CONTEÚDO
INSTRUÇÃO NORMATIVA AUDIT/SUSEP Nº 002, DE 06.12.2022
Estabelece os procedimentos referentes ao planejamento, execução e monitoramento dos trabalhos de auditoria, no âmbito da Auditoria Interna da Susep.
O AUDITOR-CHEFE DA SUPERINTENDÊNCIA DE SEGUROS PRIVADOS - SUSEP, no uso das atribuições que lhe confere o artigo 17 da Resolução CNSP nº 449, de 18 de outubro de 2022, que dispõe sobre o Regimento Interno da Susep; considerando as disposições da Instrução Normativa CGU nº 03, de 9 de junho de 2017, que aprova o Referencial Técnico da Atividade de Auditoria Interna Governamental do Poder Executivo Federal, e da Instrução Normativa CGU nº 8, de 6 de dezembro de 2017, que aprova o Manual de Orientações Técnicas da Atividade de Auditoria Interna Governamental do Poder Executivo Federal; e o que consta do Processo Susep nº 15414.609358/2018-45, resolve:
CAPÍTULO I
DO ÂMBITO E DA FINALIDADE
Art. 1º Ficam estabelecidos os procedimentos referentes ao planejamento, execução e monitoramento dos trabalhos de auditoria, no âmbito da Auditoria Interna da Susep, conforme o disposto nesta Instrução Normativa.
Parágrafo único. O planejamento a que se refere este artigo diz respeito apenas aos trabalhos individuais de auditoria nos objetos auditáveis da Susep, não englobando a elaboração do Plano Anual de Auditoria Interna - Paint, o qual é construído segundo os normativos e orientações emitidos pelo órgão central do sistema de controle interno do Poder Executivo Federal.
CAPÍTULO II
DA FORMALIZAÇÃO DOS TRABALHOS DE AUDITORIA
Art. 2º O início dos trabalhos de auditoria deve ser formalizado internamente, por meio de Ordem de Serviço, a ser expedida pelo Auditor-Chefe, de acordo com modelo previamente estabelecido no âmbito da Auditoria Interna.
Parágrafo único. A Ordem de Serviço deve conter os seguintes elementos mínimos:
I - Tipo de serviço de auditoria:
a) Avaliação: atividade que consiste no exame objetivo da evidência, com o propósito de fornecer uma avaliação tecnicamente autônoma e objetiva sobre o escopo da auditoria; ou
b) Consultoria: atividade que consiste em assessoramento, aconselhamento e serviços relacionados, prestados em decorrência de solicitação específica da gestão, e que se destina a adicionar valor e a aperfeiçoar os processos de governança, de gerenciamento de riscos e a implementação de controles internos na Susep.
II - Espécie da auditoria:
a) Ordinária: prevista no Plano Anual de Atividades de Auditoria Interna - Paint; ou
b) Especial: não prevista no Plano Anual de Atividades de Auditoria Interna - Paint.
III - Origem da demanda de auditoria:
a) Paint do exercício;
b) Solicitação do órgão de controle; ou
c) Solicitação do Conselho Diretor da Susep.
IV - Unidade(s) auditada(s).
V - Objeto auditável.
VI - Objetivos e escopo preliminares.
VII- Equipe de auditoria, com indicação dos responsáveis pela coordenação e pela supervisão dos trabalhos.
VIII - Prazo previsto para a conclusão dos trabalhos.
Art. 3º A fim de comunicar à unidade auditada o início da fase de planejamento da auditoria referente ao objeto, o Auditor-Chefe emitirá Despacho de Formalização dos Trabalhos, de acordo com modelo previamente estabelecido no âmbito da Auditoria Interna.
Art. 4º Após a conclusão da etapa de planejamento, terá início a etapa de execução da auditoria, com a solicitação pela Audit de reunião de abertura e apresentação da Comunicação de Auditoria, de acordo com modelo previamente estabelecido no âmbito da Auditoria Interna.
CAPÍTULO III
DAS ATRIBUIÇÕES DOS PARTICIPANTES DA AUDITORIA
Art. 5º A supervisão dos trabalhos de auditoria é de competência do Auditor-Chefe, devendo ser realizada por meio de um processo continuo de acompanhamento das atividades, que abrange todas as fases da auditoria, com a finalidade de assegurar a qualidade dos trabalhos.
Art. 6º São atribuições do supervisor:
I - Definir a equipe de auditoria, de forma a garantir a proficiência coletiva;
II - Indicar o coordenador de equipe;
III - Garantir que a auditoria seja realizada de acordo com as normas e práticas de auditoria aplicáveis;
IV - Interagir com a equipe e instruí-la, durante todo o trabalho de auditoria, inclusive na fase de planejamento, promovendo oportunidades de desenvolvimento dos auditores;
V - Em conjunto com a equipe e o coordenador, elaborar cronograma para o trabalho de auditoria e zelar pelo seu cumprimento;
VI - Aprovar o Programa de Trabalho e autorizar eventuais alterações;
VII - Garantir o cumprimento do Programa de Trabalho e o alcance dos objetivos;
VIII - Confirmar se as evidências suportam os achados, as conclusões e as recomendações elaboradas pela equipe;
IX - Revisar os papéis de trabalho e certificar-se de que foram devidamente elaborados e de que sustentam os achados e as conclusões alcançadas pela equipe;
X - Sempre que possível, conduzir as reuniões de abertura e as que tenham como finalidade discutir os achados e as possíveis soluções com os representantes da unidade auditada; e
XI - Manter a confidencialidade e a segurança de informações, dados, documentos e registros.
