Links

Página Inicial ALMG (Consulta Legislação) Jornal Minas Gerais Enviar por Email Imprimir Envie sua Sugestão Política de Seleção de Normas Voltar

Sistema de informação que reúne em um só local as Leis e Decretos, bem como seus regulamentos (resoluções, portarias ...) de todos os órgãos do poder executivo de Minas Gerais. O objetivo do Pesquisa Legislativa é oferecer a sociedade o acesso as normas publicadas no Diário Oficial de forma simples e atualizada, promovendo uma gestão transparente e o acesso à informação. Saiba mais

Diretoria de Arquivo, Pesquisa Legislativa e Consulta Pública

pesquisalegislativa@ctl.mg.gov.br / (31) 3915-1040

Dados da Legislação

Instrução Normativa 1, de 30/11/2021 (CONTROLADORIA-GERAL DO ESTADO - CGE)

Dados Gerais

Tipo de Norma:

Instrução Normativa

Número:

Data Assinatura:

30/11/2021

Órgão

Órgão Origem:

Controladoria-Geral do Estado - CGE

Histórico

	Tipo Publicação:	PUBLICAÇÃO	Data Publicação:	4/12/2021
	Fonte Publicação:	Minas Gerais - Diário do Executivo	Página Publicação:	5

Referências

Status:	Alteração	Dt. Publicação:	3/2/2022	Número:	1	Tipo de Norma:	Instrução Normativa
Comentário:	Altera a redação dos itens 214, 302 e 352.
Status:	Alteração	Dt. Publicação:	19/10/2022	Número:	2	Tipo de Norma:	Instrução Normativa
Comentário:	Altera Anexo

Texto

Instrução Normativa CGE/GAB nº. Nº 01/2021

Estabelece as orientações técnicas da atividade de Auditoria Interna Governamental do Poder Executivo Estadual.

O CONTROLADOR-GERAL DO ESTADO, no uso de atribuição que lhe confere os incisos VIII, IX e X do artigo 49, e tendo em vista o disposto no artigo 61, todos da Lei nº. 23.304, de 30 de maio de 2019, RESOLVE:

Art. 1º - Estabelecer, nos termos do Anexo Único desta Instrução Normativa, as orientações técnicas da atividade de Auditoria Interna
Governamental (AIG) do Poder Executivo Estadual, por meio da qual são definidos princípios, conceitos, diretrizes e procedimentos para nortear a prática da AIG, de modo a garantir uma atuação eficiente e eficaz por parte das Unidades de Auditoria Interna Governamental.

Art. 2º - As instruções complementares e os casos omissosserão orientados pela Auditoria-Geral por meio de Ordem de Serviço.

Art. 3º - Esta Instrução Normativa entra em vigor na data de sua publicação.

Belo Horizonte, 30 de novembro de 2021.

Rodrigo Fontenelle de Araújo Miranda
Controlador-Geral do Estado

ANEXO DA INSTRUÇÃO NORMATIVACGE/GABNº 01/2021 ORIENTAÇÕES TÉCNICAS DA ATIVIDADE DE AUDITORIA INTERNA GOVERNAMENTAL DO PODER EXECUTIVO ESTADUAL

CAPÍTULO I - CONCEITOS, PROPÓSITO E ABRANGÊNCIA DA AUDITORIA INTERNA GOVERNAMENTAL

Seção I - Conceitos

1. Para fins desta Instrução Normativa, considera-se:
a) Abordagem sistemática e disciplinada: Relaciona-se à noção de que o trabalho de auditoria deve ser metodologicamente estruturado, baseado em normas e padrões técnicos e profissionais e estar suficientemente evidenciado.

b)Accountability: Trata-se do conjunto de procedimentos adotados pelas organizações públicas e pelos indivíduos que as integram que evidenciam sua responsabilidade por decisões tomadas e ações implementadas, incluindo a salvaguarda de recursos públicos, a imparcialidade e o desempenho das organizações.

c) Ações de Auditoria Interna Governamental: As ações de execução das atividades de avaliação, consultoria, apuração e avaliações para o cumprimento de determinações mandatórias.

d) Adição de valor: Relaciona-se à questão de que a Auditoria Interna Governamental deve considerar, no planejamento dos trabalhos, as estratégias, os objetivos, as metas da organização, os riscos a que os processos da Unidade Examinada estão sujeitos, além das expectativas dos destinatários dos trabalhos de auditoria, quais sejam: a Alta Administração, os gestores dos órgãos e das entidades públicas estaduais e a sociedade.

e) Apetite a risco: Quantidade de risco em nível amplo que uma organização está disposta a aceitar na busca de seus objetivos.

f) Atividade de Apuração: A atividade de Auditoria Interna Governamental desenvolvida por meio de fiscalização, que consiste na execução de procedimentos cuja finalidade é averiguar atos e fatos inquinados de ilegalidade ou de irregularidade praticados por agentes públicos ou privados, na utilização de recursos públicos estaduais.

g) Atividade ou serviço de avaliação: A atividade de Auditoria Interna Governamental que pode ser definida como a obtenção e a análise de evidências com o objetivo de fornecer opiniões ou conclusões independentes sobre um objeto de auditoria; exame objetivo de evidências com o propósito de fornecer para o órgão ou entidade uma avaliação independente sobre os processos de governança, gerenciamento de riscos e controle.

h) Atividade ou serviço de consultoria: A atividade de Auditoria Interna Governamental que consiste em assessoramento, aconselhamento e serviços relacionados, prestados em decorrência de ações de controle por solicitação específica do órgão ou entidade da Administração Pública Estadual, cuja natureza e escopo são acordados previamente e que se destinam a adicionar valor e a aperfeiçoar os processos de governança, de gerenciamento de riscos e a implementação de controles internos na organização.

i) Auditoria Interna Governamental (AIG): Uma atividade independente e objetiva de avaliação e de consultoria, desenhada para adicio- nar valor e melhorar as operações de uma organização, que deve buscar auxiliar as organizações públicas a realizarem seus objetivos a partir da aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de governança, de gerenciamento de riscos e de controles internos. Indivíduos que operam independentemente da gestão para oferecer avaliação e conhecimentos sobre a adequação e eficácia da governança e do gerenciamento de riscos (incluindo controle interno).

j) Conflito de Interesses: Qualquer relacionamento que não seja, ou aparenta não ser, no melhor interesse da Administração Pública. Um conflito de interesses prejudicaria a habilidade de um indivíduo desempenhar objetivamente suas obrigações e responsabilidades.

k) Conformidade: Aderência às políticas, planos, procedimentos, leis, regulamentações, contratos ou outros requerimentos.
l) Consulente: Secretários ou Subsecretários de Estado, responsáveis por demandar os serviços de consultoria.

m) Controle adequado/eficaz: Está presente se a administração o tenha planejado e organizado (desenhado) de maneira que forneça uma razoável segurança de que os riscos da organização tenham sido gerenciados eficazmente e de que as metas e objetivos da organização serão atingidos eficiente e economicamente. O controle adequado ou eficaz pode ser compreendido como o controle planejado e organizado (desenhado) de maneira que forneça uma razoável segurança de que os riscos da organização tenham sido gerenciados eficazmente e de que as metas e objetivos da organização serão atingidos eficiente e economicamente e que esteja funcionando como desenhado.

n) Controle: Qualquer ação tomada pela administração, conselho ou outras partes interessadas para gerenciar riscos e aumentar a probabilidade de que os objetivos e metas estabelecidos serão alcançados. A administração planeja, organiza e dirige a execução de ações suficientes para prover razoável certeza de que os objetivos e metas serão alcançados. Incluem a forma de organização, as políticas, sistemas, procedimentos, instruções, normas, comissões, planos de contas, previsões, orçamentos, cronogramas, reportes, registros, listas de verificações, métodos, dispositivos e auditoria interna.

o) Controles internos da gestão: Conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e informações, entre outros, operacionalizados de forma integrada pela direção e pelo corpo de servidores dos órgãos e entidades do Poder Executivo Estadual, destinados a enfrentar os riscos e fornecer segurança razoável de que, na consecução da missão da entidade, os seguintes objetivos gerais serão alcançados: execução ordenada, ética, econômica, eficiente e eficaz das operações; cumprimento das obrigações deaccountability; cumprimento das leis e regulamentos aplicáveis; e salvaguarda dos recursos para evitar perdas, mau uso e danos. O conceito de controles internos da gestão também pode ser compreendido como o processo conduzido pela direção e pelo corpo de servidores dos órgãos e entidades do Poder Executivo Estadual, desenvolvido para proporcionar segurança razoável com res- peito à realização dos objetivos relacionados à execução ordenada, ética, econômica, eficiente e eficaz das operações; ao cumprimento das obrigações deaccountability; e ao cumprimento das leis e regulamentos aplicáveis; e salvaguarda dos recursos para evitar perdas, mau uso e danos.

p) Facilitador: agente público indicado pelo órgão ou entidade do Poder Executivo Estadual responsável por facilitar as interlocuções no
âmbito do serviço de consultoria.

q) Fiscalização: Terminologia utilizada para classificar uma ação de controle orientada à avaliação de conformidade normativa, técnica e
operacional da atuação governamental, à apuração de falhas e irregularidades e ao cumprimento de determinação normativa mandatória.

r) Fraude: Quaisquer atos ilegais caracterizados por desonestidade, dis- simulação ou quebra de confiança. Estes atos não implicam no uso de ameaça de violência ou de força física. As fraudes são perpetradas por partes e organizações a fim de se obter dinheiro, propriedade ou serviços; para evitar pagamentos ou perda de serviços; ou para garantir vantagem pessoal ou em negócios.

s) Gerenciamento de Riscos: Trata-se do processo para identificar, analisar, avaliar, administrar e controlar potenciais eventos ou situações, para fornecer razoável certeza quanto ao alcance dos objetivos da organização e incrementar o processo de tomada de decisão com base em informações gerenciais preventivas.

t) Governança: Conjunto de mecanismos de liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar a gestão, com vistas à condução de políticas públicas e à prestação de serviços de interesse da sociedade. A governança de uma organização requer estruturas e processos apropriados que permitam a prestação de contas por parte do órgão de Governança (indivíduo ou grupo de indivíduos encarregados da governança e que têm responsabilidade final por todos os aspectos da organização) aos stakeholders quanto à supervisão organizacional através da integridade, liderança e transparência; ações (incluindo o gerenciamento de riscos) da gestão para atingir os objetivos da organização por meio da tomada de decisões baseada em riscos
e da aplicação de recursos. Avaliação e assessoria por uma função de auditoria interna independente, para oferecer clareza e confiança, além de promover e facilitar a melhoria contínua, por meio de investigação rigorosa e comunicação perspicaz.

u) Prejuízo à Independência: Liberdade de condições que ameaçam a capacidade da atividade de Auditoria Interna Governamental para cumprir suas responsabilidades de forma imparcial. Trata-se da capacidade da UAIG de desenvolver trabalhos de maneira imparcial, livre de interferências na determinação do escopo, na execução dos procedimentos, no julgamento profissional e na comunicação dos resultados.

v) Objetividade: Atitude mental imparcial que permite aos auditores internos executarem os trabalhos de auditoria de maneira a terem confiança no resultado de seu trabalho e que não seja feito nenhum comprometimento da qualidade. Trata-se de atuação de forma imparcial e isenta para evitar situações de conflito de interesses ou quaisquer outras que afetem sua objetividade, de fato ou na aparência, ou que comprometam seu julgamento profissional.

w) Objeto de auditoria: A informação, a condição ou a atividade que é mensurada ou avaliada com base nos critérios. Um objeto de auditoria apropriado é identificável e capaz de ser avaliado de forma consistente ou mensurado de acordo com critérios, tanto que pode ser submetido a procedimentos de auditoria para obtenção de evidência de auditoria suficiente e apropriada para dar suporte à opinião ou conclusão de auditoria.

x) Opinião do trabalho de auditoria: Classificação, conclusão e/ou outra descrição dos resultados de um trabalho de auditoria interna, relacionados aos aspectos contidos nos objetivos e no escopo do trabalho.

y) Processo de controle: Políticas, procedimentos (manuais e automatizados) e atividades que fazem parte da estrutura de controle, desenhados e operados para assegurar que os riscos sejam contidos dentro do nível que uma organização esteja disposta a aceitar. O processo de controle inclui: estabelecer padrões para que a operação seja controlada; medir o desempenho em relação aos padrões; examinar e analisar os desvios; tomar uma ação corretiva; reavaliar os padrões baseados na experiência.

z) Risco: Trata-se da possibilidade de ocorrência de um evento que venha a ter impacto no cumprimento dos objetivos, sendo medido em termos de impacto e de probabilidade.

aa) Servidores do Controle Interno (SCI): Os auditores internos do Poder Executivo Estadual de que trata a Lei nº 15.304 de 11 de agosto de 2004, os demais agentes públicos em exercício na Auditoria-Geral (AUGE) e nas Controladorias Setoriais, Seccionais e nas estatais, que atuam na atividade de Auditoria Interna Governamental.

bb) Sistema de Controle Interno: Diferente dos controles internos da gestão, o Sistema de Controle Interno refere-se ao conjunto de unidades técnicas articuladas a partir de um Órgão Central de coordenação geral das atividades de Auditoria Interna Governamental, orientadas para o desempenho das atribuições de controle interno indicados na Constituição e normatizados em cada nível de governo.

cc) Trabalho de auditoria: múltiplas tarefas ou atividades desenhadas para cumprir um grupo específico de objetivos relacionados ao processo de Auditoria Interna Governamental.

dd) Unidades de Auditoria Interna Governamental (UAIG): As unidades administrativas da CGE que compõem a Auditoria-Geral; as
unidades das Controladorias Setoriais e Seccionais (CSET/CSEC) no âmbito dos órgãos e entidades integrantes do Poder Executivo Estadual e as unidades de controle interno das empresas públicas e sociedade de economia mista que exercem atividade de Auditoria Interna Governamental.

ee) Unidade Examinada: Órgão ou entidade pública ou privada sobre a qual recaem os exames objeto de auditoria; órgão ou entidade do Poder Executivo Estadual para o qual uma determinada UAIG tem a responsabilidade de contribuir para o aperfeiçoamento dos processos de governança, de gerenciamento de riscos e de controles internos.

Seção II – Propósito

2. A atividade de AIG, por meio de suas ações, tem como propósito aumentar e proteger o valor organizacional das instituições públicas
estaduais, por meio de avaliação, consultoria, execução de trabalho de apuração e de determinações mandatórias.

3. A melhoria da gestão pública estadual perpassa pelo aprimoramento dos controles internos da gestão exercidos por meio de atividades, pla- nos, rotinas, métodos e procedimentos interligados, estabelecidos com vistas a garantir o atingimento dos objetivos institucionais de forma confiável e concreta, evidenciando eventuais desvios ao longo da ges- tão e a geração de informações preventivas e oportunas para subsidiar o processo decisório, com ênfase na gestão de riscos.

Seção III – Abrangência

4. A atividade de AIG é exercida pelos órgãos e entidades que com- põem o Sistema de Controle Interno do Poder Executivo dispostos
no art. 61 da Lei 23.304, de 30 de maio de 2019, incisos I, V, VI e VII, quais sejam: a CGE, como Órgão Central do sistema, diretamente
subordinada ao Governador do Estado; as CSET/CSEC, unidades de execução da CGE às quais se subordinam tecnicamente, e as unidades de controle interno de empresas públicas e sociedades de economia mista.

5. Os órgãos e entidades da Administração Pública Estadual devem atuar de forma regular e alinhada ao interesse público por meio de con- trole permanente sobre seus próprios atos, considerando o princípio da autotutela.

6. É responsabilidade da Alta Administração das organizações públicas, sem prejuízo das responsabilidades dos gestores dos processos organizacionais e das políticas públicas nos seus respectivos âmbitos de atuação, o estabelecimento, a manutenção, o monitoramento e o aperfeiçoamento dos controles internos da gestão.

7. A estrutura de controles internos da gestão dos órgãos e entidades do Poder Executivo Estadual deve contemplar o Órgão de Governança, a gestão e a AIG, de forma a promover uma atuação coordenada e eficiente, sem sobreposições ou lacunas, a colaboração e comunicação regulares e eficazes, e garantir o alcance dos objetivos da organização.

Subseção I - Estrutura dos controles internos da gestão

8. Na implementação dos controles internos da gestão, a Alta Administração e os servidores da organização deverão observar os componentes da estrutura de controles internos, a seguir descritos:

a) ambiente de controle: É a base de todos os controles internos da gestão, sendo formado pelo conjunto de regras e estrutura que determinam a qualidade dos controles internos da gestão. O ambiente de controle deve influenciar a forma pela qual se estabelecem as estratégias e os objetivos e na maneira como os procedimentos de controle interno são estruturados. Consideram-se como elementos do ambiente de controle os dispostos a seguir:

a.1) integridade pessoal e profissional e valores éticos assumidos pela direção e pelo quadro de servidores, incluindo inequívoca atitude de apoio à manutenção de adequados controles internos da gestão, durante todo o tempo e por toda a organização;

a.2) comprometimento para reunir, desenvolver e manter servidores competentes;

a.3) filosofia da direção e estilo gerencial, com clara assunção da responsabilidade de supervisionar os controles internos da gestão;

a.4) estrutura organizacional na qual estejam claramente atribuídas responsabilidades e delegação de autoridade, para que sejam alcançados os objetivos da organização ou das políticas públicas; e,

a.5) políticas e práticas de recursos humanos, especialmente a avaliação do desempenho e prestação de contas dos servidores pelas suas responsabilidades pelos controles internos da gestão da organização ou política pública;

b) avaliação de risco: É o processo permanente de identificação e análise dos riscos relevantes que impactam o alcance dos objetivos da organização e determina a resposta apropriada ao risco. Envolve iden- tificação, avaliação e resposta aos riscos, devendo ser um processo permanente;

c) atividades de controles internos: são atividades materiais e formais, como políticas, procedimentos, técnicas e ferramentas, implementadas pela gestão para diminuir os riscos e assegurar o alcance de objetivos organizacionais e de políticas públicas. Essas atividades podem ser preventivas (reduzem a ocorrência de eventos de risco) ou detectivas (possibilitam a identificação da ocorrência dos eventos de risco), implementadas de forma manual ou automatizada. As atividades de controles internos devem ser apropriadas, funcionar consistentemente de acordo com um plano de longo prazo, ter custo adequado, ser abrangentes, razoáveis e diretamente relacionadas aos objetivos de controle.

São exemplos de atividades de controles internos: procedimentos de autorização e aprovação; segregação de funções (autorização, execução, registro, controle); controles de acesso a recursos e registros; verificações; conciliações; avaliação de desempenho operacional; ava- liação das operações, dos processos e das atividades; supervisão; definição de responsabilidades; instruções formalizadas; rodízio de agentes públicos;

d) informação e comunicação: As informações produzidas pelo órgão ou entidade devem ser apropriadas, tempestivas, atuais, precisas e acessíveis, devendo ser identificadas, armazenadas e comunicadas de forma que, em determinado prazo, permitam que os funcionários e servidores cumpram suas responsabilidades, inclusive a de execução dos procedimentos de controle interno. A comunicação eficaz deve fluir para baixo, para cima e através da organização, por todos seus componentes e pela estrutura inteira. Todos os servidores e funcionários devem receber mensagem clara da Alta Administração sobre as responsabilidades de
cada agente no que concerne aos controles internos da gestão. A organização deve comunicar as informações necessárias ao alcance dos seus objetivos para todas as partes interessadas, independentemente no nível hierárquico em que se encontram;

e) monitoramento: É uma etapa do processo de gestão, que é obtido por meio de revisões específicas ou monitoramento contínuo, independente ou não, realizados sobre todos os demais componentes de controles internos, com o fim de aferir sua eficácia, eficiência, efetividade, economicidade, excelência ou execução na implementação dos seus componentes e corrigir tempestivamente as deficiências dos controles internos:

e.1) monitoramento contínuo: É realizado nas operações normais e de natureza contínua da organização. Inclui a administração e as atividades de supervisão e outras ações que os servidores executam ao cumprir suas responsabilidades. Abrange cada um dos componentes da estrutura do controle interno, fortalecendo os controles internos da gestão contra ações irregulares, antiéticas, antieconômicas, ineficientes e ineficazes. Pode ser realizado pela própria Administração por intermédio de instâncias de conformidade, como comitês específicos; e,

e.2) avaliações específicas: São realizadas com base em métodos e procedimentos predefinidos, cuja abrangência e frequência dependerão da avaliação de risco e da eficácia dos procedimentos de monitoramento contínuo. Abrangem, também, a avaliação realizada pelas unidades de controle interno para aferição da eficácia dos controles internos da gestão quanto ao alcance dos resultados desejados.

9. Os componentes de controles internos da gestão definem o enfoque recomendável para a estrutura de controles internos nos órgãos e entidades do setor público estadual e fornecem bases para sua avaliação. Esses componentes se aplicam a todos os aspectos operacionais de cada organização.

10. A estrutura de controle interno da gestão de órgão e entidades possui limitações à eficácia do controle interno, tanto de implementação quanto de funcionamento, não se podendo esperar uma segurança absoluta quanto ao seu efetivo alcance. As limitações consistem em:

a) Custo versus benefícios: O custo de controlar um risco não deve ser superior aos benefícios esperados do controle. Existem riscos que não são controlados devido ao alto custo que isso implicaria;

b) Erros de julgamento: A eficácia do controle interno sofre limitações das realidades da fraqueza humana, durante a tomada de decisões, que exige, na maioria das vezes, no julgamento humano nem sempre calcado em informações adequadas e suficientes para suportá-la;

c) Falhas e colapsos: Até controles bem desenhados estão sujeitos a falhas e colapsos. Pessoas podem não entender instruções ou interpretá-las de forma equivocada ou podem ainda cometer erros por fadiga, distração ou falta de cuidado (erros de execução). Erros no desenho do controle (erros de procedimentos) podem perpetuar falhas;

d) Conluio: Da mesma forma que as pessoas são responsáveis pelos controles, elas podem valer-se do seu conhecimento e/ou de suas competências para contorná-los com objetivos ilícitos. Servidores responsáveis por um controle podem, em conjunto com outros ou com terceiros, agir com vista a burlá-los e a fraudar registros e transações;

e) Burla de gestores: A ação intencional de gestores de descumprir procedimentos de controle estabelecidos a fim de obter benefícios pessoais é uma séria limitação ao controle interno que favorece fraude e corrupção nos órgãos ou entidades.

Subseção II – O modelo das três linhas do Instituto dos Auditores Internos

11. O Modelo de Três Linhas do Instituto dos Auditores Internos ajuda as organizações a identificar estruturas e processos que melhor auxiliam no atingimento dos objetivos e facilitam uma forte governança e gerenciamento de riscos, aplicável a todas as organizações. Não pretende denotar elementos estruturais, mas uma diferenciação útil de papéis dentro da organização.

12. O Modelo de Três Linhas tem como princípios:

a) a governança, que requer estruturas e processos apropriados que permitam:

a.1) a prestação de contas por parte do Órgão de Governança aos stakeholders quanto à supervisão organizacional através da integridade, liderança e transparência;

a.2) ações (incluindo o gerenciamento de riscos) da gestão para atingir os objetivos da organização por meio da tomada de decisões baseada em riscos e da aplicação de recursos; e,

a.3) avaliação e assessoria por uma função de auditoria interna independente, para oferecer clareza e confiança, além de promover e facilitar a melhoria contínua, por meio de investigação rigorosa e comunicação perspicaz.

b) a definição de papéis do Órgão de Governança, que garanta que estruturas e processos adequados estejam em vigor para uma governança eficaz e que os objetivos e atividades organizacionais estejam alinhados com os interesses priorizados dos stakeholders. O Órgão de Governança delega responsabilidades e oferece recursos à gestão para atingir os objetivos da organização, garantindo que as expectativas legais, regulatórias e éticas sejam atendidas e estabelece e supervisiona uma função de auditoria interna independente, objetiva e competente para oferecer clareza e confiança no progresso em direção ao atingimento dos objetivos.

c) a definição de papéis da primeira e segunda linhas da gestão, que podem ser combinados ou separados, para atingir os objetivos
organizacionais:

c.1) os papéis de primeira linha estão mais diretamente alinhados com a entrega de produtos e/ou serviços aos clientes da organização,
incluindo funções de apoio. Contempla a responsabilidade pelo gerenciamento de riscos.

c.2) os papéis de segunda linha fornecem assistência no gerenciamento de riscos. Alguns papéis de segunda linha podem ser atribuídos a especialistas, para fornecer conhecimentos complementares, apoio, monitoramento e questionamento àqueles com papéis de primeira linha. Os papéis de segunda linha podem se concentrar em objetivos específicos do gerenciamento de riscos, como: conformidade com leis, regulamentos e comportamento ético aceitável; controle interno; segurança da informação e tecnologia; sustentabilidade; e avaliação da qualidade.

Como alternativa, os papéis de segunda linha podem abranger uma responsabilidade mais ampla pelo gerenciamento de riscos, como o gerenciamento de riscos corporativos. No entanto, a responsabilidade pelo gerenciamento de riscos segue fazendo parte dos papéis de primeira linha e dentro do escopo da gestão;

c.3) a definição dos papéis da terceira linha, que presta avaliação e assessoria independentes e objetivas sobre a adequação e eficácia da governança e do gerenciamento de riscos. Isso é feito através da aplicação competente de processos sistemáticos e disciplinados, expertise e conhecimentos. Ela reporta suas descobertas à gestão e ao Órgão de Governança para promover e facilitar a melhoria contínua. Ao fazê-lo, pode considerar a avaliação de outros prestadores internos e externos.

d) a garantia de independência da terceira linha, em relação a responsabilidades da gestão, que é fundamental para a objetividade, autoridade e credibilidade da AIG. É estabelecida por meio de prestação de contas ao Órgão de Governança, do acesso irrestrito a pessoas, de recursos e dados necessários para concluir seu trabalho e de liberdade de viés ou interferência no planejamento e prestação de serviços de auditoria.

e) a criação e proteção do valor organizacional, todos os papéis que trabalham juntos contribuem coletivamente para a criação e proteção de valor quando estão alinhados entre si e com os interesses priorizados dosstakeholders. O alinhamento das atividades é feito através da comunicação, cooperação e colaboração. Isso garante a confiabilidade, coerência e transparência das informações necessárias para a tomada de decisões baseada em riscos.

13. O Órgão de Governança possui os seguintes papéis: aceita prestação de contas pela supervisão da organização perante osstakeholders; envolve os stakeholders, para monitorar seus interesses e se comunicar de forma transparente sobre o atingimento dos objetivos; cultiva uma cultura que promove comportamento ético e responsabilidade; estabe- lece estruturas e processos para governança, incluindo comitês auxiliares, conforme necessário; delega responsabilidades e oferece recursos à gestão para atingir os objetivos da organização; determina o apetite organizacional a riscos e exerce a supervisão do gerenciamento de riscos (incluindo controle interno); mantém a supervisão da conformi- dade com as expectativas legais, regulatórias e éticas; e, estabelece e
supervisiona uma função de auditoria interna independente, objetiva e competente.

