O VICE-REITOR DA UNIVERSIDADE FEDERAL DE ALAGOAS, no uso das atribuições que lhe confere o § 1º do art. 15 do Estatuto da Ufal, aprovado pela Portaria nº 4.067/MEC, de 29 de dezembro de 2003, e tendo em vista o que consta no no Processo nº 23065.021563/2019-09, resolve:

Art. 1º Aprovar o MANUAL DE AUDITORIA INTERNA da Universidade Federal de Alagoas – UFAL, constante no anexo desta portaria.

A transparência acerca da aplicação dos recursos públicos tem exigido a adoção de práticas que possibilitem à sociedade um melhor acompanhamento dos atos e ações do poder público, além de possibilitar melhorias à gestão e o atingimento dos resultados pretendidos.

A atividade de auditoria interna revela-se como importante instrumento para se alcançar tal objetivo, sendo formada por um conjunto de normas e procedimentos visando a supervisão e controle das atividades de administração contábil, financeira, técnica e administrativa, no âmbito da administração pública.

Nesse sentido, para uma busca da eficiência na execução das atividade de auditoria interna da Universidade Federal de Alagoas (UFAL) tornou-se importante a estruturação de padrões de procedimentos para a eficiência dos trabalhos de auditoria interna. A elaboração deste manual tem o objetivo de proporcionar clareza, objetividade e transparência às atividades de auditoria interna da UFAL, além de apresentar à sociedade as definições, conceitos e ações de controle de auditoria interna.

Sendo assim, os servidores integrantes da unidade de auditoria interna da UFAL, atualmente denominada de Auditoria Geral (AG), devem observar os procedimentos normatizados neste manual para um bom desenvolvimento de seus trabalhos.

Este documento foi elaborado tendo como base manuais de auditoria de outras entidades públicas, dentre as quais destacamos a Companhia Nacional de Abastecimento (CONAB), a Universidade Federal de Juiz de Fora (UFJF) e Universidade Federal do Estado do Rio de Janeiro (UNIRIO), além do Manual de Orientações Técnicas de Auditoria Interna do Executivo Federal.

1. O ciclo de auditoria interna 5

2. Planejar ciclo de auditoria 5

3. Executar ações globais 13

4. Avaliar e comunicar resultados de auditoria 18

5. Monitorar recomendações e determinações 21

6. Disposições gerais 27

Apêndice I – Modelo de ordem de serviço 28

Apêndice II – Procedimentos para caracterização do objeto de auditoria 29

Apêndice III – Modelo para análise de riscos de auditoria 36

Apêndice IV – Eventos mais comuns para apoiar análise de riscos de auditoria 37

Apêndice V - Modelo de Relatório de Auditoria 40

Apêndice VI - Modelo de programa de auditoria 43

Apêndice VII - Modelo de plano de execução 45

1. O ciclo de auditoria interna

As atividades de auditoria interna são executadas em um ciclo anual composto dos seguintes processos de trabalho: (i) Planejar ciclo de auditoria, (ii) Executar ações globais, (iii) Avaliar e comunicar resultados e (iv) Monitorar recomendações e determinações. Este ciclo é ilustrado na figura abaixo.

As ações globais podem ser de avaliação (IN SFC nº 03/2017), de consultoria (IN SFC nº 03/2017) ou de apuração (Lei nº 10.180, de 6 de fevereiro de 2001). Independentemente do tipo de ação de auditoria, o processo de execução das ações globais e monitoramento é composto dos seguintes subprocessos: Preparação, Planejamento, Execução, Monitoramento e Comunicação dos Resultados. Cada subprocesso varia conforme o tipo de ação global.

2. Planejar ciclo de auditoria

Este processo de trabalho tem como objetivo delinear o escopo da atuação da Auditoria Geral ao longo do ciclo anual. Toda e qualquer ação da Auditoria Geral deve estar prevista no Plano Anual de Auditoria Interna.

As atividades previstas para elaboração do Plano Anual de Auditoria Interna estão descritas no processo ilustrado na Figura 2. O processo é iniciado pela atividade de caracterização da Universidade, inclui análise de riscos para apoiar a seleção das ações de auditoria a serem executadas e é finalizado com a comunicação do Plano à sociedade.

As atividades do processo “Planejar ciclo de auditoria” devem ser executadas conforme descrito a seguir.

Esta atividade consiste no levantamento de informações úteis à caracterização da Universidade com relação à visão, missão, valores, objetivos, estratégias, processos e sistemas de gestão utilizados. Também deve-se obter informações sobre a atuação da governança, especialmente no que tange a gestão dos riscos organizacionais e monitoração e aperfeiçoamento dos controles internos.

- Avaliar o Plano de Desenvolvimento Institucional (PDI) correspondente ao(s) exercício(s) a que se pretende auditar, especialmente quanto ao alinhamento da missão, com os objetivos estratégicos e metas que foram definidos.

- Avaliar o Plano de Gestão ou instrumento equivalente (caso exista), com ênfase nas ações planejadas com o intuito de atingir as metas definidas no PDI.

- Entrevistar o comitê de Governança, Gestão de Riscos e Controle Interno para obter elementos sobre o seu funcionamento e sua atuação em prol da boa governança. Neste tópico sugere-se obter informação sobre a realização das práticas utilizadas pelo TCU e CGU, de outras unidades de auditoria interna governamentais, para caracterizar o nível de maturidade da organização com relação à governança.

- Identificar os pontos críticos da Universidade, com base em resultados de trabalhos de auditoria anteriores.

A avaliação do nível de maturidade em gestão de riscos é necessária à definição da estratégia a ser utilizada pela Auditoria Geral na elaboração do seu planejamento anual. Caso exista uma identificação prévia dos riscos institucionais associados aos seus objetivos estratégicos, a Auditoria Geral poderá utilizar esta lista de riscos para subsidiar seu planejamento. Caso a organização não possua uma lista de riscos aos objetivos estratégicos, a Auditoria Geral deverá realizar um estudo visando a identificação destes riscos.

A identificação dos riscos associados aos objetivos institucionais deve ser realizada quando a Instituição não possuir uma lista de riscos organizacionais. Nestes casos, a identificação dos riscos deve ser conduzida pela Auditoria Geral e contar com a participação dos gestores da Universidade.

