Revisão de Integridade da OCDE sobre o Brasil 2025

O controle público eficaz está no centro da boa gestão financeira e não financeira dos fundos públicos. Em um momento em que os governos em todo o mundo estão operando sob consideráveis restrições financeiras e precisam fazer mais com menos, as organizações públicas são obrigadas a obter o melhor custo-benefício de maneira eficaz e financeiramente responsável. Assim, a Recomendação do Conselho da OCDE sobre Integridade Pública exorta os aderentes a “aplicar um quadro de controle interno e gestão de riscos para proteger a integridade nas entidades do setor público” (OECD, 2017[1]). Um sistema de controle interno público exige que as instituições desenvolvam políticas e práticas de controle interno para apoiar uma gestão financeira sólida, garantir o cumprimento da legislação e dos regulamentos, salvaguardar os ativos e alcançar os objetivos organizacionais.

Além de um quadro eficaz de gestão de riscos de integridade e controle interno, um sistema de administração pública deve ter uma função de auditoria interna que seja eficaz e claramente separada das operações, e uma Instituição Suprema de Auditoria (Supreme Audit Institution - SAI) que tenha um mandato claro e seja independente, transparente e eficaz (OECD, 2017[1]). Em relação a esta última, as SAIs também podem contribuir para a implementação do controle interno e da gestão de riscos. Por meio de seus pareceres sobre a regularidade das demonstrações financeiras; sua avaliação sobre se o desempenho do governo está em conformidade com os princípios de eficiência, economia e eficácia; e sua determinação sobre se as entidades públicas estão em conformidade com suas autoridades governamentais, as SAIs estão bem posicionadas para fornecer supervisão externa e insights para informar a eficácia do controle interno e da gestão de riscos de integridade.

O Brasil é um país vasto, com um governo federativo altamente descentralizado. O Brasil tem melhorado consistentemente sua estrutura regulatória de gestão de riscos e controle interno ao longo dos anos, para se alinhar com os padrões internacionais e as boas práticas. No entanto, como muitos países, o Brasil enfrenta dificuldades na implementação de sua estrutura regulatória. Na prática, a eficácia geral do sistema de controle público é frequentemente prejudicada pela governança fraca, pela compreensão inadequada das funções e responsabilidades e pela falta de prestação de contas nos níveis mais altos. Além disso, embora as atividades de auditoria sejam proeminentes em todos os níveis do governo, a coordenação entre os vários órgãos de auditoria precisa ser fortalecida. Isso é particularmente relevante dada a descentralização das políticas, em que os governos federal, estaduais e locais estão envolvidos na elaboração de políticas e na prestação de serviços e em que vários órgãos de auditoria nos níveis nacional e subnacional têm a missão de auditar essas políticas em seus respectivos níveis. Para alinhar a prática ao quadro regulatório, é necessário fortalecer a governança, esclarecer as funções e responsabilidades e enfatizar o estabelecimento e o reforço da coordenação entre os órgãos de auditoria nacionais e subnacionais.

Este capítulo analisa o quadro brasileiro de gestão de riscos de integridade e auditoria e centra-se, em particular, nos seguintes três elementos essenciais:

• Apoiar a implementação de mecanismos de gestão de riscos e controle interno.

• Melhorar a atividade de auditoria interna.

• Reforçar a atividade de auditoria externa.

A implementação eficaz das políticas de gestão de riscos e controle interno depende de muitos agentes nos níveis governamental, institucional e individual. Portanto, é fundamental definir claramente o papel de cada agente. No nível governamental, os órgãos normativos do setor público garantem que as políticas de gestão de riscos e controle interno em todo o governo sejam consistentes e harmonizadas. No nível institucional, as políticas e os processos de gestão de riscos e controle interno fornecem à administração uma garantia razoável de que a organização está alcançando seus objetivos de integridade e gerenciando seus riscos de forma eficaz. Por fim, no nível individual, muitas normas exigem o compromisso pessoal dos funcionários públicos com a integridade e o cumprimento dos códigos de conduta (OECD, 2020[2]). Normalmente, a responsabilidade pela implementação de sistemas de gestão de riscos e controle interno em todo o governo é compartilhada entre várias organizações do setor público, como uma unidade central de harmonização, instituições de auditoria e órgãos anticorrupção (OECD, 2020[2]).

No Brasil, a Controladoria-Geral da União (CGU) desempenha um papel central no sistema de controle interno do país. Além disso, o Tribunal de Contas da União (TCU), a Instituição Suprema de Auditoria (SAI) do país, contribui para promover a implementação da gestão de riscos, do controle interno e da auditoria, fornecendo uma análise independente sobre se as iniciativas do governo estão alinhadas com os princípios de economia, eficiência e eficácia, fornecendo assim ao Congresso Nacional informações sobre integridade para responsabilizar o governo.

A CGU desempenha várias funções no sistema de controle interno. Ela é responsável por coordenar a gestão de riscos e promover a integridade pública em todo o Poder Executivo Federal (para mais informações, consulte os Capítulos 1 e 2). Além disso, a CGU supervisiona a implementação do sistema disciplinar centralizado do Poder Executivo Federal (para mais informações, consulte o Capítulo 5). A CGU também desempenha a função central de harmonização do sistema de controle interno, pois é responsável pela orientação regulatória e supervisão técnica dos órgãos que compõem o sistema. A unidade interna responsável por isso é a Secretaria Federal de Controle Interno (SFC) da CGU. A SFC/CGU também desempenha uma função de auditoria interna para muitas das instituições públicas federais. Em 2003, o Brasil centralizou a função de auditoria interna, que anteriormente era uma função separada em cada ministério, em um único órgão, a CGU (OECD, 2017[3]).

De acordo com informações fornecidas pelo Brasil, a CGU desempenha essa função de auditoria interna para quase todos os ministérios (entidades governamentais responsáveis pela definição de políticas e supervisão). Algumas exceções incluem:

• A Presidência da República, a Procuradoria-Geral da União, o Ministério das Relações Exteriores e o Ministério da Defesa, e respectivas unidades setoriais, onde a função de auditoria interna é de responsabilidade das Secretarias de Controle Interno.

• Nas agências (órgãos e entidades governamentais responsáveis pelo desempenho de uma função pública e que prestam contas aos ministérios), a auditoria interna opera em dois níveis: (1) cada agência mantém sua própria função de auditoria interna por meio de uma Unidade de Auditoria Interna Governamental e (2) a CGU também realiza auditorias internas nessas agências, proporcionando uma camada adicional de supervisão.

No nível subnacional, juntamente com os Controladores Regionais e Municipais da União, a SFC/CGU é responsável por fornecer uma função de auditoria interna apenas para recursos federais transferidos para os estados e municípios.

Além disso, as Assessorias Especiais de Controle Interno (AECI), a maioria das quais provenientes da CGU, são designadas aos ministérios para assessorar a administração sobre controles internos. As AECI assumem uma função de Segunda Linha (ver Figura 4.1 para o Modelo das Três Linhas) e apoiam os Comitês de Governança, Riscos e Controle Interno. Quando esses comitês são estabelecidos, eles assumem responsabilidades como garantir a conformidade com leis e regulamentos, definir políticas, supervisionar atividades de avaliação de riscos e fazer recomendações para melhorar os sistemas de controle interno e gestão de riscos (OECD, 2017[3]). Nas agências, a função de segunda linha também existe, mas pode variar na estrutura organizacional de uma agência para outra.

Com relação aos regulamentos que sustentam o sistema de controle interno e gestão de riscos, o Brasil possui uma estrutura regulatória bem estabelecida, dispersa por várias leis, decretos e instruções normativas. Os principais estão descritos na Tabela 4.1.

O Brasil alinhou suas estruturas regulatórias de gestão de riscos e controle interno com as normas internacionais. Por exemplo, a definição de auditoria interna, conforme estabelecido pela Instrução Normativa Conjunta MP/CGU 1 de 10 de maio de 2016, corresponde à do Instituto de Auditores Internos (IIA, 2023[4]). Além disso, as disposições da Instrução Normativa Conjunta para o processo de gestão de riscos estão alinhadas com as diretrizes da Organização Internacional de Normalização sobre gestão de riscos (ISO, 2018[5]):

• Definição de objetivos alinhados com a missão e a visão da organização.

• Identificação dos riscos inerentes à atividade da organização.

• Avaliação dos riscos por meio de análises qualitativas e/ou quantitativas.

• Resposta aos riscos (evitar, transferir, aceitar ou tratar).

• Atividades de controle interno para mitigar os riscos.

• Comunicação de informações para possibilitar a tomada de decisões.

• Monitoramento para avaliar a qualidade da gestão de riscos e dos controles internos de gestão.

A Instrução Normativa de 9 de junho de 2017, que aprova a referência técnica para auditoria interna, descreve o Modelo das Três Linhas do Instituto de Auditores Internos (Figura 4.1). Ela afirma que a estrutura de controle interno dos órgãos e entidades da Administração Pública Federal deve aderir a esse modelo para garantir responsabilidades claras e ações coordenadas e eficientes:

• A Primeira Linha é representada pelos gestores responsáveis por estabelecer e manter controles para apoiar a implementação de políticas públicas. Eles também são responsáveis por identificar, avaliar, controlar e mitigar riscos, orientando o desenvolvimento e a implementação de políticas e procedimentos internos destinados a garantir que as atividades sejam realizadas de acordo com as metas e objetivos da organização. Para garantir sua adequação e eficácia, os controles internos devem ser integrados ao processo de gestão e projetados de forma proporcional ao nível de risco que está sendo gerenciado.

• A Segunda Linha também é implementada pela administração com o objetivo de garantir que as atividades realizadas pela Primeira Linha sejam executadas de forma adequada. As funções da Segunda Linha incorporam a supervisão e o monitoramento e estão normalmente associadas à gestão de riscos, conformidade, verificação de qualidade, controle financeiro, orientação e treinamento.

