Relatório de Atividades
APRESENTAÇÃO
O Relatório Anual de Atividades de Auditoria Interna (RAINT) foi elaborado de acordo com a Instrução Normativa n.º 24, de 17 de novembro de 2015, expedida pela Controladoria-Geral da União, contendo o relato das atividades desenvolvidas pela Auditoria Interna (AUD) da Agência Nacional de Telecomunicações (Anatel) no exercício de 2016.
Por força do contido no art. 16 da referida Instrução Normativa, este relatório é destinado ao Conselho Diretor da Agência para apreciação e à Controladoria-Geral da União para conhecimento.
A atuação da Auditoria Interna ao longo de 2016 pautou-se pelas ações previstas no Plano Anual de Atividades de Auditoria Interna (PAINT), aprovado pelo Conselho Diretor por meio da Portaria nº 1.015, de 22 de dezembro de 2015, considerando a deliberação tomada por meio do Circuito Deliberativo nº 2.405, de 16 de dezembro de 2015.
Apresentamos, a seguir, a organização da unidade de Auditoria Interna, a descrição dos trabalhos realizados, a análise consolidada dos controles internos da Agência com base nos trabalhos realizados, a descrição de fatos relevantes que impactaram nos recursos, na organização da unidade e na realização dos trabalhos, a descrição das ações de capacitação realizadas no exercício, o diagnóstico das recomendações emitidas no ano e a descrição dos benefícios decorrentes da atuação da unidade de auditoria interna ao longo do exercício.
AUDITORIA INTERNA
A unidade de Auditoria Interna da Anatel foi criada em 2001 com a publicação do Regimento Interno (aprovado pela Resolução nº 270, de 19 de julho de 2001), em atendimento ao disposto no Decreto n.º 3.591, de 6 de setembro de 2000, que determinou às entidades da Administração Pública Federal Indireta a organização de unidade de auditoria interna, com o suporte necessário de recursos humanos e materiais para o fortalecimento da gestão e para a racionalização das ações de controle.
Quanto ao posicionamento na estrutura organizacional na Anatel, a Auditoria Interna é órgão vinculado ao Conselho Diretor. Atualmente, compõe-se de uma equipe de nove servidores:
|
CARGO |
QTDE |
VINCULAÇÃO |
|
CHEFE DA AUDITORIA INTERNA |
01 |
QUADRO EFETIVO |
|
TÉCNICO NÍVEL SUPERIOR |
06 |
QUADRO EFETIVO |
|
TÉCNICO NÍVEL MÉDIO |
02 |
QUADRO EFETIVO |
|
TOTAL |
09 |
QUADRO EFETIVO |
De acordo com o art. 163, do Regimento Interno da Agência, aprovado pela Resolução nº 612, de 29 de abril de 2013, a Auditoria Interna tem as seguintes competências:
Elaborar e submeter à aprovação o Plano Anual de Atividades de Auditoria Interna;
Avaliar a eficiência e eficácia dos controles internos, visando garantir a salvaguarda dos ativos, a fidedignidade dos dados operacionais, a gestão orçamentária, financeira, administrativa, contábil e patrimonial, o cumprimento das leis, dos regulamentos e demais instrumentos normativos estabelecidos, a melhoria da eficiência operacional e a eficiência e economia na aplicação dos recursos;
Elaborar relatórios contendo análises, apreciações, comentários e recomendações e acompanhar a implementação das soluções;
Examinar e emitir pareceres sobre a prestação de contas anual da Agência e tomadas de contas especiais;
Assistir os órgãos de controle do Governo Federal no que se refere ao acompanhamento, adequação e padronização das informações solicitadas;
Acompanhar os resultados dos exames dos órgãos de controle do Governo Federal.
A atuação da Auditoria Interna é disciplinada pela Portaria n.º 28/2013, que estabeleceu a missão da unidade, os aspectos relacionados à autonomia e objetividade, as atribuições específicas, entre outras considerações. Nesses termos, destacam-se os dispositivos a seguir:
Art. 3º Aos servidores lotados na Auditoria Interna será franqueado o acesso a todas as dependências da Agência, assim como a informações, documentos, registros, sistemas, valores e livros considerados indispensáveis ao cumprimento de suas atribuições, não lhe podendo ser sonegado, sob qualquer pretexto, nenhum processo, documento ou informação, devendo o servidor guardar o sigilo das informações caso elas estejam protegidas legalmente.
Art. 4º A nomeação, designação, exoneração ou dispensa do titular de unidade de auditoria interna será submetida, pelo Presidente da Agência, à aprovação do Conselho Diretor, e, após, à aprovação da Controladoria-Geral da União, nos termos do §5º do art. 15 do Decreto 3.591/2000.
Art. 5º A Unidade de Auditoria Interna fica sujeita às orientações normativas e supervisão técnica do Órgão Central e dos órgãos setoriais do Sistema de Controle Interno do Poder Executivo Federal.
Art. 10. Nenhum processo, documento ou informação poderá ser sonegado aos servidores da Auditoria Interna quando no desempenho de suas atribuições, devendo seus servidores guardar sigilo das informações conforme previsto na legislação, usando nos relatórios apenas as informações de caráter consolidado sem identificação de pessoa física ou jurídica quando essas informações estiverem protegidas legalmente por sigilo.
Art. 15. É vedada a participação do Auditor Interno e dos servidores lotados na Auditoria Interna nas atividades das áreas operacionais, bem como em qualquer atividade de gestão da Agência.
A atuação da AUD é pautada, ainda, pelo contido no Plano Anual de Auditoria Interna (PAINT), que estabelece anualmente as ações de auditoria a serem realizadas e a estimativa de horas destinadas à capacitação da equipe. Os trabalhos são selecionados com o auxílio da Matriz de Riscos, que classifica os processos institucionais segundo critérios de probabilidade (criticidade e ciclo de auditoria) e impacto (relevância e materialidade), em atendimento à Instrução Normativa CGU nº 24, de 17 de novembro de 2015.
