Guia básico de Auditoria de Compliance

Apresentação

Trata o presente conteúdo de um guia simplifica para a elaboração de uma auditoria de conformidade ou de compliance, elaborado com base na Resolução CNJ nº 309, de 11 de março de 2020, e no manual "Orientações de auditoria de conformidade", do Tribunal de Contas da União (TCU).

1 Definição de auditoria

Sinteticamente, a auditoria é um procedimento instituído pelas organizações empresariais e pelas instituições públicas com o objetivo de, utilizando-se de métodos e instrumentos adequados, verificar a regularidade de documentos e procedimentos operacionais, bem como se os sistemas e programas planejados e implementados atendem aos criérios técnicos e normativos devidos.

Segundo o Instituto dos Auditores Internos do Brasil (IIA-Brasil), a auditoria interna é uma atividade independente e objetiva de avaliação e consultoria, criada para agregar valor e melhorar as operações de uma organização. Ela auxilia a organização a atingir seus objetivos a partir da aplicação de uma abordagem sistemática e disciplinada, visando a avaliação e melhoria da eficácia dos processos de gerenciamento de riscos, controle e governança.

Sob o enfoque contábil, a auditoria é um processo de verificação de todos os registros financeiros e de operações de uma empresa, com o objetivo de certificar aquilo que está correto ou identificar falhas que necessitem de correções.

A auditoria constituiu-se em um exame sistemático das atividades desenvolvidas em ambientes corporativos e em estruturas de administração públicas, criadas com o propósito de verificar se as atividades desenvolvidas pela instituição seguem o planejamento traçado e os preceitos estabelecidos pela legislação, bem como verificar se os programas de gestão foram implementados com a devida eficiência e se proporciona resultados eficazes e dentros de critérios técnicos e normativos previamente estabelecidos.

2 Tipos de Auditoria

De um modo geral as auditorias podem se dividir em diferentes categorias.

A Resolução CNJ nº 309/2010, do Conselho Nacional de Justiça (CNJ) assim divide as auditorias dos Tribunais de todo país:

Art. 25. As Auditorias classificam-se em:

I – Auditoria de Conformidade ou Compliance – com o objetivo de avaliar evidências para verificar se os atos e fatos da gestão obedecem às condições, às regras e aos regulamentos aplicáveis;

II – Auditoria Operacional ou de Desempenho – com o objetivo de avaliar a economicidade, eficiência, eficácia e efetividade de organizações, programas, planos estratégicos e atividades governamentais, com a finalidade de promover o aperfeiçoamento da gestão pública, avaliar os resultados organizacionais e certificar o funcionamento dos controles internos, baseando-se em análises de risco;

III – Auditoria Financeira ou Contábil – com o objetivo de averiguar, de acordo com normas específicas, a exatidão dos registros e das demonstrações contábeis no que se refere aos eventos que alteram o patrimônio e a representação do patrimônio do ente governamental, com a finalidade de aumentar o grau de confiança das informações por parte dos usuários;

IV – Auditoria de Gestão – com o objetivo de emitir opinião com vistas a certificar a regularidade das contas, verificar a execução de contratos, convênios, acordos ou ajustes, bem como aspectos de governança, riscos e probidade na aplicação dos recursos públicos e na guarda ou administração de valores e outros bens do tribunal ou conselho ou a eles confiados; e

V – Auditoria Especial – com o objetivo de examinar fatos ou situações considerados relevantes, de natureza incomum ou extraordinária, sendo realizada para atender solicitação expressa de autoridade competente.

Art. 26. As auditorias poderão ser executadas das seguintes formas:

I – direta – executada diretamente por servidores em exercício na unidade de auditoria interna do tribunal ou conselho;

II – integrada/compartilhada – executada por servidores em exercício na unidade de auditoria interna do tribunal ou conselho com a participação de servidores em exercício em unidade de auditoria interna de outro tribunal ou conselho, todos do Poder Judiciário;

III – indireta – executada com a participação de servidores das unidades de auditoria interna do Poder Judiciário em ações conjuntas com as unidades de auditoria do Poder Executivo, do Poder Legislativo e do Ministério Público; e

IV – terceirizada – realizada por instituições privadas, contratadas para fim específico, na forma da lei.