14. A gestão possui os seguintes papéis da primeira linha: liderar e dirigir ações (incluindo gerenciamento de riscos) e aplicação de recursos para atingir os objetivos da organização; manter um diálogo contínuo com o Órgão de Governança e reportar resultados planejados, reais e esperados, vinculados aos objetivos da organização, e riscos; estabelecer e manter estruturas e processos apropriados para o gerenciamento de operações e riscos (incluindo controle interno); e, garantir a conformidade com as expectativas legais, regulatórias e éticas.

15. A gestão possui os seguintes papéis de segunda linha: fornecer expertise complementar, apoio, monitoramento e questionamento quanto ao gerenciamento de riscos, incluindo o Desenvolvimento, implantação e melhoria contínua das práticas de gerenciamento de riscos (incluindo controle interno) nos níveis de processo, sistemas e entidade; o atingimento dos objetivos de gerenciamento de riscos, como o de conformidade com leis, regulamentos e comportamento ético aceitável, o controle interno, a segurança da informação e tecnologia, a sustentabilidade e a avaliação da qualidade; e, fornecer análises e reportar sobre a adequação e eficácia do gerenciamento de riscos (incluindo controle interno).

16. A AIG, como terceira linha, que executa ações por meio das ativi- dades de avaliação e de consultoria, apuração e cumprimento de determinações mandatórias com base nos pressupostos de autonomia técnica e de objetividade, possui os seguintes papéis: mantém a prestação de contas primária perante o Órgão de Governança e a independência das responsabilidades da gestão; comunica avaliação e assessoria independentes e objetivas à gestão e ao Órgão de Governança sobre a adequação e eficácia da governança e do gerenciamento de riscos (incluindo controle interno), para apoiar o atingimento dos objetivos organizacionais e promover e facilitar a melhoria contínua; e, reporta ao Órgão de Governança prejuízos à independência e objetividade e implanta salvaguardas conforme necessário.

17. A atividade de AIG deve ser desempenhada com o propósito de contribuir para o aprimoramento das políticas públicas e a atuação
das organizações que as gerenciam, sendo os destinatários das ações os órgão e entidade da Administração Pública Estadual para o qual uma determinada unidade de auditoria interna tem a responsabilidade de contribuir para aperfeiçoamento dos processos de governança, de gerenciamento de riscos e de controles internos.

18. As responsabilidades da terceira linha incluem, majoritariamente: a eficiência e a eficácia das operações; a salvaguarda de ativos; a confiabilidade e a integridade dos processos de reporte; e a conformidade com leis, regulamentos, políticas, procedimentos e contratos; os elementos da estrutura de gerenciamento de riscos e controle interno, que inclui: o ambiente de controle interno; os elementos da estrutura de gerenciamento de riscos da organização (identificação de riscos, avaliação de riscos e resposta); informação e comunicação; e monitoramento; e, a estrutura e funções do órgão ou entidade como um todo, incluindo os processos do negócio ou processos-chave, assim como funções de suporte como contabilidade, recursos humanos, compras, folha de pagamento, orçamentos, gestão de infraestrutura e ativos, inventário e tecnologia da informação.

19. Os prestadores externos de serviços de avaliação prestam avaliação adicional para a gestão com o papel de cumprir com as expectativas legislativas e regulatórias que servem para proteger os interesses dosstakeholderse atender aos pedidos da gestão e do Órgão de Governança para complementar as fontes internas de avaliação.

20. No relacionamento entre o Órgão de Governança e a gestão o Órgão de Governança normalmente determina a direção da organização, definindo a visão, missão, valores e apetite organizacional a riscos e delega a responsabilidade pelo atingimento dos objetivos da organização à gestão, juntamente com os recursos necessários. O Órgão de Governança, por sua vez, recebe relatórios da gestão sobre os resultados planejados, reais e esperados, bem como relatórios sobre riscos e gerenciamento de riscos.

21. No relacionamento entre a gestão (papéis de primeira e segunda linhas) e a AIG, a independência da AIG em relação à gestão garante que esteja livre de impedimentos e parcialidade no planejamento e execução de seu trabalho, desfrutando de acesso irrestrito às pessoas, recursos e informações de que necessita. Presta contas perante o Órgão de Governança e sua independência não implica em isolamento. Deve haver interação regular entre a AIG e a gestão, para garantir que o trabalho da auditoria interna seja relevante e esteja alinhado às necessidades estratégicas e operacionais da organização. Em todas as suas atividades, a AIG constrói seu conhecimento e entendimento da organização, o que contribui para a avaliação e assessoria que oferece como conse- lheira confiável e parceira estratégica. São necessárias colaboração e comunicação entre os papéis de primeira e segunda linha da gestão e
AIG, para garantir que não haja duplicação, sobreposição ou lacunas desnecessárias.

22. No relacionamento entre a AIG e o Órgão de Governança, a auditoria interna é responsável e, às vezes, descrita como sendo os “olhos e ouvidos” do Órgão de Governança. O Órgão de Governança é res- ponsável pela supervisão da auditoria interna, que exige: garantir que uma função independente de auditoria interna seja estabelecida; servir como a principal linha de reporte do titular da UAIG; aprovar e for- necer recursos ao plano de auditoria; receber e considerar relatórios do titular da UAIG; e possibilitar o livre acesso do corpo técnico da UAIG ao Órgão de Governança, incluindo sessões privadas sem a presença da gestão.

23. No relacionamento entre todos os papéis, o Órgão de Governança, a gestão e a AIG têm responsabilidades distintas, mas todas as atividades precisam estar alinhadas com os objetivos da organização.

CAPÍTULO II - ARTICULAÇÃO INSTITUCIONAL

Seção I - Controladorias Setoriais e Seccionais

24. As CSET/CSEC são unidades de execução da CGE, à qual se subordinam tecnicamente, devendo observar, no que tange às ativida- des de AIG, as orientações técnicas contidas nesta Instrução Normativa e às orientações da AUGE em relação à sistematização e a padronização dos procedimentos das ações, bem como atender as demandas que lhes forem dirigidas, com destaque para:

a) realização de ações de controle demandadas pela AUGE;

b) acompanhamento do cumprimento das recomendações consignadas nos relatórios de auditoria e de outras demandas oriundas da AUGE;

c) apoio à implantação da gestão de riscos e o aprimoramento da estrutura de controles primários no respectivo órgão;

d) avaliação da governança, o controle interno e o gerenciamento de riscos do órgão ou entidade em que atua; observância da normatização, a sistematização e a padronização dos procedimentos das ações de AIG;

e) realização de trabalhos de auditoria baseada em risco em nível de atividades, operações, processos, produtos ou sistemas específicos, e de consultoria à gestão;

f) realização de ações de controle de apuração e para cumprimento de determinação normativa mandatória, em apoio à AUGE;

g) realização de acompanhamento dos processos de gestão, com o objetivo de atuar, em tempo real, sobre os atos e os efeitos potenciais positivos e negativos no órgão ou entidade, evidenciando melhorias e economias existentes no processo de gestão ou prevenindo gargalos;

h) elaboração do planejamento de ações de AIG com base em riscos;

i) elaboração de relato sobre as atividades de auditoria interna para o Dirigente Máximo do órgão ou entidade e para o Conselho, se houver;

j) participação nas capacitações e reuniões promovidas pela CGE;

k) participação de ações de auditoria compartilhas, integradas ou complementares, quando demandada e desde que operacional e tecnicamente viável.

25. A Assessoria de Harmonização das Controladorias Setoriais e Sec- cionais monitorará, sob o enfoque administrativo, as ações de controle de AIG das CSET/CSEC, em auxílio à AUGE.

26. Os Superintendentes da AUGE realizarão o monitoramento sob o enfoque técnico das ações de controle de AIG das CSET/CSEC.

27. O monitoramento deverá garantir a geração de informações estratégicas para o aperfeiçoamento da estrutura, processos, servidores, tecnologia, recursos financeiros e eficácia das ações de AIG do Poder Executivo Estadual.

28. A AUGE poderá articular com os órgãos e entidades a disponi- bilização de profissional especializado para participar, como prestador de serviços de avaliação técnica-especializada, de trabalho de auditoria específico.

29. A formalização da atuação conjunta com as CSET/CSEC será realizada por meio de Ordem de Serviço de competência do titular da Auditoria-Geral ou Superintendentes.

Seção II - Atuação da AUGE com as Controladorias Setoriais e Seccionais e Órgãos de Controle Externo

30. As ações de AIG podem ser executadas de forma independente ou de forma integrada, desde que tecnicamente viável, por meio de atuação harmônica e sinergética, e terá como finalidade otimizar os resultados das ações e eliminar a duplicidade de esforços e de trabalhos por meio das seguintes modalidades: compartilhada: planejamento, execução, comunicação dos resultados ou o monitoramento feitos em conjunto; complementar: planejamento, execução, comunicação dos resultados ou o monitoramento feitos em separado, porém como o objetivo de fornecer um serviço de avaliação sob perspectiva distinta do trabalho realizado pelo órgão de Controle Interno e Externo parceiro.

31. Está incluído na atuação integrada o apoio ao controle externo disposto na Constituição da República Federativa do Brasil e na Constituição do Estado de Minas Gerais.

32. A formalização da atuação conjunta com as CSET/CSEC será realizada por meio de Ordem de Serviço de competência do titular da Auditoria-Geral ou Superintendentes.

33. A orientação técnica da Auditoria-Geral para as CSET/CSEC será realizada por meio de Plano de Trabalho expedido pelo Diretor da área técnica pertinente.

34. A formalização da atuação conjunta com os Órgãos de Controle Externo será realizada por meio de Plano de Trabalho assinado pelo
Auditor-Geral e o responsável técnico da área de Controle Externo, a partir do Termo de Parceria celebrado entre a CGE e o Órgão de Controle Externo.

Seção III - Proposição de Representações

35. A AUGE deverá propor ao titular da CGE representação ao Tribunal de Contas do Estado de Minas Gerais (TCEMG), bem como ao
Ministério Público do Estado de Minas Gerais (MPMG), à Polícia Civil do Estado de Minas Gerais (PCMG) e à Advocacia-Geral do Estado (AGE), em situação passível de configurar improbidade administrativa, a indisponibilidade de bens, o ressarcimento ao erário e outras providências a cargo desses órgãos.

36. A representação pode ocorrer quando forem constatadas irregularidades graves, cujas medidas saneadoras/mitigadoras não foram adotadas pelo órgão/entidade ou, ainda, no caso de inação ou morosidade na adoção de providências saneadoras sugeridas nos relatos das ações de controle que justifiquem a atuação dos órgãos de que trata o artigo anterior. Para tanto, a AUGE deve se articular com os órgãos e entidades para a adoção das providências administrativas necessárias, caso seja possível, antes da proposição de representação ao titular da CGE.

37. A proposta de representação das CSET/CSEC será enviada à AUGE para análise e proposição das medidas necessárias a partir do
caso concreto, com a finalidade de subsidiar a tomada de decisão do titular da CGE.

CAPÍTULO III - REQUISITOS ÉTICOS
38. Os requisitos éticos, que representam valores aceitáveis e esperados em relação à conduta dos Servidores do Controle Interno e visam promover uma cultura ética e íntegra em relação à prática da atividade de auditoria interna, são os seguintes:

a) Integridade, considerando-se que os servidores do controle interno devem servir ao interesse público e honrar a confiança pública, executando seus trabalhos com honestidade, diligência e responsabilidade, contribuindo para o alcance dos objetivos legítimos e éticos da Unidade Examinada. Devem ainda os SCI evitar quaisquer condutas que possam comprometer a confiança em relação ao seu trabalho e renunciar a quaisquer práticas ilegais ou que possam desacreditar a sua função, o órgão ou entidade em que atuam em ou a própria atividade de Auditoria Interna Governamental;

b) Autonomia técnica, que permite a realização de atividade de Auditoria Interna Governamental livre de interferências na determinação do escopo, na execução dos procedimentos, no julgamento profissional e na comunicação dos resultados;

c) Objetividade, necessária para atuação dos SCI de forma imparcial e isenta, que permite evitar situações de conflito de interesses ou quaisquer outras que afetem sua objetividade, de fato ou na aparência, ou comprometam seu julgamento profissional;

d) Sigilo Profissional, considerando-se que as informações e recursos públicos somente devem ser utilizados para fins oficiais, sendo vedada e capaz de comprometer a credibilidade da atividade de auditoria interna a utilização de informações relevantes ou potencialmente relevantes, obtidas em decorrência dos trabalhos, em benefício de interesses pessoais, familiares ou de organizações pelas quais o auditor tenha qualquer interesse. Para tanto, é necessário que o SCI mantenha o sigilo e aja com cuidado em relação a dados e informações obtidos em decorrência do exercício de suas funções; que ao longo da execução dos trabalhos, o sigilo seja mantido mesmo que as informações não estejam diretamente relacionadas ao seu escopo; que não se divulgue informações relativas aos trabalhos desenvolvidos ou a serem realizados ou repassálas a terceiros sem prévia anuência da autoridade competente e que as
comunicações sobre os trabalhos de auditoria sejam sempre realizadas em nível institucional e contemplem todos os fatos materiais de conhecimento do SCI que, caso não divulgados, possam distorcer o relatório apresentado sobre as atividades objeto da avaliação;

e) Proficiência, entendida como a capacidade dos SCI realizarem os trabalhos para os quais foram designados, devendo os mesmos possuir e manter o conhecimento, as habilidades e outras competências neces- sárias ao desempenho de suas responsabilidades individuais, dentre eles conhecimentos suficientes sobre técnicas de auditoria; identificação e mitigação de riscos; conhecimento das normas aplicáveis; entendi- mento das operações da Unidade Examinada; compreensão e experiência acerca da auditoria a ser realizada; e habilidade para exercer o julgamento profissional devido;

f) Zelo profissional, entendido como a atitude esperada dos SCI na condução dos trabalhos e nos resultados obtidos, e aplicável a todas as etapas dos trabalhos de avaliação e de consultoria. Os SCI devem, para tanto, deter as habilidades necessárias e adotar o cuidado esperado de um profissional prudente e competente, mantendo postura de ceticismo profissional; agir com atenção; demonstrar diligência e responsabilidade no desempenho das tarefas a ele atribuídas, de modo a reduzir ao mínimo a possibilidade de erros; e buscar atuar de maneira precipuamente preventiva.

CAPÍTULO IV - ATIVIDADES DE AUDITORIA INTERNA GOVERNAMENTAL

39. A Auditoria Interna Governamental deverá adicionar valor e melhorar as operações das organizações para o alcance de seus obje- tivos, mediante a abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gerenciamento de riscos, dos controles e da governança, por meio da:

a) realização de trabalhos de avaliação e consultoria de forma indepen- dente, segundo os padrões de auditoria e ética profissional reconhecidos internacionalmente;

b) adoção de abordagem baseada em risco para o planejamento de suas atividades e para a definição do escopo, da natureza, da época e da extensão dos procedimentos de auditoria; e

c) promoção à prevenção, à detecção e à investigação de fraudes praticadas por agentes públicos ou privados na utilização de recursos públicos estaduais.

40. As ações de Auditoria Interna Governamental consistem na execução das atividades de avaliação, consultoria, apuração e cumprimento de determinações mandatórias.

Seção I - Avaliação
41. A avaliação consiste na atividade de AIG que pode ser definida como a obtenção e a análise de evidências com o objetivo de fornecer opiniões ou conclusões independentes sobre um objeto de auditoria.

42. A avaliação consiste em relacionar uma situação, conjunto de circunstâncias ou processo a padrões determinados ou sintetizados. A avaliação resulta, geralmente, da análise e da síntese, assim definidas: a) A análise resulta em um entendimento de uma situação, um conjunto de circunstâncias ou processo. É um meio de compreender um conjunto por meio do estudo das suas partes e as suas relações com o outro e com o todo. Exige raciocínio dedutivo, que consiste em chegar a uma conclusão sobre especificidades que, necessariamente, resulta de premissas gerais;

b) A síntese envolve o desenvolvimento de padrões e generalizações para uma situação, um conjunto de circunstâncias ou um processo. Trata-se de um meio de combinação de componentes ou partes individuais para produzir um todo. Requer raciocínio indutivo, que consiste em chegar a uma conclusão generalizada de casos particulares.

43. As características do objeto de auditoria, bem como os objetivos
e a delimitação do escopo do trabalho são determinantes para a definição do tipo de avaliação que será realizado. Tradicionalmente, são classificados três tipos básicos: a Financeira, a de Conformidade e a Operacional.

44. O trabalho de avaliação realizado pela UAIG deve buscar fomentar os processos de governança, de gerenciamento de riscos e de controles internos relativos ao objeto e à Unidade Examinada, os quais mantêm forte relação entre si:

a) quanto à avaliação de governança, a UAIG deve atuar sobre a gover- nança avaliando se esta atinge seus objetivos, tais como: promoção da ética e de valores; gerenciamento do desempenho organizacional eaccountability; comunicação sobre riscos e controles aos demais atores da Unidade Examinada; e coordenação das atividades e comunicação das informações entre o conselho, se houver, os auditores externos e internos e a Administração;

b) quanto à avaliação do gerenciamento de riscos, a UAIG deve atuar avaliando questões relacionadas aos seguintes aspectos, não exausti- vos: se os riscos significativos são identificados e avaliados; se as respostas aos riscos são estabelecidas de forma compatível com o apetite a risco da Unidade Examinada e se as informações sobre riscos relevan- tes são coletadas e comunicadas de forma oportuna, permitindo que os responsáveis cumpram com as suas obrigações. Deve-se, ainda, buscar identificar potenciais riscos de fraude e verificar se a organização possui controles para tratamento desses riscos;

c) quanto à avaliação dos controles internos da gestão, a avaliação deve considerar os seguintes componentes: ambiente de controle, avaliação de riscos, atividades de controle, informação e comunicação e atividades de monitoramento. Deve-se também verificar se os controles são existentes e adequados na mitigação dos riscos a eles associados, considerando como atua a Alta Administração na sua prerrogativa de responsável pela implementação de controles e posterior supervisão do seu funcionamento. A avaliação sobre os controles deve contemplar o alcance dos objetivos estratégicos; a confiabilidade e a integridade das informações; a salvaguarda de ativos e aspectos de conformidade com leis e regulamentos, entre outros.

Seção II – Consultoria

45. Os serviços de consultoria compreendem atividades de assessora- mento à Alta Administração, sendo requisito das solicitações dos referidos serviços a delimitação prévia do escopo e a natureza estratégica do trabalho em relação aos processos de governança, de gerenciamento de riscos e de controles internos, desde que condizentes com os valores, as estratégias e os objetivos do Estado, resguardada a independência e objetividade da função de AIG, sem que ela assuma responsabilidade pelas decisões decorrentes adotadas. Trata-se de um trabalho em que a UAIG atua em parceria com a unidade administrativa-cliente para oferecer soluções para o aprimoramento dos processos de governança, gestão de riscos e de controles internos. A responsabilidade de implementar ou não o aconselhamento da UAIG é da Administração.

46. Diferentemente da atividade de avaliação que orienta “o que fazer”, na consultoria a atividade oferecer o serviço de “como fazer”, ou um treinamento ou outro tipo de suporte.

47. A UAIG deve determinar a metodologia a ser usada para classificar o trabalho a ser realizado, podendo ser apropriado conduzir um trabalho misto, que incorpore elementos das atividades de consultoria e avaliação, em uma abordagem consolidada, ou ser apropriado distinguir os componentes de avaliação e consultoria do trabalho.

48. A UAIG pode realizar serviços de consultoria como parte de suas atividades normais ou rotineiras, bem como em resposta à solicitação da gestão, não sendo permitida sua participação no curso regular dos processos administrativos em geral ou a realização de atos que configurem atos de gestão. Para tanto, observar as diferenças conceituais entre controle interno e auditoria interna dispostos no item 1, alíneas “i” e “o” e avalie o objeto da solicitação de consultoria.

49. Ao prestar serviços de consultoria, o auditor não pode assumir responsabilidades que são próprias dos gestores ou da Unidade
Examinada.

50. Os tipos de trabalhos de consultoria, para aprimoramento da governança, gestão de riscos e controles internos, são:

a) assessoramento: o auditor presta serviço, a partir de uma solicitação da administração para aprimorar o processo de gestão de riscos
do órgão e entidade, por exemplo. A UAIG avalia o pedido e o aprova ou não, considerando a pertinência, a adequação e a capacidade da UAIG. Se aprovado, é incluindo no Plano Anual de Auditoria Interna (PAINT), a equipe executa o trabalho no período programado e apresenta os resultados. Essa consultoria é a mais complexa e que produz resultados mais abrangentes e estruturadores para o órgão ou entidade. Não deve ser confundida com outras assessorias prestadas por outras unidades administrativa da organização. Exemplos: Assessoria para implementação do Plano de Riscos de Governança de Tecnologia da Informação, em que podem ser gerados vários produtos pela auditoria como: um repasse de conhecimento, um mapeamento de processo, uma cartilha, entre outros.

b) facilitação: o auditor atua com o objetivo de facilitar um processo de discussão (consultoria facilitadora), sem que o auditor assuma responsabilidade da Administração. Trata-se de uma atividade corriqueira que as UAIG já realizam. A solicitação por parte da gestão pode ocorre por meio de convite. O titular da UAIG deve participar e contribuir, conforme apropriado, nos principais comitês, comissões e fóruns gerenciais, e incentivar a participação da equipe de auditoria nos principais comitês/reuniões do seu órgão/entidade. A participação da UAIG é sempre como consultor e nunca com poder de voto. Exemplos: participação do auditor em um comitê ou mesa de discussões sobre assuntos estratégicos (o resultado pode constar em ata, com registro de que a atuação do auditor ocorreu de forma consultiva ou em documento que registre a realização do evento, caso seja necessário); atuação como um facilitador em um processo de autoavaliação, por parte da gestão, rela- cionado à governança e controles internos; atuação como um facilitador no processo de avaliação da gestão de riscos. Exemplo de comitês e comissões das quais o servidor da UAIG não deve participar: comissão de sindicância; comissão de processo administrativo disciplinar; comis- são permanente de licitação; comissão de inventário; entre outras.

c) treinamento: o auditor atua como replicador/repassador de infor- mações e conhecimentos (instrutor; palestrantes) relacionados à governança, gestão de riscos e controles internos. A solicitação pode ocorrer por meio de solicitação, por parte da gestão, ou de oferecimento do serviço por parte da UAIG. Nessa consultoria, o auditor também pode orientar a administração, sem que, necessariamente, haja uma solicitação formal para isso, como a elaboração, publicação e divulgação de informativos, cartilhas, referenciais, entre outros, por e-mail, acesso a plataforma, forma impressa ou digital, ou qualquer outro meio, visando
alertá-la sobre questões ligadas à governança, gestão de riscos e controles internos. A UAIG pode decidir por si mesma expedir orientações, até mesmo com base em solicitação por parte da gestão.

51. Ao analisar a solicitação de serviços de consultoria, a UAIG deve avaliar o potencial de contribuição dos resultados desses trabalhos para a melhoria dos processos de governança, de gerenciamento de riscos e de controles internos, assim como o custo dos serviços de consulto- ria em relação aos benefícios esperados. É importante considerar que a percepção de melhoria não pode ser apenas a partir da percepção do auditor, mas, principalmente, do ponto de vista do gestor.

52. A UAIG deve considerar e ponderar os seguintes critérios, para subsidiar a decisão de aceitar um trabalho de consultoria:

a) necessidade da gestão, incluindo a natureza, o momento e a comunicação dos resultados do trabalho;

b) possíveis motivações e razões de quem solicita o serviço;

c) extensão do trabalho necessária para atingir os objetivos da consultoria;

d) efeito sobre o escopo do plano de auditoria aprovado;

e) potencial impacto sobre as atribuições e trabalhos de auditoria futuros;

f) potenciais benefícios organizacionais que virão do trabalho de consultoria.

53. Para avaliação dos critérios estabelecidos no item anterior, a UAIG deverá:

a) realizar reuniões e reunir as informações necessárias para avaliar a natureza e a extensão do serviço a ser prestado;

b) confirmar que aqueles que recebem o serviço entendem e concordam com as diretrizes estabelecidas nesta Instrução Normativa para prestação de serviços de consultoria e com as demais normas e procedimentos da atividade de auditoria interna;

c) avaliar o trabalho de consultoria quanto à compatibilidade com o plano anual de auditoria interna;

d) documentar termos gerais, entendimentos, produtos e outros fatores principais do trabalho formal de consultoria, para que aqueles que receberem o trabalho de consultoria tenham entendido e concordado com os requisitos de comunicação e reporte do trabalho.

54. Serão recusados serviços de consultoria que tratem, exclusivamente, sobre a interpretação de normas legais ou que não atendam ou entrem em conflito com as normas de Auditoria Interna Governamental ou não agreguem valor ou não promovam os melhores interesses do órgão/entidade.

55. A UAIG deve implantar controles para reduzir as possíveis ame- aças à independência e à imparcialidade do auditor enfrentadas pela consultoria, que podem incluir as seguintes:

a) selecionar projetos de consultoria, com limites para trabalhos que ameacem a imparcialidade, a partir das diretrizes desta Instrução Normativa;

b) segregação das funções de avaliação e consultoria;

c) rodízio de auditores;

d) divulgação expressa no relatório de auditoria, quando a imparcia- lidade for prejudicada pela participação em um projeto de consultoria anterior.

56. A UAIG deve considerar, para elaboração do PACI, os conheci- mentos adquiridos em decorrência dos serviços de consultoria realizados sobre os processos de governança, do gerenciamento de riscos e de controles internos da gestão.

57. Para a realização dos serviços de consultoria (especialmente item 50, alínea “a”) a UAIG deve estabelecer o prévio entendimento com a Alta Administração acerca dos serviços de consultoria a serem presta- dos visando abranger o objetivo, o escopo, os prazos, as expectativas das partes, as responsabilidades das partes, a forma de comunicação e a forma de monitoramento de eventuais recomendações.

58. A Unidade Examinada deve indicar um servidor como facilitador da interlocução no âmbito do serviço de consultoria, visando colaborar com o andamento e com o atingimento dos resultados esperados.

59. Eventuais restrições quanto ao escopo ou riscos significativos aos resultados dos serviços de consultoria devem ser avaliadas com a Alta Administração e/ou com a AUGE para determinar a continuidade ou reorientação do trabalho.

60. Os serviços de consultoria basear-se-ão em métodos e referenciais específicos de análise, adequados ao objeto, à natureza, ao escopo e às expectativas das partes, aplicando elementos da metodologia utilizada nos trabalhos de auditoria, no que couber.

61. Nos serviços de consultoria, a equipe de trabalho poderá incluir servidores da Unidade Examinada, detentores de conhecimentos rele- vantes para o resultado do trabalho.

62. Os treinamentos relativos aos serviços de consultoria devem estar alinhados ao objeto da consultoria e às necessidades de aperfeiçoamento dos processos de governança, de gerenciamento de riscos e de controles internos.

63. Na realização dos serviços de consultoria, a UAIG deve priori- zar questões estruturantes relacionadas aos processos de governança, gerenciamento de riscos e controles internos, aliadas ao fortalecimento da primeira e segunda linhas de defesa.

64. A primeira linha de defesa é responsável por identificar, avaliar, controlar e mitigar os riscos, guiando o desenvolvimento e a implementação de políticas e procedimentos internos destinados a garantir que as atividades sejam realizadas de acordo com as metas e objetivos da organização, ou seja, contempla os controles internos da gestão, que devem ser instituídos e mantidos pelos gestores responsáveis pela implementação das políticas públicas durante a execução de atividades e tarefas, no âmbito de seus macroprocessos finalísticos e de apoio.