Diante do exposto, sobre a Auditoria Interna da Anatel, conclui-se que:
Reporta-se funcionalmente à mais alta instância de governança da entidade;
Sua função foi adequadamente definida em norma própria;
Há norma que autoriza o acesso das equipes da auditoria aos recursos organizacionais relevantes à realização do trabalho de auditoria;
Há diretrizes para o tratamento de conflitos de interesse que poderiam prejudicar a avaliação objetiva (não participação em atos de gestão); e
O Plano Anual de Auditoria, elaborado com base em riscos, é submetido à aprovação superior.
DESCRIÇÃO DOS TRABALHOS REALIZADOS
Em atendimento à IN nº 24/2015/CGU, art. 15, incisos I, III e IV.
O Plano Anual de Atividades de Auditoria Interna (PAINT) previu a realização de 11 ações de auditoria interna em 2016. No exercício, foram realizados 14 trabalhos, entre ações programadas e não programadas, conforme o quadro a seguir:
|
REFERÊNCIA PAINT |
DESCRIÇÃO |
Nº DO RELATÓRIO |
EMISSÃO |
|
1 |
Parecer da Unidade de Auditoria Interna |
Informe nº 2/2016/SEI/AUD e Parecer nº 2/2016/SEI/AUD |
01/02/2016 |
|
Não programado |
Monitoramento das ações referentes aos Jogos Rio 2016 |
1/2016/AUD |
03/02/2016 |
|
Não programado |
Contratos de segurança institucional e manutenção predial |
2/2016/AUD |
24/02/2016 |
|
Não programado |
Pagamentos do Contrato ER09 n.º 01/2005 referente à prestação de serviços de STFC |
3/2016/AUD |
25/02/2016 |
|
8 |
Gerenciamento das operações de telefonia corporativa |
4/2016/AUD |
17/05/2016 |
|
9 |
Gestão da Segurança da Informação e Comunicações |
5/2016/AUD |
06/07/2016 |
|
4 |
Planejamento e Execução das ações de Fiscalização |
6/2016/AUD |
19/08/2016 |
|
2 |
Gerenciamento de canais de relacionamento com os consumidores |
7/2016/AUD |
13/09/2016 |
|
Não programado |
Atendimento de Demanda do Conselho Diretor (Ata da 808ª reunião) - contrato de veículos da Sede |
Nota de Auditoria n.º 1/2016 |
21/09/2016 |
|
7 |
Concessão de diárias e passagens |
13/2016/AUD |
29/11/2016 |
|
11 |
Contratos de serviços de transporte |
16/2016/AUD |
23/12/2016 |
|
5 |
Gerenciamento dos serviços de infraestrutura |
17/2016/AUD |
21/12/2016 |
|
6 |
Processo de Monitoramento das Relações Econômicas entre Prestadoras |
18/2016/AUD |
22/12/2016 |
|
10 |
Processo de Controle de Obrigações de Universalização |
19/2016/AUD |
21/12/2016 |
Primeiramente, é relevante esclarecer o motivo pelo qual a numeração dos relatórios emitidos no ano não é sequencial (ausência dos Relatórios de Auditoria n.º 8, nº 9, nº 10, nº 11, nº 12, nº 14 e nº 15 no quadro). A partir de 2016, os relatórios de auditoria passaram a ser emitidos no Sistema Eletrônico de Informações (SEI!), que numera automaticamente os documentos a partir da data de sua criação. Paralelamente aos relatórios originados de trabalhos de auditoria, a AUD emite relatórios gerenciais contendo o acompanhamento de determinações e recomendações do Tribunal de Contas da União (TCU), do Ministério da Transparência, Fiscalização e Controladoria-Geral da União (CGU) e da própria AUD, em atendimento ao disposto no art. 17 da IN CGU nº 24/2015, e os encaminha ao Conselho Diretor e áreas interessadas. Tais relatórios são cadastrados com a mesma denominação (Tipo do Documento) e numeração que os relatórios derivados de ações de auditoria. Desse modo, os relatórios ausentes no quadro referem-se a relatórios gerenciais emitidos pela AUD em 2016 mediante o SEI!.
Cumpre destacar, ainda, que em 2016 foram realizados quatro trabalhos de auditoria não programados no PAINT, que originaram os Relatórios de Auditoria nº 1, nº 2, nº 3 e a Nota de Auditoria nº 1. Em virtude disso e da limitação da capacidade operacional da AUD, a ação nº 3 do PAINT/2016, sobre o processo de gerenciamento de atividades de suporte ao usuário de TI, deixou de ser executada. Esta auditoria seria realizada no âmbito da Gerência de Planejamento, Operação e Manutenção de Redes (GIMR), da Superintendência de Gestão Interna da Informação (SGI), contudo já haviam sido realizados dois trabalhos no âmbito dessa Gerência (Relatórios de Auditoria n.º 4/2016 e nº 5/2016), optando-se por dar prioridade a processos de áreas não auditadas. O processo será oportunamente auditado quando sua classificação na Matriz de Riscos de auditoria o eleger para tal.
Por fim, a descrição de todas as ações realizadas, contendo as unidades auditadas, os objetivos dos trabalhos, as equipes e cronograma executado, está contida no Anexo I. Abaixo, segue breve relato da motivações e os resultados das ações de auditoria não programadas no PAINT, em atendimento ao art. 15, inc. III, da IN CGU nº 24/2015:
Relatório de Auditoria nº 1/2016
O relatório em referência é resultado do processo de monitoramento das ações preparatórias da Anatel para os para os Jogos Olímpicos e Paralímpicos realizados na cidade do Rio de Janeiro entre os meses de agosto e setembro de 2016 (Jogos RIO 2016). A ação de auditoria visou identificar riscos que poderiam impactar no descumprimento ou cumprimento parcial das atribuições da Agência, especialmente da Superintendência de Fiscalização (SFI), nos eventos em referência.
No trabalho, constatou-se que a Anatel possuía um planejamento formal em relação à gestão da infraestrutura de telecomunicações frente às atividades a serem desempenhadas nos Jogos RIO 2016 e que as atividades a serem executadas estavam definidas e alinhadas com os demais órgãos governamentais responsáveis pela organização do evento.