Art. 7º São atribuições do coordenador dos trabalhos:
I - Auxiliar na elaboração do cronograma de atividades e zelar pelo seu cumprimento;
II - Liderar a execução do trabalho, de forma a garantir o cumprimento do planejamento;
III - Participar da elaboração do Programa de Trabalho e, quando necessário, apresentar sugestões de alterações do planejamento ao supervisor;
IV - Manter interlocução com a unidade auditada e atender aos seus servidores/funcionários e dirigentes, sobretudo para esclarecer o conteúdo de documentos emitidos durante o trabalho de auditoria;
V - Acompanhar os integrantes da equipe de auditoria na aplicação de testes que demandem interação com os gestores ou servidores/funcionários da unidade auditada, tais como entrevistas ou aplicações de questionários; e
VI - Solicitar a intervenção do supervisor sempre que esta seja necessária para assegurar o cumprimento das normas, das orientações, a segurança da equipe e a solução de eventuais conflitos.
Art. 8º São atribuições da equipe de auditoria:
I - Executar o trabalho de acordo com as normas e práticas de auditoria aplicáveis;
II - Em conjunto com o coordenador e o supervisor, elaborar cronograma para o trabalho de auditoria;
III - Participar da elaboração do Programa de Trabalho;
IV - Executar as atividades de acordo com o planejamento realizado;
V - Coletar e analisar informações relevantes e precisas por meio de procedimentos e técnicas de auditoria apropriados;
VI - Elaborar os documentos de comunicação com a unidade auditada e submetê-los à avaliação do coordenador de equipe;
VII - Assegurar a suficiência e a adequação das evidências de auditoria para apoiar os achados, recomendações e conclusões da auditoria;
VIII - Registrar as atividades realizadas em papéis de trabalho;
IX - Manter a confidencialidade e a segurança de informações, dados, documentos e registros;
X - Comunicar quaisquer achados críticos ou potencialmente significativos ao coordenador ou ao supervisor do trabalho em tempo hábil; e
XI - Quando houver limitação do trabalho, comunicar o fato, de imediato, ao coordenador ou ao supervisor do trabalho.
Parágrafo único. Caso a equipe de auditoria seja composta por um único integrante, a ele caberão, cumulativamente, as atribuições da equipe de auditoria, definidas neste artigo; e as do coordenador de equipe, especificadas no art. 7º.
CAPÍTULO IV
DO PLANEJAMENTO DOS TRABALHOS INDIVIDUAIS DE AUDITORIA
Art. 9º A fase de planejamento dos trabalhos deve estabelecer os principais pontos de orientação das análises a serem realizadas, considerando, entre outras, as atividades descritas a seguir:
I - Análise preliminar do objeto da auditoria;
II - Definição dos objetivos e do escopo detalhado do trabalho, considerando os principais riscos existentes e a adequação e suficiência dos mecanismos de controle estabelecidos; e
III - Elaboração do Programa de Trabalho.
Seção I
Da Análise Preliminar do Objeto de Auditoria
Art. 10. Na fase de análise preliminar, a equipe de auditoria deve realizar o levantamento de informações que permitam obter uma compreensão suficiente do objeto auditável, tais como:
I - Objetivos e riscos associados ao objeto de auditoria (definidos pela estrutura organizacional competente, conforme a Política de Gestão de Riscos) e os controles internos relacionados a esses riscos;
II - Apetite ao risco da Susep, em relação aos riscos referenciados no inciso I;
III - Relação do objeto auditável com a missão, visão e os objetivos estratégicos da unidade auditada;
IV - Estrutura de governança, de gerenciamento de riscos e controles referentes ao objeto auditável;
V - Indicadores de desempenho relacionados ao objeto auditável;
VI - Fluxogramas (mapas de processo) relacionados ao objeto auditável;
VII - Responsáveis pelo objeto da auditoria;
VIII - Estrutura organizacional das áreas envolvidas com o objeto auditável;
IX - Leis e regulamentos, normas, orientações, manuais e procedimentos internos relacionados ao objeto auditável;
X - Jurisprudência de interesse, principalmente do Tribunal de Contas da União;
XI - Quantidade / lotação / perfil da força de trabalho envolvida (inclusive terceirizados);
XII - Sistemas informatizados utilizados e demandas previstas no Plano Diretor de Tecnologia da Informação - PDTI;
XIII - Partes interessadas;
XIV - Programas/ações orçamentárias envolvidos;
XV - Resultados de trabalhos anteriores;
XVI - Recomendações dos órgãos de controle pendentes de atendimento;
XVII - Informações extraídas de sistemas corporativos, da imprensa, da internet e intranet; e
XVIII - Outras informações e estudos sobre o objeto auditável.
§ 1º Caso a unidade auditada não possua o fluxograma a que se refere o inciso VI, a Audit, com base em todas as informações coletadas, poderá elaborar fluxo próprio com a finalidade exclusiva de auxiliar o desenvolvimento dos trabalhos de auditoria, devendo ser validado junto ao gestor responsável.
§ 2º As informações de que trata este artigo deverão compor o documento "Análise Preliminar do Objeto de Auditoria", de acordo com modelo previamente estabelecido no âmbito da Auditoria Interna.
Seção II
Da Definição dos Objetivos da Auditoria e do Escopo de Trabalho
Art. 11. Com base nas informações levantadas durante a fase de análise preliminar do objeto auditável, a equipe de auditoria deverá proceder ao detalhamento dos objetivos da auditoria e do escopo do trabalho.
Art. 12. Os objetivos devem se constituir no desdobramento do objetivo geral inicialmente definido no Paint, e refletir em questões a que a auditoria pretende responder, no intuito de:
I - Definir especificamente os resultados pretendidos pela auditoria;
II - Direcionar o escopo e os testes necessários; e
III - Orientar a formulação dos achados de auditoria.