• A Terceira Linha é representada pela atividade de auditoria interna que avalia objetivamente a governança, a gestão de riscos e os controles internos com o objetivo de fornecer opiniões ou conclusões em relação à execução das metas estabelecidas no plano plurianual. A Instrução Normativa nº 3, de 9 de junho de 2017 (instrumento normativo da administração pública federal brasileira que dispõe sobre controles internos, gestão de riscos e governança) também estipula que a independência da atividade de auditoria interna deve permitir que ela cumpra suas responsabilidades.

Por fim, embora não seja mencionado especificamente, o Decreto-Lei nº 200, de 25 de fevereiro de 1967, descreve o Modelo das Três Linhas ao definir a forma como o controle das atividades da Administração Federal deve ser exercido, e a Lei nº 13.303, de 30 de junho de 2016, também estipula o Modelo das Três Linhas.

O quadro regulatório que sustenta o sistema de controle interno no Brasil (Tabela 4.1) reflete o processo incremental de fortalecimento do sistema ao longo do tempo e é uma base sólida para estabelecer e manter um sistema de controle interno robusto.

No entanto, entrevistas com as partes interessadas revelaram confusão entre os servidores públicos em relação aos conceitos de controle interno e auditoria interna, bem como suas respectivas funções e responsabilidades. Essa confusão pode ser devida à falta de conscientização ou treinamento sobre a estrutura de controle interno. Além disso, o uso de “controle” como um termo amplo para abranger tanto as atividades de controle interno quanto as de auditoria interna pode estar contribuindo para o mal-entendido.

A potencial confusão é reconhecida no Artigo 2-XVI da Instrução Normativa Conjunta 1 de 10 de maio de 2016, que descreve o papel do Sistema de Controle Interno do Poder Executivo Federal como a avaliação da execução dos programas governamentais por meio de auditoria e supervisão, mas adverte que isso não deve ser confundido com os controles internos de gestão, que são de responsabilidade dos órgãos e entidades do Poder Executivo Federal. Além disso, o TCU, em um Relatório de Pesquisa de 2016, também reconheceu a semântica de “controle interno” e “órgãos de controle interno” como problemática. Explicou que “se ‘controle interno’ é um procedimento, uma ação, uma atividade, não faz sentido usar a expressão ‘órgão de controle interno’. Isso porque cada atividade administrativa tem um controle interno responsável por lidar com o risco que existe na atividade” (TCU, 2017[7]). O relatório da pesquisa também destacou como o uso do termo “órgão de controle interno” pode dar aos gestores a impressão de que eles não são responsáveis pelo controle interno, pois existe um órgão de controle interno separado para fazer isso. O relatório da pesquisa concluiu que tais “órgãos de controle interno” seriam mais bem chamados de “órgãos de auditoria interna”, pois são responsáveis por avaliar os controles internos (TCU, 2017[7]).

Além disso, embora o Modelo das Três Linhas seja descrito com precisão em algumas legislações (conforme detalhado anteriormente), ele não está claramente definido em outras. Por exemplo, a Lei 14.133, de 1º de abril de 2021, Lei de Licitações e Contratos Administrativos, descreve corretamente a Primeira Linha, como os funcionários que realizam a operação governamental (licitação), mas não descreve corretamente a segunda e a terceira linhas. De fato, a Segunda Linha é definida como as unidades ou órgãos de controle interno da organização, o que, de acordo com as partes interessadas, significa auditoria interna, que é uma função da Terceira Linha (Figura 4.1). Ademais, não há menção às Assessorias Especiais de Controle Interno, conforme estipulado na Instrução Normativa nº 3, de 9 de junho de 2017, para assumir a função da Segunda Linha. Por último, embora a Terceira Linha inclua o órgão de controle interno da administração central que assume a função de auditoria interna, a Lei também inclui o Tribunal de Contas da União na Terceira Linha. O Tribunal de Contas da União não faz parte do Modelo das Três Linhas (Figura 4.1), pois as Três Linhas são todas responsáveis perante o órgão governamental da organização. O TCU é a Instituição Suprema de Auditoria do Brasil e, como tal, uma função de garantia externa que opera independentemente da entidade sob revisão e é responsável perante o público e a autoridade máxima, o Congresso Nacional (INTOSAI/IIA, 2022[8]).

O envolvimento da CGU nas funções de auditoria interna e consultoria gerou confusão entre os ministérios quanto à delimitação de responsabilidades dentro do Modelo das Três Linhas. No entanto, é importante esclarecer que, de acordo com o Instituto dos Auditores Internos (IIA), a CGU não desempenha a função de Segunda Linha. Dentro da administração pública federal, a CGU — por meio da Secretaria Federal de Controle Interno (SFC) — opera exclusivamente como órgão central do Sistema de Controle Interno do Poder Executivo Federal, com responsabilidades firmemente situadas na Terceira Linha. Seu mandato inclui avaliar de forma independente a eficácia dos controles internos estabelecidos pelas entidades públicas e reportar diretamente à mais alta autoridade executiva e ao Congresso Nacional. Como não está incorporada nas estruturas organizacionais dos órgãos auditados nem subordinada à sua gestão, a CGU mantém a independência característica de uma função de Terceira Linha.

Ademais, os servidores públicos às vezes percebem a CGU como um órgão de auditoria externa, embora a auditoria externa seja de competência do TCU. Por exemplo, a página da internet de auditoria interna da Agência Nacional de Aviação Civil (ANAC) refere-se tanto à CGU quanto ao TCU como órgãos de controle externo (“controle”, neste caso, refere-se à “auditoria”) (ANAC, n.d.[9]). No entanto, embora esteja localizada externamente, a CGU desempenha uma função de auditoria interna e, às vezes, complementa uma unidade de auditoria interna já existente dentro do órgão público. Nesses casos, a Instrução Normativa 5/2021 da CGU (IN SFC 5/2021) exige que os planos de auditoria interna da administração indireta sejam enviados à CGU para evitar duplicação. Essa aparente falta de clareza entre auditoria externa e interna pode contribuir para uma implementação mais fraca das responsabilidades de controle interno e das recomendações de auditoria interna.

A CGU, como unidade central de harmonização, está bem posicionada para sensibilizar e formar os funcionários públicos sobre o sistema de controle interno, incluindo as diferenças entre auditoria interna e externa, esclarecendo os intervenientes envolvidos e definindo e delineando cada uma das funções do modelo das três linhas. O artigo 11.º da Instrução Normativa Conjunta 1 de 10 de maio de 2016 (MP/CGU 01/2016) estabelece isso como um de seus princípios: “Ao implementar controles internos de gestão, a alta administração, bem como os funcionários da organização, devem observar os componentes da estrutura de controle interno: (...) estrutura organizacional na qual as responsabilidades e a delegação de autoridade são claramente atribuídas, de modo que os objetivos da organização ou das políticas públicas sejam alcançados” (Government of Brazil, 2016[10]).

Portanto, reconhecendo que o uso da palavra “controle” tem um duplo significado, a CGU poderia considerar enfatizar mais claramente a diferença entre controle interno e auditoria interna, por exemplo, com base nas definições fornecidas sobre “auditoria interna” e “controle interno de gestão” na Instrução Normativa Conjunta MP/CGU 01/2016. Uma compreensão mais profunda poderia levar a uma mudança na forma como os servidores públicos percebem as funções e responsabilidades para assumir seus papéis legítimos dentro do sistema de controle interno e que eles entendam o que é esperado deles por diferentes agentes. Isso poderia exigir táticas estratégicas baseadas na teoria da gestão da mudança e em insights comportamentais. No Brasil, há orientação e capacidades suficientes para desenvolver materiais de orientação e sensibilização para apoiar ainda mais o esclarecimento das diferenças entre “controle” e “auditoria” e as funções apropriadas que os indivíduos dentro do sistema devem assumir. Isso poderia contribuir significativamente para fortalecer o impacto da estrutura de controle interno e auditoria interna.

A Instrução Normativa Conjunta MP/CGU 1/2016 descreve claramente o Modelo das Três Linhas. Em particular, ela designa a responsabilidade pela implementação, manutenção e monitoramento dos controles internos com base no risco aos órgãos e entidades do Poder Executivo Federal, constituindo assim a Primeira Linha. Todos os agentes públicos responsáveis pela condução de atividades e tarefas também devem incorporar a operação dos controles internos em suas funções. A propriedade do sistema de controle interno é, portanto, colocada dentro de uma entidade e sob a responsabilidade da gestão (OECD, 2017[3]).

Em linha com a Estrutura Integrada de Controle Interno do COSO (COSO, 2013[11]), a Instrução Normativa Conjunta apresenta os controles internos como um meio para atingir um fim e não um fim em si. Ou seja, ela coloca os controles internos no contexto da consecução de objetivos e da gestão de riscos. Os controles internos fornecem garantia razoável de que, no esforço para cumprir a missão de uma entidade, os seguintes objetivos serão alcançados:

• Execução ordenada, ética, econômica, eficiente e eficaz das operações

• Conformidade com as obrigações de prestação de contas (ou seja, relatórios transparentes e regulares)

• Conformidade com as leis e regulamentos aplicáveis

• Proteção dos recursos para evitar perdas, uso indevido e danos.

No entanto, de acordo com as partes interessadas, não há uma distinção clara entre as diferentes funções de garantia (por exemplo, auditoria interna, auditoria externa e funções de controle). Esses elementos não são bem compreendidos (conforme descrito anteriormente), e a administração tem pouca consciência sobre suas responsabilidades de controle interno, nem acredita ser responsável pelos respectivos controles. Consequentemente, o valor do controle interno muitas vezes pode não ser aparente para os gestores e funcionários públicos. As partes interessadas também explicaram que, dentro da administração pública federal brasileira, existe uma cultura fraca de compromisso com a obtenção de resultados e com a realização de operações eficientes. Elas descreveram a dificuldade em determinar os objetivos e as prioridades dos ministérios, observando isso como um impedimento à implementação do controle interno. Além disso, muitas vezes não são estabelecidos indicadores de desempenho para medir se os objetivos foram alcançados, ou esses objetivos não são claros.

A falta de objetivos claros e de uma cultura de desempenho, aliada à fraca prestação de contas e à dificuldade em medir o desempenho, pode prejudicar a compreensão da administração sobre o valor do controle interno e da gestão de riscos. Um gestor público que não está ciente dos objetivos e prioridades e não é responsabilizado por alcançá-los pode não sentir a necessidade de trabalhar para atingir esses objetivos ou de gerenciar os riscos que poderiam ameaçar sua realização.

