Relatório de Auditoria Interna

Transcrição

1 SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DA EDUCAÇÃO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO RIO GRANDE DO NORTE Relatório de Auditoria Interna Número: 06/2016 AUDGE/RE/Núcleo REITORIA AÇÃO DO PAINT/2016: 4.03 Auditoria Baseada em Riscos-Controle Interno Ações PAINT 2017 Objetivo: A auditoria teve como objetivo levantar informações sobre a estrutura de controle interno das Diretorias Sistêmicas da Reitoria e das Diretorias Acadêmicas dos Campi, resultando na elaboração de uma matriz de risco, com o propósito de subsidiar o planejamento dos trabalhos de auditoria (PAINT 2017). Unidades Examinadas: DIRETORIAS SISTÊMICAS (DIGTI, DIGAE E DIGPE ) E DIRETORIAS ACADÊMICAS dos Campi do IFRN.

2 ITEM CÂMPUS UG UASG 01 REITORIA CEARÁ MIRIM CANGUARETAMA SÃO PAULO DO POTENGÍ NATAL-CENTRAL CAICÓ CURRAIS NOVOS/CAMPUS AVANÇADO DE PARELHAS EM IMPLANTAÇÃO IPANGUAÇU JOÃO CÂMARA/CAMPUS AVANÇADO EM LAJES-EM IMPLANTAÇÃO MACAU MOSSORÓ NATAL-ZONA NORTE NATAL- CIDADE ALTA NOVA CRUZ PARNAMIRIM PAU DOS FERROS SANTA CRUZ SÃO GONÇALO DO AMARANTE APODI EDUCAÇÃO A DISTÂNCIA-EAD

3 Os resultados apresentados neste relatório foram gerados pelas ações de controle executadas pelos Auditores Internos do Núcleo Reitoria deste Instituto Federal de Educação, Ciência e Tecnologia do Grande do Norte, conforme relação a seguir: EQUIPE DE AUDITORES INTERNO DO IFRN NÚCLEO REITORIA Acymara Catarina Zumba de Oliveira SIAPE nº Auditor Nathalia de Sousa Valle da Silva SIAPE nº Auditor Alexandre Carlos de Souza SIAPE nº Auditor Lawrence Praxedes Mariz SIAPE nº Auditor Islany Patrícia de Araújo Costa SIAPE nº Auditor Zeneide de Oliveira Bezerra Chefe da Auditoria Geral/IFRN Mat. SIAPE: 41846

4 CONTROLES INTERNOS Controles Internos da Gestão: conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e informações, entre outros, operacionalizados de forma integrada pela direção e pelo corpo de servidores das organizações Componentes dos Controles Internos da Gestão: são o ambiente de controle interno da entidade, a avaliação de risco, as atividades de controles internos, a informação e comunicação e o monitoramento; Auditoria Interna: atividade independente e objetiva de avaliação e de consultoria, desenhada para adicionar valor e melhorar as operações de uma organização. Ela auxilia a organização a realizar seus objetivos, a partir da aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gerenciamento de riscos, de controles internos, de integridade e de governança. As auditorias internas no âmbito da Administração Pública se constituem na terceira linha ou camada de defesa das organizações, uma vez que são responsáveis por proceder à avaliação da operacionalização dos controles internos da gestão (primeira linha ou camada de defesa, executada por todos os níveis de gestão dentro da organização) e da supervisão dos controles internos (segunda linha ou camada de defesa, executada por instâncias específicas, como comitês de risco e controles internos). Compete às auditorias internas oferecer avaliações e assessoramento às organizações públicas, destinadas ao aprimoramento dos controles internos, de forma que controles mais eficientes e eficazes mitiguem os principais riscos de que os órgãos e entidades não alcancem seus objetivos; Risco - A possibilidade de ocorrer um evento que venha a ter impacto no cumprimento dos objetivos. O risco é medido em termos de impacto e de probabilidade. Ambiente de Controle - Atitudes e ações do conselho e da administração em relação à importância dos controles dentro da organização. O ambiente de controle proporciona a disciplina e a estrutura para se atingir os principais objetivos do sistema de controle interno. O ambiente de controle inclui os seguintes elementos: a) Integridade e valores éticos; b) Filosofia e estilo operacional da administração; c) Estrutura organizacional; d) Atribuição de autoridade e responsabilidade; e) Políticas e práticas de recursos humanos; f) Competência do pessoal. Gerenciamento de Riscos - Processo para identificar, avaliar, administrar e controlar potenciais eventos ou situações, para fornecer uma razoável certeza em relação ao cumprimento dos objetivos da organização. Segregação de funções - Princípio básico do sistema de controle interno que consiste na separação de funções, nomeadamente de autorização, aprovação, execução, controle e contabilização das operações.

5 Atividades de controle São atividades de prevenção ou de detecção, as quais, quando executadas tempestivamente e de maneira adequada, possibilitam a minimização e gestão dos riscos. Avaliação e gerenciamento de riscos Estabelecidos metas e objetivos da organização, devem ser identificados os riscos que ameaçam seu cumprimento. Os administradores das entidades devem definir as naturezas e os níveis de riscos operacionais, de informação e de conformidade que estão dispostos a assumir. As ações oportunas com a finalidade de mitigação desses riscos constituem-se em atividades de avaliação e de gerenciamento dos riscos. Trata-se de ações proativas a fim de evitar surpresas desagradáveis. Informação e comunicação O fluxo de comunicação dentro de uma organização deve ocorrer em todas as direções, entre os níveis hierárquicos superiores e inferiores e dentro deles, contemplando a comunicação horizontal e vertical, para um bom funcionamento dos controles. Ademais, o processo de comunicação deve ser preferencialmente formal. Atualmente, grande parte das organizações públicas armazena seus dados e informações em sistemas informatizados. Por isso, o planejamento de auditoria deve contemplar a avaliação do risco e da segurança em ambientes eletrônicos, por meio de técnicas de controle em sistemas informatizados. Monitoramento Trata-se da avaliação dos controles internos ao longo do tempo, por meio de mecanismos de auto avaliação, revisões internas e auditorias internas programadas COSO I - Internal Control Integrated Framework (Controle Interno Um Modelo Integrado) Em 1992, a comissão publicou o trabalho Internal Control Integrated Framework (Controle Interno Um Modelo Integrado), que tornou-se uma referência mundial para o estudo e aplicação dos controles internos A ORGANIZAÇÃO INTERNACIONAL das Entidades Superiores de Fiscalização INTOSAI diz que: Controle interno é um processo integrado efetuado pela direção e corpo de funcionários, e é estruturado para enfrentar os riscos e fornecer razoável segurança de que na consecução da missão da entidade os seguintes objetivos gerais serão alcançados: execução ordenada, ética, econômica, eficiente e eficaz das operações; cumprimento das obrigações de accountability; cumprimento das leis e regulamentos aplicáveis; salvaguarda dos recursos para evitar perdas, mau uso e danos.