A atividade auditoria, além do trabalho de análise, em si, envolve uma série de requisitos que não podem deixar de serem observados, tais como:

a) Ética profissional;

b) Integridade;

c) Zelo profissional;

d) Comunicações;

e) Sigilo; e

f) Observância aos impedimentos.

Para que a atividade de auditoria produza resultados que possam agregar valor e melhoria dos processos de trabalho e da gestão organizacional, aos seus integrantes deve ser assegurado o acesso completo, livre e irrestrito a todo e qualquer documento, registro ou informações, em todo e qualquer meio, suporte ou formato disponível, inclusive em banco de dados, para que estes possam desenvolver os seus trabalhos da melhor forma possível.

Outra característica importante da auditoria interna diz respeito a obrigatoriedade de desenvolver suas atividades livre de qualquer interferência ou influência na seleção do tema, na determinação do escopo, na execução dos procedimentos, no julgamento profissional e no reporte dos resultados, possibilitando a manutenção de avaliações e posicionamentos independentes e objetivos.

3 Plano de auditoria

O Plano de Auditoria Interna é um instrumento gerencial elaborado pela Unidade de Auditoria Interna, com o objetivo de planejar atividades de auditoria para o exercício de um ano, gealmente, alinhado às diretrizes estratégicas da Instituição.

4 Programa de auditoria

O Programa de Auditoria consiste em documento que reúne todas as informações levantadas durante a fase de planejamento e se destina, precipuamente, a orientar adequadamente o trabalho da auditoria, ressalvada a possibilidade de complementações quando as circunstâncias justificarem.

A utilização criteriosa do Programa de Auditoria permitirá à equipe avaliar, durante os exames de auditoria, a conveniência de ampliar os exames (testes de auditoria) quanto à extensão e/ou à profundidade, caso necessário.

5 O que é auditoria de compliance

Segundo o Tribunal de Contas da União (TCU), uma auditoria de conformidade é um processo sistemático para obter e avaliar objetivamente evidência quanto se um determinado objeto está em conformidade com as normas aplicáveis identificadas como critérios.

A Auditoria de Conformidade ou Compliance tem por objetivo avaliar evidências para verificar se os atos e fatos da gestão obedecem às condições, às regras e aos regulamentos aplicáveis.

6 Planejamento de auditoria

O planejamento é a função administrativa que determina antecipadamente quais são os objetivos que devem ser atingidos e como se deve fazer para alcançá-los. O planejamento define onde se pretende chegar, o que deve ser feito, quando, como e em que sequencia. É uma etapa fundamental para o sucesso de fiscalização, sendo imprescindível que seja alocado o tempo adequado para sua realização.

Nas auditorias de conformidades, a elaboração do projeto de auditoria composto pela matriz de planejamento é o objetivo final da fase de planejamento.

6.1 Matriz de Planejamento

A matriz de planejamento deve ser preenchida ao longo da fase de planejamento, com base nas informações levantadas. Depois de elaborada, a equipe deve revisar toda a matriz, verificando se há coerência lógica entre o objetivo e as questões e entre as questões e as possíveis conclusões, levando em conta as limitações previstas.

O documento da Matriz de Planejamento, que pode ser elaborado na forma de tabela/planilha, deve conter as seguintes informações:

a) Objetivo da auditoria:

O primeiro passo da fase de planejamento é a própria delimitação do objetivo da auditoria. Nem sempre o objetivo está claramente definido na deliberação que originou a auditoria. A discussão orientada pela matriz possibilita uma equalização do entendimento do objetivo por toda a equipe.

b) Questões de Auditoria:

O próximo passo é o detalhamento do objetivo da auditoria em questões a serem respondidas, isto é, o desdobramento do objetivo em perguntas que abordem os diferentes aspectos do escopo da auditoria para satisfação de seu objetivo, ao mesmo tempo em que se discute onde se quer chegar com os questionamentos (“possíveis achados”). Em outras palavras é preciso definir onde se quer chegar para se determinar o caminho a ser seguido.

c) Informações requeridas:

Em seguida, procede-se à identificação das informações necessárias (informações requeridas) e de suas respectivas fontes (fontes de informação), das tarefas (procedimentos e técnicas) que deverão ser realizadas para buscá-las, por quem e quando. Este exercício permitirá concluir se as questões de auditoria têm condição de serem respondidas, ou seja, se, a princípio, há informações suficientes e disponíveis, se a equipe domina as técnicas para coleta e tratamento dessas informações e se as limitações, que a abordagem adotada porventura se defronte, são contornáveis.

