A Associação dos Auditores do Tribunal de Contas do Município de São Paulo (AudTCMSP) promoveu na terça-feira (16/06) a segunda edição do projeto “Tardes de Conhecimento. O evento, realizado por videoconferência, buscou debater os processos de auditoria no setor público, com o auditor Tiago Modesto Carneiro; e a auditoria baseada em riscos, com o auditor Antônio Carvalho Neto, ambos do Tribunal de Contas da União (TCU). A mediação do encontro ficou a cargo da auditora do TCMSP, Helen Steffen.
Diretamente do TCU, o auditor federal de controle externo e secretário do Tribunal de Contas da União no estado do Mato Grosso do Sul, Tiago Modesto, trouxe uma apresentação com foco nos usuários. "A gente esquece que a auditoria no setor público tem um usuário final e que precisamos atendê-lo", disse. Complementou a fala ressaltando que a auditoria tem mecânica simples e própria. “Tudo que fazemos tem a ver com essa mecânica, que é basicamente comparar um objeto, que pode ser desde um contrato até uma política pública, uma contratação com maior ou menor dificuldade, com aquilo que deveria ser. Como Entidade Fiscalizadora Superior temos no Brasil os tribunais de contas dos estados, dos municípios e do município. O que deveria ser se define em um conjunto normativo ou normas internas do órgão, o padrão a seguir. O que o auditor produz são informações para que os usuários dessa auditoria, dos produtos dessa auditoria, possam tomar decisões", explicou.
"Uma dica de quem são esses usuários está na norma de auditoria sempre que a gente se refere as partes da auditoria. Então temos usuários internos, que são os próprios colegiados, ministros, as chefias, os conselheiros (no caso dos tribunais de contas estaduais); e os externos, que são os próprios responsáveis pelo objeto, o gestor que está diretamente envolvido e também as partes interessadas, os beneficiários da política pública ou do benefício continuado", definiu o auditor. Sobre as decisões que são tomadas, explicou que podem ser desde a de sair para a rua e protestar até a de retirar investimentos de uma estatal porque os balanços não são confiáveis. “É aí que entra nosso papel de dar segurança para que as decisões sejam tomadas”, completou Modesto.
O auditor do TCU contextualizou o tema apresentando o processo de fiscalização. "Em geral, a auditoria começa com um comando e é preciso achar um objeto de auditoria dentro do comando, com foco no usuário e questionando o que está por trás do pedido”, ressaltou.
Modesto elencou algumas características necessárias para identificar o objeto dentro do comando. "Primeiro ele precisa ser identificável e estar localizado no tempo e espaço. Preciso entender muito bem que processo de trabalho está por trás, que produtos, pessoas, comportamentos eu estou olhando. Então já de cara preciso arbitrar a partir da situação colocada pelo demandante. E pensar: é avaliável? Preciso ter um critério e algum comparativo. Vou comparar o objeto que identifiquei com o critério. Sem critério para comparar, também não tenho um objeto, estão muito ligados”, sintetizou.
Argumentou que para garantir segurança na tomada de decisão não basta só o comparativo, mas a apresentação de evidências de tudo que foi falado, das conclusões obtidas. “Temos que dar os detalhes, ter as evidências. E acima de tudo o objeto precisa ser relevante para os próprios usuários, as pessoas têm que querer consumir aquela informação”, enfatizou.
O palestrante também falou sobre o nível de asseguração no momento da tomada de decisão, dentro do espectro de limitado e razoável, e do risco de auditoria. "O risco de auditoria nada mais é do que o risco de falar besteira no final do meu processo de auditoria. O que é falar besteira para a gente? Concluir que um objeto está conforme o critério, quando não está, ou pior, concluir que ele não está quando na verdade está. Isso é bem pior porque pode levar a um grande prejuízo caso a gente incorra nesse risco", assegurou. Sobre o objetivo da auditoria ressaltou que deve estar previamente entendido o porquê de comparar o objeto com o seu respectivo critério, o motivo pontual da fiscalização.
De acordo com o auditor, após definido os termos e a estratégia global da auditoria já é possível iniciar a fiscalização. "Aí a gente pega outra maneira de produção que o design thinking e precisa entender profundamente o problema com a visão de quem vive o problema. É um momento que pede empatia, que preciso mergulhar no problema antes de me pronunciar. Preciso caprichar nesse momento e construir uma boa visão geral do objeto, analisando por quê?; como deveria ser?; quem?; quando?; quanto?; onde? e como é?", expôs Modesto.
No tocante à comparação do que é constatado com o que deveria ser, o auditor revelou que é preciso saber como o processo deve ser executado para analisar se realmente está sendo feito conforme deveria. “Utilizamos mapas de Processos e de Produtos em que são definidos tópicos, por exemplo: como é executado o trabalho?; como são gerados os produtos?”, salientou.
Com relação aos riscos inerentes ao objeto o palestrante argumentou que podem ser baseados na complexidade, no tamanho, na abrangência ou na inovação. “Nós auditores temos que tirar um vício muito grande que é o de reduzir o risco à zero. Risco zero não existe. A gente tem que ajudar o gestor a alinhar o seu apetite ao risco. Se você coloca a inovação e o risco cada um em um eixo de um gráfico, quando você reduz ao máximo o risco, o que está fazendo com a inovação? Você está matando a inovação porque inovar envolve se arriscar. Então, a gente não tem que reduzir o risco ao máximo, a gente tem que mitigar o risco até o nível que esteja no apetite do que está definido nas normas, plano gestor ou na própria estrutura de gestão de risco da entidade. Caso ela tenha, caso não tenha, você vai construir isso, não tem outra saída", aconselhou.
