Quais são as etapas de uma avaliação?

Planejamento, execução, comunicação e monitoramento. O maior esforço está no planejamento, onde se faz a análise preliminar, a matriz de riscos e controle e a matriz de planejamento.

É o Plano Anual de Auditoria Interna da CGU — o plano da unidade de auditoria interna (UAIG). Nele a unidade seleciona, a partir do universo de auditoria e usando critérios de risco, materialidade, tempestividade e oportunidade, quais objetos serão avaliados no período.

Qual a diferença entre risco inerente e risco residual?

O risco inerente é o risco antes de considerar os controles. O risco residual é o que sobra após a avaliação dos controles existentes. Se os controles são bons, o risco residual fica menor que o inerente.

O que é auditoria baseada em riscos?

É o modelo adotado pela CGU e pelos padrões globais, em que o processo de auditoria espelha as etapas da gestão de riscos (ISO 31000): entender o contexto, identificar riscos, analisá-los, analisar os controles e decidir sobre o que avaliar.

Auditoria Governamental · Avaliação

O planejamento da avaliação: plano da unidade, análise preliminar e matriz de riscos

Por Prof. Marcelo Soares Auditor da CGE-MT Atualizado em 30/06/2026

A auditoria é um processo sistemático e documentado — você não avalia de qualquer jeito. O planejamento é a etapa que mais exige do auditor, e é onde se decide, com método, o que realmente vale a pena avaliar.

Resposta rápida: uma avaliação individual tem quatro etapas — planejamento, execução, comunicação e monitoramento. Antes dela, existe o plano da unidade (na CGU, o PAINT). O planejamento individual é o de maior esforço e se desdobra em análise preliminar → matriz de riscos e controle → matriz de planejamento.

📺 Baseado na aula de Avaliação do Prof. Marcelo Soares — assista no YouTube.

Neste artigo

Antes de tudo: o plano da unidade (PAINT)
As quatro etapas da avaliação
A análise preliminar
A matriz de riscos e controle
Auditoria baseada em riscos (ISO 31000)
A matriz de planejamento
Perguntas frequentes

1. Antes de tudo: o plano da unidade (PAINT)

Antes de qualquer auditoria específica, existe o plano da UAIG — o plano de toda a unidade de auditoria interna. Na CGU, ele é o PAINT (Plano Anual de Auditoria Interna). A CGE-MT também faz o seu plano anual. Em geral, esses planos são anuais (no máximo bianuais) — não é comum planos de auditoria muito longos.

Para montar esse plano, parte-se do universo de auditoria: tudo o que a unidade pode avaliar, mapeado a partir do PPA (todas as principais políticas). Desse universo, a unidade seleciona uma parte — usando critérios de risco, materialidade, tempestividade e oportunidade — e define o que vai avaliar naquele ano.

Exemplo (PAINT da CGU): o plano elenca os objetos a auditar no ano — Programa Pé-de-Meia, Plano Nacional de Proteção e Defesa Civil, Programa Caminho da Escola, Política Nacional de Resíduos Sólidos, Seguro-Desemprego, etc. Ainda sem dizer se cada uma será de conformidade ou operacional — isso se define no planejamento individual.

Aprovado o plano, começa a execução do plano: emitem-se as ordens de serviço (autorizações de serviço), que designam quais auditores são responsáveis por avaliar cada objeto. É aí que uma auditoria específica começa.

Os "dois planos" do MOT (não se confunda): há o plano da UAIG (geral, de toda a unidade — ex.: o PAINT) e, dentro de cada auditoria individual, há um planejamento próprio daquela auditoria. Um é o plano da unidade; o outro é o planejamento de cada trabalho.

2. As quatro etapas da avaliação

Dentro de uma auditoria individual, as etapas são quatro:

As quatro etapas de uma avaliação individual. Este artigo aprofunda o planejamento.

Neste artigo aprofundamos o planejamento. A execução, a comunicação e o monitoramento estão detalhados no artigo seguinte.

3. A análise preliminar

O planejamento individual começa com a análise preliminar — e aqui está a maior parte do seu tempo. O objetivo é conhecer a política a fundo. Você faz muitas entrevistas (com secretários, gestores, quem executa), mapeia processos e documenta tudo num artefato chamado análise preliminar.

