top of page
Buscar

Auditoria Interna na Prática: Uma Visão Baseada em Experiência

Normas Internacionais e Contexto Regulatório da Auditoria


As auditorias independentes seguem, em âmbito global, as International Standards on Auditing (ISAs), que estabelecem princípios e procedimentos destinados a assegurar a fidedignidade das demonstrações financeiras. As ISAs são emitidas pelo International Auditing and Assurance Standards Board (IAASB), órgão vinculado à International Federation of Accountants (IFAC), responsável pela governança global das normas de auditoria.


No Brasil, essas normas são adotadas por meio das Normas Brasileiras de Contabilidade – Técnicas de Auditoria (NBC TAs), emitidas pelo Conselho Federal de Contabilidade (CFC), em processo de convergência com o padrão internacional.


Diferentemente da auditoria independente, que segue normas internacionais de aplicação obrigatória em diversos países, a auditoria interna se orienta predominantemente pelas diretrizes emitidas pelo Institute of Internal Auditors (IIA).


O principal conjunto normativo do IIA é o International Professional Practices Framework (IPPF), que reúne princípios fundamentais, código de ética e padrões internacionais para a prática profissional da auditoria interna. Esse arcabouço é amplamente reconhecido como referência global de boas práticas, mas, em regra, não possui caráter legal ou regulatório compulsório. Trata-se, portanto, de um framework orientador, e não de um conjunto de deliberações mandatórias.


Essa característica explica por que nem todos os países e organizações adotam integralmente as normas do IIA. Em muitos contextos, especialmente fora de mercados altamente regulados, as entidades avaliam que determinadas recomendações não se ajustam plenamente ao seu modelo de negócio, à sua estrutura organizacional ou às particularidades regionais e culturais. Assim, a aplicação do IPPF tende a variar conforme o grau de maturidade da governança, o setor de atuação e o apetite a risco da organização.


No Brasil, as diretrizes do IIA são amplamente aceitas e utilizadas como benchmark técnico, tanto no setor privado quanto no setor público. Empresas de grande porte, instituições financeiras, estatais e órgãos governamentais costumam adotar os padrões do IIA como referência para a estruturação de suas áreas de auditoria interna, inclusive como sinalização de boas práticas de governança e controle.


Entretanto, observa-se, na prática, que a aplicação integral do IPPF ainda representa um desafio em organizações de todo o mundo. Muitas entidades adotam apenas parte das recomendações, complementando-as com metodologias próprias, procedimentos internos e adaptações específicas à sua realidade operacional. Esse modelo híbrido, quando bem estruturado, não representa necessariamente uma fragilidade; ao contrário, pode refletir uma abordagem pragmática, orientada à efetividade e à geração de valor.


O ponto crítico não reside na adesão formal e absoluta às normas do IIA, mas na coerência metodológica, na independência funcional da auditoria interna e no alinhamento de suas atividades com a governança corporativa. Desde que esses princípios sejam preservados, a customização das práticas de auditoria interna é não apenas aceitável, como frequentemente recomendável.


Em síntese, o IIA deve ser compreendido como um guia internacional de excelência, e não como um regulador impositivo. A adoção parcial ou adaptada de suas diretrizes é uma realidade comum no mercado brasileiro e internacional, refletindo a necessidade de equilibrar padrões globais com as especificidades de cada organização. O verdadeiro valor da auditoria interna reside menos na conformidade formal e mais em sua capacidade de contribuir, de forma independente e objetiva, para a melhoria contínua dos processos, controles e da governança.

 

Abordagem Prática do Processo de Auditoria Interna


À luz da experiência acumulada ao longo da atuação em auditoria interna e consultoria, abrangendo diferentes setores e portes de organizações, pretendo, aqui, compartilhar um passo a passo prático do processo de auditoria interna. Trata-se de uma visão construída a partir da vivência em inúmeros trabalhos, que nem sempre se encontra formalizada nos manuais ou frameworks tradicionais.


Não há aqui a intenção de criticar ou hierarquizar métodos, uma vez que se parte do pressuposto de que a auditoria interna deve se adaptar às características da organização e do setor em que está inserida, e não o contrário. Nesse contexto, coexistem diversas abordagens válidas, todas potencialmente ricas em resultados quando bem aplicadas e alinhadas à governança da entidade.

 

Plano de Auditoria versus Planejamento de Auditoria


Inicialmente, é necessário alinhar três conceitos fundamentais em auditoria interna: o Plano de Auditoria, o Planejamento da Auditoria e o Programa de Auditoria.


O Plano de Auditoria é um instrumento de natureza estratégica que define, em nível macro, o escopo, os objetivos, os riscos e a alocação geral de recursos da função de auditoria, normalmente com horizonte anual ou plurianual, com base na avaliação de riscos da organização.


O Planejamento da Auditoria refere-se à etapa de definição, em nível do trabalho específico, do escopo, dos objetivos, da abordagem, dos riscos relevantes e dos recursos necessários para a execução da auditoria, servindo como base para a estruturação dos trabalhos.


Já o Programa de Auditoria é o documento de caráter operacional que detalha os procedimentos de auditoria a serem executados, os testes a serem aplicados, os prazos, os responsáveis e as evidências esperadas, orientando a execução prática dos trabalhos.

Em termos práticos, o Plano de Auditoria define o que será auditado, o Planejamento da Auditoria estabelece como o trabalho será estruturado, e o Programa de Auditoria descreve como os procedimentos serão executados.


Este artigo tem como objetivo abordar o Planejamento da Auditoria e o Programa de Auditoria, destacando suas funções e inter-relações no processo de auditoria interna. A discussão sobre o Plano de Auditoria, por envolver uma perspectiva mais estratégica, será desenvolvida em um texto futuro.

