Detalhe da Obra : Brasil. Defensoria Pública da União. 121. Federal Boletim Eletrônico Interno da DPU, 2024. Vigênte. ISBN 08038.008910/2022-39. Atenciosamente, Ficha:Visualizar MARC:Visualizar Referência/ABNTDublin CoreRegistros relacionados Tipo: Legislação Título: Instrução Normativa 121/2024 Autoria Principal: Brasil. Defensoria Pública da União, Autor Ano: 2024 Esfera Federal Situação: Vigênte Idioma: Português ISBN 08038.008910/2022-39 Assunto: 1. Auditoria interna 2. Auditoria governamental 3. Processo de auditoria 4. Avaliação de controles internos 5. Fases da auditoria Notas: Texto Integral: INSTRUÇÃO NORMATIVA Nº 121, DE 10 DE JUNHO DE 2024 Institui o manual para elaboração do plano anual de auditoria interna da Defensoria Pública da União. O DEFENSOR PÚBLICO-GERAL FEDERAL, no uso das atribuições que lhe são conferidas pelo artigo 8º da Lei Complementar nº 80, de 12 de janeiro de 1994; Considerando o Regimento Interno da Defensoria Pública da União; Considerando o art. 49 da Lei n. 14.129/2021; e Considerando o Processo Administrativo SEI nº 08038.008910/2022-39; RESOLVE Art. 1º Instituir o Manual para Elaboração do Plano Anual de Auditoria Interna da Defensoria Pública da União, na forma do anexo único desta Instrução Normativa. Art. 2º Esta Instrução Normativa entra em vigor na data de sua publicação. LEONARDO CARDOSO DE MAGALHÃES Defensor Público-Geral Federal ANEXO ÚNICO - MANUAL PARA ELABORAÇÃO DO PLANO ANUAL DE AUDITORIA INTERNA DA DEFENSORIA PÚBLICA DA UNIÃO 1 - APRESENTAÇÃO A auditoria interna é entendida como uma atividade independente e objetiva de avaliação e de consultoria, desenhada para adicionar valor e melhorar as operações de uma organização. O seu propósito, em geral, é auxiliar a organização a atingir seus objetivos, a partir da aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de governança, de gerenciamento de riscos e de controles internos. As boas práticas da auditoria interna governamental demonstram que o planejamento é o momento adequado para se estabelecer os passos necessários à consecução dos trabalhos que serão realizados, contribuindo diretamente para a efetividade e a qualidade das auditorias. A partir das atribuições regimentais definidas pelo Conselho Superior da Defensoria Pública da União (CSDPU), cabe à Secretaria-Geral de Auditoria Interna (SGCIA) consolidar e submeter ao/à Defensor/a Público/a-Geral Federal (DPGF) o planejamento anual das atividades de auditoria que serão executadas[1]. Cabe ao Gabinete do/a Secretário/a-Geral da SGCIA, a partir da primeira quinzena do mês de novembro, autuar processo SEI específico para consolidação das informações que irão compor o Plano Anual de Auditoria Interna da Defensoria Pública da União (PAINT) do exercício subsequente. O presente manual, portanto, tem como objetivo orientar a elaboração do PAINT da DPU, fornecendo diretrizes e bases para a estruturação desse documento, que é uma ferramenta para o direcionamento das atividades de auditoria, permitindo o alinhamento com os objetivos estratégicos da instituição e a efetiva gestão de riscos. 2 – METODOLOGIA A unidade de Auditoria Interna da DPU (doravante denominada AI) busca concentrar seus trabalhos nos objetos de auditoria com maior exposição e ameaças que possam afetar o alcance dos objetivos da Defensoria Pública da União (DPU), ou seja, ao elaborar o PAINT, direcionam-se as ações de auditoria aos principais processos da Instituição e aos riscos a eles associados. Para o desenvolvimento do PAINT, o qual deve ser baseado em riscos e estar harmonizado com as estratégias e os objetivos da DPU, a AI deve observar as seguintes etapas, a serem devidamente documentadas durante sua execução: - entendimento da Instituição; - definição do universo de auditoria; - seleção dos trabalhos de auditoria; - definição do esforço alocado e cronograma dos trabalhos; - proposta de ações de capacitação para a equipes de auditores responsáveis pela execução dos trabalhos selecionado; e - proposta de monitoramento dos planos de ações pendentes. A partir das diretrizes definidas no presente documento, as demandas extraordinárias e/ou outras providências que acarretem a revisão do PAINT serão objeto de avaliação pontual por parte do dirigente da AI, a serem submetidas à Alta Administração. A AI também deve estabelecer um modelo de comunicação aberto, transparente e bidirecional com toda a Instituição, de modo a ouvir as preocupações e as perspectivas das unidades auditadas, respondendo a perguntas e fornecendo esclarecimentos adicionais quando necessário. 2.1 ENTENDIMENTO DA INSTITUIÇÃO Nesta etapa, a AI realiza uma análise aprofundada da Instituição, compreendendo sua missão, visão, valores, estrutura organizacional, processos-chave e objetivos estratégicos. Essa compreensão fornecerá a base necessária para a identificação dos riscos e oportunidades relevantes que devem ser considerados no PAINT. São objetivos dessa etapa: a) Compreender a estrutura organizacional da DPU. b) Identificar os processos e atividades-chave. c) Identificar os principais Sistemas de Gestão empregados. d) Identificar os riscos institucionais e controles internos existentes. e) dentificar as áreas de maior exposição a riscos institucionais. f) Identificar pontos de melhoria e oportunidades para aprimoramento. A coleta de informações preliminares passa por: (i) reunir a documentação relevante, como normativos, regulamentos, políticas e procedimentos; (ii) analisar relatórios financeiros, orçamentários e contábeis e outras informações relevantes sobre a gestão orçamentária e financeira; (iii) identificar os principais stakeholders e suas expectativas e (iv) compreender as expectativas da Alta Administração. As conclusões do entendimento devem ser documentadas em relatório, incluindo os processos mapeados, os riscos e as oportunidades de melhoria identificadas. 2.2 DEFINIÇÃO DO UNIVERSO DE AUDITORIA Obtida a compreensão dos objetivos da organização e dos seus principais processos, passa-se a definir o universo de auditoria, que consistem no conjunto de objetos sobre os quais a AI pode realizar suas atividades. As seguintes operações são executadas nesse momento: Revisar as informações coletadas durante o processo de entendimento da instituição, incluindo a estrutura organizacional, objetivos estratégicos, processos-chave, riscos identificados e áreas de melhoria propostas. Identificar as áreas que apresentam maior risco ou são consideradas críticas para o cumprimento dos objetivos da Instituição, levando em consideração também os trabalhos anteriormente realizados pela própria AI. A abordagem leva em consideração o nível de maturidade da gestão de riscos em que se encontra a DPU. Quanto mais elevado for o nível, menos a AI se utilizará de abordagem própria para avaliar os registros de riscos para seleção dos trabalhos. Os objetos de auditoria serão separados em três eixos: (i) FINALÍSTICOS: consiste nos processos de trabalho relacionados diretamente com a atividade-fim da DPU; (ii) GOVERNANÇA: processos relacionados a estratégia e governança institucional e (iii) SUPORTE: são os processos de trabalho que suportam a área finalística. São geralmente de cunho operacional e administrativo. Catalogar os objetos de auditoria identificados a partir da divisão entre: MACROPROCESSOS, PROCESSOS, SUBPROCESSOS, ÁREA RESPONSÁVEL e VINCULAÇÃO ESTRATÉGICA. Para melhor visualização, seguem exemplos: Macroprocesso Processo Subprocesso Área Responsável Vinculação Estratégica Despesas de pessoal Folha de Pagamento Confecção da Folha de Pagamento SGP NSA Empréstimo Consignado SGP NSA Ressarcimento Requisitados SGP NSA Tecnologia e Inovação Sistemas de Informação Desenvolvimento de Software STI 2.09.01 Aprimorar as soluções e serviços de TIC 2.3 – SELEÇÃO DOS TRABALHO DE AUDITORIA (AVALIAÇÃO DE RISCOS) A AI deve seguir um processo estruturado para a definição dos trabalhos de auditoria para o exercício seguinte. Busca-se refletir a cobertura adequada dos riscos institucional, a importância relativa das áreas auditáveis, as prioridades da Alta Administração e as restrições de recursos da própria auditoria interna. O texto a seguir descreve as etapas desse processo: A partir dos fatores de risco selecionados pela AI (materialidade, relevância e criticidade), concretizar a classificação e priorização dos processos e das atividades-chave dentro das áreas identificadas. Com a identificação dos Processos/Subprocessos que apresentem a maior relevância/interesse dentro de cada Macroprocesso, parte-se para o cálculo da materialidade, da relevância e da criticidade. Nessa etapa observam-se os critérios estabelecidos na tabela correspondente, sendo que a relevância é mensurada pelo nível e quantidade de subprocessos que impactam nos objetivos estratégicos. Esse levantamento é feito em conjunto com as áreas responsáveis pelos macroprocessos da Instituição. Materialidade: divide-se a despesa executada no processo em análise com as despesas totais executadas no exercício pela DPU, obtendo-se desta forma um percentual correspondente. Este percentual obtido é associado a um valor de pontuação que consta na Tabela Despesa, executada no processo/Despesas totais executadas no exercício. Esta pontuação obtida é multiplicada por 0,50. Atribui-se o peso 0,50 ao cálculo final da materialidade como forma de mitigar uma possível distorção provocada por Processos/Subprocessos que possuem alto valor orçamentário, mas que podem não apresentar problemas que os incluam como objeto de auditoria/levantamento no exercício seguinte. Dessa forma, o peso da materialidade é reduzido pela metade no cálculo do resultado. Processo/Subprocesso: (X) Aspectos Avaliados Valores/Quantidade Pontuação Obtida Pontuação Total (Peso 0,50) Materialidade (Despesa executada no processo) Despesas totais executadas no exercício Materialidade / Despesas totais executadas no exercício Despesa executada no processo/Despesas totais executadas no exercício Pontuação Menos de 20% da despesa executada no processo sobre as despesas totais executadas no exercício. 