§ 1º Para os trabalhos de auditoria não previstos no Paint, os objetivos devem ser definidos para atender o aspecto específico que motivou a demanda.
§ 2º No estabelecimento dos objetivos do trabalho, a equipe de auditoria deve considerar:
I - Os principais riscos e a adequação e suficiência dos mecanismos de controle estabelecidos;
II - As expectativas das partes interessadas; e
III - A possibilidade de ocorrência de erros significativos, fraudes, não conformidades e outras exposições relacionadas ao objeto da auditoria.
Art. 13. O escopo do trabalho deve apresentar uma clara definição do foco, da extensão e dos limites da auditoria, de forma que os objetivos sejam atingidos.
Parágrafo único. Parágrafo único. Na definição do escopo, a equipe deve considerar, entre outros aspectos:
I - O tipo e a extensão dos problemas encontrados nos trabalhos de auditoria anteriores realizados pela Audit ou pelos órgãos de controle;
II - Os riscos identificados; e
III - A adequação dos mecanismos de controle estabelecidos.
Art. 14. A fim de concluir sobre quais riscos e controles deverão ser prioritariamente analisados, a equipe de auditoria deve identificar os riscos que impactam no cumprimento dos objetivos referentes ao objeto auditável, verificar as causas e consequências desses riscos, avaliá-los e, ainda, identificar e avaliar a adequação do desenho dos controles internos estabelecidos.
Art. 15. Nos casos em que o gestor disponibilize o processo mapeado, os objetivos do objeto auditável e os riscos identificados, a equipe deverá realizar a análise e revisão desses documentos com vistas a verificar sua suficiência e adequação ao trabalho de auditoria.
Art. 16. Caso o gestor não tenha clareza sobre os objetivos e os riscos relativos ao objeto de auditoria, a equipe deve interagir com ele, de forma a confirmar o entendimento sobre os objetivos obtido na etapa de análise preliminar do objeto de auditoria.
Art. 17. A identificação dos riscos inerentes ao objeto auditável deve ser feita com base nos objetivos e nas demais informações coletadas na etapa de análise preliminar, por meio do preenchimento do Mapa de Riscos e Controles - MRC, de acordo com modelo previamente estabelecido no âmbito da Auditoria Interna.
Art. 18. A avaliação dos riscos inerentes deverá levar em consideração o seu impacto (muito alto, alto, médio, baixo ou muito baixo) e a sua probabilidade de ocorrência (muito alta, alta, média, baixa ou muito baixa), conforme modelo previamente estabelecido no âmbito da Auditoria Interna.
Art. 19. Com base nas informações coletadas na análise preliminar, e nos riscos relevantes relacionados aos objetivos do objeto de auditoria, a equipe deve identificar e avaliar preliminarmente os respectivos controles que a gestão adota para gerenciar esses riscos, a exemplo de procedimentos de autorização e aprovação, segregação de funções (autorização, execução, registro e controle), controle de acesso a recursos e registros, verificações, conciliações, avaliação do desempenho operacional, avaliação das operações, dos processos e das atividades, supervisão, entre outros.
Art. 20. A avaliação preliminar dos controles deve consistir na verificação do modo como os controles foram planejados e estruturados e se o seu desenho é capaz de garantir segurança razoável de que os riscos relacionados ao objeto em questão estão sendo gerenciados a um nível aceitável.
§ 1º A etapa de avaliação preliminar dos controles deve considerar, principalmente:
I - A relação custo-benefício;
II - Se o controle avaliado é o único ou o principal destinado a mitigar determinado risco; e
III - A frequência com que o controle é acionado (permanente, anual, trimestral, mensal, semanal, diário ou por transação).
§ 2º O resultado da avaliação preliminar dos controles (forte, satisfatório, mediano, fraco ou inexistente) deve ser registrado no MRC.
Art. 21. O nível de risco residual, que permanece após a identificação dos riscos inerentes e a avaliação preliminar dos controles, deve ser mensurado pela equipe de auditoria, de acordo com modelo previamente estabelecido no âmbito da Auditoria Interna.
Art. 22. Com base na identificação e avaliação dos riscos inerentes, controles e níveis de risco residual, a equipe poderá especificar os controles internos que farão parte do escopo do trabalho de auditoria.
Parágrafo único. Deverão ser prioritariamente selecionados:
I - Controles que estejam presentes e funcionando e que sejam capazes de, em uma situação de risco inerente alto, atuar para que o risco residual seja baixo;
II - Controles que estejam presentes e funcionando e que sejam destinados à mitigação de mais de um risco inerente; e
III - Controles fracos ou inexistentes, que não mitiguem os riscos inerentes considerados altos.
Art. 23. Quaisquer limitações do escopo que venham a ocorrer devem ser documentadas e discutidas com o supervisor do trabalho e, caso afetem a capacidade da Audit de executar suas atividades de forma independente e objetiva, o Auditor-Chefe deve discutir o prejuízo com o Conselho Diretor, a fim de buscar apoio para solucioná-lo.
Seção III
Da Elaboração do Programa de Trabalho
Art. 24. Com base nos objetivos estabelecidos para o trabalho de auditoria e no escopo, definidos com fundamento no conhecimento acumulado por meio das etapas anteriores (ou seja, nos objetivos do objeto auditado, nos principais riscos e na avaliação preliminar dos controles a eles relacionados), a equipe de auditoria decidirá por meio de quais tipos de testes (substantivos ou de controle) procederá a sua avaliação, de modo a formar a convicção para a emissão de sua opinião.
Parágrafo único. A natureza dos testes e extensão dos procedimentos para coleta de evidências deverão ser definidos pela equipe de forma que o risco de auditoria, assim considerado o risco de o auditor chegar a conclusões inválidas e/ou fornecer opiniões equivocadas com base no trabalho de auditoria realizado, seja reduzido a um nível aceitável.
