Resolução 620 (CJF/STJ)/2020

Superior Tribunal de Justiça

Conselho da Justiça Federal

Resolução nº 620, de 12 de fevereiro de 2020

Dispõe sobre a aprovação do Estatuto de Atividade de Auditoria Interna do Conselho e da Justiça Federal de primeiro e segundo graus.

O Presidente do Conselho da Justiça Federal, no uso de suas atribuições legais, e tendo em vista o aprovado nos autos do Processo SEI n. 0002933-88.2019.4.90.8000, na sessão realizada em 10/2/2020,

Considerando que, nos termos do art. 3º da Lei n. 11.798, de 29 de outubro de 2008, dentre as atividades que necessitam de coordenação central e padronização no âmbito do Conselho e da Justiça Federal de primeiro e segundo graus está o controle interno, o que abrange a auditoria interna como terceira linha de defesa;

Considerando os termos da Resolução n. 171/2013 do Conselho Nacional de Justiça;

Considerando os termos da Resolução n. 86/2009 do Conselho Nacional de Justiça;

Considerando os termos da Resolução n. 85/2009 do Conselho da Justiça Federal ;

Considerando os termos do Parecer n. 2/2013 do Conselho Nacional de Justiça;, resolve:

Art. 1º Aprovar, na forma do Anexo a esta Resolução, o Estatuto de Atividade de Auditoria Interna do Conselho e da Justiça Federal de primeiro e segundo graus, que estabelece os princípios, as diretrizes e os requisitos fundamentais para o desempenho da atividade de auditoria interna.

Art. 2º As disposições desta Resolução devem ser observadas pelos órgãos e unidades que integram o Sistema de Controle Interno da Justiça Federal, instituído pela Lei n. 11.798/2008, e disciplinado pela Resolução nº 85, de 11 de dezembro de 2009, do Conselho da Justiça Federal, conforme prevê o art. 74 da Constituição Federal.

Art. 3º O Presidente do Conselho da Justiça Federal, ouvido o Comitê Técnico de Controle Interno da Justiça Federal-CTCI, poderá aprovar modificações no Estatuto de que trata esta Resolução.

Art. 4º Esta Resolução entra em vigor em 180 (cento e oitenta) dias da data de sua publicação.

Art. 5º Fica revogada a Resolução n. 362, de 30 de março de 2004 e demais disposições em contrário.

Ministro João Otávio de Noronha

Anexo Conselho da Justiça Federal

Estatuto da atividade de auditoria interna do Conselho e da Justiça Federal de Primeiro e Segundo Graus

Resolução n. 620/2020 - CJF C JF-2020

Sumário

CAPÍTULO I - Propósito e Abrangência da Auditoria Interna

Seção I - Propósito

Seção II - Abrangência

Primeira linha de defesa

Segunda linha de defesa

Terceira linha de defesa

CAPÍTULO II - SISTEMA DE CONTROLE INTERNO

Seção I - Organização e Estrutura

Seção II - Articulação Interinstitucional

CAPÍTULO III - PRINCÍPIOS E REQUISITOS ÉTICOS

Seção I - Princípios Fundamentais para a Prática da Atividade de Auditoria

Interna

Seção II - Requisitos Éticos

Integridade e Comportamento

Autonomia Técnica e Objetividade

Autonomia técnica

Objetividade

Sigilo Profissional

Proficiência e Zelo Profissional

Proficiência

Zelo Profissional

CAPÍTULO IV - GERENCIAMENTO DA ATIVIDADE DE AUDITORIA INTERNA

Seção I - Objetivos dos Trabalhos

Governança

Gerenciamento de Riscos

Controles Internos da Gestão

Seção II - Planejamento, Comunicação e Aprovação do Plano de Auditoria de Longo Prazo (PALP) e do Plano Anual de Auditoria

Planejamento

Comunicação e Aprovação

Gerenciamento de Recursos

Políticas, Procedimentos e Coordenação

Reporte para a Alta Administração

Seção III - Gestão e Melhoria da Qualidade

Glossário

Introdução

As diretrizes para o exercício do controle no âmbito da Administração Pública remontam à edição do Decreto-Lei nº 200, de 25 de fevereiro de 1967, que, ao defini-lo como princípio fundamental para o exercício de todas as atividades da Administração Federal, aplicado em todos os níveis e em todos os órgãos e entidades, segmentou-o em três linhas (ou camadas) básicas de atuação na busca pela aplicação eficiente, eficaz e efetiva dos recursos. Como consequência, verifica-se que o controle é exercido em diversos ambientes normativos e culturais, quais sejam: a gestão operacional; a supervisão e o monitoramento; e a auditoria interna.

No âmbito dos sistemas de atividades auxiliares, o normativo também determina a organização sistêmica da atividade de auditoria interna, a ser exercida junto a órgãos e entidades que variam em propósito, tamanho, complexidade e estrutura e que detém quadros funcionais compostos por indivíduos com diferentes níveis de conhecimento e de experiência. Essa organização sistêmica está sujeita à orientação normativa, à supervisão técnica e à fiscalização específica pelo órgão central do sistema.

Uma vez que essa diversidade pode influenciar a prática do controle em cada ambiente, a utilização de princípios, conceitos e diretrizes convergentes com normas e práticas internacionais torna-se essencial para a harmonização e a avaliação da atuação dos agentes públicos e, por consequência, para a qualificação dos produtos dessa atuação. Posteriormente, a Constituição Federal (CF) de 1988 inovou ao trazer a terminologia "sistemas de controle interno", que exercem a fiscalização na forma da lei, em conjunto com os órgãos de controle externo que apoiam os poderes legislativos. A CF segmentou, também, as responsabilidades dos sistemas de controle interno, no âmbito da União e de suas entidades da administração direta e indireta, em fiscalizações das áreas contábil, financeira, orçamentária, operacional e patrimonial. No artigo 74, a Carta Magna definiu a finalidade dos sistemas de controle interno de cada Poder - Legislativo, Executivo e Judiciário - que deverão ser constituídos por cada um deles de forma integrada.

No âmbito da Justiça Federal, a Resolução n. 85, de 11 de dezembro de 2009, buscou organizar e disciplinar os princípios preconizados pelo Decreto-Lei nº 200 com as determinações constitucionais acerca do sistema de controle interno, estabelecendo as diretrizes para seu funcionamento. Nesse contexto, o presente Estatuto posiciona-se como um instrumento de convergência das práticas de auditoria interna exercidas no âmbito da Justiça Federal com normas, modelos e boas práticas da administração pública e internacionais.