Após a identificação dos riscos por parte da Auditoria Geral, a lista deve ser submetida, preferencialmente, à avaliação dos gestores da Universidade que, conforme pertinente, devem complementá-la.

De posse da lista de riscos organizacionais associadas aos objetivos estratégicos, deve-se avaliar quais metas institucionais estão mais suscetíveis aos riscos identificados. A análise dos riscos consiste na avaliação de impacto e probabilidade de ocorrência dos eventos de risco e resulta a definição do nível de exposição da meta.

Após obter o nível de exposição de cada meta aos riscos identificados, devem ser considerados os fatores de riscos relacionados à materialidade, relevância e criticidade de cada meta institucional. Como resultado desta atividade, cada meta terá um valor que representa o fator de risco da meta.

O cômputo do nível de risco é realizado com base no nível de exposição das metas aos riscos e na análise dos fatores de risco associados a cada meta.

Para realização do cálculo é necessário normatizar as medidas de Nível de Exposição (NE) e Fator de Risco (FR) para evitar distorções no cálculo do nível de risco.

O valor do Nível de Risco corresponde a uma medida no intervalo de 0 a 2, sendo 2 o valor que corresponde ao que possui maior nível de risco.

Após computado o nível de risco que todas as metas estão submetidas, deve-se ordená-las, da maior para menor, de forma a constituir uma lista priorizada de metas institucionais, sendo a primeira da lista aquela que possui maior nível de risco.

Além das ações nos objetos de auditoria que possuem maior nível de risco, há outros objetos que também deverão compor a lista de ações de auditoria a serem executadas, por força de lei, por necessidade institucional ou por outras razões que sejam explicitamente justificadas. Esta atividade deve ser realizada em paralelo com a análise dos riscos às metas institucionais.

Conforme o contexto institucional, ações específicas podem ser demandadas pela própria instituição. A capacidade de executar tais ações também precisa ser prevista no PAINT. Para estas ações pode-se determinar uma reserva técnica de esforço da equipe de trabalho de modo possibilitar sua execução.

Uma das atividades de auditoria é acompanhar se as recomendações e determinações expedidas pela própria auditoria ou órgãos de controle estão sendo devidamente tratadas a atendidas. Este acompanhamento é fundamental para que a unidade responsável em responder a demanda mantenha seu compromisso até que todas as questões tenham sido tratadas adequadamente. O planejamento do monitoramento dependerá do quantitativo de recomendações e determinações em aberto. Cada uma destas ações deverá possuir um indicativo da periodicidade do monitoramento, da unidade responsável, referência para a recomendação/determinação e indicativo do último contato realizado e qual o retorno obtido.

As mudanças a serem realizadas para contribuir com a melhoria da atuação da Auditoria Geral também devem compor o PAINT. Deve-se enumerar as ações pretendidas, estabelecer os objetivos de cada ação e definir os responsáveis pela execução. Também deve-se considerar a disponibilidade da força de trabalho para executar esta ação.

A atividade de planejamento das ações do ano subsequente também é uma ação que a equipe de auditoria terá que realizar, por esta razão, esta também deve ter um responsável alocado e a previsão de esforço a ser utilizado do total de esforço disponível.

Na atividade de avaliação, há um conjunto de tarefas a serem realizadas, dentre elas: elaboração do Relatório Anual de Auditoria Interna (RAINT), caracterização do desempenho da Auditoria Geral, apresentação dos resultados da auditoria no período e comunicação dos resultados à sociedade em geral. É necessário alocar responsáveis para estas tarefas e garantir disponibilidade da equipe para o período em que a avaliação do exercício precisa ocorrer.

De posse da lista priorizada das metas com os respectivos níveis de risco e a lista de ações obrigatórias que devem compor o PAINT, a Auditoria Geral deverá selecionar o maior conjunto passível de ação de auditoria levando em consideração a obrigatoriedade de execução, a sua força de trabalho anual e o calendário laboral.

A equipe que compõe o quadro de servidores da Auditoria Geral precisa ser submetida continuamente a qualificações que possam aperfeiçoar o nível de conhecimento, competências e habilidades para realização do trabalho de auditoria. Cada membro da equipe deve ter em seu plano de qualificação, ao menos 40 horas por ano, com ênfase em temas que possam contribuir com a qualidade dos trabalhos a serem executados ao longo do período. Portanto, a lista de ações a serem executadas ao longo do período é um insumo importante para a definição do plano de capacitação da equipe.

A equipe pode sugerir outras melhorias que não estejam relacionadas a este conjunto de critérios.

A partir das observações realizadas pela equipe, o PAINT pode ser ajustado. A avaliação da pertinência do ajuste cabe ao Auditor Geral.

Após a finalização da proposta do PAINT, o Auditor Geral deve remetê-lo ao CONSUNI para seu encaminhamento à CGU, a fim de que a Controladoria-Geral da União avalie o cumprimento dos requisitos legais e pronuncie-se em relação à regularidade do PAINT.

A CGU pode recomendar sugestões de melhoria no PAINT. Estas recomendações deverão ser apreciadas pela Auditoria Geral, que deverá posicionar-se, de forma fundamentada, quanto ao aceite ou não das recomendações. O PAINT deve, sempre que possível, ser revisado para contemplar as sugestões propostas pela CGU.

Uma vez avaliado pela CGU e, se for o caso, realizados os ajustes pela Auditoria Geral, deve o PAINT ser remetido à Gestão da universidade para avaliar o plano a fim de verificar sua capacidade de auxiliar a instituição a alcançar seus objetivos estratégicos.

A partir das considerações realizadas pela Gestão, o plano pode ser ajustado. A avaliação da pertinência do ajuste cabe ao Auditor Geral.

O PAINT deve ser submetido a avaliação e aprovação do Conselho Universitário (CONSUNI). Apenas após esta aprovação, o plano deverá ser considerado concluído e pronto para execução. A aprovação do PAINT pode ser condicionada a realização de mudanças que o CONSUNI considere essenciais para a efetividade da ação da Auditoria Geral. Nestes casos, o PAINT também poderá ser considerado concluído tão logo os ajustes tenham sido feitos por parte do Auditor Geral.