Art. 25. O Programa de Trabalho será elaborado pela equipe de auditoria, de acordo com modelo previamente estabelecido no âmbito da Auditoria Interna, devendo contemplar:
I - Questões de auditoria (objetivos da auditoria), a serem respondidas por meio das análises na fase de execução;
II - Critérios de auditoria, que constituem referenciais para verificar se a situação avaliada atende ao esperado, de acordo com um padrão razoável e atingível de desempenho e adequação dos controles;
III - Técnicas, natureza e extensão dos testes necessários para identificar, analisar, avaliar e documentar as informações durante a execução do trabalho, de modo a permitir a emissão de opinião pela equipe.
§ 1º Na elaboração do Programa de Trabalho, no que diz respeito à definição dos critérios de auditoria, deverá ser ouvido, em caráter consultivo, o gestor da unidade auditada.
§ 2º A ausência de manifestação formal do gestor da unidade auditada em relação aos critérios de auditoria, no prazo estipulado pela Auditoria Interna, não impede a adoção, no âmbito da Audit, das providências necessárias à aprovação do Programa de Trabalho, na forma disposta no art. 27.
Art. 26. Dentre as técnicas de auditoria que podem ser utilizadas pela equipe, incluem-se: a inspeção; a observação; a análise documental; a confirmação externa (circularização); a indagação; o recálculo; os procedimentos analíticos; a reexecução; a amostragem; e demais técnicas preconizadas na Instrução Normativa CGU nº 8, de 6 de dezembro de 2017, que aprova o Manual de Orientações Técnicas da Atividade de Auditoria Interna Governamental do Poder Executivo Federal.
Parágrafo único. A definição e aplicabilidade das técnicas de auditoria encontram-se descritas na Instrução Normativa CGU nº 8, de 2017.
Art. 27. O Programa de Trabalho deve ser aprovado formalmente pelo supervisor do trabalho, previamente ao início de sua execução.
Parágrafo único. O Programa de Trabalho poderá ser ajustado durante sua execução, mediante justificativa formal e anuência do supervisor, em decorrência de novas informações e conhecimentos adquiridos no decorrer da auditoria.
CAPÍTULO V
DA EXECUÇÃO DOS TRABALHOS DE AUDITORIA
Art. 28. Finalizado o planejamento, tem início a fase de execução dos trabalhos, em que a equipe deve realizar os testes, por meio da utilização de técnicas, de coleta e de análise de dados para fins de elaboração dos achados de auditoria.
Art. 29. Os testes de auditoria realizados nesta etapa devem ser devidamente documentados em papéis de trabalho, de acordo com modelo previamente estabelecido no âmbito da Auditoria Interna.
Art. 30. O início da execução da auditoria se dá com a solicitação pela Audit de reunião de abertura e apresentação da Comunicação de Auditoria.
§ 1º A reunião de abertura deve contar, sempre que possível, com a participação do gestor máximo da unidade auditada, e ser conduzida pelo Auditor-Chefe, com a seguinte proposta de pauta:
I - Comunicação do tipo de auditoria e do objetivo geral do trabalho;
II - Apresentação da equipe de auditoria, inclusive indicando quem exercerá o papel de supervisor e de coordenador;
III- Identificação de representante da unidade auditada que possa atuar como interlocutor da equipe de auditoria;
IV - Tratativas sobre o acesso a documentos e informações, inclusive quando houver dados sigilosos;
V - Exposição da dinâmica de auditoria, se o auditado não tiver familiaridade com esse processo; e
VI - Indicação da forma de comunicação dos resultados.
Art. 31. Durante a execução dos trabalhos, além da realização de reuniões com a unidade auditada, a equipe de auditoria pode se utilizar das seguintes formas de comunicação, dentre outras:
I - Solicitação de Auditoria (SA), de acordo com modelo previamente estabelecido no âmbito da Auditoria Interna. e
II - Nota de Auditoria (NA), de acordo com modelo previamente estabelecido no âmbito da Auditoria Interna.
Art. 32. A Solicitação de Auditoria constitui documento utilizado pela Audit para solicitar a apresentação de documentos, informações e esclarecimentos, devendo ser dirigida ao gestor máximo da unidade auditada ou a outra autoridade competente.
§ 1º As Solicitações de Auditoria devem ser assinadas pela equipe, a quem compete estabelecer o prazo para atendimento, levando-se em consideração o volume de informações requeridas.
§ 2º Sempre que possível, a equipe de auditoria deve manter contato com os servidores diretamente envolvidos no atendimento à SA emitida para prestar esclarecimentos sobre o seu conteúdo.
§ 3º Nos casos de não atendimento, ou de atendimento parcial da solicitação, a equipe de auditoria poderá adotar algumas das medidas a seguir:
I - Reiterar a SA e estabelecer um novo prazo para seu atendimento; ou
II - Solicitar que o Auditor-Chefe atue junto aos representantes da unidade auditada, especialmente nos casos de atraso no atendimento que possam trazer prejuízo ao desenvolvimento dos trabalhos.
Art. 33. A Nota de Auditoria é o documento emitido pela Audit na hipótese de identificação de providência a ser imediatamente adotada pela unidade auditada, de modo que aguardar a finalização do trabalho para expedir recomendação poderá resultar em danos aos cidadãos ou à administração pública.
§ 1º O registro de emissão da NA deverá ser posteriormente acrescentado ao Relatório de Auditoria.
§ 2º A NA deve ser destinada ao gestor máximo da unidade auditada e assinada pelos membros da equipe de auditoria, em conjunto com o Auditor-Chefe.