Dessa forma, este Estatuto adotou como modelo a base de conhecimento aprovada pela Instrução Normativa n. 03, de 09 de junho de 2017, do Ministério da Transparência e Controladoria-Geral da União, e tem como propósitos definir princípios, conceitos e diretrizes que nortearão a prática da auditoria interna e fornecer uma estrutura básica para o aperfeiçoamento de sua atuação, com a finalidade de agregar valor à gestão dos órgãos administrativos da Justiça Federal.

CAPÍTULO I

PROPÓSITO E ABRANGÊNCIA DA AUDITORIA INTERNA

1. A auditoria interna é uma atividade independente e objetiva de avaliação e de consultoria, desenhada para adicionar valor e melhorar as operações dos órgãos. Deve buscar auxiliar os diversos órgãos a realizarem seus objetivos, a partir da aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de governança, de gerenciamento de riscos e de controles internos.

2. No âmbito da Justiça Federal, a atividade de auditoria interna deve ser realizada em conformidade com o presente Estatuto, que estabelece os requisitos fundamentais para a prática profissional e para a avaliação do desempenho da atividade de auditoria interna.

SEÇÃO I

PROPÓSITO

3.A atividade de auditoria interna tem como propósito aumentar e proteger o valor organizacional, fornecendo avaliação, assessoria e aconselhamento baseados em risco.

4. A atividade de auditoria interna é exercida pelo conjunto de unidades de Auditoria Interna do Conselho, dos tribunais regionais federais e das seções judiciárias.

SEÇÃO II

ABRANGÊNCIA

5. Os órgãos da Justiça Federal devem atuar de forma regular e alinhada ao interesse público. Para tanto, devem exercer o controle permanente sobre seus próprios atos, considerando o princípio da autotutela. Assim, é responsabilidade da Alta Administração, sem prejuízo das responsabilidades dos gestores dos processos organizacionais e das diretrizes estratégicas nos seus respectivos âmbitos de atuação, o estabelecimento, a manutenção, o monitoramento e o aperfeiçoamento dos controles internos da gestão.

6. A estrutura de controles internos dos órgãos deve contemplar as três linhas de defesa da gestão ou camadas, a qual deve comunicar, de maneira clara, as responsabilidades de todos os envolvidos, provendo uma atuação coordenada e eficiente, sem sobreposições ou lacunas. Primeira linha de defesa 7. A primeira linha de defesa é responsável por identificar, avaliar, controlar e mitigar os riscos, guiando o desenvolvimento e a implementação de políticas e procedimentos internos destinados a garantir que as atividades sejam realizadas de acordo com as metas e objetivos da organização.

8. A primeira linha de defesa contempla os controles primários, que devem ser instituídos e mantidos pelos gerentes responsáveis pela implementação da missão institucional dos respectivos órgãos durante a execução de atividades e tarefas, no âmbito de seus macroprocessos finalísticos e de apoio

9. De forma a assegurar sua adequação e eficácia, os controles internos devem ser integrados ao processo de gestão, dimensionados e desenvolvidos na proporção requerida pelos riscos, de acordo com a natureza, a complexidade, a estrutura e a missão da organização. Segunda linha de defesa

10. As instâncias de segunda linha de defesa estão situadas ao nível da gestão e objetivam assegurar que as atividades realizadas pela primeira linha sejam desenvolvidas e executadas de forma apropriada.

11. Essas instâncias são destinadas a apoiar o desenvolvimento dos controles internos da gestão e realizar atividades de supervisão e de monitoramento das atividades desenvolvidas no âmbito da primeira linha de defesa, que incluem gerenciamento de riscos, conformidade, verificação de qualidade, controle financeiro, orientação e treinamento. Terceira linha de defesa

12. A terceira linha de defesa é representada pela atividade de auditoria interna, que presta serviços de avaliação e de consultoria com base nos pressupostos de autonomia técnica e de objetividade.

13. A atividade de auditoria interna deve ser desempenhada com o propósito de contribuir para o cumprimento da missão institucional da Justiça Federal. Os destinatários dos serviços de avaliação e de consultoria prestados pelas unidades de auditoria interna são a Alta Administração, os gestores e a sociedade.

14. As unidades de auditoria interna devem apoiar os órgãos na estruturação e efetivo funcionamento da primeira e da segunda linha de defesa da gestão, por meio da prestação de serviços de consultoria e avaliação dos processos de governança, e de gerenciamento de riscos e controles internos.

15. Os serviços de avaliação compreendem a análise objetiva de evidências pelo auditor interno com vistas a fornecer opiniões ou conclusões em relação à execução das metas previstas no plano plurianual; à execução do orçamento da União; à regularidade, à economicidade, à eficiência e à eficácia da gestão orçamentária, financeira, patrimonial, contábil e operacional nos órgãos da Justiça Federal.

16. Por natureza, os serviços de consultoria representam atividades de assessoria e aconselhamento, realizados a partir de solicitação específica formalizada pela Alta Administração. Os serviços de consultoria podem abordar assuntos estratégicos da gestão, como os processos de governança, de gerenciamento de riscos e de controles internos e ser condizentes com os valores, as estratégias e os objetivos da unidade auditada. Ao prestar serviços de consultoria, a Unidade de Auditoria Interna não pode assumir qualquer responsabilidade que seja da Administração, notadamente as de natureza decisória ou deliberativa. 17. Os serviços de avaliação dos processos de gestão de riscos e controles pelas unidades de auditoria interna devem contemplar, em especial, os seguintes aspectos: adequação e suficiência dos mecanismos de gestão de riscos e de controles estabelecidos; eficácia da gestão dos principais riscos; e conformidade das atividades executadas em relação à política de gestão de riscos.

18. No âmbito da terceira linha de defesa, a Unidade de Auditoria Interna do CJF exerce a função de auditoria interna de forma concorrente e integrada com as unidades de auditoria interna dos tribunais regionais federais e das seções judiciárias

CAPÍTULO II

SISTEMA DE CONTROLE INTERNO

19. A Constituição Federal (CF) dispõe, em seu art. 70, que a fiscalização contábil, financeira, orçamentária, operacional e patrimonial da União e das entidades da administração direta e indireta, quanto à legalidade, à legitimidade, à economicidade, à aplicação das subvenções e à renúncia de receitas, será exercida pelo Congresso Nacional, mediante controle externo, e pelo Sistema de Controle Interno (SCI) de cada Poder.