65. As instâncias de segunda linha de defesa estão situadas ao nível da gestão e objetivam assegurar que as atividades realizadas pela primeira linha sejam desenvolvidas e executadas de forma apropriada, e são destinadas a apoiar o desenvolvimento dos controles internos da gestão e realizar atividades de supervisão e de monitoramento das atividades desenvolvidas no âmbito da primeira linha de defesa, que incluem gerenciamento de riscos, conformidade, verificação de qualidade, controle financeiro, orientação e treinamento.

66. A terceira linha de defesa é representada pela atividade de Auditoria Interna Governamental, que executa ações por meio das atividades de avaliação e de consultoria, apuração e cumprimento de determinações mandatórias com base nos pressupostos de autonomia técnica e de objetividade.

67. A UAIG poderá emitir recomendações, tanto por meio de notas de auditoria – consultoria emitidas no decorrer do trabalho quanto no
relatório final, que serão monitoradas, ou sugestões caso identificadas oportunidades de melhorias.

68. Nota de Auditoria (consultoria): é o documento por meio do qual a UAIG, durante o processo de auditoria em curso (fase de execução), utiliza para informar ao dirigente máximo da Unidade Examinada sobre o achado de falhas, contendo as recomendações para saná-las, ou ainda, para informar acerca de fatos ou situações identificadas no trabalho de auditoria e que requeiram pronta ação do órgão ou entidade ou para informá-lo sobre avaliação de risco críticos para a gestão; para inviabilidade de execução de auditoria. A sua estrutura é composta do Número do projeto de auditoria cadastrado no sistema e-aud, Destinatário, Referência, Análise e Conclusão.

69. A UAIG deve consolidar o resultado das análises em Relatório de Consultoria.

70. A UAIG deve apresentar o documento final de consultoria à Alta Administração, podendo comunicar, ao longo dos trabalhos e por meio de Nota de Auditoria - Consultoria, pontos significativos ou oportunidades de melhoria identificados.

71. Exposições substanciais a riscos ou deficiências materiais de controle devem ser reportadas à gestão por meio de Notas de Auditoria – Consultoria no decorrer do trabalho.

72. A disponibilização a outras partes interessadas do documento final e dos demais documentos produzidos pela consultoria sujeitam-se aos regulares procedimentos de classificação, de proteção e de divulgação de informação sigilosa, conforme legislação aplicável.

73. A forma de monitoramento de eventuais recomendações deve ser pactuada previamente entre a UAIG e a Alta Administração, bem como fatores julgados relevantes, a exemplo da adequação da forma de monitoramento em relação aos resultados esperados, do interesse estratégico na implementação das melhorias, dos riscos decorrentes do não atendimento da recomendação e da capacidade operacional das equipes.

74. O monitoramento das recomendações priorizará o atingimento tempestivo dos resultados esperados, podendo ser realizado de forma compartilhada pela UAIG e as demais linhas de defesa, desde que não haja impactos à segregação de funções, assim como possíveis prejuízos a eventuais avaliações de efetividade realizadas pela UAIG.

75. O acompanhamento das recomendações deve ser finalizado mediante a apresentação de evidências do atingimento dos resultados
esperados, do atendimento da recomendação pelo gestor ou de sua expressa manifestação assumindo os riscos do não atendimento.

76. Caso o acompanhamento das recomendações se prolongue por mais de 1 (um) ano, o titular da UAIG deve comunicar formalmente
à Alta Administração para que se posicione definitivamente sobre as providências adotadas, decorridos 30 dias da comunicação, o monito- ramento será encerrado.

Seção III - Apuração
Subseção I - Recebimento de denúncias e representações

77. A apuração de notícias de irregularidades encaminhados à AUGE como denúncias ou representação será efetuada com o apoio das CSET/ CSEC, conforme previsto art. 16, § 2º do Decreto nº 47.774, de 2019.

É considerada representação os documentos encaminhados por agentes públicos comunicando a ocorrência de ilegalidades ou irregulari- dades de que tenham conhecimento em virtude do exercício do cargo, emprego ou função, bem como os expedientes de outras origens que devam revestir-se dessa forma, por força de Lei específica. É conside- rada denúncia as notícias de atos e fatos inquinados de ilegalidade ou de irregularidade praticados por agentes públicos ou privados, na utilização de recursos públicos estaduais.

78. Os requisitos para a priorização de denúncia a ser apurada pela UAIG serão estabelecidos em Ordem de Serviço da AUGE, sem prejuízo dos critérios estabelecidos em metodologia específica da CGE.

79. A denúncia será apurada em caráter sigiloso e somente poderá ser arquivada após efetuados os levantamentos pertinentes, mediante decisão fundamentada do CSET/CSEC ou superintendentes da AUGE.

80. As representações recebidas pela AUGE e CSET/CSEC poderão ser processadas com o mesmo rito de apuração das denúncias.
Subseção II - Disposições gerais e etapas do processo de apuração

81. A apuração consiste na execução de procedimentos cuja finalidade é averiguar atos e fatos inquinados de ilegalidade ou de irregularidade praticados por agentes públicos ou privados, na utilização de recursos públicos estaduais. Trata-se de competência em sintonia com o dever de zelar pela correta aplicação de recursos públicos, ainda que, em alguns casos, exija atuação específica e diferenciada dos serviços típicos da atividade de AIG.

82. Quando incumbidos apenas da prestação de serviços de avaliação e de consultoria, não se espera que os auditores internos governamentais tenham a especialização de uma pessoa cuja principal responsabilidade seja apurar fraudes.

83. A origem do trabalho de apuração pode ser tanto interna quanto externa à CGE. Exemplos de origem interna incluem alertas de processos de auditoria contínua, informações obtidas na execução de outros trabalhos com objetivos e escopo diversos ou levantamentos realizados pela UAIG a partir de notícias. A origem externa pode decorrer de denúncia e de requisições de outros órgãos e entidades que possuam essa prerrogativa.

84. A aceitação de uma demanda extraordinária, a exemplo da apura- ção, para o período do Plano Anual de Auditoria Interna (PAINT) em andamento, ensejará a repactuação das atividades previstas, com con- sequente exclusão de algum trabalho planejado, caso não exista reserva técnica disponível.

85. Considera-se erro o ato não-voluntário, não-intencional, resultante de omissão, desconhecimento, imperícia, imprudência, desatenção ou má interpretação de fatos na elaboração de documentos, registros ou demonstrações. Nesses casos, verifica-se apenas culpa, pois não está caracterizada a intenção de causar dano.

86. A apuração de erro é cabível quando os elementos e informações disponíveis a respeito dos atos ou fatos inquinados de ilegais ou irre- gulares indicarem que esses foram praticados de forma não intencional por agentes públicos ou privados, na utilização de recursos públicos estaduais.

87. O planejamento da apuração de erro se baseia em elementos que indicam a existência de erro; objetiva a correção da situação, caso se comprove, por meio de recomendações e tem por escopo possível irre- gularidade ou ilegalidade decorrente de fatos não intencionais.

88. Considera-se fraude o ato intencional de um ou mais indivíduos da administração, dos responsáveis pela governança, empregados ou ter- ceiros, que envolva dolo para obtenção de vantagem injusta ou ilegal.

89. A apuração de fraude é aplicável quando houver suspeita de que os atos e fatos inquinados de ilegais ou irregulares, praticados por agentes públicos ou privados, na utilização de recursos públicos estaduais, sejam intencionais, isto é, sejam caracterizados por desonestidade, dissimulação ou quebra de confiança.

90. A fraude pode envolver esquemas sofisticados e cuidadosamente organizados para sua ocultação, de forma que os procedimentos de auditoria aplicados para coletar evidências podem ser ineficazes para a detecção de distorção relevante que envolva, por exemplo, conluio para a falsificação de documentação.

91. Um trabalho de apuração de fraude tem diferenças básicas em relação a um trabalho de apuração de erro ou de avaliação, pois seu planejamento se baseia em uma suspeita (fundamentada) de fraude; objetiva produzir material para um processo judicial ou administrativo e tem por escopo possível irregularidade ou ilegalidade decorrente de atos ou fatos intencionais.

92. A evidenciação dos esquemas de fraude, por vezes, necessita da aplicação de meios que extrapolam o conhecimento comum e as prerrogativas legais da atividade de Auditoria Interna Governamental. A equipe de apuração, com o objetivo de manter a sua proficiência, deve obter conhecimentos e habilidades suficientes sobre esquemas de fraude, técnicas de investigação e legislação aplicável, bem como buscar apoio especializado e primar pelo bom relacionamento com as demais instituições de defesa do Estado.

93. No decorrer da execução de trabalhos de auditoria em que seja identificado indício de fraude, a UAIG deve discutir com o coordenador do trabalho, a fim de avaliar se há elementos indicativos suficientes para que se inicie a apuração de fraude ou se antes é necessário o aprofundamento das análises. Quando houver elementos suficientes para iniciar uma apuração de fraude, o coordenador deve submeter o caso ao supervisor do trabalho.

94. As condutas previstas nos dispositivos legais relativos às punições administrativas, civis e penais, servem para ilustrar os tipos de fraude que podem ser praticadas contra a Administração Pública, apesar de não ser papel do SCI efetuar a tipificação ou o julgamento. São exemplos: os crimes da Lei de Licitações, notadamente o caso da fraude ao caráter competitivo do certame; crimes previstos no Código Penal, como a concussão e a corrupção passiva; atos ímprobos da Lei de Improbidade Administrativa, como a percepção de benefício por agente público atingido ou amparado por ação ou omissão de suas atribuições e os atos lesivos contra a Administração Pública previstos na Lei Anticorrupção. A fraude pode ainda estar combinada a outros crimes mais gerais, como o de associação criminosa, previsto na Lei das Organizações Criminosas, e de lavagem ou ocultação de bens, direitos e valores, tipificado na
Lei de Lavagem de Dinheiro.

95. A realização da apuração de fraude, assim como as demais atividades da função de AIG, tem a sua realização dividida nas etapas de apuração preliminar, planejamento, execução, comunicação dos resultados e monitoramento. Antes do planejamento, entretanto, devido às suas especificidades, normalmente tem-se a apuração preliminar.

a) - Apuração preliminar:

a.1) Inicia-se normalmente com base na “alegação de fraude”. Esse documento deve conter as informações conhecidas sobre o suposto caso de fraude. De modo geral, consiste em uma denúncia de um membro da própria organização ou da sociedade, um caso compartilhado por outra instituição de defesa do patrimônio público ou, ainda, uma situação encontrada na execução dos serviços prestados pela atividade de auditoria interna. Somente deve iniciar quando houver informações suficientes que levariam um indivíduo prudente, com conhecimento razoável e treinado profissionalmente, a acreditar que uma fraude ocorreu, está ocorrendo ou possa vir a ocorrer. O SCI deve, portanto, realizar a apuração preliminar da alegação de fraude com o objetivo de formar opinião sobre a real possibilidade de sua ocorrência. No decorrer da análise, deve pesquisar e confrontar as informações sobre o possível fato com dados de trabalhos passados, sistemas de informação, fontes abertas e outros meios a que tiver acesso.

a.2) A apuração preliminar deve indicar, com base nas informações produzidas, se é possível ter razoável segurança de que os fatos expostos na alegação possam ser verdadeiros e justificam a necessidade de um trabalho de apuração de fraude, ou se, por outro lado, as informações são infundadas ou insuficientes para dar continuidade ao trabalho e/ou, minimamente, para comunicar o caso às autoridades competentes. O resultado deve ser documentado, incluindo as novas informações obtidas, a proposta de atuação e dos encaminhamentos pertinentes, conforme a seguir, a título exemplificativo:

a.2.1) Se não houver indícios fundados ou suficientes:

a.2.2) A denúncia contém a exposição de diversos fatos isolados, que não fornece elementos consistentes e detalhados que confiram pressu- postos de veracidade e justifiquem uma ação de auditoria. Recomenda-se, portanto, o seu arquivamento; ou

a.2.3) A denúncia se refere a irregularidades em [citar órgãos do Poder Judiciário ou do Poder Legislativo; em órgãos/entidades da União e Municípios], não relacionadas à aplicação de recursos estaduais; ou, ainda, se referem à transferência de recursos do Estado, porém não sujeitas ao controle da CGE, a exemplo do Fundo de Participação de Municípios. Recomenda-se, portanto, o seu arquivamento e a remessa dos fatos aos órgãos ou entidades competentes; ou

a.2.4) A situação denunciada não existe mais quando da análise efetuada pela equipe de auditoria [Exemplo: concessão irregular do benefício, em consulta ao Portal já foi suspenso; edital de licitação que foi cancelada]. Recomenda-se, portanto, o seu arquivamento; ou

a.2.5) A denúncia baseia-se em fatos que já foram fiscalizados ou que são conhecidos e investigados pela CGE. Recomenda-se, portanto, o seu arquivamento. [A nova denúncia, se não contiver fatos novos e relevantes, deverá ser arquivada. Neste caso é preciso informar no detalha- mento da análise da denúncia o número do documento de auditoria em que foi veiculada a apuração da CGE, se for o caso, além do exercício, município ou a referência a outro documento que revele ciência e tra- tamento pela CGE];

a.2.6) A denúncia baseia-se em fatos que já foram fiscalizados ou que são conhecidos e investigados pelo [especificar o órgão: Tribunal de Contas do Estado ou Ministério Público ou Polícia Civil ou outro]. Recomenda-se, portanto, o seu arquivamento. [Neste caso é preciso informar no detalhamento da análise da denúncia a referência ao documento que revele ciência e tratamento pelo órgão de controle externo].

a.3) Se houver indícios fundados e suficientes:

a.3.1) Foram identificados elementos e/ou indícios suficientes e fundados que configurem possíveis prejuízos [especificar o assunto ou
objeto] e/ou prejuízos pecuniários [especificar, se for o caso] passíveis de serem perseguidos em apuração em auditoria. Recomenda-se, portanto:

a.3.1.1) Avaliar a possibilidade de inclusão da denúncia no planejamento anual de auditoria, por se tratar denúncia, devidamente fundamentada, objetiva e que possui [relevante materialidade econômica e/ou repercussão social e/ouversa sobre irregularidades praticadas por altos dirigentes]; ou

a.3.1.2) Avaliar a possibilidade de apuração da denúncia em caráter extraordinário, por se tratar denúncia, devidamente fundamentada,
objetiva e que possui [relevante materialidade econômica e/ourepercussão social e/ouversa sobre irregularidades praticadas por altos dirigentes]; ou

a.3.2) Foram identificados elementos e/ou indícios suficientes e fundados que configurem possíveis prejuízos [especificar o assunto ou
objeto] e/ou prejuízos pecuniários [especificar, se for o caso] passíveis de serem apurados pelo [citar o órgão ou entidade a que se sugere a apuração]. Recomenda-se, portanto:

a.3.2.1) Encaminhamento da denúncia ao órgão [especificar] para apuração, visto que não justifica apuração específica pela AUGE, por
quanto não se vislumbra, a princípio, [relevante materialidade econômica e/ourepercussão social e/ouque versa sobre irregularidades praticadas por altos dirigentes] pois [não há urgência imediata de interrupção, pois o objeto já foi concluído ou já se exauriu (exemplos:Convênio já concluído, licitação de merenda de exercício anterior, etc)] ou[a irregularidade continua acontecendo e que pode ser interrompida (Exemplos: convênio ainda em execução, acumulação ilegal de cargo, concessão irregular de benefício, convênio ainda vigente, etc.)].

b) Planejamento: O responsável pela apuração deve, se possível, ela- borar o plano da apuração em conjunto com todos os integrantes da equipe, de forma a aproveitar o conhecimento, as habilidades e as com- petências do grupo. O plano deverá ser aprimorado durante a execução do trabalho, à medida que novos fatos sejam conhecidos e que as estratégias sejam atualizadas. A estrutura da apuração de fraude varia de acordo com os fatos e as circunstâncias apurados. Contudo, alguns pontos comuns devem ser considerados na elaboração de todo plano de apuração, como: o resultado da análise preliminar da alegação de fraude; os objetivos da apuração; quem será mantido informado; o escopo; as responsabilidades dos envolvidos; o cronograma; a neces- sidade de participação de outras instituições públicas que atuam na defesa do patrimônio público; a forma de atuação; os recursos neces- sários, entre outros. O plano de apuração de fraude deve ser elaborado para orientar o trabalho no sentido de concluir se a fraude foi, está sendo ou poderá vir a ser cometida, quais as pessoas envolvidas, como foi perpetrada, a motivação, a extensão e quais fragilidades nos controles internos da gestão permitiram a violação. Deverá também estabelecer os procedimentos necessários à máxima reunião de elementos probatórios disponíveis e admitidos no Direito, para fundamentar eventuais ações de ressarcimento e de responsabilização contra os envolvidos. Se houver a cooperação com outras instituições, é importante que atividades, estimativas de prazos, responsáveis e contatos de cada uma
estejam claros no plano de apuração, a fim de que os resultados esperados sejam alcançados.

c) Execução: Os procedimentos específicos para obtenção de evidência empregados na apuração de fraude irão variar com base na situação específica e nas metas definidas pela equipe. Os procedimentos investigativos comuns incluem:

c.1) Trabalhos individuais de avaliação: devem seguir, no que couber, as etapas de execução, comunicação dos resultados e monitora- mento, tendo como base os objetivos definidos no plano de apuração de fraude. Nesse tipo de trabalho, o SCI buscará evidenciar a ocorrência dos supostos atos ou fatos inquinados de ilegais ou irregulares. Devem ser observadas eventuais restrições estabelecidas sobre a divulgação de informações relativas ao trabalho, tanto na interlocução com a Unidade Examinada quanto na comunicação e na publicação dos resultados, tendo em vista que, em regra, as apurações de fraude envolvem informações sigilosas e são realizadas sob segredo de justiça.

c.2) Vigilância: envolve observar as atividades de determinados indivíduos sem o seu conhecimento. Pode ser considerada pelos auditores como metodologia regular e legítima para viabilizar a evidenciação de fraude, porém, o SCI deve receber treinamento específico, caso seja designado para desempenhá-la, dado que sua execução compreende riscos, inclusive de integridade física. Comumente é realizada por autoridades policiais e profissionais da área de inteligência.

c.3) Entrevista: é uma técnica útil para viabilizar a descoberta de novos fatos relacionados ao objeto da apuração e a indicação de novos caminhos de investigação. Embora deva ser corroborada por outros tipos de evidências, pode servir como prova testemunhal. Em que pese a entrevista ser uma técnica comumente empregada na auditoria, a entrevista de testemunhas e acusados no âmbito investigativo costumeiramente não é realizada pelo AIG, a não ser durante trabalhos de apuração, quando os suspeitos ainda não têm conhecimento de que uma apuração de fraude está sendo realizada. As autoridades policiais e as oriundas dos ministérios públicos geralmente realizam esse tipo de entrevista, que pode contar com o apoio dos AIG na sua condução.

c.4) Análise de dados e documentos: é o registro da execução dos testes previstos na Matriz de Planejamento, onde são indicados, para cada teste, o(s) responsável(is) pela análise, o escopo em que o teste foi aplicado, a conclusão geral do teste, papéis de trabalho de análise, evidências e a Matriz de Achados. É uma atividade já empregada no planejamento e na execução dos trabalhos de auditoria e, desse modo, faz parte das técnicas comumente utilizadas pelos SCI. A apuração de fraude, entretanto, exigirá conhecimentos e habilidades adicionais quando incluir a análise de dados bancários, fiscais, telefônicos, telemáticos e outros, obtidos pelo compartilhamento de informações com órgãos parceiros, mediante autorização judicial.

d) Comunicação dos resultados:

d.1) Durante a execução dos trabalhos de apuração, podem ser emitidas comunicações aos órgãos parceiros, quando houver, ou a outras instâncias consideradas necessárias. Para consolidar o resultado deverá ser emitido em Relatório de Auditoria – Apuração ou Nota de Auditoria, a depender da complexidade do trabalho, sendo importante a anexação dos papéis de trabalho que caracterizem o ato apurado, quando o relatório se destinar a outros órgãos de defesa do Estado, que atuarão dentro de suas respectivas áreas.

d.2) O conteúdo do Relatório de Auditoria – Apuração ou Nota de Auditoria pode incluir a razão da investigação, o período analisado e o
de execução, os achados, o resultado da avaliação dos controles internos da gestão a partir dos fatos relatados, as conclusões, as ações necessárias a serem realizadas, as ações corretivas já adotadas pela Unidade Examinada e as recomendações para aprimoramento. O SCI deve abster-se de proferir qualquer juízo técnico de conhecimento alheio às suas funções (ex.: tipificar penal ou administrativamente a conduta de responsáveis), bem como de proferir qualquer manifestação de teor pessoal ou subjetivo sobre os acontecimentos mensurados no exame fático da apuração. Assim, seu pronunciamento deve se restringir a evidenciar, de forma técnica e objetiva, as questões eventualmente irregulares sob o prisma eminentemente administrativo, devidamente fundamentadas pelos elementos probatórios atinentes.

d.3) Caso a mesma questão mensurada pelo SCI venha a ser de interesse de outros órgãos de defesa do Estado que atuem nas demais esferas do Direito, o encaminhamento às instâncias competentes para jul- gamento deverá ser realizado pelo real detentor daquela atribuição. No âmbito penal, será através do eventual indiciamento por delegado de polícia ou do oferecimento da denúncia por membro do Ministério Público. No âmbito civil, será através de eventual ação de improbidade proposta pela Advocacia-Geral do Estado ou por membro do Ministério Público.

d.4) Não é atribuição do SCI julgar os envolvidos, mas tão somente apontar os fatos verificados na investigação. Contudo, o relatório pode recomendar a adoção de procedimentos para responsabilização de pes- soas físicas e jurídicas e restituição de valores, inclusive com o devido encaminhamento aos demais órgãos de defesa do Estado potencialmente interessados.

d.5) Depois que a fraude for apurada e comunicada às instâncias com- petentes, é importante que a UAIG e a Alta Administração façam uma análise das lições aprendidas, visando refletir, por exemplo, sobre como a fraude ocorreu, quais controles falharam e como novas fraudes podem ser prevenidas ou detectadas.

e) Monitoramento: A UAIG deve acompanhar os desdobramentos das ações decorrentes da apuração de fraude, a fim de quantificar e registrar os resultados e benefícios da sua atuação, em acordo com os princí- pios e a metodologia compatíveis com regulamentação da CGE. Alguns exemplos de possíveis desdobramentos são: recomendação para aprimoramento dos controles internos da gestão, responsabilização de pes- soas físicas e jurídicas, restituição de valores, punição de profissionais pelo conselho de classe, ações cíveis e penais. Com relação ao monitoramento de recomendações, devem ser observadas também as instruções específicas.

96. A UAIG deve consolidar o resultado da apuração preliminar no documento Nota de Auditoria – Apuração Preliminar.

97. Deve-se manter sigilo e ter cuidado com informações relacionadas à possível existência de fraude durante a execução dos trabalhos, na interlocução com a Unidade Examinada, na comunicação e na publicação dos resultados ou mesmo após a comunicação às instâncias competentes. O sigilo deve ser mantido ainda que as informações obtidas não estejam diretamente relacionadas ao escopo do trabalho. A confidencialidade evitará alertar os possíveis perpetradores, estando inclusive resguardada pela Lei de Acesso à Informação.

98. Como a realização de procedimentos administrativos com vistas à punição dos envolvidos independe das ações penais e cíveis, deve-se observar o fim do sigilo da apuração de fraude, ou obter autorização judicial, se houver segredo de justiça, antes de proceder os encaminhamentos para recomendar que ao Dirigente Máximo do órgão ou entidade para que adotem eventuais medidas na esfera administrativa de sua atribuição.

Seção IV - Avaliação para cumprimento de determinações mandatórias

99. Trabalhos de avaliação para o cumprimento de determinações mandatórias devem ser realizados independente da análise dos riscos.

100. A avaliação do risco poderá ocorrer, caso a legislação permita, na etapa de planejamento dos trabalhos individuais.

101. Devem ser considerados prioritariamente, de modo que seja garantida a disponibilidade de recursos para atender a essas demandas.

102. O planejamento, a execução, a comunicação dos resultados e o monitoramento da ação de controle destinada ao cumprimento de determinações mandatórias podem ser feitos com rito simplificado, para:

a) as situações que demandem a produção de resultados dentro de prazos exíguos;
b) - quando não se demonstrar factível o cumprimento normal de prazo para a realização de planejamento completo; ou

c) quando já houver programa e procedimentos de auditoria já padronizados e definidos pela AUGE.

103. O planejamento, execução, comunicação dos resultados das ações de controle sobre tomada de contas especial e sobre as contas anuais dos ordenadores de despesas e sobre as contas do governador, seguirá o programa e procedimentos específicos definidos pela AUGE.

Seção V - Tipos de ações de controle

104. Quanto à função, os controles são classificados em:
a) preventivos: tentam impedir a ocorrência de eventos indesejáveis. Exemplo: Segregação de funções;

b) detectivos: alertam a gestão depois de um evento indesejável. São eficazes quando a detecção ocorre antes que os danos materiais ocorram. Exemplo: Alarme contra roubo;

c) corretivos: corrigem os efeitos negativos de eventos indesejáveis. Exemplo: Exigência de que variações de custos sejam justificadas; e,

d) diretivos: causam ou incentivam a ocorrência de um evento desejável. Exemplo: Política e procedimentos;

e) compensatórios: controle secundário mitigativo, ou seja, que pode reduzir o risco quando os controles primários são ineficazes. No
entanto, por si só, eles não reduzem o risco a um nível aceitável. Exemplo: Falta de segregação de funções compensada por uma ação verificação da regularidade no dia seguinte; sistema que bloqueia o prosseguimento de uma operação de determinado campo não for preenchido;

f) complementares: controle secundário que trabalha junto com os outros controles para reduzir o risco a um nível aceitável. Exemplo: A
separação das funções de contabilização e de custódia de recebimentos de caixa é complementado com a obtenção de recibos de depósito validados pelo banco.; e,

g) de aplicação: controles primários que se relacionam com as tarefas de negócio realizadas por determinado sistema. Devem fornecer uma garantia razoável de que a gravação, o processamento e o reporte de dados foram devidamente executados. Incluem os controles de entrada, processamento e saída;

105. Quanto ao momento da aplicação, os controles são classificados em:

a) prévio: a execução dos atos é condicionada a uma aprovação anterior a eles;

b) concomitante: o controle é realizado simultaneamente à execução dos atos; e,

c) posterior: a verificação dos fatos ocorre após a consumação.

106. Quanto à previsibilidade, as atividades de auditoria interna são classificadas em:

a) Programadas: são os relacionadas no planejamento anual de auditoria; e

b) Não programadas: são aquelas que não integraram o planejamento anual, tendo sido inseridas na programação em caráter extraordinário.

107. Quanto ao modo de execução, as atividades de auditoria interna são classificadas em:

a) Auditoria Direta: Trata-se das atividades de AIG executadas diretamente por servidores em exercício na AUGE, sendo subdividas em:

a.1) centralizada – executada exclusivamente por servidores em exercício na AUGE;

b.1) integrada ou compartilhada – executada conjuntamente por servidores em exercício na AUGE e CSET/CSEC ou em parceria com órgãos de controle interno ou externo de outros entes e poderes.

b) Auditoria Indireta: Trata-se das atividades de AIG executadas exclusivamente pelas CSET/CSEC ou que desempenham atividades de auditoria em quaisquer instituições da Administração Pública Estadual ou entidade privada, especialmente para auditar serviços específicos de engenharia ambiental, medicina, dentre outros;

c) Auditoria Terceirizada: Executada por instituições privadas, ou seja, pelas denominadas empresas de auditoria externa ou independente.

