade de Ciências Econômicas (FaCE).
Em 14 de junho de 1985, mediante a Resolução n° 08, do Conselho Universitário da UFMG, foi
aprovado o primeiro Regimento Interno da Auditoria-Geral dessa Universidade.
Em 1999, pela Resolução n° 04, de 4 de março de 1999, aprovou-se o atual Estatuto da UFMG, em
que, no art. 11, inciso II, a Auditoria-Geral foi definida como Órgão de Assessoramento do Conselho
Universitário da UFMG, conforme organograma abaixo.
Em decorrência de inúmeras mudanças pertinentes aos ordenamentos legais – notadamente, após a
promulgação da Constituição Federal –, em 2006, o Regimento Interno da Auditoria-Geral foi
revisado e aprovado pelo Conselho Universitário mediante a Resolução n° 02, de 8 de junho de 2006
(Anexo I).
A Auditoria-Geral tem como missão assessorar, de forma permanente, o Conselho Universitário da
Universidade Federal de Minas Gerais, visando a garantir a eficiência e a eficácia na aplicação e no
controle dos recursos públicos no âmbito dessa Instituição. Tem por finalidade examinar, assessorar,
orientar, acompanhar e avaliar os atos de gestão conforme definido no artigo 2º do seu Regimento
Interno.
Unidades de Ensino, Pesquisa e
Extensão
Órgãos da Administração
Superior
Órgãos de deliberação superior e
Fiscalização Econômica Financeira
Conselho Universitário
Secretária dos Órgãos de
Deliberação Superior
Auditoria-Geral
UNIVERSIDADE FEDERAL DE MINAS GERAIS
Pró-Reitorias Assessorias Diretorias
Conselho de
Curadores
Conselho de Ensino,
Pesquisa e Extensão
Reitorado
Conselho de
Diretores
Órgãos
Suplementares
Órgãos
Auxiliares
Escolas/Faculdades Institutos Órgãos complementares Unidades Especiais
Figura 1 – Organograma da UFMG (Adaptado).
Fonte: Disponível em https://www.ufmg.br/proplan_site_antigo/relatorios_anuais/relatorio_anual_2008/dados/estr_organiz.htm

6
Vale destacar ainda que conforme o art. 15 do Decreto Presidencial nº 3.591/2000, as unidades de
auditoria interna das entidades da Administração Pública Federal indireta vinculadas aos Ministérios
e aos órgãos da Presidência da República sujeitam-se à orientação normativa e supervisão técnica da
Controladoria-Geral da União - CGU e dos órgãos setoriais do Sistema de Controle Interno do Poder
Executivo Federal (Controladorias Regionais da União nos Estados), em suas respectivas áreas de
jurisdição.
O supracitado dispositivo legal determina que a unidade de auditoria interna apresente anualmente
ao órgão ou à unidade de controle interno a que estiver jurisdicionada, para efeito de integração das
ações de controle, seu plano de trabalho do exercício seguinte, denominado Plano Anual de
Atividades de Auditoria Interna – PAINT, bem como o Relatório Anual de Atividades de Auditoria
Interna – RAINT contendo o relato das atividades de auditoria desenvolvidas durante o ano. Tais
instrumentos são abordados, respectivamente, nos itens 2.1 e 2.4.2 deste Manual.
1.2 Definição da auditoria interna
Etimologicamente a palavra “auditoria” tem a sua origem no verbo latino audire, que significa
“ouvir”, e que conduziu à criação da palavra “auditor” (do latim auditore) como sendo aquele que
ouve. Isto pelo fato de nos primórdios da auditoria os auditores tirarem as suas conclusões
fundamentadamente com base nas informações verbais que lhes eram transmitidas.
Atualmente, atribuiu-se à auditoria um conjunto mais abrangente de importantes funções,
envolvendo todo o organismo da entidade e dos seus órgãos de gestão, com a finalidade de efetuar
críticas e emitir opiniões sobre a situação econômico-financeira e sobre os resultados de ambos.
Ressalte-se que a auditoria também tem o objetivo de identificar deficiências no sistema de controle
interno e no sistema financeiro, apresentando recomendações para melhorá-los.
A International Federation of Accountants – IFAC (Federação Internacional de Contadores) define
auditoria como “uma verificação ou exame feito por um auditor dos documentos de prestação de
contas com o objetivo de o habilitar a expressar uma opinião sobre os referidos documentos de
modo a dar aos mesmos a maior credibilidade”.
Já o conceito da International Organization of Supreme Audit Institutions – INTOSAI (Organização
Internacional de Instituições Superiores de Auditoria), que está mais voltado para o controle das
finanças públicas, define como “o exame das operações, atividades e sistemas de determinada
entidade, com vista a verificar se são executados ou funcionam em conformidade com determinados
objetivos, orçamentos, regras e normas”.
Existem diversas classificações de auditoria, as quais de um modo geral têm a designação constante
do QUADRO 1 consoante o seu objeto, a finalidade, o âmbito, a extensão, a periodicidade e o agente
executante.

7
Quadro 1 – Classificações de Auditoria
Fonte: Adaptado do Manual de Auditoria Interna do Instituto Português de Apoio ao Desenvolvimento – IPAD 2009.
Conforme se observa no QUADRO 1, sob a concepção do agente executante, a Auditoria é
classificada em Auditoria externa e interna.
Silva (2009, p. 16) define auditoria interna como sendo “um processo de trabalho voltado para
avaliação da rotina administrativa, com base na verificação dos procedimentos operacionais”, isto é
deve-se levar em consideração o conjunto de normas e procedimentos da entidade, bem como os
controles internos criados e implantados por ela, visando certificar a avaliação do sistema de
controle interno.
O Conselho Federal de Contabilidade - CFC, em sua norma técnica NBC TI 01- Da Auditoria Interna,
define as atividades e objetivos da Auditoria Interna, nestes termos:
12.1.1.3 - A Auditoria Interna compreende os exames, análises, avaliações,
levantamentos e comprovações, metodologicamente estruturados para a
avaliação da integridade, adequação, eficácia, eficiência e economicidade dos
processos, dos sistemas de informações e de controles internos integrados ao
ambiente, e de gerenciamento de riscos, com vistas a assistir à administração da
entidade no cumprimento de seus objetivos.
• Auditoria das demonstrações financeiras ou contábil
• Auditoria de conformidade
• Auditoria operacional
• Auditoria de avaliação de gestão
• Auditoria fiscal
• Auditoria governamental
• Auditoria de sistemas
• Auditoria estratégica
Quanto ao conteúdo e finalidade
• Auditoria geral
• Auditoria parcial
Quanto à amplitude
• Auditoria permanente
• Auditoria ocasional
Quanto à periodicidade
• Auditoria de informação histórica
• Auditoria da informação previsional ou prospectiva
Quanto ao período temporal que
analisa
• Auditoria de fonte legal
• Auditoria de fonte contratual
Quanto à obrigatoriedade
• Auditoria externa
• Auditoria Interna
Quanto ao sujeito que a realiza

8
12.1.1.4 - A atividade da Auditoria Interna está estruturada em procedimentos
com enfoque técnico, objetivo, sistemático e disciplinado, e tem por finalidade
agregar valor ao resultado da organização, apresentando subsídios para o
aperfeiçoamento dos processos, da gestão e dos controles internos, por meio da
recomendação de soluções para as não-conformidades apontadas nos relatórios.
Sob a ótica do Tribunal de Contas da União – TCU, expresso na Decisão nº 507/2001, “a unidade de
auditoria interna (órgão ou unidade de controle interno no setor público) é um importante agente na
estrutura de governança corporativa e tem como competência principal avaliar o funcionamento
dos sistemas de controles internos das organizações e se os regulamentos, instruções e políticas
estão sendo observadas, de modo a auxiliar essas organizações a alcançarem suas missões
institucionais”.
Segundo as normas internacionais de auditoria interna do The Institute of Internal Auditors – IIA
(Instituto de Auditores Internos), a auditoria interna é:
uma atividade independente e objetiva que presta serviços de avaliação
(assurance) e consultoria e tem como objetivo adicionar valor e melhorar as
operações de uma organização. A auditoria auxilia a organização a alcançar seus
objetivos através de uma abordagem sistemática e disciplinada para a avaliação e
melhoria da eficácia dos processos de gerenciamento de riscos, de controle e
governança corporativa.
1
Ainda na concepção do IIA, a auditoria interna é o conjunto de técnicas que visa avaliar, por
amostragem, a gestão da Entidade, pelos processos e resultados gerenciais, mediante a confrontação
entre uma situação encontrada com um determinado critério técnico, operacional ou normativo.
Trata-se de um importante componente de controle das Entidades na busca da melhor alocação dos
recursos do contribuinte, não só atuando para corrigir os desperdícios, as
impropriedades/disfunções, a negligência e a omissão, mas, principalmente, antecipando-se a essas
ocorrências, buscando garantir os resultados pretendidos, além de destacar os impactos e benefícios
sociais advindos, em especial sob a dimensão da equidade, intimamente ligada ao imperativo de
justiça social.
Sob a ótica do conteúdo e finalidade, a IN SFC nº 01/2001 categoriza e conceitua os tipos de
auditoria, conforme apresentado no QUADRO 2.
1
Disponível em: http://www.theiia.org/guidance/standards-and-guidance/ippf/definition-of-internal-auditing/