Após a avaliação do CONSUNI, pode ser necessário realizar alterações no PAINT. Após as alterações demandadas pelo CONSUNI terem sido incorporadas no PAINT, ele deve ser considerado concluído e ser disponibilizado em área pública no sítio institucional da UFAL.

3. Executar ações globais

Conforme previsto no PAINT, ao ser alcançada a data prevista para execução de uma ação global, o Auditor Geral deve expedir portaria, a ser publicada no boletim interno da instituição, contendo: designação da equipe técnica e definição de prazo para a execução da atividade.

A designação da equipe de auditoria realizada pelo Auditor Geral deverá considerar a equidade de alocação da equipe, considerando aspectos quantitativos em relação a previsão de esforço para a realização da ação.

Após a publicação da portaria, o Auditor Geral deve emitir uma ordem de serviço para início da execução da atividade de auditoria. A ordem de serviço deve conter a descrição da ação e a especificação da atividade de auditoria, incluindo: o objetivo, o escopo, o prazo de execução, a quantidade de horas previstas para a ação e a indicação da equipe técnica. O modelo para emissão da ordem de serviço consta no Apêndice I.

Todas as ações de auditoria devem ser associadas a um processo devidamente criado no sistema de protocolo institucional da UFAL (módulo Protocolo do SIG-SIPAC). O processo permite que toda a documentação relativa à ação de auditoria seja organizada e rastreada física e/ou digitalmente. A Secretaria Geral da Auditoria Geral, de posse da portaria e da ordem de serviço, será a responsável pela criação do processo no sistema de protocolo institucional. O assunto do processo deve seguir o seguinte padrão:

onde YYYY refere-se ao ano do PAINT e XXX ao código da ação do PAINT.Tal processo será considerado o processo principal da atividade de auditoria e a ele devem ser apensados todos os outros processos abertos para a execução da atividade de auditoria.

Com o objetivo de ampliar o entendimento sobre o objeto de auditoria, deve-se utilizar o procedimento de caracterização do objeto de auditoria (Apêndice II) para obter elementos necessários ao detalhamento do escopo da auditoria e realizar a identificação de eventos de riscos relacionados ao objeto de auditoria. A obtenção do entendimento inicial é de responsabilidade da equipe alocada à ação e deve contar com a participação, preferencialmente, do gestor da unidade auditada, o qual deve prover toda a informação relevante a este entendimento. Como resultado desta atividade, espera-se constituir uma lista dos processos de trabalho mais relevantes que possuem relação com o objeto de auditoria e a indicação dos eventos de risco que podem incidir ao longo da execução desses processos.

Com base na lista de processos de trabalho e respectivos eventos de risco que podem incidir durante a execução dos processos e dificultar o alcance dos objetivos, deve-se realizar uma análise de riscos para identificar os processos mais críticos relacionados ao objeto de auditoria. A partir da análise de riscos, deve-se considerar a adequação e suficiência dos mecanismos de controle estabelecidos para estes processos com o objetivo de priorizar os processos de maior risco a serem submetidos à análise da equipe.

Após a seleção dos processos de trabalho a serem auditados, deve-se determinar o tamanho da amostra a ser considerada no escopo da ação de auditoria.

A partir da identificação dos processos a serem auditados, deve-se desenvolver os instrumentos necessários à aplicação dos testes de auditoria e realização de todos os registos, inclusive o checklist para orientar o auditor na verificação do objeto de auditoria. O conteúdo do checklist depende do objeto de auditoria. Caso o objeto já tenha sido alvo de outras auditorias, pode-se utilizar checklists existentes.

O programa de auditoria deve indicar as atividades que deverão ser realizadas na auditoria. Cada atividade deve ser associada a uma previsão de datas de início e fim, a indicação dos envolvidos e o resultado pretendido para cada atividade. A equipe de auditoria também deve realizar uma análise dos riscos de auditoria, os quais deverão compor o programa de auditoria. Esta análise deverá ser realizada nos moldes do apêndice III e utilizar como referência a descrição dos eventos de riscos mais comuns, conforme o Manual de Orientação Técnica da CGU, os quais foram transcritos no apêndice IV.

O plano de execução deve descrever as ações a serem desenvolvidas pela equipe técnica de auditoria, em ordem cronológica de datas de execução.

Os modelos a serem utilizados para o programa de auditoria e plano de execução constam, respectivamente, nos apêndices VI e VII.

3.4.4. Avaliar programa e plano: O Auditor Geral deve avaliar, para fins de aprovar ou recomendar alterações, o programa de auditoria e o plano de execução de forma a verificar se:

iv) Todas as questões identificadas no entendimento inicial foram alvo da análise de riscos?

O Auditor Geral comunica a unidade a ser auditada a respeito do programa e plano de trabalho e faz a apresentação da equipe que atuará na ação.

Durante a execução da atividade de auditoria a equipe técnica deve dar cumprimento ao programa de auditoria e a seu plano de execução, devendo promover o registro de todos os atos praticados, arquivando, preferencialmente em meio magnético, as informações, dados e documentos coletados durante a ação.

Durante a execução da ação de auditoria, o Auditor Geral deve acompanhar o cumprimento do planejamento de execução e atuar no sentido de superar eventuais impedimentos que possam dificultar o trabalho da equipe técnica de auditoria.

O relatório de auditoria consiste no documento que contém os resultados e a conclusão do trabalho de auditoria realizado.

Ao final dos trabalhos de execução da atividade de auditoria, deve a equipe técnica elaborar relatório de auditoria circunstanciado contendo o número do relatório e ano de emissão; identificação do programa de auditoria; área auditada; escopo do trabalho (critério); exposição da situação encontrada; manifestação do gestor, se houver; recomendações, caso aplicável; conclusão e relação de evidências, se houver; data e assinatura.

Uma vez elaborado o relatório de auditoria, encerra-se a atividade com o seu encaminhamento, através de processo administrativo protocolado com esse fim, a ser remetido ao Auditor Geral para avaliação e aprovação.

