Você está aqui: Página Inicial > Acesso à Informação > Perguntas frequentes > Auditoria e Fiscalização > Plano Anual de Auditoria Interna (PAINT) e Relatório Anual de Atividades de Auditoria Interna (RAINT)

Plano Anual de Auditoria Interna (PAINT) e Relatório Anual de Atividades de Auditoria Interna (RAINT)

por ASCOM publicado 26/11/2015 15h15, última modificação 11/10/2016 10h13

Perguntas e Respostas - Instrução Normativa CGU nº 24, de 17 de novembro de 2015
PAINT e RAINT 

 

1) A Instrução Normativa (IN) nº 24/2015 revogou apenas a IN nº 07/2006. A IN nº 01/2007, a qual estabelece o conteúdo do Plano Anual de Auditoria Interna (PAINT) e do Relatório Anual de Atividades de Auditoria Interna (RAINT), ainda deve ser considerada?

2) Quais unidades deverão elaborar e apresentar o PAINT e o RAINT?

3) Considerando que a Instrução Normativa nº 24/2015 foi publicada após o prazo anterior para apresentação, aos órgãos de controle interno, da proposta do PAINT de 2016, haverá necessidade de substituição do documento encaminhado?

4) O próximo Relatório Anual de Atividades de Auditoria Interna (RAINT), relativo ao exercício de 2015, deverá ser elaborado conforme orienta a IN nº 24/2015?

5) Qual a finalidade do PAINT?

6) Quais são os principais prazos constantes na IN nº 24/2015 relacionados ao PAINT?

7) Com a elaboração e aprovação do PAINT, a unidade de Auditoria Interna da Administração Pública Indireta e Direta não necessitará elaborar nenhum outro planejamento, ou seja, é suficiente a elaboração do PAINT para a realização das atividades da unidade de Auditoria Interna durante o exercício subsequente?

8) Como a IN n° 24/2015 orienta a avaliação, pela auditoria interna, dos controles internos da gestão?

9) Qual a referência a ser utilizada para a elaboração do RAINT?

10) É possível realizar auditorias que não estejam previstas no PAINT?

11) Quanto tempo após a finalização de cada trabalho de auditoria o respectivo Órgão de Controle Interno deve ser informado?

12) Quais são os principais prazos constantes na IN nº 24/2015 relacionados ao RAINT?

13) Com relação ao Monitoramento da implementação das recomendações emitidas, qual a periodicidade para a emissão de relatórios gerenciais?

14) Quais recomendações devem ser consideradas para fins de atendimento ao inciso VII do artigo 15 da IN CGU nº 24/2015, apenas aquelas emitidas pela unidade de auditoria interna, ou também as emitidas pelos órgãos de controle interno e externo, conselhos ou outros órgãos ou entidades de regulação e fiscalização? 

15) Nos termos do artigo 16 da IN CGU nº 24/2015, o RAINT deve ser aprovado pelo Conselho de Administração ou instância de atribuição equivalente ou, em sua falta, ao dirigente máximo da organização?

16) Para fins de atendimento ao artigo 17 da IN CGU nº 24/2015, devem ser consideradas apenas as recomendações, stricto sensu, expedidas pela unidade de auditoria interna, pelos órgãos de controle interno e externo, conselhos ou outros órgãos ou entidades de regulação e fiscalização?

17) Quais critérios devem ser considerados para fins de atendimento ao artigo 19 da IN CGU nº 24/2015, no que diz respeito à publicação do RAINT e ao resguardo da informação sigilosa?

18) A IN CGU nº 24/2015 estabeleceu escopos obrigatórios para os trabalhos das unidades de Auditoria Interna?

19) Nos termos da Instrução Normativa CGU no 24/2015, a seleção dos macroprocessos ou temas a serem trabalhados no exercício seguinte pelas Unidades de Auditoria Interna (Audin) deve ser definida a partir de uma avaliação de risco. Quais ações são necessárias para a realização dessa avaliação?

 



1) A Instrução Normativa (IN) nº 24/2015 revogou apenas a IN nº 07/2006. A IN nº 01/2007, a qual estabelece o conteúdo do Plano Anual de Auditoria Interna (PAINT) e do Relatório Anual de Atividades de Auditoria Interna (RAINT), ainda deve ser considerada?

Resposta: Não. A IN nº 01/2007 foi revogada por meio da IN nº 06, de 19/11/2015, publicada no Diário Oficial da União em 20/11/2015.