9
Quadro 2 - Tipos de auditoria
Tipo de Auditoria Descrição
Auditoria de
Avaliação da Gestão
Esse tipo de auditoria objetiva emitir opinião com vistas a certificar a regularidade
das contas, verificar a execução de contratos, acordos, convênios ou ajustes, a
probidade na aplicação dos dinheiros públicos e na guarda ou administração de
valores e outros bens da União ou a ela confiados, compreendendo, entre outros,
os seguintes aspectos: exame das peças que instruem os processos de tomada ou
prestação de contas; exame da documentação comprobatória dos atos e fatos
administrativos; verificação da eficiência dos sistemas de controles administrativo e
contábil; verificação do cumprimento da legislação pertinente; e avaliação dos
resultados operacionais e da execução dos programas de governo quanto à
economicidade, eficiência e eficácia dos mesmos.
Auditoria de
Acompanhamento da
Gestão
Realizada ao longo dos processos de gestão, com o objetivo de se atuar em tempo
real sobre os atos efetivos e os efeitos potenciais positivos e negativos de uma
unidade ou entidade federal, evidenciando melhorias e economias existentes no
processo ou prevenindo gargalos ao desempenho da sua missão institucional.
Auditoria Contábil Compreende o exame dos registros e documentos e na coleta de informações e
confirmações, mediante procedimentos específicos, pertinentes ao controle do
patrimônio de uma unidade, entidade ou projeto. Objetivam obter elementos
comprobatórios suficientes que permitam opinar se os registros contábeis foram
efetuados de acordo com os princípios fundamentais de contabilidade e se as
demonstrações deles originárias refletem, adequadamente, em seus aspectos mais
relevantes, a situação econômico-financeira do patrimônio, os resultados do período
administrativo examinado e as demais situações nelas demonstradas. Tem por
objeto, também, verificar a efetividade e a aplicação de recursos externos, oriundos
de agentes financeiros e organismos internacionais, por unidades ou entidades
públicas executoras de projetos celebrados com aqueles organismos com vistas a
emitir opinião sobre a adequação e fidedignidade das demonstrações financeiras.
Auditoria Operacional Consiste em avaliar as ações gerenciais e os procedimentos relacionados ao
processo operacional, ou parte dele, das unidades ou entidades da administração
pública federal, programas de governo, projetos, atividades, ou segmentos destes,
com a finalidade de emitir uma opinião sobre a gestão quanto aos aspectos da
eficiência, eficácia e economicidade, procurando auxiliar a administração na
gerência e nos resultados, por meio de recomendações, que visem aprimorar os
procedimentos, melhorar os controles e aumentar a responsabilidade gerencial.
Este tipo de procedimento auditorial, consiste numa atividade de assessoramento
ao gestor público, com vistas a aprimorar as práticas dos atos e fatos
administrativos, sendo desenvolvida de forma tempestiva no contexto do setor
público, atuando sobre a gestão, seus programas governamentais e sistemas
informatizados.
Auditoria Especial Objetiva o exame de fatos ou situações consideradas relevantes, de natureza
incomum ou extraordinária, sendo realizadas para atender determinação expressa
de autoridade competente. Classifica-se nesse tipo os demais trabalhos auditoriais
não inseridos em outras classes de atividades.
Fonte: Instrução Normativa SFC nº 01/2001
Atualmente, as auditorias realizadas no âmbito da UFMG enquadram-se nas modalidades de:
Auditoria de Avaliação de Gestão, Auditoria Contábil e Auditoria Especial.
1.3 Legislação aplicável
Para uma melhor compreensão do funcionamento da administração pública e da unidade de
auditoria interna, bem como de suas atribuições e atividades desempenhadas, recomenda-se aos

10
auditores internos, sempre que se fizer necessário, a leitura e análise do arcabouço legal
referenciado a seguir:
a) Constituição Federal e Leis
 Constituição Federal/88 - Arts. 70 e 74
 Emenda Constitucional nº 19/98
 Lei nº 4.320/64 - Lei de Finanças Públicas
 Lei nº 8.112/90 - Estatuto do Servidor Público anotada
 Lei nº 8.666/93 - Lei de Licitações e Contratos Administrativos
 Lei nº 8.958/94 - Lei sobre Fundações de apoio
 Lei Complementar nº 101/00 - Lei de Responsabilidade Fiscal
 Lei nº 10.520/02 - Pregão Presencial e Eletrônico
 Lei nº 11.091/05 - Plano de Carreiras - PCCTAE
 Lei nº 12.772/12 - Plano de Carreiras e Cargos - Docentes
 Leis Orçamentárias vigentes (PPA, LDO e LOA)
b) Decretos
 Decreto-Lei nº 200/67 - Organização Administrativa Federal
 Decreto nº 93.872/1986 - Unificação dos recursos de caixa do Tesouro Nacional.
 Decreto nº 1.171/94 - Código de Ética do Servidor Público Civil
 Decreto nº 3.591/00 - Sistema Controle Interno do Governo Federal
 Decreto nº 5.450/05 - Pregão eletrônico
 Decreto nº 6.976/09 - Sistema de Contabilidade Federal
 Decreto nº 7.423/10 - Relações entre IFES e Fundações de apoio
 Decreto nº 7.892/13 - Sistema de Registro de Preços
c) Resoluções internas, Plano institucional e Manuais STN
 Resolução n° 04/99 - Estatuto da UFMG
 Resolução nº 02/06 - Regimento da Auditoria Geral da UFMG
 Resolução complementar nº 01/10 - Regimento Geral da UFMG
 Plano de Desenvolvimento Institucional (2013-2017)
 Manual de Contabilidade Aplicada ao Setor Público - STN
 Manual Siafi
d) Normas brasileiras profissionais e técnicas aplicadas à auditoria interna
 Resolução CFC nº 781/95. NBC PI 01 - Normas Profissionais do Auditor Interno
 Resolução CFC nº 803/96. Código de Ética Profissional do Contador
 Resolução CFC nº 986/03. NBC TI 01 - Da Auditoria Interna
 Resolução CFC nº 1.229/09. NBC TA 610 – Utilização do Trabalho de Auditoria Interna
 Resolução CFC nº 1.311/10. NBC PA 290 – Independência - Trabalhos de Auditoria e Revisão

11
e) Normas brasileiras de contabilidade aplicadas ao setor público
 Resolução CFC nº. 1.128/08. NBC T 16.1 - Conceituação, Objeto e Campo de Aplicação
 Resolução CFC nº. 1.129/08. NBC T 16.2 - Patrimônio e Sistemas Contábeis
 Resolução CFC nº. 1.130/08. NBC T 16.3 - Planejamento e seus Instrumentos sob o Enfoque
Contábil
 Resolução CFC nº. 1.131/08. NBC T 16.4 - Transações no Setor Público
 Resolução CFC nº. 1.132/08. NBC T 16.5 - Registro Contábil
 Resolução CFC nº. 1.133/08. NBC T 16.6 - Demonstrações Contábeis
 Resolução CFC nº. 1.134/08. NBC T 16.7 - Consolidação das Demonstrações Contábeis
 Resolução CFC nº. 1.135/08. NBC T 16.8 - Controle Interno
 Resolução CFC nº. 1.136/08. NBC T 16.9 - Depreciação, Amortização e Exaustão
 Resolução CFC nº. 1.137/08. NBC T 16.10 - Avaliação e Mensuração de Ativos e Passivos em
Entidades do Setor Público
f) Instruções normativas
 Instrução Normativa SFC/MF nº 01, de 06 de abril de 2001, Capítulo X
 Instrução Normativa CGU-PR nº 07, de 29 de dezembro de 2006 (PAINT)
 Instrução Normativa SFC/CGU-PR nº 01, de 03 de janeiro de 2007 (PAINT e RAINT)
1.4 Organização
A estrutura funcional da Auditoria-Geral da UFMG está definida no art. 3º do seu Regimento Interno
(Anexo I) e é composta atualmente por 08 (oito) servidores concursados, dos quais 07 (sete) com
formação superior em Ciências Contábeis, com especialização stricto sensu em Administração, lato
sensu em Auditoria Externa, Contabilidade Governamental e Administração Financeira. Conta ainda
com 01 (uma) secretária com formação superior em Serviço Social. Atualmente, a Auditoria-Geral
apresenta a seguinte configuração:
Figura 2 – Organograma da Auditoria-Geral
Fonte: Adaptado da Resolução interna nº 02/06.
Auditor
Geral
Auditor 1 Auditor 2
Auditor 3 Auditor 4
Auditor 5
Auditor
Adjunto
Secretaria

12
1.5 Competência regimental
A unidade de auditoria tem como competências conforme disposto no art. 5º do Regimento Interno
e no Capítulo X, Seção I, item 13 da Instrução Normativa SFC nº 01/2001:
I - acompanhar o cumprimento das metas do Plano Plurianual, visando a
comprovar a pertinência de sua execução;
II - assessorar os gestores no acompanhamento da execução dos programas
governamentais, objetivando comprovar o nível de execução das metas, o alcance
dos objetivos e a adequação do gerenciamento;
III - verificar a execução do orçamento, para comprovar sua conformidade com os
limites e destinações estabelecidos na legislação vigente;
IV - examinar a legalidade e a legitimidade dos atos de gestão, bem como os
resultados quanto à economicidade, eficácia e eficiência, tanto em termos
orçamentários, financeiros e patrimoniais, como em aspectos referentes ao
gerenciamento de pessoal e aos demais sistemas operacionais;
V - orientar subsidiariamente os gestores quanto aos princípios e normas de
controle interno, inclusive quanto à sistemática de prestação de contas;
VI - examinar e emitir parecer prévio referente à prestação de contas anual e
tomadas de contas especiais da Entidade;
VII - verificar a adequação e acompanhar a implementação das recomendações
exaradas por órgãos/unidades do Sistema de Controle Interno do Poder Executivo
Federal e do Tribunal de Contas da União;
VIII - elaborar o Plano Anual de Atividades de Auditoria Interna correspondente ao
exercício seguinte, bem como o Relatório Anual das Atividades desenvolvidas pelo
órgão.
1.6 Áreas de atuação
A área de atuação da unidade de auditoria abrange todas as unidades gestoras da UFMG e de suas
atividades relacionadas com as fundações de apoio e assistencial no que tange à gestão dos recursos
públicos federais, constituindo-se objeto de exames amostrais os processos de trabalho, com ênfase
para:
a) Os sistemas administrativo-operacionais e os controles internos administrativos utilizados na
gestão orçamentária, contábil, financeira, patrimonial, suprimentos, operacional e de
pessoal;
b) A execução dos planos, programas, projetos e atividades que envolvam aplicação de recursos
públicos federais;
c) A aplicação e as transferências de recursos da UFMG a entidades públicas ou privadas;
d) Os contratos e convênios firmados pela UFMG com entidades públicas ou privadas, para
ações de cooperação, prestação de serviços, execução de obras e fornecimento de materiais;
e) Os processos de licitação, inclusive na modalidade pregão, as dispensas e as inexigibilidades;
f) Os instrumentos e sistemas de guarda e conservação dos bens móveis, imóveis e de
consumo sob a responsabilidade das unidades gestoras da UFMG;
g) Os atos administrativos que resultem direitos e obrigações para a UFMG;
h) A verificação do cumprimento das normas internas e da legislação pertinente;
i) Os processos de tomada de contas especiais e de diligências do Ministério Público;
j) Os processos de movimentação de pessoal: admissão, desligamento e de concessões de
aposentadoria, cessão e pensão.