1 Entre 21% e 40% da despesa executada no processo sobre as despesas totais executadas no exercício. 2 Entre 41% e 60% da despesa executada no processo sobre as despesas totais executadas no exercício. 3 Entre 61% e 80% da despesa executada no processo sobre as despesas totais executadas no exercício. 4 Entre 81% e 100% da despesa executada no processo sobre as despesas totais executadas no exercício. 5 Relevância: Primeiro, considera-se a pontuação de impacto na atividade finalística, prevista na Tabela de Impacto do Processo na Atividade Finalística. Em seguida, multiplica-se essa pontuação pelo impacto na atividade administrativa, obtida na Tabela de Impacto do Processo na Atividade Administrativa. Por fim disso, inclui-se a pontuação de risco de imagem na unidade, extraída da Tabela de Impacto do Processo na Imagem da Unidade. Pontuação Total = (Pontuação de Impacto na Atividade Finalística) * (Pontuação de Impacto na Atividade Administrativa) * (Pontuação de Risco de Imagem na Unidade) * 1. Processo/Subprocesso: (x) Aspecto Avaliado Pontuação sugerida Pontuação obtida Pontuação Total (Peso 1) Impacto na Atividade Finalística 1 a 5 Impacto na Atividade Administrativa 1 a 5 Risco de Imagem na Unidade 1 a 5 Impacto do Processo na Atividade Finalística Pontuação Menos de 30% dos subprocessos do processo suportam diretamente a atividade finalística, adicionalmente, seus riscos têm baixa probabilidade de impactá-la. 1 Mais de 30% dos subprocessos do processo suportam diretamente a atividade finalística, porém seus riscos têm baixa probabilidade de impactá-la. 2 Menos de 30% dos subprocessos do processo suportam diretamente a atividade finalística, porém é um risco inerente do subprocesso: prejudicar a qualidade, ou a eficácia, e ou a eficiência da atividade finalística. 3 Entre 30% e 69% dos subprocessos estão diretamente ligados à atividade finalística e, adicionalmente, é um risco do subprocesso: prejudicar a qualidade, a eficácia, e a eficiência da atividade finalística. 4 Entre 70% e 100% dos subprocessos estão ligados diretamente à execução da atividade finalística e, adicionalmente, é um risco do subprocesso: prejudicar a qualidade, a eficácia, e a eficiência da atividade finalística. Ou, ainda, a não execução de pelo menos um dos subprocessos impedem a realização da atividade finalística. 5 Impacto do Processo na Atividade Administrativa Pontuação Menos de 50% dos subprocessos do processo impactam a atividade administrativa somente no âmbito da coordenadoria/secretaria/assessoria ou unidade gestora. 1 50% ou mais dos subprocessos do processo impactam a atividade administrativa somente no âmbito da coordenadoria/secretaria/assessoria ou unidade gestora. 2 Menos 50% dos subprocessos do processo impactam a atividade administrativa de mais de uma coordenadoria/secretaria/assessoria ou unidade gestora como um todo. É um risco inerente do subprocesso: impedir a atividade administrativa no âmbito da unidade gestora ou da coordenadoria/secretaria/assessoria. 3 50% ou mais dos subprocessos do processo impactam a atividade administrativa de mais de uma coordenadoria/secretaria/assessoria ou unidade gestora como um todo. É um risco inerente do subprocesso: impedir a atividade administrativa no âmbito da unidade gestora ou da coordenadoria/secretaria/assessoria. 4 Pelo menos um subprocesso do processo tem impacto na gestão administrativa de toda DPU. É um risco inerente do subprocesso: prejudicar a qualidade, a eficácia, ou a eficiência da atividade administrativa de toda DPU. 5 Impacto do Processo na Imagem da Unidade Pontuação Falhas dos subprocessos não são capazes de trazer impacto negativo à imagem da unidade. 1 Falhas em pelo menos um dos subprocessos que dá suporte à atividade administrativa que podem trazer a imagem de que a unidade não se preocupa o suficiente em controlar a atividade de seus agentes. 2 Falhas em pelo menos um dos subprocessos que dá suporte à atividade administrativa que podem trazer a imagem de que a unidade não é capaz de coibir ilícitos. 3 Falhas em pelo menos um dos subprocessos que suportam a atividade finalística que podem trazer a imagem de que a unidade não é confiável para executar sua atividade finalística. 4 Falhas em pelo menos um dos subprocessos que suportam a atividade finalística que podem trazer a imagem de que a unidade não é capaz de executar sua atividade finalística. 5 Criticidade: Primeiramente, considera-se a pontuação do Lapso Temporal da Última Auditoria Realizada, obtida na respectiva tabela. Em seguida, multiplica-se essa pontuação pela pontuação da Maturidade da Gestão do Processo/Subprocesso, também obtida na tabela correspondente. Pontuação Total = (Pontuação do Lapso Temporal da Última Auditoria Realizada) * (Pontuação da Maturidade da Gestão do Processo/Subprocesso) * 1,50. Atribui-se o peso 1,50 ao cálculo final da criticidade como forma de se ampliar a relevância dos processos que há mais tempo não são objeto de auditoria/levantamento, bem como aos que não possuem um nível satisfatório de maturidade e que necessitam de uma atuação imediata da AI. Processo/Subprocesso 1: Aspecto Avaliado Pontuação sugerida Pontuação obtida Pontuação Total (Peso 1,5) Lapso Temporal da última auditoria realizada 1 a 5 0,00 Maturidade da Gestão do Subprocesso 1 a 5 Lapso temporal da última auditoria realizada Pontuação Unidade auditada recentemente (até 12 meses de execução da última) 1 Unidade auditada entre 13 e 24 meses 2 Unidade só possui auditorias antigas realizadas (entre 25 e 36 meses) 3 Unidade só possui auditorias antigas realizadas (entre 37 e 48 meses) 4 Unidade auditada há mais de 49 meses 5 A variável é do tipo de quanto maior o tempo pior, ou seja, quanto mais tempo o subprocesso fica sem ser auditado, maior o risco. Maturidade da gestão do processo Pontuação Mais de 50% dos subprocessos são otimizados, gerenciados e medidos: subprocessos foram refinados ao nível de boas práticas e o gerenciamento monitora e mede a aderência aos procedimentos, além de tomar ações nos pontos importantes nos quais os subprocessos parecem não estar funcionando efetivamente. 1 50% ou menos dos subprocessos são otimizados, gerenciados e medidos: subprocessos foram refinados ao nível de boas práticas e o gerenciamento monitora e mede a aderência aos procedimentos, além de tomar ações nos pontos importantes nos quais os subprocessos parecem não estar funcionando efetivamente. 2 Mais de 50% dos subprocessos têm procedimentos padronizados, documentados e comunicados por meio de treinamento. Os procedimentos propriamente ditos não são sofisticados, mas existe a formalização sobre as práticas existentes. 3 50% ou menos dos subprocessos têm procedimentos padronizados, documentados e comunicados por meio de treinamento. Os procedimentos propriamente ditos não são sofisticados, mas existe a formalização sobre as práticas existentes. 4 80% ou mais dos subprocessos foram desenvolvidos ao estágio no qual procedimentos similares são seguidos por diferentes pessoas quando estão executando a mesma tarefa. Não há treinamento formal ou comunicação sobre os procedimentos padronizados, e a responsabilidade é tratada de maneira individual. Há muita dependência no conhecimento de indivíduos. 5 O resultado é encontrado pela soma da Materialidade, da Relevância e da Criticidade. Obtêm-se, dessa forma, uma ordem de valores numéricos que demonstram de forma objetiva quais os processos/atividades possuem uma maior/menor probabilidade de serem contempladas no PAINT do próximo exercício. Apresentar a relação dos processos/subprocessos/objetos de trabalho selecionados com base na avaliação de risco. Segue o modelo de planilha de consolidação do resultado da aplicação da metodologia. Além da abordagem relacionada aos riscos institucionais, outros critérios devem ser considerados na seleção dos objetos a serem auditados, o que inclui obrigações normativas, recomendações emitidas em trabalhos anteriores não implementadas, as expectativas da Alta Administração em relação aos setores e processos que requerem maior atenção e a própria capacidade operacional da auditoria interna. Vejamos: a) Das prioridades da Alta Administração:(i) compreender as prioridades estratégicas e as preocupações da Alta Administração, buscando alinhar os trabalhos de auditoria com essas prioridades e (ii) realizar um diálogo contínuo com a Alta Administração para entender suas expectativas e considerá-las ao selecionar os trabalhos de auditoria. b) Revisão de recomendações anteriores e não implementadas:(i) analisar as recomendações de auditorias anteriores que ainda não foram implementadas, considerando a importância e a urgência dessas recomendações e (ii) priorizar trabalhos de auditoria que abordem áreas em que recomendações pendentes representam riscos significativos ou oportunidades de melhoria. c) Recursos disponíveis:(i) avaliar a disponibilidade de recursos, como equipe de auditores/as internos/as, tempo e