HTML

ePub

PDF

1 INTRODUÇÃO

A auditoria interna possui uma grande importância nas organizações públicas e privadas. Ao longo das últimas décadas, com a complexidade das organizações e com os escândalos financeiros de grandes empresas nos EUA na primeira década do ano de 2000, a auditoria interna passou a ter uma maior importância nas organizações, com maior foco no aperfeiçoamento dos processos de gestão da organização, sendo que passaram a ser frequentemente discutidos seus objetivos e finalidades para as organizações, como uma atividade que realmente agregue valor ao negócio.

Não é diferente no setor público, em que a auditoria interna governamental deve contribuir para que a administração pública faça bom uso dos recursos públicos e entregue serviços de qualidade aos seus usuários. A gestão pública deve reconhecer o papel de valor agregado da auditoria interna e contribuir para sua eficácia.

Para que a auditoria interna alcance esses resultados, precisa se autoavaliar, aperfeiçoar-se constantemente e melhorar sua qualidade (IMONIANA; MATHEUS; PERERA, 2014). Nessa perspectiva, o Instituto de Auditores Internos (Institute of Internal Auditors - IIA) recomenda às auditorias internas um programa de avaliação e melhoria da qualidade para permitir uma avaliação da conformidade da atividade de auditoria interna com as normas do IIA, além de avaliar a sua eficiência e eficácia, identificando oportunidades de melhoria.

No âmbito da auditoria interna governamental, foram expedidas pela Controladoria-Geral da União - CGU - orientações para promover programas de melhoria de qualidade da auditoria interna com avaliações internas e externas, tais como a Instrução Normativa SFC/CGU nº 3, de 9 de junho de 2017, e a Instrução Normativa SFC/CGU nº 8, de 6 de dezembro de 2017. Cabe destacar ainda a Portaria CGU nº 777, de 18 de fevereiro de 2019, e a Portaria nº 363/2020, que recomendam como referência a adoção da metodologia Internal Audit Capability Model (IA-CM) do Instituto dos Auditores Internos - IIA.

O modelo IA-CM é considerado como o mais indicado para ser utilizado como referencial de metodologia de avaliação da atividade de auditoria interna do setor público. Ele estabelece seis elementos essenciais para uma atividade de auditoria interna: (1) Serviços e papel da auditoria interna; (2) Gerenciamento de Pessoas; (3) Práticas Profissionais; (4) Gerenciamento de desempenho e responsabilidade; (5) Relações Organizacionais e Cultura; (6) Estruturas de governança; e cinco níveis progressivos de capacidade, com cada nível descrevendo as características e os recursos de uma atividade de auditoria nesse nível. Os níveis ilustram as etapas pelas quais a auditoria interna pode evoluir à medida que define, implementa, mede, controla e melhora seus processos e práticas.

Dessa forma, considerando a adoção do modelo IA-CM como referencial de avaliação da atividade de auditoria interna, este estudo se propõe a verificar qual o nível de capacidade da Auditoria-Geral do SUS, tendo por base os KPAs do Nível de capacidade 2 do Modelo IA-CM, tendo em vista que o Nível 1 é o mais básico e de onde se inicia toda e qualquer auditoria interna.

Esta pesquisa visa contribuir para a melhoria da qualidade da auditoria interna do SUS, por meio da sua avaliação, utilizando-se da melhor ferramenta indicada nas práticas internacionais, qual seja, o modelo IA-CM, compreendendo onde o órgão de auditoria se situa no referido modelo e como pode ter suas atividades melhoradas, evoluindo nos níveis de capacidade do IA-CM.

2 FUNDAMENTAÇÃO TEÓRICA

Este tópico está distribuído da seguinte forma: no item 2.1 é apresentada a definição de auditoria interna; no item 2.2 o Programa de Avaliação da Qualidade de Melhoria da Auditoria Interna; e no item 2.3 passa-se a descrever sobre o modelo Capacidade de Auditoria Interna para o Setor Público (IA-CM). Por fim, o item 3 refere-se aos Procedimentos Metodológicos e o item 4, a Apresentação e Análise dos Resultados.

2.1 DEFINIÇÃO DE AUDITORIA INTERNA

A auditoria interna é uma atividade de avaliação independente dentro da empresa e tem por objetivo o exame dos controles operacionais e finalidade promover melhorias nesses controles (CREPALDI, 2013). Segundo Morais (2008, p. 3), “a auditoria, em especial a auditoria interna, é uma ferramenta de apoio à alta gestão e ajuda a organização a alcançar os seus objetivos”.

A auditoria interna é importante e se justifica porque auxilia a organização a alcançar seus objetivos, adotando uma abordagem sistemática e disciplinada para a avaliação e melhoria dos processos de gestão de risco, de controle e governança corporativa (IMONIANA; MATHEUS; PERERA, 2014).

O Instituto dos Auditores Internos - IIA (2017) conceitua a auditoria interna como uma atividade independente e objetiva de avaliação e consultoria, criada para agregar valor e melhorar as operações de uma organização. Ela auxilia a organização a atingir seus objetivos a partir da aplicação de uma abordagem sistemática e disciplinada à avaliação e melhoria da eficácia dos processos de gerenciamento de riscos, controle e governança.

No Brasil, a ênfase nas competências da auditoria em agregar valor e contribuir no alcance dos objetivos da organização é evidenciada também no Decreto de Governança do Setor Público de nº 9.203, de 22 de novembro de 2017 (BRASIL, 2017). Segundo o art. 18 do referido decreto, a auditoria interna é conceituada na mesma linha do IIA, com abordagem nos tipos de trabalhos de avaliação e consultoria, e na utilização da auditoria baseada em riscos e na promoção à prevenção de fraudes, o que foi corroborado pela edição da Instrução Normativa CGU nº 3/2017 que define a auditoria interna com uma importância maior para a organização, em consonância com o Decreto de Governança e com os padrões internacionais.

2.2 PROGRAMA DE AVALIAÇÃO DA QUALIDADE DA AUDITORIA INTERNA

As normas e práticas internacionais do IIA (2017) para auditorias internas recomendam que sejam realizadas avaliações internas e externas na auditoria interna, mediante a instituição de um programa de avaliação da qualidade da auditoria interna, o que foi recepcionado na Administração Pública Federal pela Controladoria-Geral da União (CGU) mediante a Instrução Normativa SFC nº 3/2017 (BRASIL, 2017), que aprova o Referencial Técnico da Atividade de Auditoria Interna Governamental do Poder Executivo Federal, dispondo, dentre outros aspectos, que a unidade de auditoria interna governamental deve instituir e manter um Programa de Gestão e Melhoria da Qualidade (PGMQ), que contemple toda a atividade de auditoria interna governamental.

De acordo com o guia prático do IIA (2017), o Programa de Avaliação de Qualidade de Melhoria deve incluir avaliações internas e externas. As avaliações internas de qualidade compreendem duas partes relacionadas entre si: o monitoramento contínuo e a autoavaliação periódica.

O monitoramento contínuo consiste em avaliação de que os processos em prática funcionam eficientemente para garantir que a qualidade seja entregue de auditoria em auditoria, incluindo em geral: a) planejamento e supervisão de trabalhos; b) práticas de trabalho padrão; c) procedimentos de papéis de trabalho e autorização e revisões de relatórios (IIA, 2017).

A autoavaliação periódica relaciona-se ao monitoramento contínuo e tem como foco: a) a conformidade com o estatuto de auditoria interna, com a definição de Auditoria Interna do IIA, Código de Ética e as Normas; b) a qualidade do trabalho de auditoria, incluindo aderência à metodologia de auditoria interna; c) a qualidade da supervisão; d) a infraestrutura, incluindo as políticas e procedimentos, apoiando a atividade de auditoria interna; e) as formas como o trabalho de auditoria interna agrega valor à organização; f) o cumprimento com os padrões/indicadores de desempenho (IIA,2017).