Voltar ao topo

 


2) Quais unidades deverão elaborar e apresentar o PAINT e o RAINT ?

Resposta: O PAINT e o RAINT deverão ser apresentados pelas unidades de auditoria interna da administração pública federal indireta e direta (nesse último caso, quando houver) sujeitas à orientação normativa e supervisão técnica do Órgão Central e dos órgãos setoriais do Sistema de Controle Interno do Poder Executivo Federal.

Voltar ao topo

 


3) Considerando que a Instrução Normativa nº 24/2015 foi publicada após o prazo anterior para apresentação, aos órgãos de controle interno, da proposta do PAINT de 2016, haverá necessidade de substituição do documento encaminhado?

Resposta: Não. Considerando que os PAINT do exercício de 2016 já haviam sido apresentados quando da publicação da IN nº 24/2015, não deverão ser substituídos.

Voltar ao topo

 


4) O próximo Relatório Anual de Atividades de Auditoria Interna (RAINT), relativo ao exercício de 2015, deverá ser elaborado conforme orienta a IN nº 24/2015?

Resposta: É desejável que o RAINT do exercício de 2015 já observe as diretrizes da nova IN, tendo obviamente como objeto de referência o PAINT de 2015. Contudo, considerando que estaremos em um período de transição, não há óbices à elaboração desse relatório no formato e de acordo com os conteúdos previstos nas normas anteriores.

Para o RAINT do exercício de 2016, contudo, considera-se imprescindível a elaboração nos termos da IN nº 24/2015.

Importante observar que, quanto ao prazo, a apresentação do RAINT do exercício de 2015 deve observar a IN nº 24/2015.

 

Voltar ao topo

 


5) Qual a finalidade do PAINT?

Resposta: Definir temas e macroprocessos que serão trabalhados pelas unidades de auditoria interna da administração pública federal indireta e direta no exercício seguinte ao de sua elaboração.

Voltar ao topo

 


6) Quais são os principais prazos constantes na IN nº 24/2015 relacionados ao PAINT?

Resposta:

PAINT


Unidade


Ação


Data

Mudou em Relação ao
Normativo Anterior? 
Auditoria Interna da Administração
Pública Indireta e Direta
Apresentação prévia ao Órgão de Controle Interno Último dia útil de outubro do exercício anterior à execução Não
Órgão de Controle Interno Manifestação do Órgão de Controle Interno sobre a prévia do PAINT 15 dias úteis após o recebimento Sim
Conselho de Administração ou
a instância equivalente ou, inexistindo, o dirigente máximo do órgão ou entidade
Aprovação definitiva do PAINT  Último dia útil de dezembro do exercício anterior à execução Não
Auditoria Interna da Administração Pública Indireta e Direta Encaminhamento do PAINT aprovado ao Órgão de Controle Interno e ao Conselho de Administração da entidade ou equivalente Último dia útil de fevereiro do exercício relativo à execução Sim

 

Voltar ao topo

 


7) Com a elaboração e aprovação do PAINT, a unidade de Auditoria Interna da Administração Pública Indireta e Direta não necessitará elaborar nenhum outro planejamento, ou seja, é suficiente a elaboração do PAINT para a realização das atividades da unidade de Auditoria Interna durante o exercício subsequente?

Resposta: Não. Após a aprovação do PAINT, a unidade de auditoria interna deverá elaborar, ao longo da sua execução, o planejamento operacional dos seus trabalhos de auditoria, o qual definirá os objetivos, o escopo, o prazo, as questões de auditoria e a alocação de recursos necessários para cada trabalho.

Voltar ao topo

 


8) Como a IN n° 24/2015 orienta a avaliação, pela auditoria interna, dos controles internos da gestão?

Resposta: Para efetuar a avaliação dos controles internos, as unidades de auditoria interna deverão adotar as melhores práticas, considerando, no mínimo, os seguintes componentes: ambiente de controle, avaliação de riscos, atividades de controle, informação e comunicação e atividades de monitoramento.

Voltar ao topo

 


9) Qual a referência a ser utilizada para a elaboração do RAINT?

Resposta: O PAINT aprovado no exercício anterior.

Voltar ao topo

 


10) É possível realizar auditorias que não estejam previstas no PAINT?

Resposta: Sim, todavia, o RAINT deverá conter a motivação para a execução do trabalho não previsto no PAINT.

Voltar ao topo

 


11) Quanto tempo após a finalização de cada trabalho de auditoria o respectivo Órgão de Controle Interno deve ser informado?