orçamento, ao definir os trabalhos de auditoria e (ii) considerar a capacidade da equipe para executar os trabalhos dentro dos prazos estabelecidos e fornecer um trabalho de qualidade. Ao considerar esses critérios, a seleção e priorização dos trabalhos de auditoria será embasada em uma abordagem estruturada, garantindo uma distribuição adequada dos recursos e uma cobertura abrangente dos riscos, bem como as necessidades e prioridades da instituição. As CONSULTORIAS serão objeto de regulamentação específica e deverão observar as seguintes premissas: se há potencial de a atividade adicionar valor e aperfeiçoar os processos de governança, gestão de riscos e controles internos da DPU; se o corpo técnico de auditores/as internos/as possuem proficiência necessária à realização do serviço; e se o serviço de consultoria proposto poderá gerar potenciais prejuízos à independência da AI ou à objetividade dos/as auditores/as. 2.4 – DEFINIÇÃO DO ESFORÇO ALOCADO E CRONOGRAMA DE CADA TRABALHO A alocação de esforço dos auditores/as internos/as parte de uma visão clara das variáveis e dos dados disponíveis. Isso inclui o número total de dias úteis no ano de trabalho da DPU, a carga horária diária de cada auditor/a, os períodos de férias e afastamentos legais e o calendário de capacitações, considerando pelo menos 40 (quarenta) horas anuais. Carga horária disponível: Calcular o número de dias úteis no ano e subtraindo os dias de férias e afastamentos legais de cada auditor/a interno/a. Em seguida, multiplica-se esse valor pela carga horária diária de trabalho de cada auditor. Após, deduzir 40 horas para capacitações, por ano, por auditor/a. O resultado dessa etapa será a carga de trabalho anual ajustada para cada auditor/a interno/a, levando em conta os dias disponíveis para atividades de auditoria. Com a carga de trabalho anual estimada e as demandas de auditoria identificadas, é hora de distribuir o esforço entre os/as auditores/as. Para fazer isso de forma justa e eficiente, é necessário considerar os seguintes aspectos: Habilidades e experiência: Levar em conta as habilidades e experiências específicas de cada auditor/a ao atribuir tarefas, alocando auditores/as com expertise relevante em trabalhos mais complexos e desafiadores. Disponibilidade: Verificar a disponibilidade de cada auditor/a ao longo do ano. Alguns podem ter preferências sobre quando tirar férias ou participar de capacitações, e isso deve ser considerado na alocação. Equilíbrio de carga: Buscar equilíbrio na carga de trabalho entre os/as auditores/as, garantindo que ninguém esteja sobrecarregado ou com tempo ocioso. O cronograma de execução dos trabalhos de auditoria deve ser consolidado com base na importância, complexidade e prazos definidos. Deve-se levar em consideração a disponibilidade de recursos, o nível de urgência e a necessidade de coordenação com outras áreas da DPU. Os critérios a serem observados para a consolidação do cronograma são os seguintes: Prioridades e relevância:(i) dar prioridade a objetos que decorrem de obrigação legal ou normativa, a exemplo da Auditoria Financeira das Contas Anuais; (ii) dar prioridade a objetos e processos de maior relevância e risco para a instituição e (iii) considerar a importância estratégica dessas áreas e o potencial impacto de falhas ou deficiências. Dependências e inter-relações: (i) identificar as dependências entre os trabalhos de auditoria, levando em conta as inter-relações entre os processos e as unidades organizacionais e (ii) evitar sobreposições desnecessárias ou lacunas na cobertura de auditoria, garantindo uma abordagem abrangente e consistente. Duração e complexidade:(i) avaliar a duração e a complexidade de cada trabalho de auditoria, considerando a quantidade de atividades a serem realizadas e a extensão da documentação a ser revisada e (ii) alocar o tempo necessário para garantir uma análise aprofundada, levando em conta a complexidade das áreas auditadas. Recursos disponíveis:(i) levar em consideração a disponibilidade de recursos, como equipe de auditores internos e especialistas, para a execução dos trabalhos de auditoria e (ii) assegurar que os recursos necessários estejam disponíveis e alocados de acordo com as demandas e prazos estabelecidos. Riscos emergentes ou significativos:(i) identificar riscos emergentes ou significativos que possam requerer uma atenção imediata por meio de trabalhos de auditoria específicos e (ii) priorizar a execução desses trabalhos para mitigar os riscos identificados e fornecer insights oportunos para a Alta Administração. Sazonalidade e calendário institucional:(i) considerar a sazonalidade de certas atividades ou processos na instituição que possam influenciar a disponibilidade de dados e a eficácia da auditoria e (ii) levar em conta o calendário institucional, como fechamento de exercício fiscal, prazos regulatórios ou eventos relevantes, ao planejar os trabalhos de auditoria. Feedbackda Alta Administração:(i) incorporar o feedback da Alta Administração, levando em consideração suas prioridades e expectativas em relação à execução dos trabalhos de auditoria e (ii) manter uma comunicação regular e alinhada com a Alta Administração para garantir que o cronograma atenda às suas necessidades e requisitos. Flexibilidade e ajustes:(i) reconhecer a necessidade de flexibilidade e estar preparado para realizar ajustes no cronograma, se surgirem novas informações, riscos ou prioridades e (ii) monitorar continuamente o progresso dos trabalhos de auditoria e fazer os ajustes necessários para garantir a conclusão oportuna e eficaz deles. 2.5 – AÇÕES DE CAPACITAÇÃO As ações de capacitação para os trabalhos a serem desenvolvidos no âmbito da AI devem agregar valor às habilidades e competências exigidas para desempenhar as atividades de avaliação, consultoria e emissão de relatórios, informações e outros documentos. Ao definir as atividades de capacitação e a carga horária mínima a serem observadas pelos auditores internos, é importante considerar, no que couber, os seguintes critérios: a) Requisitos legais e normativos:(i) verificar as exigências legais e regulamentares aplicáveis à profissão de auditoria interna, como certificações profissionais e obrigatoriedade de atualização periódica e (ii) considerar as normas internacionais de auditoria, como as emitidas pelo TheInstitute of Internal Auditors (IIA), que estabelecem os padrões e as competências esperadas dos auditores internos. b) Competências necessárias:(i) identificar, a partir do adequado mapeamento, as competências técnicas, transversais e de gestão requeridas para o exercício eficaz da auditoria interna na DPU e (ii) avaliar as habilidades necessárias em áreas como auditoria financeira, auditoria de processos, riscos, controles internos, tecnologia da informação, entre outras, de acordo com as particularidades da organização. c) Necessidades de atualização: (i) considerar as mudanças no ambiente de negócios, nas práticas contábeis, nas regulamentações e nas tecnologias que possam impactar a auditoria interna e (ii) identificar as áreas em que os/as auditores/as internos/as precisam se adequar para se manterem atualizados em relação às melhores práticas e às novas tendências. d) Plano de desenvolvimento profissional continuado:a partir de plano de desenvolvimento profissional individualizado, definir as atividades de capacitação de cada auditor/a interno/a, como treinamentos, workshops, cursos, conferências e participação em grupos de estudo, levando em conta a relevância e a qualidade dos programas disponíveis e a disponibilidade orçamentária do Órgão. e) Carga horária mínima:para garantir a atualização e o aprimoramento contínuo dos/as auditores/as internos/as da DPU ficam estabelecidas 40 horascomo carga horária recomendável de capacitação anual. A definição dos critérios para as atividades de capacitação e carga horária mínima deve ser feita de forma colaborativa, envolvendo a equipe de auditoria interna, a Alta Administração e considerando as necessidades específicas da DPU. Isso garantirá que os/as auditores/as internos estejam adequadamente preparados para enfrentar os desafios da auditoria e oferecer um trabalho de qualidade. 2.6 – MONITORAMENTO DOS PLANOS DE AÇÃO PENDENTES O monitoramento dos planos de ação pendentes é a técnica utilizada para garantir a implementação efetiva das recomendações e ações corretivas identificadas durante os trabalhos de auditoria. A seguir, são apresentadas as principais diretrizes para o monitoramento dos planos de ação pendentes, no que couber: a) Acompanhamento periódico:(i) estabelecer uma frequência de acompanhamento adequada, considerando a natureza e a complexidade dos planos de ação e (ii) realizar revisões periódicas para verificar o andamento e o status de implementação de cada plano de ação pendente. b) Comunicação efetiva:(i) manter uma comunicação aberta e transparente com os responsáveis pelos planos de ação, fornecendo orientações claras e esclarecendo dúvidas e (ii) comunicar regularmente a Alta Administração sobre o progresso e o status dos planos de ação pendentes, destacando os desafios e as medidas tomadas para superá-los. c) Acompanhamento de resultados:(i) avaliar os resultados obtidos com a implementação dos planos de ação pendentes, verificando se as metas estabelecidas foram alcançadas e se as ações corretivas foram efetivas e (ii) analisar os impactos das ações implementadas, identificando melhorias nos processos, redução de riscos ou outros benefícios resultantes das recomendações da auditoria. d) Registro e documentação:(i) manter registros detalhados das atividades de monitoramento, incluindo datas, informações sobre o acompanhamento realizado e resultados obtidos e (ii) documentar as evidências de implementação dos planos de ação, como relatórios, registros de treinamento, comprovantes de mudanças em procedimentos, entre outros. e) Relatórios de acompanhamento:(i) preparar relatórios de acompanhamento regulares, destacando o status dos planos de ação pendentes, os progressos realizados, os desafios enfrentados e as medidas tomadas para superá-los e (ii) apresentar esses relatórios à Alta Administração e aos responsáveis pelos planos de ação, compartilhando informações relevantes e fornecendo recomendações adicionais, se necessário. A partir dessas diretrizes, a AI buscará desenvolver/aprimorar processo estruturado e eficaz para monitorar os planos de ação pendentes, garantindo a sua implementação oportuna e efetiva. 