gestão de controles internos coso e as 3 linhas de defesa

Gestão de Controles

Internos – COSO e

as 3 Linhas de

Defesa

Denis Penedo PratesCoordenador de Harmonização do Controle Interno –

SECONT/ES

Roteiro• Conceituação de UM CONTROLE INTERNO

• Apresentação de um modelo de gerenciamento de riscos corporativos (COSO)

• Apresentação de um modelo de distribuição de dos papéis e responsabilidades essenciais do SCI (Três linhas de defesa).

Novos

Recursos?

Fazer igual: melhor receita para

alcançar os mesmos resultados

O alcance dos objetivos é cercado por incertezas e riscos

O que é risco?

RISCO: ISO 31000

EFEITO DA INCERTEZA SOBRE OS OBJETIVOS

RISCO é a POSSIBILIDADE de ocorrência de um evento que IMPACTA os OBJETIVOS

POR ONDE COMEÇAR?IDENTIFICAÇÃO DOS OBJETIVOS

Ex: Secretaria de Estado de Educação

META 2 - Aferir a qualidade da

educação em 100% (cem por cento)

das unidades de ensino do sistema

estadual de educação até 2015.

POR ONDE COMEÇAR?IDENTIFICAÇÃO DOS OBJETIVOS

Ex: Secretaria de Estado de Educação

META 2 - Aferir a qualidade da

educação em 100% (cem por cento)

das unidades de ensino do sistema

estadual de educação até 2015.

Qualidade da Educação

• Transporte Escolar

• Objetivo: transportar os alunos da rede estadual de ensino nos horários corretos e em segurança no caminho de ida e volta entre sua residência e a escola.

POR ONDE COMEÇAR?IDENTIFICAÇÃO DOS OBJETIVOS

Ex: Secretaria de Estado de Educação

META 2 - Aferir a qualidade da

educação em 100% (cem por cento)

das unidades de ensino do sistema

estadual de educação até 2015.

Selecionar Respostas

• Aceitar

• Transferir

• Evitar

• Mitigar

Um Controle Interno

• Ação em relação ao risco que queremos mitigar.

• São as ações de controle ou controles internos da gestão

• “Atesto que o serviço foi prestado”

• Parte normal do dia a dia do trabalho.

Um Controle Interno

• Ação em relação ao risco que queremos mitigar.

• São as ações de controle ou controles internos da gestão

• “Atesto que o serviço foi prestado”

• Parte normal do dia a dia do trabalho.

IN Conjunta MP/CGU Nº 01, DE 10/05/2016

Conceitos

Controles Internos da Gestão

Gestão de Riscos

Governança

Comitê de Governança, Riscos e Controles

Disposições Finais

Recomendações TCUDOU de 28.10.2015, S. 1, p. 98.

Ementa: Recomendação à Controladoria-Geral da União

(CGU/PR) para que continue a orientar as organizações sobsua esfera de atuação para que:a) observem as diferenças conceituais entre controle internoe auditoria interna, de forma a não atribuir atividades decogestão à Unidade de Auditoria Interna;

Recomendações TCU[...]

e) avaliem a conveniência e a oportunidade de propor revisãodos marcos normativos e manuais de procedimentos quetratam de controle interno e de auditoria interna de forma aadequá-los às boas práticas sobre o tema, como o COSO II e oIPPF (International Professional Practices Framework)

AC TCU 2.622/2015-Plenário

COSO

3 Dimensões: Objetivos•Estratégicos – Gerais da organização

•Operações – utilização dos recursos eficiente e eficaz

•Comunicação – confiabilidade de relatórios e documentos

•Conformidade – cumprimento de leis e regulamentos

3 Dimensões: A organização

•Organização: SEDUC

•Divisão: Secretaria Adjunta Executiva

•Unidade de Negócios: Superintendência Administrativa

•Subsidiárias: Coordenadoria do Transporte

3 Dimensões: Componentes do Gerenciamento de Riscos•Ambiente interno

•Fixação de objetivos

•Identificação de eventos

•Avaliação de riscos

• Respostas aos riscos

• Atividades de controle

• Informações e comunicações

• Monitoramento

COSO – O Cubo

3 Linhas de Defesa

Os controles internos da gestão devem:Ser efetivos e consistentes de acordo com a natureza, complexidade,estrutura e missão do órgão ou da entidade pública

Considerar os seguintes componentes: ambiente de controle,avaliação de riscos, atividade de controle, informação ecomunicação, e monitoramento

Basear-se no gerenciamento de riscos

Integrar as atividades, planos, ações, políticas, sistemas, recursos eesforços de todos que trabalhem na organização

Ser implementados como uma série de ações que permeiam asatividades da organização

Os dirigentes máximos

devem assegurar que os procedimentos de implementação de controles internos façam parte das práticas de gerenciamento de riscos

podem estabelecer instâncias de 2ª Linha (ou camada) de defesa para supervisão e monitoramento dos controles internos