108. Quanto à natureza, as atividades de auditoria são classificadas em:

a) Financeira ou de Demonstrações Contábeis: busca a obtenção e a avaliação de evidências a respeito das demonstrações contábeis de um órgão ou de uma entidade para emitir opinião indicando se sua apresentação está adequada e de acordo com os princípios contábeis. Tem como finalidade proporcionar certeza razoável de que as demonstrações contábeis, portanto, são apresentadas em conformidade com os princípios de contabilidade válidos para aquela unidade.

b) Conformidade ouCompliance: visa à obtenção e à avaliação de evidências para verificar se certas atividades financeiras ou operacionais de um objeto de auditoria selecionado obedecem às condições, às regras e aos regulamentos a ele aplicáveis. Está relacionado à observância da legislação e regulamentos pertinentes. Objetiva examinar a legalidade e a legitimidade dos atos de gestão dos responsáveis, quanto aos aspectos contábil, financeiro, orçamentário e patrimonial.

b.1) A auditoria de conformidade geralmente é conduzida tanto como uma auditoria de conformidade separada, ou relacionada à auditoria das demonstrações contábeis, ou em combinação com a auditoria operacional. Quando a auditoria de conformidade é parte de uma auditoria operacional, a conformidade é vista como um dos aspectos de economicidade, eficiência e efetividade. A não conformidade pode ser a causa de, ou uma explicação para, ou ainda uma consequência do estado das
atividades que constituem o objeto da auditoria operacional. Nesse tipo de auditoria combinada, os auditores devem usar seu julgamento profissional para decidir se o foco principal da auditoria é o desempenho ou a conformidade;

b.2) A auditoria de conformidade geralmente abrange a avaliação da conformidade com critérios formais, tais como a legislação autorizativa, os regulamentos emitidos ao abrigo desta e de outras leis, os regulamentos e acordos pertinentes, incluindo leis orçamentárias (legali- dade). Quando inexistirem critérios formais ou existirem deficiências óbvias na legislação no que diz respeito à sua aplicação, as auditorias podem também examinar a conformidade com os princípios gerais que regem a gestão financeira responsável e a conduta de agentes públicos (legitimidade). Critérios adequados são necessários tanto em audito- rias com foco na legalidade quanto naquelas com foco em legitimidade.

Critérios adequados para uma auditoria de conformidade com foco em legitimidade podem ser tanto princípios geralmente aceitos ou melho- res práticas nacionais ou internacionais. Em alguns casos eles podem não estar codificados, estar implícitos ou ser baseados em princípios superiores de direito.

c) Operacional (eficácia e eficiência): relacionada aos resultados alcançados pela gestão. Objetivam examinar a economicidade (signi- fica minimizar os custos dos recursos; os recursos usados devem estar disponíveis tempestivamente, em quantidade suficiente, na qualidade apropriada e com o melhor preço), eficiência (significa obter o máximo dos recursos disponíveis; diz respeito à relação entre recursos empre- gados e produtos entregues em termos de quantidade, qualidade e tempestividade), eficácia e efetividade (diz respeito a atingir os objetivos estabelecidos e alcançar os resultados pretendidos) de um órgão ou uma entidade, um empreendimento, um departamento, uma política pública, um programa, um processo, um sistema, operações ou uma atividade, com a finalidade de avaliar o seu desempenho e de promover o aperfei- çoamento da gestão pública, em outras palavras, se os objetivos estabelecidos vêm sendo alcançados. Fornece análises objetivas para auxiliar a administração a melhorar seu desempenho e suas operações, reduzir
custos, facilitar a tomada de decisões e de medidas corretivas pelas partes responsáveis.

CAPÍTULO V - GERENCIAMENTO DA ATIVIDADE DE AUDITORIA INTERNA GOVERNAMENTAL

109. A UAIG deve ser gerenciada eficazmente, com o objetivo de assegurar que a atividade de Auditoria Interna Governamental adicione valor à Unidade Examinada e às políticas públicas sob sua responsabilidade, fomentando a melhoria dos processos de governança, de gerenciamento de riscos e de controles internos da gestão.

Seção I - Objetivos dos Trabalhos
110. A atividade de Auditoria Interna Governamental deve ser realizada de forma sistemática, disciplinada e baseada em risco, devendo ser estabelecidos, para cada trabalho, objetivos que estejam de acordo com o propósito da atividade de auditoria interna e contribuam para o alcance dos objetivos institucionais e estratégias da Unidade Examinada.

Subseção I - Governança
111. A UAIG deve avaliar e, quando necessário, recomendar a adoção de medidas apropriadas para a melhoria do processo de governança da Unidade Examinada no cumprimento dos seguintes objetivos:

a) promover a ética e os valores apropriados no âmbito da Unidade Examinada;
b) assegurar o gerenciamento eficaz do desempenho organizacional eaccountability;
c) comunicar as informações relacionadas aos riscos e aos controles às áreas apropriadas da Unidade Examinada;
d) coordenar as atividades e a comunicação das informações entre o conselho, se houver, os auditores externos e internos e a Administração.

Subseção II - Gerenciamento de Riscos

112. Compete à UAIG avaliar a eficácia e contribuir para a melhoria do processo de gerenciamento de riscos da Unidade Examinada, observando se, em tal processo:
a) riscos significativos são identificados e avaliados;

b) respostas aos riscos são estabelecidas de forma compatível com o apetite a risco da Unidade Examinada;

c) informações sobre riscos relevantes são coletadas e comunicadas de forma oportuna, de modo a permitir que os responsáveis cumpram com as suas obrigações.

113. A UAIG deve avaliar, em especial, as exposições da Unidade Exa- minada a riscos relacionados à governança, às atividades operacionais e aos sistemas de informação, devendo ser analisado se há comprome- timento quanto aos seguintes aspectos:

a) alcance dos objetivos estratégicos;

b) confiabilidade e da integridade das informações;

c) eficácia e da eficiência das operações e programas;

d) salvaguarda de ativos; e,

e) conformidade dos processos e estruturas com leis, normas e regulamentos internos e externos.

114. O responsável pela UAIG deve buscar identificar potenciais riscos de fraude e verificar se a organização possui controles para tratamento desses riscos.

115. A UAIG poderá prestar serviços de consultoria com o propósito de auxiliar a Unidade Examinada na identificação de metodologias de gestão de riscos e de controles, todavia, os servidores do controle interno não podem participar efetivamente do gerenciamento dos riscos, cuja responsabilidade é exclusiva da Unidade Examinada.

116. A UAIG poderá promover ações de sensibilização, capacitação e orientação da Alta Administração e dos gestores em relação ao tema, especialmente enquanto a Unidade Examinada não possuir um pro- cesso de gerenciamento de riscos.

Subseção III - Controles Internos da Gestão

117. A UAIG deve auxiliar a Unidade Examinada a manter controles efetivos a partir da avaliação sobre se eles são identificados, aplicados e efetivos na resposta aos riscos devendo avaliar ainda se a Alta Administração possui consciência de sua reponsabilidade pela implementação e melhoria contínua desses controles, pela exposição a riscos internos e externos, comunicação e pela aceitação de riscos.

118. A avaliação da adequação e eficácia dos controles internos imple- mentados pela gestão em resposta aos riscos, inclusive no que se refere à governança, às operações e aos sistemas de informação da Unidade Examinada, deve contemplar:

a) o alcance dos objetivos estratégicos;

b) a confiabilidade e integridade das informações;

c) a eficácia e eficiência das operações e programas;

d) a salvaguarda dos ativos; e

e) a conformidade com leis, regulamentos, políticas e procedimentos internos e externos.

119. Nos trabalhos de avaliação dos controles internos da gestão, o planejamento da auditoria deve ser elaborado com a identificação do escopo e a seleção de testes que permitam a obtenção de evidência ade- quada e suficiente sobre a existência e funcionamento do processo de controle na organização, considerados os conhecimentos adquiridos em decorrência de outros trabalhos realizados na Unidade Examinada.

120. A avaliação dos controles internos da gestão deve considerar os seguintes componentes: ambiente de controle, avaliação de riscos, atividades de controle, informação e comunicação e atividades de monitoramento.

Seção II - Instrumentos de Planejamento e Gestão do Poder Executivo; Planejamento Estratégico; Planejamento Tático; Planejamento Anual e o Planejamento Operacional de Auditoria Interna

121. O Sistema de Planejamento e Gestão do Governo de Minas Gerais é regido por um conjunto de quatro leis previstas na Constitui- ção Mineira, a saber:

a) Plano Mineiro de Desenvolvimento Integrado (PMDI), que repre- senta o plano estratégico do governo, possuindo um horizonte temporal de longo prazo, cujos objetivos devem observar, dentre outros, o desen- volvimento socioeconômico integrado do Estado de Minas Gerais;

b) Plano Plurianual de Ação Governamental (PPAG), que apresenta os programas, ações, objetivos e metas da administração estadual para um período de 4 anos;

c) Lei de Diretrizes Orçamentárias (LDO), lei que estabelece a liga- ção entre o PPAG e a LOA, tendo por objetivo disciplinar o processo
de elaboração da lei orçamentária e definir as metas e prioridades para o ano seguinte;

d) Lei Orçamentária Anual (LOA), que traz a estimativa daquelas receitas que o governo pretende arrecadar no período de um ano e fixa
as despesas a serem realizadas com tais recursos.

122. O orçamento de Auditoria Interna Governamental constará em programas específicos da CGE, que deve ser realista para as atividades e recursos identificados no plano de negócio de AI, considerando os custos fixos e variáveis.

123. O Planejamento Estratégico da CGE, de duração de 4 (quatro) anos e alinhado ao PPAG, compreende as diretrizes e interações com o propósito de tornar harmônica as medidas adotadas em direção a uma situação idealizada pelo Órgão, por meio de um processo contínuo, sistemático e organizado de maneira a subsidiar a tomada de decisão e favorecer o alcance dos objetivos organizacionais

124. O Planejamento Tático de AIG compreende o instrumento elabo- rado pela AUGE pelo qual se decompõem os objetivos, estratégias e políticas gerais relacionados às atividades de AIG que estão estabeleci- dos no PPAG e Planejamento Estratégico da CGE em metas e objetivos mais circunscritos e afetas à área de AIG. O Planejamento tático deverá compreender o período mínimo de dois anos.

125. O Planejamento Operacional de Auditoria Interna, que consiste na consolidação das proposições de ações de auditoria da AUGE e das CSET/CSEC para o exercício, materializadas no PAINT, deve ser construído de forma harmônica, de modo a favorecer a racionalização de recursos e evitar a sobreposição de trabalhos.

126. O cumprimento do Planejamento Operacional de Auditoria Interna será monitorado e avaliado pela AUGE, com o apoio da Assessoria de Harmonização das Controladorias Setoriais e Seccionais, que emitirá, após a vigência do Planejamento Anual de Auditoria Interna, relatório sobre o resultado das ações de AIG do Poder Executivo Estadual.

127. O relatório sobre o resultado das ações de AIG consistirá na consolidação dos relatórios de atividades de auditoria interna das UAIG.

Seção III - Plano Anual de Auditoria Interna (PAINT)

128. O PAINT é um instrumento que contempla o planejamento anual de AIG, ou seja, as ações anuais de AIG e visa definir os trabalhos prioritários a serem executados pelas CSET/CSEC e pela AUGE, a cada exercício. As diretrizes de elaboração do PAINT serão tratadas em Resolução, aplicando-se no que couber às UAIG das empresas públicas e sociedade de economia mista.

Subseção I - Planejamento baseado em riscos

129. O Planejamento Anual de Auditoria Interna deve refletir as ações e metas traçadas no Planejamento Tático da Auditoria-Geral, Planejamento Estratégico e PPAG da CGE.

130. O Planejamento Anual de Auditoria Interna é flexível, podendo ser ajustado, durante a sua execução, desde que com a anuência do responsável pela sua aprovação, sempre que houver alterações significativas no contexto do trabalho ou novas informações e conclusões advierem e tornarem os ajustes úteis e oportunos como alterações no planejamento estratégico do órgão ou entidade, revisão dos objetivos, alterações significativas nas áreas de maior risco ou mesmo alterações de condições externas.

131. No PAINT são registradas as atividades que a UAIG pretende desenvolver em um determinado período de tempo, deve ser baseado em riscos, ou seja, as ações devem ser definidas e concentradas em objetos de auditoria com maior exposição a ameaças que possam afetar o alcance dos objetivos, ou seja, os de maior risco do órgão ou entidade.

132. O Planejamento Anual de Auditoria Interna deverá ser realizado mediante prévia identificação do universo auditável, devendo-se con- siderar as expectativas e tema/áreas prioritários da Alta Administração e demais partes interessadas, bem como a análise de riscos realizada pela Unidade Examinada por meio do seu processo de gerenciamento de riscos.

133. Considerando-se a hipótese da Unidade Examinada não ter instituído um processo formal de gerenciamento de riscos, a UAIG deve se comunicar com a Alta Administração de forma a coletar informações sobre suas expectativas e obter entendimento dos principais processos e dos riscos associados e, com base nestas informações, elaborar o planejamento anual, priorizando os processos ou unidades organizacionais de maior risco.

134. O responsável pela UAIG deve considerar em seu planejamento os conhecimentos adquiridos em decorrência dos trabalhos de avaliação e consultoria realizados sobre os processos de governança, de gerenciamento de riscos e de controles internos da gestão.
135. O universo de auditoria inclui todas as unidades administrativas, processos ou operações que possam ser avaliados e definidos como contas, divisões, funções, procedimentos, produtos, sistemas e outras possibilidades.

136. A UAIG deve considerar a necessidade de rodízio de ênfase sobre os objetos auditáveis, evitando o acúmulo dos trabalhos de auditoria sobre um mesmo objeto, de forma a permitir que objetos considera- dos de menor risco também possam ser avaliados periodicamente. O rodízio de ênfase constitui uma rotação entre os objetos que compõem o universo de auditoria em determinado período, de modo a evitar, por um lado, a realização de diversos trabalhos de auditoria sobre um mesmo objeto; por outro lado, a inexistência de trabalhos sobre outros objetos associados a um menor risco. Pode haver objetos de auditoria para os quais deva ser realizado trabalho de auditoria em todos os exer- cícios, enquanto outros, por terem menores riscos associados, podem ser auditados a cada dois anos ou até mais.

Subseção II - Estrutura

137. As ações de AIG do Plano Anual de Auditoria Interna serão estruturadas contemplando as especificidades de cada UAIG, devendo constar, quando aplicável, no mínimo:

a) Avaliação, que inclui as determinações mandatórias;

b) Consultoria; e,

c) Apuração;

138. As atividades específicas de cada ação serão especificadas no PAINT.

139. Devem ser previstos os serviços de apoio e administrativos necessários para a entrega eficaz da atividade de AI, os cronogramas relevantes e os recursos necessários para alcançar os objetivos estabelecidos.

140. O PAINT conterá, no mínimo:

a) relação dos trabalhos selecionados com base na avaliação de riscos;

b) relação dos trabalhos a serem realizados pela UAIG em função de obrigação normativa, por solicitação da Alta Administração ou por
outros motivos que não a avaliação de riscos, devendo-se, nos dois últimos casos, ser apresentada justificativa razoável para a sua seleção;

c) previsão de, no mínimo, 40 horas de capacitação para cada servidor da UAIG, incluindo o responsável pela unidade;

d) previsão da atividade de monitoramento das recomendações emiti- das em trabalhos anteriores e ainda não implementadas pela Unidade Examinada;

e) relação das atividades a serem realizadas para fins de gestão e melhoria da qualidade da atividade de AIG;

f) indicação de como serão tratadas as demandas extraordinárias recebidas pela UAIG;

g) previsão de horas para realização das atividades de gerenciamento, inerentes à função de chefia de equipe - avaliação de desempenho, acompanhamento de frequência, reuniões, dentre outras.

h) Parágrafo Único - Deverão ser expostas, sempre que possível, as premissas, restrições e riscos associados à execução do PAINT.
Subseção lll - Comunicação e Aprovação

141. As propostas de PAINT deverão ser previamente discutidas com cada um dos superintendentes da AUGE, de acordo com a sua área de atuação, com a participação da Assessoria de Harmonização das Controladorias Setoriais e Seccionais, de forma a possibilitar a harmonização do planejamento, racionalizar a utilização de recursos e evitar a sobreposição de trabalhos.

142. Na elaboração do PAINT das Controladorias Seccionais deve-se buscar a interlocução com a Controladoria Setorial com que as CSEC estão relacionadas, no intuito de conjugar esforços e buscar atuar em cooperação, considerando as ações com base em risco e de acordo com os interesses de cada área.

143. A proposta final do PAINT da AUGE e das CSET/CSEC deverá ser aprovado pelo titular da AUGE e submetido à aprovação do Conse- lho de Administração ou órgão equivalente ou, na ausência deste, pelo Dirigente Máximo do órgão ou da entidade, devendo ser observado o prazo limite para envio do PAINT aprovado à AUGE ou Assessoria de Harmonização das Controladorias Setoriais e Seccionais, conforme o caso.

144. Mudanças significativas que impactem no PAINT devem ser encaminhadas ao Conselho de Administração ou órgão equivalente ou, na ausência deste, ao Dirigente Máximo do respectivo órgão ou enti- dade para aprovação.

145. A UAIG deve comunicar as ações estabelecidas no PAINT às res- pectivas Unidades Auditadas, excetuando-se os casos que possam comprometer sua efetividade.

Subseção IV - Gerenciamento dos recursos

a) O Responsável pela UAIG deve zelar pela adequação e disponibilidade dos recursos necessários (humanos, financeiros e tecnológi- cos) para elaboração e cumprimento do PAINT. Para isso, os recursos devem ser:

a) suficientes: em quantidade necessária para a execução dos trabalhos;

b) apropriados: que reúnam as competências, habilidades e conhecimentos técnicos requeridos pela auditoria;

c) eficazmente aplicados: utilizados de forma a atingir os objetivos do trabalho.

146. Para o planejamento de recursos, a UAIG deve considerar:
a) o universo da auditoria;
b) níveis relevantes de risco;
c) as expectativas de cobertura dos processos críticos do órgão ou entidade;
d) uma estimativa de atividades não planejadas.

Subseção V - Reporte para a Alta Administração

147. A UAIG deve comunicar, semestralmente, as informações sobre o desempenho da atividade da auditoria interna ao conselho de administração ou órgão equivalente ou, na ausência deste, ao Dirigente Máximo do órgão ou da entidade, por meio do Relatório de Atividades de Auditoria Interna (RAINT).

148. O RAINT, consolidando as atividades do PAINT desenvolvidas no primeiro semestre deve contemplar, no mínimo:

a) quadro demonstrativo do quantitativo de trabalhos de AIG, conforme PAINT, realizados, não concluídos e não realizados para o
semestre (informações sobre a comparação entre os trabalhos realizados e o PAINT aprovado);

b) recomendações não atendidas que representem riscos aos processos de governança, de gerenciamento de riscos e de controles internos da Unidade Auditada;

c) a exposição a riscos significativos e deficiências existentes nos controles internos da Unidade Auditada.

149. O RAINT, consolidando todas atividades do PAINT desenvolvidas no ano deve contemplar, no mínimo:

a) quadro demonstrativo do quantitativo de trabalhos de AIG realizados, conforme PAINT, realizados, não concluídos e não realizados
(informações sobre a comparação entre os trabalhos realizados e o PAINT aprovado);

b) quadro demonstrativo do quantitativo de trabalhos de controle interno realizados sem previsão no PAINT (demandas extraordinárias);

c) quadro demonstrativo do quantitativo de recomendações emitidas e implementadas, bem como as não implementadas no período, conforme pactuado pela Gestão e constante no Plano de Ação ou em documento de auditoria emitido, com prazo expirado na data de elaboração do RAINT;

d) recomendações não atendidas que representem riscos aos processos de governança, de gerenciamento de riscos e de controles internos da Unidade Auditada;

e) recomendações expedidas pelos órgãos de controle externo, pelo conselho fiscal e pelo conselho de administração, se houver;

f) a exposição a riscos significativos e deficiências existentes nos controles internos da Unidade Auditada;

g) descrição dos fatos relevantes que impactaram positiva ou negativamente nos recursos e na organização da UAIG e na realização dos trabalhos;

h) quadro demonstrativo das ações de capacitação realizadas, com indicação do quantitativo de agentes públicos das Diretorias da AUGE ou CSET/CSEC capacitados, carga horária, órgão/entidade responsável pela capacitação e temas;

i) quadro demonstrativo dos benefícios financeiros e não financeiros decorrentes da atuação da AUGE ou CSET/CSEC ao longo do período (benefício gerado para o órgão ou entidade).

150. No que tange à AUGE, as informações sobre a execução do PAINT (item 150, alínea “a”) serão apresentadas ao titular da CGE, e as informações a que se referem o item 150, alínea “b” serão encaminha- das à CSET/CSEC do órgão ou entidade a que se referir o trabalho de auditoria realizado, para compor o RAINT que deverá ser encaminhado pela CSET/CSEC ao Dirigente Máximo do órgão ou entidade.

151. As informações citadas no item anterior poderão ser solicitadas pela AUGE ou Assessoria de Harmonização das Controladorias Setoriais e Seccionais, para fins de monitoramento.

152. As UAIG devem manter disponíveis e devidamente organizados em papéis de trabalho, preferencialmente em forma eletrônica, as justificativas dos gestores para cada recomendação não implementada ou implementada parcialmente, e para cada risco não tratado ou tratado parcialmente, com indicação de prazo para sua efetivação.

153. O cumprimento da execução do PAINT e os resultados decorrentes dos trabalhos de AIG e serão demonstrados por meio do Relatório de Atividades de Auditoria Interna semestral e anual.

154. A UAIG deve manter controle, preferencialmente eletrônico, das recomendações expedidas por ela e ter conhecimento das emitidas pelos órgãos de controle externo, pelo conselho fiscal e pelo conselho de administração, se houver, de forma a subsidiar a comunicação de que trata o item 148 desta Instrução Normativa.

CAPÍTULO VI – OPERACIONALIZAÇÃO DAS AÇÕES INDIVIDUAIS DE AUDITORIA INTERNA GOVERNAMENTAL

155.A execução das ações individuais de AIG previstas no PAINT deve contemplar, em cada caso, as etapas de planejamento, execução, comunicação dos resultados e monitoramento, devendo o responsável pela UAIG garantir, em todas as etapas dos trabalhos, a existência de adequada coordenação e supervisão, com a finalidade de assegurar o atingimento dos objetivos do trabalho e a qualidade dos produtos.

156. As ações de Auditoria Interna Governamental podem ser realizadas remotamente, em conformidade com o que estabelece a ISO
19011:2012 - Diretrizes para Auditoria de Sistemas de Gestão.

Seção I - Planejamento

157. O responsável pela UAIG deve desenvolver e documentar um planejamento para cada trabalho a ser realizado antes da sua execução, e deve estabelecer os principais pontos de orientação das análises a serem realizadas, incluindo, entre outras, informações acerca dos objetivos do trabalho, do escopo, das técnicas a serem aplicadas, das informações requeridas para os exames, do prazo de execução e da alocação dos recursos ao trabalho.

158. O planejamento da auditoria deve considerar as seguintes atividades, entre outras consideradas relevantes pela equipe, que devem ser devidamente documentadas:

a) análise preliminar do objeto da auditoria, incluindo neste aspecto

o estudo da estrutura orgânica da Unidade Examinada bem como as atribuições e competências dos titulares das unidades administrativas envolvidas na operacionalização do processo a que se refere o objeto de auditoria;

b) definição do objetivo e do escopo do trabalho, considerando os prin- cipais riscos existentes e a adequação e suficiência dos mecanismos de controle estabelecidos;

c) alocação da equipe de auditoria, consideradas as necessidades do trabalho, o perfil dos auditores, o tempo previsto para a realização dos exames e o orçamento necessário;

d) designação do servidor responsável pela coordenação e supervisão dos trabalhos;

e) elaboração do documento Matriz de planejamento.

159. O conjunto de atividades realizadas na etapa de planejamento da auditoria denomina-se Plano de Trabalho, os quais são aprovados pelo supervisor do trabalho, deve conter as questões de auditoria formula- das, os critérios adotados, as técnicas, a natureza e a extensão dos testes necessários para identificar, analisar, avaliar e documentar as informações durante a execução do trabalho de modo a permitir a emissão de opinião, bem como o orçamento necessário para realização do Plano de Trabalho.

160. Nos serviços de consultoria, o Plano de Trabalho pode variar na forma e no conteúdo de acordo com a natureza do trabalho.

161. O Plano de Trabalho e os eventuais ajustes posteriores realizados devem ser adequadamente documentados e previamente aprovados pelo supervisor da ação de auditoria.

162. Devem ser considerados no planejamento todos os aspectos relevantes para o trabalho, especialmente:

a) os objetivos e as estratégias da Unidade Examinada e os meios pelos quais o seu desempenho é monitorado;

b) os riscos significativos a que a Unidade Examinada está exposta e as medidas de controle pelas quais a probabilidade e o impacto potencial dos riscos são mantidos em níveis aceitáveis;

c) a adequação e a eficácia dos processos de governança, de gerenciamento de riscos e de controles internos da Unidade Examinada, comparativamente a uma estrutura ou modelo compatível e as oportunidades de se promover melhorias significativas em seus processos com eventual eliminação de controles ineficazes, contribuindo para o ganho de eficiência e melhoria dos serviços e produtos entregues;

d) a oportunidade de realização do trabalho em face da existência de dados e informações confiáveis, a disponibilidade de SCI com conhecimentos e habilidades específicas e a inexistência de impedimentos para a execução.

163. Devem ser determinados os recursos apropriados e suficientes para cumprir os objetivos do trabalho de auditoria, tendo-se por base uma avaliação da natureza e da complexidade de cada trabalho, os riscos e o grau de confiança depositado pelo SCI nas medidas tomadas pela administração para mitigá-los, as restrições de tempo e de recursos disponíveis, bem como a eventual necessidade de recursos externos, neste último quando requeridos conhecimentos e competências adicionais não disponíveis na unidade de controle interno.

164. Ao planejar um trabalho a ser executado de forma integrada, as UAIG envolvidas devem estabelecer entendimento por escrito dos
objetivos, do escopo, das responsabilidades e de outras expectativas, incluindo eventuais restrições à distribuição dos resultados do trabalho e ao acesso aos seus registros.

165. Nos trabalhos de consultoria deve ser estabelecido, de forma documentada, prévio entendimento com a Unidade Examinada quanto às expectativas, aos objetivos e ao escopo do trabalho, às responsabilidades e à forma de monitoramento das recomendações eventualmente emitidas.

166. O planejamento da ação de controle pode ser feito com rito simplificado para as situações que demandem a produção de resultados dentro de prazos exíguos, quando não se demonstrar factível o cumprimento normal de prazo para a realização de planejamento completo ou quando não se demonstrar factível o cumprimento normal de prazo para a realização de planejamento completo.