O que se levanta nessa etapa (exemplo com o Pé-de-Meia):

qual o objetivo da política e quem ela quer atender;
os critérios de elegibilidade e as partes interessadas relevantes;
os sistemas envolvidos, que dados existem neles, e solicitar acesso;
mapear os processos — é aqui que está o core, porque é mapeando que você identifica o que pode dar errado.

Por que mapear processos? No Pé-de-Meia, o fluxo simplificado é: a escola informa matrícula e frequência → identificam-se os elegíveis (o programa exige frequência mínima) → faz-se o pagamento. Só conhecendo esse fluxo você consegue perguntar: a frequência que o professor lança chega ao sistema de forma confiável? É fácil demais um diretor cadastrar um aluno e vincular uma conta? Essas perguntas só surgem quando você conhece a política e os controles.

4. A matriz de riscos e controle

Com a política mapeada, você identifica os processos-chave e parte para a matriz de riscos e controle. A lógica:

Objetivo do processo — ex.: identificar corretamente o público-alvo do programa.
Risco — aquilo que pode acontecer e afetar o objetivo (ex.: pagar a quem não atende aos critérios). Lembre o conceito: risco é o que pode acontecer capaz de afetar o objetivo.
Controle — pela ISO 31000, é uma medida capaz de modificar o risco (reduzir a probabilidade ou o impacto). Ex.: um cruzamento de dados para identificar elegíveis.

No modelo da CGU, separa-se o risco inerente (antes dos controles) do risco residual (depois de avaliar os controles):

Controles bons reduzem o risco inerente até o risco residual — que diz onde concentrar os testes.

Se os controles são robustos, você vai testá-los (testes de controle): por exemplo, verificar se o cruzamento de dados que identifica os elegíveis funciona de forma satisfatória, comparando com outras bases. Se esse cruzamento falha, pessoas não elegíveis entram na base e, lá na frente, geram pagamento indevido. Tudo isso é documentado na matriz de riscos e controle.

5. Auditoria baseada em riscos (ISO 31000)

Repare como o processo de auditoria espelha a gestão de riscos. A ISO 31000 (diretrizes gerais de gestão de riscos) descreve etapas que são exatamente as do processo de avaliação:

entender o contexto ≈ a análise preliminar;
identificar os riscos;
analisar os riscos;
analisar os controles associados;
decidir — a questão de auditoria é uma tomada de decisão sobre qual risco avaliar.

É por isso que se diz que a CGU e as demais controladorias adotam o modelo de auditoria baseada em riscos: dentro do processo de auditoria, o auditor percorre, essencialmente, as etapas da gestão de riscos.

6. A matriz de planejamento

As questões de auditoria que saíram da matriz de riscos e controle vão para a matriz de planejamento (o programa de trabalho). Ela detalha cada questão de auditoria já com o escopo definido:

O quê e quando: ex. avaliar os pagamentos do Pé-de-Meia no período de março a dezembro de 2026;
Critérios: o que vai pautar o seu julgamento (a norma, ex. a Lei nº 14.818) — porque auditoria é objetiva, vale o que está na norma, não o que você "acha";
Fontes de informação e como você vai fazer a avaliação (os testes);
possíveis limitações, quem faz cada teste e em qual período.

Por que o planejamento exige tanto: é nele que você entende a política, mapeia processos, identifica os principais riscos e os controles que os tratam, e conclui onde você, como auditor, mais agrega valor à unidade auditada. Todo esse esforço existe para entregar, ao final, um relatório que melhore as coisas.

Auditoria Governamental do conceito ao gabarito

PAINT, matriz de riscos, achados e todo o controle interno federal no curso de Auditoria da Faixa Preta.

Conhecer o curso de Auditoria (CGU) →

Perguntas frequentes

Quais são as etapas da avaliação?: Planejamento, execução, comunicação e monitoramento. O planejamento é o de maior esforço.
O que é o PAINT?: O Plano Anual de Auditoria Interna da CGU — o plano da unidade, que seleciona os objetos a avaliar a partir do universo de auditoria.
Risco inerente x residual?: Inerente é antes dos controles; residual é o que sobra depois de avaliá-los.

Prof. Marcelo Soares — professor de Administração e Auditoria para concursos, auditor da CGE-MT (Controladoria-Geral do Estado de Mato Grosso), com quase 10 anos de experiência na área de controle interno e aprovado em 10 concursos públicos.