Segundo a Estrutura Internacional de Práticas Profissionais (International Professional Practices Framework - IPPF) (IIA, 2019), as duas mensurações (monitoramento contínuo e autoavaliações periódicas) são interligadas da avaliação interna e tem por objetivo avaliar a conformidade da atividade de auditoria interna com os normativos da prática internacional de auditoria e verificar se os auditores internos estão aplicando o Código de Ética. Além disso, podem permitir a identificação de oportunidades de melhoria.

As avaliações externas devem ser realizadas pelo menos uma vez a cada cinco anos, por um avaliador ou equipe de avaliação qualificada e independente, externa à organização. O avaliador externo deve concluir quanto à conformidade com o Código de Ética e com as Normas (IIA, 2019).

Na Administração Pública Federal, a Controladoria-Geral da União (CGU) publicou a Instrução Normativa SFC nº 3/2017 (BRASIL, 2017) que aprova o Referencial Técnico da Atividade de Auditoria Interna Governamental do Poder Executivo Federal, dispondo, dentre outros aspectos, que a unidade de auditoria interna governamental deve instituir e manter um Programa de Gestão e Melhoria da Qualidade (PGMQ), que contemple toda a atividade de auditoria interna governamental, tendo por base os requisitos estabelecidos no próprio Referencial Técnico, os preceitos legais aplicáveis e as boas práticas nacionais e internacionais relativas ao tema.

A adesão da metodologia Internal Audit Capability Model (IA-CM) do Instituto dos Auditores Internos - IIA ganhou respaldo pela Portaria CGU nº 777, de 18 de fevereiro de 2019, (BRASIL, 2019) e pela Portaria CGU nº 363/2020, as quais preveem como referência ao implementar o Programa de Gestão e Melhoria da Qualidade, a adoção da metodologia Internal Audit Capability Model (IA-CM) do Instituto dos Auditores Internos - IIA.

2.3 O MODELO DE CAPACIDADE DE AUDITORIA INTERNA PARA O SETOR PÚBLICO - INTERNAL AUDIT CAPABILITY MODEL FOR THE PUBLIC SECTOR (IA-CM)

O Modelo de Capacidade de Auditoria Interna para o Setor Público - IA-CM (Internal Audit Capability Model for The Public Sector) é uma estrutura destinada a identificar as necessidades fundamentais de uma função de auditoria interna, conforme o The Institute of The Internal Auditor Foundation Research - IIARF (2009), vinculado ao Instituto dos Auditores Internos - IIA.

O modelo é baseado em uma adaptação do modelo de maturidade e capacidade (Capability Maturity Model Integration - CMMI) do Instituto de Engenharia de Software (Software Engineering Institute - SEI) da Universidade de Carnegie Mellon nos EUA, tendo sido desenvolvida uma primeira versão em 1991 como uma ferramenta para avaliar a capacidade de uma organização de construir aplicativos de software (IIARF, 2009).

A autoavaliação é a base do modelo, junto com a construção de capacidades e a promoção da profissão. Sua premissa fundamental é que um processo ou prática não pode ser melhorado, se não puder ser repetido (IIARF, 2009; ANDRADE, 2018).

O IA-CM foi publicado em 2009 e atualizado em 2017 pelo IIARF (2009), no qual destacou que o modelo engloba uma estrutura em blocos encadeados, demonstrando a progressão dos macroprocessos-chaves de uma unidade de auditoria interna governamental menos madura para uma com capacidades fortes, estruturadas e eficazes (IIARF, 2009; DOMINGUES, 2020). Ademais, o modelo destaque-se por ser:

• ) um veículo de comunicação, pois é uma base para demonstrar o que é uma auditoria interna efetiva e qual sua importância a uma organização e as partes interessadas;

• ) uma estrutura de avaliação que mensura a capacidade de uma atividade de auditoria interna em relação aos padrões e práticas profissionais;

• ) um roteiro para a melhoria ordenada da atividade de auditoria, estabelecendo um roteiro que define os passos a serem seguidos para estabelecer e reforçar a auditoria interna;

• ) um modelo universal com comparabilidade em torno de princípios, práticas e processos que podem ser aplicados globalmente para melhorar a eficácia da auditoria interna; e

• ) estabelece os passos para que uma função de auditoria interna possa progredir de um estágio inicial para um estágio mais forte e efetivo, geralmente associado a organizações mais maduras e complexas.

O IA-CM compreende cinco níveis de capacidade progressivos, nos quais são descritas as atividades de auditoria referentes àquele nível. A partir da implementação de processos sustentáveis e institucionalizados em um determinado nível, constrói-se a fundação para que a atividade avance para o próximo nível. Os níveis são: 1 - Inicial; 2 - Infraestrutura; 3 - Integrado; 4 - Gerenciado; 5 - Otimizado, conforme a seguir:

• Nível 1 (inicial): os processos da Auditoria Interna são informais, esporádicas, não estruturadas e dependentes do esforço individual dos colaboradores e não há macroprocessos (KPA) e nem prática profissional específica estabelecida.

• Nível 2 (infraestrutura): o planejamento de auditoria com base principalmente nas prioridades de gestão, as práticas e procedimentos da auditoria interna são executados de forma regular e repetidos e existe uma conformidade parcial com as Normas Internacionais de Auditoria Interna.

• Nível 3 (Integrado): verifica-se a existência de políticas, processos e práticas de Auditoria Interna definidas, documentadas e aplicadas de forma uniforme, com foco na construção da equipe e na capacidade da atividade da auditoria interna e sua independência e objetividade.

• Nível 4 (Gerenciado): a Auditoria Interna e as expectativas das principais partes interessadas estão alinhadas, a Auditoria Interna integra as informações da organização para aprimorar a governança e a gestão de riscos, e é estabelecida como parte essencial da estrutura de governança.

• Nível 5 (Otimizado): o mais avançado de todos, há um desempenho de classe mundial da auditoria, com foco em melhoria contínua, inovação e aumento da capacidade institucional, independência, poder e autoridade da Auditoria Interna plenamente estabelecidos. Além disso, a Auditoria Interna é reconhecida como agente-chave de mudança e peça fundamental da estrutura de governança da organização (IIARF, 2009).

Cada nível de capacidade identifica macroprocessos-chave (KPA) e práticas essenciais que deverão ser institucionalizados dentro de seis elementos de uma atividade de auditoria interna. Os seis elementos do IA-CM identificados para uma atividade de auditoria interna são: 1. Serviços e Papel da auditoria interna. 2. Gerenciamento de pessoas. 3. Práticas Profissionais. 4. Gerenciamento do desempenho e accountability. 5. Relações Organizacionais e Cultura. 6. Estruturas de governança.

Além dos seis elementos organizacionais e dos cinco níveis de maturidade, a estrutura é composta de um conjunto de 41 macroprocessos-chaves (Key Process Area - KPA), conforme quadro a seguir:

Os KPAs são blocos de construção que determinam a capacidade de uma atividade de auditoria interna. Eles identificam o que deve estar em vigor e sustentado no referido nível de capacidade antes da atividade de auditoria interna avançar para o próximo nível. Quando uma atividade de auditoria interna institucionalizou todos os KPAs associados a um determinado nível de capacidade de auditoria interna, considera-se atingido o nível (IIARF, 2009).

3 PROCEDIMENTOS METODOLÓGICOS

Segundo Vieira (2005), a metodologia é o conjunto de métodos que guiam o acadêmico em sua investigação. Este estudo se caracteriza como de forma qualitativa e descritiva, com a utilização de survey, análise bibliográfica especializada, utilizando-se para isso normas, orientações e julgados do Tribunal de Contas da União, entendimentos da Controladoria - Geral da União, e orientações internacionais sobre auditoria. De modo a avaliar se há institucionalização e práticas do Nível 2 do IA-CM, foram aplicados questionários e levantamento documental no âmbito da AudSUS, com o objetivo de verificar a institucionalização no referido nível de capacidade, adotando-se os KPAs pertencentes ao nível de capacidade 2.

