A auditoria interna governamental no Brasil passou de uma atuação centrada em conformidade contábil para uma atividade independente, orientada a riscos e governança, nos termos consolidados pela Instrução Normativa SFC nº 3/2017 e por diretrizes federais de governança editadas em 2017. Esse deslocamento técnico-normativo reconfigurou a posição institucional da função, o modo de planejar trabalhos e a mensuração de resultados, sob harmonização metodológica da CGU/SFC e integração com processos de gestão de riscos instituídos no Executivo federal pela IN Conjunta nº 1/2016.
Linha do tempo normativa e institucional
- 1921: instituição da Contadoria Central da República, marco inaugural de organização do controle das contas públicas em resposta a exigências de credores externos e à necessidade de padronização contábil e fiscalizadora.
- 1967: o Decreto‑Lei nº 200 estruturou a Administração Pública federal e fortaleceu o controle administrativo, criando bases para sistemas de controle interno ministeriais e para a profissionalização das funções de auditoria.
- 1988: a Constituição, em seu art. 70, previu a fiscalização contábil, financeira, orçamentária, operacional e patrimonial, com atuação dos sistemas de controle interno e do controle externo, definindo o espaço constitucional para a auditoria interna governamental.
- Pós‑1988: evolução institucional do controle interno federal, com reorganizações e, em 2003, criação da Controladoria‑Geral da União (CGU) e consolidação da Secretaria Federal de Controle (SFC) como órgão central de harmonização e supervisão técnica do Sistema de Controle Interno do Poder Executivo federal.
- 2016: a IN Conjunta nº 1 instituiu diretrizes para gestão de riscos e controles internos no Executivo federal, trazendo a linguagem de riscos para o cotidiano da gestão e da auditoria.
- 2017: a IN SFC nº 3 estabeleceu o Referencial Técnico da Atividade de Auditoria Interna Governamental no âmbito do Executivo federal, alinhando conceitos e vocabulário às normas internacionais de auditoria interna; no mesmo ano, decreto federal de governança reforçou o papel da auditoria como função independente de avaliação e consultoria orientada a valor e riscos.
- Implementação: a partir de 2019, sistemas informatizados passaram a suportar a padronização metodológica e a gestão de portfólio de auditorias, acelerando a disseminação do novo referencial.
Mudança de paradigma técnico: da conformidade à gestão de riscos e governança
- Enfoque anterior: predominância de testes de conformidade e aderência normativa, com ênfase contábil e procedimental.
- Enfoque vigente: abordagem baseada em riscos, governança e controles, com objetivo de agregar e proteger valor organizacional. A auditoria passa a avaliar a eficácia dos processos de governança, gestão de riscos e controles internos, e não a “refazer” o controle gerencial.
- Modelo das Três Linhas: consolida a auditoria interna como terceira linha, avaliando primeira (gestão) e segunda linhas (riscos/controles/conformidade), bem como a integração e a suficiência do arcabouço de governança.
CGU/SFC como órgão central de harmonização
- Harmonização metodológica: a SFC estabelece o referencial técnico, promove capacitação e supervisiona tecnicamente as unidades de auditoria interna (UAIs) no Executivo federal, induzindo o alinhamento às boas práticas internacionais.
- Salvaguardas institucionais: experiências pretéritas de posicionamento inadequado da função (por exemplo, proximidade excessiva com órgãos de assessoramento político) evidenciaram riscos à objetividade, reforçando a necessidade de vinculação técnica à SFC e de reporte apropriado à alta administração.
- Difusão federativa: referências técnicas federais irradiam‑se para esferas estaduais e municipais por meio de órgãos centrais de controle, adaptadas às realidades locais, sem afastar os princípios de independência, risco e governança.
Implicações práticas para a auditoria interna governamental
- Independência e posicionamento
- Duplo reporte: vínculo técnico à CGU/SFC (no âmbito do Executivo federal) e reporte funcional ao dirigente máximo/instância de governança, assegurando autonomia técnica e acesso irrestrito a informações.
- Estatuto da unidade: exigência de instrumento formal que defina missão, autoridade e responsabilidades da UAI, inclusive salvaguardas de independência, competências e relação com comitês de governança.
- Planejamento baseado em riscos
- Universo de auditoria mapeado por processos, macrotemas e entidades, com avaliação de risco inerente e de controle para priorizar o Plano Anual de Auditoria (PAA).
- Integração com a gestão de riscos institucional adotada nos termos da IN Conjunta nº 1/2016, utilizando cadastros de riscos, apetite e tolerância para selecionar objetos e definir escopo.
- Execução e comunicação de resultados
- Programas de trabalho proporcionais ao risco, combinação de testes de desenho e de efetividade operacional dos controles, e trilha de auditoria robusta.
- Relatórios que explicitam critérios, achados, causas, efeitos e recomendações, com classificação de criticidade e prazos pactuados, observada a objetividade e o devido contraditório técnico.
- Mensuração de valor e acompanhamento
- Indicadores de benefício (financeiros e não financeiros), contabilização de economias evitadas e ganhos de eficiência quando metodologicamente suportados.
- Monitoramento sistemático de recomendações, com reporte periódico à alta administração e às instâncias de governança.
Integração com gestão de riscos e controles: efeitos sobre a governança
- Adoção coerente do modelo das três linhas evita sobreposição entre gestão, conformidade e auditoria, reduzindo custos de controle e lacunas de cobertura.
- A auditoria interna atua como catalisadora de melhoria de processos, ao avaliar a maturidade de riscos e controles e recomendar ajustes estruturais (políticas, papéis e responsabilidades, informações e comunicação, monitoramento contínuo).
- O alinhamento conceitual às normas internacionais facilita a interlocução com órgãos de controle externo e pares internacionais, aumentando a comparabilidade e a confiabilidade das avaliações.
Ferramentas, competências e uso de analytics
- Técnicas analíticas: extração e análise de dados transacionais para teste massivo de controles, seleção de amostras dirigida por risco e detecção de anomalias, com trilhas reprodutíveis.
- Competências requeridas: combinação de conhecimentos em finanças públicas, processos governamentais, tecnologia da informação, estatística e ciência de dados, além de ética e comunicação executiva.
- Sistemas de auditoria: utilização de plataformas corporativas para gestão do portfólio de trabalhos, papéis de trabalho eletrônicos, registro de achados e monitoramento de recomendações, favorecendo padronização e governança do processo de auditoria.
Impactos sobre a atuação gerencial e a inovação
- Quando restrita à verificação de conformidade, a auditoria tende a induzir aversão a risco e a inibir inovação. Já uma auditoria baseada em riscos e governança, nos termos vigentes, distingue riscos aceitáveis dos inaceitáveis e recomenda salvaguardas proporcionais, permitindo inovação responsável.
- O diálogo estruturado com comitês de governança e gestores, com transparência sobre apetite e tolerância a riscos, ajuda a transformar achados em decisões gerenciais informadas e em melhoria contínua dos serviços públicos.
A consolidação do referencial técnico de 2017 e a integração com a gestão de riscos conferiram previsibilidade, comparabilidade e foco em valor público à auditoria interna governamental. O desafio permanente é sustentar independência e competência técnica, aprofundar o uso de dados e reforçar a coordenação com a gestão para que a atividade siga agregando e protegendo valor, em conformidade com a Constituição e com as diretrizes normativas vigentes.
Conheça a Pós-Graduação em Auditoria Interna e Controle Governamental