167. O planejamento deve ser ajustado em função de especificidades verificadas em campo que demandem a ampliação ou redução do escopo definido, considerando o Princípio Administrativo da Eficiência.

168. O planejamento pode ser simplificado ou completo, conforme a complexidade da ação de controle, e ser devidamente registrado no sistema E-aud.

Subseção I - Análise Preliminar do Objeto da Auditoria
169. Análise Preliminar do Objeto é o registro do conhecimento sobre o objeto da auditoria e o ambiente em que está inserido, ou seja, objetivos, riscos, controles, normas aplicáveis, estrutura gerencial, fluxograma, indicadores, recursos, sistemas, histórico de auditorias, entre outras.

170. Tem como objetivo facilitar o estabelecimento dos objetivos, escopo, exames a serem realizados e recursos necessários para realização dos trabalhos e consiste na entrega da análise preliminar, matriz de riscos e controle e fluxos de processos.

171. Os responsáveis pela UAIG devem coletar e analisar dados e informações sobre a Unidade Examinada, com o intuito de obter conhecimento suficiente sobre seu propósito, funcionamento, principais riscos e medidas tomadas pela administração para mitigá-los, de forma a estabelecer os objetivos dos trabalhos, os exames a serem realizados e os recursos necessários para a realização da auditoria.

172. Constituem fontes de informação passíveis de serem consideradas na análise preliminar:

a) objetivos e riscos associados ao objeto de auditoria (definidos pela estrutura organizacional competente, conforme a política de gestão de riscos da organização) e os controles internos associados a esses riscos;

b) apetite a risco da organização, caso haja, em relação aos riscos associados ao objeto da auditoria (definido pela estrutura organizacional competente, conforme a política de gestão de riscos da organização);

c) relação do objeto de auditoria com a missão, visão, objetivos estratégicos da Unidade Examinada;

d) objetivos e estrutura de governança, de gerenciamento de riscos e controles do objeto de auditoria;

e) indicadores de desempenho do objeto de auditoria;

f) fluxogramas (mapas de processos) relacionados ao objeto da auditoria;

g) estrutura organizacional das áreas envolvidas, respectivos responsáveis e período de gestão;

h) leis e regulamentos, normas, orientações, manuais e procedimentos internos, decisões de órgãos reguladores relacionados ao objeto de auditoria;

i) jurisprudência de interesse (Tribunal de Contas da União, Tribunal de Contas do Estado de Minas Gerais, Supremo Tribunal Estadual,
Superior Tribunal de Justiça, etc.);

j) estudos sobre o objeto da auditoria;

k) quantidade/lotação/perfil da força de trabalho envolvida (inclusive terceirizados);

l) principais insumos utilizados (energia, equipamentos, matériaprima, etc.);

m) sistemas informatizados utilizados;

n) partes interessadas;

o) programas/ações orçamentários envolvidos e materialidade dos recursos;

p) recomendações dos órgãos de controle pendentes de atendimento;

q) informações extraídas de sistemas corporativos, da imprensa, dainternet;

r) resultados precedentes de trabalhos de auditoria anteriores (controle interno e externo);

s) informações de apurações efetuadas pelas corregedorias ou unidades equivalentes;

t) informações de outros órgãos que compõem a Rede de Controle, a exemplo do TCEMG, MP;

u) controles internos primários aplicados e suas deficiências, especialmente dos sistemas de informação;

v) informações da gestão da unidade, colhidas na mídia, nas contas anuais, na Ouvidoria-Geral do Estado, entre outros; e

w) execução do programa/ação, processo ou atividade em relação ao planejado (série histórica).

173. As reclamações recebidas pela Ouvidoria-Geral do Estado podem indicar problemas estruturais no órgão ou na entidade.

174. Identificada a inviabilidade de realização de trabalho de auditoria, considerando o custo e benefício da ação de controle, deve-se
elaborar Nota de Auditoria, fundamentando as razões da inexecução do trabalho.

Subseção II - Objetivos do Trabalho de Auditoria

175. Findada a análise preliminar do objeto de auditoria, deve-se ter condições de definir, mesmo que preliminarmente, os objetivos do trabalho e uma definição do escopo, os quais poderão ser aprimorados após a avaliação dos riscos e dos controles associados ao objeto.

176. Os objetivos consistem essencialmente nas questões a que a auditoria pretende responder e devem ser estabelecidos para cada trabalho de auditoria a ser realizado. Devem ainda ser descritos de modo que o propósito da auditoria fique claro, ser concisos, realistas e não conter termos ambíguos ou abstratos. Os objetivos têm as seguintes características:

a) definem especificamente os resultados pretendidos na auditoria, ou seja, o seu propósito;

b) direcionam o escopo, os testes, o tempo, os recursos e as competências necessárias na equipe, a metodologia e a natureza do trabalho de auditoria, ou seja, a abrangência e a extensão dos exames do trabalho;

c) orientam a formulação dos achados de auditoria.

177. Na definição dos objetivos do trabalho de auditoria deve-se considerar ainda a probabilidade de erros significativos, fraudes, não conformidades e outras exposições a riscos a que a Unidade Examinada esteja sujeita.

178. Deve-se selecionar critérios adequados para avaliar a governança, o gerenciamento de riscos e os controles internos da gestão, os quais podem ser extraídos de várias fontes de informação, incluindo leis, regulamentos, princípios, políticas internas e boas práticas.

179. O escopo deve ser suficiente e compreender uma declaração clara do foco, da extensão e dos limites da auditoria, e sua amplitude deve ser suficiente para que os objetivos da auditoria sejam atingidos.

180. A UAIG poderá utilizar trabalhos de auditoria elaborados por outra unidade, por órgão de controle externo ou entidade de auditoria
privada como subsídio para a definição do escopo do trabalho, devendo observar, para tanto:

a) se a natureza, os objetivos, o período e a extensão desses trabalhos são compatíveis com o trabalho da auditoria interna que está sendo planejado;

b) se a auditoria foi realizada com base em riscos;

c) se os trabalhos foram realizados em conformidade com as normas técnicas aplicáveis ao trabalho de AIG.

Subseção III - Designação da equipe de trabalho

181. O trabalho de auditoria inicia-se com a designação da equipe de trabalho, por meio de Ordem de Serviço emitida pelo Superintendente ou Auditor-Geral e por meio de memorando ou outro documento similar, quando das CSET/CSEC, contemplando todas as etapas do processo de auditoria.

182. Para a realização de trabalho de auditoria é obrigatória a declaração específica de independência, por todos os membros da equipe de auditoria, conforme modelo constante no Apêndice I desta Instrução Normativa, e que deverá constar nos papéis de trabalho de auditoria.

183. A comunicação de início dos trabalhos deverá ser realizada formalmente e em reunião, sempre que possível, com a participação do
dirigente máximo da Unidade Examinada, e ser conduzida pelo supervisor da auditoria, podendo haver delegação desta atribuição. Como pauta mínima para a reunião sugere-se:

a) comunicação do tipo de auditoria e do objetivo geral do trabalho;

b) apresentação do cronograma, incluindo prazos previstos para trabalho de campo, relatoria e datas prováveis das reuniões com a Unidade Examinada;

c) apresentação da equipe de auditoria, inclusive indicando quem exercerá o papel de supervisor e de coordenador de equipe;

d) identificação de representante da Unidade Examinada que possa atuar como interlocutor da equipe de auditoria;

e) definição dos recursos e da estrutura necessários para os trabalhos de campo, tais como disponibilização de espaço físico e de equipamentos, se for o caso;

f) tratativas sobre acesso a instalações físicas, documentos e informações, inclusive quando houver dados sigilosos;

g) exposição da dinâmica da auditoria, se o auditado não tiver familiaridade com esse processo;

h) indicação da forma de comunicação dos resultados;

i) indicação das responsabilidades do auditado;

j) exposição, por parte dos representantes da Unidade Examinada, caso queiram, de possíveis sugestões para o escopo da auditoria ou de quaisquer preocupações ou dúvidas sobre o trabalho.

184. Ao iniciar os trabalhos de campo, a equipe de auditoria deve apresentar à Unidade Examinada o objetivo, a natureza, a duração, a extensão e a forma de comunicação dos resultados do trabalho.

Subseção IV - Participação de Profissionais externos à UAIG

185. Para assegurar que estejam presentes as competências coletivas da equipe necessárias à realização dos trabalhos; para promover o aprendizado e a troca de experiências, capazes de proporcionar o fortalecimento recíproco entre unidades da Administração Pública; e para evitar a duplicação de esforços, o responsável pela UAIG poderá contar com a participação de profissionais externos à UAIG, que poderá participar da equipe de auditoria das seguintes formas:

a) equipe composta por auditores de outras UAIG;

b) equipe composta por SCI de órgãos de controle externo ou interno de outras esferas governamentais;

c) cooperação entre as UAIG e instituições públicas que atuam na defesa do patrimônio público, tais como Ministério Público e Polícia
Civil;

d) solicitação de opinião técnica especializada de prestadores de serviços externos à UAIG, ou seja, de profissional ou organização, sem vínculo direto com a UAIG, que detenha conhecimento, habilidade e experiência em algum tema específico necessário para o desenvolvimento de trabalhos de auditoria.

186. Em todos os casos, a UAIG deve ser realizar a adequada supervisão dos trabalhos.

187. A responsabilidade dos SCI da UAIG em relação ao trabalho não é reduzida pela colaboração de prestadores de serviços externos, e os cuidados que devem ser adotados antes de se aceitar a opinião do especialista devem ser tanto maiores quanto maiores forem o risco ou a significância do objeto avaliado. Para que a opinião dos especialistas seja utilizada pelos SCI, quer como subsídio para o desenvolvimento das etapas do trabalho, quer como evidência para os achados de auditoria, é necessário que a UAIG: garanta que o trabalho do colaborador externo seja planejado, documentado e supervisionado; avalie se o trabalho foi realizado de acordo com os critérios predefinidos e com aqueles constantes do Programa de Qualidade; verifique se a opinião e as evidências apresentadas são apropriadas e suficientes e se passam pelo crivo da razoabilidade; e, decida sobre a necessidade de realizar testes adicionais.

Subseção V - Matriz de Planejamento

188. Matriz de Planejamento consiste na estruturação e sistematização, em formato de matriz, das seguintes informações correlacionadas:

a) Problema (facultativo) ou Risco: o problema consiste na descrição daquilo que motivou a auditoria. Deve ser bem delimitado e expresso de forma clara e concisa;

b) Questões de auditoria: consistem nos objetivos do trabalho descritos em forma de perguntas. São necessárias para direcionar os trabalhos para os resultados que se pretende atingir;

c) Subquestões de auditoria: são desdobramentos de cada questão de auditoria que permitem no conjunto respondê-la, devendo ao mesmo tempo excluir-se mutuamente e completar-se coletivamente;

d) Critério (o que deve ser): é o padrão utilizado para avaliar se o objeto auditado atende, excede ou está aquém do desempenho esperado;

e) Informações requeridas: deve ser preenchida com as informações que serão necessárias para responder às questões de auditoria;

f) Fontes de informação: é a identificação de onde as informações requeridas estão disponíveis;

g) Procedimentos de auditoria: conjunto de exames que têm como finalidade obter evidências suficientes, confiáveis, fidedignas, relevantes e úteis, que permitam responder a uma questão de auditoria;

h) Possíveis limitações para a execução da auditoria: fatos que podem impossibilitar a verificação de alguns aspectos ou a utilização de algumas técnicas;

i) Membro da equipe responsável pela execução;

j) Período;

k) O que a análise vai permitir dizer/Possíveis achados (facultativo): hipóteses, ou seja, respostas provisórias para as questões de auditoria. Têm o papel de auxiliar o auditor a antecipar possíveis dificuldades ou fragilidades no seu trabalho.

Subseção VI - Da Equipe de auditoria

189. A realização das ações de controle se dará por equipe composta de SCI com conhecimento técnico, postura proativa e capacidade de interlocução e mediação de conflitos.

190. Equipe é o grupo responsável pela execução das ações de controle, podendo ainda valer-se de apoio de outros profissionais da CGE, de consultores independentes, de servidores públicos e de especialistas.

191.A atuação da equipe deve seguir o planejamento previamente estabelecido, de modo a garantir a evidenciação dos achados mediante papéis de trabalho devidamente elaborados e, ainda:

a) realizar a interlocução permanente com os gestores das áreas e os dirigentes das unidades;

b) participar, em conjunto com os Superintendentes da AUGE ou CSET/CSEC, da elaboração do planejamento para a execução dos trabalhos, colaborando para a definição de procedimentos, prazos e objetivos a serem alcançados;

c) executar os procedimentos com vistas à garantia de conformidade da aplicação dos exames e testes sobre as amostras previamente
definidas;

d) elaborar os registros, identificando assuntos conexos, promovendo o encadeamento e a coesão dos textos referentes aos pontos construídos em relação à composição dos relatórios;

e) responsabilizar-se pela qualidade dos relatórios produzidos, com foco na adequabilidade e consistência dos apontamentos em relação às evidências obtidas e das recomendações formuladas com as causas e consequências identificadas;

f) garantir que os papéis de trabalho estejam devidamente organizados e armazenados;

g) apoiar os Diretores e Superintendentes da AUGE e ou CSET/CSEC, mediante a sinalização de falhas que demandem a realização de intervenções no curso dos trabalhos;

h) preparar a versão do relatório de auditoria destinado à publicação, conforme orientações contidas no Capítulo VIII.

192. Os membros da equipe respondem pela veracidade, tecnicidade e qualidade de todos os relatos.

193. A realização das ações de controle se dará por equipe qualificada, com conhecimento técnico, postura proativa e capacidade de interlocução e mediação de conflitos.

194. A Equipe de auditoria é o grupo responsável pela execução das ações de controle e deve conter, no mínimo, um executor, um coordenador e um supervisor do trabalho, com as seguintes informações:

a) o tipo de trabalho a ser realizado;

b) a Unidade Examinada;

c) o objeto de auditoria;

d) o objetivo estabelecido no Plano de Auditoria Interna;

e) o prazo previsto para desenvolvimento das atividades, que poderá ser prorrogado mediante justificativa da equipe de auditoria;

f) os SCI que comporão a equipe de auditoria, responsável pela execução, coordenação e pela supervisão do trabalho.
195. A Ordem de Serviço é um documento emitido pelo titular da AUGE ou seus superintendentes, que designa e credencia os auditores
junto aos órgãos e entidades do Poder Executivo, relativo ao objeto de auditoria, permitindo livre acesso a todas as dependências e a quaisquer documentos e informações necessárias para a realização dos trabalhos. Para tanto, nos trabalhos de campo, é recomendável o SCI portar a Ordem de Serviço para sua atuação, exceto quando se tratar de auditores internos de carreira.

196. Nas auditorias, os SCI podem requisitar e ter acesso irrestrito a processos, documentos, registros, operações, dados e quaisquer outras informações, inclusive aquelas armazenadas em sistemas corporativos do Poder Executivo de Minas Gerais.

197. As restrições às ações de controle, sem a motivação adequada e suficiente, deverão ser comunicadas ao titular da AUGE, para avaliação sobre as medidas pertinentes ou de representação ao titular da CGE, se for o caso.

198. Diante da ausência ou insuficiência de equipe de auditoria na CSET/CSEC, a coordenação ou a supervisão do trabalho poderá ser
suprida com SCI da AUGE ou das demais CSET/CSEC, após autorização do titular da AUGE.

199. Na CSET/CSEC em que houver apenas o responsável pela CSET/CSEC, as ações de controle podem ser executadas por apenas um SCI.

200. Visando ao atendimento específico das demandas da AUGE, poderá ser incluído servidor da UAIG em ordens de serviços da AUGE, com vistas ao cumprimento de ações de AIG.

201. Os membros das equipes são responsáveis pela qualidade dos trabalhos realizados, a consistência dos relatórios produzidos e a observância dos prazos estabelecidos.

202. No âmbito da CGE, o supervisor do trabalho de auditoria comunicará formalmente ao Dirigente Máximo do órgão ou entidade o início do trabalho e a equipe designada.

203. A atuação da equipe de auditoria deve seguir o planejamento previamente estabelecido, de modo a garantir a evidenciação dos achados mediante papéis de trabalho devidamente elaborados e, ainda:

a) realizar a interlocução permanente com os gestores das áreas e o dirigente da Unidade Examinada;

b) elaborar, em conjunto com os diretores ou superintendentes da AUGE, sempre que possível, o planejamento para a execução dos
trabalhos, definição de procedimentos, prazos e objetivos a serem alcançados;

c) executar os procedimentos com vistas à garantia de conformidade da aplicação dos exames e testes sobre o universo ou as amostras previamente definidas;

d) elaborar os registros, identificando assuntos conexos, promovendo o encadeamento e a coesão dos textos referentes aos pontos construídos em relação à composição dos relatórios;

e) responsabilizar-se pela qualidade dos relatórios produzidos, com foco na adequabilidade e consistência dos apontamentos em relação às evidências obtidas e das recomendações formuladas com as causas e consequências identificadas;

f) garantir que os papéis de trabalho estejam devidamente organizados e armazenados; e

g) apoiar e comunicar ao titular da AUGE, mediante a sinalização de falhas que demandem a realização de intervenções no curso dos
trabalhos.

204. Os membros da equipe respondem pela veracidade, tecnicidade e qualidade de todos os relatos.

Subseção VII - Das responsabilidades pela execução, coordenação e supervisão

205. Compete ao coordenador e supervisor de trabalho de auditoria o acompanhamento operacional, a orientação técnica e o controle de qualidade primário das ações de controle dos trabalhos de auditoria da sua área de atuação.

206. No âmbito da AUGE, em regra, o coordenador e o supervisor de trabalho de auditoria correspondem ao diretor e ao superintendente, respectivamente, podendo ser designados outros servidores da AUGE ou das CSET/CSEC.

207. A coordenação deve ser realizada por meio de um processo contínuo de acompanhamento das atividades, que abrange todas as fases da auditoria, com a finalidade de assegurar a qualidade do trabalho, o alcance dos objetivos e o desenvolvimento da equipe, com atribuições de:

a) auxiliar na elaboração do cronograma de atividades e zelar pelo seu cumprimento;

b) liderar a execução do trabalho, de forma a garantir o cumprimento do planejamento;

c) participar da elaboração do Plano de Trabalho e, quando necessário, apresentar sugestões de alterações do planejamento ao supervisor;

d) manter interlocução com a Unidade Examinada e atender aos seus servidores/funcionários e dirigentes, sobretudo para esclarecer o conteúdo de documentos emitidos durante o trabalho de auditoria;

e) assegurar-se de que os documentos de comunicação da UAIG com a Unidade Examinada atendam aos parâmetros contidos neste documento e nos demais normativos aplicáveis;

f) acompanhar os integrantes da equipe de auditoria na aplicação de testes que demandem interação com os gestores ou servidores/funcionários da Unidade Auditada, tais como entrevistas ou aplicações de questionários;

g) solicitar a intervenção do supervisor sempre que esta seja necessária para assegurar o cumprimento das normas, das orientações, a segurança da equipe e a solução de eventuais conflitos.

208. As atribuições típicas dos SCI que compõem a equipe de auditoria compreendem:

a) executar o trabalho de acordo com as normas e práticas de auditoria aplicáveis;

b) observar as orientações do supervisor e do coordenador de equipe;

c) elaborar cronograma para o trabalho de auditoria, em conjunto com o coordenador e o supervisor;

d) participar da elaboração do Plano de Trabalho;

e) executar as atividades de acordo com o planejamento realizado;

f) coletar e analisar informações relevantes e precisas por meio de procedimentos e técnicas de auditoria apropriados;

g) elaborar os documentos de comunicação com a Unidade Examinada e submetê-los à avaliação do coordenador de equipe;

h) assegurar a suficiência e a adequação das evidências de auditoria para apoiar achados, recomendações e conclusões da auditoria;
i) registrar as atividades realizadas em papéis de trabalho, conforme políticas e orientações estabelecidas pela AUGE;

j) manter a confidencialidade e a segurança de informações, dados, documentos e registros;

k) comunicar quaisquer achados críticos ou potencialmente significativos ao coordenador ou ao supervisor do trabalho em tempo hábil;

l) quando houver limitação do trabalho, comunicar o fato, de imediato, ao coordenador ou ao supervisor do trabalho.

m) assinar a Declaração de Independência e Imparcialidade, conforme Apêndice Único.

209. O supervisor do trabalho de auditoria é a instância máxima de supervisão do controle de qualidade, com atribuições de:

a) definir a equipe de auditoria, de forma a garantir a proficiência coletiva;

b) indicar o coordenador de equipe;

c) garantir que a auditoria seja realizada de acordo com as normas e práticas de auditoria aplicáveis;

d) interagir com a equipe e instruí-la, durante todo o trabalho de auditoria, inclusive na fase de planejamento, promovendo oportunidades de desenvolvimento dos auditores;

e) em conjunto com a equipe e o coordenador, elaborar cronograma para o trabalho de auditoria e zelar pelo seu cumprimento;

f) conduzir a elaboração do Plano de Trabalho, promovendo a participação e a interação da equipe de auditoria;

g) aprovar o Plano de Trabalho e autorizar eventuais alterações;

h) garantir o cumprimento do Plano de Trabalho e o alcance dos objetivos;

i) confirmar se as evidências suportam os achados, as conclusões e as recomendações elaboradas pela equipe;

j) revisar os papéis de trabalho e certificar-se de que foram devidamente elaborados e de que sustentam os achados e as conclusões alcançadas pela equipe;

k) assegurar a qualidade dos produtos e das comunicações e, se necessário, solicitar aos auditores evidências adicionais ou esclarecimentos;

l) sempre que possível, conduzir as reuniões de abertura e as que tenham como finalidade discutir os achados e as possíveis soluções com os representantes da Unidade Auditada;

m) manter a confidencialidade e a segurança de informações, dados, documentos e registros;

n) garantir que haja evidências da realização do trabalho de supervisão.

210. A hierarquia representa um poder da Administração que se caracteriza pela existência de graus de subordinação entre os diversos órgãos e agentes do Poder Executivo. Dessa forma, o atributo de independência do auditor não impede que os relatórios das ações de controle, que têm caráter institucional, sejam examinados, discutidos e revisados pelos superiores hierárquicos, com vistas a aprimorá-los, sob o aspecto redacional e técnico, sempre justificados, especialmente quando houver deficiências nos papéis de trabalho e nas evidências que o suportam. Desse modo, não se confunde independência com a hierarquia.

211. O atributo de independência do auditor consiste na imunidade quanto às condições que ameaçam a capacidade da atividade de auditoria interna de conduzir as responsabilidades de auditoria interna de maneira imparcial. A independência é um princípio fundamental aplicado à ação de controle, no qual o auditor tem autonomia para elaborar o relatório e emitir opinião, desde que siga as demais regras atinentes ao trabalho realizado.

212. As comunicações internas entre as instâncias de revisão e supervisão dos trabalhos deverão ser tempestivas, de modo a garantir a celeridade nas etapas e o cumprimento dos prazos estabelecidos.

Seção II - Execução da auditoria

213. O desenvolvimento dos trabalhos contempla as etapas de execução dos testes de auditoria, análise e avaliação e documentação, que devem ser apropriadamente supervisionadas com a finalidade de cumprir os objetivos do trabalho de auditoria.

Subseção I - Apresentação da equipe de Auditoria

214. A equipe de trabalho será formalmente apresentada ao dirigente do órgão e entidade, quando for o caso, por meio de documento de apresentação assinado pelo titular da AUGE ou pelo responsável pela CSET/CSEC, conforme o caso.

215. O documento de apresentação deve destacar aos dirigentes a importância do atendimento tempestivo de solicitações que venham a ser emitidas durante a fase de execução, de forma a possibilitar a celeridade dos trabalhos e a qualidade das informações obtidas pela equipe.

216. Na hipótese de a unidade não apresentar à equipe os processos, os documentos ou as informações solicitadas, as instâncias superiores da CGE serão acionadas e, caso findo o prazo estabelecido, tal fato será consignado no relatório.

217. As unidades auditadas devem observar os seguintes procedimentos:

a) recepcionar a equipe formalmente apresentada, disponibilizando local adequado para a realização dos exames;

b) garantir a comunicação permanente com a equipe, mediante interlocutor formalmente indicado, o qual deverá atuar como articulador entre a equipe e as áreas examinadas, facilitando o fornecimento de informações e processos; e

c) atender às solicitações, mediante apresentação de documentos, processos e informações objetivas, que possibilitem a análise e a formação de opinião dos auditores, observando os prazos estabelecidos no documento Solicitação de Auditoria, sempre que possível em acordo com o auditado.

218. Caso as manifestações referentes aos documentos mencionados item 218, alínea “c” não atendam aos prazos estipulados poderão ser desconsideradas para emissão do Relatório de Auditoria e registrados como restrição de escopo.

219. O Supervisor de equipe é o facilitador que tem como papel garantir o cumprimento do planejamento proposto dentro dos melhores
padrões de qualidade, a quem cabe, ainda, a articulação de campo com os responsáveis das unidades gestoras.

220. Durante a execução dos trabalhos, os SCI devem executar os testes definidos na matriz de planejamento, com a finalidade de identificar informações suficientes, confiáveis, relevantes e úteis.

221. Para a execução adequada dos trabalhos, os SCI devem ter livre acesso a todas as dependências da Unidade Examinada, assim como a seus servidores ou empregados, informações, processos, bancos de dados e sistemas.

222. Eventuais limitações de acesso devem ser comunicadas, de imediato e por escrito, à Alta Administração ou ao conselho, se houver, com solicitação de adoção das providências necessárias à continuidade dos trabalhos de auditoria. Em última instância, o titular da AUGE deverá ser comunicado quando do não atendimento à solicitação de acesso requerida anteriormente.

Subseção II - Procedimentos de auditoria

223. O procedimento de auditoria é um conjunto de exames, previstos no Plano de Trabalho, com a finalidade de obter evidências suficientes, confiáveis, fidedignas, relevantes e úteis, que permitam responder a uma questão de auditoria definida na fase de planejamento do trabalho. Para a escolha do procedimento adequado, deve-se considerar as seguintes hipóteses:

a) a extensão, a época e a natureza dos procedimentos;

b) a capacidade que o procedimento detém de contribuir para o alcance dos objetivos da auditoria;

c) a relação custo e benefício de realização dos procedimentos.

224. A natureza do procedimento de auditoria refere-se à sua finalidade e ao seu tipo, sendo este também denominado de “técnicas de
auditoria”.

225. De acordo com a finalidade do procedimento, tem-se os seguintes exames:
a) testes substantivos: têm como finalidade verificar a suficiência, a exatidão e a validade dos dados obtidos. São empregados quando é
necessário obter evidências suficientes e convincentes sobre as transações, que lhe proporcionem fundamentação para opinião acerca de determinados fatos. Visam à obtenção de evidências quanto à suficiência, à exatidão e à validação dos dados produzidos pelos sistemas contábeis e administrativos, dividindo-se em testes de transações e saldos e procedimentos de revisão analítica. Os procedimentos substantivos subdividem-se em:
a.1) testes de detalhes ou testes de transações e saldos, que se referem ao exame de registros contábeis e das operações e documentos que lhes deram origem, bem como a conformidade dos atos administrativos;

a.2) procedimentos analíticos substantivos ou revisões analíticas, que envolvem a utilização de comparações para avaliar adequação.

b) testes de controle: são aqueles que avaliam o desenho e a efetividade operacional dos controles, ou seja, se os controles realmente impedem ou revelam a ocorrência de falhas nas atividades controladas e se eles estão funcionando da forma estabelecida. Tem-se os exames mais relevantes, mas que também podem ser utilizados nos testes substantivos, no que couber: inspeção; observação; análise documental; confirmação externa (circularização); indagação; recálculo; correlação das informações obtidas; exame físico; corte das operações ou Cut-Off; rastreamento; revisão analítica; matrizSWOT; problema focal; amostragem; e, técnica de auditoria assistida por computador.