 

Política e Manual de Auditoria Interna


Antes do início dos trabalhos de campo, é recomendável que a área de auditoria interna disponha de uma política ou manual de procedimentos formalmente aprovado por instância decisória competente, como comitê de auditoria, conselho fiscal ou conselho de administração.


Esse documento deve estabelecer, de forma clara, o passo a passo para a elaboração do Plano de Auditoria, do Planejamento de Auditoria e do Programa de Auditoria. Algumas informações consideradas vitais devem estar explicitadas, tais como:


  • critérios para a elaboração do Plano de Auditoria

  • a metodologia de definição de amostras a serem testadas, considerando uma abordagem tradicional de auditoria, com pouco ou nenhum uso de ferramentas de análise de dados;

  • os critérios para definição e destaque dos achados de auditoria, seja com base em valores financeiros, exposição ao risco ou outros fatores relevantes;

  • a metodologia de classificação dos relatórios de auditoria.


Não existe um modelo único ou pré-concebido para a classificação dos relatórios, mas esta deve estar associada a critérios objetivos, como materialidade, exposição ao risco e impacto potencial. A classificação confere relevância ao trabalho da auditoria, sendo comum que apenas relatórios classificados como de risco elevado sejam encaminhados integralmente ao comitê de auditoria ou a outros órgãos de governança.

 

Planejamento do Trabalho de Auditoria


No planejamento de um trabalho de auditoria interna, recomenda-se a utilização de um checklist mínimo de atividades preliminares, que inclua:

  • análise das normas e políticas internas;

  • revisão do histórico de auditorias anteriores;

  • avaliação do status de follow-up das recomendações;

  • consideração de indicadores contextuais relevantes, como níveis de rotatividade de pessoal na área auditada.

Nesse momento, o auditor responsável deve obter conhecimento aprofundado do processo a ser auditado, analisando todos os materiais disponíveis, incluindo:

 

Riscos Associados ao Processo


Em organizações com maior maturidade em gestão de riscos, deve-se avaliar a Matriz de Riscos e Controles, identificar os principais riscos e incluir testes específicos para validar a efetividade dos controles associados.


A gestão de riscos costuma ser estruturada com base em frameworks consolidados, com destaque para o COSO ERM (Enterprise Risk Management), amplamente utilizado por integrar riscos à estratégia, governança e desempenho; a ISO 31000, que oferece abordagem mais flexível e o COSO – Controles Internos, que complementa o COSO ERM ao conectar riscos aos controles. Esses referenciais sustentam a elaboração de matrizes de riscos bem estruturadas, capazes de apoiar decisões, priorizar esforços e refletir a realidade operacional.


Meu entendimento é que a auditoria interna não deve ser planejada exclusivamente com base na Matriz de Riscos da empresa. Quando isso ocorre, corre-se o risco de reduzir o papel do auditor interno a um mero testador de controles. Além disso, esse instrumento só deve ser utilizado como principal referência quando a gestão de riscos da organização for madura, estruturada e submetida a revisões periódicas.


Defendo a adoção de uma abordagem mista, que considere os riscos formalmente mapeados, mas que também incorpore outros elementos relevantes, como o conhecimento técnico e a experiência do auditor, o histórico de auditorias anteriores, indicadores operacionais, mudanças no ambiente de negócios e demais informações disponíveis. Essa combinação amplia a qualidade do planejamento e torna a auditoria mais aderente à realidade da organização

 

Regulamentação Aplicável aos Processos


Nem todos os processos estão sujeitos a regulamentação específica, o que varia conforme o setor, o porte da organização e a existência de órgãos reguladores.


 Entretanto, alguns processos são tradicionalmente críticos no contexto da auditoria interna:

  • Contábil, Financeiro e Societário: Leis societárias (Lei nº 6.404/76), IFRS/CPC, regras de divulgação e controles sobre demonstrações financeiras;

  • Fiscal e Tributário: legislação tributária, obrigações acessórias (SPED, EFD, ECF), planejamento tributário e contingências;

  • Recursos Humanos e Folha de Pagamento: CLT, acordos coletivos, eSocial, encargos e saúde e segurança do trabalho;

  • Compras e Gestão de Fornecedores: Lei nº 14.133/2021 (setor público), regras de contratação e compliance de terceiros;

  • Compliance, Ética e Integridade: Lei nº 12.846/2013 (Lei Anticorrupção);

  • Proteção de Dados e Segurança da Informação: LGPD – Lei nº 13.709/2018;

  • Operações Reguladas: Banco Central, CVM, ANVISA, ANS, ANEEL, ANATEL, SUSEP, PREVIC, etc.

  • Ambiental, Saúde e Segurança (ESG/EHS): licenças ambientais e normas de segurança do trabalho.


Para a auditoria interna, o ponto central não é o domínio total da legislação, mas a capacidade de identificar onde estão os riscos regulatórios relevantes e avaliar se os controles existem, funcionam e estão alinhados à estratégia e ao apetite a risco da organização.

Nesta etapa um aspecto muito importante é avaliar se a empresa já recebeu algum tipo de autuação, multas ou questionamentos de órgãos de regulação ou fiscalização, deve-se avaliar o que motivou tais processos e avaliar a importância dentro do planejamento dos trabalhos de auditoria.


Havendo regulamentação ou legislação específica aplicável, recomenda-se, como boa prática de auditoria, que os principais requisitos sejam consolidados em forma de checklist, ao qual deve ser associado um teste de auditoria, com o objetivo de verificar a aderência do processo em execução à legislação vigente.