As avaliações dos KPAs do nível 2 tiveram como referência as práticas de auditoria interna aplicadas nos processos de trabalho, verificados pelas respostas aos questionários pelos auditores, de modo a caracterizar a efetiva institucionalização; e a existência de normativos, manuais e planejamentos anuais existentes no órgão de auditoria, conforme a seguir:

• Avaliação quanto à Institucionalização: consideradas existentes pelas informações prestadas pelos auditores, se estão presentes na cultura da organização, mediante processos sistematizados e repetíveis.

• Avaliação quanto à Existência: existência de norma ou procedimento interno que estabeleça ou regulamente a aplicação da respectiva atividade essencial na AudSUS.

Os questionários foram aplicados aos chefes e supervisores nos estados da federação e coordenadores de auditoria em Brasília na unidade central do AudSUS, totalizando 60 auditores. Cabe destacar que na fase de realização da survey, os dados foram coletados com a utilização de questionário a auditores - público-alvo, quando o órgão de auditoria denominava DENASUS. Atualmente o órgão de auditoria denomina-se Auditoria-Geral do SUS - AudSUS, sendo que nos estados da federação as unidades regionais da AudSUS são denominadas Seções de Auditoria - SEAUD.

Em relação aos procedimentos adotados para a coleta de dados, utilizou-se um questionário com perguntas com o uso da escala likert de cinco pontos, no qual (1) Discordo totalmente, (2) Discordo Parcialmente, (3) Não concordo nem discordo, (4) Concordo Parcialmente e (5) Concordo totalmente. O questionário foi dividido em blocos de perguntas nos seis grupos de elementos pertencentes ao modelo IA-CM. São eles: (1) Serviços e papel da auditoria interna; (2) Gerenciamento de pessoas; (3) Práticas Profissionais; (4) Gestão de desempenho e accountability; (5) Relações Organizacionais e Cultura; e (6) Estruturas de governança. Além disso, utilizou-se campo de “comentários” de modo opcional para que os respondentes pudessem colocar suas percepções.

O questionário foi elaborado de forma eletrônica por meio da ferramenta denominada google forms. Adicionalmente, foram ainda recolhidos os dados relativos à faixa etária, tempo de experiência profissional, sexo, nível de instrução acadêmica, cargo ocupado na entidade onde labora, região de lotação e se o respondente conhece o Modelo IA-CM para auditoria interna.

Dos 60 questionários enviados aos respondentes, foram recebidas 45 respostas, o que corresponde a uma taxa de 75%, tendo sido apresentados um total de 31 comentários em relação a um quantitativo total de 65 perguntas.

Em relação à análise documental, com finalidade de se obter evidências que apoiem a implementação dos KPAs, conforme Macrae (2010), deve-se revisar a documentação relevante que apoia a implementação dos KPAs identificados. Isso poderia incluir a documentação relativa ao ambiente externo como legislação, regulamentos, relatórios de auditoria externa, Plano Anual de Auditoria, ambiente de controle e estrutura de governança; e ambientes internos como estatuto, políticas e planos.

4 APRESENTAÇÃO E ANÁLISE DOS RESULTADOS

4.1 PERFIL DOS RESPONDENTES

O perfil dos participantes da pesquisa que atuam na AudSUS se restringiu aos chefes e supervisores localizados nos 26 estados da federação e coordenadores de auditoria em Brasília, totalizando 60 servidores que exercem cargos de comando no órgão de auditoria, dos quais 45 responderam ao questionário, perfazendo 75% do público-alvo. Dos respondentes, 51% são do sexo feminino e 49% do sexo masculino.

Relativamente à faixa etária dos chefes, supervisores e coordenadores de auditoria na AudSUS, destaca-se que nenhum servidor se situa na faixa de 20 a 30 anos. A idade dos respondentes tem uma concentração maior nos intervalos de 60% entre 31 e 50 anos, e 17,78% se situam acima de 60 anos. Considerando que não há servidor acima de 70 anos na AudSUS, a média de idade é de aproximadamente 48 anos, sendo a mediana de aproximadamente de 46,88 anos, com um desvio-padrão de 10,83.

Dessa forma, verifica-se que há uma concentração maior em servidores em meia idade que, somados aos resultados do próximo parágrafo, infere-se que a experiência é algo consolidado no órgão.

Dos auditores respondentes da AudSUS, mais da metade (57,8%) tem de 06 a 10 anos de experiência no órgão de auditoria. Entre os situados entre 11 a 30 anos, verifica-se um percentual de 20% dos respondentes que se enquadram neste perfil, o que denota a experiência em auditoria dos respondentes desta pesquisa.

Quanto ao nível de escolaridade, percebe-se um grau elevado no nível de instrução dos respondentes, sendo que 39 (86,6%) dos respondentes possuem, no mínimo, o nível de especialização de titulação, incluindo nesse percentual 7 (15,5%) de mestres e doutores.

Dos servidores com titulação, a predominância é do curso de Administração com 16 respondentes (35,6%), contudo, outros cursos guardam relevância, como o da área de saúde e de contabilidade que, somados, representam 46,9%, o que demonstra que o órgão dispõe de profissionais de várias áreas de formação, importante para o desempenho das atividades de auditoria (Gráfico 1).

4.2 ENTENDIMENTO SOBRE O IA-CM

No que diz respeito ao nível de entendimento do modelo de capacidade IA-CM para a auditoria interna, as respostas demonstraram que a compreensão ao modelo está aquém de uma situação ideal para um órgão de auditoria interna, uma vez que o corpo técnico da auditoria interna deveria ter entendimentos consolidados sobre as práticas e procedimentos internacionais de avaliação da qualidade da auditoria e do Modelo IA-CM preconizado pelo Instituto dos Auditores Internos. Nesse sentido, quase a metade dos entrevistados (48,9%) somente ouviram falar e os que “nunca ouviram falar” representaram 22,2%, portanto, trata-se de um elevado percentual de desconhecimento desses dois grupos, que somados totalizam 71,1% do total dos respondentes, se levarmos em consideração a importância da temática para o órgão de auditoria.

4.3 ANÁLISE DOS DADOS

Quanto aos resultados obtidos para o modelo IA-CM, as respostas permitem conhecer as percepções dos auditores de quais práticas e procedimentos de auditoria interna são executados pela AudSUS, de forma sustentáveis e repetíveis (IIARF, 2009), fazendo parte da cultura organizacional, de modo a verificar quais os KPAs estão implementados e, consequentemente, concluir se o órgão de auditoria está enquadrado no Nível de capacidade 2 do modelo IA-CM.

Esta pesquisa se limitou a analisar os KPAs existentes do Nível 2 - Infraestrutura - no total de dez KPAs, referentes aos KPA 2.1 a 2.10 do referido nível do modelo IA-CM. Para tanto, foi analisada a percepção dos respondentes por meio de pesquisa, bem como foi avaliada a documentação do órgão, tais como: manuais existentes no órgão, Regimento Interno e as legislações e orientações internas que versam sobre a auditoria interna do SUS e, a partir dessas análises, concluir pela institucionalização ou não de cada área de processo. Além disso, é apresentada a consolidação dos resultados das análises em que se encontra o AudSUS, conforme os resultados divididos por Elemento do Modelo IA-CM.

As análises procedidas nas áreas do macroprocesso - chave (KPA) do Nível de capacidade 2 do modelo IA-CM, abrangem os seis elementos do modelo IA-CM e para atingimento desse nível de capacidade é necessário que todos os dez KPAs sejam atingidos e institucionalizados.

4.3.1 Elemento de serviços e papel da auditoria interna

Os serviços e papel da auditoria interna incluem a prestação de garantia e aconselhamento, bem como serviços de co-sourcing com prestadores de serviços externos. O papel da auditoria é fornecer avaliações independentes e objetivas para ajudar a organização a atingir seus objetivos e melhorar as operações (MACRAE, 2010).