Subseção III - Técnicas de auditoria

226. Os SCI devem reunir, em conjunto, qualificação e conhecimentos necessários para o trabalho, devendo possuir conhecimentos adequados sobre as técnicas de auditoria, sendo fundamental observar a finalidade específica de cada técnica, de modo a evitar a aplicação de técnicas inadequadas, a execução de exames desnecessários e o desperdício de recursos humanos e de tempo.

227. As técnicas de auditoria não são excludentes, mas complementares.

228. Diferentes tipos de evidência de auditoria podem ser obtidos usando diferentes técnicas como, por exemplo:

a) evidência testemunhal: Entrevistas; pesquisas, questionários; grupos focais e grupos de referência;

b) evidência documental: Revisão de documentos; revisão de arquivos; uso de estatísticas existentes; uso de bases de dados existentes; circularização; mapa de processo;

c) evidência física: Observação de pessoas; inspeção de objetos ou pro- cessos; experimentos, por exemplo, nível de segurança de dados eletrônicos; geosensoriamento remoto;

d) evidência analítica: Por exemplo, métodos de coleta de dados quan- titativos; análises de regressão; cálculos; conciliação; análise de contas; comparações; extração eletrônica de dados e cruzamento eletrônico de dados.

Inspeção ou Exame de Registros

229. A inspeção consiste na verificação de registros, de documentos ou de ativos, que proporcionará ao servidor de controle interno a formação de opinião quanto à existência física do objeto ou do item examinado.Trata-se de verificação dos registros constantes de controles regulamentares, relatórios sistematizados, mapas e demonstrativos formalizados, elaborados de forma manual ou por sistemas informatizados. Por meio da inspeção física, deve verificar, através do exame visual:
a) o item específico a ser examinado e comprovar que ele realmente existe;

b) avaliar se o item sob exame é fidedigno;

c)apurar a quantidade real existente fisicamente;

d)avaliar a possibilidade de providenciar exame laboratorial a fim de averiguar se o objeto examinado é o que deveria ser e se permanece em perfeitas condições de uso.

230.Na inspeção física, a evidência é coletada sobre bens tangíveis, sendo uma técnica complementar que ajuda o servidor de controle
interno a se certificar de que há uma verdadeira correspondência entre a realidade e os registros da Unidade Examinada e de que os registros estão corretos e seus valores adequados, em função da quantidade e da qualidade do item examinado.

Observação

231. A observação consiste no exame de processo ou de procedimento executado por outros, tais como empregados ou servidores da Unidade Examinada, com a finalidade de averiguar se o item sob exame opera em conformidade com os padrões (critérios) definidos. Trata-se de verificação das atividades que exigem a aplicação de testes no momento em que as operações ocorrem, com a finalidade de revelar erros, problemas ou deficiências que de outra forma seriam de difícil achado. Os elemen- tos da observação são os seguintes:

a) identificação da atividade específica a ser observada;

b) observação da sua execução;

c) comparação do comportamento observado com os padrões;

d) avaliação e conclusão.

Análise documental ou Inspeção de Registros e documentos

232. A análise documental visa à comprovação das transações que, por exigências legais, comerciais ou de controle, são evidenciadas por documentos. Tem como finalidade a verificação da legitimidade do documento e também da sua transação.

233. A análise documental envolve o exame de dois tipos de documen- tos: internos, produzidos pela própria Unidade Examinada, e externos, produzidos por terceiros.

234. É necessário que o servidor de controle interno, ao examinar tais documentos, verifique os seguintes aspectos:

a) se a documentação é fidedigna e merece confiabilidade (autenticidade);

b) se a transação se refere à operação normalmente executada naquele contexto e se está de acordo com os objetivos e normativos da Unidade Examinada (normalidade);

c) se a operação e os documentos examinados foram aprovados por pessoa autorizada (aprovação);

d) se os registros foram preenchidos corretamente e, nos casos de documentos oficiais, se existe o registro em órgão competente
(oficialidade).

235. A análise documental fornece evidência de auditoria com graus de confiabilidade variáveis, que dependem da natureza e da fonte dos registros e, no caso de registros internos, da eficácia dos controles internos.

Confirmação externa (circularização)

236. A confirmação externa, ou circularização, é a técnica utilizada para a obtenção de declaração formal e independente de partes externas, tais como pessoas, empresas, órgãos fiscalizadores, a respeito de fatos ligados às operações da Unidade Examinada. Serve também para a verificação, junto a fontes externas à Unidade Examinada, da fidedignidade das informações obtidas internamente. Implica na obtenção de declaração formal e imparcial de pessoas independentes à organização e que estejam habilitadas a confirmar, devendo-se observar: a data base da confirmação; a amplitude do teste de confirmação; e, o tipo de confirmação a ser empregado.

237. A evidência de auditoria obtida como resposta de terceiro (a parte que confirma) deve se apresentar na forma escrita (impressa, eletrônica ou em outra mídia).

Indagação ou Entrevista
238. A indagação escrita ou oral (entrevista) consiste na formulação de perguntas com a finalidade de obter informações, dados e explicações que contribuam efetivamente para o alcance dos objetivos do trabalho de auditoria, normalmente utilizada para obter informações complementares ou para compreender fatos que não puderam ser esclarecidos por meio de outras técnicas de auditoria. Pode ser utilizada interna ou externamente à Unidade Examinada.

239. São tipos de entrevista:
a) livre ou não estruturada: realizada sem roteiro prévio ou com roteiro simplificado, contendo os principais pontos de interesse da equipe de modo a permitir que sejam formuladas outras questões no momento;

b) semiestruturada: realizada mediante um roteiro previamente estabelecido, normalmente trazendo perguntas fechadas e algumas abertas;

c) estruturada: baseada em roteiro fixo, com perguntas bem definidas.

240. Antes da execução da indagação oral, a fase deverá preceder de planejamento minucioso que será preponderante para a obtenção de resultado satisfatório, sendo desejável que o SCI que irá proceder esta etapa haja da seguinte forma:

a) obtenha o conhecimento sobre a Unidade Examinada, sobre a área a ser examinada e também sobre a técnica a ser utilizada;

b) liste as informações a serem obtidas;

c) construa um roteiro de entrevista com questões objetivas organiza- das por ordem de importância;

d) selecione o entrevistado;

e) defina o número de entrevistados, se for mais de um;

f) marque a hora e o local da entrevista com antecedência.

241. Para a realização adequada da entrevista, o SCI precisa explicar o seu objetivo, buscar local adequado em que não haja interrupções, barulhos ou distrações e após formalizar o seu resultado (reduzido a termo), submetê-lo formalmente ao entrevistado para fins de ratificação, estabelecendo-se um prazo para resposta. Recálculo ou Conferência de Cálculos

242. O recálculo ou conferência de cálculos consiste na verificação da exatidão matemática de cálculos efetuados pela própria Unidade Examinada ou por terceiros, e pode ser realizada de forma manual ou eletrônica. Trata-se da revisão das memórias de cálculos ou confirmação de valores por meio da análise de elementos numéricos correlacionados.

243. É amplamente utilizada, tendo em vista que grande parte das operações das Unidades Auditadas envolvem valores, números, quantidades e estão sujeitas, portanto, a erro ou a fraude.

Correlação das Informações Obtidas

244. A Correlação das informações obtidas consiste na comparação de informações obtidas de fontes independentes, autônomas e distintas, no interior da própria organização. Essa técnica procura a consistência mútua entre diferentes amostras de evidência.

Exame Físico

245. O exame físico é usado para testar a efetividade dos controles, particularmente daqueles relativos à segurança de quantidades físicas ou à qualidade de bens tangíveis. É a verificação in loco. Proporciona ao auditor a formação de opinião quanto à existência física do objeto ou item examinado, devendo-se proceder da seguinte forma:

a) identificar através de exame visual do item específico a ser examinado;

b) comprovar, através da constatação visual, a existência física do item ou objeto examinado;

c) verificar a autenticidade de que o item ou objeto examinado é fidedigno;

d) apurar as quantidades reais existentes fisicamente, somente dando-se por satisfeito após apuração adequada;

e) verificar, por meio do exame visual, a qualidade do item ou objeto examinado: se permanece em uso, não está deteriorado e merece fé.

Corte das Operações ou Cut-Off

246. O corte das operações consiste na interrupção das operações ou transações para apurar, de forma seccionada, a dinâmica de um procedi- mento. Representa a “fotografia” do momento-chave de um processo.

Rastreamento ou investigação minuciosa

247. O rastreamento consiste na investigação minuciosa, com exame de documentos, setores, unidades, órgãos e procedimentos interligados, visando dar segurança à opinião do responsável pela execução do tra- balho sobre o fato observado. É o exame em profundidade da matéria auditada que pode ser um documento, uma análise, uma informação obtida, entre outras. Tem como objetivo certificar que o objeto audi- tado, no momento, realmente é fidedigno, devendo o auditor, para tanto, ter os conhecimentos necessários para detectar a existência de quais- quer anomalias.

Revisão Analítica

248. A revisão analítica consiste na utilização de inferências lógicas ou na estruturação de raciocínio que permita chegar a determinada conclusão sobre o objeto analisado, com base na percepção do comportamento de valores significativos, mediante índices, quocientes, quantidades absolutas ou outros meios, com vistas à identificação de situações ou tendências atípicas.

MatrizSWOT

249. A MatrizSWOTé uma ferramenta facilitadora do diagnóstico ins- titucional e serve para identificar, a partir do Relatório de Situação,
variáveis do ambiente interno e externo à unidade, ou seja, as forças (Strengths) e as fraquezas (Weaknesses), bem como as oportunidades (Opportunities) e as ameaças (Threats), que constituem aspectos rele- vantes a serem considerados pela equipe na elaboração da matriz de riscos e da matriz de planejamento.

Matriz de Riscos

250. A Matriz de Riscos é uma ferramenta de diagnóstico que ajuda avaliar a capacidade do auditado de identificar e gerir seus riscos e
serve para auxiliar a formulação do problema e a definição da matriz integrada de planejamento.

251. As fontes de riscos são associadas às pessoas, processos, siste- mas, infraestrutura física, tecnologia, eventos externos, governança e planejamento.

252. A matriz de riscos considera os pontos críticos de controle eviden- ciados no Relatório de Situação e na MatrizSWOT, as suas causas, os riscos evidenciados, as ações de tratamento e os níveis de risco.

253. O nível de risco é calculado utilizando-se o produto resultante do impacto ou da consequência em relação à probabilidade de ocorrência do risco, atribuindo-se os níveis de risco baixo, médio, alto e extremo.

Problema Focal

254. O problema focal, a ser construído pelos SCI, deve considerar a questão central que a ação de controle pretende resolver, sendo resultado, principalmente, da matriz de riscos.

255. A equipe deve elaborar, a partir dos pontos críticos de controle, dos riscos evidenciados e do problema focal, matriz de planejamento e procedimentos, contendo as questões vinculadas a cada um dos pontos críticos de controle, as informações requeridas/fontes de informações para resolução da questão, as técnicas a serem utilizadas no trabalho de campo, as limitações que podem prejudicar o desenvolvimento da questão, os possíveis pontos, os procedimentos a serem realizados pela equipe, as referências e funções gerenciais associadas às questões e aos procedimentos.

256. A definição da amostragem é a regra, exceto quando for utilizada a técnica de auditoria contínua ou a análise censitária for justificada, devendo considerar os seguintes aspectos:

a) a amostragem deve ser feita para cada questão formulada, no caso de o planejamento ser do modelo completo, ou geral, no caso do planejamento simplificado;

b) avaliação da necessidade de utilizar técnicas estatísticas de amostragem;

c) a seleção de processos deve ser suficiente para que a equipe possa emitir opinião sobre os aspectos definidos no planejamento;
d) a seleção poderá resultar na escolha inicial do programa, depois das ações e dos processos e por tipo de atividade operacional, a partir de informações buscadas preferencialmente nos sistemas de informação do Poder Executivo de Minas Gerais; e

e) como material complementar observar as orientações da Norma Bra- sileira de Contabilidade NBC TA 530 - Amostragem em Auditoria e alterações posteriores.

257. Em trabalhos de auditoria contínua deve-se utilizar o universo de dados.

Técnica de Auditoria Assistida por Computador (Auditoria Contínua)

258. Auditoria contínua é definida como uma técnica que produz resultados simultaneamente, ou em um pequeno período de tempo após a ocorrência de um evento relevante. Realiza testes utilizando bases de dados informatizadas, mediante ferramentas de extração, análise e mineração de dados, com base na avaliação de riscos e controles internos.

259. A utilização da técnica pressupõe o acesso ou extração de dados referentes a transações de negócio e a realização de análises total ou parcialmente automatizadas sobre tais dados.

260. Auditoria Contínua é uma função de controle e que permite utilizar o monitoramento contínuo como evidência indireta do desempenho, conformidade e qualidade de um processo.

261. A frequência da implementação de um processo de auditoria contínua baseia-se na avaliação do nível de risco das transações ou do objeto da auditoria.

262. Deverá ser realizada caso o nível do risco justifique o trabalho.

263. A auditoria contínua poderá usar os parâmetros operacionais, além de outros padrões de análises comparativas.

264. Permite ao SCI aferir o resultado de suas recomendações.

265. O Monitoramento Contínuo é uma função gerencial, não uma função de auditoria interna. Em algumas circunstâncias o monitoramento pode ser comparado com um sistema gerencial e ou se confunde com as próprias atividades operacionais.

266. Tem como objetivo monitorar o desenvolvimento das atividades dos processos, sistemas e dados.

267. Resulta na avaliação do desempenho e da conformidade dos processos e das operações e provê as correções ou os ajustes necessários.

Subseção IV - Evidência, Achados e Matriz de Achados

268. A evidência, que consiste no conjunto de elementos comprobatórios suficientes, adequados e pertinentes, obtidos por meio da apli- cação de técnicas, deve ser obtida pela equipe de auditoria para sustentar a achado.

269. Não são admitidos indícios ou suposições como suporte para os registros das ações de controle.

270. O título alusivo à principal questão tratada no achado é a síntese do fato e deve resumir adequadamente a achado, facilitando a primeira visualização sobre o teor consignado no achado.

271. Considerando que serão necessárias interações periódicas com a área auditada por implementar as ações corretivas, é útil solicitar a contribuição do gestor da área auditada sobre formas de criar um processo eficaz e eficiente de monitoramento.

272. É imprescindível que, durante todo o processo de auditoria, haja comunicação clara e eficiente com o auditado, obtendo junto a ele as informações necessárias ao trabalho, bem como fornecendo informa- ções sobre os achados identificados pela equipe de auditores. Após a elaboração dos achados de auditoria, estes devem ser discutidos com a Unidade Examinada.

273. Em decorrência dos achados podem ser emitidas recomendações, cujas propostas também devem ser apresentadas e debatidas com o auditado, a fim de se estabelecerem conjuntamente as medidas mais adequadas para mitigar as causas dos pontos levantados, bem como para proporcionar um ambiente de discussão e de entendimento mútuo.

274. A Matriz de Achado de auditoria é o documento que registra e consolida a discrepância entre a situação encontrada e o critério de auditoria. É o documento que apresenta, de forma sintética, em tópicos frasais, as informações que comporão os achados. Propicia uma
visão geral do trabalho realizado, facilitando as discussões internas e a supervisão, e auxilia a posterior elaboração da comunicação dos resultados. Fornece o suporte para os resultados da auditoria e base para o processo de supervisão.

275. A classificação dos achados constitui a base para a ordenação dos achados, que devem ser apresentados no relatório de acordo com o grau de impacto (dos maiores para os menores), respeitando-se, entre- tanto, a atividade, tópico ou área por meio das quais estiverem sendo organizados.

276. Os achados são fatos significativos, dignos de relato pelo auditor, que serão usados para responder às questões de auditoria.

277. A matriz de achados deve ser preenchida durante a fase de execução da auditoria, à medida que os achados são identificados e
analisados.

278. Os esclarecimentos dos responsáveis acerca das causas dos acha- dos, bem como da adequação dos critérios, devem ser colhidos ainda em campo, evitando-se mal entendidos que possam redundar em des- perdício de esforços com a realização de registros equivocados.

279. A manifestação é o procedimento através do qual a unidade for- maliza à unidade de auditoria uma ação adotada ou um pedido relativo a uma recomendação.

280. Durante a execução da auditoria deve ser solicitada a manifesta- ção formal dos gestores sobre os achados identificados, com a finalidade de assegurar a oportunidade de apresentação de esclarecimentos, avaliações ou informações adicionais que contribuam para o entendi- mento dos fatos. O achado de auditoria contém quatro atributos como a situação encon- trada (o que é), critério (o que deveria ser), causa (razão da discrepância entre a situação encontrada e o critério) e efeito (consequência da discrepância). O achado decorre da comparação da situação encontrada com o critério e deve ser devidamente comprovado por evidências juntadas ao relatório. O achado pode ser negativo (quando constitui impro- priedade ou irregularidade) ou positivo (quando significa boas práticas de gestão).

281. A Matriz de Achados sintética ou resumida, com os achados relevantes que foram citados no Relatório de Auditoria, deve constar, obrigatoriamente, como apêndice do referido documento de auditoria.

282. Quando for identificado indício ou achado que não se referir ao escopo do trabalho de auditoria em andamento, a equipe de auditoria deve discutir o assunto com o supervisor que decidirá sobre a opor- tunidade de fazer uma representação ao titular da AUGE ou ao titular da CSET/CSEC, conforme o caso, para noticiá-lo do fato e tomada de decisão de considerá-lo como insumo a futuros trabalhos de auditoria ou inclusão no planejamento anual de auditoria.

Subseção V - Causas e Consequências

283. A Causa é a identificação da origem efetiva do fato identificado e pode consistir, basicamente:

a) em disfunções programáticas;

b) em disfunções estruturais na gestão da unidade examinada, normal- mente relacionadas a fragilidades de processos, operações e controles. São exemplos de disfunções estruturais a falta de capacitação, a inade- quação de recursos humanos, materiais ou financeiros e as deficiências no acompanhamento de contratos e convênios, entre outros; e,

c) da conduta do agente da unidade examinada em ter desejado produ- zir o fato ou ter assumido o risco de produzi-lo.

284. O registro da causa deve seguir as orientações técnicas relacionadas abaixo:
a) indicar a causa efetiva ao invés de apenas mencionar o descumprimento de normas e orientações;

b) indicar causas objetivas, ação ou inação quando se referir à conduta do agente;

c) conter as especificidades mínimas necessárias à elaboração de recomendação;

d) ter relação de causa e efeito entre o conteúdo registrado e o que consta o fato identificado;

e) ter sido evidenciada nos papéis de trabalho;

f) citar o agente, por referência ao cargo, que ocupou quando da ocorrência do fato;

g) fazer referência à competência estatutária ou regimental do agente;

h) citar pelo menos um dos documentos nos quais a causa se baseia;

i) a conduta mencionada na causa deve estar evidenciada no fato; e

j) indicar o exercício a que se refere.

285. A Consequência, ou efeito, é o resultado da prática de ato pelo res- ponsável, ou seja, os desdobramentos oriundos do fato.

286. O registro da consequência deve seguir as orientações elencadas abaixo:

a) deve se referir ao resultado do fato, e não ao próprio fato ou à causa dele;

b) a consequência deve ser objetiva e apresentar conexidade com o fato; e,

c) a consequência deve ser precisa.

Subseção VI - Recomendações

287. A Recomendação deve proporcionar a eliminação, a mitigação, a redução da causa vital do fato e o tratamento da consequência, ou seja, a condição indesejada. São ações que uma UAIG indica a uma unidade auditada visando corrigir desconformidades, tratar riscos e aperfeiçoar processos de trabalho e controles, devendo conter os seguintes atributos:

a) Suficiência: a soma dos atributos de abrangência, quando trata das causas essenciais do problema, e de completude, quando trata do conjunto de elementos inerentes às causas essenciais do problema, propiciam a eliminação ou mitigação da causa;

b) Oportunidade: deve reunir os atributos de pertinência, quando é coerente com a causa atribuída ao problema, de exequibilidade, quando sua implantação é factível, e de tempestividade, quando sugerida no momento propício para sua execução;

c) Racionalidade: observar o princípio da racionalização administrativa e da economia processual. É o estudo das causas e soluções dos problemas administrativos, abrangendo a responsabilidade básica de planejar e aperfeiçoar os processos, os métodos e a estrutura organizacional; e

d) Especificidade: visa corrigir as causas das falhas e danos - passíveis de negociação/correção - de tal forma que as providências recomendadas sejam factíveis de serem implantadas em seus detalhes operacionais, eliminando-se o uso de expressões genéricas e, principalmente, que possam ser posteriormente monitoradas.

288. Recomendação é uma descrição de ações que o auditor julga que o auditado deveria tomar para remediar, sanar, regularizar os achados negativos identificados no trabalho de auditoria.

289. A recomendação efetuada em documentos de auditoria visa garantir resultados operacionais e gerenciais do objeto auditado no horizonte temporal presente e futuro.

290. Observações e recomendações decorrem da comparação de critérios, a situação correta, com condições, situação encontrada, fundamentam-se nos seguintes atributos:

a) Critério são os padrões, medidas ou expectativas usadas para fazer uma avaliação;

b) Condição ou fato é a evidência factual do que o auditor encontrou no exame;

c) Causa é a razão para a diferença entre a condição esperada e a encontrada pelo auditor.

d) Efeito, consequência ou impacto é o risco ou exposição que a organização ou outros encontram porque a condição não é consistente com os critérios.

291. As categorias de recomendação são as seguintes, sendo a do item 191, alínea “a”, que tem como finalidade propor ações mais estruturantes, isto é, ações de caráter mais amplo e mais profundo, voltadas ao aperfeiçoamento de processos de gestão e de outras atividades fundamentais da organização e as das alíneas “b” a “d”, que visam cor- rigir situações específicas, grande parte delas em andamento ou já concluídas:

a) Aperfeiçoamento da governança, da gestão de riscos, dos controles internos (no nível corporativo ou em outros processos relevantes da organização): Enquadram-se nesta categoria as recomendações cuja finalidade é trazer melhorias significativas e mensuráveis a processos e estruturas da Unidade Examinada (ou responsável pelo objeto auditado). Subdivide-se nas seguintes subcategorias:

a.1) Governança: recomendações que solicitem dos gestores medidas para informar, direcionar, gerenciar e monitorar as atividades da organização visando a garantir o alcance dos seus objetivos;

a.2) Gestão de riscos: recomendações que solicitem dos gestores medidas para identificar, avaliar, gerenciar e controlar eventos ou situações potenciais (riscos) que ameacem a realização dos objetivos da organização;

a.3) Controles internos: recomendações que solicitem dos gestores medidas para melhoria de um dos cinco componentes do processo de controles internos, quais sejam: ambiente de controle, avaliação de risco; atividades de controle; informação e comunicação e
monitoramento.

b) Apuração de responsabilidade:

b.1) Servidores ou empregados: Enquadram-se nesta subcategoria as recomendações que solicitem dos gestores responsáveis pelo objeto examinado que apurem a responsabilidade de servidores ou emprega- dos por algum dos seguintes fatos evidenciados pela equipe de auditoria no decorrer dos trabalhos: prejuízo ao erário; dano à imagem da instituição; prejuízo à continuidade do serviço público; transgressão de normativo; ou benefício ou vantagem indevida (recebida, solicitada ou exigida);

b.2) Pessoa jurídica por ato lesivo: Enquadram-se nesta subcategoria as recomendações que solicitam dos gestores responsáveis pelo objeto examinado que apurem a responsabilidade de empresas por algum dos seguintes fatos evidenciados pela equipe de auditoria no decorrer dos trabalhos: fraude a licitação ou em contrato administrativo em benefício da própria ou de outra empresa; promessa, oferecimento ou pagamento de vantagem indevida, por parte de empresa, a servidor ou empregado público; ou obstrução realizada por empresa de atividade de investiga- ção ou fiscalização de órgãos públicos;

b.3) Reposição de bens e valores: Enquadram-se, nesta categoria, as recomendações que tenham como finalidade garantir que o erário seja preservado, seja por meio da devolução de bens e valores, seja por meio de aplicação de sanção pecuniária, como nas seguintes situações: o gestor deverá adotar as medidas cabíveis para quantificar o prejuízo; o gestor deverá adotar as medidas cabíveis para reaver valores ou bens; o gestor deverá devolver valores ou bens ao erário; o gestor deverá aplicar a sanção pecuniária cabível; o gestor deverá instaurar a Tomada de Contas Especial (TCE);

b.4) Ajuste de objetos: É recomendável nas situações em que os obje- tos ou os atos examinados (obras, sistemas, instrumentos licitatórios e de transferência, contratos, entre outros) estiverem em desacordo com o critério adotado (lei, resolução, termo de referência, por exemplo), porém, houver a possibilidade de correção. Nesses casos, a equipe deverá indicar claramente quais ajustes deverão ser efetuados e porquê;

b.5) Cessação (suspensão de execução) de objetos: Aplica-se às situa- ções em que os objetos ou os atos examinados (obra, resolução, pagamento, termo de referência, entre outros) estiverem em desacordo com o critério adotado e não houver possibilidade de correção. Nesses casos, a equipe deverá indicar claramente por que é necessária a suspensão. Nesse tipo de situação, normalmente urgente e grave, a recomenda- ção deverá ser encaminhada por meio de nota de auditoria e, posteriormente, registrada no relatório de auditoria.

292. Se a Unidade Examinada adotar as medidas corretivas durante a execução do trabalho de auditoria será registrada no relatório de
auditoria.

293. As recomendações do tipo “Instauração de TCE” e “Apuração de responsabilidade”, por envolverem situações que podem gerar efeitos financeiros e até penais para os gestores, requerem uma cautela ainda maior com as evidências, o qual, caso não ocorra, poderá inviabilizar a responsabilização devida dos agentes que deram origem à condição identificada por meio do trabalho de auditoria. As seguintes cautelas devem ser adotadas nas seguintes situações:

a) Prejuízo: Deverá ser indicado não apenas o montante, mas também o método utilizado para se chegar ao valor apontado, considerando sazo- nalidade, se for o caso, e a inflação do período, além dos documentos que comprovam o ilícito tais como: cópias de autorização de pagamentos, de cheques, extratos bancários.

b) Sobrepreço: necessário apontar não apenas a diferença entre o preço praticado pela administração e o preço de mercado dos itens em que houver sobrepreço, mas também os preços totais das compras do item em questão. Ademais, é fundamental também que sejam apresentados, nesses e em outros casos semelhantes, a pesquisa de preços realizada na região em que a unidade examinada adquiriu os produtos, acompanhada da indicação da data em que essa foi realizada, da fonte de informações e do método de cálculo. Preferencialmente devem ser consideradas, no cálculo, a hipótese de sazonalidade e a inflação do período;

c) Atividade de responsabilização: É facilitada pela identificação dos servidores, empregados e empresas que participaram do ato irregular, como, por exemplo, quem assinou, quem aprovou, quem subsidiou decisão, quem participou efetivamente do ato que se pretende impugnar;

d) Entrevista: Serve como indício de ilícitos. Preferencialmente deve vir assinada, mas se não estiver, não se inviabiliza a sua utilização,
desde que o entrevistado esteja identificado. Será uma evidência adequada, mas não suficiente;

e) Intencionalidade do gestor em aferir vantagem para si ou para outrem: São relevantes os documentos que demonstrem a intenção do
gestor na prática ilegal, tais como: a verificação de que o gestor desconsiderou análises ou pareceres, que solicitou a inclusão ou exclusão de alguma cláusula diretamente relacionada ao fato constatado, ou que sempre adota um rito diferenciado para aquele grupo de processos em que a equipe encontrou as irregularidades;

f) Papéis de trabalho: Papéis de trabalho que evidenciem as irregularidades são imprescindíveis, devendo ser disponibilizados para o responsável pelas apurações de ilícitos, caso seja necessário.