2ª Linha de Defesa: Funções de Gerenciamento de Riscos e Conformidade

Monitoramento dos controles da 1ª

linha

Visão sistematizada dos

riscos da organização

Monitoramento dos riscos relevantes

3ª Linha de Defesa: Auditoria Interna

Avalia a 1ª e 2ª linhas

Avalia a Governança,

GR e CI

Independência

Linhas adicionais de defesa

• Auditores Externos

• Reguladores

• Outros órgãos externos

Fim da 1ª parte

• Ideias da apresentação

•Denis Penedo Prates (SECONT/ES)

•Marcelo de Sousa Monteiro (CGE/CE)

•Rodrigo Stigger Dutra (SEF/DIAG – SC)

•Rodrigo Fontenelle de A. Miranda

DIAGNÓSTICO E

ESTRUTURAÇÃO DA

1ª E 2ª LINHAS DE

DEFESA NO ES:

RESULTADOS DE

UMA REFORMA EM

ANDAMENTO

Objetivos da apresentação•Necessidade de reforma do Sistema de Controle Interno

•Roteiro de uma reforma do Sistema de Controle Interno

•Passos dados na reforma do ES

•Diagnóstico, Visão de Futuro e Situação atual da 1ª linha

•Diagnóstico, Visão de Futuro e Situação atual da 2ª linha

•Atuação da Harmonização do Controle Interno

Por que?No âmbito do TCU, é considerado de boa-fé oresponsável que, embora tenha concorrido para odano ao erário ou outra irregularidade, seguiu asnormas pertinentes, os preceitos e os princípios dodireito. A análise, portanto, é feita sob o ponto de vistaobjetivo, sem que seja necessária a comprovação demá-fé (dolo), mas apenas da ausência de boa-féobjetiva. (grifos nossos)

Frequente•Manifestação do MPTCU no Acórdão 1.921/2011 –

Segunda Câmara

•ACÓRDÃO 1356/2018 - PLENÁRIO

•ACÓRDÃO 8987/2018 - PRIMEIRA CÂMARA

•ACÓRDÃO 7936/2018 - SEGUNDA CÂMARA

texto

1ª e 2ª linhas de defesa – Parte da Gestão

Reforma do Controle InternoRobert Gielisse em “From Central Control to Decentralized Management and Control in the Public Sector”. Roteiro resumido (Roadmap in a nutshell)

1. Criar Unidade Central de Harmonização;

2. Estabelecer a visão de onde se quer chegar;

3. Alterar a legislação;

4. Modificar a estrutura se necessário;

5. Capacitação de pessoal;

6. Implementação, monitoramento, dar e receber feedback e atualizar o processo.

Reforma - Iteração

Reforma do Controle InternoRobert Gielisse em “From Central Control to Decentralized Management and Control in the Public Sector”. Roteiro resumido (Roadmap in a nutshell)

1. Criar Unidade Central de Harmonização;

2. Estabelecer a visão de onde se quer chegar;

3. Alterar a legislação;

4. Modificar a estrutura se necessário;

5. Capacitação de pessoal;

6. Implementação, monitoramento, dar e receber feedback e atualizar o processo.

Reforma do Controle InternoRobert Gielisse em “From Central Control to Decentralized Management and Control in the Public Sector”. Roteiro resumido (Roadmap in a nutshell)

1. Criar Unidade Central de Harmonização;

2. Estabelecer a visão de onde se quer chegar;

3. Alterar a legislação;

4. Modificar a estrutura se necessário;

5. Capacitação de pessoal;

6. Implementação, monitoramento, dar e receber feedback e atualizar o processo.

Sistema de Controle Interno: conjunto de órgãos, funções e atividades, no âmbito do Poder Executivo, articulado por um órgão central e orientado para o

desempenho do controle interno e o cumprimento das finalidades estabelecidas em lei, tendo como referência o

modelo de Três Linhas de Defesa;

Reforma do Controle Interno

Sistema de Controle Interno: conjunto de órgãos, funções e atividades, no âmbito do Poder Executivo, articulado por um órgão central e orientado para o

desempenho do controle interno e o cumprimento das finalidades estabelecidas em lei, tendo como referência o

modelo de Três Linhas de Defesa;

Reforma do Controle Interno

Reforma do Controle Interno

Principais alterações Legislativas

Lei Complementar n° 856 de 17/05/2017;

Decretos n°4.130-R e n°4.131-R em 17 e18/07/2017 ;

Decretos n°4.163-R e n°4.164-R em 03/11/2017.Registro de Convênios e Avaliação Prévia;

Legislação e Estrutura

Decreto n°4.131-R em 18/07/2017 ;

Regulamenta a instituição e atuação das Unidades Executorasde Controle Interno (UECI).

Ações de capacitação

Parceria com ESESP

BPMN com ênfase em CI – 195 servidores

Ações de Controle para Relatório de CI – 338 Servidores

533 capacitados

Reforma do Controle InternoRobert Gielisse em “From Central Control to Decentralized Management and Control in the Public Sector”. Roteiro resumido (Roadmap in a nutshell)

1. Criar Unidade Central de Harmonização;

2. Estabelecer a visão de onde se quer chegar;

3. Alterar a legislação;

4. Modificar a estrutura se necessário;

5. Capacitação de pessoal;

2. Implementação, monitoramento, dar e receber feedback e atualizaro processo.

Visão da 1ª linha de defesa

OB

JETI

VO

S

Visão da 1ª linha de defesaPadrões de procedimentos

Riscos estudados e tratados

Controles estabelecidos

Diagnóstico da 1ª linha de defesa•OPERACIONAL

• Ausência de ligação entre objetivos e atividades;

• Falta de padronização de procedimentos;

• Existência de controles não ligados a riscos;

• Personalização de formas de trabalho, “faço do meu jeito”.