§ 3º As situações apresentadas na NA devem observar os requisitos relativos aos achados de auditoria, e conter recomendação para prevenir/corrigir a falha evidenciada, com prazo específico para atendimento, que pode ser definido em comum acordo com a unidade auditada.
Art. 34. O desenvolvimento dos achados de auditoria deve contemplar quatro componentes principais, quais sejam:
I - Critério (o que deveria ser): definido na fase de planejamento e entendido como o padrão utilizado pela equipe para avaliar se o objeto auditado atende, excede ou está aquém do desempenho esperado;
II - Condição ou situação encontrada (o que é): representa a situação existente, identificada e documentada durante a fase de execução da auditoria;
III - Causa: razão para a existência de diferença entre o critério e a condição, ou seja, entre a situação esperada e a encontrada; e
IV - Efeito: consequência da divergência entre a condição e o critério, podendo ser existente, quando já se trata de um fato resultante da condição, ou potencial (risco), quando há exposição, sem que tenha sido detectado efeito real.
Parágrafo único. A equipe de auditoria deve se empenhar para identificar a causa raiz da condição, sobre a qual deve, preferencialmente, estar relacionada a recomendação emitida.
Art. 35. No intuito de organizar os achados de auditoria em um documento único, com todas as informações relacionadas de forma sintética, de modo a propiciar uma visão geral do trabalho realizado e facilitar as discussões internas e a supervisão, a equipe de auditoria deverá elaborar Matriz de Achados, de acordo com modelo previamente estabelecido no âmbito da Auditoria Interna.
Art. 36. A fim de se certificar de que estejam devidamente suportados por evidências, o Auditor-Chefe deverá revisar e aprovar os achados de auditoria antes de serem apresentados à unidade auditada.
Art. 37. Ao final da fase de execução, deverá ser elaborado o Relatório Preliminar de Auditoria e agendada reunião de busca conjunta de soluções junto ao gestor máximo da unidade auditada, com o objetivo de discutir os achados da auditoria e as possíveis soluções para os problemas detectados.
§ 1º O Relatório Preliminar de Auditoria, nos moldes previamente estabelecidos no âmbito da Auditoria Interna, deverá ser assinado pelos membros da equipe de auditoria, em conjunto com o Auditor-Chefe.
§ 2º A fim de que haja uma maior interação entre a Audit e a unidade auditada, o conteúdo do Relatório Preliminar deverá ser disponibilizado previamente à realização da reunião de busca conjunta.
§ 3º A reunião de busca conjunta deve ser conduzida pelo Auditor-Chefe, com a seguinte proposta de pauta:
I - Apresentação e discussão dos achados e dos resultados da auditoria;
II - Discussão das recomendações para melhoria, bem como dos respectivos prazos para sua implementação; e
III - Estabelecimento de prazo para a unidade auditada se manifestar formalmente sobre as conclusões da Audit, principalmente em caso de discordância quanto aos achados ou às possíveis recomendações.
Art. 38. Após a reunião de busca conjunta de soluções, e com base nos esclarecimentos prestados pela unidade auditada, a equipe procederá à elaboração do Relatório Final de Auditoria.
§ 1º Caso a unidade auditada se recuse a participar da reunião de busca conjunta ou ainda não venha a prestar os esclarecimentos no prazo acordado, a equipe poderá emitir o Relatório sem esses comentários.
§ 2º As análises efetuadas pela equipe sobre as informações prestadas pela unidade auditada devem constar de despacho específico no processo eletrônico de execução ou mesmo do corpo do próprio Relatório de Auditoria.
§ 3º Semelhante ao Relatório Preliminar, o Relatório Final de Auditoria, nos moldes previamente estabelecidos no âmbito da Auditoria Interna, deverá ser assinado pelos membros da equipe de auditoria, em conjunto com o Auditor-Chefe.
§ 4º O Relatório de Auditoria será encaminhado ao gestor máximo da unidade auditada, aos membros do Conselho Diretor da Susep e à CGU, podendo ainda ser disponibilizado a outros órgãos, caso haja solicitação.
§ 5º O encaminhamento do Relatório de Auditoria à CGU poderá ser efetuado por e-mail dirigido à sua unidade regional responsável pela UAIG, ou por outro canal indicado pelo órgão de controle; e tem como objetivo atender ao disposto no item 161 da Instrução Normativa CGU nº 3/2017 c/c art. 51 da Lei nº 13.844/2019.
Art. 39. Tendo por base as recomendações constantes do Relatório de Auditoria, o Auditor-Chefe deverá solicitar a cada unidade responsável pelo atendimento a recomendações a apresentação de proposta de Plano de Ação, de acordo com modelo previamente estabelecido no âmbito da Auditoria Interna, que direcione e permita o acompanhamento, pela Audit, das medidas requeridas.
§ 1º Na solicitação de que trata o caput, deverá ser estabelecido prazo para a apresentação da proposta de Plano de Ação a cada uma das unidades responsáveis pelo atendimento às recomendações.
§ 2º A proposta de Plano de Ação deverá incluir, no mínimo, as seguintes informações:
I - Descrição das recomendações;
II - Ações que serão realizadas com vistas ao atendimento das recomendações descritas;
III - Cronograma para desenvolvimento de cada uma das ações, observado o disposto no § 3º; e IV - Responsável pela execução de cada ação.
§ 3º As propostas de atendimento a recomendações com prazos de implementação superiores a um ano deverão ser desdobradas em ações com prazos inferiores ou devidamente justificadas pelo gestor.