20. Em seu Art. 74, a CF definiu que os Poderes manterão, de forma integrada, sistema de controle interno com a finalidade de avaliar o cumprimento das metas previstas no Plano Plurianual, a execução dos programas de governo e dos orçamentos da União e dos resultados da gestão nos órgãos e entidades. No âmbito da Justiça Fe d e r a l , para dar cumprimento ao mandamento constitucional, a Lei nº 11.798, de 29 de outubro de 2008, em seu artigo 3º, disciplinou a organização das atividades de controle interno, dentre outras, em forma de sistema, cujo órgão central é o Conselho da Justiça Federal.

21. A atuação do SCI abrange todos os órgãos da Justiça Federal incluindo qualquer pessoa física ou jurídica vinculada que utilize, arrecade, guarde, gerencie ou administre dinheiros, bens e valores públicos.

Seção I

Organização e Estrutura

22. Integram o Sistema de Controle Interno - SCI:

a) como órgão central: a Secretaria de Auditoria Interna (SAI) do Conselho da Justiça Federal;

b) como órgãos setoriais: as unidades de auditoria interna dos tribunais regionais federais; e

c) como órgãos seccionais: as unidades de auditoria interna das seções judiciárias da Justiça Federal.

23. Compete ao órgão central do SCI e aos órgãos setoriais, em seus respectivos âmbitos de atuação, prover orientação normativa e supervisão técnica.

24. A orientação normativa e a supervisão técnica são exercidas mediante a edição de normas e orientações técnicas e a avaliação da atuação das unidades, com o objetivo de harmonizar a atividade de auditoria interna, promover a qualidade dos trabalhos e integrar o Sistema. 25. Compete ao órgão central do SCI estabelecer diretrizes quanto à realização de ações conjuntas de auditoria, de forma a promover atuação harmônica no contexto das competências concorrentes e o fortalecimento recíproco das demais unidades setoriais e seccionais.

26. A Unidade de Auditoria Interna deve ter, no mínimo, a mesma estrutura funcional e hierárquica das unidades auditadas do respectivo órgão. Além disso, deve estar desdobrada em níveis hierárquicos inferiores compatíveis com os das unidades auditadas, ou seja, setores, seções, núcleos, divisões, coordenadorias, subsecretarias, diretorias e secretarias, conforme o caso, pois a atuação da unidade envolve vários campos temáticos, a exigir estrutura funcional capaz de desempenhar as atividades de sua competência.

Seção II

Articulação Interinstitucional

27. O SCI deve trabalhar de forma articulada e integrada, com sinergia e mediante clara definição de papéis, de forma a racionalizar recursos e maximizar os resultados decorrentes de sua atuação.

28. De forma a promover a integração operacional do SCI, o Comitê Técnico de Controle Interno-CTCI cuja composição e competências foram disciplinadas por intermédio da Resolução CJF n. 206, de 02 de dezembro de 1998, enquanto órgão colegiado de função consultiva, pode efetuar estudos e propor medidas para integração, avaliação e aperfeiçoamento das atividades das unidades de auditoria interna e homogeneizar interpretações sobre procedimentos relativos às atividades do Sistema.

29. A cooperação entre as unidades de auditoria interna e as instituições públicas que atuam na defesa do patrimônio público, tais como o Conselho Nacional de Justiça e o Tribunal de Contas da União, tem o objetivo de promover o intercâmbio de informações e de estabelecer ações integradas ou complementares para proporcionar maior efetividade à fiscalização e ao controle da gestão de recursos públicos.

30. Nos casos em que forem identificadas irregularidades que requeiram procedimentos adicionais com vistas à apuração, à investigação ou à proposição de ações judiciais, as unidades de auditoria interna devem zelar pelo adequado e tempestivo encaminhamento dos resultados das auditorias às instâncias competentes.

31. O apoio ao controle externo, disposto na CF, operacionaliza-se por meio da cooperação entre os diversos órgãos, na troca de informações e de experiências, bem como na execução de atividades mútuas.

32. As unidades de auditoria interna devem zelar pela existência e efetivo funcionamento de canais de comunicação que fomentem o controle social, assegurando que os resultados decorrentes da participação dos cidadãos sejam apropriados como insumo para o planejamento e a execução dos trabalhos de auditoria.

CAPÍTULO III PRINCÍPIOS E REQUISITOS ÉTICOS

33. A atuação dos auditores internos em conformidade com princípios e requisitos éticos proporciona credibilidade e autoridade à atividade de auditoria interna. Esse padrão de comportamento deve ser promovido por todas as unidades. Seção I

Princípios Fundamentais para a Prática da Atividade de Auditoria Interna

34. Os princípios representam o arcabouço teórico sobre o qual repousam as normas de auditoria. São valores persistentes no tempo e no espaço, que concedem sentido lógico e harmônico à atividade de auditoria interna e lhe proporcionam eficácia. As unidades de auditoria interna devem assegurar que a prática da atividade de auditoria interna seja pautada pelos seguintes princípios:

a) integridade;

b) proficiência e zelo profissional;

c) autonomia técnica e objetividade;

d) alinhamento às estratégias, objetivos e riscos da organização;

e) atuação respaldada em adequado posicionamento e em recursos apropriados;

f) qualidade e melhoria contínua;

g) comunicação eficaz e efetiva;

h) perspicácia, proatividade e foco no futuro; e

i) fornecimento de avaliações baseadas em riscos.

Seção II

Requisitos Éticos

35. Os requisitos éticos representam valores aceitáveis e esperados em relação à conduta dos auditores internos e visam promover uma cultura ética e íntegra em relação à prática da atividade de auditoria interna.

Integridade e Comportamento

36. Os auditores internos devem servir ao interesse público e honrar a confiança pública, executando seus trabalhos com honestidade, diligência e responsabilidade, contribuindo para o alcance dos objetivos legítimos e éticos da unidade auditada.

37. Os auditores devem evitar quaisquer condutas que possam comprometer a confiança em relação ao seu trabalho e renunciar a quaisquer práticas ilegais ou que possam desacreditar a sua função, a unidade em que atuam ou a própria atividade de auditoria interna.