13
Estão sujeitos à atuação da unidade de auditoria quaisquer unidades gestoras ou servidores que
utilizem, arrecadem, guardem, gerenciem ou administrem dinheiro, bens e valores da UFMG ou
pelos quais a UFMG responda, ou que, em nome deste, assuma obrigações de natureza pecuniária.
Em caráter complementar ao previsto no art. 26 da Lei nº 10.180/2001, que trata sobre o exercício
pleno das atribuições inerentes às atividades de auditoria estão previstas no art. 8º do Regimento
interno da Auditoria-Geral (Anexo I) e Ofício Circular GR. 007/2013 (Anexo II) algumas
determinações e recomendações a serem observadas pelos auditores internos e pelas unidades e
órgãos auditados de modo a contribuírem nos exames realizados pela auditoria.
Art. 26. Nenhum processo, documento ou informação poderá ser sonegado aos
servidores dos Sistemas de Contabilidade Federal e de Controle Interno do Poder
Executivo Federal, no exercício das atribuições inerentes às atividades de registros
contábeis, de auditoria, fiscalização e avaliação de gestão.
§ 1
o
O agente público que, por ação ou omissão, causar embaraço,
constrangimento ou obstáculo à atuação dos Sistemas de Contabilidade Federal e
de Controle Interno, no desempenho de suas funções institucionais, ficará sujeito à
pena de responsabilidade administrativa, civil e penal.
§ 3
o
O servidor deverá guardar sigilo sobre dados e informações pertinentes aos
assuntos a que tiver acesso em decorrência do exercício de suas funções,
utilizando-os, exclusivamente, para a elaboração de pareceres e relatórios
destinados à autoridade competente, sob pena de responsabilidade administrativa,
civil e penal. (LEI nº 10.180/2001)
Art. 8º Os auditores deverão se identificar, quando no exercício de suas atividades,
apresentando à autoridade competente designação expressa do Auditor-Geral;
§ 1º A Auditoria-Geral exercerá suas atividades com independência e
imparcialidade, assegurando o devido sigilo, quando os trabalhos assim o exigirem.
§ 2º Os dirigentes de órgãos e Unidades ligados à UFMG deverão proporcionar aos
auditores condições de trabalho, permitindo-lhes livre acesso a informações,
títulos, documentos, bens, valores e demais instrumentos necessários e
pertinentes à execução dos trabalhos, bem como às dependências e instalações
físicas em seu âmbito.
§ 3º As tarefas desempenhadas obedecerão às normas e aos procedimentos de
auditoria aplicáveis à Administração Pública Federal.
§ 4º O Auditor-Geral, em assunto fora de sua especialidade, poderá, a seu juízo,
solicitar perito habilitado na área, com a finalidade de emitir parecer sobre a
matéria, no prazo estipulado, para subsidiar o relatório de Auditoria. (RESOLUÇÃO
Nº 02/2006)
a) Às unidades vinculadas direta ou indiretamente à UFMG, submetidas a
exames de auditoria interna pela unidade da Auditoria Geral desta Universidade,
que observem o estabelecido neste Ofício Circular;
b) Que seja dado à Auditoria Geral o acesso irrestrito a registros, informações,
sistemas, pessoal e propriedades físicas relevantes à execução de suas auditorias;
c) Que os departamentos dessa Instituição apresentem, tempestiva e
obrigatoriamente, informações requeridas pela Auditoria Interna, sejam elas na
forma de solicitações de documentos ou no atendimento das recomendações
exaradas nos relatórios de auditoria. (OFÍCIO CIRCULAR GR. Nº 007/2013)

14
1.7 Conduta do auditor2
A função da auditoria requer do profissional competência técnica exigida do trabalho a ser executado
com qualidade, credibilidade, autonomia, sigilo e relacionamento com outras pessoas, mantendo o
equilíbrio e os padrões morais na conduta do auditor, observadas as normas brasileiras de auditoria
e demais normas emanadas do Conselho Federal de Contabilidade ou por ele recepcionadas.
Particularmente, a Resolução CFC nº 781/95 que aprovou as Normas Profissionais do Auditor Interno
- NBC PI 01 prevê os seguintes requisitos para o exercício profissional do auditor:
a) Competência técnico-profissional
 O contador, na função de auditor, deve manter o seu nível de competência profissional pelo
conhecimento atualizado das Normas Brasileiras de Contabilidade, das técnicas contábeis,
especialmente na área de auditoria, da legislação inerente à profissão, dos conceitos e
técnicas administrativas e da legislação aplicável à Entidade.
 Quanto à atualização deve ser atendida à educação profissional continuada, ainda que não
seja em instituição credenciada, nos moldes da aplicada ao auditor independente.
 O Contador, na função de auditor, deverá está inscrito no seu CRC de origem conforme
estabelece a Resolução CFC nº 781/95.
b) Autonomia profissional
O auditor, não obstante sua posição funcional deve preservar sua autonomia profissional.
c) Responsabilidade do auditor na execução dos trabalhos
 O auditor deve ter o máximo de cuidado, imparcialidade e zelo na realização dos trabalhos e
na exposição das conclusões.
 A amplitude do trabalho do auditor e sua responsabilidade estão limitadas à sua área de
atuação.
 A utilização da equipe técnica supõe razoável segurança de que o trabalho venha a ser
executado por pessoas com capacitação profissional e treinamento.
 Cabe também ao auditor interno, quando solicitado, prestar assessoria ao Conselho Fiscal ou
órgãos equivalentes.
d) Relacionamento com profissionais de outras áreas
O auditor interno pode realizar trabalhos de forma compartilhada com profissionais de outras áreas,
situação em que a equipe fará a divisão de tarefas, segundo a habilitação técnica e legal dos seus
participantes.
e) Sigilo
2
Texto extraído e adaptado do Manual de auditoria do sistema CFC/CRCs. Conselho Federal de Contabilidade.
Brasília. CFC: 2007.

15
 O auditor deve respeitar o sigilo relativamente às informações obtidas durante o seu
trabalho, não as divulgando para terceiros, sob nenhuma circunstância, sem autorização
expressa da entidade em que atua.
 O dever de manter o sigilo continua depois de terminado o vínculo empregatício ou
contratual.
f) Cooperação com o auditor independente
O auditor interno, quando previamente estabelecido com a administração da entidade em que atua,
e no âmbito de planejamento conjunto do trabalho a realizar, deve apresentar os seus papeis de
trabalho ao auditor independente e entregar-lhe cópias, quando este entender necessário.
1.8 Código de ética3
A ética deve ser um balizador fundamental, ou seja, um imperativo categórico na conduta do
profissional contábil, tendo o objetivo precípuo de fixar e conduzir a forma de atuação do auditor no
seu mister no seio da sociedade, observadas as normas editadas pelo CFC e outras pertinentes.
Particularmente, a Resolução CFC nº 803/96 que aprovou o Código de Ética Profissional do
Contabilista prevê os requisitos básicos para a conduta do auditor e, dentre eles, destacam-se a
seguir os deveres e vedações ao auditor:
1.8.1 Deveres do auditor
 Exercer a profissão com zelo, diligência e honestidade, observada a legislação vigente e
resguardados os interesses da entidade, sem prejuízo da dignidade e independência
profissionais.
 Guardar sigilo sobre o que souber em razão do exercício profissional lícito, inclusive no
âmbito do serviço público, ressalvados os casos previstos em lei ou quando solicitado por
autoridades competentes, entre estas os Conselhos Regionais de Contabilidade.
 Zelar pela sua competência exclusiva na orientação técnica dos serviços a seu cargo,
esforçando-se, continuamente, para melhorar o seu nível de conhecimento e eficácia de seu
trabalho.
 Comunicar, desde logo, aos seus superiores, em documento reservado, eventual
circunstância adversa que possa influir na decisão daquele que lhe formular consulta ou lhe
confiar trabalho, estendendo-se a obrigação a sócios e executores;
 Inteirar-se de todas as circunstâncias antes de emitir opinião sobre qualquer caso.
 Se substituído em suas funções, informar ao substituto sobre fatos que devam chegar ao
conhecimento desse, a fim de habilitá-lo para o bom desempenho das funções a serem
exercidas.
 Manifestar, a qualquer tempo, a existência de impedimento para o exercício da profissão.
3
Texto extraído e adaptado do Manual de auditoria do sistema CFC/CRCs. Conselho Federal de Contabilidade.
Brasília. CFC:2007.

16
 Ser prudente ao usar informações obtidas no curso de seu trabalho, não devendo divulgar
informações confidenciais, muitos menos para obter vantagens pessoais ou prejudicar
alguém do órgão/entidade.
 Mencionar obrigatoriamente fatos que conheça e repute em condições de exercer efeito
sobre peças contábeis objeto de seu trabalho.
 Observar os regulamentos internos da UFMG.
 Manter aparência pessoal de forma discreta e que corresponda com a expectativa do
auditado.
1.8.2 Vedações ao auditor
 Assumir, direta ou indiretamente, serviços de qualquer natureza, com prejuízo moral ou
desprestígio para a classe.
 Assinar documentos e relatórios elaborados por outrem, alheios à sua orientação, supervisão
e fiscalização.
 Concorrer para a realização de ato contrário à legislação ou destinado a fraudá-la ou praticar,
no exercício da profissão, ato definido como crime ou contravenção.
 Solicitar ou receber do auditado qualquer vantagem que saiba para aplicação ilícita.
 Prejudicar, culposa ou dolosamente, interesse confiado a sua responsabilidade profissional.
 Exercer atividade ou ligar o seu nome a empreendimentos com finalidades ilícitas.
 Renunciar à liberdade profissional, devendo evitar quaisquer restrições ou imposições que
possam prejudicar a eficácia e a correção de seu trabalho.
 Dar parecer ou emitir opinião sem estar suficientemente informado e munido de
documentos.
Os auditores internos não poderão assumir responsabilidades operacionais extra-auditoria, caso
contrário haverá enfraquecimento da objetividade na medida em que seria auditada atividade sobre
a qual aqueles profissionais teriam autoridade e responsabilidade4
.
Além dos requisitos descritos acima, cabe ressaltar que de acordo com o item 1.1.2, TC-
010.811/2002-8, Acórdão n° 1.157/2005-TCU - 2ª Câmara e IIA nº 1130.A1-1, os auditores internos
não integrarão comissões de feitos administrativos disciplinares, pois que se configura em situação
de impedimento a designação de empregado da Unidade de Auditoria Interna para compor comissão
de investigação4
.
As funções de auditoria interna deverão ser segregadas das demais atividades na Entidade item 1.2,
TC-010.240/2005-1, Acórdão nº 1.214/2006 – TCU -1ª Câmara4
.
Em observância aos princípios até aqui explicitados e para que o auditor interno esteja ciente de sua
conduta, responsabilidades e obrigações no exercício de suas atividades foi elaborado um
documento intitulado “Código de Ética do Auditor Interno da UFMG” (Apêndice A) que deverá ser
4
Texto extraído do Manual de Auditoria Interna da CONAB. 2ª Versão. Brasília: 2008