d) Fontes de Informação:

Descrever de quem, em qual documento ou local se obterá a informação e especificar na coluna “Informações requeridas” que tipo de informações se pretende obter.

e) Procedimentos:

Os procedimentos são as atividades realizadas para a obtenção dos produtos das “Informações requeridas” da matriz de planejamento para consecução do objetivo do trabalho. Portanto, na medida do possível, devem ser detalhados em tarefas descritas de forma clara, de modo a não gerar dúvidas ao executor e esclarecendo os aspectos a serem abordados, bem como expressando as técnicas a serem utilizadas.

Não devem ser formulados procedimentos para informações requeridas não previstas. Por outro lado, para cada informação requerida deverá ser elencado pelo menos um procedimento.

f) Objetos:

Ainda na fase de planejamento devem ser indicados, na matriz de planejamento, os objetos nos quais cada procedimento de auditoria será aplicado, se a equipe já dispuser das informações necessárias sobre eles. A indicação dos objetos deve conter, sempre que possível: o número, o ano e uma breve descrição do assunto a que este se refere.

Exemplos de tipo de objetos: aditivo de contrato, aditivo de convênio, ata, base de dados, contrato, contrato de repasse, convênio, edital, ficha financeira, folha de pagamento, inventário, orçamento, outros, processo (autos), processo de dispensa, processo de inexigibilidade, processo licitatório, projeto, programa, sistema, termo de parceria, termo de responsabilidade, transferências.

g) Possíveis Achados:

É importante observar que os possíveis achados devem limitar-se ao escopo da questão de auditoria e com ela guardar coerência.

Os possíveis achados devem descrever exatamente e com concisão o que se espera como resposta ao questionamento, evitando generalizações como “desobediência à norma aplicável” ou “data aproximada do início do pagamento”.

Ao se descrever possíveis achados, na elaboração da matriz de planejamento, é necessário concisão e objetividade, limitando-se basicamente a descrever o título da irregularidade/impropriedade e levando em conta que esta descrição será utilizada como título ou o enunciado da descrição da situação encontrada na matriz de achados e, consequentemente, no relatório da auditoria (ver item

7 Execução da auditoria

A execução da auditoria é a etapa em que os dados levantados passam a ser analisados a luz do que foi estabelecidos na Matriz de Planejamento.

Durante a fase de execução, a equipe de auditoria deve utilizar as fontes de informação e aplicar os procedimentos previstos na Matriz de Planejamento em busca de achados.

7.1 Matriz de Achados

A matriz de achados deve ser preenchida durante a fase de execução da auditoria, à medida que os achados vão sendo constatados. Os esclarecimentos dos responsáveis acerca das causas dos achados, bem como da adequação dos critérios, devem ser colhidos ainda em campo, evitando-se mal entendidos que possam redundar em desperdício de esforços com a realização de audiências equivocadas.

Achado de auditoria é a discrepância entre a situação encontrada e o critério de auditoria. Os achados são fatos significativos, dignos de relato pelo auditor, que serão usados para responder às questões de auditoria.

As irregularidades/impropriedades verificadas devem ser relatadas de forma estruturada, por achado, destacando-se, pelo menos, os seguintes aspectos/atributos:

a) Descrição do achado: descreve o título ou enunciado do achado, que pode ser uma irregularidade ou impropriedade.

b) Situação encontrada: descreve toda a situação existente, deixaando claro com os diversos aspectos do achado o fundamentam.

c) Objetos nos quais o achado foi constatado: deve indicar todos os objetos nos quais os achado foi constatado.

d) Critério de auditoria: indica os critérios que refletem como a gestão deveria ser.

e) Evidências: Indicar precisamente os documentos que respaldam a opinião da equipe (qual?, que número?). Deve ser indicada a localização da evidência no processo.

f) Causas da ocorrência: Deve ser: conclusiva; fornecer elementos para a correta responsabilização; fornecer elementos para minimizar a repetição da ocorrência da impropriedade/ irregularidade.

g) Efeitos: Deve avaliar quais foram ou podem ser as consequências para o órgão/entidade, para o erário ou para a sociedade. Não confundir o efeito com o fato irregular em si. Sempre que possível, devem ser dimensionados.

g) conclusão da equipe, e,

h) proposta de encaminhamento.