 

Normas e Procedimentos Internos


O acesso e a análise das normas, políticas e procedimentos internos são etapas fundamentais do planejamento. Esses documentos constituem a primeira linha formal de controle e refletem o apetite a risco, as diretrizes de governança e as expectativas da alta administração.


A inexistência ou fragilidade dessas normas, por si só, já representa um risco relevante e deve ser apontado pela auditoria interna.


A leitura desses documentos é um insumo valioso no processo de construção do programa de auditoria.

 

Histórico de Auditorias e Follow-up


A análise de relatórios de auditorias anteriores fornece visão histórica dos riscos identificados, das fragilidades recorrentes e do grau de maturidade dos controles.


De forma complementar, a avaliação do follow-up das recomendações permite verificar se os planos de ação foram implementados, se estão em atraso ou pendentes, funcionando como importante indicador de governança e comprometimento da administração.

 

Histórico de Auditorias Independentes


O objetivo principal da auditoria independente é emitir uma opinião profissional e independente sobre se as demonstrações contábeis da empresa foram elaboradas, em todos os aspectos relevantes, de acordo com o arcabouço contábil aplicável (no Brasil, principalmente CPC/IFRS).


Ao realizar auditorias em áreas como tesouraria, financeiro, contábil, controladoria e compras, a análise do relatório do auditor independente pode representar uma excelente prática. Esse documento frequentemente destaca processos que, sob a ótica da auditoria externa, configuram fragilidades ou pontos de atenção, cabendo ao auditor interno avaliar a pertinência e a aplicabilidade dessas observações no Programa de Auditoria Interna.


Ressalte-se que não se trata de reproduzir ou substituir o trabalho da auditoria independente, mas de utilizar suas conclusões como insumo para o aprimoramento do planejamento e da definição dos testes de auditoria.

 

Indicadores Contextuais: Rotatividade de Pessoal


Aqui vai uma dica: indicadores de turnover podem ser considerados como elemento complementar à avaliação do ambiente de controle. Embora não sejam objeto central da auditoria interna, níveis elevados de rotatividade, especialmente em áreas críticas, funcionam como red flags, podendo sinalizar falhas de gestão, ausência de processos estruturados, dependência excessiva de conhecimento tácito, fragilidade na segregação de funções e riscos de descontinuidade operacional.

 

Walkthrough do Processo


O walkthrough do processo, realizado em conjunto com o process owner, assume papel central no planejamento do trabalho ao permitir o entendimento do fluxo operacional, dos riscos inerentes e dos controles existentes, bem como a validação entre o desenho formal do processo e sua execução prática.


Embora esteja primordialmente inserido na fase de planejamento, o walkthrough pode e deve ser aprofundado na fase de execução sempre que a complexidade do processo ou a identificação de exceções relevantes assim o justificar.

 

Aprovação do Planejamento do Trabalho de Auditoria Interna


Com base nas informações e definições estabelecidas na fase de Planejamento da Auditoria Interna, compete ao auditor responsável a elaboração do Programa de Auditoria, instrumento de natureza operacional que detalha os procedimentos e testes de auditoria, os critérios de amostragem, a documentação e evidências requeridas, bem como sua vinculação aos riscos previamente mapeados.


A elaboração do Programa de Auditoria deve ser conduzida por auditor com experiência técnica adequada, preferencialmente aquele que executará ou supervisionará a aplicação dos testes, de modo a assegurar consistência entre o planejamento, a execução e os objetivos do trabalho.


A validação do Programa de Auditoria deve ocorrer em conjunto com a coordenação ou gerência da Auditoria Interna, em processo colaborativo, e não meramente hierárquico, de forma a fortalecer a qualidade técnica e a aderência do programa aos objetivos do trabalho. O conhecimento prévio do auditor agrega valor ao processo, porém não substitui a necessidade de uma análise atualizada do contexto, considerando que processos, riscos e controles evoluem ao longo do tempo

 

Execução do Programa de Auditoria Interna


A execução da Auditoria Interna consiste na aplicação prática dos procedimentos e testes definidos no Programa de Auditoria, elaborados a partir das diretrizes estabelecidas no Planejamento do trabalho, com o objetivo de obter evidências de auditoria suficientes, apropriadas e confiáveis que sustentem as conclusões e recomendações apresentadas.


Trata-se da fase em que o auditor testa a efetividade dos controles, avalia a aderência às normas internas e externas aplicáveis e valida, na prática, os riscos previamente mapeados, podendo, inclusive, demandar ajustes no Programa de Auditoria diante de novos achados relevantes.


A execução deve ser conduzida de forma estruturada, disciplinada e alinhada ao escopo aprovado, observando os princípios de independência, objetividade, confidencialidade e ceticismo profissional.

 

Reunião de Abertura (Kick-off)


A execução dos trabalhos de auditoria interna deve ser precedidos, preferencialmente, por uma Reunião de Abertura (kick-off) com o responsável pela área auditada (process owner) e, quando aplicável, com membros-chave da equipe envolvida no processo.


Essa reunião tem como objetivos principais:


  • Reafirmar o objetivo, o escopo e o cronograma da auditoria em curso;

  • Alinhar expectativas quanto à disponibilidade de informações, documentos e interlocutores;

  • Reforçar o papel da auditoria interna como uma função independente, orientada à melhoria dos processos e ao fortalecimento dos controles, e não como uma atividade punitiva;

  • Validar os canais de comunicação, pontos focais e formas de interação ao longo do trabalho.


Do ponto de vista da governança, essa etapa é fundamental para reduzir ruídos de comunicação, mitigar resistências iniciais e aumentar a eficiência da execução dos trabalhos.

Entretanto, sob a ótica da gestão de stakeholders, surge uma preocupação recorrente: o fato de o auditor realizar um walkthrough do processo ainda na fase de planejamento, antes mesmo da realização formal da Reunião de Abertura, o que pode gerar desconforto nos responsáveis pela área auditada.