294. São requisitos essenciais para a instauração de TCE: a comprovação de ocorrência de dano consubstanciada na descrição detalhada dos fatos, quantificação do débito, a identificação dos responsáveis e as medidas administrativas adotadas para ressarcimento ao erário estadual, já que a TCE constitui medida de exceção. Nessa linha, a administração deve esgotar todas as medidas administrativas a seu turno para elidir a irregularidade ensejadora da TCE ou obter o ressarcimento do dano verificado, antes de formalizar a instauração do respectivo processo.

295. O registro das recomendações deve seguir as seguintes disposições:

a) as recomendações devem atingir a causa identificada;

b) quando existir dano (o que inclui desperdício) as recomendações devem indicar as medidas que o auditor entender possíveis para a reposição de valores;

c) a recomendação de instauração de TCE somente deve ser procedida quando houver a quantificação preliminar de prejuízo e após o esgotamento de outras providências mais ágeis para viabilização da reposição de valores, a exemplo da instauração de procedimento administrativo de apuração de crédito não tributário.

d) abster de recomendar a apuração de responsabilidade diante de falhas meramente formais de natureza gerencial das quais não tenha resultado prejuízo quantificado ou, de fazer ou sugerir a imputação de responsabilidade penal, civil ou administrativa. Deve-se limitar a recomendar tão-somente o fundamento legal dos achados de auditoria e recomendações.

e) Em questão de responsabilização funcional, abster de indicar o tipo de procedimento a ser adotado, atendo-se a recomendar a apuração de responsabilidade, quando for o caso, bem como os encaminhamentos que entender pertinentes;

f) realizar recomendações específicas e suficientes para viabilizar seu acompanhamento nas próximas ações de controle; e

g) fazer recomendação tempestiva, ou seja, sugerida em um momento em que poderá ser implementada, e pautada pela economicidade, de modo que sua implantação não seja dispendiosa para a unidade examinada nem proporcione custo excessivo se comparada ao seu objetivo.

h) permitir a apuração do benefício das ações recomendadas.

i) conter:

i.1) motivação que deve demonstrar a necessidade e a adequação da medida recomendada, inclusive em face das possíveis alternativas;

i.2) indicação, de modo expresso, das consequências jurídicas e administrativas, se for o caso, e as condições para a regularização da situação identificada de modo proporcional e equânime e sem prejuízo aos interesses gerais;

j) devem ser considerados os obstáculos e as dificuldades reais do gestor e as exigências das políticas públicas a seu cargo e consideradas as circunstâncias práticas impostas, limitadas ou que condicionam a ação do agente.

296. A quantificação e o registro dos resultados e dos benefícios finan- ceiros e não financeiros das ações de AIG, que são obrigatórios para todas as ações de auditoria, serão orientados pela AUGE.

297. Considerando o parágrafo único do art. 81 da Constituição Estadual e os artigos 313 e 314 da Resolução nº 12, de 17 de dezembro de 2008, do Tribunal de Contas do Estado de Minas Gerais, irregularida- des ou ilegalidades apuradas pela UAIG serão comunicadas ao TCE por meio do relatório de auditoria sobre as contas anuais.

298. Os resultados de trabalhos de auditoria interna podem ser con- siderados procedimentos preparatórios de processos administrativos onde será oportunizado o contraditório e ampla defesa e onde haverá a decisão final sobre a ocorrência ou não de irregularidades. No sentido processual, em processos de auditoria são realizados atos de auditoria e de fiscalização que apenas constatam situações relacionadas ao objeto auditado, a partir da aplicação de uma abordagem sistemática e disciplinada, não se aplicando as garantias do contraditório e da ampla defesa.

Subseção VII - Papéis de Trabalho

299. Os papéis de trabalho são conjunto de documentos produzidos pela equipe que contém a fundamentação de validade para os registros decorrentes dos exames realizados. Trata-se de documentação que constitui o suporte do trabalho desenvolvido pelo SCI, contendo o registro de todas as informações utilizadas, das verificações a que procedeu e das conclusões a que chegou, independentemente da forma, do meio físico ou das características intrínsecas ou extrínsecas. Consideram-se papéis de trabalho aqueles preparados pelo SCI, pelo auditado ou por terceiros, a exemplo de planilhas, formulários, questionários preenchidos, fotografias, arquivos de dados, de vídeo ou de áudio, ofícios, memorandos, portarias, cópias de contratos ou termos de convênio, matrizes de planejamento e de achados.

300. Como material complementar, cabe observar as orientações conti- das na NBC TA 230 do Conselho Federal de Contabilidade.

301. Os registros do trabalho de auditoria interna incluem relatórios, documentação suporte, notas de revisão e correspondências, indepen- dente do meio de armazenagem.

302. Em se tratando de CSET/CSEC, os registros de trabalho ou papéis de trabalho de auditoria são de propriedade do órgão e entidade, e no caso da AUGE, os registros de trabalho ou papéis de trabalho de audito- ria são de propriedade da CGE e seu acesso é de natureza sigilosa.

303. Os papéis de trabalho, usualmente, serão fornecidos em situações excepcionais, observado o seguinte:

a) serão fornecidos documentos específicos por orientação da Assessoria Jurídica da CGE ou do órgão e entidade da CSET/CSEC;

b) a liberação do documento deve ser em uma forma que não possam ser alterados (exemplo: como imagem) e em cópia, preservando-se os originais;

c)com etiqueta ou marca d’água de “confidencial” e com anotação que a distribuição secundária não é permitida sem permissão.

304. Os papéis de trabalho devem documentar os assuntos sobre como a população de amostragem foi definida e como as amostras estatísticas foram selecionadas.

305. Os papéis de trabalho devem ser indexados para permitir a referência cruzada. A indexação facilita a elaboração das comunicações finais de trabalho, trabalhos posteriores e avaliações internas e externas da atividade de auditoria.

306. Os documentos digitalizados são considerados papéis de trabalho complementares, assim como planilhas, bancos de dados, fotografias digitais e demais arquivos de trabalho.

307. Papéis de trabalho eletrônicos e comentários dos coordenadores e supervisores devem ser protegidos contra acesso não autorizado e alterações.

308. As informações registradas por meio de digitalização de papéis de trabalho devem ser adequadamente controladas para garantir a inte- gridade continuada.

309. A alteração ou inclusão de questão, ponto de controle e proce- dimentos não previstos no planejamento devem ser autorizadas pelo Supervisor e a inclusão de procedimentos sobre pontos de controle defi- nidos inicialmente no Planejamento pode ser realizada pela equipe sem a necessidade de aprovação superior.

310. Os registros são apontamentos elaborados pela equipe como resultado dos exames realizados a partir das evidências obtidas, clas- sificando-se em:

a) Informação: registro sobre as normalidades da gestão, especialmente sobre fatos ou situações relevantes para o conhecimento e a avaliação das atividades realizadas e dos resultados obtidos pela unidade exa- minada, ou ainda, sobre os impactos positivos identificados. Como impactos positivos, entende-se a evidenciação de ganhos mensurados de desempenho e/ou qualidade, melhorias de caráter organizacional ou operacional e economias obtidas na gestão de recursos. Os registros do tipo informação, dada a sua natureza, não contêm recomendação; e

b) Achado: registro sobre fatos ou situações indesejáveis identifica- das. Em geral, apontam a existência de dificuldades, equívocos, condições adversas autônomas e/ou exteriores à unidade examinada e/ou situações que carecem de ajustes quando de seu confronto com critérios técnicos, administrativos e legais e, como tal, requerem a elaboração de recomendações.

311. Os registros decorrentes das ações de controle devem ser revestidos dos seguintes requisitos técnicos de qualidade:

a) Exatidão: os relatos devem primar pela precisão e rigor na descrição dos fatos, com redação livre de erros ou de rasuras, além de observarem as normas ortográficas e gramaticais da língua culta.

b) Objetividade: os relatos devem ser apresentados em linguagem direta, baseados em elementos concretos, livres de influência por sentimentos, prevenções ou predileções.

c) Clareza: os relatos devem ser estruturados de forma que sejam de fácil entendimento ao leitor, isentos de termos obscuros ou dúbios, de modo que a sua compreensão seja evidente; e

d) Concisão: os relatos devem ser redigidos de maneira sucinta, evitan- do-se redundância ou detalhamento desnecessário ou inexpressivo, que não agregam valor ao conteúdo.

312. A equipe deve ater-se ao escopo, que identifica a abrangência e extensão dos itens examinados, a profundidade dos exames realizados e a oportunidade de realização dos exames.

a) A abrangência refere-se à delimitação do universo a ser auditado, o que deve ser examinado.

b) A extensão refere-se à amplitude ou ao tamanho dos exames realizados.

c) A profundidade diz respeito ao grau de detalhamento dos exames sobre os itens selecionados.

d) A oportunidade consiste na pertinência e na temporalidade dos exa- mes, quando deve ser realizado.

e) A definição do escopo a partir de uma abordagemTop-downconsiste em considerar os riscos mais significativos para a organização.

f) O escopo deve incluir os controles chave requeridos, aqueles necessários para gerenciar os riscos associados a um objetivo crítico do órgão ou entidade, para fornecer uma razoável avaliação de que os riscos são eficazmente gerenciados.

313. As deficiências de escopo, que devem ser evitadas pela equipe, se constituem, em geral, nas seguintes:

a) sem extensão: não especifica os itens cuja análise deu origem ao achado;

b) sem profundidade: não especifica sob que aspectos os itens referidos foram analisados.

Seção VIII - Resultados dos trabalhos de auditoria

314. Os auditores internos devem basear suas conclusões e resultados dos trabalhos da auditoria em análises e avaliações apropriadas e documentar informações suficientes, confiáveis, relevantes e úteis para dar suporte às conclusões e aos resultados do trabalho da auditoria. Podem constar observações necessárias para compreensão das conclusões e recomendações.

315. As UAIG devem abster-se de proferir qualquer juízo técnico de conhecimento alheio às suas funções (ex.: tipificar penal ou administrativamente a conduta de responsáveis), bem como de proferir qualquer manifestação de teor pessoal ou subjetivo sobre a avaliação fática realizada.

316. A opinião ou o pronunciamento deve se restringir a evidenciar, de forma técnica e objetiva, as questões eventualmente inconformes ou irregulares sob o prisma eminentemente administrativo, devidamente fundamentadas pelos elementos probatórios atinentes.

317. Os trabalhos da auditoria devem ser adequadamente supervisionados para assegurar que os objetivos sejam alcançados, a qualidade seja assegurada e que a equipe seja desenvolvida.

318. Os resultados dos trabalhos de auditoria, com conclusões aplicáveis, devem ser comunicados ao dirigente máximo do órgão ou entidade. O destinatário principal dos resultados dos trabalhos de auditoria é a Alta Administração, sem prejuízo do encaminhamento às demais partes interessadas.

319. Para comunicação dos resultados dos trabalhos de auditoria deve-se observar que:

a) Comunicações precisas são livres de erros e distorções e são fiéis aos fatos fundamentais.

b) Comunicações objetivas são justas, imparciais e neutras e são o resultado de um julgamento justo e equilibrado de todos os fatos e circunstâncias relevantes.

c) Comunicações claras são facilmente compreendidas e são lógicas, evitam linguagem técnica desnecessária e fornecem todas as informações significativas e relevantes.

d) Comunicações concisas são diretas ao ponto e evitam elaboração desnecessária, detalhes supérfluos, redundância e excesso de palavras.

e) Comunicações construtivas são úteis ao cliente do trabalho da auditoria e à organização e conduzem às melhorias onde seja necessário.

f) Comunicações completas não omitem nada do que seja essencial à audiência alvo e incluem todas as informações significativas e relevantes e as observações que dão suporte às recomendações e conclusões.

g) Comunicações tempestivas são oportunas e práticas, dependem da importância do ponto, permitem à administração tomar as ações corretivas apropriadas.

h) Se uma comunicação final contiver erro ou omissão significativa, deve-se comunicar a informação correta a todas as partes que tenham recebido a comunicação original.

Seção IX - Monitoramento

320. O monitoramento das medidas não implementadas ou implemen- tadas parcialmente pela gestão será efetuada até que a recomendação seja implementada ou sobre os riscos elevados, cujos controles internos da gestão devem ser avaliados com maior frequência, de acordo com os prazos definidos no trabalho de auditoria ou pactuados no Plano de Ação. O monitoramento das recomendações emitidas constitui etapa fundamental da auditoria, tendo em vista que um trabalho somente pode ser considerado encerrado após a implementação das recomenda- ções pela unidade auditada.

321. A conclusão do monitoramento da recomendação ocorre quando houver evidências encaminhadas pela unidade auditada ou obtidas pela própria unidade de auditoria que comprovem o atendimento da reco- mendação. Ou, ainda, quando a unidade de auditoria entender que o acompanhamento das providências deve cessar por alguma razão, ainda que a implementação da recomendação não tenha sido finalizada. Neste caso, é importante salientar que a recomendação continua passível de implementação pela unidade auditada.

322. A suspensão do monitoramento ocorre quando é interrompido o monitoramento da recomendação, que pode ser retomado futuramente. A suspensão deve ser fundamentada e o seu registro, feito pelo supervisor da unidade de auditoria.

323. O cancelamento do monitoramento pode ocorrer quando for identificado algum tipo de falha ou problema na elaboração da recomenda- ção. Pode ser realizado pelo supervisor da unidade de auditoria, com registro da justificativa e, quando houver, dos documentos que subsidiam a decisão.

324. Os supervisores da unidade de auditoria podem enviar o posicio- namento à unidade auditada, fazendo eventuais alterações que julgar necessárias.

325. O monitoramento consiste na adoção de ações pela UAIG, a fim de verificar se as medidas implementadas pela Unidade Examinada estão de acordo com as recomendações emitidas pela UAIG ou com o plano de ação acordado e se aquelas medidas foram suficientes para solucionar a situação apontada como inadequada frente aos critérios adotados. O monitoramento normalmente é estruturado de acordo com as seguintes etapas:

a) estabelecimento de prazo para o envio de resposta pela Unidade Examinada;

b) recebimento e avaliação de respostas da Unidade Examinada;

c) realização de testes, quando necessário;

d) comunicação à Unidade Examinada das conclusões obtidas pela UAIG;

e) estabelecimento de um processo de comunicação da situação da implementação das recomendações à Alta Administração ou ao conselho, se houver.

326. Todas as etapas citadas anteriormente devem ser registradas por meio de instrumento, preferencialmente sistema informatizado, que possibilite a formação de um banco de dados.

327. A quantidade e a periodicidade de monitoramentos para verificar o cumprimento das recomendações variarão de acordo com as particularidades, a complexidade e os prazos necessários para as implementações, conforme estabelecido no Plano de ação.

328. A partir da análise, a UAIG registrará sua opinião quanto à implementação das ações, classificando-a como:

a) Não houve providência: a unidade auditada ainda não adotou nenhuma providência em relação à implementação da recomendação;

b) Recomendação consolidada em outra recomendação: o monitoramento da recomendação foi concluído, por estar contemplada em outra recomendação;

c) Recomendação implementada: a unidade de auditoria avaliou que as medidas adotadas pela unidade auditada foram suficientes para implementação integral da recomendação; d) Recomendação implementada parcialmente: a unidade de auditoria avaliou que as medidas adotadas pela unidade auditada foram suficientes para implementação parcial da recomendação;

e) Recomendação não implementada – ação inadequada ou insuficiente: a unidade de auditoria avaliou que as medidas adotadas pela
unidade auditada foram inadequadas ou insuficientes para implementação da recomendação;

f) Recomendação não implementada – assunção de risco pelo gestor: a unidade auditada manifestou que não irá implementar as ações indicadas, e declarou assumir o risco decorrente da não implementação.

329. A responsabilidade pelo atendimento às recomendações emitidas pelas UAIG compete, em primeiro lugar, aos gestores das Unidades Auditadas. Ao responsável pela UAIG cabe o estabelecimento, a manu- tenção e a supervisão (a qual poderá ser delegada) do processo de monitoramento da implementação das recomendações.

330. A Alta Administração da Unidade Examinada tem a responsabilidade de zelar pelo cumprimento das recomendações emitidas pela
UAIG e também de aceitar formalmente o risco correspondente caso decida não as implementar. Nesta situação, e caso a UAIG conclua que a Unidade Examinada aceitou um nível de risco que pode ser inaceitá- vel para a organização, o responsável pela UCI deve discutir o assunto com a Alta Administração. Exposição significativas a riscos e proble- mas de controle podem resultar em exposição inadequada a riscos internos e externos, incluindo deficiências de controle, fraudes, atos ilegais, erros, ineficiência, desperdícios, ineficácia, conflitos de interesse e viabilidade financeira.

331. Antes da discussão com a Alta Administração, o responsável pela UCI deve avaliar a conveniência de fazer interlocução com as áreas responsáveis pelo risco em questão para compartilhar suas preocupações, conhecer a perspectiva dos gestores envolvidos e orientá-los quanto à resposta a esse risco. Deve-se, portanto: Compreender o fundamento da administração para a decisão; identificar a causa de qualquer discordância; verificar se a administração tem autoridade para aceitar o risco; e, preferencialmente, resolver a discordância.

332. Nos casos de desatendimento persistente a recomendações prioritárias/relevantes relacionadas a irregularidades, a UAIG deve fazer a comunicação ao titular da AUGE, para esgotamento da tentativa de sensibilização da Alta Administração do órgão e entidade para adoção das medidas administrativas pertinentes, e, se necessário, de representação ao titular da CGE para as providências pertinentes com o Dirigente Máximo da Unidade Examinada e ou com o Chefe do Poder Executivo Estadual.

333. O monitoramento deve ser realizado permanentemente para garantir a efetividade do trabalho de avaliação, que se alcança por meio da implementação das recomendações, as quais devem ser previamente acordadas com a Alta Administração.

334. É necessário verificar se houve ganho de desempenho nos objetos avaliados a partir das recomendações e averiguar os motivos para a eventual falta de implementação do que tenha sido anteriormente pactuado.

335. É necessário registrar e medir os benefícios financeiros e não financeiros obtidos para conferir maior transparência sobre os resultados alcançados pela UAIG.

CAPÍTULO VII - DOS DOCUMENTOS DE AIG

Seção I - Documentos de AIG

336. Os documentos de AIG, consistem em:
a) Relatório de Auditoria – Avaliação, Relatório de Auditoria – Consultoria e Relatório de Auditoria – Apuração: são os documentos por
meio do qual a UAIG comunica, aos gestores públicos e à sociedade, o resultado do trabalho de auditoria. Comunica os objetivos do trabalho, a extensão dos testes aplicados, as conclusões obtidas, as recomendações emitidas e os planos de ação propostos. Devem ser acompanhados de infográficos.

b) Relatório Preliminar de Auditoria: é o documento por meio do qual a UAIG comunica, durante a etapa de execução do trabalho, aos gestores públicos, o resultado preliminar do trabalho de auditoria. Destina-se a dar ciência ao dirigente máximo da Unidade Examinada acerca de fatos ou situações identificadas no trabalho de auditoria e ou que requeiram a adoção imediata de providências corretivas ou preventivas e para dar conhecimento aos gestores das unidades sob exame acerca dos achados registradas, de modo a que se proceda à adoção das medidas corretivas e/ou a manifestação quanto aos achados antes da emissão do relato final de auditoria. Serve de subsídio para a reunião com a Alta Administra- ção para discussão dos achados e de medidas corretivas ou preventivas a serem adotadas.

c) Relatório de Atividades de Auditoria Interna: é o documento por meio do qual a UAIG comunica o cumprimento da execução do PAINT e os resultados decorrentes dos trabalhos de AIG. Compõe o documento Relatório Anual de Controle Interno das CSET/CSEC.
d) Relatório de Auditoria sobre Tomada de Contas Especial: é o documento por meio do qual a UAIG manifesta-se sobre a regularidade da instrução processual, a consistência dos elementos de convicção constantes nos autos de tomada de contas especial, bem como do atendimento às normas previstas na Instrução Normativa TCEMG nº 03/2013 ou que a venha substituir.

e) Nota de Auditoria (avaliação; consultoria/avaliação): é o documento por meio do qual a UAIG, durante o processo de auditoria em curso (fase de execução), utiliza para informar ao dirigente máximo da Unidade Examinada sobre o achado de falhas, contendo as recomendações para saná-las, ou ainda, para informar acerca de fatos ou situações identificadas no trabalho de auditoria e que requeiram pronta ação do órgão ou entidade ou para informá-lo sobre avaliação de risco críticos para a gestão; inviabilidade de execução de auditoria. A sua estrutura é com- posta do Número do projeto de auditoria cadastrado no sistema E-aud, Destinatário, Referência, Análise e Conclusão

f) Parecer de Auditoria: é o documento por meio do qual a UAIG mani- festa-se sobre a regularidade das contas anuais do Ordenador de Despesas do órgão ou entidade.

g) Certificado de Auditoria: é o documento por meio do qual a UAIG manifesta-se sobre a regularidade da tomada de contas especial ou
sobre a regularidade formal da instrução de processos administrativos em desfavor de fornecedores, quando se tratar da aplicação das sanções previstas nos incisos III e IV do art. 38, bem como nos casos de apli- cação da sanção prevista no art. 12 da Lei nº 14.167, de 10 de janeiro de 2002.

h) Solicitação de Auditoria - SA: é o documento por meio do qual a equipe de auditoria se utiliza para solicitar ao Dirigente Máximo ou aos demais gestores da Unidade Examinada para solicitar processos, docu- mentos, informações, esclarecimentos e justificativas relativamente a fatos e atos de gestão.

337. Em se tratando de Relatório Preliminar de Auditoria, este deverá ser encaminhado formalmente pela AUGE e CSET/CSEC e apresentado em reunião ao Dirigente Máximo do órgão e entidade ou a quem ele delegar, para fins de esclarecimento, avaliações ou informações adicionais sobre os apontamentos efetuados pela equipe de auditoria e a construção consensual das recomendações que constarão no Relatório de Auditoria e, por conseguinte, no Plano de Ação do órgão e entidade.

338. Em se tratando de Relatório Preliminar de Auditoria, este deverá ser encaminhado formalmente pela AUGE e CSET/CSEC e apresen- tado em reunião ao Dirigente Máximo do órgão e entidade ou a quem ele delegar, para fins de esclarecimento, avaliações ou informações adi- cionais sobre os apontamentos efetuados pela equipe de auditoria e a construção consensual das recomendações que constarão no Relatório de Auditoria e, por conseguinte, no Plano de Ação do órgão e entidade. As dúvidas inerentes aos achados de auditoria devem ser dirimidas com o gestor da Unidade Examinada, durante a fase de execução da auditoria, com o objetivo de evitar equívocos no relato de achados do relatório preliminar e ou recomendações solicitando esclarecimentos de fatos ou apresentação de documentos.

339. A exposição dos achados de auditoria deve incluir os pontos de riscos significativos e de controles, incluindo os riscos de fraude, que podem afetar adversamente o órgão e entidade e sua capacidade de alcançar os objetivos estratégicos, financeiro, operacional e de confor- midade, como as condições relacionadas a riscos, fragilidade de controles, fraude, irregularidades, atos ilegais, erros, ineficiências, desperdí- cios, ineficácia, conflitos de interesse entre outros.

340. As recomendações e os planos de ação (estes últimos elaborados pela Unidade Examinada) constituem alguns dos conteúdos principais do relatório de auditoria. É principalmente por meio deles que as UAIG agregam valor, indicando soluções práticas e viáveis para mitigar os riscos identificados e sanear e corrigir as irregularidades detectadas. As recomendações e os planos de ação devem, preferencialmente, ser elaborados com base na causa raiz, para evitar novas ocorrências, mas também podem ter o foco na correção da condição ou até das consequências. Juntamente com os achados, constituem o núcleo do relatório de auditoria.

341. O Plano de Ação do órgão e entidade deverá ser apresentado após o Relatório de Auditoria, no prazo de 30 dias, o que deverá estar registrado na conclusão do Relatório de Auditoria.

342. Caso o Plano de Ação do órgão e entidade (elaborado em resposta aos achados e propostas de recomendações apontados anteriormente no Relatório Preliminar e discutidos em reunião de busca conjunta de soluções) não tenha sido encaminhado à equipe de auditoria, deverá ser apresentado, no prazo máximo de 30 dias corridos, a contar do recebi- mento do Relatório de Auditoria, o que deverá estar registrado na con- clusão do referido Relatório.

343. Em situação em que não houver a construção consensual das reco- mendações, a equipe de auditoria relatará as recomendações julgadas pertinentes no relatório de auditoria.

344. A equipe de auditoria deverá estabelecer no Relatório Preliminar de Auditoria, prazo máximo de até 10 dias úteis para reunião de busca conjunta de soluções.

345. O Dirigente Máximo ou a quem ele delegar terá 10 dias úteis para manifestação sobre os achados e as recomendações propostas pela equipe de auditoria que constaram no Relatório Preliminar. O prazo poderá ser estendido pelo supervisor do trabalho que deverá considerar o cronograma para elaboração do Relatório de Auditoria. Caso Dirigente Máximo ou a quem ele delegar não apresente manifestação ou não apresente manifestação adequada, a equipe de auditoria relatará as recomendações julgadas pertinentes, bem como o fato no relatório de auditoria.

346. O relatório de auditoria de apuração ou nota de auditoria referente a apuração ou levantamento investigativo serão emitidos em caráter restrito ou sigiloso, conforme o caso, para encaminhamento aos órgãos parceiros, quando houver, ou a outras instâncias consideradas necessárias. Nessa situação, o documento deve conter: o registro de “restrito” ou “sigiloso” como marca d’água; a identificação de todas as pessoas físicas e jurídicas envolvidas, com a finalidade de subsidiar o aprofun- damento das investigações pelo órgão responsável/competente; e alerta sobre o acesso não autorizado por pessoa que não seja a destinatária do documento.

347. Considerando situações em que não pode ser apropriado divulgar determinadas informações para todos os destinatários do relatório de auditoria, devido a estas serem privilegiadas, proprietárias ou relativas a atos impróprios ou ilegais por envolver a Alta Administração, a divulgação de tais informações deve ser feita em documento de auditoria separado destinado ao titular da CGE.