O Auditor Geral deve avaliar o relatório de auditoria produzido pela equipe técnica, aprovando-o, hipótese em que deverá remeter o relatório de auditoria, devidamente assinado por si e pela equipe técnica à Secretaria Geral para abertura de processo e envio ao CONSUNI, ou recomendado alterações, ao que deve devolver à equipe técnica para os ajustes apontados.

A Secretaria Geral deve remeter o relatório de auditoria, por meio de processo, ao CONSUNI, por meio de seu Presidente, fazendo a juntada do recibo de entrega do processo contendo o relatório de auditoria no processo principal da atividade de auditoria (contendo os papéis de trabalho), promovendo também o devido arquivamento deste último.

Mediante devolução do relatório de auditoria pelo(a) Presidente(a) do CONSUNI, o titular da unidade de auditoria interna deve alimentar as recomendações do referido relatório no sistema de controle de monitoramento da auditoria interna, para fins de execução futura de atividade de monitoramento.

Com vistas à promoção da transparência e atendimento ao que preconiza a Lei de Acesso à Informação (Lei nº 12.527/2011), o relatório de auditoria concluído deve ser publicado no sítio eletrônico da UFAL.

Quando do retorno à Auditoria Geral do processo contendo o relatório de auditoria, deve o Auditor Geral realizar a publicação do referido relatório de auditoria no sítio eletrônico da UFAL. Caso o retorno à Auditoria Geral do processo contendo o relatório de auditoria não ocorra no prazo de 30 (trinta) dias, a contar do recebimento do mesmo no CONSUNI, deve o Auditor Geral promover a publicação do relatório de auditoria no sítio eletrônico da Universidade, averiguando junto ao(a) Reitor(a) e direção da(a) unidade(s) auditada(s) quanto à eventual existência de informações ou trechos considerados sigilosos, devendo ser indicado o enquadramento de eventuais hipóteses legais de sigilo e as respectivas justificativas, entendendo-se o silêncio como autorização para a publicação.

4. Avaliar e comunicar resultados de auditoria

Os resultados do trabalho da unidade de auditoria interna durante um exercício (consubstanciados em relatórios e/ou pareceres) serão apresentados através do Relatório Anual de Atividades de Auditoria Interna (RAINT). Para elaboração do relatório é necessário realizar uma avaliação da atuação da AG ao término da vigência do Plano Anual de Auditoria Interna. A avaliação provê todos os insumos necessários à elaboração do RAINT, que, após encaminhamento à Gestão da universidade, ao CONSUNI e à CGU, para ciência, deve ser disponibilizado à sociedade por meio de publicação no sítio institucional da UFAL. A figura abaixo ilustra este processo, o qual consta descrito em seguida.

A elaboração do RAINT pressupõe a realização de uma avaliação sobre a atuação da Auditoria Geral no período de exercício. Nesta avaliação, deve-se considerar:

i) situação das atividades de auditoria interna com relação ao que consta planejado no PAINT (realizados, não concluídos e não realizados) e indicativo daquelas que foram realizadas sem previsão no PAINT, caso tenham existido. As atividades não concluídas, não realizadas ou que tenham sido realizadas sem previsão no PAINT, precisam ser acompanhadas de justificativas.

ii) a situação das recomendações e determinações quanto à implementação ou ao cumprimento pela UFAL ao longo do exercício (finalizadas, vincendas e não implementadas com prazo expirado);

iii) a ocorrência de fatos relevantes com impacto positivo ou negativo sobre a auditoria interna;

iv) as capacitações realizadas pela equipe que compõe a Auditoria Geral, com indicação do quantitativo de auditores capacitados, carga horária e temática dos cursos realizados;

v) aspectos relacionados ao nível de maturidade organizacional com relação à governança, gestão de riscos e controle internos com base nos trabalhos realizados;

vi) demonstrativo dos benefícios financeiros e não financeiros decorrentes da atuação da unidade de auditoria interna ao longo do exercício por classe de benefício; e

vii) os resultados das ações para a melhoria da atuação da Auditoria Geral e seus reflexos nos indicadores de desempenho.

A partir da avaliação realizada, deve-se consolidar os dados de forma a compor o RAINT. O Auditor Geral poderá delegar tarefas específicas para a equipe de auditoria para agilizar a conclusão dos trabalhos.

O RAINT deve ser encaminhado ao CONSUNI pela Auditoria Geral. Acaso seja necessário, o Auditor Geral pode prestar esclarecimentos acerca das questões lançadas pela Gestão para melhor compreensão do conteúdo do RAINT. O Auditor Geral também pode ofertar o serviço de assessoria da Auditoria Geral para prover sugestões de encaminhamento para tratar recomendações e determinações indicadas no referido relatório.

O RAINT deve ser encaminhado ao Sistema de Controle Interno do Poder Executivo Federal em conformidade com a Instrução Normativa Nº 09 CGU, de 09 de outubro de 2018.

O Auditor Geral deve encaminhar o RAINT para ciência ao CONSUNI, que poderá solicitar esclarecimentos à Auditoria Geral.

O RAINT deve ser publicado no sítio eletrônico da UFAL em um prazo de 90 dias após o término da vigência do PAINT. Deve-se atentar para a proteção de informação sigilosa ou da informação pessoal que possa estar contida no referido relatório antes de sua publicação. A publicação do RAINT é de responsabilidade do Auditor Geral.

5. Monitorar recomendações e determinações

O Auditor Geral, mediante alcance da data prevista para realização da monitoração das recomendações conforme consta no PAINT, abre ordem de serviço para realização da ação de monitoramento das recomendações e determinações dos órgãos de controle.

A equipe de auditoria, com base no escopo indicado na Ordem de serviço, das recomendações e determinações, deve realizar um levantamento para identificar as determinações e recomendações emitidas pelo órgão que ainda não foram consideradas resolvidas pelas unidades organizacionais da UFAL e cujo prazo para resolução já tenha expirado ou que esteja próximo de expirar.

Com base no levantamento das recomendações e determinações pendentes de atendimento, a equipe técnica de auditoria deve elaborar solicitação de auditoria para cada unidade organizacional responsável por tratar suas respectivas determinações e recomendações pendentes de cumprimento.