6 O modelo COSO I tornou-se referência mundial, pelo fato de: uniformizar definições de controle interno; definir componentes, objetivos e objetos do controle interno em um modelo integrado; delinear papéis e responsabilidades da administração; estabelecer padrões para implementação e validação; criar um meio para monitorar, avaliar e reportar controles internos. ATENÇÃO: o controle interno da própria entidade não deve ser confundido com o sistema de controle interno descrito no artigo 74 da Constituição. Controle interno é um processo conduzindo pela estrutura de governança, administração e outros profissionais da entidade e desenvolvido para proporcionar segurança razoável com respeito à realização dos objetivos relacionados a operações, divulgação e conformidade. Atenção: estrutura de governança abrange o órgão deliberativo, conselho consultivo, sócios, proprietários ou conselho supervisor. O conceito dado pela INTOSAI é coerente com o rol de finalidades que a Constituição de 1988 atribui aos sistemas de controle interno de cada um dos Poderes. Controle interno, controles internos e sistema ou estrutura de controle (s) interno (s) são consideradas expressões sinônimas. O controle interno é: Conduzido para atingir objetivos; Um processo um meio para um fim, não um fim em si mesmo; Realizado por pessoas; Capaz de proporcionar segurança razoável; Adaptável à estrutura da entidade. COMPONENTES DO CONTROLE INTERNO: 1-AMBIENTE DE CONTROLE 2-AVALIAÇÃO DE RISCOS 3-ATIVIDADES DE CONTROLE 4-INFORMAÇÃO E COMUNICAÇÃO

7 5-MONITORAMENTO 1- COMPONENTES DO CONTROLE INTERNO AMBIENTE DE CONTROLE: Dá o ritmo da organização, influenciando a consciência de controle das pessoas que nela trabalham. Base dos demais componentes. Exemplos: Estatuto, Regimentos Internos, Manuais, Leis, valores éticos, estrutura organizacional, fluxogramas etc... 2-COMPONENTES DO CONTROLE INTERNO AVALIAÇÃO DE RISCOS: Identificação e análise dos riscos relevantes para a consecução dos objetivos. Etapas: identificação, análise e resposta ao risco. APETITE DE RISCOS. resposta ao risco: mate - mitigação, assunção, transferência de riscos e eliminação 3. COMPONENTES DO CONTROLE INTERNO ATIVIDADES DE CONTROLE: Políticas e procedimentos para assegurar que as diretrizes sejam seguidas. Ex: Processos de autorização e aprovação; verificações; acesso controle a recursos e registros; e segregação de funções. 4. COMPONENTES DO CONTROLE INTERNO INFORMAÇÃO E COMUNICAÇÃO: A comunicação é inerente à informação. Deve-se garantir a integridade, confiabilidade e exatidão das informações (adequada, acessível, tempestiva e oportuna). Processamento e armazenamento adequado. Em suma: Processo de identificação, captura e troca de informações.

8 5. COMPONENTES DO CONTROLE INTERNO MONITORAMENTO: Processo que avalia a qualidade do desempenho dos controles internos. Ex: auditorias internas e auditorias independentes OBJETIVOS CONTROLE INTERNO TIPO DE OBJETIVO OPERACIONAL DIVULGAÇÃO CONFORMIDADE ABRANGÊNCIA Eficácia e eficiência das operações da entidade. Divulgações financeiras e não financeiras, internas e externas. Cumprimento de leis e regulamentações às quais a entidade está sujeita. RELAÇÃO ENTRE OBJETIVOS E COMPONENTES: COMPONENTES E PRINCÍPIOS: O modelo/método do COSO I estabelece 17 princípios, que representam os conceitos fundamentais associados a cada componente.

9 COMPONENTES E PRINCÍPIOS AMBIENTE DE CONTROLE: A organização demonstra ter comprometimento com a integridade e os valores éticos. A estrutura de governança demonstra independência em relação aos seus executivos e supervisiona o desenvolvimento e o desempenho do controle interno. A administração estabelece, com a supervisão da estrutura de governança, as estruturas, os níveis de subordinação e as autoridades e responsabilidades adequadas na busca dos objetivos. A organização demonstra comprometimento para atrair, desenvolver e reter talentos competentes, em linha com seus objetivos. A organização faz com que as pessoas assumam responsabilidade por suas funções de controle interno na busca pelos objetivos. COMPONENTES E PRINCÍPIOS AVALIAÇÃO DE RISCOS A organização especifica os objetivos com clareza suficiente, a fim de permitir a identificação e a avaliação dos riscos associados aos objetivos. A organização identifica os riscos à realização de seus objetivos por toda a entidade e analisa os riscos como uma base para determinar a forma como devem ser gerenciados. A organização considera o potencial para fraude na avaliação dos riscos à realização dos objetivos. A organização identifica e avalia as mudanças que poderiam afetar, de forma significativa, o sistema de controle interno. COMPONENTES E PRINCÍPIOS

10 ATIVIDADES DE CONTROLE A organização seleciona e desenvolve atividades de controle que contribuem para a redução, a níveis aceitáveis, dos riscos à realização dos objetivos. A organização seleciona e desenvolve atividades gerais de controle sobre tecnologia para apoiar a realização dos objetivos. A organização estabelece atividades de controle por meio de políticas que estabelecem o que é esperado e os procedimentos que colocam em prática essas políticas COMPONENTES E PRINCÍPIOS INFORMAÇÃO E COMUNICAÇÃO A organização obtém ou gera e utiliza informações significativas e de qualidade para apoiar o funcionamento do controle interno. A organização transmite internamente as informações necessárias para apoiar o funcionamento do controle interno, inclusive os objetivos e responsabilidades pelo controle. A organização comunica-se com os públicos externos sobre assuntos que afetam o funcionamento do controle interno. COMPONENTES E PRINCÍPIOS ATIVIDADES DE MONITORAMENTO: A organização seleciona, desenvolve e realiza avaliações contínuas e/ou independentes para se certificar da presença e do funcionamento dos componentes do controle interno. A organização avalia e comunica deficiências no controle interno em tempo hábil aos responsáveis por tomar ações corretivas, inclusive a estrutura de governança e alta administração, conforme aplicável. CONTROLE INTERNO EFICAZ Os componentes não devem ser considerados de forma separada.