17
assinado anualmente por todos os auditores internos em exercício no âmbito da Unidade de
Auditoria-Geral da UFMG (disponível no diretório P:AUDManual Auditoria).
Para o exercício das funções de Auditoria Interna recomenda-se ainda aos profissionais, a consulta e
leitura das Normas Internacionais para o Exercício Profissional da Auditoria Interna editadas pelo IIA5
e do Código de Ética do Servidor Público Civil (Decreto nº 1.171/94).
2. PROCESSO DE AUDITORIA
O Processo de Auditoria6
compreende o conjunto de etapas destinado a examinar a regularidade e
avaliar a eficiência da gestão administrativa e dos resultados alcançados, bem como apresentar
subsídios para o aperfeiçoamento dos procedimentos administrativos e controles internos de uma
organização. Para atingir esse objetivo, o auditor necessita planejar adequadamente seu trabalho a
fim de avaliar o sistema de controles internos relacionados com a matéria auditada e estabelecer a
natureza, a extensão e a profundidade dos procedimentos de auditoria a serem realizados, bem
como colher as evidências comprobatórias de suas constatações para a formação de sua opinião.
O Processo de Auditoria contempla as seguintes etapas:
1. Plano de auditoria
2. Planejamento dos trabalhos
3. Execução de Auditoria
4. Comunicação dos Resultados
5. Monitoramento da Efetividade do Trabalho de Auditoria
Na Fig. 3 está representado um esquema dessas etapas, geralmente realizadas na sequência
indicada. Entretanto, as cinco etapas, assim como os diversos passos incluídos em cada uma delas,
fazem parte de um processo integrado que, na prática, está altamente inter-relacionado, podendo
ser citados como exemplos:
 A compreensão do objeto da auditoria constitui um passo da fase de Planejamento,
entretanto este conhecimento é aprofundado ao longo dos trabalhos;
 A avaliação dos sistemas de controle interno tem início com as observações realizadas na
fase de Planejamento e se estende até a Execução, quando são aplicadas técnicas de
auditoria para aferir os níveis de segurança e adequação dos controles;
 A redação do Relatório de Auditoria tem início ainda na fase de Execução, com o
desenvolvimento dos achados;
 A fase de Acompanhamento ou monitoramento tem o propósito de verificar a
implementação das recomendações pelo auditado, podendo ser realizada no contexto de
uma nova auditoria ou mediante designação específica. De todo modo, a efetividade da
5
http://www.audibra.org.br/arquivos/Normas%20Internacionais%20Auditoria%20-%20Codigo%20de%20Etica.pdf
6
Texto extraído e adaptado de MORAIS, Henrique Hermes Gomes. Apostila de Normas e Técnicas de Auditoria
I – 2009 aplicadas na Auditoria-Geral do Estado de Minas Gerais.

18
auditoria será medida nesta fase, quando são verificados o grau de adoção das providências
recomendadas e os efeitos produzidos.
De um modo geral, as cinco fases reportam-se às diversas auditorias, cabendo aos auditores avaliar a
sua aplicabilidade às situações práticas, suprimindo os passos desnecessários, de modo a maximizar
os recursos disponíveis. À medida que as auditorias são realizadas, o processo é aprimorado,
havendo substancial redução do tempo para a sua realização.
Figura 3 – Etapas do processo de auditoria
2.1 Plano de auditoria
O plano de auditoria consiste em um documento devidamente formalizado contendo a programação
dos trabalhos de auditoria para o exercício financeiro seguinte, denominado no âmbito das
Instituições de Ensino Superior de: Plano Anual de Atividades de Auditoria Interna – PAINT. É
elaborado segundo as orientações técnicas emanadas pelo Órgão Central do Sistema de Controle
Interno do Poder Executivo Federal, a Controladoria Geral da União – CGU. As instruções normativas
vigentes e que regem a matéria são: IN SFC nº 01/01, IN CGU nº 07/06 e IN SFC-CGU 01/07.
De acordo com os artigos 4º e 5º da IN CGU nº 07/06, a proposta do plano deve ser submetida
anualmente ao órgão setorial da CGU-MG para análise prévia até o último dia útil do mês de outubro
do exercício anterior ao de sua execução. Caso o órgão setorial não se manifeste no prazo de 20
(vinte) dias úteis, a unidade de auditoria deverá encaminhar a proposta para apreciação e aprovação
ao Conselho Universitário da UFMG ou ao Reitor. A proposta do PAINT deverá ser aprovada até o
último dia útil do mês de dezembro de cada ano, conforme dispõe o art. 6º da referida Instrução.
O PAINT devidamente aprovado deverá ser novamente encaminhado ao órgão setorial da CGU-MG
até o dia 31 (trinta e um) de janeiro de cada exercício a que se aplica.
1.PLANO DE AUDITORIA
2.PLANEJAMENTO DOS
TRABALHOS
3.EXECUÇÃO
4.COMUNICAÇÃO DOS
RESULTADOS
5.MONITORAMENTO DO
TRABALHO DE AUDITORIA

19
O conteúdo do PAINT deve ser apresentado observando-se as orientações contidas na IN SFC/CGU nº
01/07 que de acordo com os incisos I, II e § 1º do art. 2º deverá abordar os seguintes itens:
I - ações de auditoria interna previstas e seus objetivos; e
II - ações de desenvolvimento institucional e capacitação previstas para o
fortalecimento das atividades da auditoria interna na entidade.
§ 1º Na descrição das ações de auditoria interna, para cada objeto a ser auditado,
serão consignadas as seguintes informações:
I - número sequencial da ação de auditoria;
II - avaliação sumária quanto ao risco inerente ao objeto a ser auditado, e sua
relevância em relação à entidade;
III - origem da demanda;
IV - objetivo da auditoria, contendo os resultados esperados, devendo-se
especificar de que forma as vulnerabilidades do objeto a ser auditado poderão ser
mitigadas;
V - escopo do trabalho, explicitando, tanto quanto possível, sua representatividade
em termos relativos, e demonstrando a amplitude dos exames a serem realizados,
em relação ao universo de referência concernente ao objeto a ser auditado;
VI - cronograma contendo a data estimada de início e término dos trabalhos;
VII - local de realização dos trabalhos de auditoria; e
VIII - recursos humanos a serem empregados, com a especificação da quantidade
de homens-hora de auditores a serem alocados em cada ação de auditoria e os
conhecimentos específicos que serão requeridos na realização dos trabalhos.
(grifos nossos)
Em síntese, os trabalhos de auditoria deverão ser programados anualmente, contemplando todas as
transações realizadas no período, com uma visão abrangente da organização, devendo abordar:
 Áreas de exame e análise prioritárias, observando sempre as ações de governo previstas: no
Plano Plurianual, no Plano de Desenvolvimento Institucional, na Lei Orçamentária Anual e
nas recomendações dos órgãos de controle interno e externo;
 Enfoque de rotação de ênfase para determinadas áreas ou departamentos;
 Estimativa de tempo e recursos para execução dos trabalhos programados.
No processo de planejamento anual deverão ser destinadas no mínimo 10% das horas anuais
trabalhadas para a realização de treinamentos.
Em síntese, o planejamento anual dos trabalhos de auditoria representa o momento em que se
dimensiona toda a extensão dos procedimentos a serem executados, além de permitir o
direcionamento dos trabalhos tanto para o demandante, quanto para a equipe de auditoria, a fim de
alcançar os objetivos pretendidos. A realização de um trabalho de auditoria sem um planejamento
prévio permitirá o esquecimento de áreas importantes, adoção de procedimentos inapropriados de
auditoria, demora na identificação dos problemas significativos que afetam o objetivo do exame e,
principalmente, maior risco na emissão do parecer.
O Apêndice B, ao final do manual, contém um esboço do Plano de Auditoria – PAINT utilizado no
âmbito da UFMG (disponível no diretório P:AUD-AdministraçãoPAINT).

20
2.2 Planejamento dos trabalhos7
A fase de Planejamento abrange a determinação dos objetivos da auditoria, data de realização, seu
alcance, critérios, metodologia a ser aplicada, além do prazo e recursos necessários para garantir que
cubra as atividades, processos, sistemas e controles mais importantes. Na fase de Planejamento, a
equipe de auditoria procede à coleta e análise das informações necessárias para prover o adequado
conhecimento e compreensão do objeto da auditoria, bem como possibilitar a definição das
questões que serão examinadas na fase seguinte.
O planejamento é a etapa fundamental para o êxito do trabalho do auditor interno, sendo
imprescindível que seja alocado o tempo adequado para sua realização. A tentativa de abreviar o
tempo destinado ao planejamento muitas vezes redunda em problemas na execução, que poderão
provocar acréscimo no tempo total de realização do trabalho, além de repercussões negativas em
sua qualidade.
Ao planejar-se um exame de auditoria a questão crítica é a definição do volume de informações
necessárias para esse fim. Essa decisão depende muito do conhecimento técnico do auditor, do
conhecimento específico sobre a atividade a ser examinada e das peculiaridades de cada
organização. Sendo assim, o planejamento deve considerar a prioridade para que as áreas de
controle interno e revisão analítica sejam executadas em primeiro lugar, permitindo a determinação
da natureza, extensão e periodicidade dos testes e procedimentos de auditoria a serem aplicados.
Ao início de qualquer trabalho de auditoria, esse deve ser cuidadosamente planejado, tendo em vista
o seu objetivo. O auditor deve planejar seu trabalho consoante o Plano Anual de Atividades de
Auditoria Interna - PAINT vigente e de acordo com os prazos e demais compromissos acordados com
o Auditor-Geral.
Deve, ainda, o auditor, documentar seu planejamento geral e preparar programa de trabalho por
escrito, detalhando o que for necessário à compreensão dos procedimentos que serão aplicados, em
termos de natureza, oportunidade e extensão. O planejamento e os programas de trabalho devem
ser revisados e atualizados sempre que novos fatos o recomendarem.
Os objetivos básicos do planejamento dos trabalhos de auditoria são os seguintes:
 Identificar os problemas potenciais da entidade;
 Definir, antecipadamente, os exames adequados para a consecução dos objetivos do
trabalho, em espaço de tempo razoável e com meios disponíveis;
 Facilitar a administração do tempo durante a realização do trabalho;
 Estabelecer racionalmente a extensão dos procedimentos de auditoria a serem utilizados;
 Assegurar a uniformidade dos levantamentos, exames e avaliações a serem realizados pelos
diversos integrantes da equipe;
 Evitar improvisações e sobrecarga de trabalho (divisão de tarefas).
7
Texto extraído e adaptado de MORAIS, Henrique Hermes Gomes. Apostila de Normas e Técnicas de Auditoria
I – 2009 aplicadas na Auditoria-Geral do Estado de Minas Gerais.