Para construir uma maior apropriação, o papel dos gestores da Administração Pública Federal brasileira em relação à gestão de riscos e ao controle interno precisa ser fortalecido. Para garantir a implementação adequada, as funções e responsabilidades devem ser claramente definidas na política de controle interno de uma organização, em alinhamento com o marco regulatório existente e as normas internacionais. A Instrução Normativa Conjunta MP/CGU 1/2016 é muito clara sobre o Modelo das Três Linhas, onde a responsabilidade da gestão pelo controle interno é explicitamente declarada. Portanto, o compromisso da alta administração com o desenvolvimento e o desempenho dos controles internos é fundamental. A estrutura de controle interno do COSO afirma a importância da governança na manutenção de um sistema de controle interno funcional. Isso inclui a responsabilidade da alta administração pela supervisão do projeto, implementação e condução do sistema de controle interno pela administração. Estruturas de governança, linhas de reporte e autoridades e responsabilidades apropriadas também são princípios fundamentais de um sistema de controle interno saudável, no qual as responsabilidades e deveres são atribuídos em vários níveis da organização. Isso implica que a alta administração estabeleça diretrizes, orientações e controles para permitir que a administração compreenda e cumpra suas responsabilidades de controle interno (COSO, 2013[11]). O treinamento também deve ser incorporado para desenvolver ainda mais a capacidade da administração na adoção de suas responsabilidades de controle interno.

A estrutura COSO descreve ainda que uma organização responsabiliza os indivíduos pelo desempenho de suas atribuições de controle interno, estabelecendo canais de comunicação e outros mecanismos, como ações corretivas (COSO, 2013[11]). Além disso, o monitoramento contínuo é fundamental não apenas para avaliar o desempenho dos funcionários, mas também para determinar a conformidade com o controle interno e sua eficácia geral (Mendes de Oliveira et al., 2022[12]). A responsabilidade da administração pode ser apoiada por um mecanismo dedicado de relatórios de controle interno, que pode fornecer um resumo das autoavaliações das atividades de controle interno e gestão de riscos. A avaliação é um componente essencial de um sistema de controle interno robusto, pois não adianta ter uma abundância de mecanismos de controle se o desempenho não for monitorado e medidas corretivas não forem tomadas, quando necessário. No contexto da fraude, um desempenho deficiente do controle interno torna a organização mais suscetível, ressaltando assim a importância da responsabilidade da administração pelo controle interno. (Mendes de Oliveira et al., 2022[12]).

Para alinhar o setor público brasileiro com as melhores práticas, a administração deve assumir a responsabilidade pelo controle interno e ser responsabilizada por seu desempenho. Implementar os apoios certos para capacitar a administração a avaliar o desempenho do sistema (por exemplo, por meio da supervisão da alta administração e do monitoramento contínuo) e tomar medidas corretivas, quando necessário, pode fortalecer o sistema de controle interno. O empoderamento também pode ser alcançado influenciando indivíduos com qualidades de liderança para incitar mudanças em toda a organização (OECD, 2022[13]). Conforme observado anteriormente, um sistema de controle interno saudável e robusto é apenas um meio para atingir um fim. Assim, os objetivos devem ser definidos e os riscos para alcançá-los devem ser identificados. Essas etapas devem preceder e informar o desenvolvimento do controle interno e o processo de avaliação de riscos. Exemplos de outras jurisdições podem ser usados como inspiração para o Brasil (Quadro 4.1).

Semelhante aos regulamentos de controle interno, o Brasil possui uma estrutura sólida de gestão de riscos. Primeiro, a Instrução Normativa Conjunta MP/CGU 1, de 10 de maio de 2016, estabeleceu o processo de gestão de riscos alinhado com os padrões internacionais (conforme descrito anteriormente). Segundo, o Decreto 9.203/2017 obriga todas as entidades públicas federais a realizar a gestão de riscos de integridade (Tabela 4.1). Em terceiro lugar, o Sistema de Integridade, Transparência e Acesso à Informação da Administração Pública Federal (SITAI) é responsável por coordenar atividades e estabelecer normas relacionadas à integridade, transparência e acesso à informação dentro da administração federal (Tabela 4.1). O órgão central do SITAI – a CGU – é responsável, entre outras coisas, por orientar as atividades relacionadas à gestão de riscos de integridade, enquanto as unidades setoriais do SITAI são responsáveis, entre outras coisas, por coordenar a gestão de riscos de integridade. Em relação à gestão de riscos de integridade, em setembro de 2018, a CGU publicou um Guia Prático para Gestão de Riscos de Integridade para auxiliar todos os órgãos e entidades da administração pública federal na gestão de riscos de integridade (CGU, 2018[17]). Ele seguiu a Portaria CGU nº 1.089, de 25 de abril de 2018, que estabeleceu diretrizes para que órgãos e entidades federais adotassem procedimentos para estruturar, executar e monitorar seus programas de integridade. Por fim, a competência para promover a gestão de riscos foi formalmente estabelecida e atribuída à SFC da CGU (Decreto 11.824/2023). A SFC e a SIP devem trabalhar em conjunto na promoção da gestão de riscos, considerando que a SIP é responsável pela perspectiva da gestão de riscos de integridade.

Apesar dessa estrutura robusta para a gestão de riscos de integridade, um relatório da OCDE de 2022 constatou que o Brasil ainda enfrenta desafios significativos de implementação (OECD, 2022[13]). Na verdade, a fragilidade do sistema de gestão de riscos é antiga. Em 2014, o TCU realizou uma pesquisa em coordenação com o Instituto Rui Barbosa, a Associação dos Membros dos Tribunais de Contas do Brasil (ATRICON) e 28 entidades de auditoria subnacionais (OECD, 2022[13]). O TCU avaliou a maturidade da gestão de riscos com base em um conjunto de critérios e constatou que cerca de 70% das organizações federais afirmaram que o processo de gestão de riscos não foi implementado e que 57% das organizações federais não identificaram riscos críticos e, portanto, não estabeleceram controles internos para mitigá-los (TCU, 2015[18]). Isso foi corroborado pela academia brasileira. Um estudo de 2020 sobre as estruturas de governança da gestão de riscos avaliou 22 entidades federais em relação a 21 indicadores, tais como a existência de comitês de gestão de riscos, se os membros dos comitês eram treinados e se as atas e relatórios dos comitês eram divulgados, entre outros. O desempenho das entidades federais foi variado, mas, em geral, constatou-se que os ministérios tinham estruturas de governança inadequadas para a gestão de riscos (Batista Vieira and Batista de Araujo, 2020[19]). Mais recentemente, as partes interessadas observaram que, embora a maioria das agências tivesse implementado uma metodologia de risco e criado um comitê de risco, eles não eram efetivos.

Os Indicadores de Integridade Pública da OCDE sobre “Eficácia do Controle Interno e Gestão de Riscos”, que medem a força dos elementos do sistema de controle interno relevantes para promover a integridade e prevenir e combater fraudes e corrupção, mostram que o Brasil tem um desempenho acima da média da OCDE na maioria das áreas (ver Tabela 4.2).

O Brasil tem um desempenho forte em várias áreas relacionadas ao controle interno e à gestão de riscos quando comparado com a média da OCDE, refletindo uma base regulatória robusta e ampla cobertura institucional. Ele também excede a média da OCDE nas estruturas regulatórias para controle interno e auditoria interna, confirmando que as bases legais e institucionais para supervisão estão bem estabelecidas. Da mesma forma, tanto o Brasil quanto a média da OCDE têm pontuação igual na estrutura de gestão de riscos.

O Brasil também demonstra uma cobertura institucional mais forte. Ele supera a média da OCDE na cobertura de funções centrais e nos mecanismos centrais de relatórios, o que sugere melhores capacidades de coordenação e supervisão. Na prática, o Brasil mostra uma maior integração da auditoria interna e das abordagens baseadas em riscos e um uso mais frequente da gestão de riscos de integridade nas organizações orçamentárias, indicando uma abordagem mais proativa para lidar com os riscos e promover a integridade. O Brasil relata cobertura total das organizações orçamentárias nacionais pela auditoria interna e auditou todas essas organizações nos últimos cinco anos. Esses números refletem um alcance de auditoria abrangente e recente que supera os pares da OCDE.

Apesar desses pontos fortes, o Brasil apresenta um desempenho significativamente inferior na implementação e acompanhamento das conclusões da auditoria. A taxa de adoção e a taxa de implementação das recomendações de auditoria interna no Brasil são significativamente inferiores às médias da OCDE. Essa lacuna sugere que, embora o Brasil tenha estruturas e cobertura sólidas, o impacto prático das atividades de auditoria interna é prejudicado pelo acompanhamento limitado.

No geral, o Brasil demonstra estruturas regulatórias e institucionais mais fortes para controle interno e gestão de riscos em comparação com a média da OCDE. Ele também se destaca no escopo e na frequência das auditorias. No entanto, as baixas taxas de adoção e implementação das recomendações de auditoria destacam uma área crítica para melhorias. Aumentar a capacidade de resposta aos resultados das auditorias será essencial para que o Brasil aproveite plenamente os benefícios de seus robustos sistemas de controle.