É importante deixar um ponto muito claro: não é o walkthrough que gera desconforto; o que gera desconforto é a ausência de enquadramento institucional. Ou seja, o problema não está na etapa em si, mas na forma como ela é apresentada, comunicada e formalizada.


Do ponto de vista do process owner, a realização de interações prévias sem comunicação formal pode gerar percepções indesejadas, como:


  • “Já estão auditando sem me avisar”;

  • “Estão procurando problemas”;

  • “Isso vai virar achado de auditoria?”;

  • “Por que ninguém comunicou oficialmente?”.


A solução para esse potencial ruído não passa por eliminar o walkthrough do planejamento, o que, do ponto de vista técnico, seria um retrocesso, mas por fazer uma distinção conceitual clara e bem comunicada.


Walkthrough não é auditoria. Trata-se de uma etapa de levantamento e entendimento inicial do processo. Nenhum framework relevante, seja o COSO, o IPPF ou outras boas práticas reconhecidas pressupõe que o auditor só possa compreender o processo após o kick-off formal. Pelo contrário, esses referenciais partem do princípio de que o entendimento prévio do processo é condição necessária para um planejamento adequado e para a definição de testes eficazes.


Portanto, o erro não está em realizar o walkthrough na fase de planejamento, mas em fazê-lo sem o devido enquadramento institucional.


Como boa prática, antes da realização do walkthrough, recomenda-se que o auditor responsável faça uma comunicação formal à área auditada, informando que:


  • O processo foi incluído no Plano Anual de Auditoria ou no Plano de Auditoria vigente;

  • Haverá uma fase inicial de entendimento do processo;

  • Essa etapa não corresponde à fase de testes ou de avaliação formal.


Essa comunicação pode assumir diferentes formatos, conforme a cultura e a estrutura de governança da organização, como:


  • Um e-mail institucional;

  • Um memorando simples;

  • Um aviso ou registro no sistema de governança.


Também é importante deixar explícito que o walkthrough realizado na fase de planejamento possui caráter exploratório e não avaliativo, sendo destinado exclusivamente à compreensão do fluxo do processo, dos riscos e dos controles existentes, sem emissão de juízo, classificação ou conclusão de auditoria.


Nesse momento, recomenda-se ainda solicitar à área auditada a indicação dos contatos chave que participarão do walkthrough. Essa prática contribui para envolver os responsáveis pelo processo desde o início, conferir legitimidade à etapa e dar à área espaço de participação e decisão.


Por fim, durante a Reunião de Abertura (kick-off), é boa prática reforçar que houve essa fase inicial de entendimento, agradecer formalmente o empenho e a colaboração dos envolvidos e destacar como essas interações contribuíram para um planejamento mais aderente à realidade operacional. Além de fortalecer o relacionamento, essa postura demonstra que a auditoria interna atua como parceira estratégica, e não como um ente externo e desconectado do processo.


Ainda na Reunião de Abertura, uma pergunta simples, mas poderosa, deve ser dirigida aos participantes: existe alguma preocupação relevante ou ponto sensível que, na visão da área, mereça a atenção da auditoria interna? Essa abordagem alinha expectativas, amplia a visão de riscos e traz os gestores para dentro do processo de auditoria, reforçando o caráter colaborativo e orientado à melhoria contínua.


Por fim, durante a Reunião de Abertura, é importante informar que haverá uma solicitação inicial de documentos e informações para o início dos trabalhos de auditoria interna. Deve-se deixar claro que essa solicitação tem caráter preliminar e que poderá ser complementada ao longo da fase de execução, à medida que os testes forem sendo realizados e novas necessidades forem identificadas.


Nessa ocasião, recomenda-se também alinhar, de forma objetiva, os prazos para atendimento das solicitações, de modo a garantir previsibilidade, organização e eficiência na condução dos trabalhos.


Outro fator relevante é o alinhamento de uma agenda periódica, preferencialmente semanal, com o responsável pela área auditada (process owner). Nessas reuniões, devem ser compartilhados eventuais achados preliminares, percepções do auditor e possíveis dificuldades encontradas durante a execução dos trabalhos. Esses encontros são fundamentais para garantir transparência, promover o alinhamento contínuo e assegurar que os envolvidos acompanhem a evolução da auditoria, sentindo-se efetivamente inseridos no processo.

 

Aplicação dos Procedimentos de Auditoria

 

Nesta etapa, o auditor responsável e sua equipe, literalmente, colocam a mão na massa.


Com base no programa de trabalho, devem ser executados os procedimentos previamente definidos, que podem incluir, entre outros:


  • Novas entrevistas com os responsáveis pelos processos;

  • Inspeção de documentos, registros e sistemas;

  • Observação direta da execução das atividades;

  • Avaliação de controles;

  • Testes de aderência e de efetividade operacional;

  • Testes substantivos, quando aplicável.

 

Essa fase é crucial, pois constitui a base empírica de todo o trabalho de auditoria interna. Por esse motivo, é fundamental que haja previsibilidade quanto ao início e ao término de cada procedimento, de forma a garantir o cumprimento do cronograma previamente aprovado.


Quando aplicável, as amostras solicitadas para suportar os testes devem seguir metodologia previamente definida e documentada na Política ou no Procedimento de Auditoria Interna. Caso os resultados obtidos a partir das amostras sejam inconclusivos, novas amostras poderão ser solicitadas ou, conforme o caso, a limitação identificada poderá ser tratada como um achado de auditoria.