Não é obrigatório, porém, recomenda-se que os aspectos/atributos do achado sejam relatados sob a forma de itens, pois isto facilita a localização dos assuntos por outros leitores que não participaram da auditoria.

8 Relatório de auditoria

9 Monitoramento

O monitoramento de recomendações de auditoria é uma atividade realizada pelas Unidades de Auditoria Interna (UAI) para verificar a implementação das medidas propostas pelas áreas auditadas. Essas recomendações são geradas a partir dos achados identificados durante o processo de auditoria, com o objetivo de corrigir impropriedades, aprimorar processos e garantir a conformidade das atividades. As recomendações de auditoria são registradas e ficam disponíveis para consulta e acompanhamento pelas pessoas da UAI responsáveis pelo monitoramento.

As ações de monitoramento consistem em verificar se as medidas propostas foram implementadas pelas áreas auditadas e se estão surtindo os efeitos esperados.

O monitoramento de recomendações de auditoria pode ser realizado por meio de relatórios, quadros resumo e fluxogramas, que facilitam a visualização do status das recomendações e o acompanhamento de sua evolução. Essa atividade é fundamental para garantir a efetividade das ações corretivas e preventivas propostas pelas auditorias internas.

Sobre o monitoramento das recomendações sugeridas pela Auditoria Interna, assim estabelece a Resolução CNJ nº 309, de 11 de março de 2020:

Art. 56. As auditorias concluídas devem ser devidamente acompanhadas quanto ao cumprimento das suas recomendações.

Art. 57. O monitoramento das auditorias consiste no acompanhamento das providências adotadas pelo titular da unidade auditada em relação às recomendações constantes do relatório final, no qual deverá constar prazo para atendimento e comunicação das providências adotadas.

§ 1º Ao formular recomendações e posteriormente monitorá-las, a unidade de auditoria interna deverá priorizar a correção dos problemas de natureza grave, que impliquem em risco de dano ao erário ou de comprometimento direto das metas estratégicas definidas pela entidade auditada.

§ 2º As auditorias subsequentes verificarão se o titular da unidade auditada adotou as providências necessárias à implementação das recomendações consignadas nos relatórios de auditoria anteriores sobre o mesmo tema.

Contudo, sob o ponto de vista da praticidade de da efetividade, o procedimento de monitoramento de auditorias implica na adoção de medidas que visem estabelecer os critérios necessários para que esse acompanhamento obtenha êxito, com a efetivação das recomendações sugeridas e determinadas pela autoridade máxima da instituição ou por quem este atribuir competência.

Diante disso, em relação ao tema do monitoramento de determinações emanadas de trabalhos de auditoria, entende-se que assim deve procedido:

1. Como se espera, as medidas e/ou esclarecimentos recomendados pela Auditoria Interna, determinado pelo autoridade competente, devem ocorrer no menor tempo possível, principalmente quando houver urgência na mitigação de risco de dano ao erário ou de comprometimento direto das metas estratégicas definidas pela instituição.

2. As informações/respostas da unidade, quando se tratar apenas de esclarecimentos e/ou medidas saneadoras simples e que devem ser realizadas imediatamente, podem ser feitas no processo de informação da Auditoria Interna, o qual normalmente contém o relatório de auditoria.

3. Contudo, se for necessária a realização de medidas que envolvam alterações/correções de procedimentos que exijam maior elaboração e que não seja possível precisar a data de sua conclusão, imediatamente a unidade auditada deve abrir um processo eletrônico ou físico, conforme o caso, com o objetivo de traçar um Plano de Ação, o qual deverá conter um documento de abertura, relacionando as atividades que serão realizadas, quem realizará as atividades e o prazo previsto de conclusão.

Portanto, as respostas às recomendações da Auditoria Interna, quando acolhidas pela Alta Administração, devem acontecer no menor tempo possível, ressaltando-se que, preferencialmente, esse procedimento deve ser efetivado em processo próprio, a ser informado à Auditoria Interna e à autoridade competente, logo que for iniciado, visando o monitoramento de sua execução.