Constatou-se, ainda, que a Anatel havia iniciado as ações visando ao atendimento das recomendações do Tribunal de Contas da União, constantes do item 9.2, do Acórdão nº 3422/2014-TCU-Plenário, relacionadas aos eventos em referência. Todavia, quanto à capacitação em idiomas, havia sido realizado um projeto piloto com 32 servidores da Sede da Agência e Gerenciais Regionais, cuja ampliação dependeria de disponibilidade orçamentária.
Não foram emitidas recomendações nesse Relatório.
Relatório de Auditoria nº 2/2016
O trabalho de auditoria foi realizado com o objetivo de apurar o fato relatado na Constatação 11 (Falhas nos procedimentos de controle de competência das empresas terceirizadas) do Relatório de Auditoria nº 10/2015, de 30 de dezembro de 2015, versando sobre Segurança Institucional.
No curso da referida auditoria, foi confirmada a similaridade entre a cláusula 4.1.1.5 (“CFTV – Circuito Fechado de TV – Monitoramento, on-line, das áreas monitoradas por meio de profissionais qualificados, denominados monitores de automação”) do Contrato AFIS n.º 11/2013 e a cláusula 4.1.2.32 do Contrato SAF nº 6/2013, tendo opinado pela apuração detalhada deste fato em uma nova ação de auditoria, em virtude da limitação do cronograma do trabalho iniciado em 2015.
Assim, em continuidade à apuração iniciada no Relatório de Auditoria n.º 10/2015, o Relatório de Auditoria nº 2/2016 visou confirmar a existência de atribuições semelhantes em diversos contratos vigentes no âmbito da Gerência de Infraestrutura, Serviços e Segurança Institucional (AFIS) e as possíveis consequências deste fato nos pagamentos devidos às contratadas, em virtude da forma de remuneração dos contratos analisados.
Dos exames de auditoria aplicados, confirmou-se que foram definidas atividades equivalentes em mais de um contrato vigente no âmbito da AFIS e que essa situação estava acarretando o descumprimento das obrigações contratuais por pelo menos uma das contratadas. Tal situação foi observada quando confrontados os seguintes instrumentos: Contrato SAF n.º 06/2013 (vigilância) e Contrato AFIS n.º 11/2013 (automação predial); Contrato AFIS n.º 11/2013 (automação predial) e Contrato AFIS n.º 20/2014 (prevenção e combate a incêndio); e Contrato AFIS n.º 20/2014 (prevenção e combate a incêndio) e Contrato AFIS n.º 43/2014 (manutenção predial).
Da análise dos processos de pagamento, não foram identificadas glosas nos valores pagos às contratadas em virtude de descumprimento parcial das atribuições dos contratos. Constatou-se, no entanto, que a forma de remuneração dos contratos analisados (por posto de serviço) não previa o pagamento por atividades executadas, não havendo caracterização de hipótese de punição às contratadas, na medida em que a sobreposição de obrigações foi estabelecida pela própria administração, e as atividades previstas nos contratos foram sempre executadas, por uma ou outra empresa.
Assim, para a correção da situação detectada, recomendou-se o ajuste das atividades definidas nos contratos em que foram identificadas as similaridades, evitando-se que obrigações equivalentes estivessem definidas em mais de um contrato vigente na Agência, levando ao descumprimento de cláusulas contratuais por uma das contratadas. Adicionalmente, alertou-se a AFIS para que tratasse com maior cautela a definição das atribuições dos contratos envolvendo a segurança institucional e manutenção predial, com intuito de evitar a definição de atribuições equivalentes em mais de um contrato vigente.
Relatório de Auditoria nº 3/2016
O referido relatório foi realizado em decorrência da identificação, no Relatório nº 3/2015/AUD, de pagamento de serviços de STFC modalidade local da Gerência Regional no Estado do Ceará, Piauí e Rio Grande do Norte (GR09) em desacordo com o contratado e de pagamento de serviços sem cobertura contratual entre os exercícios de 2005 a 2010. Identificou-se a necessidade de aprofundamento na análise dos minutos cobrados e pagos pela GR09 nas ligações do tipo fixo-fixo e fixo-móvel, além de serviços cobrados que não estavam previstos no Contrato ER09 n.º 01/2005. Em função da limitação do cronograma do trabalho do qual resultou o Relatório nº 3/2015/AUD, optou-se por dar continuidade às análises em uma nova ação de auditoria.
Dos exames de auditoria, constatou-se que o valor previsto no contrato para o minuto de ligações do tipo fixo-fixo era de R$ 0,00467 para o horário normal e R$ 0,00233 para o horário reduzido. Nas ligações do tipo fixo-móvel, o valor do minuto previsto no contrato era de R$ 0,52 e R$ 0,36 para o horário normal e horário reduzido, respectivamente. Os referidos valores não foram encontrados em nenhuma das 79 faturas analisadas na amostra com 6.390 ligações.
De acordo com as dados levantados, o valor do minuto médio pago para as ligações do tipo fixo-fixo representaram um acréscimo de 872% para o horário normal e de 768% para o horário reduzido quando comparados aos valores contratados. Por sua vez, nas ligações do tipo fixo-móvel, o valor do minuto médio pago representou um acréscimo de 66% para o horário normal e de 69% para o horário reduzido quando comparados aos valores contratados.
Na análise, também foram verificados pagamentos de serviços que não estavam previstos no contrato relativos à assinatura, numeração e ligações a cobrar. Nas faturas analisadas, o total cobrado e pago por estes serviços resultou em um montante de R$ 142.215,43.
Detectou-se, ainda, que nas planilhas de preços que integram o contrato, constava o item Valor de Conexão a R$ 0,01521, todavia este valor não fazia parte da composição do valor total do contrato. Nas faturas analisadas, a Auditoria Interna verificou que valores cobrados a título de Valor de Conexão variaram entre R$ 0,11 a R$ 0,16, correspondendo a 623% e 951% a maior do que o valor que consta na planilha de preços.