Segundo o IIARF (2009), o objetivo do Elemento é realizar uma auditoria de conformidade e aderência de uma área particular, processo ou sistema para políticas, planos, procedimentos, leis, regulamentos, contratos, ou outros requisitos que regem a conduta da área, processo ou sistema sujeito à auditoria. Neste nível, a função de fornecer avaliações independentes e objetivas para auxiliar a organização em cumprir seus objetivos e melhorar as operações é encontrada em algum grau na maioria das atividades de auditoria interna no setor público.

No Nível de capacidade 2 temos o KPA 2.1 que trata de Auditoria de Conformidade com quatro atividades essenciais, conforme explanação a seguir.

● Auditoria de Conformidade (KPA 2.1)

Trata-se do único KPA do elemento “Serviço e Papel da Auditoria Interna” no Nível 2, tendo por objetivo o de realizar uma auditoria de conformidade e de aderência de uma área, de um processo ou de um sistema específico a políticas, planos, procedimentos, leis, regulamentos, contratos ou outros requisitos que regem a condução da área, do processo ou do sistema sujeito à auditoria (IIARF, 2009).

Segundo o IIARF (2009), as atividades para implementação do referido KPA se referem a/ao: a) incluir no estatuto/regulamento da auditoria interna a natureza dos serviços de avaliação fornecidos à organização; b) planejar os trabalhos com comunicados prévios ao gestor, e mais: com discussão dos critérios de auditoria que devem ser aceitos pelos gestores; com levantamento da estrutura de controle da unidade a ser auditada; com a identificação dos objetivos, escopo e metodologia (incluindo amostragem); com a elaboração de um plano individual e detalhado de auditoria; e com levantamento preliminar de informações do objeto da auditoria, do seu ambiente, dos objetivos da organização; c) Na fase de executar os trabalhos, com a aplicação dos procedimentos (ou protocolos) de auditorias e com a documentação dos procedimentos executados, conforme previsto na fase de planejamento, além de avaliar as informações e as evidências obtidas na auditoria, de modo a apresentar as conclusões do trabalho; e ainda sobre a finalização dos relatórios de auditoria com a emissão dos achados e conclusões do trabalho e as respectivas recomendações; d) Na fase de comunicação dos resultados, a previsão interna de uso de relatório de auditoria, além de estabelecer e manter um procedimento de monitoramento do atendimento das recomendações emitidas.

Da pesquisa realizada e da análise da documentação do AudSUS, observa-se que não foram atendidas todas as atividades do KPA 2.1. Das quatro atividades essenciais, mencionadas no parágrafo anterior, duas atividades essenciais estão implementadas (“incluir no estatuto da auditoria interna a natureza dos serviços de conformidade” e “executar a auditoria”) e duas necessitam serem institucionalizadas no órgão que são: planejar a auditoria e comunicar os resultados da auditoria, resultando, assim, em 50% de implementação no referido KPA.

4.3.2 - Elemento de Gerenciamento (ou Gestão) de Pessoas

Trata o elemento “Gerenciamento de Pessoas” do processo de criação de um ambiente de trabalho que permita que as pessoas tenham o melhor desempenho de suas habilidades. De acordo com o modelo constam para este elemento dois KPAs (KPA 2.2 Pessoas qualificadas identificadas e recrutadas e KPA 2.3 Desenvolvimento Profissional Individual). Sintetiza Macrae e Gils (2014) que o elemento Gerenciamento (ou Gestão) de Pessoas envolve o recrutamento, treinamento e desenvolvimento profissional para garantir que a atividade de auditoria interna tenha a equipe adequada para cumprir sua função e prestar os serviços esperados pela alta administração e partes interessadas.

Os resultados a seguir referem-se às verificações realizadas por meio da pesquisa com os entrevistados, bem como o resultado da análise documental em relação aos KPA 2.2 (Pessoas qualificadas identificadas e recrutadas) e 2.3 (Desenvolvimento Profissional Individual).

● Pessoas qualificadas identificadas e recrutadas (KPA 2.2)

O KPA 2.2 tem por objetivo identificar e atrair pessoas com competências necessárias e habilidades relevantes para executar o trabalho da atividade de auditoria interna, uma vez que auditores internos adequadamente qualificados e recrutados são mais propensos a fornecer credibilidade aos resultados da auditoria interna. As atividades essenciais previstas neste KPA são as seguintes (IIARF, 2009): a) identificar e definir as tarefas específicas de auditoria a serem realizadas; b) identificar os conhecimentos, as habilidades (técnicas e comportamentais) e outras competências requeridas para realizar tarefas de auditoria; c) desenvolver descrições de trabalho para os cargos; d) determinar classificação de remuneração apropriada para as posições; e e) realizar um processo de recrutamento válido, credível para selecionar candidatos adequados. Para tanto, foram apresentadas aos respondentes sete assertivas relacionadas com essas atividades essenciais.

Dos resultados obtidos do KPA 2.2, verifica-se que, das sete assertivas das atividades avaliadas, apenas uma demonstrou não estar institucionalizada no órgão, resultando em 85% do KPA institucionalizado. A atividade não implementada se refere a não existência de atribuições de cargos e papéis na função de auditoria, com previsão de classificações de remuneração conforme as posições do cargo.

● Desenvolvimento Profissional Individual (KPA 2.3)

O KPA 2.3 tem o objetivo de assegurar que os auditores internos mantenham e aumentem continuamente suas capacidades profissionais. Em cada atividade essencial avaliada foram verificadas evidências da existência e da institucionalização da atividade, por meio do resultado da pesquisa, bem como pela análise das políticas, legislações, manuais e orientação do órgão de auditoria.

De modo a cumprir esse KPA, as verificações adotadas na pesquisa referem-se às seguintes assertivas:

1. 1. As orientações de capacitação e de treinamento do DENASUS preveem número de horas de treinamento para cada auditor.
2. 2. As orientações de capacitação e treinamento estabelecem a identificação dos cursos/temas de formação suficientes para o desenvolvimento profissional dos auditores.
3. 3. As orientações de capacitação estabelecem incentivos aos auditores a se tornarem membros de associações profissionais relacionada à auditoria interna (exemplo: Instituto dos auditores internos - IIA).
4. 4. Os manuais ou orientações do DENASUS sobre capacitação preveem processo de controle e de documentação dos treinamentos realizados.
5. 5. Os manuais ou orientações do DENASUS sobre capacitação preveem a geração de relatórios periódicos sobre os treinamentos realizados por cada auditor interno.

Os resultados encontrados por meio das respostas do questionário e da análise da documentação da AudSUS permitem concluir que o KPA 2.3 não foi institucionalizado, destacando-se que, das cinco atividades essenciais, somente duas atividades foram dominadas e três atividades ainda permanecem pendentes de institucionalização, representando 40% de implementação. Foram atendidas as atividades de determinação de horas específicas para treinamento ante a previsão de 60 horas de capacitação por servidor no planejamento anual do órgão de auditoria e em relação à existência de identificação de cursos/temas de formação suficientes para o desenvolvimento profissional dos auditores.

Por outro lado, verificou-se que o órgão necessita aprimorar em relação a:

• ausência de orientações de incentivos de capacitação aos auditores a se tornarem membros de associações profissionais relacionada à auditoria interna (exemplo: Instituto dos auditores internos - IIA);

• não existem processo de controle e de documentação dos treinamentos realizados; e

• não existem relatórios periódicos sobre os treinamentos realizados por cada auditor interno, de modo a permitir um acompanhamento estruturado e sistematizado das capacitações realizadas por cada auditor.

4.3.3 Elemento de Práticas Profissionais

Segundo o IIARF (2009), no elemento “Práticas Profissionais” são incluídas as políticas, processos e práticas que permitem a auditoria a realizar o seu trabalho com proficiência e devido cuidado profissional, o que, como consequência, permite a eficácia da auditoria interna.

Para Macrae (2010), o elemento Práticas Profissionais reflete o pano de fundo completo de políticas, processos e práticas que permitem que a atividade de auditoria interna seja realizada de forma eficaz e com proficiência e o devido zelo profissional.