Existem diversos desafios para a implementação da gestão de riscos. Em primeiro lugar, muitas vezes falta o apoio da alta administração, que é fundamental para a implementação eficaz da gestão de riscos. As partes interessadas discutiram a necessidade de persuadir a alta administração sobre a importância das questões de integridade e que o Centro do Governo estava completamente desengajado. O guia prático da CGU sobre avaliação de riscos, no entanto, afirma a importância do compromisso da alta administração, observando o seguinte:

“Dado que a responsabilidade pelo estabelecimento, manutenção, monitoramento e melhoria dos controles internos de gestão recai sobre a alta administração da organização, e que esses controles devem responder aos riscos que podem comprometer os objetivos organizacionais, é ela quem deve responder quando os objetivos não são alcançados devido à sua falha em abordar os riscos que poderiam ocorrer e foram negligenciados ou subestimados. Portanto, a gestão de riscos também é responsabilidade da alta administração. Se não houver uma adesão verdadeira à necessidade da gestão de riscos, o envolvimento da alta administração não terá os efeitos esperados: gerar convergência entre os diversos agentes da instituição, alocar os recursos necessários, envolver pessoas com conhecimento e experiência no assunto, etc. Portanto, quando o líder da organização, apesar de querer cumprir as disposições dos regulamentos, ainda não se sente convencido dos benefícios da gestão de riscos, sugerimos a adoção de medidas destinadas a ampliar seus conhecimentos a esse respeito e, então, perceber como isso se aplica em situações reais.” (CGU, 2018[17])

Outro obstáculo à gestão eficaz do risco de integridade, identificado pelas partes interessadas, é a resistência dos servidores públicos em discutir questões de integridade; por exemplo, os gestores hesitavam em usar termos como fraude ou nepotismo. Além disso, como mencionado acima, os gestores muitas vezes confundiam o papel da CGU como órgão de apoio na promoção da integridade e seu papel como órgão de auditoria, o que aumentava ainda mais a resistência em se envolver em questões de integridade. Um relatório da OCDE de 2022 propôs a aplicação de técnicas comportamentais como forma de desarmar os gestores públicos e torná-los mais receptivos ao envolvimento na gestão de riscos. O processo de gestão de riscos, que consiste em identificar e avaliar os riscos para os objetivos e propor medidas de mitigação, é fortemente influenciado pelos responsáveis para atingir esses objetivos. Os vieses cognitivos e os erros humanos, sem dúvida, influenciam o processo de gestão de riscos, tornando-o menos objetivo. A hesitação em se envolver pode ser devida à falta de compreensão sobre o processo, em que os indivíduos não veem valor na identificação de riscos ou temem que sua integridade seja questionada, em vez de identificar riscos sistêmicos à integridade. Os indivíduos também podem querer evitar encargos ou custos adicionais decorrentes da identificação de medidas de mitigação (OECD, 2022[13]).

A CGU poderia, portanto, avaliar sua estrutura atual de governança de gestão de riscos, incluindo responsabilidades e linhas de reporte, em relação às melhores práticas, como a Estrutura Integrada de Controle Interno do COSO (2013[11]) e a Referência Básica para Governança de 2014 do TCU (2020[21]), para determinar os pontos fortes e fracos de sua estrutura de governança. Questões identificadas, como a falta de apoio da alta administração ou a hesitação da administração em incorporar suas responsabilidades de gestão de riscos, devem ser enfrentadas com soluções para corrigir essas fraquezas. Uma maneira de identificar soluções é por meio de uma auditoria interna que possa avaliar objetivamente a estrutura de governança e os processos de gestão de riscos para desenvolver recomendações de melhoria (conforme observado na próxima seção).

Além de garantir que os gerentes da linha de frente e o pessoal com conhecimento do assunto estejam envolvidos no processo, os insights comportamentais devem ser usados para criar um ambiente propício para que o processo de avaliação de riscos ocorra. Isso implicaria, em grande parte, a sensibilização dos gerentes e funcionários sobre a gestão de riscos de integridade como um primeiro passo, como a maneira pela qual o viés cognitivo humano pode impactar o processo e propor técnicas para gerenciá-los. Reconhecer a origem do desconforto e trabalhar para neutralizá-lo deve vir em seguida. Isso pode implicar a comunicação do processo de avaliação de riscos de maneira despersonalizada, para se concentrar nos sistemas em vez de ações individuais. Isso pode reduzir o medo e permitir que o pessoal participe plenamente do processo e não retenha informações (OECD, 2022[13]).

Para institucionalizar ainda mais esses esforços de promoção da integridade e gestão dos riscos de integridade, a CGU poderia continuar a aproveitar as Unidades Setoriais da SITAI. Elas estão localizadas em todas as instituições públicas da administração pública federal direta, autárquica e fundacional. Essas unidades devem ser apoiadas e capacitadas para desempenhar seu papel na promoção, coordenação e sensibilização. Isso inclui garantir que essas unidades tenham recursos humanos, financeiros e outros suficientes para cumprir seu mandato.

Por fim, em janeiro de 2023, a SIP da CGU criou a plataforma Comunidade de Integridade Pública (CIP) como um meio de proporcionar um canal de interação e compartilhamento de informações, experiências e boas práticas em integridade pública. A comunidade é composta por gestores e equipes de integridade de ministérios, órgãos e entidades do Poder Executivo Federal e opera em um ambiente virtual. É uma boa iniciativa que pode ser aproveitada para facilitar a comunicação e o compartilhamento de experiências e melhores práticas, a fim de promover a cultura de gestão de riscos e identificar riscos comuns em todos os ministérios.

A função de auditoria interna é um componente essencial do sistema de controle interno e da salvaguarda da integridade. Ela fornece garantias e recomendações independentes e objetivas, com o propósito de agregar valor por meio do fortalecimento do controle interno e da gestão de riscos (OECD, 2020[2]). Os serviços de auditoria interna da administração pública federal brasileira são prestados principalmente pela CGU. Garantir que sua atividade de auditoria interna incorpore as capacidades exigidas pelas normas internacionais é fundamental para agregar valor. A capacidade atual da auditoria interna da CGU permite que ela preste serviços de auditoria interna, mas ela deve se esforçar para continuar a desenvolver sua capacidade de acordo com as normas internacionais.

O estabelecimento de uma função de auditoria interna e a realização de trabalhos de garantia dependem da existência de requisitos fundamentais, a saber, a independência da atividade de auditoria e a objetividade dos auditores (CGU, 2017[22]). Além disso, as Normas Internacionais para a Prática Profissional de Auditoria Interna do IIA endossam a proficiência (conhecimentos, habilidades e outras competências exigidas dos auditores internos para desempenhar eficazmente suas responsabilidades profissionais) e o desenvolvimento profissional contínuo (IIA, 2017[23]).

Entre 2006 e 2009, a Fundação de Pesquisa do Instituto de Auditores Internos desenvolveu o Modelo de Capacidade de Auditoria Interna (IA-CM) para o setor público. O IA-CM é uma ferramenta que avalia as capacidades existentes de uma auditoria interna em relação aos requisitos para identificar lacunas.

A ferramenta avalia as seguintes áreas-chave do processo de uma atividade de auditoria interna em 5 níveis de capacidade:

• Serviços e função da auditoria interna

• Gestão de pessoas

• Práticas profissionais

• Gestão de desempenho e responsabilização

• Relações organizacionais e cultura

• Estrutura de governança.

Uma vez que todas as áreas-chave do processo associadas a um nível de capacidade tenham sido implantadas e institucionalizadas dentro da atividade de auditoria interna, um determinado nível de capacidade é atribuído (Tabela 4.3).

Em 2022, o Banco Mundial avaliou a atividade de auditoria interna da CGU para determinar a precisão da autoavaliação da CGU do Nível 2 do IA-CM (Tabela 4.3). A avaliação do Banco Mundial concordou com a autoavaliação da CGU com base em uma revisão da documentação, dos sistemas e dos procedimentos. A avaliação do Banco Mundial também constatou que a atividade de auditoria interna estava, em geral, em conformidade com as Normas do Instituto de Auditores Internos. Observou que a atividade de auditoria interna havia sofrido mudanças significativas decorrentes da aplicação da Instrução Normativa nº 3, de 9 de junho de 2017. Essa Instrução Normativa aprovou a nova referência técnica para a atividade de auditoria interna do Poder Executivo Federal, que se alinhou com a Estrutura de Práticas Profissionais Internacionais do Instituto de Auditores Internos (IIA). As políticas, práticas e processos foram bem documentados em um manual de auditoria interna e foi implementado um software de gestão de auditoria para facilitar o planejamento, a análise e a elaboração de relatórios dos trabalhos de auditoria interna. A supervisão adequada foi fornecida pelo Comitê de Auditoria Interna, que revisou e aprovou todos os documentos de trabalho da equipe. Outros desenvolvimentos positivos incluíram manuais internos, treinamento de auditores, o desenvolvimento de um novo sistema de auditoria e o estabelecimento de um sistema de melhoria da qualidade, o Pro-Qualidade, que defendeu a avaliação do Modelo de Capacidade de Auditoria Interna (IA-CM). A avaliação também observou que a CGU atendeu à maioria das áreas-chave do processo de Nível 3.

As recomendações da avaliação incluíram a formalização da formação dos auditores, incluindo a criação de disposições para o desenvolvimento profissional contínuo e o acompanhamento da melhoria da qualidade da auditoria resultante da formação ministrada. A avaliação recomendou também que a CGU adotasse medidas para envolver os gestores na transmissão da importância de observar as recomendações de auditoria (World Bank, 2022[26]).

É louvável que a CGU tenha procurado realizar essa avaliação como forma de avaliar sua capacidade de auditoria interna. Para atingir progressivamente níveis mais altos ao longo do continuum IA-CM, a CGU deve reforçar ainda mais seus esforços para melhorar a capacidade e a competência de sua função de auditoria interna. Ela deve se concentrar na medição contínua de seu desempenho para impulsionar melhorias. Estabelecer medidas de desempenho é fundamental para determinar se uma atividade de auditoria está a cumprir as suas metas e objetivos (IIA, 2010[27]).

As normas promulgadas pelo IIA estabelecem a Norma 1300 sobre o Programa de Garantia e Melhoria da Qualidade (QAIP), que abrange todos os aspetos da atividade de auditoria interna, incluindo a sua eficiência e eficácia. O QAIP deve incluir avaliações internas e externas. As avaliações internas devem incluir (i) monitorização contínua do desempenho da atividade de auditoria interna, que faz parte da supervisão, revisão e mensuração diárias da atividade de auditoria interna; e (ii) autoavaliações periódicas ou avaliações por outras pessoas dentro da organização com conhecimento suficiente das práticas de auditoria interna (IIA, 2017[23]). A conformidade com as normas para avaliação interna exigiria que a atividade de auditoria interna demonstrasse um compromisso com a utilização de indicadores de desempenho adequados para medir, reportar e melhorar o resultado.