11 Os componentes são interdependentes. Quando existe um deficiência maior com respeito à presença e ao funcionamento de um componente ou princípio relevante, ou com a operação conjunta dos componentes de uma forma integrada, a organização não pode concluir que já possui um controle eficaz LIMITAÇÕES DO CONTROLE INTERNO ERROS DE JULGAMENTO: NA TOMADA DE DECISÕES. FALHAS: FALTA DE CUIDADO, DISTRAÇÃO OU CANSAÇO. CONLUIO: DIFÍCIL DETECÇÃO. CUSTO X BENEFÍCIO: O CUSTO NÃO PODE SER MAIOR QUE O BENEFÍCIO. EVENTOS EXTERNOS: IMPREVISIBILIDADE. ATENÇÃO: O controle interno proporciona segurança razoável, mas não absoluta!!!! UTILIZAÇÃO DO COSO I CONTROLE INTERNO ESTRUTURA INTEGRADA A forma de aderência ao modelo COSO I dependerá dos papeis desempenhados pelas partes interessadas. Partes: Estrutura de governança; Alta administração; Auditores internos; Outros profissionais; Auditores independentes; Outras organizações profissionais; e Educadores. Estrutura de governança (CONSUP e CODIR) deve deliberar sobre a situação do sistema de controle interno da entidade com a alta administração Alta administração é responsável pelo controle interno. Por isso deve avaliar o sistema de controle interno da entidade, concentrando em como aplicar os 17 princípios em apoio aos componentes do controle interno.

12 e supervisioná-lo, conforme necessário. Além disso, devem estabelecer as suas políticas. Auditoria Interna deve elaborar/revisar seu Plano Anual de Atividades de Auditoria (PAINT), conforme o modelo COSO I. QUESTIONÁRIO DO CONTROLE INTERNO APLICADO AS DIRETORIAS QUESTIONÁRIO GESTOR AMBIENTE DE CONTROLE SIM (0) PARCIAL MENTE (2,5) NÃO (5) OBSERVAÇÕES A estrutura organizacional está definida em instrumento normativo, com definição da autoridade e subordinação e estas são do conhecimento de todos os envolvidos? Existem normas claras definindo as atribuições, competências, responsabilidade e responsabilização? Existe adequada segregação de funções dos processos e atividade da competência da unidade? AVALIAÇÃO DE RISCOS SIM (0) PARCIAL MENTE (2,5) NÃO (5) OBSERVAÇÕES Os objetivos pretendidos do setor foram definidos com clareza, formalizados e são de conhecimento de todos os envolvidos? Forma identificados os riscos relacionados as atividades desenvolvidas no setor? É prática do setor, o diagnóstico dos riscos (de origem interna e externa) envolvidos nos seus processos operacionais, bem como a identificação da probabilidade de ocorrência desses riscos e a consequente adoção de medidas para mitigá-los? Na ocorrência de fraudes e desvios, é prática da unidade solicitar a instauração de sindicância para apurar responsabilidades e exigir eventual ressarcimento?

13 Os riscos identificados são mensurados e classificados de modo a serem tratados em uma escala de prioridades e a gerar informações úteis à tomada de decisão? PROCEDIMENTOS DE CONTROLE SIM (0) PARCIAL MENTE (2,5) NÃO (5) OBSERVAÇÕES O servidor em gozo de férias possui substituto designado e treinado para exercer as suas funções? Há manual de rotinas e procedimentos devidamente formalizado e divulgado? Há fluxograma e ou mapas de processo contemplem as atividades do setor? Há prática de segregação de funções no desempenho das atividades no setor? Todas as etapas relacionadas aos processos de trabalho são conferidas e supervisionadas por outro servidor? Existe acompanhamento constante das alterações na legislação pertinentes a atividades desempenhadas? INFORMAÇÃO E COMUNICAÇÃO SIM (0) PARCIAL MENTE (2,5) NÃO (5) OBSERVAÇÕES A informação relevante para o setor é devidamente identificada, documentada, armazenada e comunicada tempestivamente às pessoas adequadas? A informação disponível para as unidades internas e pessoas da Instituição é apropriada, tempestiva, atual, precisa e acessível? O fluxo das informações está adequado aos objetivos propostos e as comunicações são tempestivas de modo que não ocorra o comprometimento das etapas subsequentes? MONITORAMENTO SIM (0) PARCIAL MENTE (2,5) NÃO (5) OBSERVAÇÕES

14 A auditoria interna constantemente monitora o setor para avaliar sua validade e qualidade ao longo do tempo? O sistema de controle interno (Auditoria Interna e Externa) tem contribuído para a melhoria do desempenho do setor auditado? Existem ações de monitoramento e divulgação para o cumprimento de recomendações relativas pela Controladoria Geral da União CGU e da Auditoria-Geral do IFRN (plano de providências)? TOTAL DE PONTOS QUESTIONÁRIO APLICADO A ANÁLISE DO AUDITOR QUESTIONÁRIO - Auditor 1) A área executa processos críticos (volume financeiro) ou chaves (relacionados com atividades finalísticas da instituição)? (0) NÃO (10) SIM 2) Quando foi a última vez que a área foi auditada? (0) Nos últimos 6 (seis) meses (5) No intervalo de 6 (seis) meses a 12 (doze) meses (10) No intervalo de 12 (doze) a 24 (vinte e quatro) meses (20) Nunca 3) Qual o montante em recursos orçamentários movimentado pela área? (0) De R$ 0,00 (5) De R$ ,01 a R$ ,00 (10) De R$ ,00 a R$ ,00 (15) De R$ ,00 a R$ ,00 (20) Acima de R$ ,00 4) Com base nos conhecimentos/experiência dos auditores, como são avaliados os controles internos da área?