21
Os elementos essenciais à programação dos trabalhos de auditoria são os seguintes:
 Constituição da equipe de trabalho com a adequada qualificação mediante designação
expressa em Ordem de Serviço emitida pelo Titular da Unidade de Auditoria Interna da
UFMG (Apêndice C) indicando os parâmetros para execução dos exames (disponível no
diretório P:AUDManual AuditoriaModelos);
 Definição dos instrumentos a serem utilizados (programas de auditoria, roteiros, check list);
 Conhecimento da unidade auditável (organogramas, atribuições, fluxogramas, manuais de
procedimentos, normas e legislação pertinente);
 Plano anual de auditoria (auxilia na comunicação do objetivo, escopo e limitação);
 Últimos trabalhos de auditoria realizados.
A responsabilidade pelo planejamento dos trabalhos de auditoria é do auditor interno designado
com a supervisão e aprovação do titular da Unidade de Auditoria Interna da UFMG.
2.2.1 Programa de auditoria8
Os objetivos do planejamento de auditoria podem ser atingidos de modo mais eficiente quando este
planejamento é feito por escrito, ou seja, quando as ideias ou decisões relativas ao “que fazer”,
“como fazer” e “porque fazer”, são convertidas em um documento formal para direcionar a
execução dos trabalhos.
Assim, o programa de auditoria constitui-se no objetivo final do planejamento. É um plano de ação
detalhado e se destina, precipuamente, a orientar adequadamente o trabalho do auditor interno,
facultando-se-lhe, ainda, sugerir oportunamente complementações quando as circunstâncias o
recomendarem.
O programa de auditoria é uma definição ordenada de objetivos, determinação de escopo e roteiro
de procedimentos detalhados, destinado a orientar a equipe de auditoria; configura-se na essência
operacional do trabalho de auditagem relativamente a uma área específica da entidade ou a gestão
de determinado sistema organizacional e deve estabelecer os procedimentos para a identificação,
análise, avaliação e registro da informação durante a execução do trabalho.
O programa de auditoria é estruturado de forma padronizada e pode conter:
a) Sistema organizacional a ser auditado;
b) Conceituação;
c) Áreas envolvidas;
d) Período;
e) Objetivos;
f) Cronograma dos trabalhos;
g) Equipe de auditores internos;
h) Custos envolvidos;
8
Texto extraído e adaptado do Manual de Auditoria Interna da CONAB. 2ª Versão. Brasília: 2008

22
i) Tick-marks utilizadas;
j) Procedimentos;
k) Questionário de Avaliação - Controles Internos Administrativos (QACI);
l) Campo para observações dos auditores internos;
m) Conceito dos auditores internos;
n) Orientações gerais.
A utilização criteriosa do programa de auditoria permite à equipe avaliar, em campo, sobre a
conveniência de ampliar os exames (testes de auditoria) quanto à extensão e/ou a profundidade,
caso necessário.
O programa visa definir os meios mais econômicos, eficientes e oportunos para se atingir os
objetivos da auditoria. Deve ser suficientemente discutido no âmbito da Unidade de Auditoria
Interna e ser aprovado por seu titular ou seu delegado, antes do início do trabalho de campo.
Assim, dos itens citados anteriormente, a programação dos trabalhos de auditoria deverá ser
consubstanciada em documento contendo, obrigatoriamente e no mínimo, os seguintes itens:
 Objeto
 Objetivos (geral e específicos);
 Escopo do exame;
 Avaliação dos riscos envolvidos;
 Procedimentos de auditoria a serem executados;
 Recursos a serem utilizados (humanos, materiais, tecnológicos e financeiros);
 Tick-marks utilizadas;
 Cronograma detalhado, envolvendo as diversas fases de execução;
a) Objeto
Definição sucinta das características da área ou da atividade a ser auditada, propiciando ao auditor
um nível mínimo de informações que permite avaliar, desde logo, a magnitude, importância,
complexidade da área e, portanto, a problemática de controle que terá pela frente.
b) Objetivo da auditoria
Objetivo da auditoria significa o propósito da atividade programada e é o principal elemento de
referência dos trabalhos que determinará o tipo e a natureza da auditoria. Os objetivos da auditoria
condicionam a determinação do escopo e a metodologia a ser aplicada e podem ser para:
 Prevenir resultados;
 Acompanhar processos operacionais e gerenciais; e
 Avaliar os resultados orçamentários, financeiros, econômicos, patrimoniais e sociais.
O objetivo geral significa o que se pretende alcançar no âmbito macro, ou seja, define o que a
auditoria procurará atingir dentro da área de investigação sob exame: “Qual a finalidade da
realização do exame dentro da área selecionada?”

23
Os objetivos específicos representam o detalhamento do objetivo geral, circunscrevendo a
abrangência da auditoria e estabelecendo os limites de sua atuação: “Quais os pontos que deverão
ser analisados, com a finalidade a atingir o objetivo geral da área de investigação sob exame?”
c) Escopo do trabalho
Escopo é a delimitação estabelecida para a implementação dos programas de auditoria. A
determinação do Escopo, para ser consistente, deve guardar compatibilidade com os objetivos da
auditoria programada e contemplar os seguintes elementos estruturais:
Abrangência - refere-se à delimitação do universo auditável, e por ser assim, representa o mais
importante elemento estrutural do escopo. Pelo requisito Abrangência identifica-se o que deve ser
examinado;
Oportunidade - consiste, objetivamente, na pertinência do ponto de controle e na temporalidade
dos exames programados, aqui o sentido da tempestividade torna-se variável decisiva. Por meio do
requisito Oportunidade identifica-se quando deve ser realizado o exame, ou seja, o período de
abrangência do exame.
Extensão - corresponde à configuração da amostra, à amplitude ou tamanho dos exames previstos
(provas seletivas, testes e amostragens), vale dizer: corresponde à quantidade dos exames
programados. Através do requisito Extensão identifica-se quanto deve ser examinado.
Profundidade - significa a intensidade das verificações, o seu grau de detalhamento, seu nível de
minúcia, enfim a qualidade dos exames. Difere, neste sentido, do conceito da extensão visto aquele
se relacionar aos aspectos da quantidade. Pelo requisito Profundidade identifica-se como deve ser
realizado o exame. Ex: técnicas de auditoria utilizadas, roteiros de Auditoria e Check list aplicados.
d) Avaliação dos riscos envolvidos
A avaliação do risco, durante a fase do planejamento da auditoria, destina-se a identificação de áreas
e sistemas relevantes a serem auditados.
São as seguintes as espécies de riscos operacionais:
a. Risco humano (erro não intencional; qualificação; fraude);
b. Risco de processo (modelagem; transação; conformidade; controle; técnico);
c. Risco tecnológico (equipamentos; sistemas; confiabilidade da informação).
A fraude engloba um conjunto de irregularidades e ilegalidades caracterizado pelo engano
intencional, encobertamento ou violação da confiança. Pode ser perpetrada em beneficio de pessoas
ou em prejuízo da organização e por pessoas tanto externamente como integrantes da Companhia.
O desencorajamento da fraude consiste em ações tomadas tempestivamente para dissuadir práticas
fraudulentas e limitar os riscos operacionais. O principal mecanismo para o desencorajamento da

24
fraude são os controles internos administrativos. A responsabilidade primeira pelo estabelecimento e
manutenção de controles pertence à gestão a custos razoáveis.
Apesar de não ser o objetivo primordial das atividades da Unidade de Auditoria Interna a busca de
fraudes, o auditor interno deve estar consciente da probabilidade de, no decorrer dos exames e
testes, defrontar-se com tais ocorrências. Compete-lhe assim, prestar especial atenção às transações
ou situações que apresentem indícios de fraudes e, quando obtida evidencias, comunicar o fato a
alta administração para a adoção das medidas corretivas cabíveis.
Avaliar risco em auditoria interna significa identificar, medir e priorizar os riscos para possibilitar a
focalização das áreas auditáveis mais significativas. A avaliação do risco é utilizada para identificar as
áreas mais importantes dentro do seu âmbito de atuação, permitindo ao auditor interno delinear um
planejamento de auditoria capaz de testar os controles mais significativos para as questões de
auditoria que se mostrarem materialmente e criticamente relevantes.
Como ferramenta para a avaliação de riscos, de forma a sistematizar e estruturar informações de
riscos sobre o ambiente de análise poder-se-á utilizar o Diagrama de Avaliação de Risco, que
estabelece o impacto potencial e as probabilidades de ocorrência dos riscos identificados.
Os riscos considerados de baixo impacto, ou seja, de consequências de baixa gravidade, poderão ser
aceitos e monitorados, com ou sem redirecionamento de condutas/procedimentos. Os riscos de alto
impacto poderão requerer a adoção de medidas saneadoras. Os riscos que além de alto impacto,
apresentarem alta probabilidade de ocorrência, merecerão imediatas medidas saneadoras.
A auditoria com foco em resultados e centrada no risco acrescenta mais valor a organização do que
uma auditoria centrada apenas nos aspectos de conformidade.
Trata-se de novo paradigma, que significa ampliar a perspectiva da auditoria interna para abarcar as
técnicas de gestão de riscos aos programas de auditoria e de avaliação de natureza operacional.
Sob essa nova perspectiva, abordagens metodológicas relativas ao controle da gestão organizacional,
foram construídas e traduzidas em modelos de referência reconhecidos mundialmente que visam à
implantação e avaliação de controles internos, os quais são tratados no item 2.2.2 Avaliação dos
controles internos.
e) Procedimentos de auditoria a serem executados
Conjunto de ações ordenadas que permitam ao auditor controlar a execução de seu trabalho e, ao
mesmo tempo, habilitá-lo a expressar sua opinião sobre os controles internos da organização. São os
passos da fase de execução do processo de auditoria e compreendem os levantamentos de dados, a
aplicação de roteiros e check list, coleta das evidências, aplicação das técnicas de auditoria, registros
em papeis de trabalho, e demais procedimentos necessários a formar e fundamentar a opinião do
auditor.

25
f) Recursos a serem utilizados
É a identificação dos elementos básicos e mínimos necessários ao desempenho do trabalho de
auditoria, e podem ser:
 Humanos: equipe de auditores, coordenador, equipe de apoio administrativo;
 Materiais: veículos, espaço físico de trabalho, equipamentos;
 Tecnológicos: computadores, impressoras, softwares, banco de dados;
 Financeiros: recursos para diárias de viagem, transporte, consultorias.
g) Cronograma detalhado
É a definição do tempo necessário para a execução de cada fase do trabalho, dimensionando-se
assim, qual o prazo previsto para a realização da auditoria e entrega dos resultados.
h) Tick-marks utilizadas
Para auxiliar na utilização do programa de auditoria, devem ser utilizadas marcas (símbolos) usuais
de verificação denominadas tick-marks. A principal função de tais marcas é evidenciar qual o tipo de
revisa que foi efetuada sobre aquele item marcado. As marcas a serem utilizadas são:
a) Conforme documento original examinado ( Ø )
b) Conforme registro do sistema informatizado (  )
c) Conferido ( )
d) Cálculo conferido ( Σ )
e) Ponto de relatório ( X )
É importante que os programas de auditoria indiquem claramente o significado de cada marca ou
símbolo empregado.
Os auditores internos dispensarão ao preparo dos programas de auditoria todo o cuidado e o
empenho necessários para que o resultado final atinja o padrão de qualidade técnico almejado.
É desejável, ainda, que o programa de auditoria seja suficientemente flexível para permitir
adaptações tempestivas, sempre que surgirem questões relevantes que justifiquem as alterações
propostas. Qualquer modificação deve ser levada, por escrito, ao conhecimento da Unidade de
Auditoria Interna e receber a devida análise para que seja aprovada.
É recomendável que o novo programa de auditoria seja submetido a pelo menos um teste-piloto,
especialmente diante da elevada complexidade e da falta de manualização ou de informações
precisas a respeito do objeto da auditoria.
Ferramenta útil para facilitar a elaboração conceitual do trabalho e subsidiar as decisões sobre a
estratégia metodológica a ser empregada é a matriz de planejamento, de utilização obrigatória nas
avaliações de natureza operacional e facultativa nas demais modalidades de trabalho realizadas pela
Unidade de Auditoria Interna.

