Auditoria interna madura não é a que encontra mais problemas — é a que olha para os lugares certos, evidencia o que encontrou e faz as correções acontecerem. Este guia percorre o ciclo completo, do plano anual ao follow-up, com as práticas que diferenciam uma função de auditoria que agrega valor de uma que produz relatórios engavetados.

O papel da auditoria interna

A auditoria interna é a terceira linha da organização: avalia, com independência, se a gestão de riscos e os controles internos funcionam. Ela não desenha nem opera controles (papel da gestão e das funções de risco/compliance) — ela dá à alta administração uma opinião fundamentada sobre eles.

1. Planejamento baseado em riscos

O plano anual nasce do universo auditável — o inventário de processos, sistemas, unidades e temas que podem ser auditados — priorizado por risco. Insumos essenciais:

  • a matriz de riscos corporativa e as avaliações por processo;
  • histórico de achados e incidentes;
  • mudanças regulatórias em curso — um requisito novo cria risco novo. Um processo estruturado de monitoramento regulatório alimenta o plano com o que mudou e o que vai mudar;
  • pedidos da administração e do comitê de auditoria.

O resultado: quais trabalhos serão feitos no ano, com qual objetivo, escopo preliminar e alocação de horas. Documente também o que ficou de fora e por quê — o regulador pergunta.

2. Programa de trabalho

Cada trabalho começa com um programa: objetivos do exame, escopo (períodos, sistemas, unidades), critérios (normas, políticas, frameworks como o COSO), riscos e controles a testar, procedimentos e tamanho de amostras. O programa é o contrato do trabalho — mudanças de escopo durante a execução devem ser registradas e justificadas.

3. Execução e evidências

A regra de ouro: uma conclusão vale o que vale sua evidência. Para cada procedimento executado, os papéis de trabalho devem permitir que um revisor independente refaça o caminho: o que foi testado, contra qual critério, com qual amostra, qual resultado, quem executou e quem revisou.

  • Prefira evidência de fonte primária (extração do sistema, documento original) a declarações;
  • Registre as exceções no momento em que aparecem, com o contexto;
  • Mantenha versão e data de cada papel de trabalho — a trilha de auditoria do próprio trabalho de auditoria é o que o torna defensável.

4. Achados e recomendações

Um achado bem escrito tem cinco elementos:

Elemento Responde a Exemplo (resumido)
Condição O que foi encontrado? 12 pagamentos aprovados sem segunda alçada
Critério O que deveria ser? Política exige dupla aprovação acima do limite
Causa Por que aconteceu? (causa-raiz, não sintoma) Perfil de acesso permite auto-aprovação
Efeito Qual a consequência real ou potencial? Exposição a pagamento indevido/fraude
Recomendação O que fazer — endereçando a causa Corrigir perfis e revisar acessos trimestralmente

Classifique a severidade com critérios definidos (impacto financeiro, exposição regulatória, recorrência) e valide os fatos com o auditado antes do relatório — a discussão é sobre a resposta, não sobre a existência do fato.

5. Relatório final

O relatório é para quem decide, não para quem executou o trabalho. Estrutura que funciona:

  1. Sumário executivo — opinião geral, avaliação do ambiente de controles e os achados críticos em meia página;
  2. Objetivo, escopo e limitações;
  3. Achados por severidade, cada um com condição/critério/causa/efeito/recomendação, o plano de ação acordado, o responsável e o prazo;
  4. Anexos técnicos.

6. Follow-up: onde a auditoria vira resultado

Achado sem acompanhamento é diagnóstico sem tratamento. Mantenha um inventário vivo de planos de ação com dono, prazo, status e evidência de implementação; reporte periodicamente à administração o envelhecimento dos pontos abertos; e re-teste os controles corrigidos antes de dar o ponto por encerrado.

Como o T-Visor ajuda

O T-Visor organiza o ciclo completo — solicitações e evidências, papéis de trabalho com revisão, achados com planos de ação e follow-up, tudo com trilha imutável — e conecta o plano de auditoria às mudanças regulatórias que o Radar Normativo captura diariamente das fontes oficiais. Agende uma demonstração.

Perguntas frequentes

Qual a diferença entre auditoria interna e compliance? Compliance (segunda linha) desenha e opera o programa de conformidade no dia a dia; a auditoria interna (terceira linha) avalia, com independência e de forma periódica, se esse programa e os demais controles funcionam.

Todo achado precisa de plano de ação? Todo achado precisa de uma decisão: plano de ação com dono e prazo, ou aceite formal do risco pela alta administração. O que não pode existir é achado sem resposta documentada.

Com que frequência revisar o plano anual? Formalmente ao menos uma vez ao ano; na prática, o plano deve ser reavaliado quando surge risco material novo — um incidente grave ou uma mudança regulatória relevante.

Este conteúdo é informativo e não substitui normas profissionais de auditoria interna nem aconselhamento especializado.