38. Os auditores internos devem ser capazes de lidar de forma adequada com pressões ou situações que ameacem seus princípios éticos ou que possam resultar em ganhos pessoais ou organizacionais inadequados, mantendo conduta íntegra e irreparável. 39. Os auditores internos devem se comportar com cortesia e respeito no trato com pessoas, mesmo em situações de divergência de opinião, abstendo-se de emitir juízo ou adotar práticas que indiquem qualquer tipo de discriminação ou preconceito.

40. Ao executar suas atividades, os auditores internos devem observar a lei e divulgar todas as informações exigidas por lei e pela profissão. Autonomia Técnica e Objetividade

41. Os requisitos de autonomia técnica e objetividade estão associados ao posicionamento da Unidade de Auditoria Interna e à atitude do auditor em relação à Unidade auditada, com a finalidade de orientar a condução dos trabalhos e subsidiar a emissão de opinião institucional. Para tanto, tem-se como pressupostos que a unidade de auditoria disponha de autonomia técnica e que os auditores sejam objetivos.

42. As ameaças à autonomia técnica e à objetividade devem ser gerenciadas nos níveis da função de auditoria interna, da organização, do trabalho de auditoria e do auditor. Eventuais interferências, de fato ou veladas, e suas consequências, devem ser reportadas à Alta Administração e ao Comitê Técnico de Controle Interno da Justiça Federal.

Autonomia Técnica

43. A autonomia técnica refere-se à capacidade da Unidade de Auditoria de desenvolver trabalhos de maneira imparcial. Nesse sentido, a atividade de auditoria interna deve ser realizada livre de interferências na determinação do escopo, na execução dos procedimentos, no julgamento profissional e na comunicação dos resultados.

44. O Responsável pela Unidade de Auditoria deve se reportar à autoridade com um nível compatível ou correspondente dentro da Unidade auditada que permita à Unidade de Auditoria cumprir com as suas responsabilidades. Objetividade

45. Os auditores internos devem atuar de forma imparcial e isenta, evitando situações de conflito de interesses ou quaisquer outras que afetem sua objetividade, de fato ou na aparência, ou comprometam seu julgamento profissional.

46. Os auditores devem declarar impedimento nas situações que possam afetar o desempenho das suas atribuições e, em caso de dúvidas sobre potencial risco para a objetividade, devem buscar orientação junto aos responsáveis pela supervisão do trabalho ou à comissão de ética ou instância similar, conforme apropriado na organização.

47. Os auditores internos devem se abster de auditar operações específicas com as quais estiveram envolvidos nos últimos 12 (doze) meses, quer na condição de gestores, quer em decorrência de vínculos profissionais, comerciais, pessoais, familiares ou de outra natureza, mesmo que tenham executado atividades em nível operacional.

48. Os auditores internos podem prestar serviços de consultoria sobre operações que tenham sido objeto de auditoria anteriormente ou auditar operações sobre as quais tenham prestado prévio serviço de consultoria, desde que a natureza da consultoria não prejudique a objetividade. O auditor deve declarar-se impedido caso existam potenciais prejuízos à sua autonomia técnica ou objetividade.

49. Como pressuposto da objetividade, as comunicações decorrentes dos trabalhos de auditoria devem ser precisas, e as conclusões sobre os fatos ou situações examinadas devem estar respaldadas por critérios e evidências adequados e suficientes. Sigilo Profissional 50. As informações e recursos públicos somente devem ser utilizados para fins oficiais. É vedada e compromete a credibilidade da atividade de auditoria interna a utilização de informações relevantes ou potencialmente relevantes, obtidas em decorrência dos trabalhos, em benefício de interesses pessoais, familiares ou de organizações pelas quais o auditor tenha qualquer interesse.

51. O auditor interno deve manter sigilo e agir com cuidado em relação a dados e informações obtidos em decorrência do exercício de suas funções. Ao longo da execução dos trabalhos, o sigilo deve ser mantido mesmo que as informações não estejam diretamente relacionadas ao escopo do trabalho.

52. O auditor interno não deve divulgar informações relativas aos trabalhos desenvolvidos ou a serem realizados ou repassá-las a terceiros sem prévia anuência da autoridade competente.

53. As comunicações sobre os trabalhos de auditoria devem sempre ser realizadas em nível institucional e contemplar todos os fatos materiais de conhecimento do auditor que, caso não divulgados, possam distorcer o relatório apresentado sobre as atividades objeto da avaliação. Proficiência e Zelo Profissional

54. Proficiência e zelo profissional estão associados aos conhecimentos, habilidades e cuidados requeridos do auditor interno para proporcionar razoável segurança acerca das opiniões, conclusões e recomendações emitidas pela Unidade de Auditoria Interna. Tem-se como pressupostos que a atividade de auditoria deve ser realizada com proficiência e com zelo profissional devido, em conformidade com este Estatuto e demais normas aplicáveis. Proficiência

55. A proficiência é um termo coletivo que diz respeito à capacidade dos auditores internos de realizar os trabalhos para os quais foram designados. Os auditores devem possuir e manter o conhecimento, as habilidades e outras competências necessárias ao desempenho de suas responsabilidades individuais.

56. Os auditores internos, em conjunto, devem reunir qualificação e conhecimentos necessários para o trabalho. São necessários conhecimentos suficientes sobre técnicas de auditoria; identificação e mitigação de riscos; conhecimento das normas aplicáveis; entendimento das operações da Unidade auditada; compreensão e experiência acerca da auditoria a ser realizada; e habilidade para exercer o julgamento profissional devido.

57. Os auditores internos devem possuir conhecimentos suficientes sobre os principais riscos de fraude, sobre riscos e controles de tecnologia da informação e sobre as técnicas de auditoria baseadas em tecnologias disponíveis para a execução dos trabalhos a eles designados.

58. As unidades de auditoria e os auditores internos devem zelar pelo aperfeiçoamento de seus conhecimentos e habilidades, por meio do desenvolvimento profissional contínuo sobre as matérias relacionadas às suas atribuições específicas, em ações de treinamento com quantidade mínima de 20 horas anuais. 59. O responsável pela unidade deve declinar de trabalho específico ou solicitar opinião técnica especializada por meio de prestadores de serviços externos, a exemplo de perícias e pareceres, caso os auditores internos não possuam, e não possam obter tempestiva e satisfatoriamente, os conhecimentos, as habilidades ou outras competências necessárias à realização de todo ou de parte de um trabalho de auditoria.