As medidas de desempenho da atividade de auditoria interna podem ser de natureza qualitativa ou quantitativa e podem incluir medidas como:

• Nível de contribuição para a melhoria dos processos de gestão de riscos, controle e governança.

• Melhoria da produtividade da equipe.

• Aumento do número de planos de ação para melhorias de processos.

• Adequação do planejamento e da supervisão do trabalho.

• Eficácia no atendimento às necessidades das partes interessadas.

• Resultados das avaliações de garantia da qualidade e dos programas de melhoria da qualidade da atividade de auditoria interna.

• Clareza da comunicação com a entidade auditada e o conselho (IIA, 2010[27]).

Assim como a CGU, o governo do Reino Unido (UK) também possui uma função centralizada de auditoria interna: a Auditoria Interna do Governo do Reino Unido (Government Internal Audit Agency - GIAA). Criada em 2015, a GIAA fornece serviços de auditoria e garantia para uma ampla gama de entidades do governo central (UK Government, 2016[28]). Para determinar o desempenho da GIAA em relação à sua estratégia, a instituição estabeleceu um conjunto de indicadores-chave de desempenho para monitorar o desempenho organizacional geral (Quadro 4.2). A GIAA mede seu desempenho ano após ano e pode usar esses resultados para embasar ações futuras de melhoria. A CGU pode modelar sua mensuração de desempenho com base na GIIA ou buscar exemplos semelhantes em funções de auditoria interna ao redor do mundo.

Ter uma atividade de auditoria interna eficaz e eficiente é particularmente relevante à luz da promoção da integridade e do combate à corrupção, visto que a detecção e a mitigação de fraudes são um dos componentes definidores de qualquer função de auditoria interna de qualidade (IIA, 2019[29]). A auditoria interna contribui para a detecção e a mitigação de fraudes de diversas maneiras: avaliando o potencial de fraude e a forma como a organização gerencia o risco de fraude; avaliando o sistema de controle interno para determinar sua eficácia contra fraudes; implementando estratégias de detecção para descobrir anomalias, como mineração de dados e análises de tendências; e avaliando indicadores de fraude e decidindo se medidas adicionais são necessárias ou se uma investigação deve ser recomendada (IIA, 2019[29]; 2019[30]).

A auditoria interna também está posicionada para agregar valor aos processos de gestão de riscos e à governança. As normas do IIA estabelecem especificamente que “A atividade de auditoria interna deve avaliar e fazer recomendações apropriadas para aprimorar os processos de governança da organização para: (…) Supervisionar a gestão e o controle de riscos”. A atividade de auditoria interna pode determinar se os processos de gestão de riscos são eficazes examinando se os riscos significativos são identificados e avaliados, se as respostas adequadas aos riscos são selecionadas e se as informações relevantes sobre riscos são comunicadas a toda a organização para permitir que os funcionários e a gerência cumpram suas responsabilidades. A atividade de auditoria interna também deve avaliar as exposições a riscos relacionadas à governança da organização, no que se refere ao alcance dos objetivos, à confiabilidade e integridade das informações financeiras e operacionais e à salvaguarda de ativos, entre outros (IIA, 2017[31]).

Dada a natureza centralizada da função de auditoria interna na administração federal brasileira, a CGU está bem posicionada para avaliar questões transversais relacionadas à integridade em diversos ministérios e agências, como a implementação da gestão de riscos, a eficácia das UGIs e a existência de estruturas de governança para apoiar tais iniciativas. Como descrito anteriormente, a área de gestão de riscos na administração pública federal enfrenta muitos desafios que dificultam o processo. A auditoria interna, portanto, pode desempenhar um papel no fornecimento de alguma orientação sobre melhorias que podem ser implementadas.

As instituições superiores de auditoria contribuem para a responsabilização e a transparência por meio da auditoria das finanças e operações públicas. Por meio de seu trabalho, podem detectar condutas irregulares, desempenho insatisfatório e identificar potenciais indícios de corrupção e fraude (Newiak, Segura-Ubiergo and Aziz Wane, 2022[33]). A integridade é responsabilidade de todos os agentes do setor público e, portanto, requer a cooperação de instituições sólidas. As funções complementares da auditoria externa e da auditoria interna, para garantir a eficiência e a propriedade, são um exemplo de cooperação que pode reforçar a integridade. O TCU e a CGU colaboram em determinadas áreas; no entanto, ainda existem oportunidades para aprimorar esse relacionamento. Como provedores de supervisão e informações sobre o uso adequado e eficiente dos recursos públicos, cabe a esses agentes-chave coordenar suas respectivas funções para maximizar seu impacto coletivo.

Como Instituição Suprema de Auditoria (SAI) do Brasil, o Tribunal de Contas da União (TCU) desempenha um papel vital em garantir a supervisão, a previsão e a análise de políticas públicas, incluindo políticas de integridade (OECD, 2021[34]). É responsável por fiscalizar o orçamento e os recursos federais, incluindo verbas federais transferidas para estados, o Distrito Federal e os municípios. Como parte de sua função de conformidade e jurisdição, o TCU promove a integridade e a responsabilização no setor público por meio de sua autoridade para emitir sanções e resoluções não vinculativas e pela realização de auditorias de desempenho, financeiras e de conformidade (TCU, n.d.[35]; OECD, 2017[3]).

As auditorias de desempenho avaliam a qualidade da gestão governamental de seus sistemas, operações, programas e atividades e recomendam melhorias sistêmicas. As auditorias financeiras revisam as contas públicas anuais do governo federal em conformidade com as disposições constitucionais e as melhores práticas internacionais e emitem um parecer não vinculativo sobre a regularidade das contas. As auditorias de conformidade são realizadas para verificar se o uso de recursos públicos por organizações e entidades para as quais os recursos federais fluem está em conformidade com as leis e regulamentos (TCU, n.d.[35]). Dada a natureza das auditorias financeiras e de conformidade, quando irregularidades nas despesas públicas podem ser encontradas, elas podem ajudar a detectar fraude e corrupção. As conclusões da auditoria são apresentadas ao parlamento e divulgadas publicamente (OECD, 2013[36]).

O site geral do TCU enfatiza seu papel na corrupção, observando que “A principal preocupação do Tribunal de Contas da União é o combate incessante à corrupção, ao desperdício e ao mau uso de recursos federais”. Assim, destaca a importância da realização de auditorias de conformidade, como aquelas realizadas para fiscalizar obras públicas e reportar seu andamento ao Congresso (TCU, n.d.[35]). As partes interessadas ecoaram esse sentimento e observaram que a maioria das auditorias realizadas pelo TCU eram auditorias de conformidade (em oposição a auditorias de desempenho e financeiras). De fato, o caso “Lava-Jato” teria tido início em uma constatação de uma auditoria de conformidade do TCU sobre obras públicas da Petrobras.

Ao comemorar o 10º aniversário da Lei Anticorrupção, o Ministro de Estado da CGU defendeu a necessidade de atuação conjunta entre o TCU e a CGU (TCU, 2023[37]). O TCU e a CGU colaboram em casos envolvendo fraudes e, juntos, também cooperam com outros parceiros em diversas iniciativas anticorrupção (Quadro 4.3).

Além da coordenação em iniciativas de integridade e combate à corrupção, há um escopo significativo para a coordenação entre a CGU e o TCU em suas respectivas funções de auditoria. Os serviços de auditoria prestados tanto pelo TCU quanto pela CGU no setor público federal brasileiro são consideráveis. O TCU, como órgão superior de auditoria, complementa as auditorias internas com sua função de auditoria externa. Dada a importância atribuída à função de auditoria (seja ela interna ou externa), surge a questão de se, e quão bem, essas funções de auditoria são coordenadas. Esta é uma área que requer atenção por vários motivos, entre eles o fato de que as próprias instituições responsáveis ​​por avaliar a eficiência dos gastos públicos podem estar conduzindo suas atividades de forma ineficiente. Além disso, a realização de auditorias pode ser onerosa para as entidades auditadas, dado o trabalho adicional dos auditores que solicitam acesso à documentação e ao pessoal. Assim, a duplicação pode restringir ainda mais os recursos já limitados de uma entidade auditada, impondo demandas que poderiam ter sido evitadas por meio da coordenação.

As partes interessadas expressaram sua preocupação com a falta de coordenação entre o TCU e a CGU, observando que, por vezes, havia duplicação, com o TCU e a CGU realizando auditorias separadas sobre o mesmo assunto dentro de uma entidade. Embora as partes interessadas do TCU tenham argumentado que, às vezes, a duplicação permitia que o assunto fosse examinado tanto pela ótica da auditoria interna quanto pela externa, elas reconheceram que houve duplicação desnecessária. De acordo com as entrevistas realizadas, isso se deve, em grande parte, à falta de harmonização dos processos de planejamento de auditoria pelo TCU e pela CGU.

Não obstante, o arcabouço regulatório brasileiro prevê a cooperação entre as auditorias interna e externa para evitar duplicidade:

• O Capítulo III da Lei Orgânica do TCU estipula que, em apoio ao controle externo, os órgãos que integram o sistema de controle interno devem realizar auditorias nas contas dos responsáveis sob seu controle, emitindo um relatório, certificado de auditoria e parecer. Portanto, o TCU e a CGU coordenam esforços para emitir um parecer sobre o relatório consolidado de fim de ano do governo, a Prestação de Contas do Presidente da República (OECD, 2013[36]).

• O artigo 18 da Decisão Normativa 198/2022 do TCU determina que os órgãos do sistema de controle interno devem comunicar ao TCU, por meio da plataforma “Conecta-TCU” ou por outros meios, informações relativas a auditorias, inspeções, avaliações ou verificações. O TCU poderá não utilizar os resultados dessas auditorias caso os documentos não sejam enviados no prazo ou as provas não sejam consideradas suficientes e adequadas.

• Os artigos 12 e 13 da Instrução Normativa nº 84/2020 do TCU preveem que o TCU deverá manter comunicação constante com os responsáveis ​​pelos órgãos e unidades que compõem o sistema de controle interno dos Poderes da União, visando ao aprimoramento de sua atuação em relação às auditorias de contas.