Art. 40. A proposta de Plano de Ação deverá ser avaliada quanto à razoabilidade pela Auditoria Interna, considerados os seguintes aspectos:
I - Compatibilidade dos efeitos potenciais das ações propostas com os objetivos das recomendações emitidas;
II - Compatibilidade dos prazos de implementação e do nível de detalhamento das ações com a amplitude e com o grau de complexidade das recomendações;
III - Exequibilidade das ações propostas e dos respectivos prazos para implementação; e
IV - Competência institucional dos servidores responsáveis pela implementação das ações propostas.
Parágrafo único. A avaliação de que trata o caput deverá incluir análise da equipe de auditoria nos autos do processo eletrônico referente à execução da auditoria, a ser submetido à aprovação do Auditor-Chefe.
Art. 41. Caso a proposta de Plano de Ação seja avaliada como não razoável, o Auditor-Chefe deverá solicitar sua revisão, indicando os elementos questionados pela Audit e o prazo para a apresentação da proposta revisada.
Art. 42. Em caso de recomendação não acatada pela unidade responsável pelo atendimento ou de atraso significativo em relação ao prazo estabelecido pela Audit para a apresentação de proposta (inicial ou revisada) de Plano de Ação, o Auditor-Chefe poderá decidir tornar sem efeito as recomendações efetuadas pela Audit, por motivo de assunção de risco pela gestão, observado previamente o disposto no artigo 59 desta Instrução, nos casos em que couber.
Parágrafo único. Caso a decisão seja por tornar sem efeito a recomendação, o Auditor-Chefe deverá dar ciência do fato à unidade responsável pelo atendimento, à Diretoria competente e ao Conselho Diretor.
Art. 43. Caso a proposta de Plano de Ação seja aceita pela Audit, o Auditor-Chefe deverá dar ciência do resultado da avaliação à unidade responsável pelo atendimento à(s) recomendação(ões) e, na ausência de outras providências a serem adotadas, proceder à conclusão do processo eletrônico de execução da auditoria no âmbito da unidade.
CAPÍTULO VI
DO MONITORAMENTO DAS RECOMENDAÇÕES EFETUADAS PELA AUDITORIA INTERNA
Art. 44. Encerrada a fase de execução dos trabalhos, terá início a etapa de monitoramento, durante a qual serão realizadas verificações quanto ao atendimento às recomendações efetuadas pela Auditoria Interna.
Art. 45. Cada processo de monitoramento deverá tratar de recomendação isolada ou de conjunto de recomendações que apresentem, cumulativamente, as seguintes características comuns:
I - Relatório de Auditoria de origem; e
II - Unidade monitorada.
§ 1º Para fins do disposto nesta Instrução, entende-se por unidade monitorada a unidade organizacional responsável pelo atendimento a recomendação efetuada pela Auditoria Interna.
§ 2º Em caso de redistribuição de recomendações, nos termos do artigo 55, a Audit poderá optar pela instauração de novos processos de monitoramento para prosseguimento dos trabalhos.
Art. 46. No âmbito dos processos de monitoramento, serão utilizados os seguintes tipos de documentos específicos para essa finalidade, sem prejuízo da utilização dos demais instrumentos institucionais apropriados:
I - Extrato de Monitoramento: documento que apresenta informações sintéticas e consolidadas no âmbito dos processos de monitoramento, por ocasião de sua instauração ou durante o seu andamento, a fim de proporcionar uma visão geral de seu objeto, de acordo com modelo previamente estabelecido no âmbito da Auditoria Interna;
II - Termo de Posicionamento da Auditoria Interna: documento emitido pelo Auditor-Chefe, destinado a registrar o resultado de avaliação quanto ao atendimento a recomendações tratadas no âmbito do processo de monitoramento, de acordo com modelo previamente estabelecido no âmbito da Auditoria Interna.
Parágrafo único. Caso a avaliação quanto ao atendimento a uma dada recomendação ocorra durante o processo de aprovação de plano de ação, de que tratam os artigos 39 a 43, o documento de que trata o inciso II poderá ser emitido nos autos do respectivo processo de execução de auditoria.
Art. 47. A instrução inicial do processo de monitoramento deverá incluir, no mínimo, os seguintes documentos:
I - Cópia do Relatório de Auditoria de origem das recomendações tratadas no processo;
II - Cópia do Plano de Ação instituído para atendimento às recomendações tratadas no processo; e
III - Extrato de Monitoramento, na forma definida no inciso I do artigo 46 desta Instrução.
Art. 48. Concluída a instrução inicial do processo de monitoramento, o Auditor-Chefe disponibilizará os autos à unidade monitorada para ciência, acompanhamento e comunicação com a Auditoria Interna.
Art. 49. Na definição dos intervalos entre as verificações quanto ao atendimento a uma determinada recomendação, poderão ser levados em conta os seguintes fatores:
I - Prazos estabelecidos para atendimento à recomendação ou para a conclusão de etapas previstas no Plano de Ação;
II - Amplitude e complexidade da recomendação e das ações a serem implementadas com vistas ao seu atendimento;
III - Gravidade dos riscos envolvidos;
IV - Grau de maturidade da gestão de riscos da unidade monitorada;
V - Eventual manifestação da unidade monitorada, independentemente de solicitação da Audit;
VI - Informações obtidas pela Audit durante a etapa de monitoramento, relacionadas ao tema em discussão; e
VII - Recursos disponíveis, no âmbito da Audit e/ou das unidades monitoradas, para realização das atividades inerentes ao monitoramento ou dele decorrentes.
Art. 50. As solicitações de informações e/ou documentos, com vistas a subsidiar as verificações quanto ao atendimento a recomendações efetuadas pela Auditoria Interna, deverão ser realizadas, preferencialmente, por meio de despachos eletrônicos nos autos dos respectivos processos de monitoramento.
