A “NBASP 100 – Princípios Fundamentais de Auditoria do Setor Público” estabelece que os auditores devem, durante a fase de planejamento dos seus trabalhos, obter um entendimento da natureza da entidade ou do programa a ser auditado, o que inclui os controles internos desenhados[1]. Esses controles serão obrigatoriamente avaliados pelos auditores, conforme definido no item 46 da mencionada norma. 

Duas dúvidas podem surgir no que tange a essa diretriz: 1) qual é a utilidade desse procedimento; e 2) como avaliar os controles internos? 

A compreensão e análise preliminar dos controles desenhados por uma entidade pública faz parte do processo de avaliação de riscos, que integra o planejamento dos trabalhos auditoriais dos Tribunais de Contas (TC). Entender os riscos aos quais está sujeita uma organização é crucial para que o Auditor direcione os seus esforços, delimitando os objetivos do exame a realizar, sua época e extensão. 

Um risco nada mais é do que um evento potencial ou um conjunto de circunstâncias que pode afetar negativamente os objetivos da entidade, caso se concretize. Para reduzir ou mitigar a exposição a riscos, as organizações implementam controles internos. 

A possibilidade que as medidas adotadas pela gestão não previnam, identifiquem ou permitam corrigir adversidades decorrentes destes eventos é denominada risco de controle. Quanto menor esse risco, maior o nível de confiança que o Auditor de um TC pode depositar nos controles internos, o que implica uma menor extensão de testes a realizar na fase de execução. Por outro lado, se os controles são inexistentes ou insatisfatórios, mais testes serão demandados do Auditor, de forma a reduzir a possibilidade de que este emita uma opinião ou conclusão inadequada no seu relatório. 

Com isso, respondemos a nossa primeira questão, ou seja, a avaliação preliminar dos controles internos permite ao Auditor definir a extensão dos testes que deverão ser por ele executados na fase posterior ao planejamento. Além disso, é útil para amparar propostas de recomendações e determinações direcionadas à melhoria de processos organizacionais dos auditados. 

E como avaliar os controles? Na primeira fase da auditoria, devem ser efetuados os testes de desenho e implementação, também conhecidos como testes de observância. 

A KPMG[2] orienta que os testes de desenho visam determinar se os controles, desde que operando de maneira apropriada, podem efetivamente prevenir ou detectar riscos. Segunda a empresa, esses testes são usualmente concebidos por meio de indagação e observação ou pela inspeção de documentos, tais como relatórios e formulários preenchidos; por visualização à tela do computador (computer screen) de mensagens de erro ou chamadas de atenção; ou, mais efetivamente, pelo processo de walk-through (passo a passo, na tradução livre para o português). 

Ainda segundo a KPMG, os testes de desenho abrangem: o tipo de controle, inclusive configuração, revisão da administração e autorização; a natureza do controle (se automatizado ou manual, preventivo ou detectivo); frequência (diário, semanal ou mensal); experiência e competência de quem o executa; procedimentos de investigação e correção de erro, incluindo o prazo para sua realização. 

Por óbvio, nem todos os controles desenhados serão examinados pelo auditor. Devem ser priorizados aqueles que se correlacionem aos objetivos-chave da entidade auditada e seus respectivos riscos. O TCU[3] exemplifica essa correlação em um processo de compra:

Conhecendo os riscos mais significativos e os controles desenhados, é possível projetar os testes de desenho, na dimensão referendada segundo a KPMG. Para organizar o que deve ser feito, o TCU sugere a utilização de uma Matriz de Riscos e Controles, a seguir demonstrada:

É indispensável registrar que, caso o Auditor conclua no seu planejamento que os controles internos são satisfatórios, deverá realizar testes de efetividade operacional, na fase de execução. Se tais testes demonstrarem que os controles implementados não asseguram a confiança originalmente estimada pelo Auditor, o planejamento deverá ser revisto e os testes ampliados, de forma a suprir a deficiência efetivamente existente nos controles da organização auditada. 

_________________

[1] NBASP 100, item 45. 

[2] Documento intitulado “Seção 404 da Lei Sarbanes-Oxley: certificação dos controles internos pela administração – respostas às perguntas mais frequentes". 

[3] Aula 4 do curso “Avaliação de Controles Internos”, do Instituto Serzedello Corrêa, 2012.