Os resultados a seguir referem-se às verificações realizadas por meio da pesquisa com os entrevistados, bem como o resultado da análise documental em relação aos dois KPAs que fazem parte do Nível de capacidade 2 do modelo. São eles: Plano de Auditoria baseado nas prioridades da gestão e das partes interessadas (KPA 2.4) e Estrutura de práticas profissionais e de processos (KPA 2.5).

● Plano de Auditoria baseado nas prioridades da gestão e das partes interessadas (KPA 2.4)

O referido KPA tem o objetivo de desenvolver planos periódicos (anuais ou plurianuais) para os quais serão fornecidas auditorias e/ou outros serviços, baseados em consultas com a gestão e/ou com outras partes interessadas (stakeholders).

As verificações adotadas na pesquisa referem-se às seguintes assertivas, levando em consideração as atividades que precisam ser dominadas, apresentadas aos respondentes:

1. 1. Os manuais e/ou as orientações de auditoria do DENASUS preconizam a identificação e documentação do universo de auditoria (objetos passíveis de serem auditados pelo Departamento).
2. 2. O processo de planejamento periódico do DENASUS prevê a realização de consultas à alta administração e/ou a outras partes interessadas, a fim de identificar as áreas/temas considerados prioritários a serem abordados pela atividade da Auditoria.
3. 3. O processo de planejamento do DENASUS prevê a realização de outros serviços à organização (por exemplo: serviços de consultoria, de acordo com a IN CGU nº 03/2017).
4. 4. O processo de planejamento do DENASUS prevê orientação quanto à previsão do montante global de recursos necessários para a realização de cada trabalho de auditoria.
5. 5. . A política e/ou as orientações do DENASUS consideram a possibilidade de previsão de outras estratégias, além do disponível no quadro de pessoal do Departamento, para obtenção das capacidades humanas necessárias para cumprir o plano periódico de auditoria.
6. 6. Os manuais ou orientações do DENASUS preconizam a necessidade de aprovação dos planos anuais de auditoria pela alta administração do Ministério.

A partir dos resultados obtidos dos questionários e análise documental, pode-se observar que, das seis atividades avaliadas, três demonstraram estar totalmente institucionalizadas no órgão de auditoria, representando 50% das verificações totais do KPA, sendo que duas atividades estão parcialmente implementadas e uma atividade sem nenhuma implementação. Ainda segundo os resultados, infere-se que estão institucionalizadas as seguintes ações:

• Existência de práticas e manualização para a identificação e documentação do universo de auditoria (objetos passíveis de serem auditados pela AudSUS);

• previsão em planejamento de realização de consultas à alta administração e/ou a outras partes interessadas, a fim de identificar as áreas/temas considerados prioritários a serem abordados pela atividade da Auditoria; e

• previsão em Portaria Ministerial de que o planejamento de auditoria deve ser aprovado pela alta administração do Ministério.

Em contrapartida, não há implementação comprovada de atividades como a previsão na AudSUS de realização de serviços de consultoria. Quanto às atividades parcialmente atendidas, registra-se a falta de normatização sobre a previsão de outras estratégias, além da disponível no quadro de pessoal da AudSUS, para obtenção das capacidades humanas necessárias para cumprir o plano periódico de auditoria. Além disso, não consta documentada a previsão de montante global de recursos necessários para a realização de cada trabalho de auditoria.

● Estrutura de práticas profissionais e de processos (KPA 2.5)

O objetivo do KPA 2.5 é ajudar e facilitar a realização dos trabalhos de auditoria, com independência, objetividade, competência e zelo profissional devidos, previstos no Regulamento Interno/Estatuto de auditoria e na missão de Auditoria Interna, na definição de Auditoria Interna, no Código de Ética e nas Normas Internacionais para a Prática Profissional de Auditoria Interna do IIA, sendo que as práticas profissionais e a estrutura de processos incluem políticas, processos e procedimentos que orientarão a atividade de Auditoria Interna na gestão das suas operações, no desenvolvimento de seu programa de trabalho de auditoria interna e no planejamento, na execução e na relatoria dos resultados das auditorias internas (IIARF, 2009).

Nesse sentido, as verificações adotadas na pesquisa referem-se às seguintes assertivas, levando em consideração as atividades que precisam ser dominadas, apresentadas aos respondentes:

1. 1. Há disseminação junto aos auditores do DENASUS sobre o caráter obrigatório da definição de auditoria interna, do Código de ética, dos Princípios Fundamentais e das Normas Profissionais aplicáveis a atividade de auditoria.
2. 2. O DENASUS desenvolve políticas ou orientações para o gerenciamento da atividade de auditoria interna (por exemplo, para recursos humanos, gerenciamento de informações, orçamento, regimento interno, estrutura organizacional).
3. 3. No DENASUS existem manuais ou orientações que contemplam orientações gerais para a elaboração do programa de trabalho periódico de auditoria.
4. 4. O DENASUS estabelece procedimentos e ferramentas padrão a serem utilizados para planejar, executar e relatar os resultados do trabalho de auditoria, incluindo as diretrizes de elaboração de papéis de trabalho.
5. 5. Há processos e controles adequados e suficientes para assegurar a qualidade dos trabalhos individuais de auditoria.
6. 6. Há processos para acompanhar/monitorar o atendimento das recomendações emitidas.

Após a aplicação dos questionários e análise documental, a avaliação concluiu que o KPA 2.5 - “Estrutura de práticas profissionais e de processos” - não está totalmente institucionalizado em relação ao modelo IA-CM. Das seis atividades essenciais, somente duas (33,33%) atenderam integralmente, relacionadas à existência de manuais de orientação para elaboração do programa de trabalho periódico de auditoria e no que diz respeito à existência de procedimentos e ferramentas a serem utilizados para planejar, executar e relatar os resultados do trabalho de auditoria, incluindo as diretrizes de elaboração de papéis de trabalho.

Outras três atividades atendem de forma parcial e se referem à disseminação junto aos auditores da AudSUS sobre o caráter obrigatório da definição de auditoria interna, do Código de ética, dos Princípios Fundamentais e das Normas Profissionais aplicáveis à atividade de auditoria, uma vez que os manuais se encontram desatualizados e não há registros dessas orientações no órgão de auditoria.

A atividade não implementada se refere à ausência de políticas sedimentadas em planos de auditoria para as gestões orçamentárias e humanas.

Com isso, o órgão de auditoria não atende de forma integral as atividades essenciais do KPA 3.5.

4.3.4 Elemento de Gerenciamento do Desempenho e Accountability

De acordo com o IIARF (2009), o elemento “Gerenciamento do Desempenho e Accountability” objetiva que a auditoria interna tenha seu próprio orçamento operacional e seja alocado e usado para planejar os serviços de atividade de auditoria, além de que o Plano de Negócios de Auditoria Interna deve estabelecer um plano periódico para a prestação dos serviços da atividade de auditoria, incluindo serviços administrativos e de suporte e os resultados esperados.

Ensina Macrae (2010) que o elemento Gestão de Desempenho e Accountability refere-se às informações necessárias para gerenciar, conduzir e controlar as operações da atividade de auditoria interna e contabilizar seu desempenho e resultados.

Os resultados referem-se às verificações realizadas em relação aos KPAs: Plano de negócio de Auditoria Interna (KPA 2.6) e Orçamento operacional de Auditoria Interna (KPA 2.7).

● Plano de Negócio de Auditoria Interna (KPA 2.6)

Tem-se como objetivo do KPA estabelecer um plano periódico para entregar os serviços da atividade de Auditoria Interna, incluindo serviços de apoio e de administração e os resultados esperados (IIARF, 2009). As atividades essenciais no KPA são as seguintes: Seguem as verificações adotadas na pesquisa:

1. 1. O DENASUS mantém processo formal de planejamento de longo prazo (mais de um exercício) para entregar os serviços da atividade de Auditoria e os resultados esperados, bem como os serviços de apoio.
2. 2. O DENASUS mantém processo formal de planejamento de longo prazo para entregar os serviços da atividade de auditoria, incluindo serviços de apoio e de administração e os resultados esperados.
3. 3. O DENASUS mantém processo formal de planejamento de longo prazo contemplando os serviços administrativos e suporte necessários para apoiar a atividade de auditoria interna (por exemplo, recursos humanos, materiais e de TI).
4. 4. O DENASUS prepara cronogramas relevantes para atingimento dos resultados esperados do planejamento de longo prazo e determina os recursos necessários para alcançar os objetivos da atividade de auditoria.
5. 5. O DENASUS mantém processo formal de planejamento de longo prazo para entregar os serviços da atividade de auditoria interna, incluindo serviços de apoio e de administração e os resultados esperados.
6. 6. O Planejamento Estratégico do DENASUS foi formalmente aprovado pela alta administração do Ministério e/ou por Conselho.