A solicitação de auditoria tem como objetivo solicitar informação e evidências das unidades organizacionais a respeito da situação das determinações e recomendações que constarem na solicitação. A solicitação de auditoria deve indicar a preferência pelo envio digitalizado da resposta aos e-mails institucionais da Auditoria Geral.

Todas as solicitações de auditoria deverão ser encaminhadas às respectivas unidades organizacionais por meio de processo eletrônico com o uso do sistema de protocolo institucional (módulo Protocolo do SIG-SIPAC). O encaminhamento do processo deve ser realizado pela Secretaria Geral da Auditoria Geral.

As unidades organizacionais devem responder a todas as questões de auditoria encaminhadas nas solicitações de auditoria. As respostas devem ser claras e objetivas, e preferencialmente, acompanhadas de elementos factuais, isto é, evidências que comprovem que as determinações/recomendações foram cumpridas. Na ocasião pela decisão do não cumprimento ou cumprimento parcial da determinação/recomendação, ou ainda, na tratativa da questão de forma diferente da recomendada pelos órgãos de controle, deve-se encaminhar resposta acompanhada de justificativa plausível e devidamente fundamentada.

A equipe de auditoria deve analisar as respostas e verificar o atendimento ao que consta nas determinações e recomendações dos órgãos de controle.

Durante a avaliação das respostas, poderão ser averiguadas as seguintes situações:

As razões pelas quais uma resposta pode ser julgada inadequada são variadas, por exemplo: resposta sem relação com a questão encaminhada, resposta incoerente com a situação conhecida da unidade, resposta desacompanhada de elementos comprobatórios, resposta sem justificativa plausível para o não cumprimento ou cumprimento parcial da determinação/recomendação, dentre outras.

Diante deste cenário, mediante a dificuldade de avaliar de forma assertiva se a determinação foi ou não cumprida por meio da análise emitida pela unidade, caso ainda haja prazo, deve-se reiterar a solicitação de auditoria junto à unidade.

Diante de uma resposta inadequada à solicitação de auditoria e, porém, dentro do prazo previsto para a devolutiva, a equipe de auditoria deve interagir com a unidade e solicitar informações complementares e, se necessário, prover elementos que facilitem o entendimento da unidade no intuito de obter respostas mais assertivas a respeito do atendimento ou não da determinação/recomendação.

Findo o prazo determinado para que as unidades encaminhem respostas às solicitações de auditoria, a equipe de auditoria deve realizar a atualização do instrumento de controle das determinações e recomendações em aberto.

As determinações e recomendações têm suas situações atualizadas no instrumento de controle da Auditoria Geral.

O Auditor Geral avalia o resultado do monitoramento e verifica a necessidade de realizar visitas in loco para certificação do pleno atendimento da demanda. As visitas para verificar os encaminhamentos dados às recomendações e determinações são indicadas nos casos em que o resultado possa ser evidenciado por fotografias, a exemplo de obras, aquisição de bens, serviços de manutenção, e outros.

Nos casos em que o Auditor Geral julgar necessário realizar visita in loco para avaliar o atendimento das determinações/recomendações, as equipes de auditoria devem proceder com a visita a fim de coletar elementos factuais que denotem o cumprimento das determinações/recomendações em questão. Todos os elementos coletados deverão constituir o respectivo processo que originou a ação de auditoria.

A partir dos registros atualizados sobre a situação de cada determinação/recomendação, a equipe de auditoria deve elaborar um relatório que sintetiza quais foram atendidas, quais continuam pendentes de cumprimento e as respectivas justificativas para cada situação.

Finda a elaboração do Relatório de Auditoria, cabe ao Auditor Geral comunicá-lo ao CONSUNI na forma do item 3.9. Antes de encaminhar para a apreciação da Gestão, o Auditor Geral poderá solicitar à equipe que sejam feitos ajustes com o intuito de enriquecer o conteúdo do relatório e melhorar o seu entendimento.

6. Disposições gerais

A unidade de auditoria interna da UFAL sujeita-se à orientação normativa e à supervisão do Sistema de Controle Interno do Poder Executivo Federal, prestando apoio aos órgãos e às unidades que o integram, bem como aos órgãos de controle externo.

A Auditoria Geral deverá rever periodicamente e proceder a atualização, quando necessária, do Manual de Auditoria Interna. Eventuais alterações no presente Manual deverão ser propostas formalmente pelo corpo técnico e/ou pela chefia da unidade de Auditoria Interna.

Os servidores integrantes da Auditoria Geral deverão observar, no desempenho de suas funções, os aspectos técnicos e normas de conduta apresentadas neste Manual.

Apêndice I – Modelo de ordem de serviço

Apêndice II – Procedimentos para caracterização do objeto de auditoria

Este procedimento tem como objetivo apoiar a equipe na análise do objeto de auditoria de forma a possibilitar a seleção dos processos críticos ao alcance das metas institucionais e, por esta razão, devem ser alvo de ações de auditoria.

A Figura 7 ilustra um esquema de como os processos de trabalho a serem auditados podem ser obtidos a partir da análise da meta institucional, enquanto objeto de auditoria. Cada meta demanda por ações, prazos e responsáveis por sua execução. Uma ação pode demandar a execução de um ou mais processos de trabalho. Os processos de trabalho estão sujeitos a eventos de risco que podem influenciar a sua execução. A execução de cada processo de trabalho está associada à fatores de risco (materialidade, relevância e criticidade). Os fatores de risco em conjunto com os eventos de risco definem o nível de risco do processo de trabalho no que tange ao alcance das metas institucionais. O nível de risco pode ser utilizado para priorizar os processos de trabalho que são mais críticos para a instituição. A partir da amostragem dos processos de trabalho considerados mais críticos, a equipe de auditoria pode selecionar os processos a serem auditados.

Para determinar os processos de trabalho a serem auditados, siga os procedimentos a seguir.

1) Verifique a existência do plano de ação ou instrumento equivalente que oriente a consecução da meta.

Caso exista um plano ou instrumento equivalente, verifique se o plano possui identificação clara das ações, dos prazos e responsáveis por cada ação. Este plano servirá de insumo para identificação dos processos necessários à consecução da meta.