Zelo Profissional

60. O zelo profissional se refere à atitude esperada do auditor interno na condução dos trabalhos e nos resultados obtidos. O auditor deve deter as habilidades necessárias e adotar o cuidado esperado de um profissional prudente e competente, mantendo postura de ceticismo profissional; agir com atenção; demonstrar diligência e responsabilidade no desempenho das tarefas a ele atribuídas, de modo a reduzir ao mínimo a possibilidade de erros; e buscar atuar de maneira precipuamente preventiva.

61. O zelo profissional se aplica a todas as etapas dos trabalhos de avaliação e de consultoria. O planejamento deve levar em consideração a extensão e os objetivos do trabalho, as expectativas do cliente, a complexidade, a materialidade ou a significância relativa dos assuntos sobre os quais os testes serão aplicados e deve prever a utilização de tecnologias diversas e outras técnicas de análise adequadas.

62. O auditor deve considerar a adequação e a eficácia dos processos de governança, de gerenciamento de riscos e de controles internos da Unidade auditada, a probabilidade de ocorrência de erros, fraudes ou não conformidades significativas, bem como o custo da avaliação e da consultoria em relação aos potenciais benefícios.

63. Os auditores devem estar alertas aos riscos significativos que possam afetar os objetivos, as operações ou os recursos da Unidade auditada. Entretanto, devese ter em mente que os testes isoladamente aplicados, mesmo quando realizados com o zelo profissional devido, não garantem que todos os riscos significativos sejam identificados. CAPÍTULO IV

GERENCIAMENTO DA ATIVIDADE DE AUDITORIA INTERNA

64. A Unidade de Auditoria Interna deve ser administrada eficazmente, com o objetivo de assegurar que a atividade de auditoria interna adicione valor à Unidade auditada e às diretrizes estratégicas sob sua responsabilidade, fomentando a melhoria dos processos de governança, de gerenciamento de riscos e de controles internos da gestão.

Seção I

Objetivos dos Trabalhos

65. A atividade de auditoria interna deve ser realizada de forma sistemática, disciplinada e baseada em risco, devendo ser estabelecidos, para cada trabalho, objetivos que estejam de acordo com o propósito da atividade de auditoria interna e contribuam para o alcance dos objetivos institucionais e estratégias da Unidade auditada. Governança 66. A Unidade de Auditoria Interna deve avaliar e, quando necessário, recomendar a adoção de medidas apropriadas para a melhoria do processo de governança da unidade auditada no cumprimento dos seguintes objetivos:

a) promover a ética e os valores apropriados no âmbito da unidade auditada;

b) assegurar o gerenciamento eficaz do desempenho organizacional e accountability;

c) comunicar as informações relacionadas aos riscos e aos controles às áreas apropriadas da Unidade auditada;

d) coordenar as atividades e a comunicação das informações entre a auditoria interna e externa, gestores e a Alta Administração.

67. As ações de auditoria interna devem promover a atuação da governança de tecnologia da informação alinhada com os objetivos estratégicos da organização.

Gerenciamento de Riscos

68. O processo de gerenciamento dos riscos é responsabilidade da Alta Administração e deve alcançar toda a organização, contemplando a identificação, a análise, a avaliação, o tratamento, o monitoramento e a comunicação dos riscos a que a Unidade auditada está exposta.

69. Compete à Unidade de Auditoria Interna avaliar a eficácia e contribuir para a melhoria do processo de gerenciamento de riscos da Unidade auditada, observando se, nesse processo:

a) riscos significativos são identificados e avaliados;

b) respostas aos riscos são estabelecidas de forma compatível com o apetite a risco da Unidade auditada; e

c) informações sobre riscos relevantes são coletadas e comunicadas de forma oportuna.

70. A Unidade de Auditoria Interna deve avaliar, em especial, as exposições da Unidade auditada a riscos relacionados à governança, às atividades operacionais e aos sistemas de informação. Nessa avaliação, deve ser analisado se há comprometimento:

a) do alcance dos objetivos estratégicos;

b) da confiabilidade e da integridade das informações;

c) da eficácia e da eficiência das operações e programas;

d) da salvaguarda de ativos; e

e) da conformidade dos processos e estruturas com leis, normas e regulamentos internos e externos.

71. O auditor interno deve buscar identificar potenciais riscos de fraude e verificar se a organização possui controles para tratamento desses riscos.

72. A Unidade de Auditoria Interna poderá prestar serviços de consultoria com o propósito de auxiliar a Unidade auditada na identificação de metodologias de gestão de riscos e de controles, todavia, os auditores internos não podem participar efetivamente do gerenciamento dos riscos da Unidade auditada, cuja responsabilidade é exclusiva dela. 73. A Unidade de Auditoria Interna poderá apoiar ações de sensibilização, capacitação e orientação da Alta Administração e dos gestores em relação ao tema, especialmente enquanto a Unidade auditada não possuir um processo de gerenciamento de riscos. Controles Internos da Gestão

74. A Unidade de Auditoria Interna deve auxiliar a Unidade auditada a manter controles efetivos, a partir da avaliação sobre se eles são identificados, aplicados e efetivos na resposta aos riscos. Ainda nesta linha de auxílio, deve avaliar se a Alta Administração possui consciência de sua reponsabilidade pela implementação e melhoria contínua desses controles, pela exposição a riscos internos e externos, comunicação e pela aceitação de riscos.

75. A avaliação da adequação e eficácia dos controles implementados pela gestão em resposta aos riscos, inclusive no que se refere à governança, às operações e aos sistemas de informação da Unidade auditada, deve contemplar os mesmos tópicos relacionados nas alíneas "a" a "e" do item n. 70.

76. Nos trabalhos de avaliação dos controles da gestão, o planejamento da auditoria deve ser elaborado com a identificação do escopo e a seleção de testes que permitam a obtenção de evidência adequada e suficiente sobre a existência e funcionamento do processo de controle na organização, considerados os conhecimentos adquiridos em decorrência de outros trabalhos de avaliação e de consultoria realizados na Unidade auditada.

77. A avaliação dos controles da gestão deve considerar os seguintes componentes: ambiente de controle, avaliação de riscos, atividades de controle, informação e comunicação e atividades de monitoramento.