Das seis atividades essenciais, observa-se nos resultados da pesquisa e da análise documental que nenhuma foi atendida, ressaltando a importância de se ter o plano de longo prazo e/ou plano operacional/negócio de modo a cumprir as atividades de auditoria interna.

● Orçamento operacional de Auditoria Interna (KPA 2.7)

As verificações adotadas na pesquisa referem-se às seguintes assertivas, levando em consideração as atividades que precisam ser dominadas:

• O DENASUS estabelece uma previsão orçamentária realista para execução das atividades previstas no plano periódico de auditoria, considerando os custos existentes.

• As diretrizes para a elaboração do orçamento da atividade de Auditoria contemplam a utilização de padrões orçamentários alinhados com os da organização.

• O processo de elaboração do orçamento do DENASUS estabelece a necessidade de sua aprovação pela alta administração do Ministério.

• As diretrizes do DENASUS contemplam a necessidade de monitoramento e revisão do orçamento do Departamento, sempre que necessário.

Observa-se que, das quatro atividades essenciais com suas respectivas verificações, apenas uma não atende ao modelo IA-CM, estando institucionalizados 75% do total dessas atividades, conforme o resultado presente nos questionários e na análise da documentação existente na AudSUS.

Destaque para a única atividade não institucionalizada e nem manualizada que se refere à necessidade de monitoramento e revisão do orçamento da AudSUS, sempre que necessário, uma vez que este procedimento não é formalizado e nem disciplinado na Auditoria-Geral do SUS.

De resto, cumpre registrar que a AudSUS estabelece uma previsão orçamentária realista para execução das atividades previstas nos planos de auditoria; as diretrizes para a elaboração do orçamento da atividade de Auditoria contemplam a utilização de padrões orçamentários alinhados com os da organização; e o processo de elaboração do orçamento da AudSUS estabelece a necessidade de sua aprovação pela alta administração do Ministério.

4.3.5 Elemento de Cultura e Relacionamento Organizacional

Segundo o IIARF (2009), a Cultura e Relacionamento Organizacional refere-se à/às: estrutura organizacional e à gestão e relacionamentos internos dentro da própria atividade de auditoria interna; relações do chefe de auditoria com a alta administração e como parte da equipe de gestão, bem como a habilidade de assessorar e influenciar a alta gestão e desenvolver relacionamentos eficazes e contínuos; políticas, processos e práticas da organização são interpretados e podem impactar na capacidade da atividade de auditoria interna para acessar as informações e as pessoas necessárias na condução do seu trabalho; relacionamentos internos e à cultura interna da organização e ambiente, e como esses relacionamentos e a cultura organizacional podem impactar principais interessados e outros fora da organização; e relações com outros grupos de revisão, incluindo o auditor externo ou o auditor legislativo, se aplicável.

Macrae (2010) esclarece que Cultura e Relacionamento Organizacional incluem a estrutura organizacional e a gestão interna e as relações dentro da própria atividade de auditoria interna, bem como a relação do Chefe da Auditoria com a Alta Administração.

Ressalta-se a existência de um KPA para o Nível de capacidade 2. Trata-se do “Gerenciamento dentro da Atividade de Auditoria Interna (KPA 2.8)”.

● Gerenciamento dentro da Atividade de Auditoria Interna (KPA 2.8)

Tem-se como objetivo do KPA 2.8 (IIARF, 2009) o de focar o esforço de gestão da atividade de Auditoria Interna em suas próprias operações e relações dentro da própria atividade, tais como estrutura organizacional, gestão de pessoas, preparação do orçamento e monitoramento, planejamento anual, fornecendo a tecnologia e as ferramentas de auditoria necessárias e realizando auditorias. As interações com os gestores organizacionais estão focadas em realizar o negócio da atividade de Auditoria Interna.

As verificações adotadas na pesquisa referem-se às seguintes:

1. 1. O DENASUS possui estrutura organizacional formalmente estabelecida.
2. 2. A estrutura organizacional do DENASUS contempla a definição formal de papéis e de responsabilidades dos cargos-chave/principais posições na atividade de Auditoria.
3. 3. A estrutura organizacional do DENASUS contempla mecanismos/processos de apoio às relações de reporte dentro da atividade de Auditoria.
4. 4. O DENASUS possui processo de avaliação de requisitos e de obtenção de recursos necessários e de ferramentas baseadas em tecnologia, necessárias para gerenciar e executar a atividade de Auditoria.
5. 5. O DENASUS possibilita um processo adequado para administrar, para coordenar e para se comunicar dentro da atividade de Auditoria Interna.
6. 6. A estrutura organizacional do DENASUS possibilita o desenvolvimento de relações de trabalho profissionais e promove a comunicação contínua e construtiva dentro da atividade de Auditoria.

A pesquisa realizada por questionário e pela análise das documentações existentes na AudSUS conclui-se que, das seis atividades essenciais com suas respectivas verificações, o órgão cumpre cinco atividades plenas e uma não atende, de forma que 83,3% das atividades essenciais existem e são institucionalizadas pela Auditoria-Geral do SUS no referido KPA, de acordo com o modelo IA-CM, o que representa em síntese que:

• O órgão de auditoria possui regimento interno;

• tem sua estrutura estabelecida em decreto, com quadro demonstrativo de cargos em comissão e funções gratificadas;

• existem funções na auditoria como membro e supervisor dos trabalhos, em que pese de não haver carreira estrutura no órgão, além da existência de Chefes de Divisão, Coordenadores de área, Coordenadores-Gerais, Chefes Regionais e Diretor do órgão;

• o fluxo de reporte funcional ocorre pela estrutura hierárquica do órgão, tais como as chefias de divisão; coordenações de área e coordenações-gerais, chefias regionais e a direção do órgão; e

• no órgão de auditoria a comunicação muitas vezes é apoiada na tecnologia disponível (sistemas virtuais, e-mails) e apoiada por manuais, orientações e sistemas.

Somente em relação à atividade essencial “avaliar os requisitos e obter os recursos e as ferramentas de auditoria necessários, incluindo ferramentas de base tecnológica, necessárias tanto para gerenciar, quanto para realizar o trabalho da atividade de auditoria interna” evidencia-se que não há implementação por parte da AudSUS, uma vez que o procedimento de avaliação de requisitos e de obtenção de recursos necessários e ferramentas baseadas em tecnologia não é formalizado e nem disciplinado no órgão de auditoria.

4.3.6 Elementos de Estrutura de Governança

O objetivo deste elemento para o IIARF (2009) é fornecer autoridade para a atividade de auditoria interna para obter acesso a todas as informações, bens e pessoas de que necessita para o desempenho das suas funções e estabelecer relações formais de subordinação (administrativa e funcional) para a atividade de auditoria interna.

Macrae (2010) destaca que as estruturas de governança são outro elemento importante, pois sustentam e asseguram a independência e a objetividade da atividade de auditoria interna. Inclui as relações de subordinação (administrativas e funcionais) do Chefe de Auditoria. Além disso, também se refere às políticas e processos estabelecidos para fornecer a autoridade, suporte e recursos necessários para garantir que a atividade de auditoria interna desempenhe seu papel e responsabilidades de forma eficaz e independente.