15 (0) Ótimos (5) Bons (10) Razoáveis (15) Frágeis (20) Muito Frágeis 5) Com base nos conhecimentos/experiência dos auditores, as informações disponibilizadas pela área, nos mais variados meios, são dotadas de qualidade e propiciam uma comunicação adequada com interessados? (0) Frequentemente (5) Algumas vezes (10) Raramente 6) Qual a probabilidade e o impacto de riscos à imagem do IFRN nos processos executados pelo setor? (0) Baixa probabilidade e baixo impacto (5) Alta probabilidade e baixo impacto (10) Baixa probabilidade e alto impacto (15) Alta probabilidade e alto impacto 7) A área costuma acatar/implementar recomendações feitas pela Auditoria Interna e pelos órgãos de controle (CGU e TCU)? (0) Não houve recomendação (1) Sempre acata (2) Frequentemente acata (3) Algumas vezes acata (4) Raramente acata (5) Nunca acata PONTUAÇÃO: Auditor 7 QUESTÕES Total máximo -100 Total mínimo - 00

16 ENTREVISTA COM O SETOR AUDITADO ENTREVISTA Levantamento de informações 1 - Existe definição clara da competência do setor e do responsável/autoridade? 2 - Existe manual de rotinas e fluxogramas do setor? 3 - Qual o quantitativo de servidores, bolsistas e estagiários no setor? 4 - As normas do setor (Leis, Estatuto, Regimento, Resoluções e outros documentos internos) são de conhecimento dos servidores? 5 - As delegações de autoridade estão acompanhadas de claras definições de responsabilidade? 6 - O setor identifica os/as processos/atividades mais críticas? 7 - Foram estimadas as probabilidades de ocorrência e/ou impactos dos riscos? 8 - Quais ações foram tomadas para evitar ou reduzir o risco? Exemplifique com caso concreto. 9 - Quais os meios de comunicação utilizados pelo setor? 10 - Qual a forma de armazenamento dos dados/processos do setor? 11 O setor já recebeu auditoria interna ou externa? 12 Caso a resposta da pergunta 11 for sim, qual a contribuição da auditoria para a melhoria do setor? 13 O setor recebeu alguma recomendação da auditoria interna? 14 Caso a resposta da pergunta 13 for sim, qual a forma de monitoramento e divulgação para atendimento da recomendação? 15 Fale sobre as dificuldades/desafios encontradas(os) no setor. 16 Fale sobre os pontos positivos do setor. OBSERVAÇÃO: - O questionário deve ser respondido, preferencialmente, pelo responsável do setor ou, quando não for possível, validado por ele. - O questionário é exemplificativo, podendo sofrer alteração conforme o caso. - Recomenda-se que o setor seja orientado quanto a eventual dificuldade na compreensão dos termos técnicos utilizados, caso considere oportuno encaminhe o glossário no papel de trabalho nº Solicite documentos/dados que comprovem as respostas do questionário.

17 FASES DO PROCEDIMENTO 1. Levantamento de informações S ( ) N ( ) 2. Verificação de Riscos S ( ) N ( ) 3. Matriz de riscos S ( ) N ( ) 4. Relatório S ( ) N ( ) 1 - Detalhamento das Fases: 1ª Fase Levantamento de informações O objetivo dessa fase é possibilitar o conhecimento geral da unidade auditada, por meio de aplicação de entrevista (responsável pelo setor e equipe de apoio). Nessa etapa, as informações a serem coletadas serão referentes à: atividades do setor; ambiente organizacional; estrutura organizacional; composição do quadro de servidores e prestadores de serviços; verificação sobre a existência de indicadores de desempenho; e levantamento dos principais processos de trabalho do setor essenciais para o atingimento de seus objetivos e metas. As técnicas que podem ser utilizadas para o levantamento das informações são: 1- Análise de SWOT; 2- Entrevista com gestores e equipe; 3- Análise documental; 4- Exame de registros. Análise de SWOT A palavra SWOT é um acrônimo formado pelas palavras inglesas: Strenghts (forças), Weaknesses (fraquezas), Opportunities (oportunidades) e Threats (ameaças). Conforme o Tribunal de Contas da União: A técnica da análise SWOT integra as metodologias de planejamento estratégico organizacional. A aplicação da técnica, segundo alguns autores, pode ocorrer quando do diagnóstico estratégico, após a definição da missão ou após o estabelecimento de objetivos de uma determinada organização. De qualquer forma, deve ser aplicada anteriormente à formulação estratégica de ação. Além de ser uma ferramenta facilitadora do diagnóstico institucional, pode ser usada também no âmbito das auditorias de natureza operacional, servindo como guia para organizar a opinião da equipe sobre o objeto da auditoria e o ambiente no qual opera. (Técnicas de Auditoria: Análise SWOT e Verificação de Risco. Brasília: TCU, Secretaria de Fiscalização e Avaliação de Programas de Governo, 2003.)

18 Por meio desse modelo, é possível levantar os pontos fortes e fracos, decorrentes de variáveis internas e, portanto, controláveis pelo Instituto, e também verificar as oportunidades e ameaças, decorrentes de variáveis externas, não diretamente controláveis pelo auditado, mas sobre as quais, por vezes, ele exerce influência. As oportunidades propiciariam condições favoráveis, desde que o auditado tenha interesse e condições de usufruí-las. As ameaças criariam condições desfavoráveis, devendo o auditado planejar como minimizá-las. Essa técnica propõe uma formulação de estratégica que busque atingir uma adequação entre as capacidades internas e as possibilidades externas. A seguir, o Quadro ilustra a aplicação da técnica: Figura 1 - Análise do Ambiente Interno/Externo Análise SWOT AMBIENTE INTERNO AMBIENTE EXTERNO + Forças Oportunidades + Pontos fortes as características positivas que uma organização pode explorar para atingir as suas metas. Referem-se às habilidades, capacidades e competências básicas da organização que atuam em conjunto para ajuda-la a alcançar suas metas e objetivos. Exemplo: equipe altamente capacitada, tecnologia avançada, adaptabilidade às mudanças. Características do ambiente externo, não controláveis pela organização, com potencial para ajudá-la a crescer e atingir ou exceder as metas planejadas. Exemplo: novos clientes, disponibilidade de novos canais de divulgação/distribuição, ampliação do escopo de atuação. - Fraquezas Ameaças - Pontos fracos as características negativas internas que podem inibir ou restringir o desempenho da organização. Referem-se à ausência de capacidades e/ou habilidades críticas. São, portanto, deficiências e características que devem ser superadas ou contornadas para que a organização possa alcançar o nível de desempenho desejado. Exemplo: sistemas de informação obsoletos, baixa capacidade inovadora. Características do ambiente externo, não controláveis pela organização, que podem impedi-la de atingir as metas planejadas e comprometer o crescimento organizacional. Exemplo: surgimento de produtos equivalentes, restrições orçamentárias, novos concorrentes no mercado, dispersão geográfica da clientela.

