internos no setor público curso: gestão de riscos e...

Ministério da Transparência, Fiscalização e Controladoria-Geral da União

Página | 2

Curso: Gestão de Riscos e Controles Internos no Setor Público

Apostila


Página | 2

SUMÁRIO

1. Introdução .................................................................................................. 032. Conceitos Básicos ....................................................................................... 043. Evolução Histórica: Controle & Risco ......................................................... 054. Objetivos da Organização .......................................................................... 205. Gestão de Riscos ....................................................................................... 216. Controles Internos .................................................................................... 337. Quando o risco de materializa .................................................................. 51

1. INTRODUÇÃO

O ano de 2016 pode ser considerado um marco na Gestão Pública Federal com o advindo da Instrução Normativa Conjunta CGU/MPOG nº 1. A Controladoria-Geral da União e


Página | 2

o Ministério do Planejamento, Orçamento e Gestão determinam, aos órgãos e entidades do Poder Executivo Federal, a adoção de uma série de medidas para a sistematização de práticas relacionadas a gestão de riscos, controles internos e governança.

A partir de agora, o dirigente máximo de cada órgão ou entidade passa a ser o principal responsável pelo estabelecimento da estratégia de organização e da estrutura de gerenciamento de riscos. Dentro deste cenário, também será papel do dirigente máximo estabelecer, de forma continuada, o monitoramento e o aperfeiçoamento dos controles internos da gestão.

Cada risco mapeado e avaliado deve estar associado a um agente responsável formalmente identificado. O agente responsável pelo risco deve ser um gestor com alçada suficiente para orientar e acompanhar as ações de mapeamento, avaliação e mitigação do risco. As tipologias de risco abrangem: riscos operacionais, de imagem/reputação do órgão, legais e financeiros/orçamentários.

A norma também prevê a instituição de comitês de governança, riscos e controles em todos os órgãos federais. Cada comitê será formado pelo dirigente máximo do órgão ou entidade, pelos dirigentes das unidades a ele diretamente subordinadas e será apoiado pelo respectivo assessor especial de Controle Interno.

Os comitês terão sob sua responsabilidade promover a adoção de práticas que institucionalizem a responsabilidade dos agentes públicos na prestação de contas, transparência, efetividade das informações e, dentro dessa finalidade, promover o desenvolvimento contínuo dos agentes públicos; garantir a aderência às regulamentações, leis, códigos, normas e padrões, com vistas a condução das políticas e à prestação de serviços de interesse público; bem como supervisionar o mapeamento e avaliação dos riscos-chaves que podem comprometer a prestação de serviços de interesse público; entre outras atribuições.

Caberá à CGU avaliar cada procedimento em relação à aplicação das políticas de gestão de risco e a eficácia dos controles internos.

De forma a capacitar os gestores para a implementação dessa norma, a CGU em parceria com a ENAP elaborou esse curso que tem como objetivo prover os gestores com as ferramentas e conhecimentos necessários para se adequarem ao cenário proposto.

2. CONCEITOS BÁSICOS


Página | 2

Para melhor compreender o assunto que será abordado nessa apostila, é necessário ter o entendimento de três conceitos básicos relativos à gestão de risco: objetivo, risco e controles internos.

Objetivo

O gerenciamento de riscos corporativos eficaz não dita os objetivos que a administração deve escolher, mas certifica-se que a referida administração dispõe de um processo que alinhe objetivos estratégicos com a sua missão e que esses objetivos e os correlatos selecionados estejam de acordo com o apetite a risco (Committee of Sponsoring Organizations of the Treadway Commission - COSO, 2007).

Ainda segundo o COSO os controles internos asseguram o atingimento dos objetivos, de maneira correta e tempestiva, com a mínima utilização de recursos.

Pelo exposto, fica evidente que para se implementar uma gestão de riscos eficaz, é necessário ao gestor saber primeiramente quais são seus objetivos. O termo objetivo diz respeito a um fim que se quer atingir.

Se não sabes a que porto te diriges, nenhum vento te será favorável.

Sêneca – filósofo

Risco

Superada a fase de definição dos objetivos, cabe ao gestor levantar os eventos que porventura possam vir a impactar futuramente o atingimento dos objetivos. Esses eventos denominamos de “riscos”.

É comum na literatura associar riscos à eventos que impactam a gestão de forma negativa ou positiva, dificultando ou facilitando o gestor no atingimento dos objetivos.

