Auditoria interna madura não é a que encontra mais problemas — é a que olha para os lugares certos, evidencia o que encontrou e faz as correções acontecerem. Este guia percorre o ciclo completo, do plano anual ao follow-up, com as práticas que diferenciam uma função de auditoria que agrega valor de uma que produz relatórios engavetados.
O papel da auditoria interna
A auditoria interna é a terceira linha da organização: avalia, com independência, se a gestão de riscos e os controles internos funcionam. Ela não desenha nem opera controles (papel da gestão e das funções de risco/compliance) — ela dá à alta administração uma opinião fundamentada sobre eles.
1. Planejamento baseado em riscos
O plano anual nasce do universo auditável — o inventário de processos, sistemas, unidades e temas que podem ser auditados — priorizado por risco. Insumos essenciais:
- a matriz de riscos corporativa e as avaliações por processo;
- histórico de achados e incidentes;
- mudanças regulatórias em curso — um requisito novo cria risco novo. Um processo estruturado de monitoramento regulatório alimenta o plano com o que mudou e o que vai mudar;
- pedidos da administração e do comitê de auditoria.
O resultado: quais trabalhos serão feitos no ano, com qual objetivo, escopo preliminar e alocação de horas. Documente também o que ficou de fora e por quê — o regulador pergunta.
2. Programa de trabalho
Cada trabalho começa com um programa: objetivos do exame, escopo (períodos, sistemas, unidades), critérios (normas, políticas, frameworks como o COSO), riscos e controles a testar, procedimentos e tamanho de amostras. O programa é o contrato do trabalho — mudanças de escopo durante a execução devem ser registradas e justificadas.
3. Execução e evidências
A regra de ouro: uma conclusão vale o que vale sua evidência. Para cada procedimento executado, os papéis de trabalho devem permitir que um revisor independente refaça o caminho: o que foi testado, contra qual critério, com qual amostra, qual resultado, quem executou e quem revisou.
- Prefira evidência de fonte primária (extração do sistema, documento original) a declarações;
- Registre as exceções no momento em que aparecem, com o contexto;
- Mantenha versão e data de cada papel de trabalho — a trilha de auditoria do próprio trabalho de auditoria é o que o torna defensável.
4. Achados e recomendações
Um achado bem escrito tem cinco elementos:
| Elemento | Responde a | Exemplo (resumido) |
|---|---|---|
| Condição | O que foi encontrado? | 12 pagamentos aprovados sem segunda alçada |
| Critério | O que deveria ser? | Política exige dupla aprovação acima do limite |
| Causa | Por que aconteceu? (causa-raiz, não sintoma) | Perfil de acesso permite auto-aprovação |
| Efeito | Qual a consequência real ou potencial? | Exposição a pagamento indevido/fraude |
| Recomendação | O que fazer — endereçando a causa | Corrigir perfis e revisar acessos trimestralmente |
Classifique a severidade com critérios definidos (impacto financeiro, exposição regulatória, recorrência) e valide os fatos com o auditado antes do relatório — a discussão é sobre a resposta, não sobre a existência do fato.
5. Relatório final
O relatório é para quem decide, não para quem executou o trabalho. Estrutura que funciona:
- Sumário executivo — opinião geral, avaliação do ambiente de controles e os achados críticos em meia página;
- Objetivo, escopo e limitações;
- Achados por severidade, cada um com condição/critério/causa/efeito/recomendação, o plano de ação acordado, o responsável e o prazo;
- Anexos técnicos.
6. Follow-up: onde a auditoria vira resultado
Achado sem acompanhamento é diagnóstico sem tratamento. Mantenha um inventário vivo de planos de ação com dono, prazo, status e evidência de implementação; reporte periodicamente à administração o envelhecimento dos pontos abertos; e re-teste os controles corrigidos antes de dar o ponto por encerrado.
Como o T-Visor ajuda
O T-Visor organiza o ciclo completo — solicitações e evidências, papéis de trabalho com revisão, achados com planos de ação e follow-up, tudo com trilha imutável — e conecta o plano de auditoria às mudanças regulatórias que o Radar Normativo captura diariamente das fontes oficiais. Agende uma demonstração.
Perguntas frequentes
Qual a diferença entre auditoria interna e compliance? Compliance (segunda linha) desenha e opera o programa de conformidade no dia a dia; a auditoria interna (terceira linha) avalia, com independência e de forma periódica, se esse programa e os demais controles funcionam.
Todo achado precisa de plano de ação? Todo achado precisa de uma decisão: plano de ação com dono e prazo, ou aceite formal do risco pela alta administração. O que não pode existir é achado sem resposta documentada.
Com que frequência revisar o plano anual? Formalmente ao menos uma vez ao ano; na prática, o plano deve ser reavaliado quando surge risco material novo — um incidente grave ou uma mudança regulatória relevante.
Este conteúdo é informativo e não substitui normas profissionais de auditoria interna nem aconselhamento especializado.