Diante dos fatos constatados, recomendou-se que a área auditada apurasse, em todo o período de vigência do Contrato ER09 n.º 01/2005, a diferença paga em desacordo com o previsto no contrato, adotando as medidas necessárias para recuperar o montante pago a maior. Adicionalmente, considerando a natureza dos fatos apresentados, o relatório foi encaminhado à Corregedoria para conhecimento e providências cabíveis.
Nota de Auditoria n.º 1/2016
Durante a execução da ação de auditoria nº 11 do PAINT/2016, o Conselho Diretor da Anatel solicitou à Auditoria Interna, conforme consta na Ata da 808ª Reunião, ocorrida em 01/09/2016, a apresentação de Parecer acerca da situação do Contrato AFIS nº 03/2015, cujo objeto é a prestação de transporte para atender as demandas da Anatel Sede, em virtude de informação prestada pela Superintendente de Administração e Finanças de que o referido contrato encontrar-se-ia com um déficit de 8.800 Km em relação à quilometragem estimada até aquele momento.
Nesse trabalho, constatou-se a utilização dos veículos executivos em quilometragem superior à estimativa mensal, o que levaria ao fim precoce do saldo contratual, ausência de diferenciação do valor do pagamento do quilômetro excedente para o quilômetro estabelecido para a franquia e a substituição de veículos executivos em discordância com o previsto na planilha de custo e formação de preço do contrato. Para a correção das falhas identificadas, recomendou-se a limitação do uso de veículos, prevenindo a existência de quilometragem excedente, a instauração de procedimento para apuração e eventual cobrança do valor da quilometragem excedente paga a maior à contratada, a substituição dos veículos que atendessem as condições especificadas na contratação, a apuração e glosa de diferença dos valores a serem pagos no período em que foram utilizados veículos diferentes das condições pactuadas e a instauração de processo de sanção à contratada por descumprimento de disposições previstas no Contrato AFIS nº 3/2015. As recomendações feitas nessa Nota de Auditoria passaram a ser acompanhadas mediante o Relatório de Auditoria n.º 16/2016.
CONTROLES INTERNOS DA ANATEL
Em atendimento à IN nº 24/2015/CGU, art. 15, inciso II.
De acordo com o art. 2º, inc. V, da Instrução Normativa Conjunta CGU/MPOG nº 1/2016, os controles internos da gestão são o conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e informações, entre outros, operacionalizados de forma integrada pela direção e pelo corpo de servidores das organizações, destinados a enfrentar os riscos e fornecer segurança razoável de que, na consecução da missão da entidade, os objetivos gerais serão alcançados. Entre tais objetivos, citam-se a execução ordenada, ética, econômica, eficiente e eficaz das operações; o cumprimento das obrigações de accountability; cumprimento das leis e regulamentos aplicáveis; e salvaguarda dos recursos para evitar perdas, mau uso e danos.
A Instrução Normativa CGU nº 24/2015, que disciplina os aspectos operacionais das atividades de auditoria interna, determinou que fossem considerados, no mínimo, os seguintes componentes para avaliação de controles internos nos trabalhos de auditoria: ambiente de controle, avaliação de riscos, atividades de controle, informação e comunicação e atividades de monitoramento. Os referidos componentes foram definidos pela norma dos seguinte modo:
ambiente de controle: conjunto de normas, processos e estrutura que fornece a base para a condução do controle interno no órgão ou entidade;
avaliação de riscos: processo dinâmico e interativo que visa a identificar, a avaliar e a mensurar os riscos relevantes que possam comprometer a integridade do órgão ou entidade e o alcance das metas e dos objetivos organizacionais;
atividades de controle: conjunto de ações estabelecidas por meio de políticas e procedimentos que auxiliam o órgão ou entidade a mitigar os riscos que possam comprometer o alcance dos objetivos traçados;
informação: processo de validação da consistência, documentação e guarda dos registros gerados a partir das atividades de controle interno necessárias para que o órgão ou entidade alcance seus objetivos;
comunicação: processo contínuo de compartilhamento e obtenção de informações que possibilita a compreensão do órgão ou entidade sobre as responsabilidades de controle interno e sua importância; e
atividades de monitoramento: conjunto de ações destinadas a acompanhar e avaliar a eficácia dos controles internos.
Por seu turno, a IN Conjunta CGU/MPOG nº 1/2016 determinou que, na implementação dos controles internos da gestão, a alta administração, bem como os servidores da organização, deverá observar os componentes acima relacionados.
Em 2016, após a devida capacitação da equipe de auditoria, os processos organizacionais selecionados no PAINT por meio da Matriz de Riscos foram avaliados considerando-se os componentes mencionados. Nessa linha, apresenta-se a seguir a análise consolidada acerca do nível de maturação dos controles internos da Anatel com base nos trabalhos realizados.
De maneira geral, os trabalhos realizados à luz da IN nº 24/2015 detectaram deficiências em pelo menos três componentes da estrutura de controle interno dos processos avaliados. A maior parte dessas deficiências foi identificada no componente Atividades de Controle, em virtude da ausência ou insuficiência das políticas, procedimentos, rotinas e sistemas informatizados essenciais para a mitigação dos riscos dos processos. Nesse aspecto, destacam-se os seguintes tópicos:
falhas na elaboração e gestão de contratos (Rel. n.º 2/2016, Rel. nº 3/2016, Rel. 13/2016, Rel. 16/2016, Rel. 17/2016);
inoperância ou risco de descontinuidade de sistemas informatizados essenciais para gerenciar o volume de dados relacionado ao processo (Rel. nº 4/2016, Rel. 7/2017);
falhas nos controles para identificar inconsistências de dados nos sistemas (Rel. nº 19/2016);
ausência de procedimento de avaliação da economicidade para compras de passagens aéreas, em atendimento à IN nº 03-2015-SLTI/MPOG (Rel. 13/2016).