● Fluxo de reporte de auditoria estabelecido (KPA 2.9)

O objetivo do referido KPA é de estabelecer canais formais de reporte (administrativo e funcional) para a atividade de Auditoria Interna. As verificações adotadas na pesquisa referem-se às seguintes:

1. 1. O DENASUS possui estatuto ou outro instrumento formal que defina o propósito, a autoridade, a responsabilidade e os padrões profissionais a serem observados pela atividade de Auditoria Interna.
2. 2. O estatuto ou outro instrumento formal que defina o propósito, a autoridade, a responsabilidade e os padrões profissionais da atividade de auditoria interna foi formalmente aprovado pela alta administração e/ou pelo conselho.
3. 3. . O estatuto ou outro instrumento formal estabelece missão e/ou visão do DENASUS.
4. 4. O estatuto ou outro instrumento formal estabelece as relações de reporte administrativo e funcional do DENASUS em níveis adequados (Ministro, Conselho ou Comitê de governança).
5. 5. Há previsão de processo de revisão e de atualização do estatuto ou do regulamento da atividade de Auditoria, com a aprovação da alta administração (Ministro ou equivalente).

Quanto ao KPA 2.9, com as respostas dos auditores e, após análise da documentação da AudSUS, verificou-se que, das cinco atividades essenciais com suas respectivas verificações, o órgão não atende plenamente a nenhuma dessas atividades, sendo atendidas parcialmente quatro verificações e uma não há nenhum atendimento. Assim, pode-se afirmar que a AudSUS ainda não possui um estatuto ou outro instrumento formal que:

• - Defina o propósito, a autoridade, a responsabilidade e os padrões profissionais a serem observados pela atividade de auditoria interna;

• - defina a missão e/ou visão do órgão; e

• - defina as relações de reporte administrativo e funcional da AudSUS em níveis adequados (Ministro, Conselho ou Comitê de governança).

●Acesso pleno às informações, aos ativos e às pessoas da organização (KPA 2.10)

Consta do IIARF (2009) que o objetivo do KPA 2.10 é de fornecer autoridade para a atividade de auditoria interna para obter acesso a todas as informações, bens e pessoas de que necessita para o desempenho das suas funções, e de estabelecer relações formais de subordinação (administrativa e funcional) para a atividade auditoria interna.

As verificações adotadas na pesquisa referem-se às seguintes:

1. 1. O DENASUS possui estatuto ou outro instrumento formal que estabeleça sua autoridade para acessar de forma irrestrita todas as informações e as pessoas do órgão auditado, de forma a permitir o pleno desempenho de suas funções.
2. 2. O estatuto, normativo ou outro instrumento formal estabelece acesso livre e irrestrito aos registros e ao pessoal da organização contempla procedimentos a ser seguido quando o gestor não fornece acesso durante a execução de um trabalho de auditoria interna.

Os resultados da pesquisa e da avaliação da documentação no KPA 2.10 demonstram que não há nenhuma atividade dominada completamente, estando parcialmente atendidas as duas atividades. Verifica-se a existência de instrumentos formais que versam sobre a questão do acesso livre e irrestrito aos registros pelos auditores. Entretanto, os normativos necessitam de fluxos e orientações em manuais e normas internas mais atualizadas para que as auditorias possam se resguardar nas situações de embaraço e de negativas no acesso às informações. Dessa forma, o KPA 2.10 não foi implementado.

4.4 SÍNTESE DOS RESULTADOS - NÍVEL DE CAPACIDADE DA AudSUS

A avaliação de dez áreas de processo-chave (KPA) do nível 2 - Infraestrutura do modelo IA-CM - identificou que não houve nenhum KPA atendido de forma plena. Cabe ressaltar que cinco KPAs se situam igual ou acima de 50% de institucionalização (KPAs 2.1, 2.2, 2.4, 2.7 e 2.8), e desses KPAs, dois estão acima de 80%. Outros cinco KPAs (50% dos KPAs) estão abaixo de 50% de implementação, inclusive em três KPAs não há nenhuma atividade implementada, conforme gráfico a seguir:

O quadro a seguir demonstra o percentual de atendimento das dez atividades essenciais para cada o KPA do Nível de capacidade 2, com a identificação de cada KPA:

Os resultados indicam que, na prática, o órgão de auditoria necessita manter esforços para melhoria de sua capacidade relacionada aos KPAs, sobretudo naqueles em que que não houve nenhuma implementação (0% de implementação), como o “KPA 2.6 - Plano de Negócios da Auditoria Interna”; “KPA 2.9 - Fluxo de Reportes da Auditoria Estabelecido” e “KPA 2.10 - Acesso Pleno a Informações, Ativos e Pessoas da Organização Avaliação”. Além daqueles KPAs que ficaram em um grau de implementação bem aquém do almejado, tais como:

• “KPA 2.3 - Desenvolvimento Profissional Individual”, com 40% de implementação de atividades; e o

• “KPA 2.5 - Estrutura de Práticas Profissionais e de processos”, com avaliação de 33,3% de implementação.

Em contrapartida, o órgão de auditoria necessita adotar um esforço adicional para complementar as implementações de atividades em relação aos KPAs que não foram totalmente implementados, mas que se situam em patamar acima de 50% de implementação. Trata-se dos KPAS:

• “KPA 2.1 - Auditoria de Conformidade”, com nível de 50% de implementação;

• “KPA 2.2 - Pessoas qualificadas identificadas e recrutadas”, com avaliação de 85% de implementação;

• “KPA 2.4 - Plano de Auditoria baseado nas prioridades da Gestão e das partes interessadas”, com atingimento de 50%;

• “KPA 2.7 - Orçamento Operacional de Auditoria Interna”, com implementação de 75% do total das atividades; e

• “KPA 2.8 - Gerenciamento dentro da Atividade de Auditoria Interna”, avaliado em 83,3% de implementação de atividades.

Sendo assim, considerando que para que um determinado nível seja atingido, é preciso que todos os KPAs estejam institucionalizados, conclui-se que a AudSUS não atingiu o Nível 2 do modelo, permanecendo a AudSUS no Nível 1 do IA-CM, sendo que nesse nível a auditoria é considerada ad hoc, nem todos os processos são definidos, poucas práticas são executadas consistentemente e dependente de esforços individuais.

5 5 CONCLUSÕES

A auditoria interna governamental ou do setor público é um importante instrumento de governança e tem apresentado maior foco no aperfeiçoamento dos processos de gestão da organização como uma atividade que realmente agregue valor ao negócio. De modo a contribuir para que a administração pública faça bom uso dos recursos públicos e entregue serviços de qualidade aos seus usuários, a auditoria interna governamental necessita se aperfeiçoar em seus métodos de trabalho com avaliações da qualidade e a identificação de oportunidades de melhoria em suas práticas, de modo a apresentar os resultados com eficácia e efetividade.

Nesse sentido, apresenta-se o Modelo de Capacidade de Auditoria Interna (Internal Audit Capability Model - IA-CM), que é um framework que identifica os fundamentos necessários para uma auditoria interna eficaz no setor público, a ser usado globalmente para ajudar a evoluir a auditoria interna governamental, fortalecendo sua capacidade e melhorando sua eficácia (IIARF, 2009). O modelo é composto por cinco níveis de capacidade (1 - Inicial; 2 - Infraestrutura; 3 - Integrado; 4 - Gerenciado; 5 - Otimizado) atrelados às práticas da auditoria, e seis elementos essenciais para uma atividade de auditoria interna. O Nível 1 é considerado o inicial, o mais básico, para uma auditoria interna, e o Nível 5 é o grau máximo, é visto pelo modelo como nível mais inspirador (MACRAE; GILS, 2014).

Dessa forma, o presente trabalho teve por objetivo verificar o nível de capacidade da Auditoria-Geral do SUS, com base nos KPAs do Nível de Capacidade 2 do Modelo IA-CM, tendo em vista que o nível 1 é o inicial de toda e qualquer auditoria. Para tanto, realizou-se uma survey com servidores do Auditoria-Geral do SUS, compreendendo as lideranças do órgão, como chefes e supervisores regionais em 26 estados da federação e coordenadores de auditoria em Brasília-DF. Além disso foi efetuada uma análise das documentações inerentes às atividades e práticas do órgão de auditoria.