19 No momento da formulação do diagnóstico dos ambientes e de avaliação dos impactos positivos ou negativos sobre o desempenho do objeto de auditoria, algumas variáveis devem ser verificadas. No quadro a seguir, encontram-se listadas algumas dessas variáveis (rol exemplificativo). Figura 2 Quadro exemplificativo de variáveis +/- AMBIENTE INTERNO AMBIENTE EXTERNO +/- - Qualidade da operação do serviço - Sistema de atendimento ao beneficiário (informação, ouvidoria, linha 0800) - Divulgação do programa; - Sistema de monitoramento e avaliação - Infraestrutura do serviço - Sistema de planejamento; - Controle de custos - Distribuição de insumos - Recursos humanos - Flexibilidade da organização - Demanda pelos serviços prestados - Programas de capacitação - Tecnologias usadas por outros órgãos/programas - Política econômica - Legislação - Impactos no meio ambiente - Sistema financeiro - Organizações da sociedade civil (Sindicatos, ONGs, Redes de especialistas) - População alvo - Infraestrutura na comunidade beneficiária - Fatores geográficos - Fatores climáticos - Fornecedores de insumos A análise SWOT deve ser elaborada, preferencialmente, com a participação da equipe do setor auditado, pois são eles que melhor conhecem o ambiente no qual atuam, o que contribui para a elaboração de uma análise capaz de refletir a realidade do objeto de auditoria. 2ª Fase Verificação de Riscos Após o levantamento de informações, o auditor já possuirá uma visão ampla 1 do sistema de controle interno da unidade examinada, podendo visualizar as fragilidades e ameaças a que o setor está submetido. 1 Essas informações serão de grande valia para recomendações que serão descritas na conclusão do relatório de auditoria, que será mencionado mais à frente.

20 Sendo assim, nessa etapa será realizada a verificação do risco correspondente a cada área, segundo a visão do gestor e da Auditoria Interna (vide questionários nos papéis de trabalho nº 001 e 002). A aplicação do questionário será realizada da seguinte forma: Aplicação do questionário: A avaliação do risco pelo gestor ocorrerá por meio da aplicação do modelo descrito no papel de trabalho nº 001. A pontuação do questionário será de 0 (zero) pontos no caso SIM, 2,5 (dois e meio) pontos no caso PARCIALMENTE e 5 (cinco) pontos no caso NÃO. O questionário possuirá pontuação máxima de 100 (cem) e mínima de 0 (zero). Grau de risco GESTOR (%) = (Total apurado no questionário) (cálculo 01) Por outro lado, a avaliação do grau de risco pela Auditoria Interna, conforme modelo descrito no papel de trabalho nº 002, consiste no estabelecimento de 7 (sete) questões pertinentes à atuação desta Auditoria Interna, que serão analisadas por dois auditores, conforme critérios de pontuação pré-definidos, podendo o somatório variar de 0 (zero) até 100 (cem). Grau de risco Audin (%) = (Valor do Auditor 1 + Valor do Auditor 2)/2 (cálculo 02) Após concluídos os cálculos 01 e 02, temos os elementos para o cálculo da média aritmética ponderada final: Média final = (Grau de risco GESTOR(%)*4 + Grau de risco Audin(%)*6)/10 Observações: - Avaliação do gestor vale peso 4. - Avaliação do auditor vale peso 6 (especialista em controle interno e por deter visão holística da instituição). Após isso, a 3ª fase contemplará a elaboração da Matriz de riscos, com base na média aritmética ponderada. 3ª Fase Matriz de riscos

21 A matriz ou mapa de riscos consiste no resultado da análise realizada dos riscos, considerando sua probabilidade de impacto, no âmbito do componente Avaliação de Riscos, onde os mesmos são apresentados sob forma de tabela (matriz) ou gráfica (mapa), com o objetivo de facilitar ao analista enxergar quais e quantos são os maiores riscos enfrentados pela organização no atingimento de seus objetivos. Deve ser construída de acordo com a conveniência de cada caso. E a partir dela, é possível se definir os diferentes grupos de risco que deverão receber diferentes respostas, considerando o apetite a risco 2 da organização. O modelo proposto para o presente trabalho está representado na figura abaixo. Figura 3 Matriz de riscos 50% - 75% Risco alto 75% - 100% Risco crítico 0% - 25% Risco baixo 25% - 50% Risco médio IMPACTO PROBABILIDADE Conforme modelo acima, não se pretende posicionar o valor resultante da média ponderada das avaliações do gestor e da Auditoria Interna nas coordenadas do plano cartesiano (probabilidade x impacto), mas sim classificar as áreas do maior para o menor grau de risco, bem como adotar os intervalos e cores descritivos no gráfico. 4ª Fase Relatório Nessa fase, o Relatório deve conter, além dos dados básicos da auditoria, as informações dos resultados dos trabalhos, tais como: levantamento de informações, aplicação da fórmula da verificação de risco, a matriz de riscos e conclusão. Salientamos que, a conclusão deve conter a análise crítica do auditor sobre o resultado apontado na matriz de riscos e recomendação de maior atenção para as áreas/setores/processos que apresentarem maior grau de riscos, de modo a proporcionar um melhor embasamento à definição das ações do PAINT Apetite de riscos é a quantidade de risco julgada aceitável pela Instituição. Representa o montante de riscos que uma organização está preparada para aceitar, tolerar ou estar exposta.

22 SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DA EDUCAÇÃO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO RN AUDITORIA GERAL/REITORIA Rua Dr. Nilo Bezerra Ramalho, 1692, Tirol, CEP , Telefone: (84) NATUREZA DA AUDITORIA : LEVANTAMENTO CÓDIGO UG/UNIDADE : RELATÓRIO Nº : 06/2016-AUDGE/IFRN Núcleo Reitoria RELATÓRIO DE AUDITORIA 1. INTRODUÇÃO Em conformidade com item 4.3 do Plano Anual de Auditoria Interna, ano calendário 2016, assim como em estrita observância a Ordem de Serviço nº 10/2016-AUDGE, a Auditoria Interna/AUDGE vem apresentar o resultado dos exames, realizado nas diretorias sistêmicas da Reitoria do IFRN (DIGTI, DIGPE e DIGAE) e nas diretorias acadêmicas de todos os campi do IFRN (DIAC s), exceto Lajes e Parelhas 3. Ressalta-se que não houve limitações ao escopo da auditoria realizada, salvo alguns atrasos em responder as solicitações de auditoria. Os trabalhos de auditoria foram realizados pela AUDIN Núcleo Reitoria no período de 01/03/2016 a 03/06/2016. A auditoria teve como objetivo levantar informações sobre a estrutura de controle interno das Diretorias Sistêmicas da Reitoria e das Diretorias Acadêmicas dos Campi, resultando na elaboração de uma matriz de risco, com o propósito de subsidiar o planejamento dos trabalhos de auditoria (PAINT 2017). 3 Por se tratarem de unidades recentes ainda em fase de estruturação.