Diagnóstico da 1ª linha de defesa

•CULTURAL

• Sentimento de não pertencimento a atividades controle;

•“Sempre fiz assim”;

•“Procedimento é burocracia”.

Como mudar?•Barreiras culturais•MUITA CONVERSA•Material simples para

ampliar o conhecimento sobre controle• Capacitação• Posicionamentos dos

tribunais

Muita conversa para mudança de cultura

• Despersonalização do trabalho

• Norte ao controle

• Transparência das ações

Como mudar?•Barreiras culturais•MUITA CONVERSA•Material simples para

ampliar o conhecimento sobre controle• Capacitação• Posicionamentos dos

tribunais

Na parte operacional...•ASPECTOS OPERACIONAIS – Normas de procedimento

•Relatório para estabelecer objetivos x atividades dos órgãos/entidades

•Estabelecer quais procedimentos serão normatizados.

•Produzir e publicar normas de procedimentos

•Gestão de Riscos nos processos, para estabelecer e retirar controles

Na parte operacional...•ASPECTOS OPERACIONAIS – Normas de procedimento

•Relatório para estabelecer objetivos x atividades dos órgãos/entidades

•Estabelecer quais procedimentos serão normatizados.

•Produzir e publicar normas de procedimentos

•Gestão de Riscos nos processos, para estabelecer e retirar controles

Pré requisito para gestão de riscos operacionais

Política de Modernização de Normas de Gestão

Foco Sistema

Processos transversais

Contabilidade (Fazenda)

Recursos Humanos (Gestão)

Controle Interno e Transparência (SECONT)

Foco Finalístico

Processos para atingir

objetivos (políticas

públicas)

SEDUC:

Compras? NÃO

Alimentação Escolar? SIM

Normas de procedimento prontas

•https://secont.es.gov.br/normas-publicadas

•167 normas de procedimento gerais

•281 normas de procedimento exclusivas

Para a 2ª linha de defesa...

Visão da 2ª linha de defesa•Gestão de Riscos da organização;

•Execução de controles essenciais;

•Execução de controles obrigatórios para o Relatório do Controle Interno;

•Apoio e impulsionamento de políticas de gestão (Política de Modernização de Normas de Gestão);

•Multiplicadores do conhecimento na organização.

Diagnóstico da 2ª linha de defesa

•Metodologicamente inexistente

• Iniciativas esparsas e não padronizadas

• Inexistência de “ponto focal”.

Embrião da 2ª linha de defesa• Criação das Unidades Executoras de Controle Interno

(UECI)

• Impulsionar normas de procedimento

• Executar ações de controle para o Relatório de Controle Interno ao TCE

• Executar controles essenciais

• Gerir o risco da organização

• Capacitar dentro da organização.

Embrião da 2ª linha de defesa• Criação das Unidades Executoras de Controle Interno

(UECI)

• Impulsionar normas de procedimento

• Executar ações de controle para o Relatório de Controle Interno ao TCE

• Executar controles essenciais

• Gerir o risco da organização

• Capacitar dentro da organização.

S

I

M

N

Ã

O

Relatórios de Controle Interno das Unidades•Supervisão técnica da SECONT (Órgão Central do

Sistema de Controle Interno)

•Capacitação

•Normas de procedimento

•Manual

•https://secont.es.gov.br/orientacoes-para-reluci

Coordenação de Harmonização do CI - hoje

• Reuniões presenciais

• Questionários por internet (levantamentos diversos)

• Disponibilidade para dúvidas a qualquer hora

• Relatórios para informar a gestão sobre a cada UECI

• Seminário de Disseminação do Conhecimento

• Workshops diversos

• SECONT - Metodologia para o ES de gestão de riscos iniciada –

Projeto de Lei

Coordenação de Harmonização do CI - futuro

•Metodologia de gestão de riscos finalizada

•Capacitação em gestão de riscos e controles

•Liderança nos processos de GRC que impactem todo o ES

•Aperfeiçoar a gestão do conhecimento no SCI

Em resumo para finalizar.

•1ª linha de defesa dá segurança razoável sobre:

• Objetivos da organização• Atenção aos riscos e aos

controles internos• Eficiência de processos• Cumprimento da legislação

•2ª linha de defesa:

• Gerencia os riscos da organização

• Executa controles essenciais (financeiro, conformidade, etc)

• É disseminadora de conhecimento na organização

• Tem o apoio e a supervisão técnica do OCCI

Denis Penedo PratesCoordenador de Harmonização do Controle Interno – SECONT/ES

denis.prates@secont.es.gov.br

+55 27 3636-0717