Podem haver oportunidades para a realização de trabalhos conjuntos que possam servir aos propósitos da auditoria interna e externa (Quadro 4.4). Os auditores internos invariavelmente considerarão os controles sobre o cumprimento de leis e regulamentos como parte de seu trabalho. E isso é útil para auditores externos que podem ter que emitir um parecer sobre a regularidade das transações e se as atividades foram realizadas em conformidade com as leis e regulamentos aprovados pelo parlamento de um país (INTOSAI, 2010[45]). As partes interessadas no TCU declararam que, em vários processos do TCU, o trabalho da auditoria interna foi utilizado para subsidiar seu trabalho, observando que as evidências obtidas por meio da auditoria interna foram cruciais para as análises da auditoria externa. As partes interessadas destacaram ainda sua estratégia de cooperar com a auditoria interna por meio de ações conjuntas e troca de informações. Destacaram duas secretarias (Secretaria Adjunta de Informação Estratégica e Inovação e Secretaria de Controle Externo de Soluções Consensuais) que trabalharam diretamente com os órgãos de auditoria interna em acordos anticorrupção e de leniência, respectivamente.

Além disso, as partes interessadas descreveram um acordo de cooperação entre o TCU e a CGU, com vigência de outubro de 2021 a outubro de 2026. Seu objetivo é promover a cooperação técnica, fornecer apoio mútuo e trocar informações e tecnologias. O acordo prevê diversas medidas, incluindo a comunicação regular entre as equipes responsáveis pela mesma entidade para compartilhar recursos, informações e resultados sobre as áreas auditadas e complementar os resultados do trabalho realizado. O acordo também prevê a realização de ações integradas de interesse mútuo.

Por fim, a CGU tem acesso ao Laboratório de Informações para o Controle (LabContas), desenvolvido pelo TCU como um repositório central de dados e informações sobre controle. Ele permite o cruzamento de bases de dados e oferece soluções de análise de dados. Portanto, o LabContas oferece mais uma oportunidade para o compartilhamento efetivo das bases de dados do TCU com a CGU.

Assim, além das disposições legais e das reuniões entre o TCU e a CGU, já existe uma cooperação considerável entre os dois órgãos, com progressos. No entanto, ainda há espaço para melhorias, dadas as duplicações observadas pelas partes interessadas. Áreas importantes também podem ser negligenciadas pela auditoria interna e externa. Assim, a relação de colaboração entre o TCU e a CGU deve ser ainda mais fortalecida. Ambas as partes reconhecem a importância dessa cooperação aprimorada, que, na prática, pode, por vezes, ser difícil de implementar.

Em particular, as partes interessadas declararam que não havia normas e diretrizes claras e detalhadas para apoiar a implementação da cooperação, para ajudar a gerenciar os riscos que possam surgir durante a implementação das atividades de cooperação e para aumentar a eficácia da cooperação. As SAIs e os órgãos de auditoria interna em outros países se coordenam de diversas maneiras, conforme ilustrado abaixo (Quadro 4.5). Algumas boas práticas que o Brasil pode considerar valiosas são a adoção de normas de controle interno que forneçam orientação na cooperação e na atribuição a uma das partes da tarefa de minimizar a duplicação, como no caso da Polônia. As normas também poderiam fornecer orientação sobre a colaboração entre o TCU e a CGU no processo de planejamento da auditoria, o que é fundamental para reduzir a duplicação.

O Brasil é um país vasto com uma estrutura governamental complexa. Em 1988, a Constituição Federal concedeu aos municípios brasileiros o mesmo status que os estados e entes federativos. Os governos locais não são subordinados ao governo federal e os municípios são autônomos. Portanto, existem diversos agentes com poder decisório operando nos três níveis de governo, todos empenhados em implementar políticas multiníveis. Isso significa que todos os níveis do governo brasileiro compartilham responsabilidades pela implementação de políticas relacionadas à saúde, educação, previdência social, assistência social, habitação, etc. Os indicadores socioeconômicos no Brasil mostram disparidades regionais de longa data. E a implementação de políticas descentralizadas importantes para lidar com essas disparidades, como as de saúde e educação, é prejudicada pela governança multinível fragmentada. Portanto, lacunas e duplicações na execução de políticas prejudicam a execução equitativa e promovem a desigualdade regional.

Essa estrutura descentralizada se reflete no sistema de auditoria externa, composto por 33 instituições de auditoria: Tribunais de Contas (TC). Existem 26 Tribunais de Contas dos Estados (TCEs) para cada um dos estados brasileiros. O Distrito Federal também possui seu próprio tribunal de contas. Os TCEs são financeiramente independentes e totalmente autônomos, e 23 deles também auditam os municípios de seus estados. De acordo com informações recebidas do Brasil, existem atualmente três Tribunais de Contas dos Municípios, órgãos responsáveis ​​por auxiliar os tribunais de contas de seus estados por meio do controle externo dos municípios nos respectivos estados: Pará, Goiás e Bahia. Além disso, existem dois Tribunais de Contas Municipais, que atuam como órgãos de controle externo apenas para seus respectivos municípios: São Paulo e Rio de Janeiro.

Consequentemente, essa dupla descentralização deu origem a uma governança multinível fragmentada e a mandatos sobrepostos dentro do sistema de auditoria, como mostrado na Figura 4.2. Instituições de auditoria, como os TCs, têm o importante mandato de supervisionar e fornecer garantias sobre o uso de recursos públicos ao corpo legislativo e ao público. No entanto, o cenário de políticas descentralizadas e os mandatos sobrepostos dos órgãos de auditoria externa criam desafios para os TCs no que diz respeito à supervisão, à percepção e à previsão independentes sobre os gastos do dinheiro público e o desempenho das políticas. Os TCs, no entanto, estão em uma posição única para fornecer insights sobre as disparidades na execução de políticas, mas somente se eles próprios forem coordenados e puderem se basear em dados de todos os níveis de governo para informar essa variação territorial nas condições socioeconômicas e nos resultados das políticas (OECD, 2020[48]).

Algumas boas práticas já estão em vigor para fomentar a cooperação entre esses órgãos de auditoria externa em diferentes níveis. Mais da metade dos TCs estabeleceram condições para colaboração, seja em suas leis orgânicas, em seus regimentos internos ou em ambos os instrumentos. Em geral, essas disposições legais permitem que as instituições de auditoria celebrem acordos de cooperação com o TCU ou outras instituições de auditoria para trocar informações, aprimorar o sistema de controle e treinar pessoal, bem como desenvolver ações conjuntas envolvendo, por exemplo, uma entidade repassadora ou uma entidade receptora de recursos públicos. Aproximadamente 12 TCs estabelecem condições específicas para a assinatura de acordos de cooperação, aprovados pelo plenário e/ou pelo presidente.

A maioria dos TCs tem se envolvido em iniciativas de troca de informações entre instituições. Essas iniciativas incluem, por exemplo:

• Participação em iniciativas e projetos com fluxos de comunicação estruturados e compartilhamento de informações – como a Rede Nacional de Informações Estratégicas para o Controle Externo (Infocontas)

• Observatório da Despesa Pública

• A Rede Nacional de Indicadores Públicos (INDICON).

Além disso, o TCU utiliza auditorias conjuntas e coordenadas, por meio da celebração de convênios bilaterais com Estados e Municípios para um escopo de auditoria pré-determinado. Os convênios de cooperação entre o TCU e os diferentes estados e municípios envolvidos são detalhados e listam o escopo da auditoria, a metodologia, os recursos, o planejamento e os bancos de dados/informações a serem utilizados. Por exemplo, em 2013, uma auditoria coordenada sobre o ensino médio contou com a participação de 90 auditores do TCU, trabalhando em conjunto com auditores estaduais e municipais (OECD, 2017[46]).

Para enfrentar ainda mais esse desafio e aprimorar seu desempenho, impacto e relevância, os TCs, em colaboração com a OCDE, empreenderam o Projeto Integrar em 2017 (TCU/IRB/Atricon, 2020[49]; OECD, 2020[50]). O objetivo deste projeto era aprimorar a colaboração e promover uma supervisão mais coordenada das políticas descentralizadas (OECD, 2020[50]).

O projeto resultou em três recomendações principais:

• Colaboração e coordenação entre todos os órgãos de auditoria externa. Estabelecer e fortalecer redes em todo o sistema de auditoria. O compartilhamento de conhecimento e informação deve se concentrar no desenvolvimento de abordagens comuns para priorização e seleção de auditorias.

• Seleção estratégica colaborativa de auditorias com base em evidências e riscos. Sistematizar práticas de seleção de auditorias baseadas em riscos por meio do uso de dados e evidências em todos os níveis de governo.

• Avaliação sistemática de fatores de governança multinível em auditorias. Desenvolvimento de uma estrutura de avaliação de governança multinível específica para cada política para planejar e projetar auditorias.

Como resultado dessa iniciativa OCDE-TCU, em 2020 foi assinado um Acordo de Cooperação Técnica entre o TCU, a Associação dos Membros dos Tribunais de Contas do Brasil (ATRICON) e o Instituto Rui Barbosa (IRB) para a formação da Rede Integrar de Fiscalização Descentralizada de Políticas Públicas. O objetivo expresso do acordo era fortalecer a coordenação da função de auditoria externa brasileira e contribuir para o ciclo de implementação de políticas descentralizadas no Brasil (Government of Brazil, 2020[51]).

Em 2021, foi aprovada uma Portaria Conjunta para aprovar o regulamento interno desta nova rede. O regulamento interno delineou as formas de cooperação da Rede entre os participantes, que incluem o compartilhamento e o desenvolvimento conjunto de metodologias e a facilitação da troca de informações. O regulamento também delineia a estrutura organizacional, composta por um Comitê Técnico para gerir e supervisionar a Rede (Atricon et al., 2021[52]). A Rede deve publicar um plano de trabalho anual que contenha as áreas prioritárias da Rede, suas formas de cooperação, suas ações planejadas e os TCs envolvidos. A Rede reporta as atividades realizadas e os resultados alcançados por meio de relatórios anuais de atividades.