Salienta-se que, para atingir um nível de capacidade no Modelo de Capacidade do IA-CM, 100% dos macroprocessos-chave (KPAs) em um determinado nível devem ser alcançados. Os KPAs são constituídos por atividades que devem ser desempenhadas e sustentadas para que a unidade de auditoria alcance os objetivos pretendidos.

Os resultados encontrados demonstraram que nenhum dos dez KPAs avaliados no Nível de Capacidade 2 do modelo foi totalmente atingido, sendo que:

cinco KPAs atingiram um patamar igual ou acima de 50% de institucionalização (KPAs 2.1, 2.2, 2.4, 2.7 e 2.8), com destaque para dois KPAs que estão iguais ou acima de 80%.

outros cinco KPAs (KPAs 2.3, 2.5, 2.6, 2.9 e 2.10) estão abaixo de 50% de implementação.

Dessa forma, conclui-se que a AudSUS não atingiu o Nível 2 do modelo, permanecendo a AudSUS no Nível 1 do IA-CM, sendo que, nesse nível, a auditoria é considerada ad hoc, onde nem todos os processos são definidos, poucas práticas são executadas consistentemente e dependente de esforços individuais.

Como limitação desta pesquisa, denota-se o extenso questionário aplicados aos respondentes, mas necessário para obter as conclusões sobre o modelo IA-CM, sendo que os questionários elaborados procuraram seguir os padrões do próprio modelo, sob pena de desconfigurar o método da avaliação adotado.

Outra limitação refere-se às respostas do questionário, uma vez que estão sujeitas a diferenças de entendimento e de interpretação pelos respondentes, principalmente, quando se refere a temáticas que envolvem a área meio do órgão, não usual para os auditores, como questões de suficiência de orçamento e treinamento de pessoal.

REFERÊNCIAS

ANDRADE, F. C. de. Atividade de auditoria interna da controladoria-geral do Estado de Minas Gerais. 2018. Dissertação (Mestrado em Ciências Econômicas) - Universidade Federal de Minas Gerais, Belo Horizonte, 2018. Disponível em: Disponível em: https://repositorio.ufmg.br/ handle/1843/30562. Acesso em:25 nov. 2021.

BRASIL. Decreto nº 9.203, de 22 de novembro de 2017. Dispõe sobre a política de governança da administração pública federal direta, autárquica e fundacional. Brasil: Presidência da República, 2017. Disponível em: Disponível em: https://repositorio.cgu.gov.br/handle/1/41841. Acesso em: 28 nov. 2021.

BRASIL. Controladoria Geral da União. Instrução Normativa SFC/CGU nº 8, de 6 de dezembro de 2017. Aprova o Manual de Orientações Técnicas da Atividade de Auditoria Interna Governamental do Poder Executivo Federal, que estabelece os procedimentos para a prática profissional da atividade. Brasília, DF, 6 dez. 2017. Disponível em: Disponível em: https://repositorio.cgu.gov.br/handle/1/33405. Acesso em: 5 nov. 2021.

BRASIL. Controladoria Geral da União. Nota Técnica nº 843/2019/CGMEQ/SFC, de 10 de maio de 2019. Apresentar os resultados das análises realizadas pela Coordenação-Geral de Métodos, Capacitação e Qualidade (CGMEQ), com o objetivo de avaliar o grau de maturidade da atividade de auditoria interna da CGU, com base no Modelo de Capacidade de Auditoria Interna (Internal Audit Capability Model - IA-CM). Brasília, DF, 2019. Disponível em:Disponível em:https://repositorio.cgu.gov.br/bitstream/1/38823/8/Nota%20T%c3%a9cnica%20de%20Autoavalia%c3%a7%c3%a3o%20IA-CM%20da%20CGU.pdf. Acesso em: 28 nov. 2021.

BRASIL. Controladoria Geral da União. Portaria CGU nº 777, de 18 de fevereiro de 2019. Publica a Deliberação da Comissão de Coordenação de Controle Interno (CCCI), conforme proposto em sessão realizada em 30 de janeiro de 2019, que recomenda a utilização das metodologias Internal Audit Capability Model (IA-CM) e Quality Assessment (QA), do Instituto dos Auditores Internos (IIA) na implementação do Programa de Gestão e Melhoria da Qualidade (PGMQ). Brasília, DF, 20 fev. 2019. Disponível em:Disponível em:https://repositorio.cgu.gov.br/handle/1/41360. Acesso em: 28 jul. 2022.

BRASIL. Controladoria Geral da União. Portaria CGU nº 363, de 19 de fevereiro de 2020. Altera o Programa de Gestão e Melhoria da Qualidade da Atividade de Auditoria Interna da Controladoria-Geral da União (PRO-Qualidade). Brasília, DF, 19 fev. 2020. Disponível em: Disponível em: https://repositorio.cgu.gov.br/handle/1/43537. Acesso em: 28 jul. 2022.

CREPALDI, S. A. Auditoria contábil: Teoria e prática. 9. ed. São Paulo: Atlas, 2013.

DOMINGUES, Allan Gabriel Silva. Auditoria Interna Governamental: Um estudo do Indicador KPA 2.4 de avaliação do PGMQ na Universidade de Brasília. Trabalho de Conclusão de Curso (Ciências Contábeis) - Universidade de Brasília, Brasília, 2020. Disponível em: Disponível em: https://bdm.unb.br/handle/10483/28854. Acesso em: 13 jul. 2022.

IMONIANA, J. O.; MATHEUS, C. P.; PERERA, L. C. J. Medição de desempenho de auditoria interna: Um estudo empírico. Revista Universo Contábil, Blumenau, v. 10, n. 3, p. 65-93, jul./set. 2014. Disponível em: https://proxy.furb.br/ojs/index.php/universocontabil/article/view/3965/2734. Acesso em: 5 set. 2021.

THE INSTITUTE of Internal Auditors Research Foundation (IIARF). Internal audit capability model (IA-CM) for the public sector: overview and application guide. Altamonte Springs, 2009. Disponível em:Disponível em:https://www.researchgate.net/publication/267981069_Internal_Audit_Capability_Model_IA-CM_For_the_Public_Sector. Acesso em: 22 jul. 2021.

THE INSTITUTE of Internal Auditors (IIA). Normas Internacionais para a prática profissional de auditoria interna. 2017. Disponível em: Disponível em: https://iiabrasil.org.br/korbilload/upl /ippf/downloads/livreto-ippf-vs-ippf-00000010-01102019105200.pdf. Acesso em: 22 jul. 2021.

MACRAE, E. A framework for audit evolution: A new capability model identifies the fundamentals needed for effective internal auditing in the public sector. Internal Auditor, v. 67, n. 1, p. 68-70, fev. 2010. Disponível em:Disponível em:https://go.gale.com/ps/i.do?id=GALE%7C%20A219107009&sid=googleScholar&v=2.1&it=r&linkaccess=abs&issn=00205745&p=AONE&sw=w&userGroupName=anon%7Eb358369e. Acesso em: 10 fev. 2022.

MACRAE, Elizabeth; VAN GILS, Diane. Internal Audit Capabilities and Performance Levels in the Public Sector. Florida: The Institute of Internal Auditors Research Foundation, 2014. Acesso em:10 fev. 2022.

MORAIS, M. G. da C. T. A importância da auditoria interna para a gestão: Caso das empresas portuguesas. In: CONGRESSO BRASILEIRO DE CONTABILIDADE, 18., 2008. Anais... Gramado, 2008, p. 1-15. Disponível em:Disponível em:https://docplayer.com.br/684140-A-importancia-da-auditoria-interna-para-a-gestao-caso-das-empresas-portuguesas.html. Acesso em: 21 ago. 2021.

VIEIRA, L. dos S. Pesquisa e monografia jurídica: Na era da informática. 2. ed. Brasília: Brasília Jurídica, 2005.

IR