Questões de Concurso

Na elaboração do relatório de um trabalho de auditoria, o auditor deve recordar que seu formato e conteúdo dependerão da natureza da auditoria, dos usuários previstos, das normas aplicáveis e dos requisitos legais. A norma ISSAI 100 - Princípios Fundamentais de Auditoria do Setor Público traz recomendações acerca de relatório de auditoria relativas a trabalhos de certificação e trabalhos de relatório direto. Entre essas recomendações, destaca-se que, nos trabalhos de relatório direto:

No rol de documentos gerados nos trabalhos de auditoria são reportadas informações que vão desde o planejamento até o relatório final. Informações quanto a nexo de causalidade (entre a conduta e o resultado ilícito), que dizem respeito a evidências de que a conduta do responsável contribuiu significativamente para o resultado ilícito, devem ser reportadas no(a): 

As ações de fiscalização no âmbito das entidades públicas têm como fim último o cumprimento de princípios constitucionais para assegurar a aplicação regular dos recursos públicos. As ações de fiscalização devem ser realizadas a partir de instrumentos adequados à situação de referência. Ao ser designado para realizar uma ação de fiscalização, um agente de controle deve observar que o acompanhamento:

Os auditores reconhecem que a materialidade é um quesito relevante nos trabalhos de auditorias, porém, sua avaliação envolve julgamento profissional e, portanto, subjetividade. Quanto a esse quesito, à luz dos princípios fundamentais de auditoria do setor público, é correto afirmar que: 

A gestão de riscos na Administração Pública é um processo que busca contribuir para a eficiência organizacional no cumprimento da missão institucional. É, assim, uma ferramenta para assegurar a produção de valor público. São passos fundamentais para o sucesso deste processo, entre outros, a identificação, a análise e a avaliação dos riscos aos quais a organização está submetida. O cumprimento dessas etapas permite identificar alternativas de tratamento dos riscos e o seu monitoramento contínuo.

Uma Universidade Pública brasileira identificou, como evento de risco, a possível invasão de seus sistemas corporativos seguida da alteração dos registros acadêmicos de seus estudantes. Com base em uma escala linear definida na Política de Gestão de Riscos da Universidade, a probabilidade de ocorrência deste evento sem a adoção de medidas de controle foi definida como alta (8, em uma escala de 1 a 10) e o impacto da sua ocorrência como muito alto (10, também em uma escala de 1 a 10).

Podemos ver, a seguir, os níveis de risco definidos pela Universidade inspirada em orientações do Tribunal de Contas da União.

Risco Baixo             Risco Médio             Risco Alto             Risco Extremo

0 a 9,99                     10 a 39,99                 40 a 79,99             80 a 100 

Feita a análise do nível de risco inerente à ocorrência deste evento, a Universidade passou a adotar medidas de controle muito rigorosas a partir de um benchmarking com algumas de suas congêneres. Tais medidas foram avaliadas e consideradas de um nível de confiança satisfatório (60%) após nova análise de especialistas.

Com base nestas informações, podemos afirmar que o nível de risco inerente e o nível de risco residual de ocorrência deste evento na Universidade são, respectivamente,