Por exemplo, os relatórios de atividades de 2022 e 2023 relataram uma auditoria coordenada para avaliar a implementação do “Novo Ensino Médio” (NEM). Essa iniciativa nacional, instituída por lei em 2017, visava garantir o acesso e a permanência dos alunos no ensino médio por meio da oferta de estudos técnicos e autônomos (Rede Integrar, 2023[53]). A iniciativa representa uma política pública descentralizada cuja implementação depende de uma ação coordenada entre os governos federal e estadual. A auditoria envolveu uma abordagem multinível, na qual o TCU e 15 TCs estaduais auditaram o Ministério da Educação e as Secretarias Estaduais de Educação.

Os TCs realizaram conjuntamente as fases de planejamento e análise da auditoria, como o desenvolvimento do plano de trabalho, avaliações de risco, obtenção de pareceres especializados, refinamento das áreas a serem avaliadas e preparação de instrumentos de coleta de informações, como questionários e realização de visitas escolares (Rede Integrar, 2022[54]). Os TCs concluíram suas auditorias individuais em 2023, onde avaliaram a implementação do Novo Ensino Médio sob a perspectiva da governança multinível. O TCU auditou o desempenho do Ministério da Educação como coordenador do NEM em todo o sistema público e como administrador da assistência técnica e financeira. Os TCs estaduais participantes auditaram o desempenho de suas respectivas secretarias estaduais de educação na implementação do NEM.

A maioria dos TCs identificou oportunidades de melhoria relacionadas ao planejamento, coordenação, monitoramento e avaliação. Por exemplo, o TCU constatou que o Ministério da Educação (ME) forneceu pouca assistência técnica às secretarias estaduais de educação, o que, por sua vez, impactou a capacidade das secretarias estaduais de implementar o NEM, como a impossibilidade de contratar consultores especializados para assistência. O TCU também constatou que o Ministério da Educação não monitorou a implementação do NEM devido a mecanismos de monitoramento deficientes. Isso, portanto, impediu o Ministério de identificar fragilidades no desempenho das secretarias estaduais de educação. Por exemplo, o Ministério da Educação não identificou que uma secretaria estadual de educação havia tomado medidas para implementar o NEM sem ter formalizado um plano para orientar suas ações. Além disso, a auditoria dessa secretaria estadual constatou baixa eficácia na implementação do NEM.

Este exemplo demonstra a utilidade de avaliar a implementação de políticas sob múltiplos ângulos para identificar as causas-raízes das constatações. Por exemplo, a fraca supervisão do Ministério da Educação contribuiu para a má implementação da iniciativa pela Secretaria Estadual de Educação. Tais constatações podem levar a recomendações sólidas e também subsidiar atividades de acompanhamento para verificar se as deficiências encontradas foram corrigidas.

Outros países com arranjos semelhantes de governança de auditoria externa também priorizaram a coordenação em todo o sistema, conforme descrito abaixo no Quadro 4.6, que inclui boas práticas da Espanha e do México em relação à coordenação entre órgãos de auditoria. Observe o exemplo mexicano, que coordena órgãos de auditoria internos e externos, e também o exemplo espanhol, em que as instituições de auditoria revisam os programas de auditoria umas das outras para evitar a duplicação entre auditorias internas e externas.

Nos últimos anos, o Projeto Integrar avançou no fomento à ação integrada entre os Tribunais de Contas nacionais. Avanços notáveis ​​incluem a consolidação de processos de planejamento participativo e o crescente envolvimento dos Tribunais de Contas subnacionais, o que fortaleceu a colaboração entre os diferentes níveis de governança. No entanto, ainda existem desafios significativos para a coordenação eficaz das ações coletivas das diversas instituições envolvidas, especialmente considerando as vastas dimensões geográficas do país e as diversas realidades dentro de cada região. Essas disparidades se manifestam não apenas nas diferentes prioridades em relação às necessidades de políticas públicas e aos subsequentes requisitos de monitoramento, mas também nas variações nas estruturas organizacionais e na disponibilidade de recursos entre os Tribunais de Contas.

Esses desafios refletem-se diretamente no processo de planejamento anual da Rede, que, embora participativo, enfrenta limitações na capacidade de execução. Embora tenha havido melhorias no processo de priorização ao longo dos anos, a capacidade de aplicar critérios objetivos para a seleção de projetos ainda é um trabalho em andamento.

Utilizar a análise de riscos como base para a priorização de tópicos de auditoria pode ser um bom ponto de partida (ref. documento da OCDE de 2018). Por exemplo, modelos como a abordagem de planejamento plurianual de auditoria do Escritório Nacional de Auditoria da Austrália (Australian Nation Audit Office) podem servir como referência útil. Essa abordagem, conforme descrita no relatório da OCDE de 2018, permite a priorização estruturada e de longo prazo de tópicos de auditoria, garantindo o alinhamento com os interesses nacionais estratégicos. Da mesma forma, a metodologia da Lista de Alto Risco do Escritório de Prestação de Contas do Governo dos Estados Unidos (Unidos United States Government Accountability Office), na qual as principais áreas de risco em nível nacional são identificadas e abordadas por meio de múltiplas auditorias coordenadas, pode fornecer uma estrutura para fortalecer a priorização e a alocação de recursos.

Um passo importante para a institucionalização interna da Rede Integrar foi dado com a criação do regimento interno do TCU, em especial a Portaria SEGECEX nº 22, de 15 de junho de 2023, que regulamenta a atuação da Secretaria-Geral de Controle Externo no âmbito da Rede Integrar. Embora isso represente um avanço na estruturação da Rede, a institucionalização mais ampla entre os diversos tribunais de contas continua sendo um desafio constante que requer maior atenção.

Ao desenvolver ainda mais os critérios de seleção baseados em riscos e adotar as melhores práticas de instituições internacionais de auditoria, a Rede Integrar poderia aprimorar seu processo de planejamento estratégico, melhorar a eficiência da alocação de recursos de auditoria e fortalecer a coordenação entre as instituições de auditoria externa do Brasil.

[24] ADB (2018), Capacity Development and Knowledge Sharing Initiatives (Internal Auditing in the Public Sector), Asian Development Bank, https://cfrr.worldbank.org/index.php/node/2416 (accessed on 7 December 2023).

[9] ANAC (n.d.), Internal Audit, National Civil Aviation Agency of Brazil, https://www.anac.gov.br/en/about-anac/departments/internal-audit (accessed on 6 December 2023).

[52] Atricon et al. (2021), Joint Ordinance No. 4/21 of 2 September 2021, Association of Members of the Courts of Auditors of Brazil, Rui Barbosa Institute, Federal Court of Accounts and National Council of Presidents of the Courts of Auditors, https://irbcontas.org.br/wpfd_file/portaria-conjunta-04-2021-_-ri-rede-integrar/ (accessed on 26 February 2024).

[19] Batista Vieira, J. and A. Batista de Araujo (2020), “Risk management in the Brazilian Federal Government: A ministerial analysis”, https://revista.enap.gov.br/index.php/RSP/article/view/4466/2856.

[40] CGU (2018), “CGU combate fraudes em contratações na Companhia Docas de São Paulo”, Comptroller General of Brazil, https://www.gov.br/cgu/pt-br/assuntos/noticias/2018/10/cgu-combate-fraudes-em-contratacoes-na-companhia-docas-de-sao-paulo (accessed on 18 February 2025).

[17] CGU (2018), Guia Prático Gestão de Riscos para a Integridade – Orientações para a administração pública federal direta, autárquica e fundacional, Comptroller General of Brazil, https://www.legiscompliance.com.br/biblioteca-digital/499-guia-pratico-de-gestao-de-riscos-para-a-integridade (accessed on 1 December 2023).

[22] CGU (2017), Implementation Guide for the Professional Practice of Government Internal auditing within the Brazilian Federal Executive Branch, Comptroller General of Brazil.

[38] CGU (2017), “Operação Research investiga desvios de recursos de bolsas de pesquisas na UFPR”, Comptroller General of Brazil, https://www.gov.br/cgu/pt-br/assuntos/noticias/2017/02/operacao-research-investiga-desvios-de-recursos-de-bolsas-de-pesquisas-na-ufpr (accessed on 18 February 2025).

[11] COSO (2013), Guidance: Internal Control - Integrated Framework, Committee of Sponsoring Organizations, https://www.coso.org/guidance-on-ic.

[51] Government of Brazil (2020), General Secretariat of the Presidency: Extract from Cooperation Agreement, Diàrio Oficial da União.

[10] Government of Brazil (2016), Instrução Normativa Conjunta No 1 de 10 Maio de 2016, Ministry of Justice and Public Security and Comptroller General of Brazil, https://www.gov.br/mj/pt-br/acesso-a-informacao/governanca/Gestao-de-Riscos/biblioteca/Normativos/instrucao-normativa-conjunta-no-1-de-10-de-maio-de-2016-imprensa-nacional.pdf/view (accessed on 25 February 2024).

[16] Government of Canada (2022), Health Canada - 2021-22 Departmental Financial Statements, https://www.canada.ca/en/health-canada/corporate/transparency/corporate-management-reporting/departmental-performance-reports/2021-2022-financial-statements.html (accessed on 20 January 2024).

[15] Government of Canada (2019), Guide to Ongoing Monitoring of Internal Controls Over Financial Management, https://www.tbs-sct.canada.ca/pol/doc-eng.aspx?id=32651§ion=html (accessed on 20 January 2024).

[14] Government of Canada (2017), Policy on Financial Management, https://www.tbs-sct.canada.ca/pol/doc-eng.aspx?id=32495 (accessed on 20 January 2024).

[4] IIA (2023), What is Internal Audit, Institute of Internal Auditors, https://www.theiia.org/en/about-us/about-internal-audit/#:~:text=What%20is%20Internal%20Audit%3F,and%20improve%20an%20organization's%20operations (accessed on 2 December 2023).

[6] IIA (2020), “The IIA’s Three Lines Model – An update of the Three Lines of Defense”, Institute of Internal Auditors, https://www.theiia.org/en/content/position-papers/2020/the-iias-three-lines-model-an-update-of-the-three-lines-of-defense/.