Caso não haja nenhum instrumento que indique as ações necessárias para o alcance das metas, confirme a ausência de controles internos capazes de, preventivamente, indicar a possibilidade de não alcançar as metas que foram definidas. Este item pode implicar em recomendação à unidade responsável pela meta que estabeleça novos controles de orientação e acompanhamento do progresso rumo ao alcance da meta.

Caso tenha sido identificado um plano de ação relacionado à meta, utilize-o para identificar os processos que estão relacionados às ações, ou seja, quais os principais processos de trabalho que precisam ser executados para que a ação seja realizada. Caso não exista um plano, identifique os elementos necessários ao alcance da meta e como estes elementos deveriam ser providos. A partir deste entendimento é possível enumerar os processos que precisam ser executados para que a meta seja alcançada. Os processos de trabalho identificados devem ser registrados na planilha de análise de riscos, na aba Processos de Trabalho.

Exemplo: Considere a meta: “Oferta de novos cursos na modalidade a distância para atender a demanda de formação de professores da rede estadual e municipal.”

Pode-se decompor a meta em ações e produtos de trabalho para, a partir destes, identificar e obter o entendimento dos processos de trabalho relacionados.

b) Estes novos cursos deverão ter como objetivo a formação de professores da rede estadual e municipal.

3) Identifique os eventos que poderiam influenciar negativamente o alcance da meta.

Enumere os potenciais riscos que podem incorrer durante o desenvolvimento de cada um dos elementos elencados na questão anterior. Cada risco deve ser associado ao processo de trabalho em que ele pode incidir. Este registro deve ser feito na planilha de análise de riscos, na aba Riscos.

4) Valide a lista de processos de trabalho e respectivos riscos com o gestor da unidade.

Antes de seguir para a próxima tarefa, é necessário realizar uma validação da lista de processos de trabalho cuja execução é necessária para que as metas sejam alcançadas. Neste momento a lista pode ser complementada ou ter processos excluídos. Além disso, é importante que o gestor verifique se a lista dos eventos de risco associados aos processos de trabalho é representativa e se requer complementos. É imprescindível que um registro da validação do gestor seja feito, quer seja por ata de reunião, por email, memorando eletrônico ou outro meio que seja suficiente para demonstrar que o gestor da unidade realizou uma avaliação da lista de processos de trabalho e a considerou suficiente ao propósito.

Identifique os eventos de risco que podem incidir nos processos de trabalho durante a sua execução e, consequentemente, podem influenciar negativamente na execução das ações necessárias ao alcance das metas. Utilize a aba Riscos, da planilha de análise de riscos para indicar os eventos que incidem sobre cada processo de trabalho.

O nível de risco deve ser definido a partir do uso da planilha de análise de riscos e consiste na realização das seguintes tarefas:

Ordene a lista dos processos de trabalho em ordem decrescente. O primeiro deve ser aquele com o nível de risco com maior valor.

O processo de trabalho mais crítico, ou seja, aquele que tiver maior nível de risco, deve ser o alvo prioritário da ação de auditoria. A seleção dos processos de trabalho deverá considerar o tamanho da equipe de auditoria, a expertise que a mesma possui no assunto, no esforço que foi estimado para a realização do trabalho e no prazo que foi previsto para a realização da Ação.

Os exames de auditoria são realizados basicamente por amostragem, que consiste no processo pelo qual se obtêm informações sobre a totalidade de uma determinada população através da análise de parte dela, denominada de amostra.

Para os processos considerados mais críticos e que foram selecionados para serem alvos da ação de auditoria, deve-se identificar a população de processos que deverão servir de conjunto para extração da amostra a ser auditada.

A equipe técnica de auditoria interna, ao estipular a amostragem da atividade a ser realizada, deve recorrer à amostra com o intuito de aplicar os procedimentos de auditoria a uma parcela reduzida da população, sem que haja perda de suas características essenciais, de forma a proporcionar adequada evidência sobre o todo. A qualidade da amostra deve ser tal que, ao se aplicar os procedimentos de auditoria a uma parcela reduzida da população, não haja perda de suas características essenciais.

A amostra e seu tamanho podem variar, pois dependem do objetivo que se está almejando com aquela atividade de auditoria, do objeto da auditoria, da complexidade da população (tanto no sentido qualitativo como quantitativo), do tempo programado para executar tal atividade, da quantidade de servidores alocados para a auditagem, da experiência do auditor, dentre outros fatores estabelecidos durante o planejamento de execução da atividade de auditoria.

A amostra pode ser selecionada utilizando-se critérios tais como percentuais em uma população, valores mais representativos, exigência de maior tecnicidade na execução de um procedimento, ou mesmo aleatoriamente.Assim, a definição da amostra depende de cada caso em concreto, podendo ocorrer variações, conforme as circunstâncias acima apontadas ou outras emergentes.Contudo, o planejamento dos trabalhos de auditoria deverá ser feito de forma imparcial, dando ênfase às áreas julgadas relevantes e com maior risco, com o objetivo de potencializar os resultados a serem obtidos.

A unidade de auditoria interna da Ufal utilizará, preferencialmente, como método para a definição da amostra a Tabela Philips, na qual em sua última coluna é estabelecido o número de problemas aceitáveis dentro de determinada população. Se o número de problemas detectados estiver acima do estabelecido na tabela, o auditor interno poderá concluir que o controle interno não está adequado e deverá aprofundar a análise. Vale ressaltar que esta tabela assegura uma margem estatística de 95% de segurança na opinião relatada pelo auditor interno em sua análise. Vejamos:

Após a amostragem, a equipe deve relacionar os processos de trabalho que compõem a amostra e serão alvo da ação de auditoria.

Apêndice III – Modelo para análise de riscos de auditoria

b) Tratamento a ser dado para os eventos com grau de exposição maior do que o aceitável pela instituição

[indique o evento de risco, o tipo de tratamento a ser dado (aceitar, mitigar, contingenciar ou transferir), descreva a ação a ser realizada, indique o momento ou condições que indiquem quando a ação deverá ser executada e qual o responsável por sua execução.]