26
Nenhum trabalho de auditoria in loco, de cunho ordinário, poderá ser empreendido sem que haja o
respectivo programa de auditoria, que é essencial ao ato de auditar, definindo o ponto de controle
sobre o qual se deve atuar.
A partir dos elementos tratados nesta seção, o instrumento formal de planejamento dos trabalhos de
auditoria, ou seja, o PROGRAMA DE TRABALHO DE AUDITORIA - PTA conduzirá a equipe de auditoria
à realização de um serviço elaborado, consistente, fundamentado, oportuno e, principalmente,
eficaz, atendendo ao objetivo proposto. O Apêndice D apresenta o modelo básico do Programa de
Trabalho de Auditoria – PTA aplicado pela Auditoria-Geral no âmbito da Universidade e o Apêndice E
contém os modelos padronizados de Procedimentos de Auditoria – PA (Check list). Os modelos do
PTA e PA encontram-se disponíveis no diretório P:AUDMANUAL AUDITORIAPT revisados.
2.2.2. Avaliação dos controles internos
O modelo COSO I
Em 1985, foi criada nos Estados Unidos, por iniciativa do setor privado, a National Commission on
Fraudulent Financial Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros),
também conhecida como Treadway Commission, uma vez que seu primeiro presidente à época era
James C. Treadway, Vice-Presidente Executivo e Advogado-Geral de empresa e ex-membro da
Securities and Exchange Comission (SEC), a Comissão de Valores Mobiliários norte-americana. A
referida Comissão tinha como finalidade estudar as causas da ocorrência de fraudes em relatórios
financeiros e contábeis e desenvolver recomendações para empresas públicas e seus auditores
independentes, e para as instituições educativas.
Esta Comissão foi patrocinada por cinco grandes associações de profissionais de classe ligadas à área
financeira, sendo totalmente independente de suas entidades patrocinadoras:
 AICPA - American Institute of Certified Public Accounts (Instituto Americano de Contadores
Públicos Certificados);
 AAA - American Accounting Association (Associação Americana de Contadores);
 FEI - Financial Executives Internacional (Executivos Financeiros Internacionais);
 IIA - The Institute of Internal Auditors (Instituto dos Auditores Internos); e
 IMA - Institute of Management Accountants (Instituto dos Contadores Gerenciais).
Posteriormente, esta Comissão transformou-se em Comitê, conhecido como COSO (abreviatura de
The Committee of Sponsoring Organizations of the Treadway Comimission) - Comitê de Organizações
Patrocinadoras da Comissão Treadway. O COSO é uma entidade sem fins lucrativos que agrega
representantes do setor privado e atualmente tem o objetivo de assegurar a liderança de
pensamento através do desenvolvimento de estruturas e de orientação na gestão de riscos da
empresa, controle interno e dissuasão da fraude. É, portanto, uma organização dedicada à melhoria
dos relatórios financeiros por meio da ética, efetividade dos controles internos e governança
corporativa9
.
9
Sítio eletrônico da organização: www.coso.org

27
Em 1992, o Comitê publicou o modelo Internal Control - Integrated Framework (Controle Interno -
Uma Estrutura Integrada), conhecido como The COSO Report (metodologia COSO I), que se tornou
referência mundial para o estudo e aplicação dos controles internos. O modelo mudou o conceito
tradicional de “controles internos” e chamou a atenção para o fato de que eles tinham de fornecer
proteção contra riscos, pois, ao definir risco como a possibilidade que um evento ocorra e afete de
modo adverso o alcance dos objetivos da entidade, introduziu a noção de que controles internos
devem ser ferramentas de gestão e monitoramento de riscos em relação ao alcance de objetivos, e
não apenas dirigidos para riscos de origem financeira ou vinculados a resultados escriturais. O papel
do controle interno foi, assim, ampliado.10
A abrangência e a importância do documento publicado pelo COSO foram de tal magnitude, que as
principais organizações internacionais que editam orientações sobre controles internos, tanto para o
setor privado quanto para o setor público, revisaram suas publicações, no sentido de incorporarem o
arcabouço conceitual e elementos introduzidos pelo COSO, por exemplo: o AICPA, em 1995; o Basle
Commitee on Banking Supervision, em 1998; a International Federation of Accountants - IFAC, em
1998; e o United States General Accounting Office - GAO, em 1999.
Entretanto, a ampla adesão ao modelo COSO I não foi suficiente para estancar escândalos
econômico-financeiros e contábeis envolvendo organizações de todos os portes, que sucumbiam de
uma hora para outra. A série de escândalos e quebras de negócios de grande repercussão fez com
que o COSO encomendasse o desenvolvimento de uma estratégia, que fosse de fácil utilização pelas
organizações, para avaliar e melhorar o próprio gerenciamento de riscos.
Como consequência, em 2004, foi publicado modelo Enterprise Risk Management – Integrated
Framework (Gerenciamento de Riscos Corporativos – Estrutura Integrada), também conhecida como
COSO ERM ou COSO II, que intensificou a preocupação com os riscos.
Em suma, apresenta-se a seguir a linha do tempo de mais de vinte anos de existência da
metodologia COSO.
1985 1992 2002 2004
Figura 4 - Linha do tempo
O COSO publicou critérios práticos, amplamente aceitos, para o estabelecimento de controles
internos e para avaliação de sua efetividade. O modelo concebido e apresentado em julho de 1992,
denominado Internal Control - Integrated Framework (Controle Interno - Uma Estrutura Integrada),
10
BRASIL. Tribunal de Contas da União. Curso de Avaliação de controles internos. Aula 2 - Modelos de referência para
controle interno. Junho/2012
A Comissão, agora
Comitê publica o modelo
COSO I - Controle
interno - estrutura
integrada
Criação da Comissão
Treadway
Sucessivos escândalos
contábeis e financeiros
que culminaram na
publicação da Lei
Sabarnes-Oxley
Publicação do modelo
COSO II (ERM) -
Gerenciamento de
Riscos Corporativos -
Estrutura Integrada

28
atualmente conhecido como COSO I, mudou o conceito tradicional de “controles internos” e chamou
a atenção para fato de que eles tinham de fornecer proteção contra riscos11
.
O modelo ao definir risco como possibilidade que um evento ocorra e afete de modo adverso o
alcance dos objetivos da entidade, introduziu a noção de que controles internos devem ser
ferramentas de gestão e monitoração de riscos em relação ao alcance de objetivos e não mais devem
ser dirigidos apenas para riscos de origem financeira ou vinculados a resultados escriturais. O papel
do controle interno foi, assim, ampliado e reconhecido como um instrumento de gerenciamento de
riscos indispensável à governança corporativa.
Conforme destaca o TCU12
, o modelo tornou-se referência mundial, pelo fato de:
 uniformizar definições de controle interno;
 definir componentes, objetivos e objetos do controle interno em um modelo integrado;
 delinear papeis e responsabilidades da administração;
 estabelecer padrões para desenho e implementação;
 criar um meio para monitorar, avaliar e reportar controles internos.
O modelo estabelece uma estrutura de controles internos e fornece ferramentas de avaliação para
uso de empresas e de outras entidades para avaliar seus sistemas de controle. No modelo COSO I, a
integração dos controles se baseia no uso de uma estrutura tridimensional (o chamado cubo do
COSO), cujas dimensões compreendem os objetivos da organização, as unidades da organização e os
componentes de controle, conforme a FIG. 5.
Figura 5 - Matriz tridimensional - o cubo COSO I.
A primeira dimensão é composta pelos objetivos: operacional (eficiência e eficácia das operações),
comunicação (Relatórios financeiros) e conformidade (Cumprimento das regras). Enquanto a
segunda dimensão é formada pelas unidades administrativas em suas diferentes configurações
(Unidade de negócio, Divisão, Departamento, Setor, etc.) as quais deverão implantar e ser avaliadas.
11
BRASIL. Tribunal de Contas da União. Critérios Gerais de Controle Interno na Administração Pública. Julho/2009
12
BRASIL - Tribunal de Contas União - Curso Avaliação de avaliação de controles internos. Aula 2 - Bases conceituais - 2012.

29
Por fim, os cinco componentes de controle estão na terceira dimensão: ambiente de controle,
avaliação de riscos, atividades de controle, informação e comunicação e o monitoramento.
Como a abordagem teórica do COSO II incorpora a base conceitual do COSO I, todos os
componentes da metodologia serão melhor explicitados a seguir.
O modelo COSO II
Devido a crescente preocupação com o gerenciamento de riscos, em 2001, o “COSO13
” solicitou à
PricewaterhouseCoopers (empresa que presta serviços de auditoria, consultoria tributária e
societária, consultoria de negócios em diversos países) que desenvolvesse uma estratégia de fácil
utilização pelas organizações para que elas pudessem avaliar e melhorar o próprio gerenciamento de
riscos.
O período de desenvolvimento dessa estrutura foi marcado por uma série de escândalos e quebras
de negócios de grande repercussão, que gerou prejuízos de grande proporção a investidores,
empregados e outras partes interessadas. Em meio a esses eventos, vieram solicitações de melhoria
dos processos de governança corporativa e gerenciamento de riscos, por meio de novas leis,
regulamentos e de padrões a serem seguidos.
Em 2004, foi publicado modelo Enterprise Risk Management – Integrated Framework
(Gerenciamento de Riscos Corporativos – Estrutura Integrada), também conhecida como Coso ERM
ou Coso II. Em relação ao modelo anterior, o COSO agregou entre as categorias de objetivos, o
estratégico e mais três componentes, totalizando oito componentes de controle (ambiente interno,
fixação de objetivos, identificação de eventos, avaliação de riscos, resposta a risco, atividades de
controle, informações e comunicações, e monitoramento) inter-relacionados do gerenciamento de
riscos corporativos, pela qual a administração gerencia a organização ampliando, desse modo, o
conceito de controle interno como exemplifica a matriz tridimensional apresentada na FIG 6.
Figura 6 - Matriz tridimensional - o cubo COSO II
13
http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_Portuguese.pdf.
Objetivos
Componentes
Objetos de
controle