As Atividades de Controle apoiam todos os componentes do controle interno, mas são particularmente alinhadas ao componente de Avaliação de Riscos. A ação para gerir um risco identificado no processo de Avaliação de Riscos serve como ponto focal para selecionar e desenvolver as Atividades de Controle. Nesse sentido, convém ressaltar que parte das deficiências identificadas no componente Atividades de Controle deve-se à ausência de um processo formal e adequado de Avaliação de Riscos (Rel. nº 17/2016, Rel. nº 18/2016, Rel. nº 19/2016), uma vez que a natureza e extensão da resposta aos riscos e as Atividades de Controle associadas dependerão, ao menos parcialmente, do nível desejado de mitigação do risco aceitável, o que deverá ocorrer com a sistematização do processo de Avaliação. Das iniciativas pontuais de Avaliação formal de Riscos - a gestão de riscos institucional ainda não foi implementada -, foram identificadas oportunidades de melhoria, como necessidade de maior detalhamento dos objetivos dos processos para possibilitar a identificação dos riscos relacionados (Rel. nº 5/2016) e de se levar em consideração o potencial de fraude (Rel. nº 6/2016). Em relação ao componente Ambiente de Controle, as deficiências encontradas relacionam-se a:
baixo grau de participação da estrutura de governança - Comissão de Segurança da Informação e Comunicação - no processo (Rel. nº 5/2016);
deficiências no reporte da área auditada à estrutura de governança (Rel. nº 18/2016);
deficiência dos mecanismos de supervisão (Rel. nº 13/2016);
capacitação insuficiente dos servidores responsáveis pelas atividades do processo (Rel. nº 13/2016, Rel. nº 16/2016, Rel. nº 18/2016).
Na maioria dos processos avaliados, não foram identificadas deficiências relevantes nos mecanismos de informação e comunicação, contudo constatou-se a ausência ou insuficiência de informações sobre o processo nas ferramentas de divulgação internas, como Intranet (Rel. 13/2016), e falha no processo de comunicação com impacto na gestão de contratos (Rel. nº 16/2016).
Em relação ao componente Monitoramento, não foram identificadas ações destinadas a acompanhar e avaliar a eficácia dos controles internos em pelo menos quatro processos avaliados (Rel. nº 13/2016, Rel. nº 17/2016, Rel. nº 18/2016, Rel. nº 19/2016).
Considerando todos os trabalhos realizados e o modelo de avaliação de controle interno estabelecido na IN CGU nº 24/2015, é possível concluir, de forma consolidada, que o nível de maturidade do controle interno dos processos analisados é inicial. O nível de maturidade inicial1 caracteriza-se, entre outros aspectos, pelo seguinte:
Ambiente de Controle: A entidade possui padrões de conduta próprios, com disposições gerais, aplicáveis a todos os empregados; dispõe de um programa de capacitação que inclui treinamentos sobre os padrões de conduta da entidade e assuntos de ética e valores; instituiu Comissão de Ética e avalia a gestão da ética conforme processo coordenado pela Comissão de Ética Pública – CEP, nos termos do Decreto nº 6.029/2007; definição das autoridades e responsabilidades de controle interno para a alta gerência (2º escalão) e a auditoria interna da entidade; possui um programa de desenvolvimento de competências, avalia a produtividade e desempenho dos empregados periodicamente, define metas de desempenho institucionais.
Avaliação de Riscos: A entidade define objetivos em processo casuístico, ou seja, não incluído no escopo de gestão de riscos institucional; os objetivos são definidos no âmbito do corpo diretivo e alta gerência da entidade; a entidade define objetivos estratégicos; define objetivos para a entidade como um todo, que são mensurados; a entidade possui avaliação de riscos realizada em processo casuístico.
Atividades de Controle: as atividades de controle são estabelecidas em nível de transações para os processos internos relevantes para o objetivos e riscos da entidade; a entidade elabora matriz de controle de acesso e segregação de funções para os processos; estabelece políticas e procedimentos relevantes para os objetivos da entidade; elabora políticas e procedimentos para definição de responsabilidades e implantação dos controles dos processos relevantes para os objetivos e riscos da entidade; o uso de computação do usuário final nos processos, políticas e procedimentos relevantes é mapeado e documentado; a entidade possui política de segurança de TI formalmente estabelecida.
Informação e Comunicação: A entidade estabelece formalmente o processo de identificação e documentação de informações necessárias para apoiar o funcionamento do controle interno, comunica tempestivamente ao público interno e externo as informações necessárias e esperadas.
Monitoramento: Os processos, políticas e procedimentos relevantes para os objetivos e riscos da entidade possuem atividades de monitoramento integradas; estabelece a classificação dos problemas identificados nas atividades de monitoramento, além do nível de detalhe da documentação, as responsabilidades pelas ações corretivas e as partes que devem ser comunicadas.
Insta observar que, por se tratar de uma análise consolidada, os níveis de maturidade encontrados nos componentes de cada processo analisado foram ponderados para se chegar à presente classificação. Desse modo, não obstante haver processos com componentes inexistentes (Rel. nº 13/2016, Rel. nº 17/2016, Rel. nº 18/2016, Rel. nº 19/2016) e outros com nível de maturidade mais avançado, especialmente quanto ao componente Análise de Riscos (Rel. nº 5/2016, Rel. nº 6/2016), a análise consolidada de todos os controles implementados permite a conclusão de que o nível de maturidade consolidado é inicial.
Adicionalmente, é relevante destacar que o modelo de controle interno e gerenciamento de riscos contendo os componentes avaliados pela Auditoria Interna ao longo de 2016 passou a ser obrigatório para os órgãos e entidades do Poder Executivo Federal com a publicação da Instrução Normativa Conjunta MPOG/CGU nº 1, de maio de 2016. Destarte, é razoável que a Anatel esteja em processo de implantação e maturação de tal modelo.
Nesse aspecto, a Auditoria Interna tem papel relevante para o alcance da conformidade da Agência com a norma em comento, por meio da comunicação oportuna das deficiências encontradas em cada um dos componentes da estrutura de controle interno. Em vista disso, destacam-se, no Anexo IV, os processos que apresentaram falhas relevantes - considerando-se, para essa finalidade, as falhas recorrentes e estruturais dos processos analisados, por seu impacto na avaliação consolidada dos controle internos - e as respectivas ações recomendadas para regularização ou mitigação dos riscos delas decorrentes.