Apêndice IV – Eventos mais comuns para apoiar análise de riscos de auditoria

Descrição dos eventos de risco que são comuns à ameaça de objetividade à ação de auditoria (fonte MOT):

Pressão externa: algumas vezes o auditor pode perceber uma excessiva expectativa em relação aos seus achados: ora para que realize grandes descobertas, ora para que não se detenha sobre itens suspeitos. Outras vezes a expectativa é de que realize as tarefas exatamente da mesma forma como sempre foram feitas antes, sem quaisquer inovações. Essa expectativa pode provir de auditores externos, de reguladores, da própria Unidade Auditada ou, por vezes, dos próprios componentes da equipe de auditoria.

Interesse econômico no desempenho da organização: os auditores internos governamentais podem ter receio de que achados significantes, como a descoberta de atos ilegais, possam prejudicar o futuro da organização e, portanto, os seus próprios interesses como servidores/funcionários, ou outros interesses financeiros, como é o caso dos auditores de sociedades de economia mista detentores de ações da organização negociadas em bolsas de valores.

Envolvimento anterior com o objeto de auditoria: os auditores internos governamentais podem ter atuado, antes de compor o quadro funcional da UAIG, nas áreas de gestão da Unidade Auditada, e terem sido responsáveis ou participado das atividades a serem auditadas. Podem ainda ter tido outros vínculos profissionais com as atividades, seja por meio de comércio, seja por meio de prestação de serviço.

Relacionamento pessoal: os auditores internos governamentais a serem designados não devem ter vínculos de amizade ou de parentesco (quando parentes em linha reta, colateral ou por afinidade, até o terceiro grau) com o responsável ou com algum servidor/funcionário que atue diretamente com o objeto da auditoria. Em situações como essa, os auditores podem se sentir tentados a deixar passar, suavizar ou atrasar a comunicação de achados de auditoria, para evitar comprometer o amigo ou parente.

Familiaridade: essa ameaça pode surgir em decorrência de um relacionamento de longo prazo do auditor interno governamental com o responsável pelo objeto de audito
ria. Pode levar à perda da objetividade durante o trabalho, fazendo com que o auditor faça um pré-julgamento com base em problemas prévios ou em casos de sucesso anteriores, e que assuma um posicionamento consistente com o pré-julgamento, e não com a situação objetiva que está auditando. Preconceito cultural, étnico ou de gênero: se os auditores internos governamentais possuírem preconceitos em relação a práticas ou costumes diferentes dos seus, a determinado grupo étnico ou a um gênero específico, podem ter sua objetividade comprometida ao auditar um objeto de auditoria gerenciado ou composto por servidores/funcionários que se enquadrem nessas condições. Nesse caso, os auditores podem assumir, indevidamente, posturas excessivamente críticas, não condizentes com a realidade.

Inclinações cognitivas: muitas vezes o auditor possui uma inclinação, que pode mesmo ser inconsciente, em interpretar informações. Se a perspectiva adotada é muito crítica, o auditor pode ignorar informações positivas. Da mesma forma, se
adotar uma posição favorável e positiva, pode deixar de considerar informações negativas. Nesses casos, é comum que haja certas noções pré-concebidas, as quais o impelem a ver evidências que confirmem tais noções.

Revisão dos próprios trabalhos: essa ameaça pode surgir quando um auditor interno governamental atua sobre um objeto já auditado por ele anteriormente. Nessas situações, ao realizar trabalhos de auditoria posteriores, o auditor pode se tornar menos crítico ou menos atento a erros ou deficiências. Ocorre, por exemplo: quando audita uma política, uma área ou um setor repetidas vezes ou por anos consecutivos; ou quando presta serviços de avaliação sobre a implantação de um sistema informatizado que auxiliou a implantar por meio de uma consultoria anterior.

Ameaça de intimidação: ocorre quando um auditor interno é impedido de agir objetivamente devido a ameaças, a pressão psicológica ou a constrangimento, de forma aberta ou velada, por responsáveis pelo objeto de auditoria ou por outras partes interessadas.

Conduta tendenciosa: surge quando os auditores internos governamentais agem tendenciosamente em favor ou contra o responsável pelo objeto de auditoria ou algum servidor ou funcionário que atue diretamente com o objeto auditado.

De acordo com a IN SFC nº 3, de 2017, para evitar a ameaça decorrente de envolvimento anterior com o objeto de auditoria, de relacionamento pessoal e de familiaridade, é necessário que os auditores não participem de trabalhos nessas atividades por um período mínimo de 24 meses após o término do vínculo. Além dessa medida, há outras que podem ser adotadas com a finalidade de impedir ou evitar que a objetividade dos auditores seja prejudicada. Entre elas, encontram-se: a) promoção de ambiente em que o pensamento objetivo seja valorizado, e as inclinações e preconceitos sejam desaprovados, com possível impacto em avaliações e promoções; b) inclusão de membro na equipe com ponto de vista diferente dos demais; c) estabelecimento de rodízio dos auditores e dos supervisores de trabalho em relação aos objetos a serem auditados. Nesse caso, é importante não confundir o objeto auditado com a Unidade Auditada, pois esta pode possuir uma ampla gama de objetos de auditoria. O rodízio deve ser estabelecido de acordo com os recursos de pessoal disponíveis na UAIG, estabelecendo-se prazo máximo de permanência (auditando um mesmo objeto) e prazo mínimo de quarentena (afastamento); d) treinamento sobre métodos, abordagens e ameaças à objetividade; e) supervisão próxima e atuante; f) revisão cuidadosa dos trabalhos; g) avaliação de qualidade.

É, pois, fundamental que, não apenas o responsável pela UAIG, mas todos os auditores internos sejam capazes de identificar as situações aqui descritas, em trabalhos de qualquer natureza, e busquem adotar providências para minimizar seus efeitos.

Apêndice V - Modelo de Relatório de Auditoria

[Deve ter tamanho suficiente para apresentar os aspectos principais, sem descer a detalhes e, portanto, se estender muito.]

Em atendimento à determinação contida na Ordem de Serviço nº XXX/YYYY, a Auditoria Geral da Universidade Federal de Alagoas apresenta Relatório de Auditoria, relativa à ação [NOME DA AÇÃO], em estrito cumprimento ao Plano Anual de Atividades da Auditoria Interna – PAINT [ANO DO PAINT].