O profissional lembrou que, dentro dessa perspectiva de riscos, o controle excessivo é o alimento da corrupção. Por isso é necessária uma matriz de riscos e controles. "A partir daí posso trabalhar minha estratégia de evidenciação", complementou.
Durante a apresentação, Modesto ainda discorreu sobre a matriz de planejamento, aplicação das técnicas, matriz de achados, matriz de responsabilização e sobre o relatório de auditoria. "Mais importante, às vezes, do que o próprio conteúdo é a forma que a gente comunica, se o usuário vai consumir aquela informação verdadeiramente para que ele possa tomar as decisões dele. A gente precisa facilitar ao máximo para que ele entenda tudo que tem ali dentro. Precisa ser curto, ilustrado e não pode ser muito denso. A gente precisa chamar à leitura", falou.
O diretor de Normas de Auditorias e Contas Anuais do TCU, Antonio Carvalho, tratou mais a fundo a questão da auditoria baseada em risco. "É preciso que a gente procure atingir, por meio dos nossos procedimentos, aqueles elementos do objeto que estão suscetíveis ao risco de estar distorcidos. Quanto nos trabalhos de apuração, como é típico da inspeção, nós baseamos todo nosso trabalho sobre os indícios previamente comunicados ou previamente identificados, indícios de irregularidades, de fraudes e assim por diante", iniciou o diretor.
"O risco de um exame e, portanto, o risco de uma auditoria é o risco de que o relatório, o reporte, a informação produzida, ou mais especificamente, as conclusões que o profissional de auditoria chega, aquelas conclusões que às vezes fundamentam sua opinião em um formato até padronizado, seja inadequada, nós temos o que chamamos de um reporte de um relatório inadequado. E esse relatório, naturalmente, vai causar decisões equivocadas ou incorretas pelos usuários da informação, seja a informação prestada diretamente pelo auditor em trabalhos de relatório direto, seja as informações que ele certifica, aquelas prestadas por terceiros, preparadas por terceiros, como é o caso da auditoria de demonstrações contábeis ou de demonstrações financeiras", alertou.
De acordo com Carvalho, o usuário da informação necessita que ela seja confiável. "Quando nós estamos falando de informação confiável, estamos associando isso ao risco de auditoria. E ele precisa ainda que essa informação seja relevante e quando nós falamos de informação relevante, estamos falando de outro termo que é a alma da auditoria: a materialidade. Relevância e materialidade não são conceitos distintos, mas sim interdependentes e inter-relacionados. Além de ser um conceito-chave para a auditoria, a materialidade determina o que é relevante para os objetivos da auditoria", informou.
Carvalho definiu, durante sua apresentação, a materialidade e o que é materialmente relevante. "A materialidade tem dois aspectos: o aspecto quantitativo que, normalmente, é determinado por meio de um percentual sobre uma base que reflete razoavelmente o nível de atividade financeira do objeto e é o que nós chamamos de relevância financeira individual. E temos o aspecto da materialidade qualitativa que, embora não seja relevante do ponto de vista financeiro, é relevante pela natureza, por exemplo, qualquer suspeita de má-gestão grave, de fraude, de ilegalidade ou irregularidade, suspeita de distorção intencional ou manipulação de informações ou resultados. E a relevância pelas circunstâncias. Devido ao contexto em que ocorrem, podem mudar a impressão dos usuários daquela informação e ter um efeito significativo nas suas decisões”, explicou.
A auditoria baseada em risco não é um novo tipo de auditoria, afirmou Carvalho. "É uma abordagem que utiliza, para a definição do escopo, natureza, época e extensão dos procedimentos adicionais de auditoria, o propósito de reduzir o risco de emitir opinião ou conclusão inadequada às circunstâncias do trabalho", definiu. Na apresentação, ele também classificou os componentes do risco dividindo-os em risco da gestão e risco que o auditor controla.
O diretor exibiu um fluxograma de procedimentos preliminares de avaliação de risco nos níveis geral e específico. "Todas as etapas desenvolvidas no gerenciamento do risco da auditoria precisam ser feitas com ceticismo, julgamento profissional e devido zelo", alertou.
Carvalho mostrou uma visão geral de como o processo de avaliação de risco se integra ao de auditoria, para que ela se denomine auditoria baseada em risco. Também identificou os riscos inerentes e os controles existentes para os riscos inerentes. "É uma abordagem que utiliza a avaliação de risco para estabelecer vários filtros ao longo do processo de auditoria de maneira a torná-la mais eficiente, mais eficaz no que diz respeito ao alcance dos objetivos e, portanto, proporciona mais segurança para o auditor expressar suas conclusões e, certamente, vai proporcionar mais confiança ao ser descrita a metodologia, inclusive no relatório, para os usuários daquela informação. E mais ainda, vai proporcionar que o usuário da informação tenha mais acertos, menos custos nas suas tomadas de decisões e, consequentemente, mais segurança para o auditor", finalizou.
A mediadora Helen Steffen destacou que o projeto "Tardes de Conhecimento" ainda vai realizar mais oito encontros. A iniciativa tem como base o programa de formação de auditores elaborado pela AudTCMSP, com foco no seu primeiro pilar que é o processo de auditoria.
Confira a cobertura da primeira edição aqui.
A transmissão completa da segunda edição segue abaixo:
Fonte: Tribunal de Contas do Município de São Paulo (com adaptações)