1. Para análise consolidada do nível de maturidade de controle interno, utilizou-se o modelo proposto no trabalho acadêmico "Análise das Estruturas de Controle Interno de Organizações Governamentais por meio de Modelo de Maturidade", publicado em 2016, de auditoria de Ricardo Augusto Capovilla.
fatos relevantes com impacto na auditoria interna
Em atendimento à IN nº 24/2015/CGU, art. 15, inciso V.
A publicação da Instrução Normativa CGU nº 24, de 17 de novembro de 2015, causou impacto relevante sobre as atividades de auditoria de 2016. No Capítulo II, a norma dispôs sobre os aspectos operacionais dos relatórios de auditoria, estabelecendo regras quanto ao planejamento e execução das ações. Embora os procedimentos descritos já fossem executados pela AUD em sua maior parte, especialmente quanto ao planejamento operacional dos trabalhos, foi necessário adequar a atuação da AUD para atender o disposto no art. 10, abaixo:
Art. 10 Para efetuar a avaliação dos controles internos, as unidades de auditoria interna deverão adotar as melhores práticas, considerando, no mínimo, os seguintes componentes: ambiente de controle, avaliação de riscos, atividades de controle, informação e comunicação e atividades de monitoramento.
Os componentes em referência foram estabelecidos no modelo conceitual para sistemas de controle interno denominado Controle Interno - Estrutura Integrada, elaborado pelo Committe of Sponsoring Organizations of the Treadway Commission (COSO). Até o momento da publicação da IN, o planejamento e a execução dos trabalhos de auditoria eram pautados pelo Manual de Auditoria Interna, aprovado pela Portaria nº 288, de 6 de abril de 2011, cujo conteúdo não abordava os componentes citados em sua literalidade. Nesse sentido, realizou-se a capacitação de toda a equipe de auditoria no modelo conceitual em referência (ver item 6 - Ações de Capacitação) em 2016, buscando a conformidade com a norma.
Após a devida capacitação, os trabalhos de auditoria passaram a abordar sistematicamente os componentes descritos no modelo conceitual do COSO. Além da dificuldade natural de aplicação de novos conceitos e procedimentos nas avaliações, essa abordagem levou ao aumento no tempo de execução dos trabalhos, mudança na estrutura do relatório, que passou a abordar as deficiências na estrutura de controle interno por componente, e a necessidade de inclusão de avaliação final quanto ao controle interno do processo auditado.
Convém destacar que, embora a norma em referência determinasse a avaliação da estrutura de controle interno com base nos componentes acima descritos a partir de sua publicação (novembro de 2015), a aplicação dessa estrutura só passou a ser de observância obrigatória pelos gestores a partir da expedição da Instrução Normativa Conjunta CGU/MPOG nº 1, de 10 de maio de 2016, que dispõe sobre controles internos, gestão de riscos e governança no âmbito do Poder Executivo Federal. Esse lapso temporal entre a publicação das duas normas demandou um esforço de orientação das áreas auditadas quanto à importância dessa nova abordagem nos trabalhos de auditoria.
No que toca à gestão da unidade, houve alterações no quadro de servidores da AUD em 2016. O então Chefe da Auditoria Interna solicitou exoneração a partir de 8 de agosto de 2016, o que o ocorreu mediante a Portaria nº 1.124, de 30 de agosto de 2016 (DOU de 01/09/2016, Seção 2, p.6). Após a vacância, o cargo passou a ser ocupado por Daniel Andrade Fonseca, que já compunha a equipe da AUD e exercia o encargo de substituto. Com a mudança, a equipe da AUD foi reduzida de nove para oito servidores.
Diante dessa redução, solicitou-se à área de gestão de pessoas o remanejamento de uma servidora com cargo de Analista Administrativo, especialidade Direito, para a equipe, o que se efetivou a partir de 28/11/2016 (Portaria nº 1622, de 28 de novembro de 2016, SEI nº 0996141), minimizando o impacto das mudanças gerenciais ocorridas no ano.
Por fim, é relevante apontar a realização de quatro trabalhos não programados, conforme descrição no item 3 - Descrição dos trabalhos realizados, que impactaram na não realização de uma ação de auditoria programada no PAINT.
AÇÕES DE CAPACITAÇÃO
Em atendimento à IN nº 24/2015/CGU, art. 15, inciso VI.
As ações de capacitação proporcionam aos servidores qualidade e competência técnica para melhor executarem suas tarefas e promovem o desenvolvimento pessoal.
No PAINT 2016, foram estimadas 80 horas de capacitação por servidor, exceto para os servidores que se afastariam para usufruir licença capacitação, prevista no art. 81 c/c art. 87 da Lei nº 8.112/90. Em 2016, foram realizados 12 eventos de capacitação, entre cursos externos, seminários, encontros e palestras, totalizando 1.090 horas. Desconsiderando os cursos realizados durante o período da licença em referência, a média de capacitação por servidor foi de 84 horas, demonstrando que a estimativa do PAINT 2016 foi alcançada. Por sua vez, os cursos realizados durante a licença capacitação totalizaram 500 horas.