[30] IIA (2019), “Fraud and internal audit – Assurance over fraud controls fundamental to success”, IIA Position Paper, Institute of Internal Auditors, https://www.theiia.org/en/content/position-papers/2019/fraud-and-internal-audit-assurance-over-fraud-controls-fundamental-to-success/.

[29] IIA (2019), “Fraud identification and deterrence – Part 1: Internal audit’s role in fraud risk management”, Industry Knowledge Brief, Institute of Internal Auditors.

[31] IIA (2017), International Professional Practices Framework (IPPF), Institute of Internal Auditors, https://www.iia.org.au/member-resources/factsheets/factsheet-ippf (accessed on 4 December 2023).

[23] IIA (2017), International Standards for the Professional Practice of Internal Auditing, Institute of Internal Auditors, https://www.theiia.org/en/content/guidance/mandatory/standards/international-standards-for-the-professional-practice-of-internal-auditing/ (accessed on 4 December 2023).

[27] IIA (2010), Measuring Internal Audit Effectiveness and Efficiency. International Professional Practices Framework - Practice Guide, Institute of Internal Auditors, https://www.theiia.org/globalassets/documents/content/articles/guidance/practice-guides/measuring-internal-audit-effectiveness-and-efficiency/practice-guide-measuring-internal-audit-effectiveness.pdf?ref=clarissalucas.com.

[45] INTOSAI (2010), ICS – INTOSAI GOV 9150 – Coordination and Cooperation between SAIs and Internal Auditors in the Public Sector, Professional Standards Committee, International Organization of Supreme Audit Institutions, https://www.psc-intosai.org/library/ics-intosai-gov-9150-coordination-and-cooperation-between-sais-and-internal-auditors-in-the-public-sector/.

[8] INTOSAI/IIA (2022), “Applying the Three Lines Model in the public sector: A joint paper”, International Organization of Supreme Audit Institutions and Institute of Internal Auditors, https://www.theiia.org/globalassets/site/content/articles/applying_the_three_lines_model_in_the_public_sector.pdf.

[5] ISO (2018), ISO 3100, Risk management – Guidelines, Second Edition 2018-2, International Standards Organisation.

[12] Mendes de Oliveira, D. et al. (2022), “How do internal control environments connect to sustainable development to curb fraud in Brazil?”, Sustainability, Vol. 14/9, p. 5593, https://doi.org/10.3390/su14095593.

[41] MPF (2023), “Após denúncia do MPF, sete envolvidos em contrato irregular no Porto de Santos (SP) viram réus”, Public Prosecutor’s Office of Brazil, https://www.mpf.mp.br/sp/sala-de-imprensa/noticias-sp/apos-denuncia-do-mpf-sete-envolvidos-em-contrato-irregular-no-porto-de-santos-sp-viram-reus (accessed on 18 February 2025).

[33] Newiak, M., A. Segura-Ubiergo and A. Aziz Wane (2022), “The role of supreme audit institutions in addressing corruption, including in emergency settings”, in Good Governance in Sub-Saharan Africa: Opportunities, International Monetary Fund, Washington, DC, https://doi.org/10.5089/9781513584058.071.

[47] OECD (2024), “Enhancing co-operation between internal and external auditors: Towards a well-co-ordinated and strengthened public sector audit to ensure public accountability”, OECD Public Governance Policy Papers, No. 67, OECD Publishing, Paris, https://doi.org/10.1787/0d4976ed-en.

[13] OECD (2022), Modernising Integrity Risk Assessments in Brazil: Towards a Behavioural-sensitive and Data-driven Approach, OECD Public Governance Reviews, OECD Publishing, Paris, https://doi.org/10.1787/ad3804f0-en.

[34] OECD (2021), Strengthening Public Integrity in Brazil: Mainstreaming Integrity Policies in the Federal Executive Branch, OECD Public Governance Reviews, OECD Publishing, Paris, https://doi.org/10.1787/a8cbb8fa-en.

[50] OECD (2020), Auditing Decentralised Policies in Brazil: Collaborative and Evidence-Based Approaches for Better Outcomes, OECD Public Governance Reviews, OECD Publishing, https://doi.org/10.1787/30023307-en.

[48] OECD (2020), Auditing Decentralised Policies in Brazil: Collaborative and Evidence-Based Approaches for Better Outcomes, OECD Public Governance Reviews, OECD Publishing, Paris, https://doi.org/10.1787/30023307-en.

[2] OECD (2020), OECD Public Integrity Handbook, OECD Publishing, Paris, https://doi.org/10.1787/ac8ed8e8-en.

[3] OECD (2017), Brazil’s Federal Court of Accounts: Insight and Foresight for Better Governance, OECD Public Governance Reviews, OECD Publishing, Paris, https://doi.org/10.1787/9789264279247-en.

[46] OECD (2017), Mexico’s National Auditing System: Strengthening Accountable Governance, OECD Public Governance Reviews, OECD Publishing, Paris, https://doi.org/10.1787/9789264264748-en.

[1] OECD (2017), Recommendation of the Council on Public Integrity, OECD, Paris, https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0435.

[36] OECD (2013), Brazil’s Supreme Audit Institution. The Audit of the Consolidated Year-end Government Report, OECD Public Governance Reviews, OECD Publishing, Paris, https://doi.org/10.1787/9789264188112-en.

[20] OECD (n.d.), OECD Public Integrity Indicators (database), OECD, Paris, https://oecd-public-integrity-indicators.org/ (accessed on 14 February 2025).

[25] PEFA (2022), Stocktaking of Public Financial Managmeent Diagnostic Tools – Global Trends and Insights, Public Expenditure and Financial Accountablity, https://www.pefa.org/node/5240 (accessed on 4 December 2023).

[44] Rede de Controle da Gestão Pública (n.d.), Homepage, https://www.rededecontrole.gov.br/ (accessed on 18 February 2025).

[53] Rede Integrar (2023), Fiscalização de Políticas Públicas Descentralizadas. Relatório Annual de Atividades.

[54] Rede Integrar (2022), Fiscalização de Políticas Públicas Descentralizadas. Relatório Annual de Atividades.

[37] TCU (2023), “TCU celebra 10 anos da Lei Anticorrupção em evento da Controladoria-Geral da União”, Federal Court of Accounts, https://portal.tcu.gov.br/imprensa/noticias/tcu-celebra-10-anos-da-lei-anticorrupcao-em-evento-da-controladoria-geral-da-uniao.htm (accessed on 25 February 2024).

[43] TCU (2021), “Conheça os resultados do Programa Nacional de Prevenção à Corrupção”, Federal Court of Accounts, Brazil, https://portal.tcu.gov.br/imprensa/noticias/conheca-os-resultados-do-programa-nacional-de-prevencao-a-corrupcao (accessed on 18 February 2025).

[21] TCU (2020), Referencial Básico de Governança organizacional para organizações públicas e outros entes jurisdicionados ao TCU, Federal Court of Accounts, https://portal.tcu.gov.br/imprensa/noticias/tcu-publica-a-3-edicao-do-referencial-basico-de-governanca-organizacional.htm (accessed on 8 December 2023).

[55] TCU (2020), Relations with External Audit Bodies, Federal Court of Accounts, https://www.tcu.es/tribunal-decuentas/en/relaciones-externas/relaciones-institucionales/relaciones-con-ocex/index.html (accessed on 24 January 2024).

[42] TCU (2019), “TCU, em parceria com outros órgãos de controle, detecta fragilidade no combate à fraude e à corrupção em Mato Grosso do Sul”, Federal Court of Accounts, https://portal.tcu.gov.br/imprensa/noticias/tcu-em-parceria-com-outros-orgaos-de-controle-detecta-fragilidade-no-combate-a-fraude-e-a-corrupcao-em-mato-grosso-do-sul (accessed on 18 February 2025).

[39] TCU (2017), Deflagrada segunda fase da Operação Research, Federal Court of Accounts, Brazil, https://portal.tcu.gov.br/imprensa/noticias/deflagrada-segunda-fase-da-operacao-research (accessed on 18 February 2025).

[7] TCU (2017), Survey Report - Judgment No TC 011.759/2016-0, Federal Court of Accounts, https://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?fileId=8A8182A25EABAA93015EBEA525695384 (accessed on 3 December 2023).

[18] TCU (2015), Risk Management: Public Governance Survey, Federal Court of Accounts, https://portal.tcu.gov.br/biblioteca-digital/gestao-de-riscos-levantamento-de-governanca-publica.htm (accessed on 3 December 2023).

[35] TCU (n.d.), Auditing, Federal Court of Accounts, Brazil, https://portal.tcu.gov.br/english/auditing (accessed on 4 December 2023).

[49] TCU/IRB/Atricon (2020), Projeto Integrar: Propostas para o fortalcimento do controle externo de políticas públicas descentralizadas, Federal Court of Accounts, Rui Barbosa Institute and Association of Members of the Courts of Auditors of Brazil, https://portal.tcu.gov.br/publicacoes-institucionais/cartilha-manual-ou-tutorial/projeto-integrar-propostas-para-o-fortalecimento-do-controle-externo-de-politicas-publicas-descentralizadas (accessed on 5 December 2023).

[32] UK Government (2023), Annual Report and Accounts 2022/23, Government Internal Audit Agency, https://www.gov.uk/government/publications/giaa-annual-report-and-accounts-2022-2023 (accessed on 5 December 2023).

[28] UK Government (2016), Annual Report and Accounts 2015/16, Government Internal Audit Agency, https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/534352/160629_Annual_Report___Accounts_GIAA_2015-16-FINAL__Web_PDF_.pdf (accessed on 7 December 2023).

[26] World Bank (2022), World Bank Report Validating CGU’s Internal Audit-Capability Model Level 2, World Bank, Washington, DC, https://www.gov.br/cgu/pt-br/assuntos/noticias/2022/11/cgu-recebe-certificacao-no-nivel-2-do-modelo-ia-cm-pelo-banco-mundial/relatorio-banco-mundial-validacao-cgu-iacm-nivel-2.pdf/view (accessed on 4 December 2023).