23 Para atingir o objetivo do trabalho da auditoria, foram utilizadas as seguintes técnicas: a) Exame dos registros: analisar os sistemas utilizados pelo setor auditado (SUAP, SIAFI etc); b) Indagação Escrita ou Oral: emitir S.A ao setor auditado solicitando informações para averiguar a existência de mecanismos de controles internos e solicitar documentos comprobatórios; c) Análise Documental: analisar os documentos apresentados pelo setor, quando solicitados por meio de S.A. Assim sendo, os trabalhos foram realizados em conformidade com as normas de auditoria aplicáveis ao Serviço Público Federal e ao PAINT 2016, com observância das seguintes normas: Regimento Interno da Auditoria Interna do IFRN (Resolução nº 28/2014-CONSUP); Estatuto e Regimento Geral do IFRN; Controle Interno Estrutura Integrada (COSO) e manual do controle interno do TCU. 2. ESCOPO Os trabalhos foram realizados conforme o PAINT/2016, mediante levantamento de informações, para avaliar a viabilidade de auditorias e realizar o mapeamento de riscos das diretorias sistêmicas e das diretorias acadêmicas dos Campi do IFRN, exceto Lajes e Parelhas. 3. RESULTADO DOS EXAMES 3.1 LEVANTAMENTO DE INFORMAÇÕES DADOS EXTRAÍDOS DAS DIAC S E DIRETORIAS SISTÊMICAS INFORMAÇÃO 01 - ANÁLISE DAS RESPOSTAS DO QUESTIONÁRIO 01. Após análise dos questionários respondidos pelos setores auditados (Diretorias Acadêmicas e Diretorias Sistêmicas), realizou-se o diagnóstico das forças e fraquezas, relacionadas ao ambiente interno dos setores avaliados, dos quais elencamos os seguintes pontos fortes e pontos fracos: a) PONTOS FORTES:

24 Formas de armazenamento de documentos e informações (os setores possuem arquivo físico, e- mail, pasta compartilhada utilizando a rede da Reitoria e do próprio Campus); Os substitutos de chefia/autoridade do setor têm conhecimento das responsabilidades e atribuições do cargo; Comprometimento dos servidores proporcionando um bom clima organizacional e integração, cooperação, gestão democrática, trabalho mútuo e multidisciplinar para o desempenho das atividades do setor. No caso específico do campus Parnamirim existem procedimentos e formulários elaborados para prover uma padronização e execução de algumas demandas do setor. Dentre alguns podemos citar: registro de antecipação/reposição de aula; plano de substituição de aula; fluxograma para os pagamentos de aulas externas/eventos coletivos; fluxograma para os pagamentos mensais das bolsas de tal, pesquisa e extensão; fluxograma para solicitação e pagamento de ajuda de custo a aluno; requerimento para concessão de auxílio financeiro estudante e requerimento de afastamento para capacitação (para servidores docentes e técnicos administrativos) e modelo de formulário para solicitação de aula externa. b) PONTOS FRACOS: Ausência de manual de rotinas e de padronização de procedimentos; Quantitativo de servidores insuficiente; Grande número de atribuições; Ausência de gestão de riscos; Falha na compreensão do termo risco ; Falta de treinamento para gestão escolar, pois não existe um treinamento específico para atuar na direção acadêmica, nem em termos de gestão nem em termos de leis específicas para servidores públicos; INFORMAÇÃO 02 GESTÃO DE RISCOS. Durante a execução dos trabalhos, foi realizada análise das informações dos gestores quanto à gestão de riscos nos setores auditados.

25 Para o diagnóstico, foi utilizado o modelo COSO I (Internal Control Integrated Framework) 4 que defende que a gestão de riscos deve ser realizada tendo como elementos mínimos essenciais: a Identificação de Riscos; a Análise de Riscos; e a Resposta aos Riscos. Todas essas etapas devem estar ligadas a um processo dinâmico e sistematizado, sob pena de interferir negativamente no resultado da gestão de riscos. Por isso, convém esclarecer que, embora algum setor tenha declarado que realizava a identificação de riscos e/ou tomava medidas de resposta aos riscos (mitigação, extinção, transferência ou assunção), não se pode admitir uma gestão de riscos incompleta. Portanto, após análise das informações dos gestores, verificou-se que todos os setores não possuem uma sistemática de realização da gestão de riscos. Por outro lado, um ponto relevante identificado durante os trabalhos, foi a compreensão equivocada ou limitada do termo risco, por parte dos gestores. Em vários casos, verificou-se que o termo risco era compreendido como uma eventualidade ligada apenas à segurança do trabalho ou qualidade de vida do trabalho. Em outros, havia uma confusão de significados que impossibilitava enxergar o real significado do termo risco por parte do gestor. Apenas para esclarecer, risco pode ser definido como a eventualidade ou incerteza que seja considerada relevante pela Instituição, que poderá interferir positivamente ou negativamente nos objetivos institucionais 5. Diante disso, é importante reconhecer a necessidade de capacitação aos gestores sobre noções de gestão de riscos INFORMAÇÃO 03 ATUAÇÃO DA AUDITORIA INTERNA SOB A PERSPECTIVA DO AUDITADO. Na presente auditoria, os setores tiveram a oportunidade de relatar suas experiências com a auditoria interna por meio de resposta a quatro perguntas no questionário, que indagavam especificamente se o setor já havia sido auditado, se houve recomendações e contribuições, e a forma de monitoramento dessas recomendações pelo auditado. 4 Aborda a gestão de riscos no componente da estrutura de controle interno denominado avaliação de riscos. 5 Ver Hillson, David. When is a Risk not a Risk?. IPMA Disponível em: < Acesso em: 24 de maio de 2016.