3 – DEMANDAS EXTRAORDINÁRIAS Demandas extraordinárias podem surgir devido a eventos inesperados, mudanças nas prioridades da Alta Administração ou a necessidades emergenciais. Para lidar com essas situações, a AI deve seguir os seguintes critérios, no que couber: Principais critérios de abertura: (i)situações encontradas na execução das auditorias e que carecem de trabalho mais aprofundado ou urgente; (ii) situações emergenciais, quando identificadas pelas Secretarias de auditoria ou pelo/chefe da AI; (iii) demandas diretas apresentada pelo/a Defensor/a Público/a-Geral Federal de assuntos estratégicos e (iv) atuação em objetos que possam mitigar riscos imediatos que afetem diretamente os objetivos institucionais. Avaliação da demanda:(i) realizar uma análise inicial da demanda extraordinária para compreender sua natureza, urgência e relevância e (ii) avaliar se a demanda está alinhada com os objetivos estratégicos da instituição e se está dentro do escopo de atuação da auditoria interna. Priorização:(i) considerar a importância relativa da demanda extraordinária em relação às atividades já planejadas e em andamento e (ii) avaliar os impactos potenciais da demanda na DPU, como riscos significativos, falhas de controles ou oportunidades de melhoria. Recursos disponíveis:(i) verificar a disponibilidade de recursos necessários para atender à demanda extraordinária, como equipe de auditores/as internos/as, tempo e orçamento e (ii) avaliar se a alocação de recursos para a demanda extraordinária não comprometerá a execução adequada das atividades planejadas previamente. Comunicação com a Alta Administração: (i) consultar a Alta Administração sobre a demanda extraordinária, compartilhando informações relevantes e buscando orientação e apoio e (ii) discutir a possibilidade de reajustar o plano anual de auditoria em função da nova demanda ou buscar alternativas para atender às necessidades identificadas. Análise de riscos:(i) realizar uma análise de riscos específica para a demanda extraordinária, identificando os possíveis impactos e as áreas críticas a serem abordadas e (ii) utilizar essa análise para direcionar os esforços de auditoria e garantir que a demanda seja tratada de forma eficiente e eficaz. Aprovação e planejamento:(i) obter a aprovação adequada da Alta Administração para a inclusão da demanda extraordinária no plano de auditoria e (ii) planejar as atividades necessárias, estabelecer um cronograma adequado e alocar os recursos apropriados para a execução da demanda extraordinária. Monitoramento e relatórios: (i) realizar um monitoramento contínuo do progresso da demanda extraordinária, comunicando os resultados à Alta Administração e (ii) preparar relatórios periódicos sobre as atividades realizadas, os resultados obtidos e as recomendações para lidar com a demanda extraordinária, se aplicável. A abordagem estruturada, oportuna e eficiente às demandas extraordinárias é fundamental para assegurar uma resposta eficaz diante de eventos imprevistos. 4 – REVISÃO DO PAINT A revisão periódica do PAINT busca garantir que o instrumento permaneça alinhado com as necessidades e com eventuais mudanças no ambiente de negócios da DPU. A seguir, são apresentadas as principais diretrizes a serem seguidas pela AI: Periodicidade da revisão: O PAINT será revisado caso surjam mudanças significativas nas prioridades, riscos ou necessidades da DPU. Critérios de revisão: Alterações nas prioridades estratégicas: (i) avaliar se as prioridades estratégicas da DPU mudaram desde a elaboração do plano original e (ii) considerar se existem novos projetos, iniciativas ou áreas de foco que devem ser incorporados ao PAINT. Avaliação de riscos: realizar uma análise atualizada dos riscos enfrentados pela instituição, identificando eventuais mudanças ou surgimento de novos riscos que exijam atenção da auditoria interna. Mudanças regulatórias: verificar se ocorreram mudanças nas leis, regulamentos ou normas aplicáveis à instituição, que possam afetar a abordagem de auditoria, assegurando que o plano de auditoria esteja atualizado e alinhado com os requisitos legais e regulatórios. Feedback da Alta Administração: (i) levar em consideração o feedback da Alta Administração sobre a eficácia e a relevância dos trabalhos de auditoria já realizados e (ii) identificar áreas em que a auditoria interna pode trazer um valor agregado adicional ou responder a necessidades específicas da Alta Administração. Aprovação pelo/a DPGF:formalizar a validação do/a DPGF em relação às alterações propostas no plano de auditoria. Documentação:(i) manter registros claros e documentados das revisões realizadas no PAINT, incluindo as justificativas para as alterações efetuadas e (ii) documentar as decisões tomadas, as considerações feitas e os critérios adotados durante o processo de revisão. A revisão do PAINT deve ser um processo contínuo e flexível, capaz de se adaptar às mudanças no ambiente organizacional. A AI deve manter uma postura proativa e atualizar regularmente o plano de auditoria para garantir sua relevância e eficácia na identificação de riscos, na melhoria de processos e na criação de valor para a DPU. 5 – COMUNICAÇÃO Um fluxo de comunicação eficaz contribui para o fortalecimento dos controles internos, a melhoria dos processos e a promoção de uma cultura de transparência e responsabilidade na instituição. Essa comunicação adequada é fundamental para garantir o alinhamento de expectativas, a transparência e o sucesso das atividades de auditoria. A seguir, são apresentados os principais pontos relacionados ao fluxo de comunicação entre a auditoria interna, as unidades auditadas e a Alta Administração: Comunicação com as unidades auditadas:(i) antes da execução do PAINT, é importante estabelecer uma comunicação clara com as unidades auditadas, (ii) explicar o propósito e os objetivos da auditoria, ressaltando a importância da cooperação e do apoio das unidades auditadas, (iii) comunicar o cronograma de auditoria, incluindo datas previstas para entrevistas, revisões documentais e outras atividades relevantes e (iv) solicitar o compartilhamento de informações e documentos necessários para a realização dos trabalhos de auditoria. Diálogo contínuo com as unidades auditadas: (i) durante a execução dos trabalhos de auditoria, manter um diálogo contínuo com as unidades auditadas, (ii) realizar reuniões de acompanhamento para discutir o progresso, esclarecer dúvidas e obter informações adicionais, se necessário, e (ii) comunicar de forma clara e objetiva as constatações preliminares, permitindo que as unidades auditadas possam apresentar suas perspectivas e fornecer esclarecimentos adicionais. Comunicação com a Alta Administração:(i) manter a Alta Administração informada sobre o progresso e os resultados dos trabalhos de auditoria, (ii) comunicar as conclusões preliminares e as recomendações em tempo hábil, permitindo que a Alta Administração possa tomar as medidas adequadas e (iii) apresentar relatórios de auditoria claros e concisos, destacando os pontos relevantes, as áreas de risco e as oportunidades de melhoria identificadas. Feedback e acompanhamento:(i) após a conclusão dos trabalhos de auditoria, compartilhar os relatórios finais com as unidades auditadas e com a Alta Administração, (ii) solicitar feedbacksobre os resultados da auditoria, permitindo que as partes interessadas expressem suas opiniões e façam comentários relevantes e (iii) realizar o acompanhamento das ações corretivas implementadas em resposta às recomendações da auditoria, mantendo um canal de comunicação aberto para esclarecimentos e acompanhamento de resultados. 