 

Gestão e Qualidade das Evidências de Auditoria


A qualidade de um trabalho de auditoria interna está diretamente relacionada à qualidade das evidências obtidas. Durante a fase de execução, o auditor deve assegurar que as evidências coletadas sejam:


  • Suficientes: em quantidade adequada para sustentar as conclusões alcançadas;

  • Apropriadas: relevantes, confiáveis e consistentes com os objetivos do teste;

  • Rastreáveis: claramente vinculadas aos procedimentos e testes realizados;

  • Documentadas: registradas de forma clara, objetiva e organizada nos papéis de trabalho.


Nesse ponto, merece destaque um elemento fundamental do processo de auditoria: os papéis de trabalho. Todos os testes executados devem estar devidamente documentados, de modo a permitir a compreensão do passo a passo adotado, das premissas utilizadas, das ponderações realizadas e dos achados identificados. Os papéis de trabalho constituem o registro técnico que sustenta as conclusões da auditoria.


Esses documentos possuem caráter confidencial e devem ser tratados exclusivamente no âmbito da auditoria interna, não devendo, em hipótese alguma, ser anexados ao relatório final. Após a elaboração pelo auditor responsável, os papéis de trabalho devem ser submetidos à revisão e aprovação pela gestão da área de auditoria interna, esse processo deve ser documentado. Somente após esse processo de validação é que os achados considerados relevantes do ponto de vista estratégico ou de risco serão incorporados ao Relatório Final de Auditoria Interna.


Importante destacar que, independentemente de sua relevância para o relatório final, todas as considerações, evidências e achados devem constar nos papéis de trabalho, garantindo a integridade, a rastreabilidade e a robustez técnica do trabalho.


Deve-se tomar cuidado que os papéis de trabalho sejam uniformes, ou seja, todos os auditores devem utilizar o mesmo modelo, evitando distorções.

 

Avaliação Contínua de Riscos e Ajustes no Escopo

 

Embora o planejamento estabeleça o escopo inicial, a execução dos trabalhos pode revelar riscos e situações não identificados previamente, fragilidades adicionais ou mudanças relevantes no processo.


Nesses casos, o auditor deve exercer julgamento profissional e, quando necessário:

 

  • Ajustar a extensão dos testes;

  • Incluir procedimentos adicionais;

  • Revisar a avaliação de risco do trabalho.

 

Alterações relevantes no escopo devem ser discutidas e validadas com a coordenação ou gerência da auditoria interna, garantindo alinhamento e rastreabilidade das decisões.

Planejamento orienta, mas não engessa.

 

Reuniões de Alinhamento e Comunicação


Durante a fase de execução dos trabalhos, é recomendável que o auditor responsável mantenha reuniões periódicas de alinhamento com o responsável pela área auditada (process owner). Nessas reuniões, devem ser compartilhadas percepções preliminares, pontos de atenção identificados ao longo dos testes e, quando aplicável, achados preliminares relacionados a riscos relevantes ou fragilidades significativas de controle.


A periodicidade ideal dessas reuniões é semanal, podendo ser ajustada conforme as necessidades da organização. Mesmo na ausência de achados relevantes, é recomendável que os encontros ocorram, pois permitem à equipe de auditoria apresentar um breve status da execução dos procedimentos, esclarecer eventuais dúvidas e alinhar expectativas quanto ao andamento dos trabalhos e à previsão de conclusão do escopo inicialmente definido.


Tais reuniões devem ser curtas e objetivas, não ultrapassando meia hora.


Essa comunicação tempestiva e contínua traz benefícios importantes, tais como:


  • Possibilitar esclarecimentos e validação factual ainda durante a execução;

  • Reduzir o risco de surpresas na fase de elaboração e apresentação do relatório final;

  • Promover um ambiente mais colaborativo, transparente e orientado à solução.


Além disso, essas reuniões criam um espaço estruturado para que os responsáveis pelo processo também possam expor suas dúvidas, preocupações ou percepções relevantes, contribuindo para uma visão mais completa dos riscos e do contexto operacional.


Em termos práticos, auditoria que se comunica apenas no relatório final, na maioria das vezes, comunica tarde demais.

 

Postura Profissional, Ética e Ceticismo do Auditor

 

Nunca é demais tratar desse tema. Ao longo de toda a execução dos trabalhos, o auditor deve manter uma postura profissional, independente, ética, sigilosa e permanentemente cética. Isso significa atuar com objetividade, sem preconceitos ou julgamentos prévios, mas também sem assumir, de forma automática, que controles existem ou funcionam adequadamente apenas porque estão formalmente documentados.


Em auditoria interna, entendimentos não se baseiam em suposições, percepções pessoais ou boa-fé presumida, mas em evidências suficientes, apropriadas e verificáveis. O papel do auditor não é desconfiar de tudo, tampouco confiar cegamente, mas confirmar, de forma técnica e estruturada, aquilo que é declarado, demonstrado ou informado.


Como regra prática: Confiar, sim. Confirmar, sempre.


Nesse contexto, o auditor deve estar atento a sinais que merecem maior aprofundamento, tais como:

 

  • Inconsistências entre o discurso dos responsáveis e a prática observada;

  • Evidências excessivamente “perfeitas” ou produzidas apenas para fins de auditoria;

  • Dependência excessiva de controles manuais ou de conhecimento tácito;

  • Resistências, atrasos injustificados ou seletividade no fornecimento de informações;

  • Falta de rastreabilidade ou fragilidade na documentação de suporte.

 

Outro aspecto inegociável dessa postura é o sigilo profissional. As informações obtidas durante os trabalhos de auditoria interna são confidenciais e devem ser tratadas exclusivamente no âmbito da função de auditoria. O auditor não deve, em hipótese alguma, compartilhar dados, conclusões, percepções ou achados com pessoas externas à auditoria interna ou fora dos canais formais de governança estabelecidos.


