Auditoria interna na visão de gestão

Diferença entre auditoria interna e auditoria externa

Auditoria interna e auditoria externa têm propósitos, públicos e escopos distintos. Confundi-las leva a expectativas erradas — e a subutilizar o que cada uma oferece.

Auditoria interna serve à gestão e ao conselho. É uma função contínua (não um evento anual), com foco em processos, controles e riscos operacionais. Avalia se a empresa está fazendo o que definiu que faria — se os controles existentes são adequados e se estão sendo seguidos. Pode ser exercida por equipe própria ou terceirizada (co-sourcing). O relatório da auditoria interna vai para a gestão e para o conselho — não é público.

Auditoria externa serve aos acionistas e stakeholders externos. É periódica (tipicamente anual), com foco nas demonstrações financeiras. Emite opinião sobre se as demonstrações financeiras representam adequadamente a situação da empresa, conforme as normas contábeis aplicáveis. O relatório da auditoria externa é público em empresas de capital aberto e compartilhado com stakeholders externos relevantes em empresas fechadas que contratam o serviço. É obrigatória para S.A. abertas e em alguns outros casos regulatórios.

Em termos práticos para o gestor administrativo: a auditoria externa vai olhar para os números — e vai pedir evidências dos controles que suportam esses números. A auditoria interna vai olhar para os controles — e vai ajudá-lo a identificar o que precisa melhorar antes que a auditoria externa (ou um incidente) revele.

O modelo das três linhas de defesa

O modelo das três linhas de defesa, desenvolvido e atualizado pelo IIA (Institute of Internal Auditors), é a estrutura mais utilizada para entender como os diferentes papéis de uma organização se relacionam no controle de riscos. O modelo define que cada linha tem responsabilidades distintas e complementares — e que nenhuma substitui a outra.

O gestor administrativo opera predominantemente na 1ª e 2ª linha — executa controles e define políticas. A auditoria interna, na 3ª linha, avalia o trabalho das duas primeiras. A independência da 3ª linha em relação às duas primeiras é o que garante que a revisão é objetiva.

O que a auditoria interna avalia

A auditoria interna não avalia apenas se os números estão certos — avalia se os processos que geram os números são confiáveis. O escopo típico de uma auditoria interna em uma empresa de médio porte inclui:

1. Adequação dos controles: os controles existentes são suficientes para mitigar os riscos identificados? Há processos críticos sem controle adequado?
2. Cumprimento de políticas: as políticas escritas estão sendo seguidas na prática? Há desvios sistemáticos ou pontuais?
3. Integridade dos registros: os lançamentos no sistema são corretos, completos e feitos em tempo hábil? Há divergências entre o que o sistema mostra e o que realmente aconteceu?
4. Eficiência dos processos: os processos têm etapas redundantes, gargalos ou desperdícios que podem ser eliminados sem comprometer o controle?
5. Conformidade: os processos seguem as leis, regulamentos e obrigações contratuais aplicáveis?

O que o gestor deve preparar para uma auditoria

O gestor administrativo que se prepara antes da auditoria vai levar muito menos tempo respondendo a perguntas durante o processo — e vai receber um relatório mais preciso, porque o auditor não desperdiçará tempo buscando evidências que deveriam estar organizadas.

1. Documentação dos processos: fluxogramas ou descrições escritas dos processos que serão auditados — como funciona o processo de aprovação de pagamentos, como é feita a conciliação bancária, como o cadastro de fornecedores é gerido.
2. Evidências de controles: para cada controle relevante, ter disponível um conjunto de evidências do período — aprovações registradas (e-mail, sistema, assinatura), conciliações realizadas, conferências de nota fiscal, revisões periódicas de acesso. Evidências demonstram que o controle aconteceu, não apenas que existe.
3. Lista de exceções conhecidas: se há situações em que o controle não foi seguido por razão documentada, listar proativamente. O auditor vai encontrar — e uma exceção documentada e gerenciada é muito menos preocupante do que uma exceção descoberta sem explicação.
4. Políticas e normas em versão atual: ter disponível a versão vigente de cada política relevante para o escopo da auditoria, com data de aprovação e aprovador identificado.
5. Acesso a sistemas e dados do período: garantir que o auditor terá acesso aos sistemas necessários (em modo de leitura) e aos dados do período sob auditoria.

Como ler e usar o relatório da auditoria interna

O relatório da auditoria interna é mais útil do que muitos gestores percebem — mas só quando é lido como instrumento de melhoria, não como julgamento. A estrutura típica inclui elementos que o gestor deve saber interpretar.

Elementos do relatório:

• Escopo: o que foi auditado, o período coberto e o que não foi incluído. Permite avaliar o que o relatório cobre — e o que não cobre.
• Metodologia: como a auditoria foi conduzida — entrevistas, testes de controle, análise de amostra de transações. Contextualize os achados pela metodologia usada.
• Achados: situações identificadas que representam risco ou desvio. Cada achado tem um critério (o que deveria ser), uma condição (o que foi encontrado), uma causa (por que a condição existe) e um efeito (qual o risco ou impacto).
• Classificação por gravidade: crítico (risco imediato, ação urgente), alto (risco significativo, ação no curto prazo), médio (risco moderado, ação no médio prazo), baixo (oportunidade de melhoria). A priorização do plano de ação começa pela gravidade.
• Recomendações: o que a auditoria sugere para cada achado. Recomendações são pontos de partida — o gestor pode propor alternativas que atendam ao mesmo objetivo de controle.

Como montar e acompanhar o plano de ação

O plano de ação é onde o valor da auditoria interna é realizado — ou não. Um relatório com achados relevantes e um plano de ação que nunca é implementado é o pior resultado possível: a empresa gastou tempo e dinheiro na auditoria sem endereçar os riscos identificados.

1. Designar responsável para cada achado: o responsável é quem vai implementar a ação corretiva — não quem vai coordenar, mas quem vai executar. Responsabilidades difusas não são implementadas.
2. Definir prazo realista: prazo muito curto gera implementação superficial; prazo muito longo posterga indefinidamente. Achados críticos: até 30 dias. Achados altos: até 90 dias. Achados médios: até 180 dias.
3. Definir a evidência de encerramento: como o responsável vai demonstrar que a ação foi implementada — política atualizada, perfil de acesso revisado, processo documentado, controle operando com evidência por dois ciclos consecutivos.
4. Monitorar o andamento: o gestor administrativo acompanha o progresso quinzenal ou mensal, identifica bloqueios e escala quando necessário. O monitoramento é responsabilidade do gestor — não da auditoria interna.
5. Reportar o fechamento: quando o achado é fechado (evidência de encerramento disponível), o gestor comunica à auditoria interna (ou ao comitê responsável) para que o item seja encerrado formalmente.

O que acontece quando o prazo não é cumprido: o gestor registra o motivo do atraso e propõe novo prazo com justificativa. A recorrência de prazos não cumpridos sem justificativa é, em si, um achado de monitoramento — e é tratada como tal pela auditoria interna na próxima revisão.