30
A face superior do cubo apresenta os objetivos que devem ser objeto do gerenciamento de risco; a
face frontal representa os componentes do gerenciamento de riscos, ou, o que é necessário fazer
para atingir os objetivos; a face lateral representa os níveis da organização objetos da gestão de
riscos. Observe-se que a visão integrada dos elementos do modelo demonstra o contexto das ações
da direção ao gerenciar os riscos da organização. Pode-se, assim, vislumbrar essa gestão tanto ao
nível da entidade como um todo, como para cada parte que a compõe:
 Objetivos, riscos e controles da organização como um todo;
 Objetivos, riscos e controles de uma divisão, unidade de negócio, departamento ou seção da
organização;
 Objetivos, riscos e controles de um macroprocesso, processo ou de uma atividade.
Como já mencionado, o Coso II ampliou o alcance dos controles internos, oferecendo um enfoque
mais robusto e extensivo ao tema, ao integrar técnicas de gerenciamento de riscos, sem abandonar,
mas incorporando o Coso I. A nova postura defendida pelo modelo é que o controle interno deve
integrar a gestão de riscos de modo a prever e a prevenir os riscos inerentes ao conjunto de
processos da organização, que possam impedir ou dificultar o alcance de seus objetivos. Evoluiu-se,
assim, da gestão centrada em controles funcionais para o desenvolvimento de uma cultura de risco,
na qual todos os funcionários tornam-se responsáveis pela gestão de riscos e adquirem consciência
dos objetivos do controle interno.
Assim, a atenção volta-se primeiramente para identificação dos riscos que possam impactar os
objetivos da organização nas quatro categorias definidas pelo modelo para, em seguida, avaliar a
forma como os gestores atuam para minimizar esses riscos, por meio de controles internos e de
outras respostas.
Adiante são definidos a seguir os elementos que devem constituir um sistema de controle interno
eficaz conforme o modelo COSO II.
a) Objetivos14
Para a realização dos objetivos fundamentais estabelecidos na missão e visão da organização o
modelo estrutural definiu quatro categorias de objetivos comuns a praticamente todas as
organizações (face superior do cubo), os quais devem ser previamente fixados (componente Fixação
de Objetivos) para permitir a identificação (componente Identificação de Eventos) e análise de
riscos (componente Avaliação de Riscos) que poderão impactá-los, formando uma base de
conhecimento para definir como esses riscos deverão ser gerenciados (componente Resposta a
Riscos). Essas categorias de objetivo são as seguintes:
1. Estratégico: relacionado à sobrevivência, continuidade e sustentabilidade da organização.
Referem-se às metas de alto nível, alinhadas e servindo de suporte à missão.
2. Operacional: efetividade e eficiência das operações e adequada salvaguarda de ativos e
recursos contra perdas, mau uso ou dano.
14
BRASIL. Tribunal de Contas da União. Critérios Gerais de Controle Interno na Administração Pública. Julho/2009

31
3. Comunicação: confiabilidade da informação produzida e sua disponibilidade para dar
suporte ao processo decisório e para o cumprimento das obrigações de accountability.
4. Conformidade: aderência às leis e regulamentações aplicáveis à entidade, e às normas,
políticas, aos planos e procedimentos da própria organização.
De acordo com o COSO, essa classificação possibilita um enfoque nos aspectos distintos do
gerenciamento de riscos de uma organização. Apesar de essas categorias serem distintas, elas se
inter-relacionam, uma vez que determinado objetivo pode ser classificado em mais de uma
categoria, tratam de necessidades diferentes da organização e podem permanecer sob a
responsabilidade direta de diferentes executivos. Essa classificação também permite diferenciar o
que pode ser esperado de cada categoria de objetivos15
.
b) Objetos de controle16
A face lateral do cubo representa os níveis ou áreas da organização que são objeto da gestão de
riscos e da incidência do controle interno. Observe-se que a visão integrada dos elementos do
modelo demonstra o contexto das ações da administração ao gerenciar riscos e estabelecer
controles na organização, em nível da entidade como um todo ou em nível da cada parte que a
compõe. Assim temos:
 Objetivos, riscos e controles em nível da organização ou de partes dela (divisão, unidade de
negócio, departamento, projeto, seção etc.);
 Objetivos, riscos e controles em nível de atividades (macroprocessos, processos,
subprocessos, operações, sistemas ou atividades dentro desses).
c) Componentes
A face frontal do cubo representa oito componentes do gerenciamento de riscos, incorporando o
sistema de controle interno, ou seja, aquilo que é necessário prover (os meios) para atingir os
objetivos estabelecidos nas categorias da face superior do cubo. O modelo é composto de oito
componentes inter-relacionados, por meio dos quais uma organização gerencia os riscos de maneira
integrada ao processo de gestão.
Na concepção do COSO para avaliar o sistema de controle interno de uma organização é necessário
avaliar a presença e o funcionamento de cada um dos componentes da estrutura, quais sejam:
 Ambiente de controle (no Coso II, Ambiente interno)
 Avaliação de risco
 Atividades de controle
 Informação e comunicação
 Monitoramento
15
http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_Portuguese.pdf.
16
BRASIL - Tribunal de Contas União - Curso Avaliação de avaliação de controles internos. Aula 2 - Bases conceituais - 2012.

32
Note, ainda, que aos elementos acima, do Coso I, o Coso II acrescentou os seguintes, de maneira a
permitir uma abordagem mais consistente do gerenciamento de riscos:
 Fixação de objetivos
 Identificação de eventos
 Resposta a risco
O estudo e o entendimento do detalhamento desses componentes são de importância fundamental
para a realização de trabalhos de avaliação, pois eles constituem a base dos critérios de avaliação de
estruturas de gestão de riscos e controle interno em nível de entidade e para a implementação e
avaliação de controles em nível de atividades, processos ou operações específicos.
As definições de cada componente do gerenciamento de riscos corporativos estão sumarizadas no
QUADRO 3.
Quadro 3 - Definições dos componentes
Componente Descrição
 Ambiente Interno O ambiente interno é um dos mais importantes componentes da estrutura. Ele é a base, o
alicerce para todos os outros componentes da gestão de riscos e do sistema de controle interno,
provendo disciplina e estrutura e proporcionando a atmosfera na qual as pessoas conduzem
cotidianamente suas atividades e executam suas responsabilidades. O ambiente interno é
moldado pela história e cultura da organização e, por sua vez, molda, de maneira explícita ou
não, a maneira como os negócios nela são conduzidos. É o que chamamos de tom da
organização, refletindo a cultura de riscos e a forma como eles são encarados e gerenciados,
influenciando a consciência de controle das pessoas. Compreende ao tom de uma organização e
fornece a base pela qual os riscos são identificados e abordados pelo seu pessoal, inclusive a
filosofia de gerenciamento de riscos, o apetite ao ímpeto, à integridade e os valores éticos, além
do ambiente em que estes estão. Os fatores que compõem o ambiente interno incluem
integridade e valores éticos, competência das pessoas, “perfil dos superiores” (ou seja, a filosofia
da direção e o estilo gerencial: “o exemplo vem de cima.”), estrutura organizacional e de
governança, atribuição de autoridade e responsabilidade, políticas e práticas de recursos
humanos.
 Fixação de objetivos As metas devem existir antes que a administração possa identificar os eventos em potencial que
poderão afetar a sua realização. O gerenciamento de riscos corporativos assegura que a
administração disponha de um processo implementado para estabelecer os objetivos que
propiciem suporte e estejam alinhados com a missão da organização e sejam compatíveis com o
seu apetite a riscos. Definir os objetivos é, pois, uma pré-condição para identificação de riscos e
para avaliação e definição de estratégias para gerenciá-los (resposta a riscos). O modelo Coso
requer que todos os níveis da organização tenham objetivos fixados e comunicados, ou seja, no
nível da organização como um todo e para todas as divisões, processos e atividades. Além disso,
para cada objetivo, a organização deve estabelecer padrões de como eles devem e podem ser
atingidos e como o seu grau de atingimento deve ser mensurado.
 Identificação de
eventos
Uma vez fixados os objetivos, devem-se identificar os eventos ou riscos-chave que ameacem o
seu cumprimento. A identificação de eventos consiste em identificar a existência de situações
que possam impedir ou a ausência de situações consideradas necessárias ao alcance dos
objetivos-chave fixados, tanto em nível da organização como um todo como em cada nível
significativo de suas atividades (unidades de negócio, operações e processos organizacionais). Os
acontecimentos internos e externos que influenciam o cumprimento dos objetivos de uma
organização devem ser identificados e classificados entre riscos (ameaças) e oportunidades
(eventos positivos). Essas oportunidades são canalizadas para os processos de estabelecimento
de estratégias da administração ou de seus objetivos. A identificação de riscos é o processo de
busca, reconhecimento e descrição de eventos e envolve a identificação das fontes de risco, das