Os eventos realizados foram os seguintes:
|
GRUPO DE EVENTOS |
DESCRIÇÃO DO EVENTO |
QTDE DE SERVIDORES |
CARGA HORÁRIA TOTAL |
|---|---|---|---|
|
CURSOS EXTERNOS |
CURSO COSO ICIF 2013 |
8 |
320 |
|
CURSO GESTÃO DE RISCOS |
7 |
192 |
|
|
AVALIAÇÃO DE RISCOS E CONTROLE EM PROCESSOS ORGANIZACIONAIS |
2 |
24 |
|
|
DE ACORDO COM O NOVO ACORDO - ONLINE |
1 |
10 |
|
|
SEMINÁRIOS, PALESTRAS E ENCONTROS |
PALESTRA COMBATE AO MOSQUITO AEDES AEGYPTI NO AMBIENTE DE TRABALHO |
5 |
5 |
|
PALESTRA PRESTAÇÃO DE CONTAS 2015 ORIENTAÇÕES SOBRE NORMAS E PROCEDIMENTOS PARA ELABORAÇÃO |
1 |
3 |
|
|
PALESTRA PROFOCO LEI DE ACESSO A INFORMAÇÃO |
1 |
20 |
|
|
PESQUISA DE SATISFAÇÃO E QUALIDADE PERCEBIDA DO CONSUMIDOR DE SERVIÇOS DE TELECOMUNICAÇÕES |
2 |
8 |
|
|
X ENCONTRO DAS AUDITORIAS INTERNAS DAS AGENCIAS REGULADORAS FEDERAIS |
1 |
8 |
|
|
CURSOS REALIZADOS DURANTE LICENÇA CAPACITAÇÃO |
CURSO DE AUDITORIA CONTÁBIL - ONLINE |
1 |
100 |
|
CURSO DE GESTÃO DE PROJETOS - ONLINE |
2 |
200 |
|
|
CURSO DE GESTÃO PUBLICA - ONLINE |
2 |
200 |
|
|
TOTAL |
1.090 |
||
Com relação aos cursos externos, destaca-se o CURSO COSO ICIF (Controle Interno - Estrutura Integrada) 2013, ministrado pelo Instituto de Auditores Internos do Brasil (IIA), que teve como objetivo abordar a estrutura de controle interno cujos elementos serviram como fundamento para a elaboração da Instrução Normativa nº 24, de 17 de novembro de 2015, expedida pela Controladoria-Geral da União, e Instrução Normativa Conjunta n.º 1, de 10 de maio de 2016, expedida pelo Ministério do Planejamento, Orçamento e Gestão e Controladoria-Geral da União. No treinamento, foram abordados os componentes da estrutura de controle interno (Ambiente de Controle, Avaliação de Riscos, Atividade de Controle, Informação e Comunicação e Atividade de Monitoramento) e demonstrou-se como aplicá-los nas atividades de avaliação realizadas pela auditoria interna, gerando benefícios para todos os trabalhos e contribuindo para a conformidade das avaliações com as normas citadas.
O Curso de Gestão de Riscos (COSO ERM), também ministrado pelo IIA, visou capacitar a equipe de auditoria quanto aos conceitos relacionados à gestão de riscos corporativa, contribuindo para a conformidade das avaliações de auditoria com o disposto na Instrução Normativa Conjunta MPOG/CGU nº 1/2016, já citada. O curso de Avaliação de Riscos e Controle em Processos Organizacionais Gestão de Riscos, por sua vez, teve como objetivo capacitar os servidores da equipe a construir modelos de plano de auditoria baseados em riscos e planejar uma ação de auditoria com base em coleta e tratamento de dados, formação essencial para condução de atividades de auditoria dentro das boas práticas e alinhadas com a Instrução Normativa Conjunta MPOG/CGU nº 1/2016. Finalmente, o curso De Acordo com o Novo Acordo teve como foco atualizar o servidor quanto às regras gramaticais estabelecidas pelo Novo Acordo Ortográfico da Língua Portuguesa, contribuindo para a correção dos relatórios de auditoria e outros documentos.
Relativamente ao grupo de seminários, palestras e encontros, os eventos contribuíram para execução de ações planejadas no PAINT, para aprimoramento das atividades administrativas e para qualidade de vida dos servidores. Além disso, possibilitaram a realização de benchmarking com outros órgãos e Agências quantos aos procedimentos de auditoria e o aprimoramento das atividades de apoio aos órgãos de controle externo. Destacam-se os seguintes eventos do grupo que se relacionaram de maneira direta com as ações do PAINT:
Palestra Prestação de Contas 2015 - Orientações sobre normas e procedimentos para elaboração: relacionou-se com a ação nº 1/2016 do PAINT (Prestação de Contas)
Pesquisa de Satisfação e Qualidade Percebida do Consumidor de Serviços de Telecomunicações: relacionou-se com a ação nº 7/2016 do PAINT (Auditoria no gerenciamento de canais de relacionamento com os consumidores).
Por sua vez, os cursos realizados durante as licenças para capacitação contribuíram para o aperfeiçoamento e reciclagem dos servidores nos seguintes temas: contabilidade, gestão de projetos e gestão pública.
Diante do exposto, os eventos realizados contribuíram para agregar conhecimento técnico necessário para a execução de auditorias do PAINT 2016 e para trabalhos futuros.
RECOMENDAÇÕES EXPEDIDAS NO EXERCÍCIO
Em atendimento à IN nº 24/2015/CGU, art. 15, inciso VII.
A Auditoria Interna realiza, ao longo do exercício, o acompanhamento das recomendações constantes dos Relatórios da Auditoria Interna. Por meio do acompanhamento, verifica-se o atendimento das recomendações e, nos casos em que não for possível a adoção de providências imediatas para solução das pendências, são estabelecidos, em conjunto com os gestores das unidades auditados, prazos para o atendimento.
Esse acompanhamento é realizado por meio do Sistema de Atividades de Auditoria Interna (SAAI). Nesse sistema, registram-se o histórico de providências apontadas pelas unidades auditadas para atendimento das recomendações expedidas, as análises das equipes de auditores quanto às manifestações das unidades auditadas, o status de cada recomendação (atendida, em andamento, não atendida, perda de objeto, não acatada), bem como são anexados os documentos que dão suporte às providências apontadas e às análises dos auditores.
Por meio do SAAI também é possível controlar os prazos para manifestação das unidades auditadas, com notificações por meio de correio eletrônico tanto para equipe de auditores quanto para as unidades auditadas. É possível, ainda, extrair relatórios contendo todas as providências e análises relativas a uma ação de auditoria específica.