Resposta: As unidades de auditoria interna deverão informar ao respectivo órgão de controle interno, preferencialmente em meio eletrônico, a finalização de cada relatório de auditoria em até 30 (trinta) dias após sua conclusão. Importante observar que, diferentemente do normativo anterior, não haverá necessidade de encaminhar o relatório. Caso haja necessidade, o órgão de controle interno o requisitará.

Voltar ao topo

 


12) Quais são os principais prazos constantes na IN nº 24/2015 relacionados ao RAINT?

Resposta:

RAINT


Unidade


Ação


Data

Mudou em Relação ao
Normativo Anterior? 
Auditoria Interna da Administração
Pública Indireta e Direta
Apresentação do RAINT ao Órgão de Controle Interno, após apreciação pelo Conselho de Administração ou equivalente Último dia útil de fevereiro do exercício subsequente à execução

 

Sim

Publicação do RAINT na Internet Em até 30 dias após a conclusão, devem ser publicados na página do órgão ou entidade na internet em local de fácil acesso Sim
(Não havia previsão) 

O RAINT do exercício de 2015 já deverá observar as diretrizes da IN nº 24/2015 quanto à necessidade de publicação na internet.

Voltar ao topo

 


13) Com relação ao Monitoramento da implementação das recomendações emitidas, qual a periodicidade para a emissão de relatórios gerenciais?

Resposta:  Mensalmente, a unidade de auditoria interna deverá apresentar ao Conselho de administração ou à instância de atribuição equivalente ou, em sua falta, ao dirigente máximo da organização, relatório gerencial sobre a situação das recomendações expedidas pela própria auditoria interna, pelos órgãos de controle interno e externo e, quando for o caso, pelo Conselho Fiscal, pelo Conselho de Administração ou por outros órgãos ou entidades de regulação e fiscalização.

A definição do prazo mínimo mensal para essa apresentação tem a finalidade de garantir que a auditoria interna tenha uma agenda sistemática de interlocução com o Conselho de Administração ou instância equivalente no órgão ou entidade. A definição sobre o escopo desses relatórios mensais poderá ser feita pela Unidade de Auditoria, não sendo imperativo que a cada mês a totalidade das recomendações expedidas seja objeto de informação ao Conselho. Assim, por exemplo, num determinado mês a unidade de auditoria interna poderá preparar relatório gerencial ao Conselho sobre as recomendações expedidas para uma determinada área da entidade, enquanto noutro mês poderá concentrar-se em outra área.

Deverão constar dos relatórios gerenciais as justificativas para não implementação ou implementação parcial de recomendação, além do prazo para atendimento.

Esses relatórios deverão ficar disponíveis aos órgãos de controle.

Voltar ao topo

 



14) Quais recomendações devem ser consideradas para fins de atendimento ao inciso VII do artigo 15 da IN CGU nº 24/2015, apenas aquelas emitidas pela unidade de auditoria interna, ou também as emitidas pelos órgãos de controle interno e externo, conselhos ou outros órgãos ou entidades de regulação e fiscalização?


Resposta: Considerando que o artigo 15 da IN CGU nº 24/2015 dispõe sobre o Relatório Anual de Atividades de Auditoria Interna (RAINT), devem ser consideradas, para fins de atendimento do inciso VII, as recomendações emitidas pela própria unidade de auditoria interna. Assim, a expectativa é que neste item do RAINT seja evidenciado o grau de atendimento dos gestores às recomendações formuladas pela auditoria interna.

Voltar ao topo

 


15) Nos termos do artigo 16 da IN CGU nº 24/2015, o RAINT deve ser aprovado pelo Conselho de Administração ou instância de atribuição equivalente ou, em sua falta, ao dirigente máximo da organização?


Resposta: Não. O artigo 16 menciona o termo “apreciação”, o qual não deve ser confundido com aprovação, e sim ciência por parte do Conselho acerca dos resultados dos trabalhos da auditoria interna.

Essa ciência pode ser demonstrada por meio da inclusão do tema em reunião do Conselho, com o respectivo registro em ata. Na impossibilidade de realização de reunião até o prazo para envio ao órgão de controle interno, a demonstração pode ser feita, por exemplo, apenas por meio da pauta, ou de previsão da inclusão em pauta com envio do relatório para os membros do Conselho.