26 Apenas para esclarecer, as questões foram incluídas no questionário, tendo em vista a missão da auditoria interna de fortalecer a gestão, conforme consta no art. 8º, I, do Regimento Interno da Auditoria Interna do IFRN. Após análise das respostas, verifica-se que os Campi Zona Norte, Natal-Central, João Câmara, São Gonçalo do Amarante, Nova Cruz, Pau dos Ferros e Currais Novos afirmaram não terem sido auditados ou desconhecem que foram. Entretanto, todos eles foram submetidos à auditoria de Indicadores de Evasão, conforme Relatório de Auditoria n 018/2015, realizada pelo Núcleo Natal Central no período de 29/10/2015 à 31/01/2016. Tal alegação dos Diretores Acadêmicos dos campi listados acima é um indício de falha na comunicação da Auditoria com os gestores auditados, possivelmente por falha no envio e apresentação dos relatórios de auditoria, o que é reforçado pela resposta do Campus Ipanguaçu, que mesmo declarando ter sido auditado, até o envio da resposta da Solicitação de Auditoria nº 12/2016, ainda não tomara conhecimento do conteúdo do relatório da auditoria sobre indicadores de evasão. Vale mencionar que a Diretoria de Gestão de Tecnologia da Informação (DIGTI), em sua resposta ao questionário, informou que foi auditada, mas quando indagada sobre a contribuição, enfatizou que não percebemos como contribuição e sim como cobrança de informações, no entanto, importante destacar que no Relatório de Auditoria nº 07/2015, cujo objeto foi o controle do uso dos veículos oficias, se constatou Falha no funcionamento do módulo frota do SUAP e Ausência de ferramenta no SUAP para controle dos cartões desvinculados a um veículo específico, gerando recomendações para o aprimoramento do SUAP, que foram implementadas pelo setor, conforme Relatório de Monitoramento nº 01/2015. Os campi Apodi, Caicó, Ceará-mirim, Ipanguaçu, EAD, Cidade Alta, Mossoró, Parnamirim, Canguaretama, São Paulo do Potengi e Santa Cruz, e a Diretoria de Gestão de Atividades Estudantis declararam que já haviam sido auditados e as principais contribuições apontadas se relacionam à legalidade dos processos administrativos, cumprimento de prazos legais, melhoria dos controles internos, sistematização de rotinas e procedimentos administrativos, além de contribuição para a avaliação institucional da Permanência e Êxito dos estudantes. Ademais, o Diretor Acadêmico do Campus Canguaretama destacou que a auditoria exerce papel para além do aspecto técnico que lhe é peculiar, visto que as suas recomendações contribuem para a melhoria dos processos de gestão e de ensino-aprendizagem. Neste sentido, há um princípio educativo no trabalho da auditoria.

27 Assim sendo, a partir das respostas dos setores auditados, conclui-se que o trabalho da auditoria foi considerado positivo, no entanto, é necessário o aprimoramento constante da auditoria interna, para o fiel cumprimento de suas atribuições INFORMAÇÃO 04 RESPOSTAS DO QUESTIONÁRIO COM PONTUAÇÃO. Durante a realização dos trabalhos, os gestores responderam um questionário com três alternativas (SIM, NÃO e PARCIALMENTE), sendo a pontuação da seguinte forma: sim=0; não=5; e parcialmente=2,5. O questionário continha 20 questões, com pontuação total possível entre 0 (zero) e 100 (cem). O questionário abordava assuntos referentes aos componentes da estrutura de controle interno, segundo a concepção do COSO I, os quais são: ambiente de controle; procedimentos de controle, avaliação de riscos, informação e comunicação e monitoramento. Cada componente possuía questões específicas no questionário, as quais foram utilizadas para análise de cada parte da estrutura de controle interno. O cálculo de avaliação do grau de riscos de cada componente se deu da seguinte forma: o resultado percentual é alcançado pela pontuação obtida com relação as questões específicas de cada componente dividido pelo valor máximo possível de cada componente, sendo multiplicado por 100 (cem). Isto é: Grau de riscos (%) = Pontuação obtida no componente Valor máximo de cada componente x 100 Assim, quanto maior a pontuação do cálculo acima, maior o grau de risco. Ou seja, a pontuação desejável é que o resultado percentual seja o mais próximo de zero. Além disso, o presente trabalho de auditoria utilizou os seguintes parâmetros para a visualização dos resultados em gráficos: Classificação da cor Grau do risco Pontuação Risco Crítico 75% - 100% Risco Alto 50% - 75%

28 Risco Médio 25% - 50% Risco Baixo 0% - 25% AMBIENTE DE CONTROLE

29 Observação: Os campi Cidade-Alta, Zona Norte, Ipanguaçu e São Gonçalo do Amarante tiveram pontuação 0,00% AVALIAÇÃO DE RISCOS

30 Observação: Os campi São Paulo do Potengi e Cidade-Alta apresentaram pontuação 0,00% PROCEDIMENTOS DE CONTROLE

31 INFORMAÇÃO E COMUNICAÇÃO

32 Observação: Todas as Diretorias Sistêmicas e os Campi Parnamirim, Apodi, Cidade Alta, Mossoró, Ceará- Mirim e Ipanguaçu tiveram pontuação de 0,00% MONITORAMENTO

33 Observação: tiveram pontuação de 0,00%. Os Campi Parnamirim, Pau dos Ferros, Cidade Alta e a Diretoria de Gestão de Pessoas

34 3.2 ANÁLISE DA CLASSIFICAÇÃO DE RISCOS E MATRIZ DE RISCOS. Para a elaboração da matriz de riscos aplicou-se os seguintes cálculos: a) Cálculo 01 - Grau de risco GESTOR (%) = (Total apurado no questionário); b) Cálculo 02 - Grau de risco Audin (%) = (Valor do Auditor 1 + Valor do Auditor 2 + Valor do Auditor 3)/3; c) Cálculo 03 - Média final = (Grau de risco GESTOR(%)*4 + Grau de risco Audin(%)*6)/10 Os cálculos 01 e 02 foram realizados tendo como base os questionários aplicados respectivamente ao responsável do setor e a um trio de auditores, conforme programa de auditoria. A matriz ou mapa de riscos consiste no resultado da análise realizada dos riscos, e deve ser construída de acordo com a conveniência de cada caso. E a partir dela, é possível definir os diferentes grupos de risco que deverão receber diferentes respostas, considerando o apetite a risco 6 da organização. O critério de classificação de riscos para o presente trabalho está representado na figura abaixo: Critérios de Classificação de Riscos 50% - 75% Risco alto 75% - 100% Risco crítico 0% - 25% Risco baixo 25% - 50% Risco médio IMPACTO PROBABILIDADE 6 Apetite de riscos é a quantidade de risco julgada aceitável pela Instituição. Representa o montante de riscos que uma organização está preparada para aceitar, tolerar ou estar exposta.