6 – MODELOS Modelo - Planilha Execução Orçamentária (6707950) Modelo - Anotações das Entrevistas (6707966) Modelo - Levantamento Universo de Auditoria (6708239) Modelo- Planejamento baseado em riscos (7069939) Este texto não substitui o publicado no BEIDPU BOLETIM ELETRÔNICO INTERNO DA DPU – BEIDPU | Brasília, 03 de julho de 2024 | Edição nº 128Ementa: Institui o manual para elaboração do plano anual de auditoria interna da Defensoria Pública da União. ui-button 0 ui-button 0 Avaliação 0Sua avaliação 001 4683 003 005 250212121300.0 006 007 008 241204s2024#### ##### r # por 024__ |a 08038.008910/2022-39 041__ |a 044__ |a 093__ |b B8231 |c Federal 100__ |a Brasil. Defensoria Pública da União |e Autor 24510 |a 121 |h Instrução Normativa 260__ |b Boletim Eletrônico Interno da DPU |c 2024 504__ |a INSTRUÇÃO NORMATIVA Nº 121, DE 10 DE JUNHO DE 2024 Institui o manual para elaboração do plano anual de auditoria interna da Defensoria Pública da União. O DEFENSOR PÚBLICO-GERAL FEDERAL, no uso das atribuições que lhe são conferidas pelo artigo 8º da Lei Complementar nº 80, de 12 de janeiro de 1994; Considerando o Regimento Interno da Defensoria Pública da União; Considerando o art. 49 da Lei n. 14.129/2021; e Considerando o Processo Administrativo SEI nº 08038.008910/2022-39; RESOLVE Art. 1º Instituir o Manual para Elaboração do Plano Anual de Auditoria Interna da Defensoria Pública da União, na forma do anexo único desta Instrução Normativa. Art. 2º Esta Instrução Normativa entra em vigor na data de sua publicação. LEONARDO CARDOSO DE MAGALHÃES Defensor Público-Geral Federal ANEXO ÚNICO - MANUAL PARA ELABORAÇÃO DO PLANO ANUAL DE AUDITORIA INTERNA DA DEFENSORIA PÚBLICA DA UNIÃO 1 - APRESENTAÇÃO A auditoria interna é entendida como uma atividade independente e objetiva de avaliação e de consultoria, desenhada para adicionar valor e melhorar as operações de uma organização. O seu propósito, em geral, é auxiliar a organização a atingir seus objetivos, a partir da aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de governança, de gerenciamento de riscos e de controles internos. As boas práticas da auditoria interna governamental demonstram que o planejamento é o momento adequado para se estabelecer os passos necessários à consecução dos trabalhos que serão realizados, contribuindo diretamente para a efetividade e a qualidade das auditorias. A partir das atribuições regimentais definidas pelo Conselho Superior da Defensoria Pública da União (CSDPU), cabe à Secretaria-Geral de Auditoria Interna (SGCIA) consolidar e submeter ao/à Defensor/a Público/a-Geral Federal (DPGF) o planejamento anual das atividades de auditoria que serão executadas[1]. Cabe ao Gabinete do/a Secretário/a-Geral da SGCIA, a partir da primeira quinzena do mês de novembro, autuar processo SEI específico para consolidação das informações que irão compor o Plano Anual de Auditoria Interna da Defensoria Pública da União (PAINT) do exercício subsequente. O presente manual, portanto, tem como objetivo orientar a elaboração do PAINT da DPU, fornecendo diretrizes e bases para a estruturação desse documento, que é uma ferramenta para o direcionamento das atividades de auditoria, permitindo o alinhamento com os objetivos estratégicos da instituição e a efetiva gestão de riscos. 2 – METODOLOGIA A unidade de Auditoria Interna da DPU (doravante denominada AI) busca concentrar seus trabalhos nos objetos de auditoria com maior exposição e ameaças que possam afetar o alcance dos objetivos da Defensoria Pública da União (DPU), ou seja, ao elaborar o PAINT, direcionam-se as ações de auditoria aos principais processos da Instituição e aos riscos a eles associados. Para o desenvolvimento do PAINT, o qual deve ser baseado em riscos e estar harmonizado com as estratégias e os objetivos da DPU, a AI deve observar as seguintes etapas, a serem devidamente documentadas durante sua execução: - entendimento da Instituição; - definição do universo de auditoria; - seleção dos trabalhos de auditoria; - definição do esforço alocado e cronograma dos trabalhos; - proposta de ações de capacitação para a equipes de auditores responsáveis pela execução dos trabalhos selecionado; e - proposta de monitoramento dos planos de ações pendentes. A partir das diretrizes definidas no presente documento, as demandas extraordinárias e/ou outras providências que acarretem a revisão do PAINT serão objeto de avaliação pontual por parte do dirigente da AI, a serem submetidas à Alta Administração. A AI também deve estabelecer um modelo de comunicação aberto, transparente e bidirecional com toda a Instituição, de modo a ouvir as preocupações e as perspectivas das unidades auditadas, respondendo a perguntas e fornecendo esclarecimentos adicionais quando necessário. 2.1 ENTENDIMENTO DA INSTITUIÇÃO Nesta etapa, a AI realiza uma análise aprofundada da Instituição, compreendendo sua missão, visão, valores, estrutura organizacional, processos-chave e objetivos estratégicos. Essa compreensão fornecerá a base necessária para a identificação dos riscos e oportunidades relevantes que devem ser considerados no PAINT. São objetivos dessa etapa: a) Compreender a estrutura organizacional da DPU. b) Identificar os processos e atividades-chave. c) Identificar os principais Sistemas de Gestão empregados. d) Identificar os riscos institucionais e controles internos existentes. e) dentificar as áreas de maior exposição a riscos institucionais. f) Identificar pontos de melhoria e oportunidades para aprimoramento. A coleta de informações preliminares passa por: (i) reunir a documentação relevante, como normativos, regulamentos, políticas e procedimentos; (ii) analisar relatórios financeiros, orçamentários e contábeis e outras informações relevantes sobre a gestão orçamentária e financeira; (iii) identificar os principais stakeholders e suas expectativas e (iv) compreender as expectativas da Alta Administração. As conclusões do entendimento devem ser documentadas em relatório, incluindo os processos mapeados, os riscos e as oportunidades de melhoria identificadas. 2.2 DEFINIÇÃO DO UNIVERSO DE AUDITORIA Obtida a compreensão dos objetivos da organização e dos seus principais processos, passa-se a definir o universo de auditoria, que consistem no conjunto de objetos sobre os quais a AI pode realizar suas atividades. As seguintes operações são executadas nesse momento: Revisar as informações coletadas durante o processo de entendimento da instituição, incluindo a estrutura organizacional, objetivos estratégicos, processos-chave, riscos identificados e áreas de melhoria propostas. Identificar as áreas que apresentam maior risco ou são consideradas críticas para o cumprimento dos objetivos da Instituição, levando em consideração também os trabalhos anteriormente realizados pela própria AI. A abordagem leva em consideração o nível de maturidade da gestão de riscos em que se encontra a DPU. Quanto mais elevado for o nível, menos a AI se utilizará de abordagem própria para avaliar os registros de riscos para seleção dos trabalhos. Os objetos de auditoria serão separados em três eixos: (i) FINALÍSTICOS: consiste nos processos de trabalho relacionados diretamente com a atividade-fim da DPU; (ii) GOVERNANÇA: processos relacionados a estratégia e governança institucional e (iii) SUPORTE: são os processos de trabalho que suportam a área finalística. São geralmente de cunho operacional e administrativo. Catalogar os objetos de auditoria identificados a partir da divisão entre: MACROPROCESSOS, PROCESSOS, SUBPROCESSOS, ÁREA RESPONSÁVEL e VINCULAÇÃO ESTRATÉGICA. Para melhor visualização, seguem exemplos: Macroprocesso Processo Subprocesso Área Responsável Vinculação Estratégica Despesas de pessoal Folha de Pagamento Confecção da Folha de Pagamento SGP NSA Empréstimo Consignado SGP NSA Ressarcimento Requisitados SGP NSA Tecnologia e Inovação Sistemas de Informação Desenvolvimento de Software STI 2.09.01 Aprimorar as soluções e serviços de TIC 2.3 – SELEÇÃO DOS TRABALHO DE AUDITORIA (AVALIAÇÃO DE RISCOS) A AI deve seguir um processo estruturado para a definição dos trabalhos de auditoria para o exercício seguinte. Busca-se refletir a cobertura adequada dos riscos institucional, a importância relativa das áreas auditáveis, as prioridades da Alta Administração e as restrições de recursos da própria auditoria interna. O texto a seguir descreve as etapas desse processo: A partir dos fatores de risco selecionados pela AI (materialidade, relevância e criticidade), concretizar a classificação e priorização dos processos e das atividades-chave dentro das áreas identificadas. Com a identificação dos Processos/Subprocessos que apresentem a maior relevância/interesse dentro de cada Macroprocesso, parte-se para o cálculo da materialidade, da relevância e da criticidade. Nessa etapa observam-se os critérios estabelecidos na tabela correspondente, sendo que a relevância é mensurada pelo nível e quantidade de subprocessos que impactam nos objetivos estratégicos. Esse levantamento é feito em conjunto com as áreas responsáveis pelos macroprocessos da Instituição. Materialidade: divide-se a despesa executada no processo em análise com as despesas totais executadas no exercício pela DPU, obtendo-se desta forma um percentual correspondente. Este percentual obtido é associado a um valor de pontuação que consta na Tabela Despesa, executada no processo/Despesas totais executadas no exercício. Esta pontuação obtida é multiplicada por 0,50. Atribui-se o peso 0,50 ao cálculo final da materialidade como forma de mitigar uma possível distorção provocada por Processos/Subprocessos que possuem alto valor orçamentário, mas que podem não apresentar problemas que os incluam como objeto de auditoria/levantamento no exercício seguinte. Dessa forma, o peso da materialidade é reduzido pela metade no cálculo do resultado. Processo/Subprocesso: (X) Aspectos Avaliados Valores/Quantidade Pontuação Obtida Pontuação Total (Peso 0,50) Materialidade (Despesa executada no processo) Despesas totais executadas no exercício Materialidade / Despesas totais executadas no exercício Despesa executada no processo/Despesas totais executadas no exercício Pontuação Menos de 20% da despesa executada no processo sobre as despesas totais executadas no exercício. 1 Entre 21% e 40% da despesa executada no processo sobre as despesas totais executadas no exercício. 2 Entre 41% e 60% da despesa executada no processo sobre as despesas totais executadas no exercício. 