Considerando o objetivo das unidades de auditoria interna de gerar valor para as organizações, bem como a responsabilidade envolvida nos trabalhos realizados, é fundamental que o Conselho de Administração (ou instância de atribuição equivalente) se aproprie dos resultados alcançados, das dificuldades enfrentadas pela auditoria interna, e das demais informações constantes no RAINT. Dessa forma, o atendimento ao artigo 16 da IN CGU nº 24/2015 não deve ocorrer apenas de forma formal, com o intuito de demonstrar a apreciação aos órgãos de controle interno. O importante em relação a esse artigo é a necessária comunicação e interação da auditoria interna com o Conselho.

Voltar ao topo


16) Para fins de atendimento ao artigo 17 da IN CGU nº 24/2015, devem ser consideradas apenas as recomendações, stricto sensu, expedidas pela unidade de auditoria interna, pelos órgãos de controle interno e externo, conselhos ou outros órgãos ou entidades de regulação e fiscalização?


Resposta: Não. O termo “recomendações” deve ser entendido em sentido amplo, alcançando todas as comunicações que demandem ações dos gestores para mitigar eventual risco, sanar irregularidade ou apurar responsabilidade, tal como ocorre, por exemplo, em relação às recomendações emitidas pela CGU e determinações do Tribunal de Contas da União.

Vale salientar, entretanto, que não é competência da unidade de auditoria interna responder aos órgãos de controle em nome da Gestão, oferecendo justificativas quanto às recomendações desses órgãos. É a própria Gestão, por meio das instâncias devidas, que deve relacionar-se e responder aos questionamentos dos órgãos de controle e apresentar informações e justificativas demandadas por tais órgãos.

Voltar ao topo

17) Quais critérios devem ser considerados para fins de atendimento ao artigo 19 da IN CGU nº 24/2015, no que diz respeito à publicação do RAINT e ao resguardo da informação sigilosa?

Resposta: A Lei 12.527/2011 (Lei de Acesso à Informação), no artigo 4º, incisos III e IV, dispõe que informação sigilosa é aquela submetida temporariamente à restrição de acesso público em razão da sua imprescindibilidade para a segurança da sociedade e do Estado, e que informação pessoal é aquela relacionada à pessoa natural identificada ou identificável.

Cumpre destacar ainda que, conforme artigo 22 da referida Lei, esse normativo não exclui as demais hipóteses legais de sigilo e de segredo de justiça, nem as hipóteses de segredo industrial decorrentes da exploração direta de atividade econômica pelo Estado ou por pessoa física ou entidade privada que tenha qualquer vínculo com o poder público.

Assim, para fins de atendimento ao art. 19 da IN CGU nº 24/2015, antes da publicação, devem ser suprimidas do RAINT informações pessoais, informações classificadas nos termos da Lei 12.527/2011 e informações submetidas a sigilo por meio de legislação específica.

Sugere-se que as informações a serem suprimidas sejam substituídas por uma das seguintes afirmações, conforme o caso:

  • “ Informações suprimidas por possuírem caráter pessoal”;
  • “Informações suprimidas com base na Lei 12.527/2011, conforme Termo de Classificação de Informação – TCI nº xxx”;
  • “Informações suprimidas em função de sigilo, na forma da Lei nº xxx” (nesse caso, é imprescindível a indicação expressa da Lei que embasou o sigilo).


Maiores informações relacionadas à Lei 12.527/2011 podem ser encontradas no seguinte link: http://www.acessoainformacao.gov.br/perguntas-frequentes.

Voltar ao topo

 

18) A IN CGU nº 24/2015 estabeleceu escopos obrigatórios para os trabalhos das unidades de Auditoria Interna?

Resposta: Não. Conforme estabelecido no Capítulo I da IN CGU nº 24/2015, a unidade de Auditoria Interna, ao elaborar o PAINT, deve levar em consideração os itens elencados no art. 3º e realizar avaliação dos riscos que podem vir a afetar os objetivos do órgão ou entidade.

Com base no art. 3º, deverão ser considerados o planejamento estratégico, a estrutura de governança, o programa de integridade e o gerenciamento de riscos corporativos, os controles existentes, os planos, as metas, os objetivos específicos, os programas e as políticas do respectivo órgão ou entidade.

Na avaliação dos riscos, a unidade de Auditoria Interna classificará, com base em fatores de riscos selecionados, os temas ou macroprocessos do órgão ou entidade passíveis de avaliação, e selecionará aqueles itens a serem trabalhados no exercício seguinte.

Nesse sentido, o escopo de todos os trabalhos a serem incluídos no PAINT será específico para cada unidade de Auditoria Interna, visto que decorrente da realidade particular do respectivo órgão ou entidade.