35 Conforme modelo acima, não se pretende posicionar o valor resultante da média ponderada das avaliações do gestor e da Auditoria Interna nas coordenadas do plano cartesiano (probabilidade x impacto), mas sim classificar as áreas do maior para o menor grau de risco, bem como adotar os intervalos e cores descritivos no gráfico. Os resultados dos questionários para o cálculo de aferição de riscos estão descritos no quadro abaixo: SETOR QUESTIONÁRIO - GESTOR A1 A2 A3 MÉDIA AUDITOR TOTAL NC CNAT , JC 37, ,33 40,998 CM 22, ,33 28,998 SPP CAL 2, ,33 20,998 ZN MO 42, , IP 27, MC 32, SC 47, ,33 44,998 PAR 32, SGA ,33 32,998 PF 32, , AP 42, CANG 27, , CA CN , EAD ,8

36 SETOR QUESTIONÁRIO - GESTOR A1 A2 A3 MÉDIA AUDITOR TOTAL DIGAE , DIGPE 17, ,33 40,798 DIGTI 42, ,33 46,598 Legendas: Classificação da cor Grau do risco Sigla Significado Risco Crítico A1 Avaliação do Auditor 1 Risco Alto A2 Avaliação do Auditor 2 Risco Médio A3 Avaliação do Auditor 3 Risco Baixo GESTOR Avaliação do Gestor O resultado apresentado nos quadros acima evidencia que a maioria das Diretorias Acadêmicas estão inseridas no grau de risco médio, com exceção das diretorias dos seguintes campi: Caicó, Currais Novos, EAD e Cidade Alta. Destes, apenas o último está inserido no grau de risco baixo, os demais estão inseridos no grau alto. Pela avaliação dos cálculos, verifica-se que, com relação ao campus Cidade Alta, o resultado é decorrência da pontuação do questionário do gestor que teve pontuação muito abaixo do cenário geral das diretorias, resultando numa pontuação de grau baixo. Já nos campi Caicó, Currais Novos e EAD, o resultado é, em maior parte, consequência do questionário do gestor, porém com reflexo negativo, pois o próprio responsável do setor pode ter avaliado o setor com um olhar mais crítico, resultando numa pontuação acima da média geral. Além disso a avaliação da Auditoria Interna também teve impacto, porém de forma mais discreta na pontuação final. Portanto, após a realização dos cálculos e a respectiva análise, verifica-se que as pontuações das DIAC s estão inseridas dentro de um parâmetro que envolve os graus baixo, médio e alto. Sendo o cenário geral inserido no grau médio.

37 Com relação as Diretorias Sistêmicas, os cálculos demonstraram que a pontuação da auditoria foi destoante da avaliação do gestor, por conta de alguns fatores: a) recomendações pendentes na DIGPE; b) ausência de auditoria na DIGAE; e c) montante de recursos. Portanto, após a realização dos cálculos e a respectiva análise, verifica-se que as pontuações das Diretorias Sistêmicas da Reitoria estão inseridas dentro de um parâmetro que envolve o grau médio.

38 3.3 SUGESTÕES DE AUDITORIAS PARA O PAINT 2017 Após a realização dos trabalhos, a equipe de auditoria apresenta algumas sugestões de temas para ações no PAINT/2017, os quais serão descritos abaixo: a) Avaliação da utilização do sistema SUAP, módulo acadêmico, pelas DIAC s; b) Avaliação da DIGTI com relação a adesão das políticas de segurança da informação; c) Capacitação sobre noções de gestão de riscos para os gestores do IFRN, principalmente os Diretores Acadêmicos; d) Nas futuras auditorias, incluir, se possível, como objetivo específico a verificação da utilização dos manuais de rotinas administrativas e fluxogramas nas DIAC s e Diretorias Sistêmicas, em virtude da alta rotatividade de servidores nos setores, por conta principalmente dos remanejamentos, o que será relevante para evitar a perda de memória institucional e da constante necessidade de estar sempre reiniciando treinamentos em um curto espaço de tempo; e) Pelo fato de que o presente trabalho da auditoria e o de igual teor realizado no ano passado (Relatórios nº 03 e 04/2015) já tenham alcançado as pró-reitorias, diretorias sistêmicas, de administração e acadêmicas, sugerimos a continuação dos trabalhos com foco nos gabinetes, tendo em vista que se trata de setor relevante nos campi e Reitoria.

39 4. CONCLUSÃO: O presente relatório se propôs, especificamente, levantar informações sobre a atuação das unidades examinadas, a fim de possibilitar uma análise do controle interno e extrair sugestões de ações para o PAINT/2017; bem como estabelecer a classificação em função do grau de risco, após a aplicação de questionários e de cálculos definidos no programa de auditoria. Durante a realização dos trabalhos, foram realizadas mudanças pontuais em relação ao modelo adotado no ano passado, as alterações foram utilizadas para o bom andamento da ação e aperfeiçoamento da metodologia e atividade empregada. Sendo assim, os ajustes aconteceram nos seguintes pontos: na participação da equipe da auditoria no cálculo do risco Audin (antes o modelo envolvia dois auditores, para esta ação foram três); no envio das solicitações de auditorias (foi enviado apenas uma solicitação por setor contendo dois questionários); remodelação de alguns papéis de trabalho e apresentação de apenas um relatório. Os resultados dos cálculos da Matriz de Riscos demonstraram que as pontuações das DIAC s estão inseridas dentro de um parâmetro que envolve os graus baixo, médio e alto. Sendo o cenário geral inserido no grau médio. Com relação as pontuações das Diretorias Sistêmicas da Reitoria, os resultados demonstraram que estão inseridas dentro de um parâmetro que envolve o grau médio. Da análise da Matriz de Riscos, é importante mencionar que nenhum setor examinado apresentou grau de risco crítico. Após a apresentação da matriz de riscos, foram sugeridos os seguintes temas para ações no PAINT 2017: a) A utilização do sistema SUAP, módulo acadêmico; b) Aderência as políticas de segurança da informação; c) Manuais de rotinas administrativas e fluxogramas; d) Capacitação sobre noções de gestão de riscos; e) Continuação dos trabalhos (Levantamento de Informações) com foco nos gabinetes. Diante do exposto, em face dos exames realizados e considerando as sugestões apontadas acima e a classificação apresentada, encaminhamos o presente relatório para consideração superior. Natal/RN, 02 de junho de Zeneide de Oliveira Bezerra Matrícula SIAPE nº: Chefe da Auditoria Geral/IFRN