3 Entre 61% e 80% da despesa executada no processo sobre as despesas totais executadas no exercício. 4 Entre 81% e 100% da despesa executada no processo sobre as despesas totais executadas no exercício. 5 Relevância: Primeiro, considera-se a pontuação de impacto na atividade finalística, prevista na Tabela de Impacto do Processo na Atividade Finalística. Em seguida, multiplica-se essa pontuação pelo impacto na atividade administrativa, obtida na Tabela de Impacto do Processo na Atividade Administrativa. Por fim disso, inclui-se a pontuação de risco de imagem na unidade, extraída da Tabela de Impacto do Processo na Imagem da Unidade. Pontuação Total = (Pontuação de Impacto na Atividade Finalística) * (Pontuação de Impacto na Atividade Administrativa) * (Pontuação de Risco de Imagem na Unidade) * 1. Processo/Subprocesso: (x) Aspecto Avaliado Pontuação sugerida Pontuação obtida Pontuação Total (Peso 1) Impacto na Atividade Finalística 1 a 5 Impacto na Atividade Administrativa 1 a 5 Risco de Imagem na Unidade 1 a 5 Impacto do Processo na Atividade Finalística Pontuação Menos de 30% dos subprocessos do processo suportam diretamente a atividade finalística, adicionalmente, seus riscos têm baixa probabilidade de impactá-la. 1 Mais de 30% dos subprocessos do processo suportam diretamente a atividade finalística, porém seus riscos têm baixa probabilidade de impactá-la. 2 Menos de 30% dos subprocessos do processo suportam diretamente a atividade finalística, porém é um risco inerente do subprocesso: prejudicar a qualidade, ou a eficácia, e ou a eficiência da atividade finalística. 3 Entre 30% e 69% dos subprocessos estão diretamente ligados à atividade finalística e, adicionalmente, é um risco do subprocesso: prejudicar a qualidade, a eficácia, e a eficiência da atividade finalística. 4 Entre 70% e 100% dos subprocessos estão ligados diretamente à execução da atividade finalística e, adicionalmente, é um risco do subprocesso: prejudicar a qualidade, a eficácia, e a eficiência da atividade finalística. Ou, ainda, a não execução de pelo menos um dos subprocessos impedem a realização da atividade finalística. 5 Impacto do Processo na Atividade Administrativa Pontuação Menos de 50% dos subprocessos do processo impactam a atividade administrativa somente no âmbito da coordenadoria/secretaria/assessoria ou unidade gestora. 1 50% ou mais dos subprocessos do processo impactam a atividade administrativa somente no âmbito da coordenadoria/secretaria/assessoria ou unidade gestora. 2 Menos 50% dos subprocessos do processo impactam a atividade administrativa de mais de uma coordenadoria/secretaria/assessoria ou unidade gestora como um todo. É um risco inerente do subprocesso: impedir a atividade administrativa no âmbito da unidade gestora ou da coordenadoria/secretaria/assessoria. 3 50% ou mais dos subprocessos do processo impactam a atividade administrativa de mais de uma coordenadoria/secretaria/assessoria ou unidade gestora como um todo. É um risco inerente do subprocesso: impedir a atividade administrativa no âmbito da unidade gestora ou da coordenadoria/secretaria/assessoria. 4 Pelo menos um subprocesso do processo tem impacto na gestão administrativa de toda DPU. É um risco inerente do subprocesso: prejudicar a qualidade, a eficácia, ou a eficiência da atividade administrativa de toda DPU. 5 Impacto do Processo na Imagem da Unidade Pontuação Falhas dos subprocessos não são capazes de trazer impacto negativo à imagem da unidade. 1 Falhas em pelo menos um dos subprocessos que dá suporte à atividade administrativa que podem trazer a imagem de que a unidade não se preocupa o suficiente em controlar a atividade de seus agentes. 2 Falhas em pelo menos um dos subprocessos que dá suporte à atividade administrativa que podem trazer a imagem de que a unidade não é capaz de coibir ilícitos. 3 Falhas em pelo menos um dos subprocessos que suportam a atividade finalística que podem trazer a imagem de que a unidade não é confiável para executar sua atividade finalística. 4 Falhas em pelo menos um dos subprocessos que suportam a atividade finalística que podem trazer a imagem de que a unidade não é capaz de executar sua atividade finalística. 5 Criticidade: Primeiramente, considera-se a pontuação do Lapso Temporal da Última Auditoria Realizada, obtida na respectiva tabela. Em seguida, multiplica-se essa pontuação pela pontuação da Maturidade da Gestão do Processo/Subprocesso, também obtida na tabela correspondente. Pontuação Total = (Pontuação do Lapso Temporal da Última Auditoria Realizada) * (Pontuação da Maturidade da Gestão do Processo/Subprocesso) * 1,50. Atribui-se o peso 1,50 ao cálculo final da criticidade como forma de se ampliar a relevância dos processos que há mais tempo não são objeto de auditoria/levantamento, bem como aos que não possuem um nível satisfatório de maturidade e que necessitam de uma atuação imediata da AI. Processo/Subprocesso 1: Aspecto Avaliado Pontuação sugerida Pontuação obtida Pontuação Total (Peso 1,5) Lapso Temporal da última auditoria realizada 1 a 5 0,00 Maturidade da Gestão do Subprocesso 1 a 5 Lapso temporal da última auditoria realizada Pontuação Unidade auditada recentemente (até 12 meses de execução da última) 1 Unidade auditada entre 13 e 24 meses 2 Unidade só possui auditorias antigas realizadas (entre 25 e 36 meses) 3 Unidade só possui auditorias antigas realizadas (entre 37 e 48 meses) 4 Unidade auditada há mais de 49 meses 5 A variável é do tipo de quanto maior o tempo pior, ou seja, quanto mais tempo o subprocesso fica sem ser auditado, maior o risco. Maturidade da gestão do processo Pontuação Mais de 50% dos subprocessos são otimizados, gerenciados e medidos: subprocessos foram refinados ao nível de boas práticas e o gerenciamento monitora e mede a aderência aos procedimentos, além de tomar ações nos pontos importantes nos quais os subprocessos parecem não estar funcionando efetivamente. 1 50% ou menos dos subprocessos são otimizados, gerenciados e medidos: subprocessos foram refinados ao nível de boas práticas e o gerenciamento monitora e mede a aderência aos procedimentos, além de tomar ações nos pontos importantes nos quais os subprocessos parecem não estar funcionando efetivamente. 2 Mais de 50% dos subprocessos têm procedimentos padronizados, documentados e comunicados por meio de treinamento. Os procedimentos propriamente ditos não são sofisticados, mas existe a formalização sobre as práticas existentes. 3 50% ou menos dos subprocessos têm procedimentos padronizados, documentados e comunicados por meio de treinamento. Os procedimentos propriamente ditos não são sofisticados, mas existe a formalização sobre as práticas existentes. 4 80% ou mais dos subprocessos foram desenvolvidos ao estágio no qual procedimentos similares são seguidos por diferentes pessoas quando estão executando a mesma tarefa. Não há treinamento formal ou comunicação sobre os procedimentos padronizados, e a responsabilidade é tratada de maneira individual. Há muita dependência no conhecimento de indivíduos. 5 O resultado é encontrado pela soma da Materialidade, da Relevância e da Criticidade. Obtêm-se, dessa forma, uma ordem de valores numéricos que demonstram de forma objetiva quais os processos/atividades possuem uma maior/menor probabilidade de serem contempladas no PAINT do próximo exercício. Apresentar a relação dos processos/subprocessos/objetos de trabalho selecionados com base na avaliação de risco. Segue o modelo de planilha de consolidação do resultado da aplicação da metodologia. Além da abordagem relacionada aos riscos institucionais, outros critérios devem ser considerados na seleção dos objetos a serem auditados, o que inclui obrigações normativas, recomendações emitidas em trabalhos anteriores não implementadas, as expectativas da Alta Administração em relação aos setores e processos que requerem maior atenção e a própria capacidade operacional da auditoria interna. Vejamos: a) Das prioridades da Alta Administração:(i) compreender as prioridades estratégicas e as preocupações da Alta Administração, buscando alinhar os trabalhos de auditoria com essas prioridades e (ii) realizar um diálogo contínuo com a Alta Administração para entender suas expectativas e considerá-las ao selecionar os trabalhos de auditoria. b) Revisão de recomendações anteriores e não implementadas:(i) analisar as recomendações de auditorias anteriores que ainda não foram implementadas, considerando a importância e a urgência dessas recomendações e (ii) priorizar trabalhos de auditoria que abordem áreas em que recomendações pendentes representam riscos significativos ou oportunidades de melhoria. c) Recursos disponíveis:(i) avaliar a disponibilidade de recursos, como equipe de auditores/as internos/as, tempo e orçamento, ao definir os trabalhos de auditoria e (ii) considerar a capacidade da equipe para executar os trabalhos dentro dos prazos estabelecidos e fornecer um trabalho de qualidade. Ao considerar esses critérios, a seleção e priorização dos trabalhos de auditoria será embasada em uma abordagem estruturada, garantindo uma distribuição adequada dos recursos e uma cobertura abrangente dos riscos, bem como as necessidades e prioridades da instituição. As CONSULTORIAS serão objeto de regulamentação específica e deverão observar as seguintes premissas: se há potencial de a atividade adicionar valor e aperfeiçoar os processos de governança, gestão de riscos e controles internos da DPU; se o corpo técnico de