§ 1º As solicitações do tipo definido no caput deverão ser dirigidas ao gestor máximo da unidade monitorada ou a outra autoridade competente e conter prazo para atendimento, levando-se em consideração o volume e a complexidade das informações requeridas.
§ 2º Nos casos de não atendimento, ou de atendimento parcial da solicitação, o responsável pelo monitoramento poderá adotar as seguintes medidas:
I - Reiterar a solicitação e estabelecer um novo prazo para seu atendimento; ou
II - Solicitar que o Auditor-Chefe atue junto aos representantes da unidade monitorada, especialmente nos casos de atraso no atendimento que possam prejudicar o desenvolvimento dos trabalhos.
Art. 51. Nas verificações quanto ao atendimento às recomendações, serão avaliadas a compatibilidade das medidas implementadas pelas unidades monitoradas com as recomendações efetuadas e com o Plano de Ação estabelecido, e a suficiência dessas medidas para solucionar a situação apontada como inadequada frente aos critérios adotados na execução da auditoria.
Art. 52. A cada verificação quanto ao atendimento a recomendação, deverá ser efetuada análise por meio de parecer nos autos do processo de monitoramento, para aprovação do Auditor-Chefe.
Art. 53. As recomendações serão classificadas quanto à situação, a cada verificação quanto ao seu atendimento, observadas as seguintes categorias:
I - Recomendação pendente de atendimento: situação correspondente a monitoramento em curso, independentemente de cronograma ou estágio de implementação da recomendação;
II - Recomendação atendida: situação correspondente a monitoramento encerrado após avaliadas como suficientes as medidas adotadas para solucionar a fragilidade apontada pela Audit; e
III - Recomendação tornada sem efeito: situação correspondente a monitoramento encerrado em qualquer dos seguintes casos:
a) Reconsideração da recomendação;
b) Perda de objeto da recomendação, em função de fato relevante superveniente que a inviabilize ou a torne desnecessária;
c) Similaridade de objeto com outra recomendação que se encontre em monitoramento, efetuada pela Auditoria Interna ou por órgão de controle; ou
d) Assunção de risco pela gestão, em qualquer dos casos previstos nos artigos 42 e 58 desta Instrução.
Art. 54. A conclusão de cada verificação quanto ao atendimento a recomendações será assinalada por meio da emissão de Termo de Posicionamento, a ser assinado pelo Auditor-Chefe e encaminhado à unidade monitorada para conhecimento e adoção das providências cabíveis; e ao Gabinete - Gabin, para conhecimento e acompanhamento, no uso de suas competências de assessoramento ao Superintendente da Susep.
Art. 55. Considerando os eventuais desdobramentos havidos no âmbito da etapa de monitoramento, a Audit poderá revisar o teor de qualquer recomendação por ela previamente efetuada, com a adoção de nova redação, inclusive em caso de redistribuição de recomendação para fins de atendimento, por meio de acréscimo, exclusão ou substituição de unidades monitoradas.
Parágrafo único. Em caso de recomendação revisada, a nova redação da recomendação deverá constar do Termo de Posicionamento, passando a versão revisada a vigorar a partir da emissão do documento.
Art. 56. Considerando os eventuais desdobramentos havidos no âmbito da etapa de monitoramento, a Audit poderá, de ofício ou a pedido, revisar o prazo para implementação de recomendação por ela efetuada.
§ 1º Para efeito do disposto no caput, a Audit poderá solicitar à unidade monitorada que, em caráter consultivo, apresente estimativa de prazo para atendimento a uma dada recomendação, a fim de subsidiar a análise.
§ 2º Na hipótese prevista no caput, o prazo revisado deverá constar de Termo de Posicionamento, passando a vigorar a partir da emissão do documento.
Art. 57. Em caso de a avaliação quanto ao atendimento a uma dada recomendação resultar em sua classificação como "atendida", a Audit deverá efetuar a análise, a quantificação, a classificação e a certificação do benefício decorrente da implementação da recomendação, nos termos da Instrução Audit nº 3, de 6 de junho de 2019.
Parágrafo único. Na hipótese prevista no caput, deverão ser efetuados os seguintes registros:
I - O parecer de que trata o art. 52 deverá conter proposta de quantificação e de classificação do benefício decorrente da implementação da recomendação; e
II - A certificação do benefício, inclusive no que diz respeito à quantificação e à classificação, deverá constar de Termo de Posicionamento.
Art. 58. Na ocorrência de um ou mais dos eventos descritos a seguir, durante a etapa de monitoramento, o Auditor-Chefe poderá decidir tornar sem efeito recomendações efetuadas pela Audit, por motivo de assunção de risco pela gestão, observado previamente o disposto no artigo 59 desta Instrução, nos casos em que couber:
I - Ausência reiterada de atendimento a recomendação, por parte da unidade monitorada, ou a solicitação de informações e/ou documentos efetuada pela Auditoria Interna, extrapolando de forma significativa o prazo estabelecido;
II - Discordância entre a Auditoria Interna e a unidade monitorada, relacionada ao teor de recomendação ou ao seu efetivo atendimento.
Parágrafo único. Caso a decisão seja por tornar sem efeito a recomendação, o Auditor-Chefe deverá dar ciência do fato à unidade responsável pelo atendimento, à Diretoria competente e ao Conselho Diretor.
Art. 59. Nas hipóteses previstas nos artigos 42 ou 58, caso o Auditor-Chefe conclua que a unidade monitorada aceitou um nível de risco que pode ser inaceitável para a Susep, deverá adotar as seguintes providências, previamente a uma eventual decisão pela perda de efeito das recomendações em questão:
I - Discutir o assunto com a Diretoria responsável pelo objeto da recomendação; e
II - Submeter a questão ao Conselho Diretor da Susep, em caso de ausência de solução após a realização da atividade prevista no inciso I.