Seção II

Planejamento, Comunicação e Aprovação do Plano de Auditoria de Longo Prazo (PALP) e do Plano Anual de Auditoria

78. O Responsável pela Unidade de Auditoria Interna deve estabelecer um plano baseado em riscos para determinar as prioridades da auditoria, de forma consistente com objetivos e metas institucionais da Unidade auditada.

79. Para fins de cumprimento ao disposto no art. 9º da Resolução n. 171/2013, do Conselho Nacional de Justiça, as unidades de Auditoria Interna devem elaborar o Plano de Auditoria de Longo Prazo (PALP), com periodicidade quadrienal, e o Plano Anual de Auditoria (PAA). Planejamento

80. A definição do Plano Anual de Auditoria é a etapa de identificação dos trabalhos a serem realizados prioritariamente pela unidade de auditoria em um determinado período de tempo. O planejamento deve considerar as estratégias, os objetivos, as prioridades, as metas da Unidade auditada e os riscos a que seus processos estão sujeitos. O resultado é um plano de auditoria interna baseado em riscos.

81. A Unidade de Auditoria Interna deve realizar a prévia identificação de todo o universo auditável e considerar as expectativas da Alta Administração e das demais partes interessadas em relação à atividade de auditoria interna para a elaboração do Plano Anual de Auditoria, bem como, a análise de riscos realizada pela Unidade auditada por meio do seu processo de gerenciamento de riscos, auditorias, monitoramentos e inspeções realizados anteriormente, acórdãos do TCU e alterações normativas. 82. Caso a Unidade auditada não tenha instituído um processo formal de gerenciamento de riscos, a unidade de auditoria deve se comunicar com a Alta Administração, de forma a coletar informações sobre suas expectativas e obter entendimento dos principais processos e dos riscos associados. Com base nessas informações, a Unidade de Auditoria Interna deverá elaborar seu Plano Anual de Auditoria, priorizando os processos ou unidades organizacionais de maior risco.

83. Os auditores internos devem considerar no planejamento da execução das auditorias os conhecimentos adquiridos em decorrência dos trabalhos de avaliação e consultoria realizados sobre os processos de governança, de gerenciamento de riscos e de controles internos da gestão.

84. O Plano Anual de Auditoria deve considerar a necessidade de rodízio de ênfase sobre os objetos auditáveis, evitando o acúmulo dos trabalhos de auditoria sobre um mesmo objeto, de forma a permitir que objetos considerados de menor risco também possam ser avaliados periodicamente.

85. A avaliação de riscos que subsidie a elaboração do Plano Anual de Auditoria da Unidade de Auditoria Interna deve ser discutida com a Alta Administração e documentada, pelo menos, anualmente.

86. As unidades de auditoria interna devem estabelecer canal permanente de comunicação com as áreas responsáveis pelo recebimento de denúncias da Unidade auditada e de outras instâncias públicas que detenham essa atribuição, de forma a subsidiar a elaboração do planejamento e a realização dos trabalhos de auditoria interna.

87. Ao considerar a aceitação de trabalhos de consultoria e a sua incorporação ao Plano Anual de Auditoria, o Responsável pela Unidade de Auditoria Interna deve avaliar se os resultados desses trabalhos contribuem para a melhoria aos processos de governança, de gerenciamento de riscos e de controles da Unidade auditada.

88. O planejamento da Unidade de Auditoria Interna deve ser flexível, considerando a possibilidade de mudanças no contexto organizacional da Unidade auditada, a exemplo de alterações no planejamento estratégico, revisão dos objetivos, alterações significativas nas áreas de maior risco ou mesmo alterações de condições externas. Comunicação e Aprovação

89. O Plano de Auditoria de Longo Prazo (PALP) e o Plano Anual de Auditoria

(PAA) dos Órgãos Setoriais e Seccionais do SCI devem ser apreciados, previamente, na última reunião do CTCI anterior ao dia 30 de outubro de cada quadriênio, no caso do PALP, e de cada ano, no caso do PAA, com os respectivos órgãos setoriais e central para exercício da supervisão técnica, de forma a possibilitar a harmonização do planejamento, racionalizar a utilização de recursos e evitar a sobreposição de trabalhos, antes do seu encaminhamento à Presidência do CJF e dos tribunais e, no caso das seções judiciárias, à Direção do Foro.

90. O Plano Anual de Auditoria, com a respectiva previsão dos recursos necessários à sua implementação, será encaminhado para aprovação da Alta Administração.

91. A elaboração do Plano Anual de Auditoria seguirá um modelo padronizado, a ser previamente definido pela SAI/CJF, visando a cooperação e harmonização dos planejamentos dos trabalhos. 92. Os Planos Anuais e Plurianuais de Auditoria ficarão à disposição nos respectivos portais dos órgãos, para ciência e informação das unidades a serem auditadas. Gerenciamento de Recursos

93. O Responsável pela Unidade de Auditoria Interna deve zelar pela adequação e disponibilidade dos recursos necessários (humanos, financeiros e tecnológicos) para o cumprimento do Plano de Auditoria Anual, devendo, se necessário, submeter eventuais dificuldades a Alta Administração. Para isso, os recursos devem ser: a) suficientes: em quantidade necessária para a execução dos trabalhos; b) apropriados: que reúnam as competências, habilidades e conhecimentos técnicos requeridos pela auditoria; e c) eficazmente aplicados: utilizados de forma a atingir os objetivos do trabalho. Políticas, Procedimentos e Coordenação

94. As unidades de auditoria interna devem estabelecer procedimentos e políticas para a orientação dos trabalhos de auditoria, cujo enfoque e formato podem variar conforme a estrutura da unidade.

95. O Responsável pela Unidade de Auditoria Interna deve compartilhar informações e coordenar as atividades da unidade com órgãos de controle externo ou de defesa do patrimônio público ou colaboradores de outros órgãos ou entidades públicas que atuem na função de especialistas. Reporte para a Alta Administração

96. O Responsável pela Unidade de Auditoria Interna deve comunicar anualmente o desempenho da atividade de auditoria interna à Alta Administração. As comunicações devem contemplar informações sobre:

a) o propósito e a responsabilidade da Unidade de Auditoria Interna;

b) a comparação entre os trabalhos realizados e o planejamento aprovado;

c) recomendações não atendidas que representem riscos aos processos de governança, de gerenciamento de riscos e de controles internos da Unidade auditada; e

d) a exposição a riscos significativos e deficiências existentes nos controles internos da unidade auditada.