auditores/as internos/as possuem proficiência necessária à realização do serviço; e se o serviço de consultoria proposto poderá gerar potenciais prejuízos à independência da AI ou à objetividade dos/as auditores/as. 2.4 – DEFINIÇÃO DO ESFORÇO ALOCADO E CRONOGRAMA DE CADA TRABALHO A alocação de esforço dos auditores/as internos/as parte de uma visão clara das variáveis e dos dados disponíveis. Isso inclui o número total de dias úteis no ano de trabalho da DPU, a carga horária diária de cada auditor/a, os períodos de férias e afastamentos legais e o calendário de capacitações, considerando pelo menos 40 (quarenta) horas anuais. Carga horária disponível: Calcular o número de dias úteis no ano e subtraindo os dias de férias e afastamentos legais de cada auditor/a interno/a. Em seguida, multiplica-se esse valor pela carga horária diária de trabalho de cada auditor. Após, deduzir 40 horas para capacitações, por ano, por auditor/a. O resultado dessa etapa será a carga de trabalho anual ajustada para cada auditor/a interno/a, levando em conta os dias disponíveis para atividades de auditoria. Com a carga de trabalho anual estimada e as demandas de auditoria identificadas, é hora de distribuir o esforço entre os/as auditores/as. Para fazer isso de forma justa e eficiente, é necessário considerar os seguintes aspectos: Habilidades e experiência: Levar em conta as habilidades e experiências específicas de cada auditor/a ao atribuir tarefas, alocando auditores/as com expertise relevante em trabalhos mais complexos e desafiadores. Disponibilidade: Verificar a disponibilidade de cada auditor/a ao longo do ano. Alguns podem ter preferências sobre quando tirar férias ou participar de capacitações, e isso deve ser considerado na alocação. Equilíbrio de carga: Buscar equilíbrio na carga de trabalho entre os/as auditores/as, garantindo que ninguém esteja sobrecarregado ou com tempo ocioso. O cronograma de execução dos trabalhos de auditoria deve ser consolidado com base na importância, complexidade e prazos definidos. Deve-se levar em consideração a disponibilidade de recursos, o nível de urgência e a necessidade de coordenação com outras áreas da DPU. Os critérios a serem observados para a consolidação do cronograma são os seguintes: Prioridades e relevância:(i) dar prioridade a objetos que decorrem de obrigação legal ou normativa, a exemplo da Auditoria Financeira das Contas Anuais; (ii) dar prioridade a objetos e processos de maior relevância e risco para a instituição e (iii) considerar a importância estratégica dessas áreas e o potencial impacto de falhas ou deficiências. Dependências e inter-relações: (i) identificar as dependências entre os trabalhos de auditoria, levando em conta as inter-relações entre os processos e as unidades organizacionais e (ii) evitar sobreposições desnecessárias ou lacunas na cobertura de auditoria, garantindo uma abordagem abrangente e consistente. Duração e complexidade:(i) avaliar a duração e a complexidade de cada trabalho de auditoria, considerando a quantidade de atividades a serem realizadas e a extensão da documentação a ser revisada e (ii) alocar o tempo necessário para garantir uma análise aprofundada, levando em conta a complexidade das áreas auditadas. Recursos disponíveis:(i) levar em consideração a disponibilidade de recursos, como equipe de auditores internos e especialistas, para a execução dos trabalhos de auditoria e (ii) assegurar que os recursos necessários estejam disponíveis e alocados de acordo com as demandas e prazos estabelecidos. Riscos emergentes ou significativos:(i) identificar riscos emergentes ou significativos que possam requerer uma atenção imediata por meio de trabalhos de auditoria específicos e (ii) priorizar a execução desses trabalhos para mitigar os riscos identificados e fornecer insights oportunos para a Alta Administração. Sazonalidade e calendário institucional:(i) considerar a sazonalidade de certas atividades ou processos na instituição que possam influenciar a disponibilidade de dados e a eficácia da auditoria e (ii) levar em conta o calendário institucional, como fechamento de exercício fiscal, prazos regulatórios ou eventos relevantes, ao planejar os trabalhos de auditoria. Feedbackda Alta Administração:(i) incorporar o feedback da Alta Administração, levando em consideração suas prioridades e expectativas em relação à execução dos trabalhos de auditoria e (ii) manter uma comunicação regular e alinhada com a Alta Administração para garantir que o cronograma atenda às suas necessidades e requisitos. Flexibilidade e ajustes:(i) reconhecer a necessidade de flexibilidade e estar preparado para realizar ajustes no cronograma, se surgirem novas informações, riscos ou prioridades e (ii) monitorar continuamente o progresso dos trabalhos de auditoria e fazer os ajustes necessários para garantir a conclusão oportuna e eficaz deles. 2.5 – AÇÕES DE CAPACITAÇÃO As ações de capacitação para os trabalhos a serem desenvolvidos no âmbito da AI devem agregar valor às habilidades e competências exigidas para desempenhar as atividades de avaliação, consultoria e emissão de relatórios, informações e outros documentos. Ao definir as atividades de capacitação e a carga horária mínima a serem observadas pelos auditores internos, é importante considerar, no que couber, os seguintes critérios: a) Requisitos legais e normativos:(i) verificar as exigências legais e regulamentares aplicáveis à profissão de auditoria interna, como certificações profissionais e obrigatoriedade de atualização periódica e (ii) considerar as normas internacionais de auditoria, como as emitidas pelo TheInstitute of Internal Auditors (IIA), que estabelecem os padrões e as competências esperadas dos auditores internos. b) Competências necessárias:(i) identificar, a partir do adequado mapeamento, as competências técnicas, transversais e de gestão requeridas para o exercício eficaz da auditoria interna na DPU e (ii) avaliar as habilidades necessárias em áreas como auditoria financeira, auditoria de processos, riscos, controles internos, tecnologia da informação, entre outras, de acordo com as particularidades da organização. c) Necessidades de atualização: (i) considerar as mudanças no ambiente de negócios, nas práticas contábeis, nas regulamentações e nas tecnologias que possam impactar a auditoria interna e (ii) identificar as áreas em que os/as auditores/as internos/as precisam se adequar para se manterem atualizados em relação às melhores práticas e às novas tendências. d) Plano de desenvolvimento profissional continuado:a partir de plano de desenvolvimento profissional individualizado, definir as atividades de capacitação de cada auditor/a interno/a, como treinamentos, workshops, cursos, conferências e participação em grupos de estudo, levando em conta a relevância e a qualidade dos programas disponíveis e a disponibilidade orçamentária do Órgão. e) Carga horária mínima:para garantir a atualização e o aprimoramento contínuo dos/as auditores/as internos/as da DPU ficam estabelecidas 40 horascomo carga horária recomendável de capacitação anual. A definição dos critérios para as atividades de capacitação e carga horária mínima deve ser feita de forma colaborativa, envolvendo a equipe de auditoria interna, a Alta Administração e considerando as necessidades específicas da DPU. Isso garantirá que os/as auditores/as internos estejam adequadamente preparados para enfrentar os desafios da auditoria e oferecer um trabalho de qualidade. 2.6 – MONITORAMENTO DOS PLANOS DE AÇÃO PENDENTES O monitoramento dos planos de ação pendentes é a técnica utilizada para garantir a implementação efetiva das recomendações e ações corretivas identificadas durante os trabalhos de auditoria. A seguir, são apresentadas as principais diretrizes para o monitoramento dos planos de ação pendentes, no que couber: a) Acompanhamento periódico:(i) estabelecer uma frequência de acompanhamento adequada, considerando a natureza e a complexidade dos planos de ação e (ii) realizar revisões periódicas para verificar o andamento e o status de implementação de cada plano de ação pendente. b) Comunicação efetiva:(i) manter uma comunicação aberta e transparente com os responsáveis pelos planos de ação, fornecendo orientações claras e esclarecendo dúvidas e (ii) comunicar regularmente a Alta Administração sobre o progresso e o status dos planos de ação pendentes, destacando os desafios e as medidas tomadas para superá-los. c) Acompanhamento de resultados:(i) avaliar os resultados obtidos com a implementação dos planos de ação pendentes, verificando se as metas estabelecidas foram alcançadas e se as ações corretivas foram efetivas e (ii) analisar os impactos das ações implementadas, identificando melhorias nos processos, redução de riscos ou outros benefícios resultantes das recomendações da auditoria. d) Registro e documentação:(i) manter registros detalhados das atividades de monitoramento, incluindo datas, informações sobre o acompanhamento realizado e resultados obtidos e (ii) documentar as evidências de implementação dos planos de ação, como relatórios, registros de treinamento, comprovantes de mudanças em procedimentos, entre outros. e) Relatórios de acompanhamento:(i) preparar relatórios de acompanhamento regulares, destacando o status dos planos de ação pendentes, os progressos realizados, os desafios enfrentados e as medidas tomadas para superá-los e (ii) apresentar esses relatórios à Alta Administração e aos responsáveis pelos planos de ação, compartilhando informações relevantes e fornecendo recomendações adicionais, se necessário. A partir dessas diretrizes, a AI buscará desenvolver/aprimorar processo estruturado e eficaz para monitorar os planos de ação pendentes, garantindo a sua implementação oportuna e efetiva. 