33
causas e das consequências potenciais dos eventos.
 Avaliação do risco Os riscos são analisados, considerando-se a probabilidade e o impacto como base para
determinar o modo pelo qual deverão ser administrados, ou seja, uma vez identificados, os riscos
devem ser avaliados sob a perspectiva de probabilidade de sua ocorrência e consequências de
sua materialização. O objetivo da avaliação é formar uma base para o desenvolvimento de
estratégias para tratamento dos riscos identificados (resposta a risco), de maneira a diminuir a
probabilidade de sua ocorrência e/ou a magnitude de suas consequências. A avaliação de riscos
pode ser feita por meio de análises qualitativas e quantitativas, ou da combinação de ambas. Os
gestores são responsáveis pela avaliação dos riscos no âmbito das unidades de negócio, de
processos e atividades que lhes são afetos. A alta administração deve avaliar os riscos no nível da
organização, desenvolvendo uma visão de riscos de forma consolidada (perfil de risco). Riscos
devem ser avaliados quanto à condição de inerentes e residuais.
 Resposta a risco É o processo de desenvolver e determinar estratégias para gerenciar os riscos identificados. A
administração escolhe as respostas aos perigos - evitando, aceitando, reduzindo ou
compartilhando – desenvolvendo uma série de medidas para alinhar os riscos com a tolerância e
com o apetite a risco. Evitar é a decisão de não iniciar ou de descontinuar a atividade sujeita ao
risco. Reduzir é a adoção de medidas para reduzir a probabilidade ou a consequência dos riscos
ou até mesmo ambos. Compartilhar é mitigar a consequência e/ou probabilidade de ocorrência
do risco por meio da transferência ou compartilhamento de uma parte do risco, mediante
contratação de seguros, operações de headging ou terceirização de atividades nas quais a
organização não tem expertise. Aceitar é não tomar, deliberadamente, nenhuma medida para
alterar a probabilidade ou a consequência do risco.
 Atividades de
controle
Ao selecionar respostas a riscos, a administração deve identificar as atividades de controle
necessárias para assegurar que tais respostas sejam executadas de forma adequada e oportuna.
As atividades de controle consistem em políticas e procedimentos estabelecidos, e de fato
executados, para atuar sobre os riscos e contribuir para que os objetivos da organização sejam
alcançados dentro dos padrões estabelecidos. Elas devem estar distribuídas por toda a
organização, em todos os níveis e em todas as funções, conforme requeridas pelas decisões de
resposta a riscos. Elas incluem uma gama de controles preventivos e detectivos. Exemplos de
controles preventivos e detectivos: atribuição de autoridade e limites de alçada; procedimentos
de autorização e aprovação; segregação de funções ou atividades; rotatividade de funções;
revisões independentes, verificações e conciliações; avaliações de desempenho operacional;
avaliações de operações, processos e atividades; supervisão direta; controles de acesso a
recursos e registros.
 Informação e
comunicação
A importância do controle interno para a gestão das organizações está no seu potencial
informativo para dar suporte ao processo decisório em todos os níveis, de maneira que todos
possam cumprir suas responsabilidades, favorecendo o alcance dos objetivos. Todos na
organização devem receber mensagens claras quanto ao seu papel e ao modo como suas
atividades influenciam e se relacionam com o trabalho dos demais na consecução dos objetivos
fixados. A habilidade da administração para tomar decisões apropriadas é afetada pela qualidade
da informação, que deve ser apropriada, oportuna, atual, precisa e acessível, fluindo do nível da
administração para o nível de execução – transmitindo diretrizes e correções de rumo – e no
sentido inverso – transmitindo dados e resultados relacionados aos objetivos perseguidos. As
informações relevantes são identificadas, colhidas e comunicadas de forma, e no prazo, que
permitam que cumpram as responsabilidades. A comunicação pode ser feita em diversos meios,
como manuais de políticas e procedimentos, memorandos, mensagens de correio eletrônico,
quadro de avisos, videoconferências, vídeos institucionais, páginas na internet/intranet, blogs,
canais de redes sociais. As políticas e procedimentos relacionados às atividades de controle e as
regras internas necessárias ao funcionamento da entidade, tais como políticas corporativas,
procedimentos e fluxos operacionais, funções e responsabilidades devem ser formalmente
comunicadas por meio de instrumentos de normatização interna, com fácil acesso aos
funcionários.
 Monitoramento O objetivo do monitoramento é avaliar a qualidade do controle interno ao longo do tempo,
buscando assegurar que ele continue a funcionar efetivamente como previsto, que as respostas
aos riscos e as atividades de controle sejam modificadas apropriadamente, de acordo com

34
mudanças nas condições que alterem o nível de exposição a riscos da organização e das
atividades por ela desenvolvidas. A avaliação de controles internos é o procedimento utilizado
para realizar o monitoramento e consiste em verificar a eficácia do sistema de controle interno
(em nível de entidade) e das atividades de controle inerentes aos processos (em nível de
atividades). O monitoramento é realizado através de atividades gerenciais contínuas, ou
avaliações independentes (auditorias interna e externa), ou de ambas as formas.
Fonte: Adaptado de http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_Portuguese.pdf. e BRASIL - Tribunal
de Contas União - Curso Avaliação de avaliação de controles internos. Aula 2 - Bases conceituais - 2012.
d) Avaliação dos controles internos
O processo de avaliação dos controles internos conforme descrito no modelo COSO corresponde ao
Monitoramento, oitavo componente do COSO II (equivalente, ao quinto elemento do COSO I). Como
visto, o monitoramento pode ocorrer por meio de avaliações contínuas, sendo este procedimento
realizado pela própria administração; de forma independente (separada), ou seja, por meio de
avaliações específicas realizadas por auditorias internas ou externas e ainda a partir da combinação
de ambas.
O TCU conceitua a avaliação de controles internos como sendo um processo mediante o qual se
procura conhecer e avaliar a eficácia dos controles internos de uma entidade quanto à sua
capacidade para evitar ou reduzir o impacto ou a probabilidade da ocorrência de eventos de risco na
execução de seus processos e atividades, que possam impedir ou dificultar o alcance de objetivos
estabelecidos17
.
Em Acórdão recente, o TCU complementa que a avaliação de controle interno visa a avaliar o grau
em que o controle interno de organizações, programas e atividades governamentais assegura, de
forma razoável, que, na consecução de suas missões, objetivos e metas, os princípios constitucionais
da administração pública sejam obedecidos; as operações sejam executadas com eficiência, eficácia
e efetividade, de maneira ordenada, ética e econômica e em conformidade com as leis e os
regulamentos aplicáveis; as informações e os registros produzidos sejam íntegros, confiáveis e
estejam disponíveis para apoiar o processo decisório e para o cumprimento das obrigações de
prestar contas; e os recursos, bens e ativos públicos sejam protegidos de maneira adequada contra
desperdício, perda, mau uso, dano, utilização não autorizada ou apropriação indevida. Além disso,
afirma que a responsabilidade por conceber, implantar, manter e monitorar controles internos
para assegurar os objetivos acima mencionados é da administração do órgão ou entidade pública,
cabendo à auditoria interna ou ao órgão de controle interno da entidade avaliar a qualidade desses
processos18
.
Conforme orientação contida em material disponibilizado pelo TCU, a avaliação de controles internos
ocorre em dois níveis, a depender dos objetivos de auditoria: em nível de entidade (entity level
assessment) e em nível de atividades (transaction-Level assessment).
17
BRASIL - Tribunal de Contas União - Curso Avaliação de avaliação de controles internos. Aula 3 - Avaliação do controle
interno em nível de entidade - 2012.
18
BRASIL - Tribunal de Contas da União - Acórdão nº 748/2013

35
Em nível de entidade, quando os objetivos de auditoria são voltados para a avaliação global do
sistema de controle interno (unidades de negócio, secretarias, superintendências, departamentos,
áreas etc.) com o propósito de verificar se está adequadamente concebido e se funciona de maneira
eficaz. Em outras palavras, significa diagnosticar a presença e o funcionamento de todos os
componentes e elementos da estrutura de controle interno utilizada como referência.
E, em nível de atividades, quando os objetivos de auditoria são voltados para a avaliação do controle
interno em nível operacional que incidem direta ou indiretamente sobre determinados processos ou
operações específicos, revisando, seus objetivos-chave, identificando os riscos relacionados e
avaliando a adequação e o funcionamento dos controles adotados para gerenciá-los. Em outras
palavras, significa avaliar se os controles internos, em nível operacional, estão apropriadamente
concebidos, na proporção requerida pelos riscos, e se funcionam de maneira contínua e coerente,
alinhados com as respostas a riscos definidas pela administração nos níveis tático e estratégico da
organização.
De acordo com o TCU, em geral, as avaliações nesses dois níveis são executadas em um mesmo ou
em trabalhos sequenciais, realizando-se, primeiro, a avaliação em nível de entidade e, em seguida,
em nível de atividades.
d.1) Avaliação em nível de entidade
Para o processo de avaliação de controles internos em nível de entidade, o TCU o desenvolve em três
fases distintas: planejamento, execução e relatório, seguido do acompanhamento ou monitoramento
das recomendações sugeridas, conforme demonstrado na FIG.7.
A etapa do planejamento envolve basicamente três atividades: levantamento prévio, definição ou
revisão da estrutura de controle e desenvolvimento dos instrumentos de avaliação. O produto final
dessa etapa é a consolidação das informações em plano de trabalho com o cronograma das
atividades e dos recursos necessários para a execução da auditoria e elaboração do relatório final.
Sinteticamente, nesta fase é necessário ter conhecimento e compreensão sobre a organização
(missão, objetivos, estrutura organizacional e governança, contexto operacional, marco legal e
regulatório), para em seguida definir ou revisar a estrutura de controle interno em funcionamento
com base em modelos conceituais e critérios existentes. A estrutura de controle interno, assim
delineada, servirá de base para a determinação inicial das fontes de informação, das técnicas de
auditoria e para o desenvolvimento dos instrumentos que serão utilizados para realizar a avaliação
do controle interno em nível de entidade ou de atividades.

36
Figura 7 - Processo de avaliação dos controles internos em nível de entidade
Fonte: BRASIL - Tribunal de Contas União - Curso Avaliação de avaliação de controles internos Aula 3 -
Avaliação do controle interno em nível de entidade - 2012, p. 7.
Os instrumentos de avaliação podem assumir diversas formas e serem aplicados de maneiras
diferentes, dependendo da natureza da informação que se pretende obter e das características de
suas fontes, da técnica que será utilizada para a sua obtenção e tratamento e da necessidade de
documentação das evidências para sustentação das deficiências constatadas.
As técnicas mais utilizadas em avaliações de controles internos são entrevista, pesquisa, observação
direta e exame documental. Por conseguinte, os instrumentos para aplicá-las configurar-se-ão como:
roteiros de entrevistas, questionários de pesquisa, roteiros de observação direta e procedimentos
para exames documentais. Há ainda o instrumento denominado questionário de avaliação de
controle interno (QACI), talvez o mais utilizado, e por isso, escolhido para execução desse trabalho.
O QACI é utilizado na aplicação dos testes de controle para auxiliar o julgamento do auditor tornando
o tratamento dos dados e os resultados mais objetivos. Existem dois tipos de QACI: do tipo SIM/NÃO
(mais simplificado) e com escala de avaliação (likert e diferenciador semântico). A escala de tipo
Likert é usada para medir o grau de concordância ou discordância do pesquisado sobre determinada
afirmação acerca de uma situação, atitude, crença, juízo de valor. Na escala de diferenciador
semântico, solicita-se que o pesquisado se posicione em uma escala que relaciona duas palavras de
significado semântico oposto nos extremos.
A fase de execução envolve os testes de controle (desenho e eficácia operacional) e a avaliação a
partir dos resultados dos testes de controle. Em síntese, o teste de desenho avalia a concepção
(forma de implementação) do controle e o teste de efetividade operacional avalia o seu
funcionamento, isto é, se está atingindo os objetivos para os quais foi concebido e aplicado. Nesta
fase são aplicados os instrumentos de avaliação elaborados na etapa de planejamento e adotados
procedimentos de auditoria para testar o funcionamento dos controles existentes.
Legenda:
Fase de Planejamento
Fase de Execução
Fase de Relatório
Monitoramento

Manual de auditoria

Recomendados

Recomendados

Mais conteúdo relacionado

Semelhante a Manual de auditoria

Semelhante a Manual de auditoria (20)

Manual de auditoria