97. A comunicação de que trata o item anterior fica dispensada nos exercícios em que os órgãos elaborarem os respectivos Relatórios de Auditoria de Gestão.

98. Serão utilizados como base de conhecimento para o reporte à Alta Administração os relatórios finais das auditorias realizadas pelo órgão central e pelos órgãos setoriais e seccionais, que serão disponibilizados no portal do órgão, na medida em que forem concluídos.

Seção III

Gestão e Melhoria da Qualidade

99. A gestão da qualidade promove uma cultura que resulta em comportamentos, atitudes e processos que proporcionam a entrega de produtos de alto valor agregado, atendendo às expectativas das partes interessadas. A gestão da qualidade é responsabilidade de todos os auditores internos, sob a liderança do responsável pela respectiva unidade. 100. A Unidade de Auditoria Interna deve instituir e manter um Programa de Gestão e Melhoria da Qualidade (PGMQ), desenvolvido e aprovado pelo CTCI, que contemple toda a atividade de auditoria interna, desde o seu gerenciamento até o monitoramento das recomendações emitidas, tendo por base este Estatuto, os preceitos legais aplicáveis e as boas práticas relativas ao tema.

101. O programa pode prever avaliações internas e externas, orientadas para a avaliação da qualidade e a identificação de oportunidades de melhoria.

102. As avaliações internas devem incluir o monitoramento contínuo do desempenho da atividade de auditoria interna e autoavaliações ou avaliações periódicas realizadas por outras pessoas da organização com conhecimento suficiente das práticas de auditoria interna.

103. As avaliações internas e externas poderão ser conduzidas com base em estruturas ou metodologias já consolidadas.

104. Cabe ao responsável pela Unidade de Auditoria Interna comunicar periodicamente os resultados do PGMQ à Alta Administração. As comunicações devem conter os resultados das avaliações internas e externas, as fragilidades encontradas que possam comprometer a qualidade da atividade de auditoria interna e os respectivos planos de ação corretiva, se for o caso.

105. A Unidade de Auditoria Interna somente poderá declarar conformidade com os preceitos deste Estatuto e com normas internacionais que regulamentam a prática profissional de auditora interna se o PGMQ sustentar essa afirmação.

106. Os casos de não conformidade com este Estatuto que impactem o escopo geral ou a operação da atividade de auditoria interna devem ser comunicados pelo responsável pela Unidade de Auditoria Interna à Alta Administração e à respectiva unidade responsável pela supervisão técnica, para estabelecimento de ações destinadas ao saneamento das inconformidades relatadas.

107. Os trabalhos de especialistas externos devem ser avaliados de acordo com os critérios de conformidade e de qualidade estabelecidos no PGMQ, o que não dispensa o estabelecimento de critérios específicos para a aceitação e incorporação das conclusões emitidas por tais especialistas aos trabalhos da Unidade de Auditoria Interna.

GLOSSÁRIO

Accountability: Obrigação dos agentes e das organizações que gerenciam recursos públicos de assumir integralmente as responsabilidades por suas decisões e pela prestação de contas de sua atuação de forma voluntária, inclusive sobre as consequências de seus atos e omissões. Adicionar Valor (Agregar Valor): A atividade de auditoria interna agrega valor à organização (e às suas partes interessadas) quando proporciona avaliação objetiva e relevante e contribui para a eficácia e eficiência dos processos de governança, gerenciamento de riscos e controles.

Alta Administração: A Alta Administração representa o mais alto nível estratégico e decisório de um órgão. No Conselho da Justiça Federal a Alta Administração é composta pelo Colegiado, Ministro Presidente e Ministro Corregedor-Geral; nos tribunais regionais federais é composta pelo Conselho de Administração, pelo Presidente e Corregedor-Geral; nas Seções Judiciárias é representada pelo juiz Diretor do Foro. Todavia, para os efeitos deste Estatuto, deve ser considerado como Alta Administração todo e qualquer responsável por tomar decisões de nível estratégico, independentemente da natureza da Unidade e das nomenclaturas utilizadas. São, portanto, as instâncias responsáveis pela governança, pelo gerenciamento de riscos e pelos controles internos da gestão, a quem a Unidade de Auditoria Interna deve se reportar, por serem capazes de desenvolver uma visão de riscos de forma consolidada e definir o apetite a risco da organização, implementar as melhorias de gestão necessárias ao tratamento de riscos e dar efetividade às recomendações.

Atividade de auditoria interna: Atividade independente e objetiva de avaliação

(assurance) e consultoria, desenhada para adicionar valor e melhorar as operações das organizações públicas. A atividade de auditoria interna está situada na terceira linha de defesa da gestão pública e tem como objetivo auxiliar uma organização a realizar seus objetivos a partir da aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de governança, de gerenciamento de riscos e de controles.

Auditor interno: Servidor que exerce atividades de auditoria interna, em uma Unidade de Auditoria Interna, cujas atribuições são alcançadas por este Estatuto.

Ceticismo profissional: Postura que inclui uma mente questionadora e alerta para condições que possam indicar possível distorção devido a erro ou fraude e uma avaliação crítica das evidências de auditoria.

Componentes dos controles internos: Consideram-se como componentes dos controles internos:

a) o ambiente de controle - conjunto de normas, processos e estruturas que fornecem a base para a condução do controle interno da organização;

b) avaliação de riscos - processo dinâmico e iterativo que visa a identificar, a analisar e a avaliar os riscos relevantes que possam comprometer a integridade da Unidade auditada e o alcance das metas e dos objetivos institucionais; c) atividades de controle - conjunto de ações estabelecidas por meio de políticas e de procedimentos, que auxiliam a Unidade auditada a mitigar os riscos que possam comprometer o alcance dos objetivos e a salvaguarda de seus ativos; d) informação e comunicação - processo de obtenção e validação da consistência de informações sobre as atividades de controle interno e de compartilhamento que permite a compreensão da Unidade auditada sobre as responsabilidades e a importância dos controles internos; e

e) atividades de monitoramento - conjunto de ações destinadas a acompanhar e a avaliar a eficácia dos controles internos.