3 – DEMANDAS EXTRAORDINÁRIAS Demandas extraordinárias podem surgir devido a eventos inesperados, mudanças nas prioridades da Alta Administração ou a necessidades emergenciais. Para lidar com essas situações, a AI deve seguir os seguintes critérios, no que couber: Principais critérios de abertura: (i)situações encontradas na execução das auditorias e que carecem de trabalho mais aprofundado ou urgente; (ii) situações emergenciais, quando identificadas pelas Secretarias de auditoria ou pelo/chefe da AI; (iii) demandas diretas apresentada pelo/a Defensor/a Público/a-Geral Federal de assuntos estratégicos e (iv) atuação em objetos que possam mitigar riscos imediatos que afetem diretamente os objetivos institucionais. Avaliação da demanda:(i) realizar uma análise inicial da demanda extraordinária para compreender sua natureza, urgência e relevância e (ii) avaliar se a demanda está alinhada com os objetivos estratégicos da instituição e se está dentro do escopo de atuação da auditoria interna. Priorização:(i) considerar a importância relativa da demanda extraordinária em relação às atividades já planejadas e em andamento e (ii) avaliar os impactos potenciais da demanda na DPU, como riscos significativos, falhas de controles ou oportunidades de melhoria. Recursos disponíveis:(i) verificar a disponibilidade de recursos necessários para atender à demanda extraordinária, como equipe de auditores/as internos/as, tempo e orçamento e (ii) avaliar se a alocação de recursos para a demanda extraordinária não comprometerá a execução adequada das atividades planejadas previamente. Comunicação com a Alta Administração: (i) consultar a Alta Administração sobre a demanda extraordinária, compartilhando informações relevantes e buscando orientação e apoio e (ii) discutir a possibilidade de reajustar o plano anual de auditoria em função da nova demanda ou buscar alternativas para atender às necessidades identificadas. Análise de riscos:(i) realizar uma análise de riscos específica para a demanda extraordinária, identificando os possíveis impactos e as áreas críticas a serem abordadas e (ii) utilizar essa análise para direcionar os esforços de auditoria e garantir que a demanda seja tratada de forma eficiente e eficaz. Aprovação e planejamento:(i) obter a aprovação adequada da Alta Administração para a inclusão da demanda extraordinária no plano de auditoria e (ii) planejar as atividades necessárias, estabelecer um cronograma adequado e alocar os recursos apropriados para a execução da demanda extraordinária. Monitoramento e relatórios: (i) realizar um monitoramento contínuo do progresso da demanda extraordinária, comunicando os resultados à Alta Administração e (ii) preparar relatórios periódicos sobre as atividades realizadas, os resultados obtidos e as recomendações para lidar com a demanda extraordinária, se aplicável. A abordagem estruturada, oportuna e eficiente às demandas extraordinárias é fundamental para assegurar uma resposta eficaz diante de eventos imprevistos. 4 – REVISÃO DO PAINT A revisão periódica do PAINT busca garantir que o instrumento permaneça alinhado com as necessidades e com eventuais mudanças no ambiente de negócios da DPU. A seguir, são apresentadas as principais diretrizes a serem seguidas pela AI: Periodicidade da revisão: O PAINT será revisado caso surjam mudanças significativas nas prioridades, riscos ou necessidades da DPU. Critérios de revisão: Alterações nas prioridades estratégicas: (i) avaliar se as prioridades estratégicas da DPU mudaram desde a elaboração do plano original e (ii) considerar se existem novos projetos, iniciativas ou áreas de foco que devem ser incorporados ao PAINT. Avaliação de riscos: realizar uma análise atualizada dos riscos enfrentados pela instituição, identificando eventuais mudanças ou surgimento de novos riscos que exijam atenção da auditoria interna. Mudanças regulatórias: verificar se ocorreram mudanças nas leis, regulamentos ou normas aplicáveis à instituição, que possam afetar a abordagem de auditoria, assegurando que o plano de auditoria esteja atualizado e alinhado com os requisitos legais e regulatórios. Feedback da Alta Administração: (i) levar em consideração o feedback da Alta Administração sobre a eficácia e a relevância dos trabalhos de auditoria já realizados e (ii) identificar áreas em que a auditoria interna pode trazer um valor agregado adicional ou responder a necessidades específicas da Alta Administração. Aprovação pelo/a DPGF:formalizar a validação do/a DPGF em relação às alterações propostas no plano de auditoria. Documentação:(i) manter registros claros e documentados das revisões realizadas no PAINT, incluindo as justificativas para as alterações efetuadas e (ii) documentar as decisões tomadas, as considerações feitas e os critérios adotados durante o processo de revisão. A revisão do PAINT deve ser um processo contínuo e flexível, capaz de se adaptar às mudanças no ambiente organizacional. A AI deve manter uma postura proativa e atualizar regularmente o plano de auditoria para garantir sua relevância e eficácia na identificação de riscos, na melhoria de processos e na criação de valor para a DPU. 5 – COMUNICAÇÃO Um fluxo de comunicação eficaz contribui para o fortalecimento dos controles internos, a melhoria dos processos e a promoção de uma cultura de transparência e responsabilidade na instituição. Essa comunicação adequada é fundamental para garantir o alinhamento de expectativas, a transparência e o sucesso das atividades de auditoria. A seguir, são apresentados os principais pontos relacionados ao fluxo de comunicação entre a auditoria interna, as unidades auditadas e a Alta Administração: Comunicação com as unidades auditadas:(i) antes da execução do PAINT, é importante estabelecer uma comunicação clara com as unidades auditadas, (ii) explicar o propósito e os objetivos da auditoria, ressaltando a importância da cooperação e do apoio das unidades auditadas, (iii) comunicar o cronograma de auditoria, incluindo datas previstas para entrevistas, revisões documentais e outras atividades relevantes e (iv) solicitar o compartilhamento de informações e documentos necessários para a realização dos trabalhos de auditoria. Diálogo contínuo com as unidades auditadas: (i) durante a execução dos trabalhos de auditoria, manter um diálogo contínuo com as unidades auditadas, (ii) realizar reuniões de acompanhamento para discutir o progresso, esclarecer dúvidas e obter informações adicionais, se necessário, e (ii) comunicar de forma clara e objetiva as constatações preliminares, permitindo que as unidades auditadas possam apresentar suas perspectivas e fornecer esclarecimentos adicionais. Comunicação com a Alta Administração:(i) manter a Alta Administração informada sobre o progresso e os resultados dos trabalhos de auditoria, (ii) comunicar as conclusões preliminares e as recomendações em tempo hábil, permitindo que a Alta Administração possa tomar as medidas adequadas e (iii) apresentar relatórios de auditoria claros e concisos, destacando os pontos relevantes, as áreas de risco e as oportunidades de melhoria identificadas. Feedback e acompanhamento:(i) após a conclusão dos trabalhos de auditoria, compartilhar os relatórios finais com as unidades auditadas e com a Alta Administração, (ii) solicitar feedbacksobre os resultados da auditoria, permitindo que as partes interessadas expressem suas opiniões e façam comentários relevantes e (iii) realizar o acompanhamento das ações corretivas implementadas em resposta às recomendações da auditoria, mantendo um canal de comunicação aberto para esclarecimentos e acompanhamento de resultados. 6 – MODELOS Modelo - Planilha Execução Orçamentária (6707950) Modelo - Anotações das Entrevistas (6707966) Modelo - Levantamento Universo de Auditoria (6708239) Modelo- Planejamento baseado em riscos (7069939) Este texto não substitui o publicado no BEIDPU BOLETIM ELETRÔNICO INTERNO DA DPU – BEIDPU | Brasília, 03 de julho de 2024 | Edição nº 128 520__ |a Institui o manual para elaboração do plano anual de auditoria interna da Defensoria Pública da União. 650__ |a Avaliação de controles internos 650__ |a Fases da auditoria 650__ |a Auditoria interna 650__ |a Auditoria governamental 650__ |a Processo de auditoria 85641 |u https://www.dpu.def.br/instrucoes-normativas/gabdpgf-2024/80852-instrucao-normativa-n-121-de-10-de-junho-de-2024-institui-o-manual-para-elaboracao-do-plano-anual-de-auditoria-interna-da-defensoria-publica-da-uniao |x integral |y Texto completo 900__ |a Federal 901__ |a Vigênte Brasil. Defensoria Pública da União. 121. Federal Boletim Eletrônico Interno da DPU, 2024. Vigênte. ISBN 08038.008910/2022-39. title 121 creator Brasil. Defensoria Pública da União, Autor subject Auditoria interna subject Auditoria governamental subject Processo de auditoria subject Avaliação de controles internos subject Fases da auditoria publisher Boletim Eletrônico Interno da DPU date 2024 type Legislação format Vigênte identifier 08038.008910/2022-39 language por Exemplar(es):Enviar email Enviar e-mail com informações do título no formato selecionado. ABNT MARC21 MARC XML Dublin Core XML Digite uma mensagem: Informe um email válido: Enviar E-mail Comentários ( 0 ) Resenhas ( 0 ) VoltarImprimirPágina Inicial