348. Todos os documentos de auditoria devem ser assinados, preferencialmente, portoken, e arquivados no sistema E-aud, devidamente acompanhados das evidências que sustentam os achados de auditoria.

349. Os documentos de auditoria emitidos se revestem de caráter opinativo, por não se enquadrarem nas hipóteses de manifestação
vinculativa.

350. Erros ou omissões significantes, identificadas pelo titular da UAIG após o envio do documento de auditoria final, deve ensejar o
envio de comunicação a todas as partes que receberam o documento de auditoria original, com a finalidade de proteger a integridade e o status da atividade de auditoria interna.

351. Na AUGE, durante o processo de auditoria em curso, os diretores e Superintendentes, no exercício das funções de coordenador e
supervisor de trabalhos de auditoria, devem encaminhar os documentos de auditoria a que se referem item 338, alíneas “b”, “f” e “h” (para informar ao dirigente máximo da Unidade Examinada, durante a etapa de execução do trabalho, sobre o achado de falhas, contendo as recomendações para saná-las, ou ainda, para informar acerca de fatos ou situações identificadas no trabalho de auditoria e que requeiram pronta ação do órgão ou entidade ou solicitar informações). Nas CSET/CSEC os documentos relacionados no item 338 serão encaminhados pelo titular da UAIG.

352. O documento Relatório de Auditoria da AUGE, para encaminhamento aos órgãos e entidades, serão assinados somente pelo titular da AUGE, tendo em vista o caráter institucional desses documentos e a utilização cada vez mais frequente de sistemas informatizados para emitilos e encaminhá-los às partes interessadas. Os dados dos membros da equipe, no entanto, devem ser registrados no sistema informatizado utilizado para a emissão do relatório e devem constar no documento físico a ser encaminhado para o arquivo, devidamente assinado pela equipe de auditoria, acompanhado dos papéis de trabalho que podem constar em todo ou em parte em mídia.

353. O documento final de auditoria da AUGE será encaminhado, de ordem do titular da CGE, ao Dirigente Máximo e ao gestor estraté- gico do órgão/entidade/empresa, preferencialmente, por meio do sistema E-aud.

354. A resposta às demandas provenientes de outros órgãos e entida- des relativa às atribuições da AIG deverá ocorrer no prazo máximo de 30 dias.

355. Deverá ser observado o prazo de resposta às representações.

356O Relatório de Auditoria final deverá ser emitido até no máximo 30 dias após o encaminhamento do Relatório Preliminar ao Dirigente
Máximo do órgão ou entidade.

Seção II - Relatório de auditoria

357. Em se tratando de Relatório de Auditoria – Avaliação, este documento será estruturado da seguinte forma:

a) capa, que apresenta as informações indispensáveis à identificação do trabalho, como título e a data de emissão do relatório;

b) missão da CGE, com vistas a divulgá-la aos leitores do relatório;

c) resumo (sumário executivo), contendo infográfico, de no máximo duas páginas, que fornece uma visão geral clara e concisa do trabalho (qual foi o trabalho realizado; por que o trabalho foi realizado; quais as conclusões alcançadas e as principais recomendações que deverão ser adotadas);

d) lista de siglas e abreviaturas mencionadas no relatório, acompanha- das do nome completo correspondente;

e) sumário, que traz a enumeração das seções e os respectivos números de página;

f) metodologia do trabalho;

g) achados de auditoria, que constituem o resultado da comparação entre o critério e a condição;

h) manifestação do auditado e Plano de Ação, elaborado pelos gestores, deve ser inserida na íntegra no relatório de auditoria;

i) análise da equipe de auditoria quanto à manifestação do auditado;

j) recomendações, que consistem em indicações de ações às unidades auditadas, visando a corrigir desconformidades, a evitar riscos e a aperfeiçoar processos de trabalho;

k) conclusão, por meio do qual a equipe de auditoria emite a opinião sobre o objeto auditado, a qual deve estar baseada em informação suficiente, confiável, relevante e útil;

l) apêndices:

l.1) Matriz de Achado sintética;

l.2) Outros que o auditor julgar necessário;

l.3) Anexos, se houver, com documento ou informação, não produzida pela UAIG, que entenda necessário constar no documento.

358. O Relatório de Auditoria pode conter seções de anexo/apenso, nos quais preferencialmente serão incluídas planilhas, fontes de informa- ção, registros fotográficos, entre outros.

359. A estrutura do Relatório de Auditoria - Apuração não contém os itens VIII, IX, X, causa e efeito e sua conclusão consistirá na emissão de opinião sobre a procedência dos fatos noticiados como irregulares.

360. A estrutura do Relatório de Auditoria e Certificado sobre tomada de contas especial observará o disposto em manual específico.

361. Os achados de auditoria serão compostos pelos seguintes elementos: Título do achado; Situação Encontrada, com descrição do fato, do critério, condição, causa e efeito.

362. O relato do achado deve consistir na exposição do resultado da avaliação realizada pela equipe de auditoria e não do processo de análise realizada, que deve ficar registrada nos papéis de trabalho.

363. Para elaboração do Relatório de Auditoria, é indispensável a observância, por parte das UAIG, das diretrizes constantes na “Orien- tação Prática: Relatório de Auditoria” da Controladoria-Geral da União (2019) ou outra que venha a lhe substituir.

Seção III - Plano de Ação

364. O Plano de Ação é um documento elaborado pelo Dirigente Máximo ou Alta Administração do órgão e entidade, a partir de modelo
desenvolvido pela AUGE, que aborda as fragilidades identificadas no documento de auditoria e estabelece as ações com vistas ao seu saneamento. Explicita as medidas que serão tomadas para fins de cumprimento das recomendações e/ou para solucionar os problemas apontados, contendo, no mínimo:

a) o objetivo geral que se busca alcançar por meio das ações;

b) as ações que serão realizadas e seus objetivos;

c) o cronograma para desenvolvimento das ações;

d) o responsável pela execução de cada ação;

e) os benefícios efetivos e,

f) os elementos de medida, como indicadores e metas, advindos do atendimento das recomendações, quando possível.

365. O Plano de Ação é necessariamente avaliado e, quando possível, aperfeiçoado com o auxílio da equipe de auditoria.

366. O Plano de Ação deve seguir uma dinâmica própria, ou seja, pode passar por revisões solicitadas pela UAIG ou pelo próprio gestor.

CAPÍTULO VIII - DIVULGAÇÃO DO RELATÓRIO DE AUDITORIA

367. A disponibilização do resultado das auditorias está prevista no art.7º, alínea “b” da Lei Federal 12.527/2011 e art.4º, alínea “b” do
Decreto Estadual nº 45.969/2012, de acesso à informação.

368. O resultado da auditoria corresponde ao relatório de auditoria final ou a um Relatório de Opinião Geral.

369. O Relatório de Opinião Geral corresponde ao documento que consolida os resultados de diversas auditorias realizadas durante um intervalo específico de tempo.

370. A AUGE deverá emitir documento complementar ao relatório de auditoria com a finalidade de modificar ou complementar, quanto ao mérito, os relatórios finais de auditorias.

371. Os relatórios de auditorias devem ser publicados, preferencialmente por meio eletrônico, depois de cumpridos os seguintes requisitos e desde que observado o fluxo disposto no item 395:

a) Oportunidade de manifestação prévia do demandante sobre sigilo do trabalho ou sobre segredo de justiça, quando se tratar de auditorias oriundas de solicitações de órgãos de representação judicial ou equiva- lentes ou de solicitações de caráter especial.

b) Oportunidade de manifestação da Unidade Examinada sobre os achados de auditoria evidenciados na execução dos trabalhos, desde que não haja indicação prévia de sigilo ou de segredo de justiça.

c) Oportunidade de manifestação do Dirigente Máximo do órgão ou entidade sobre a existência de dados sigilosos na versão final do relatório, quando se tratar de Unidade Examinada pertencente à Administração Pública Estadual.

372. O prazo para que o Dirigente Máximo do órgão ou entidade se manifeste sobre a existência de informações sigilosas será de 15 dias, contados do recebimento do ofício. Caso não haja manifestação do ges- tor no prazo estipulado, o relatório será publicado integralmente.

373. O Dirigente Máximo do órgão ou entidade deverá ser informado de que, caso haja indicação de informações sigilosas, o relatório será publicado provisoriamente com a substituição dos trechos indicados, conforme orientação constante no item 411, preservando-se a extensão do documento original, sem prejuízo de que a pertinência do sigilo passe por avaliação posterior da CGE.

374. Encaminhamento do relatório ao Dirigente Máximo do órgão ou entidade e aos demais destinatários próprios de cada trabalho
realizado.

375. Serão publicados todos os relatórios de auditoria que atendam aos requisitos do item 373, devendo-se observar, ainda:

a) Os relatórios que subsidiam a elaboração de relatório de opinião geral serão publicados somente se contiverem informações relevantes que não estejam presentes no relatório de opinião geral;

b) Excepcionalmente, em função de sua criticidade, é possível antecipar ao Dirigente Máximo do órgão ou entidade o resultado de trabalho realizado para elaboração de relatório de opinião geral;

c) Para a publicação dos relatórios, é indispensável a observância, por parte das UAIG, das diretrizes constantes na “Orientação Prática: Relatório de Auditoria” ou outra que venha a lhe substituir.

376. As UAIG devem publicar o Relatório de Auditoria nainternet, pelas próprias UAIG, excluídos os anexos, apêndices e matriz de achados, ou um Relatório de Opinião Geral, observados os requisitos especificados a seguir, visando evitar a exposição inadequada de pessoas físicas e jurídicas.

a) Como regra geral, deve ser observada a Lei Federal nº 13.709, de 14 de agosto de 2018, a identificação de pessoas físicas e de jurídicas no relatório de auditoria somente devem ocorrer quando atendidos os seguintes critérios, cumulativamente:

a.1) identificação for absolutamente necessária para garantir a consistência dos achados;

a.2) as pessoas mencionadas tiverem contribuído para a condição verificada pela equipe;

a.3) a identificação estiver rigorosamente fundamentada em evidências suficientes e adequadas.

377. Considera-se dado pessoal a informação relacionada a pessoa natural identificada ou identificável.

378. Considera-se dado pessoal sensível o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

379. A identificação de pessoa física “Agente público”, se for realmente necessária, deve ocorrer por meio do Cargo ou função ocupado
e período de gestão. No caso de servidores que não ocupem cargo ou função de direção ou chefia, deve ser informado apenas o número de CPF descaracterizado da seguinte forma: ***.999.999-**; não se deve informar matrículas ou outras formas de identificação funcional.

380. A identificação de pessoa física “beneficiário” de programas e outras políticas públicas do governo estadual, se for realmente necessá- ria, deve ocorrer pelo Número de Identificação Social (NIS) descaracte- rizado da seguinte forma: ***999999**. Se não for possível usar o NIS, utilizar as iniciais do nome.

381. A identificação de pessoa física responsável, proprietário e/ou funcionário relacionado a pessoa jurídica contratada, empregado de
empresa terceirizada e pessoa física contratada temporariamente pela Administração, se for realmente necessária, deverá ser efetuada por meio do cargo ocupado e CPF descaracterizado (***.999.999-**).

382. A identificação de pessoas físicas mencionadas em manifestações apresentadas pela unidade examinada, se for realmente necessária, deve ser pelo número de CPF descaracterizado (***.999.999-**) ou as iniciais do nome. Porém, um mesmo indivíduo não deve ser identificado simultaneamente por meio de CPF descaracterizado e das iniciais do nome.

383. A identificação de pessoas físicas, na condição de denunciantes ou entrevistados e outras fontes de informação não responsáveis pelo fato constatado, que se constituem em fontes de informação para trabalhosda CGE, devem ser protegidas ao máximo nos relatórios. A menção a denúncias nesses textos, quando necessária, deve ser feita apenas como “demanda apresentada à CGE ou à CSET/CSEC”, sem a citação dos nomes dos demandantes nem de informações que facilitem sua identificação, como: apelidos, iniciais dos nomes, função ou cargo público, profissão, local de moradia.

384. A identificação de pessoas jurídicas, se for realmente necessária, deve ser efetuada por meio da razão social e do Cadastro Nacional da Pessoa Jurídica (CNPJ).

385. A identificação de pessoa jurídica Microempreendedores, se for realmente necessária, deve ser feita por meio do CPF descaracterizado. Caso a equipe não disponha dessa informação, poderá utilizar as iniciais do nome. É necessário, porém, que a construção do texto deixe claro que a natureza da pessoa citada é jurídica. Para isso, recomenda-se a utilização da sigla ME, após o CPF ou as iniciais.

386. Os dados (como nomes, números de CPF e de CNPJ) das pessoas físicas e jurídicas relacionadas a achados relatados pela UAIG, citados ou não no respectivo relatório, devem constar de documento arquivado como papel de trabalho. Essa prática facilita o acesso aos dados em consultas posteriores e, quando necessária, a sua remessa a outros órgãos de controle ou de defesa do Estado.

387. As ilustrações nos relatórios de auditoria não devem permitir a identificação de pessoas, para evitar o uso indevido de sua imagem. No caso de fotografias, elas devem preferencialmente apresentar locais e objetos. Somente devem conter pessoas quando sua presença for essen- cial, mas sem a identificação dos indivíduos, devendo ser dado tratamento às imagens, para que os rostos não sejam identificados.

388. Os trabalhos de auditoria da área de pessoal e previdenciária, em função das suas especificidades, identificarão pessoas físicas – servido- res da Administração Estadual do Poder Executivo-, por meio da menção a número de MASP e Cadastro de Pessoa Física (CPF) de forma descaracterizada, como a seguir:

a) Quando for MASP, mediante a ocultação dos três ou quatro primeiros dígitos e do dígito verificador, que devem ser substituídos por asteriscos (por exemplo, *.****.999-*);

b) Quando for CPF, mediante a ocultação dos três primeiros dígitos e dos dois dígitos verificadores, que devem ser substituídos por asteriscos (por exemplo, ***.999.999-**);

389. Nos relatórios, em geral, não deve haver menção aos seguintes termos e expressões: “denúncia”, “denunciante”, “denúncia anônima”, “fato denunciado” e “anônima”.

390. Denúncias apresentadas por cidadãos, prefeitos, ex-prefeitos, vereadores e demais parlamentares devem ser mencionadas nos rela- tórios simplesmente como “demanda apresentada à CGE” sem complementos que identifiquem ou categorizem os demandantes, ou seja, não se deve nem mesmo mencionar que se trata de cidadão, vereador, entre outros.

391. As representações efetuadas pelo Ministério Público, pelo Depar- tamento de Polícia Civil e Estadual, pela Advocacia-Geral do Estado e pelas demais instituições devem ser mencionadas como “demanda apresentada à CGE”, seguida da denominação da instituição demandante (por exemplo, demanda apresentada à CGE pelo Ministério Público Estadual).

392. Para fins de publicação do relatório de auditoria ou do relatório de opinião geral emitidos pela AUGE nositeda CGE, deverão ser observados o seguinte fluxo:

a) A UAIG responsável pelo relatório de auditoria deve:

a.1) preparar uma versão do relatório para publicação, conforme orientações contidas neste Capítulo VIII;

a.2) manifestar-se sobre os argumentos apresentados pelo Dirigente Máximo do órgão ou entidade sobre a restrição e ou sigilo de informações constantes no relatório de auditoria, no prazo de 15 dias;

a.3) readequar a versão do relatório de auditoria final para publicação;

a.4) preparar o ofício do titular da CGE ao Dirigente Máximo do órgão ou entidade constando o prazo para manifestação sobre possíveis informações sigilosas ou que estão sob segredo de justiça constantes no relatório de auditoria que não podem ser disponibilizadas nositeda CGE;

a.5) aguardar a resposta da Unidade Examinada sobre possíveis infor- mações sigilosas ou que estão sob segredo de justiça constantes no Relatório de Auditoria;

a.6) revisar a versão do relatório de auditoria final para publicação, após manifestação da UAIG responsável pela auditoria, e enviar à Assessoria de Comunicação Social (ASCOM) para substituição, se necessária, da versão de relatório de auditoria divulgada nositeda CGE.

b) A Assessoria de Comunicação Social deve providenciar a publicação do relatório de auditoria no prazo de 30 dias, mediante recebimento do arquivo eletrônico em formato pdf do relatório de auditoria (formato para publicação) enviado pela UAIG da AUGE.

c) Caso, no prazo estabelecido, haja a manifestação do Dirigente Máximo do órgão ou entidade sobre possíveis informações sigilosas
ou que estão sob segredo de justiça no relatório de auditoria, a UAIG deve:

c.1) enviar o relatório de auditoria à ASCOM para publicação proviso- riamente com a substituição dos trechos indicados pelo órgão quando houver indicação e entidade, conforme orientação constante no item 402;

c.2) redirecionar a manifestação do Dirigente Máximo do órgão ou entidade para manifestação da UAIG responsável pelo relatório de
auditoria, que a avaliará, considerando a resolução de sigilo de informação do Órgão auditado.

393. O posicionamento da CGE sobre a manifestação do dirigente máximo do órgão ou entidade sobre possíveis informações sigilosas ou que estão sob segredo de justiça no relatório de auditoria serão comunicadas ao dirigente máximo do órgão ou entidade.

394. Para fins de publicação do relatório de auditoria ou do relatório de opinião geral emitidos pela CSET/CSEC nositeda CGE, deverão ser observados o seguinte:

395. A CSET/CSEC responsável pelo relatório de auditoria deve:

a.1) preparar uma versão do relatório para publicação, conforme orientações contidas neste Capítulo VIII;

a.2) manifestar-se sobre os argumentos apresentados pelo Dirigente Máximo do órgão ou entidade sobre a restrição e ou sigilo de informações constantes no relatório de auditoria, no prazo de 15 dias;

a.3) readequar a versão do relatório de auditoria final para publicação;

a.4) preparar documento destinado ao Dirigente Máximo do órgão ou entidade constando o prazo para manifestação sobre possíveis informações sigilosas ou que estão sob segredo de justiça constantes no relatório de auditoria que não podem ser disponibilizadas nositeda CGE;

a.5) aguardar a resposta da Unidade Examinada sobre possíveis informações sigilosas ou que estão sob segredo de justiça constantes no Relatório de Auditoria;

a.6) revisar a versão do relatório de auditoria final para publicação e enviar à ASCOM para substituição, se necessária, da versão de relatório de auditoria divulgada nositeda CGE.

396. A Assessoria de Comunicação Social deve providenciar a publicação do relatório de auditoria no prazo de 30 dias, mediante recebimento do arquivo eletrônico em formato pdf do relatório de auditoria (formato para publicação) enviado pela CSET/CSEC.

397. Caso, no prazo estabelecido, haja a manifestação do Dirigente Máximo do órgão ou entidade sobre possíveis informações sigilosas
ou que estão sob segredo de justiça no relatório de auditoria, a CSET/ CSEC deve enviar o relatório de auditoria à ASCOM para publicação provisoriamente com a substituição dos trechos indicados pelo órgão e entidade, conforme orientação constante no item 402 e manifestar-se conforme previsto no inciso I, alínea b deste artigo.

398. O posicionamento da CSET/CSEC sobre a manifestação do dirigente máximo do órgão ou entidade sobre possíveis informações sigi- losas ou que estão sob segredo de justiça no relatório de auditoria serão comunicadas ao dirigente máximo do órgão ou entidade pela referida UAIG.

399. Quando houver indicação de sigilo, substituir, na versão que será publicada, os trechos identificados como sigilosos por uma das seguin- tes afirmações: “Informações suprimidas por solicitação [OU da Unidade Examinada OU da Entidade responsável], em função de sigilo, na forma da Lei nº xxx” ou “Informações suprimidas por solicitação [OU da Unidade Examinada OU da Entidade responsável], conforme Reso- lução [citar a norma de sigilo da informação da Entidade]”.

400. Para fins de conhecimento e acompanhamento, o relatório de auditoria encaminhado ao Dirigente Máximo do órgão ou entidade pela CGE deverá ser encaminhado, também à CSET/CSEC, e o relatório de auditoria encaminhado ao Dirigente Máximo do órgão ou entidade, pela CSET/CSEC, deverá ser encaminhado, também, para a AUGE.

401. A divulgação do resultado das auditorias realizadas no exercício de 2018 e nos exercícios anteriores, seja por meio de relatório de auditoria final ou de um relatório de Opinião Geral, conforme disposto no item 246, deverão observar a Lei Federal nº 13.709, de 14 de agosto de 2018.

402. A UAIG da AUGE e as CSET/CSEC podem propor à ASCOM a elaboração de nota de divulgação ou de matéria jornalística para relatório de auditoria que abordar situações que apresentem relevância institucional.

403. Considera-se de relevância institucional o relatório cujos achados apresentarem alta materialidade ou impacto alto ou muito alto sobre os objetivos do objeto de auditoria.

404. Qualquer divulgação de relatórios de auditoria pela ASCOM da CGE deve ser efetuada após interface com a ASCOM da Unidade
Examinada.

405. Em caso de elaboração de matéria jornalística, a ASCOM deverá informar ao respectivo gestor do órgão ou entidade sobre a publicação do texto e do relatório na página da CGE na internet.

406. A ASCOM somente divulgará nota sobre relatório de auditoria após a autorização do titular da CGE.

407. A ASCOM deverá informar à AUGE a data de publicação e olinkde acesso ao relatório.

CAPÍTULO IX - GESTÃO E MELHORIA DA QUALIDADE

408. Os processos e ferramentas utilizados para avaliações internas contínuas do processo de auditoria, inclusive das CSET/CSEC, devem ser desenvolvidas e realizadas pela AUGE e incluem:

a) a supervisão do trabalho de auditoria;

b) listas de verificações e de procedimentos a serem seguidos;

c)feedbackda área ou órgão auditado e de outras partes interessadas, como: pesquisa de percepção ampla, realizada junto à Alta Administração da organização e a partes interessadas, com periodicidade anual, destinada a colher informações sobre a percepção geral quanto à atuação das UAIG e a agregação de valor promovida pela atividade de Auditoria Interna Governamental; pesquisa de avaliação pontual reali- zada junto aos gestores das áreas auditadas, após a finalização do trabalho de auditoria e a divulgação do resultado correspondente, com foco na avaliação da qualidade do processo de auditoria, do relatório (ou outra forma de comunicação) produzido e da conduta profissional dos SCI.

d) - utilização de indicadores de desempenho tais como cumprimento do planejamento de auditoria; o desempenho da UAIG em relação ao PAINT do PACI; o grau de atendimento às recomendações emitidas pela UAIG; a eficiência da força de trabalho alocada à UAIG, considerados a quantidade e a relevância dos trabalhos realizados e os benefícios deles decorrentes; a confiança dos auditores externos na ativi- dade de auditoria; finalização da cobertura obrigatória; tempo de ciclos; horas de auditoria orçadas versus reais.

e) Avaliação realizada pelos SCI, após a conclusão dos trabalhos, que tem por objetivo aferir a percepção dos membros das equipes de auditoria quanto ao desempenho, à conduta ética e à postura profissional do próprio auditor; ao planejamento, à execução do trabalho, ao processo de supervisão, à alocação de recursos (humanos, materiais, tecnológicos e de tempo) e ao alcance do objetivo da auditoria.

f) avaliações periódicas por equipe não envolvida na respectiva audi- toria sobre a qualidade, a adequação e a suficiência: do processo de planejamento; das evidências e dos papéis de trabalho produzidos ou coletados pelos auditores; das conclusões alcançadas; da comunicação dos resultados; do processo de supervisão dos trabalhos; e do processo de monitoramento das recomendações emitidas.

CAPÍTULO X - DISPOSIÇÕES FINAIS

409. As UAIG devem incentivar para que a Administração Pública Estadual do Poder Executivo adote boas práticas de gestão, controle
e governança internacionalmente reconhecidas e que são adotadas pela CGE, com destaque para:

a) ISO 37001:2016 - Sistemas de Gestão Antissuborno;

b) ISO 31010:2019 - Gestão de Riscos - Técnicas para o Processo de Avaliação de Riscos;

c) ISO 31000:2018 - Gestão de Riscos;

d) ISO 27000:2018 – Tecnologia da Informação;

e) ISO 27001:2013 - Sistemas de Gerência da Segurança da Informação;

f) ISO 19011:2018 - Diretrizes para Auditoria de Sistemas de Gestão;

g) ISO 19600 –ComplianceGeral;

h) Controle Interno - Estrutura Integrada - 2017 do Comitê de Organi- zações Patrocinadoras da ComissãoTreadway(COSO).
410. Os trabalhos de avaliação, consultoria e apuração deverão ser exe- cutados no módulo de auditoria do sistema E-aud, de acordo com as subtarefas estabelecidas, sequencialmente, no referido sistema.

411. As subtarefas do módulo de auditoria do sistema E-aud deverão ser devidamente preenchidas de acordo com o progresso e a execução das etapas do trabalho;

412. É vedada a execução de etapa de auditoria no sistema E-aud sem a conclusão da etapa anterior.

413. As instruções complementares e os casos omissos serão orienta- dos pela Auditoria-Geral por meio de Ordem de Serviço.

414. Esta Instrução Normativa entra em vigor na data de sua publicação.

Belo Horizonte, 30 de novembro de 2021.

Apêndice Único
Modelo de Declaração de Independência e Imparcialidade por trabalho de auditoria Declaração de Independência e Imparcialidade
Órgão auditado: [especificar]
Objeto de auditoria: [especificar]
Ordem de Serviço, se houver: [especificar]
Eu, [nome do servidor], MASP. [especificar número], lotado na [citar a área e órgão], declaro formalmente a inexistência, desde o período de planejamento da auditoria, até a execução dos serviços de avaliação e elaboração do produto de auditoria, em relação ao [citar o órgão/ unidade auditada), de: vínculo conjugal ou de parentesco consanguíneo ou afim, em linha reta ou colateral até o 30 grau com servidores, gestores, administradores, acionistas, sócios ou com empregados que tenham ingerência na sua administração ou nos negócios ou que sejam responsáveis por sua contabilidade; relação de trabalho como servidor, empregado, administrador ou colaborador assalariado, ainda que esta relação seja indireta, nos dois últimos anos; interesse financeiro direto, imediato ou mediato, ou substancial interesse financeiro indireto, compreendida a intermediação de negócios de qualquer tipo e a realização de empreendimentos conjuntos; exercício de função ou cargo incompatível com a atividade de auditoria interna; qualquer outra situação de
conflito de interesses no exercício da auditoria interna que possa afetar ou parecer afetar o desempenho de minhas funções com independência e imparcialidade. Observação: Durante o período do planejamento da auditoria, execução dos trabalhos e elaboração do documento de auditoria, deverá ser comunicada ao chefe imediato qualquer circunstância de suspeição ou impedimento que possa gerar conflitos de interesses.

Belo Horizonte, [dia] de [mês] de [ano].

Assinatura, nome completo e MASP.

Ciência do Supervisor do trabalho de auditoria:

Data, Assinatura, nome completo e MASP

Este texto não substitui o publicado no Diário Oficial do Estado.

Publicação Diário do Executivo

CTL - Consultoria Técnico-Legislativa

Cidade Administrativa Presidente Tancredo Neves

Rodovia Papa João Paulo II, 4001
Edifício Tiradentes, 2º andar
Bairro Serra Verde - BH / MG
CEP: 31630-901

Nome do Remetente:
Email do Destinatário:
Mensagem:

Links

Enviar Legislação por Email