Comunicações (atributos): As comunicações da Unidade de Auditoria Interna devem ser: a) claras: facilmente compreendidas e lógicas, sem linguagem técnica desnecessária e com todas as informações significativas e relevantes; b) completas: sem omissão de qualquer dado que seja essencial à compreensão dos resultados da auditoria e com todas as informações significativas e relevantes que dão suporte às conclusões e recomendações; c) concisas: diretas, que evitam a elaboração desnecessária, detalhes supérfluos, redundância e excesso de palavras; d) construtivas: úteis à Unidade auditada e condutoras das melhorias necessárias à gestão; e) objetivas: apropriadas, imparciais e neutras, resultado de um julgamento justo e equilibrado de todos os fatos e circunstâncias relevantes; f) precisas: livres de erros e distorções e fiéis aos fatos fundamentais; e g) tempestivas: oportunas, permitindo à Unidade auditada aplicar ações preventivas e corretivas apropriadas.

Conflito de interesses: Situação na qual o auditor interno tem interesse profissional ou pessoal conflitante com o desempenho da auditoria, comprometendo sua objetividade. O conflito pode surgir antes ou durante o trabalho de auditoria e criar uma aparência de impropriedade que pode abalar a confiança no auditor.

Controles internos da gestão: Processo que envolve um conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e informações, entre outros, operacionalizados de forma integrada pela Alta Administração, pelos gestores e pelo corpo de servidores dos órgãos, destinados a enfrentar os riscos e fornecer segurança razoável de que, na consecução da missão da entidade, os seguintes objetivos gerais serão alcançados: a) execução ordenada, ética, econômica, eficiente e eficaz das operações; b) cumprimento das obrigações de accountability; c) cumprimento das leis e dos regulamentos aplicáveis; e d) salvaguarda dos recursos para evitar perdas, mau uso e danos. O estabelecimento de controles internos no âmbito da gestão pública visa a essencialmente aumentar a probabilidade de que os objetivos e metas estabelecidos sejam alcançados, de forma eficaz, eficiente, efetiva e econômica.

Fraude: Quaisquer atos ilegais caracterizados por desonestidade, dissimulação ou quebra de confiança. As fraudes são perpetradas por partes e organizações, a fim de se obter dinheiro, propriedade ou serviços; para evitar pagamento ou perda de serviços; ou para garantir vantagem pessoal ou em negócios. Gerenciamento de riscos: Processo para identificar, analisar, avaliar, administrar e controlar potenciais eventos ou situações, para fornecer razoável certeza quanto ao alcance dos objetivos da organização.

Gestores: Servidores ou empregados públicos, civis ou militares, ocupantes de cargo efetivo ou em comissão, que compõem o quadro funcional dos órgãos e entidades da Administração Pública Federal, responsáveis pela coordenação e pela condução dos processos e atividades da unidade, incluídos os processos de gerenciamento de riscos e controles.

Governança: Combinação de processos e estruturas implantadas pela Alta Administração, para informar, dirigir, administrar e monitorar as atividades da organização, com o intuito de alcançar os seus objetivos. A governança no setor público compreende essencialmente os mecanismos de liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar a atuação da gestão, com vistas à condução de políticas públicas e à prestação de serviços de interesse da sociedade.

Informações (atributos): As evidências coletadas e as produzidas pelos auditores internos devem se constituir de informações: a) confiáveis: as melhores informações possíveis de serem obtidas através da utilização de técnicas de auditoria apropriadas; b) relevantes: dão suporte às observações e às recomendações do trabalho de auditoria e são consistentes com os objetivos do trabalho; c) suficientes: concretas, adequadas e convincentes, de forma que uma pessoa prudente e informada chegaria às mesmas conclusões que o auditor interno; e d) úteis: auxiliam a organização a atingir as suas metas.

Responsável pela Unidade de Auditoria Interna: Mais alto nível de gestão da Unidade de Auditoria Interna, responsável pela sua conformidade da atuação com o presente Estatuto e com as demais normas e boas práticas aplicáveis à atividade de auditoria interna, independentemente do exercício direto de suas atribuições ou de eventual delegação de competência.

Risco: Possibilidade de ocorrer um evento que venha a ter impacto no cumprimento dos objetivos da Unidade auditada. Em geral, o risco é medido em termos de impacto e de probabilidade.

Serviços de avaliação: Atividade de auditoria interna que consiste no exame objetivo da evidência, com o propósito de fornecer ao órgão ou entidade uma avaliação tecnicamente autônoma e objetiva sobre o escopo da auditoria. Serviços de consultoria: Atividade de auditoria interna que consiste em assessoramento, aconselhamento e serviços relacionados, prestados em decorrência de solicitação específica do órgão ou entidade, cuja natureza e escopo são acordados previamente e que se destinam a adicionar valor e a aperfeiçoar os processos de governança, de gerenciamento de riscos e a implementação de controles internos na organização, sem que o auditor interno assuma qualquer responsabilidade que seja da administração da Unidade auditada.

Supervisão técnica: Atividade exercida pelo Órgão Central do SCI e pelos órgãos setoriais do Sistema de Controle Interno, em suas respectivas áreas de jurisdição. Desdobra-se por meio da normatização, da orientação, da capacitação e da avaliação do desempenho das unidades que compõe o SCI, com a finalidade de harmonizar a atuação, promover a aderência a padrões técnicos de referência nacional e internacional e buscar a garantia da qualidade dos trabalhos realizados pelas unidades de auditoria internas. A supervisão técnica não implica em subordinação hierárquica. Unidade auditada: Órgão ou entidade para o qual uma determinada Unidade de Auditoria Interna tem a responsabilidade de contribuir com a gestão, por meio de atividades de avaliação e de consultoria. Para os fins deste Estatuto, o termo Unidade auditada, no contexto dos trabalhos de avaliação e consultoria, também pode ser compreendido como macroprocesso, processo, unidade gestora ou objeto sobre o qual incide um trabalho de auditoria.

Unidade de Auditoria Interna: Unidade responsável pela prestação de serviços independentes e objetivos de avaliação e de consultoria, desenvolvidos para adicionar valor e melhorar as operações da organização e que reúna as prerrogativas de gerenciamento e de operacionalização da atividade de auditoria interna.

Universo auditável: Conjunto de objetos de auditoria passíveis de ser priorizados pela Unidade de Auditoria Interna para a elaboração do Plano de Auditoria Interna.

Este texto não substitui o publicado oficialmente