Já tomei conhecimento de situações em que auditores, durante almoços ou momentos informais com colegas, comentaram aspectos de auditorias em curso. O problema se agrava quando essas conversas ocorrem em ambientes públicos, onde profissionais de outras áreas — ou até da própria área auditada — podem ouvir, interpretar parcialmente as informações e repassá-las à gestão da empresa. Fato esse que, infelizente, ocorreu.


Esse tipo de conduta representa uma quebra grave de sigilo e de ética profissional, ainda que não intencional. Informações de auditoria fora de contexto, disseminadas informalmente, podem gerar ruídos, desgastes desnecessários, interpretações equivocadas e comprometer a credibilidade do trabalho e da própria função de auditoria interna.


Momentos de pausa, como o almoço, devem ser utilizados para desligamento, conversas triviais e convivência social — nunca para tratar de assuntos profissionais, muito menos de auditorias em andamento. A ética e o sigilo não se suspendem fora da sala de reunião ou do horário formal de trabalho.


Em auditoria interna, a confidencialidade é inegociável. Uma única conversa fora de lugar pode colocar em risco não apenas um trabalho específico, mas a confiança institucional construída ao longo de anos.


A quebra de confidencialidade compromete não apenas o trabalho específico, mas a credibilidade da auditoria interna como um todo. Confiança institucional é construída com técnica, independência e ética — e pode ser perdida com uma única conversa fora de contexto.


Em síntese, a postura profissional do auditor é tão relevante quanto os procedimentos aplicados. Sem ceticismo, evidência e sigilo, não há auditoria robusta, por mais sofisticadas que sejam as metodologias utilizadas.

 

Encerramento da Fase de Execução


Concluída a aplicação dos procedimentos de auditoria, cabe ao auditor consolidar os resultados dos testes realizados, avaliar a relevância dos achados identificados, classificar os riscos conforme a metodologia adotada e preparar os insumos necessários para a fase de finalização e elaboração do Relatório de Auditoria Interna.


Nesse momento, o alinhamento com a gestão da área de auditoria interna é fundamental. A discussão dos principais pontos, percepções e conclusões preliminares permite validar entendimentos, avaliar a suficiência das evidências e assegurar que nenhum aspecto relevante do escopo tenha ficado de fora dos trabalhos.


A fase de execução se encerra quando o auditor dispõe de evidências suficientes e apropriadas para sustentar suas conclusões — e não simplesmente quando o cronograma indica o término das atividades. O prazo é um direcionador importante, mas a qualidade e a robustez do trabalho são inegociáveis.


É a partir desse ponto que se inicia a elaboração do principal produto da auditoria interna: o Relatório de Auditoria Interna, a chamada “cereja do bolo”, responsável por transformar testes, evidências e análises técnicas em mensagens claras, relevantes e acionáveis para a administração e os órgãos de governança.

 

Fase de Finalização da Auditoria Interna


A fase de finalização representa a consolidação de todo o trabalho realizado ao longo do planejamento e da execução da auditoria interna. É nesse momento que análises, evidências, julgamentos profissionais e achados são organizados, validados internamente e traduzidos em um produto final estruturado, claro e direcionado à tomada de decisão pelos diferentes níveis de governança.


Trata-se de uma etapa tão crítica quanto a execução dos testes: um trabalho tecnicamente bem executado pode perder valor se não for adequadamente finalizado, documentado e comunicado.


Reunião Final com a Equipe de Auditoria


Como primeiro passo, eu recomendo a realização de uma reunião interna de fechamento com toda a equipe de auditoria. Em uma oportunidade recente, o gestor da área de Auditoria Interna, recomendava que fizéssemos tal reunião, antes do envio do Relatório de Auditoria para sua revisão e aprovação e os resultados eram excelentes. O objetivo é discutir, de forma estruturada, os achados que efetivamente irão compor o Relatório de Auditoria Interna, avaliando sua relevância, materialidade, criticidade e aderência à metodologia da área.


Como primeiro passo, recomenda-se a realização de uma reunião interna de fechamento com

Essa reunião permite:


  • Alinhar entendimentos entre os auditores;

  • Garantir consistência nos julgamentos;

  • Evitar redundâncias ou lacunas;

  • Assegurar que os achados estejam suportados por evidências suficientes e apropriadas.


É, em essência, um “controle de qualidade” interno antes da formalização do relatório.


Organização e Guarda da Documentação


Outro ponto fundamental dessa fase é a organização de todo o acervo documental produzido e recebido durante os trabalhos: evidências, amostras, documentos encaminhados pela área auditada, registros de entrevistas, extrações de sistemas e, sobretudo, os papéis de trabalho.


Esse material deve ser:


  • Organizado de forma padronizada;

  • Armazenado em local seguro;

  • Preferencialmente em meio digital;

  • Em pastas restritas e sigilosas da área de auditoria interna.


A padronização é indispensável. Em auditorias maduras, outros auditores podem, em diferentes momentos, consultar trabalhos anteriores — seja para fins de follow-up, revisões de qualidade ou auditorias correlatas. Tudo deve estar claro, rastreável e facilmente compreensível, mesmo para quem não participou diretamente do trabalho.


Organização documental não é zelo excessivo: é governança.

 

Reunião de fechamento da auditoria


Na fase de encerramento da auditoria, destaca-se a realização da reunião de fechamento com os process owners e demais partes envolvidas, cujo objetivo é apresentar e discutir, de forma estruturada e transparente, os achados preliminares, as conclusões, os riscos associados e as recomendações que irão compor o relatório de auditoria.