Em 2016, foram emitidas 66 recomendações para as áreas auditadas, com base nos trabalhos realizados. Abaixo, um quadro com o status das recomendações expedidas no exercício:
|
STATUS DAS RECOMENDAÇÕES EMITIDAS EM 2016 (*posição de 16/01/2017) |
Nº DO RELATÓRIO |
QTDE |
|
ATENDIDAS |
2 |
1 |
|
4 |
4 |
|
|
5 |
4 |
|
|
6 |
1 |
|
|
7 |
1 |
|
|
13 |
1 |
|
|
SUBTOTAL |
- |
12 |
|
EM ANDAMENTO |
3 |
1 |
|
4 |
1 |
|
|
5 |
7 |
|
|
6 |
7 |
|
|
7 |
3 |
|
|
13 |
8 |
|
|
16 |
9 |
|
|
17 |
8 |
|
|
18 |
5 |
|
|
19 |
5 |
|
|
SUBTOTAL |
- |
54 |
|
TOTAL |
66 |
|
Cumpre esclarecer que as recomendações atendidas são aquelas em que a área auditada implementou os controles necessários para corrigir as deficiências encontradas no trabalho de auditoria. As recomendações em andamento reúnem as recomendações vincendas e não implementadas na data de elaboração deste relatório. A seguir, o detalhamento das situações das recomendações em andamento:
|
SITUAÇÃO DAS RECOMENDAÇÕES EM ANDAMENTO |
QTDE |
|
|
1 |
PRAZO INICIAL A VENCER |
27 |
|
2 |
NOVO PRAZO ESTABELECIDO PELA AUDITORIA INTERNA |
24 |
|
3 |
PRORROGAÇÃO DE PRAZO |
3 |
No primeiro caso, trata-se de recomendações expedidas próximo ao fim de 2016, cujos prazos iniciais para manifestação da área auditada ainda não expiraram. No segundo caso, trata-se de recomendações cujas providências foram apresentadas pela área auditada, mas a equipe de auditoria identificou a necessidade de ajustes para o completo atendimento das recomendações, tendo estabelecido novo prazo para o encaminhamento das providências complementares. No terceiro caso, trata-se de itens cujas áreas auditadas solicitaram prorrogação de prazo para implementação de providências em virtude de sua complexidade.
O detalhamento das recomendações atendidas no exercício, contendo as ações promovidas pelas áreas auditadas, estão relacionadas no Anexo II; o detalhamento das recomendações em andamento, contendo as justificativas dos gestores e as análises das equipes de auditoria, encontra-se no Anexo III.
BENEFÍCIOS DECORRENTES DA ATUAÇÃO DA AUDITORIA INTERNA
Em atendimento à IN nº 24/2015/CGU, art. 15, inciso VIII.
A auditoria interna visa analisar a eficiência e confiabilidade dos controles internos da entidade. A partir dos processos selecionados no Plano Anual, examinam-se os sistemas estabelecidos para certificar-se da observância às políticas, leis, planos e regulamentos que tenham ou possam ter impacto sobre as atividades e para determinar se a entidade está em conformidade com os normativos, examina os meios usados para a proteção dos ativos e, se necessário, comprovar sua real existência, verifica se os recursos são empregados de maneira eficiente e econômica, examina as operações e programas, verifica se os resultados são compatíveis com os planos e se estão sendo executados de acordo com o que foi planejado, comunica o resultado do trabalho de auditoria e certifica-se de que foram tomadas as providências necessárias, por meio do acompanhamento contínuo.
Em 2016, destacam-se os seguintes benefícios decorrentes da atuação da AUD na Anatel:
Aprimoramento dos controles internos, gerenciamento de riscos, integridade e governança dos processos, com auxílio do referencial teórico contido no documento Controle Interno - Estrutura Integrada (COSO), contribuindo para que a Anatel alcance segurança razoável com respeito à realização dos seus objetivos e para a conformidade da Agência com o modelo de controles internos estabelecido Instrução Normativa Conjunta CGU/MPOG nº 1/2016.
Contribuição para aderência às normas e regulamentos, internos ou externos;
Contribuição para a salvaguarda dos ativos da Anatel, especialmente quanto à identificação de pagamentos indevidos em contratos.
É importante ressaltar, ainda, a atuação da AUD na interação entre a Anatel e os órgãos de controle (CGU e TCU), garantindo a tempestividade nas comunicações entre as partes, bem como auxiliando as áreas auditadas na prestação de informações adequadas aos solicitantes.
DOCUMENTOS RELACIONADOS/ANEXOS
Anexo I - Descrição Ações de Auditoria (SEI nº 1158988)
Anexo II - Recomendações Atendidas no Exercício (SEI nº 1159002)
Anexo III - Recomendações em Andamento no Exercício (SEI nº 1159008)
Anexo IV - Falhas relevantes dos processos auditados (SEI nº 1167076)
CONCLUSÃO
Conforme exposto neste relatório, a Auditoria Interna da Anatel cumpriu a quantidade de trabalhos prevista no Plano Anual de Auditoria Interna para o exercício de 2016. Deixou-se de realizar uma ação programada, em virtude da realização de quatro ações não programadas e da redução temporária do quadro de servidores da unidade. Destaca-se ainda a publicação de novas normas afetas à atividade de auditoria interna e gestão, que tiveram impacto nos trabalhos realizados no ano.
As ações de auditoria identificaram oportunidades de melhoria na maturidade dos controles internos dos processos analisados. Em função disso, foram emitidas recomendações ao longo do ano para o atingimento desse fim. Estas recomendações têm sido objeto de acompanhamento contínuo, buscando a agregação de valor das ações de auditoria para a gestão da Agência.
 | Documento assinado eletronicamente por Mariana Felix Gonçalves de Mateus, Técnico Administrativo, em 03/02/2017, às 15:39, conforme horário oficial de Brasília, com fundamento no art. 30, II, da Portaria nº 1.476/2014 da Anatel. |
| | Documento assinado eletronicamente por Daniel Andrade Fonseca, Chefe da Auditoria Interna, em 03/02/2017, às 16:31, conforme horário oficial de Brasília, com o emprego de certificado digital emitido no âmbito da ICP-Brasil, com fundamento no art. 30, I, da Portaria nº 1.476/2014 da Anatel. |
 | A autenticidade deste documento pode ser conferida em http://www.anatel.gov.br/autenticidade, informando o código verificador 1113363 e o código CRC 24B8D37A. |
| Referência: Processo nº 53500.000269/2017-78 | SEI nº 1113363 |