Voltar ao topo

 

19) Nos termos da Instrução Normativa CGU no 24/2015, a seleção dos macroprocessos ou temas a serem trabalhados no exercício seguinte pelas Unidades de Auditoria Interna (Audin) deve ser definida a partir de uma avaliação de risco. Quais ações são necessárias para a realização dessa avaliação?

Para realização da avaliação de riscos, são necessárias as seguintes ações, entre outras consideradas importantes pela Audin:

a) Levantamento de macroprocessos ou temas do órgão/entidade passíveis de serem trabalhados (universo auditável).

Esse levantamento demanda o conhecimento, por parte da Unidade de Auditoria Interna, do negócio do órgão/entidade (missão, visão, valores, planejamento estratégico, objetivos, estrutura organizacional, políticas, controles internos, gerenciamento de riscos, perspectivas de mudanças, entre outros).
As atividades desenvolvidas nessa etapa podem incluir, a depender da abordagem utilizada pela Audin, entrevistas com os gestores chave da organização ou envio de questionários/formulários a esses atores, para levantamento de expectativas e entendimento das áreas, dos processos e dos principais objetivos relacionados. Também podem ser levantados os principais riscos identificados pelos gestores e a infraestrutura tecnológica disponível para realização das atividades e gestão das informações.

b) Avaliação dos riscos associados aos macroprocessos ou temas do órgão/entidade auditáveis:

b.1) Inicialmente devem ser definidos critérios que representem os riscos associados aos macroprocessos ou temas auditáveis (fatores de risco).
Não existe uma metodologia específica para essa definição. A Audin deve estabelecer os fatores de risco que considere mais adequados à realidade da organização e para os quais seja possível realizar o levantamento de informações.
Alguns exemplos de fatores de risco passíveis de serem considerados na avaliação são: materialidade (volume de recursos geridos); qualidade e aderência aos controles; o tempo e os resultados dos últimos trabalhos de auditoria (por parte da Audin e dos órgãos de controle interno e externo); relevância para o atingimento dos objetivos da organização; quantidade de denúncias recebidas pela Ouvidoria; quantidade de recomendações (da Audin e dos órgãos de controle interno e externo) pendentes de atendimento; capacidade dos recursos humanos e tecnológicos disponíveis; estabilidade do processo; alterações relevantes (procedimentos, gestores, sistemas, etc), entre outros.
Para que seja possível a contabilização conjunta dos critérios definidos, a Audin pode defini-los a partir de escalas de avaliação (exemplo: 1 – muito baixo; 2 – baixo; 3 – moderado; 4 – alto; e 5 – muito alto), ou utilizar outras técnicas que permitam a uniformização das unidades de medida dos critérios definidos.

b.2) A Audin deve distribuir os macroprocessos ou temas auditáveis em uma matriz de risco, proceder à avaliação de cada um deles utilizando os critérios definidos, e contabilizar a sua pontuação.
Não há um padrão estabelecido para a matriz de riscos a ser apresentada no PAINT, sendo que sua estrutura poderá variar conforme cada auditoria interna considerar mais adequado para a apresentação das informações.
Ainda, a IN CGU nº 24/2015 faz menção à apresentação do resultado da análise dos riscos em termos de impacto e probabilidade. No entanto, a Audin não necessariamente precisa estabelecer metodologia que contemple os critérios (ou fatores de risco) nessas duas dimensões. A metodologia adotada pela Audin pode contemplar um único índice, a ser utilizado para priorizar os macroprocessos ou temas finalísticos.

b.3) A partir da pontuação obtida por cada um dos macroprocessos ou temas auditáveis, a Audin deverá classificá-los em ordem de criticidade.

b.4) Para possibilitar a avaliação da análise de riscos realizada, é fundamental que a Audin descreva de forma clara as definições dos critérios utilizados.

b.5) Caso haja fatores de riscos que não possam ser associados a todos os macroprocessos auditáveis (exemplo: materialidade, uma vez que nem todos os processos possuem um valor monetário atribuído), a Audin pode realizar avaliações separadamente, consolidando os resultados em uma ou mais matrizes de riscos.

c) Definição dos macroprocessos ou temas que serão trabalhados no exercício seguinte:

A partir da classificação obtida, e considerando o prazo disponível para realização dos trabalhos (1 ano), os recursos disponíveis e os objetivos dos trabalhos, a Audin deve definir quais macroprocessos ou temas serão objeto de avaliação no exercício seguinte.