Essa reunião tem caráter essencialmente técnico e colaborativo, permitindo o alinhamento de entendimentos, a validação de fatos e evidências, bem como a manifestação dos responsáveis pelos processos auditados quanto às causas, planos de ação e prazos propostos. Trata-se de etapa fundamental para assegurar a qualidade, a consistência e a aderência do relatório final à realidade operacional da organização.

 

Elaboração do Relatório de Auditoria Interna


A elaboração do Relatório de Auditoria Interna é, sem exageros, uma das etapas mais sensíveis e estratégicas de todo o processo.


Os achados a serem incluídos devem seguir critérios claros, definidos na metodologia da área de auditoria interna, considerando risco, impacto, recorrência e relevância estratégica. Nem tudo o que foi observado vira achado — maturidade também é saber o que deixar de fora.


O modelo de relatório deve ser padronizado, garantindo consistência entre trabalhos, e sua redação deve observar boas práticas de comunicação:


  • Linguagem objetiva e clara;

  • Evitar jargões excessivamente técnicos;

  • Considerar que o relatório será lido por públicos distintos: gestores, executivos, conselhos e comitês — e não apenas por auditores;

  • Atenção rigorosa à gramática, ortografia e coerência textual.


Boa prática de escrita: recomenda-se o uso da terceira pessoa, em tom impessoal e institucional, evitando construções excessivamente personalizadas (“entendemos”, “verificamos”) e priorizando formas como “foi identificado”, “observou-se”, “constatou-se”. Isso reforça objetividade, profissionalismo e imparcialidade.


As recomendações devem ser factíveis, proporcionais ao risco e orientadas à causa raiz, evitando soluções genéricas ou inexequíveis.

 

Revisão, Aprovação e Envio para os Responsáveis pelo Processo


Após a elaboração, o relatório deve passar por revisão técnica e aprovação formal da gestão da área de auditoria interna. Somente após esse rito o documento deve ser encaminhado aos responsáveis pelos processos auditados para ciência e indicação dos respectivos planos de ação e prazos.


É importante reforçar um ponto conceitual relevante: os responsáveis pelo processo não possuem alçada para alterar o conteúdo do relatório, salvo nos casos em que apresentem evidências objetivas que justifiquem correções factuais.


A definição do plano de ação e do prazo é responsabilidade dos gestores do processo. Contudo, cabe à auditoria interna avaliar criticamente se:


  • As ações propostas são suficientes para mitigar o risco;

  • Atacam a causa raiz do problema;

  • Os prazos são exequíveis.


Havendo dúvidas, inconsistências ou fragilidades, a auditoria deve questionar, solicitar ajustes ou, se necessário, rejeitar o plano apresentado. Independência não se negocia.

 

Encaminhamento às Instâncias de Governança


Com o relatório finalizado, revisado, aprovado e com os planos de ação formalizados, ele deve seguir os trâmites institucionais da organização, sendo encaminhado às instâncias de governança pertinentes, como Comitê de Ética, Conselho Fiscal e Conselho de Administração, conforme aplicável.


Nesse momento, o trabalho deixa de ser apenas técnico e passa a cumprir seu papel maior: subsidiar decisões, fortalecer controles e apoiar a perenidade da organização.

Auditoria interna bem finalizada não é burocracia — é entrega de valor.

 

Follow-up dos Planos de Ação


O trabalho de auditoria interna ainda não se encerra com a emissão do Relatório de Auditoria. A fase de follow-up dos planos de ação é o passo natural para garantir que as recomendações emitidas sejam, de fato, implementadas, fechando o ciclo da auditoria interna de forma elegante, madura e orientada a resultados.


Nessa etapa, as recomendações, os respectivos planos de ação, prazos e responsáveis devem ser incluídos em um controle formal de acompanhamento (follow-up), que pode ser sistêmico ou manual — desde que seja estruturado, atualizado e confiável. Mais importante do que a ferramenta é a disciplina de acompanhamento.


Todos os procedimentos relacionados ao follow-up devem estar claramente definidos na Política ou no Procedimento de Auditoria Interna, incluindo, entre outros aspectos:


  • metodologia de acompanhamento;

  • critérios para solicitação e aprovação de prorrogações de prazo;

  • tratamento de atrasos ou não cumprimento;

  • registro de alterações nos planos de ação originalmente aprovados;

  • critérios de validação da efetiva implementação das ações.


Uma boa prática, já observada em empresas com governança mais madura, é atrelar o cumprimento dos planos de ação aos mecanismos de avaliação de desempenho e remuneração variável dos gestores e colaboradores da área auditada, quando aplicável. Essa abordagem fortalece o senso de responsabilidade, reduz recorrências e reforça a cultura de accountability.


Os acompanhamentos dos follow-ups em aberto devem ser realizados de forma periódica, conforme a criticidade dos riscos envolvidos. Os resultados desse acompanhamento — status, atrasos, riscos residuais e eventuais pontos de atenção — devem ser consolidados e reportados à diretoria e aos órgãos de governança da companhia, como comitês, conselho fiscal ou conselho de administração.


Mais do que “cobrar prazos”, o follow-up bem executado permite avaliar se as ações implementadas realmente mitigaram os riscos identificados. Quando isso não ocorre, cabe à auditoria interna questionar, solicitar ajustes ou, se necessário, reescalar o tema à alta administração.


Auditoria que não acompanha plano de ação entrega diagnóstico. Auditoria que faz follow-up entrega transformação.

 

Avaliação dos Trabalhos de Auditoria Interna


Ao final dos trabalhos, é fundamental que a área de auditoria interna realize uma avaliação da qualidade da execução da auditoria realizada. Essa prática, inclusive, está alinhada às diretrizes do IPPF (International Professional Practices Framework) e representa um importante instrumento de aprimoramento contínuo da função.