Art. 60. O Auditor-Chefe deverá apresentar informações periódicas aos membros do Conselho Diretor, relacionadas ao monitoramento de recomendações emitidas pela Auditoria Interna.
Parágrafo único. Para seleção dos temas a serem abordados, serão considerados critérios tais como:
I - Relevância;
II - Risco envolvido;
III - Grau de evolução quanto à implementação; e
IV - Rotação de temas.
Art. 61. Após o encerramento do monitoramento de todas as recomendações integrantes de um mesmo processo de monitoramento, na ausência de providências adicionais a serem adotadas pela Auditoria Interna nos autos do processo em questão, o Auditor-Chefe deverá concluí-lo na unidade.
CAPÍTULO VII
DAS DISPOSIÇÕES ESPECIAIS SOBRE SERVIÇOS DE CONSULTORIA
Art. 62. Aos serviços de consultoria aplicam-se as seguintes disposições especiais:
I - Previamente ao início do trabalho, os seus elementos essenciais devem ser pactuados com a gestão e formalizados, incluindo, necessariamente:
a) Objetivos;
b) Escopo;
c) Prazo;
d) Entregas esperadas;
e) Forma de comunicação de resultados; e
f) Forma de monitoramento de eventuais recomendações, se houver;
II - Os objetivos do trabalho devem estar relacionados aos processos de governança, de gerenciamento de riscos e de controles, na extensão previamente acordada com a Unidade Auditada;
III- O escopo do trabalho deve ser suficiente para alcançar os objetivos previamente acordados com a gestão;
IV - As eventuais alterações ou restrições quanto ao escopo devem ser discutidas e acordadas com a Unidade Auditada;
V - A critério do Auditor-Chefe, poderá ser dispensada a utilização de procedimentos e/ou documentos previstos nos Capítulos IV a VI, de acordo com a natureza e o grau de complexidade de cada trabalho, observadas as demais disposições deste capítulo; e
VI - A critério do Auditor-Chefe, as eventuais irregularidades ou ilegalidades no âmbito da Unidade Auditada, que forem identificadas durante a execução do trabalho, poderão levar à suspensão ou à interrupção do serviço de consultoria, e à realização de outros tipos de trabalho relativos a tais fatos, se for o caso.
CAPÍTULO VIII
DA ORGANIZAÇÃO DOS PROCESSOS
Art. 63. As análises realizadas e as evidências produzidas ou coletadas pela equipe de auditoria em decorrência dos exames devem ser devidamente documentadas em papéis de trabalho, objeto de processo eletrônico específico.
§ 1º Os papéis de trabalho devem ter abrangência e grau de detalhe suficientes para propiciar a compreensão do planejamento, da natureza e da extensão do trabalho, bem como para suportar as conclusões alcançadas.
§ 2º Os papéis devem ser arquivados no formato pesquisável, de modo a facilitar a localização dos documentos.
§ 3º Os papéis de trabalho devem ser elaborados pela equipe de auditoria e submetidos à revisão do Auditor-Chefe, que deve assinar em conjunto.
Art. 64. A documentação pertinente à auditoria no objeto auditável deverá ser organizada em blocos internos do Sistema Eletrônico de Informações (SEI), compostos por processos eletrônicos específicos que delimitem as fases de planejamento, execução e monitoramento das recomendações da auditoria.
§ 1º O planejamento dos trabalhos será objeto de processo eletrônico específico, do tipo "Gestão e Controle Institucional - Papéis de Trabalho de Auditoria", que abrangerá os documentos, informações e esclarecimentos coletados e que sejam relevantes para dar suporte ao desenvolvimento, às conclusões e aos resultados do trabalho de auditoria, dentre os quais se incluem a Análise Preliminar do Objeto de Auditoria, o Mapa de Riscos e Controles, o Programa de Trabalho, os Testes de Auditoria e a Matriz de Achados.
§ 2º A fase de execução se dará mediante a instauração de processo eletrônico específico, do tipo "Gestão e Controle Institucional - Execução de Auditoria", o qual contemplará toda troca de informação entre a Audit e a unidade auditada, a exemplo da Ordem de Serviço, Despacho de Formalização dos Trabalhos, Comunicação de Auditoria, Solicitação de Auditoria, Nota de Auditoria, Relatório Preliminar, Relatório Final e Plano de Ação.
§ 3º O monitoramento das recomendações provenientes dos trabalhos de auditoria será objeto de processo eletrônico específico, do tipo "Gestão e Controle Institucional - Monitoramento de Recomendações de Auditoria", que contemplará, além de todos os documentos, informações e esclarecimentos obtidos pela Audit que sejam relevantes para dar suporte à avaliação quanto ao atendimento a recomendações por ela efetuadas, o Extrato de Monitoramento de Recomendações, o Termo de Posicionamento da Auditoria e os pareceres de análise desenvolvidos.
§ 4º O acesso aos processos eletrônicos de auditoria obedecerá ao disposto na Resolução Susep nº 21, de 12 de agosto de 2022, ou em normativo interno que vier a sucedê-la.
CAPÍTULO IX
DAS DISPOSIÇÕES FINAIS
Art. 65. Eventuais casos omissos em relação aos procedimentos constantes desta Instrução Normativa serão decididos pelo Auditor-Chefe.
Art. 66. Fica revogada a Instrução Audit nº 1, de 12 de abril de 2018.
Art. 67. Esta Instrução Normativa entra em vigor em 2 de janeiro de 2023.
SANDRO ZACHARIADES SABENÇA
(DOU de 13.12.2022 – págs. 60 a 64 – Seção 1)