[descreve o que a auditoria buscou realizar. Normalmente são traduzidos por verbos no infinitivo. Exemplo: avaliar, determinar.]

[determina os limites da auditoria, ou seja, descreve tanto o que foi incluído na auditoria quanto o que foi excluído e que o leitor poderia esperar que fosse abordado. Nesses casos, é necessário explicar os motivos da exclusão. Deve-seindicar qual a origem das determinações e recomendações, período em que foram abertas e indicar o quantitativo.]

[Consiste no registro de boas práticas e de outras ações positivas adotadas pela gestão na área ou na atividade auditada, consideradas dignas de destaque pela equipe de auditoria.]

[Registros que respondem aos objetivos do trabalho, ou seja, às questões de auditoria. Ao compor o achado, a equipe deve dar destaque ao que é mais importante, portanto, o que é principal deve ser incluído no início do texto. Os achados devem ser apresentados de forma organizada, de acordo com um critério preestabelecido como ordem cronológica, relevância, tema, causa, efeito ou risco. Deve conter: Descrição sumária; Critério; Condição; Causa; Efeito ou Consequência; Manifestação da unidade auditada; Análise da unidade de auditoria.]

[As recomendações e os planos de ação (estes últimos elaborados pela Unidade Auditada) constituem alguns dos conteúdos principais do relatório de auditoria. É principalmente por meio deles que a UAIG agrega valor, indicando soluções práticas. Manifestação da Unidade Examinada (ou Respostas da Unidade Auditada): consiste nas manifestações da Unidade Auditada em relação aos achados de auditoria. Servem para refutar, explicar, apresentar argumentos, sobretudo quando os achados relatam deficiências, fraudes, violações, não conformidades. Os auditores devem obter, analisar e relatar não apenas essas respostas, mas também quaisquer ações corretivas planejadas para solucionar as situações apontadas por meio dos achados.]

[Ênfase nas questões em aberto que são críticas e requerem atuação da Gestão. Consiste na emissão da opinião final da equipe de auditoria sobre o objeto auditado. Pode envolver algum tipo de classificação. Costuma decorrer dos muitos fatores e informações a que a equipe teve acesso durante o trabalho, principalmente dos achados. Na conclusão, podem ser apresentados os achados de auditoria de forma sintética, explicitando-se o vínculo entre eles e as questões de auditoria propostas. Podem também ser apresentados os benefícios decorrentes da auditoria realizada, inclusive os financeiros, quando houver, e a causa raiz, quando esta for identificada. Da mesma maneira, quando forem identificadas boas práticas relevantes, essas poderão ser registradas nesse espaço. A abordagem apresentada nesse campo deve ter caráter gerencial, ou seja: abordar aspectos que estejam na alçada da alta administração da unidade.]

Materiais: [Indicar os materiais utilizados. Ex.: utilização de material de papelaria e escritório.]

Financeiros: [Indicar os custos da ação. Caso não tenha tido nenhum custo, indicar: “Não houve dispêndio nesta atividade de auditoria.”]

Tecnológicos: [Enumerar os recursos tecnológicos utilizados. Ex.:consulta ao sítio eletrônico do TCU.]

Apêndice VI - Modelo de programa de auditoria

AG005/2018 – VIABILIZAÇÃO DAS DEMANDAS DO CGU – - Ofício nº 2002/2019/Regional/AL-CGU Solicitação de Auditoria nº 201900037 Avaliação da Governança

[Descrever os objetivos a serem alcançados a partir do desdobramento do objetivo geral]

[Indicar os procedimentos e técnicas a serem aplicados a esta ação de auditoria]

[Indicar os normativos que servirão de referenciais para esta ação de auditoria]

Apêndice VII - Modelo de plano de execução

Supervisor: _____________________________________ Matrícula SIAPE nº ________________

Coordenador: ___________________________________ Matrícula SIAPE nº ________________

Equipe: _______________________________________ Matrícula SIAPE nº ________________

OS N^o XXX/YYYY		Maceió/AL, xx de xxxxx de yyyy.
Especificações da Atividade de Auditoria
Objetivo:
Escopo:
Prazos de execução:	Início:		Término:	Quantidade de horas:
Equipe técnica:

Tamanho da população	Tamanho da amostra	Índice de problemas
10-19	11	1
20-50	13	1
51-100	20	2
101-200	35	3
201-500	42	4
501-1000	55	5
1001-2000	70	6
2001-5000	90	12
5001-10000	150	24
10001-20000	220	36
20001-50000	280	48
Maior que 50000	350	60

Período da Auditoria	Horas a serem trabalhadas
dd/mm/yyyy a dd/mm/yyyy	[X] horas

Procedimento:	Início	Término	Servidor (es) responsável (is)	Qtde HH prevista:	Critério utilizado para a seleção dos itens:	Itens selecionados (escopo):
1 – [procedimento a ser aplicado]	dd/mm/yy	dd/mm/yy	[nomes]	[999]	-	-
2 – Inclusão das atividades e informações no SADIN e análise da planilha de controle de monitoramento	dd/mm/yy	dd/mm/yy	[nomes]	[999]
3 – Expedição de Solicitação de Auditoria	dd/mm/yy	dd/mm/yy	[nomes]	[999]	-	-
4 – Monitoramento junto às unidades acerca do cumprimento das Solicitações de Auditoria da CGU	dd/mm/yy	dd/mm/yy	[nomes]	[999]
5 – Envio das informações parra a CGU	dd/mm/yy	dd/mm/yy	[nomes]	[999]
6 – Expedição de novas solicitações de auditoria	dd/mm/yy	dd/mm/yy	[nomes]	[999]
6 – Relatório Final	dd/mm/yy	dd/mm/yy	[nomes]	[999]

Eventos de Risco	Probabilidade (P)	Impacto (I)	Grau de Exposição (PxI)
Pressão externa
Interesse econômico no desempenho da organização
Envolvimento anterior com o objeto de auditoria
Relacionamento pessoal
Familiaridade
Inclinações cognitivas
Revisão dos próprios trabalhos
Conduta tendenciosa

Evento de risco	Tratamento	Ação	Quando	Responsável
[Pressão externa]