Essa avaliação, preferencialmente respondida pelos responsáveis pelo processo auditado e, quando aplicável, por outros interlocutores que participaram do trabalho, deve abranger aspectos que vão além dos achados propriamente ditos. Entre os fatores normalmente avaliados, destacam-se:


  • Clareza na comunicação do objetivo, escopo e cronograma da auditoria;

  • Postura profissional, ética e independente da equipe de auditoria;

  • Conhecimento técnico e entendimento do processo auditado;

  • Qualidade das interações, entrevistas e reuniões de alinhamento;

  • Adequação dos prazos e da condução dos trabalhos;

  • Clareza, objetividade e utilidade das recomendações apresentadas.


Os resultados dessa avaliação não devem, em hipótese alguma, ser utilizados com caráter punitivo. Seu propósito é alinhar expectativas, ajustar abordagens, revisar métodos e fortalecer a atuação da auditoria interna como parceira da gestão e da governança.


Quando bem utilizada, essa avaliação fornece insumos valiosos para a melhoria dos processos internos da própria auditoria, para o desenvolvimento da equipe e para o aumento da credibilidade e efetividade da função ao longo do tempo.


Se a sua área de auditoria interna ainda não realiza, está na hora de pensar a respeito.

Auditoria madura não é apenas a que avalia — é também a que se permite ser avaliada.

 

Aspectos Finais


Ao longo da minha trajetória profissional, aprendi que a auditoria interna dispõe, sim, de frameworks sólidos, consolidados e amplamente reconhecidos, que devem ser utilizados como base para a atuação da função. No entanto, sua aplicação não pode ser automática ou acrítica. É fundamental considerar o porte da empresa, sua cultura organizacional, o setor em que atua e suas particularidades operacionais. Sempre que possível, esses frameworks precisam ser “tropicalizados”, adaptados à realidade do negócio, para que façam sentido e gerem valor.


Não existe receita pronta. O processo de auditoria interna, como qualquer outro processo corporativo, deve ser revisitado periodicamente, preferencialmente de forma anual. As melhores práticas evoluem, os riscos mudam, os modelos de negócio se transformam — e a auditoria interna precisa acompanhar esse movimento, absorvendo o que há de mais relevante e descartando o que já não agrega.


Outro ponto essencial é compreender que a auditoria interna deixou, há muito tempo, de ser vista apenas como centro de custo. Hoje, ela ocupa um papel estratégico dentro das organizações. Não há governança efetiva sem uma auditoria interna atuante, independente e tecnicamente preparada, capaz de enxergar o negócio de forma ampla, sistêmica e holística.

A cadeira do auditor exige múltiplos conhecimentos. Finanças, contabilidade, controles internos, gestão de riscos, economia, direito, sustentabilidade, legislação, tecnologia — a lista é extensa. O auditor precisa ser generalista em conceitos e fundamentos, ao mesmo tempo em que desenvolve especialização em determinados temas-chave, conforme o contexto da organização. Essa combinação é o que permite análises mais consistentes e recomendações mais aplicáveis.


Cada vez mais, a auditoria interna deve manter uma relação próxima e integrada com outras funções de governança, como gestão de riscos, controles internos e compliance. Essa proximidade não significa perda de independência, mas sim troca de insights, alinhamento de expectativas e fortalecimento do sistema de governança como um todo — sempre com base no sigilo, na ética e no profissionalismo.


No passado, vivi situações em que, como auditor, eu era formalmente proibido de almoçar com outros colaboradores da empresa. Essa visão excessivamente burocrática e, em muitos casos, arcaica, precisa ficar no passado. O auditor interno é, antes de tudo, um colaborador da organização. Não deve ser tratado como um corpo estranho à cultura corporativa. Não há qualquer problema em almoçar, criar laços profissionais ou manter relações saudáveis no ambiente de trabalho, desde que os princípios de ética, independência e confidencialidade profissional sejam rigorosamente preservados.


Por fim, deixo um ensinamento que sempre me acompanhou na auditoria. O termo “auditoria” deriva do latim audire, que significa “ouvir”. Na Idade Média, especialmente na Grã-Bretanha, os contadores liam as contas em voz alta para que fossem ouvidas e verificadas, principalmente com o objetivo de identificar fraudes. Séculos depois, a auditoria evoluiu, tornou-se muito mais ampla e sofisticada, indo muito além da simples constatação de fraudes. Ainda assim, um elemento essencial permanece: saber ouvir.


Não apenas na auditoria, mas em qualquer área do conhecimento, lidar com temas sensíveis, conflitos, riscos e decisões complexas exige escuta ativa. Criticar sem ouvir, formar juízos sem compreender os diferentes pontos de vista e desconsiderar contextos não é postura profissional, tampouco ética. Além de frequentemente ser percebido como arrogância, esse comportamento aumenta significativamente a probabilidade de erro.


Se há algo que a auditoria interna ensina, é isso: precisamos ouvir mais.


Há quem diga, em tom de brincadeira, que auditores não costumam despertar simpatia. Talvez isso fizesse sentido no passado. Hoje, a auditoria que gera valor é aquela que constrói diálogo, promove melhorias e contribui efetivamente para a maturidade da organização.



 

Fontes:

  • International Auditing and Assurance Standards Board – IAASB (IFAC). Disponível em: https://www.iaasb.org

  • Conselho Federal de Contabilidade – Normas Brasileiras de Contabilidade (NBC TAs). Disponível em: https://www.cfc.org.br

  • IInstitute of Internal Auditors (IIA) — International Professional Practices Framework (IPPF). Disponível em: https://www.theiia.org

 

Posts recentes

Ver tudo
bottom of page