Por motivo de didática, adotaremos nesse curso apenas o sentido negativo da palavra, e quando se tratar de seu sentido positivo será utilizada a palavra oportunidade ao invés de riscos.

Controle Interno

De acordo com a IN conjunta 01, os controles internos da gestão se constituem na primeira linha (ou camada) de defesa das organizações públicas para propiciar o alcance de seus objetivos.

Em outras palavras, são os instrumentos implementados pelo gestor para mitigar os riscos identificados.

3. EVOLUÇÃO HISTÓRICA: CONTROLE & RISCO

A palavra “risco” deriva do italiano antigo riscare, que significa “ousar”. Nesse sentido, o risco é uma opção, e não um destino. É das ações que ousamos tomar que depende nosso grau de liberdade de opção.


Página | 2

O estudo sério do risco começou no Renascimento, quando as pessoas se libertaram das restrições do passado e desafiaram abertamente as crenças consagradas. Foi uma época em que grande parte do mundo seria descoberta e seus recursos, explorados. Uma época de turbulência religiosa, de capitalismo nascente e de uma abordagem vigorosa da ciência e do futuro.

O núcleo matemático do conceito do risco surgiu em 1654 com a elaboração da teoria das probabilidades por Blaise Pascal e Pierre de Fermat. No século XVIII, Johann Bernoulli inventou a lei dos Grandes Números e a amostragem estatística, enquanto Abraham de Moivre expôs a estrutura da distribuição normal e descobriu o conceito de desvio padrão constituindo a base da lei das médias.

Figura 1 - Curva Normal

Apesar dos estudos matemáticos referentes a risco existirem há muitos anos, observa-se que apenas recentemente tais teorias foram se integrando às boas práticas internacionais de gestão coorporativa. É mais curioso ainda o fato de que apesar dos controles internos existirem para mitigar os riscos identificados, os modelos de controle interno na gestão coorporativa se destacaram previamente aos modelos de gestão de risco. Como observa-se no framework de controles internos do COSO, publicado em 1992, que antecedeu o COSO-ERM, publicado somente em 2004.

COSO Controles Internos – Estrutura Integrada

Devido a políticas questionáveis no financiamento de campanhas políticas e identificação de práticas de corrupção em relações internacionais na década de 1970, o U.S Securities and Exchange Commission (SEC) e o Congresso dos EUA promulgaram uma reforma nas leis de financiamento de campanha, bem como o Foreign Corrupt Practices Act (FCPA) que criminalizou os subornos transnacionais e exigiu que as empresas implementassem programa de controle interno. Em resposta, uma comissão nacional em fraudes financeiras, a Treadway Commision, foi formada em 1985 para inspecionar, analisar e elaborar recomendações em fraudes financeiras corporativas. É importante ressaltar que essa comissão tratou-se de uma iniciativa do setor privado.

O resultado do trabalho da Treadway Commision foi publicado em 1987 e como resultado desse relatório o COSO (The Committee of Sponsoring Organizations of the Treadway Commission) foi criado a partir de membros da Coopers & Lybrand, uma grande firma pública de contadores, para estudar as questões apontadas no relatório e elaborar um framework de controle interno.


Página | 2

Em 1992, os quatro volumes intitulados Internal Control – Integrated Framework, foi lançado pelo COSO apresentando definições comuns de controle interno e provendo um framework no qual controles internos podiam ser avaliados e melhorados.

COSO ERM

Em 2001, o COSO - Controles Internos iniciou um projeto com a finalidade de desenvolver estratégia para gerenciar riscos corporativos e solicitou à PricewaterhouseCoopers que desenvolvesse uma estratégia de fácil utilização pelas organizações.

Foi criado o documento chamado Enterprise Risk Management – Integrated Framework, como uma estrutura de gerenciamento de riscos corporativos, capaz de fornecer os princípios e conceitos fundamentais, em uma linguagem simples, com direcionamento e orientação, publicado em 2004.

Em 2007, foi traduzido para o português pela AUDIBRA (Instituto dos Auditores Internos do Brasil) e publicado com o título “Gerenciamento de Riscos Corporativos – Estrutura Integrada”

O período de desenvolvimento do COSO - ERM foi marcado por uma série de escândalos e quebras de negócios de grande repercussão, que geraram prejuízos de grande monta a investidores, empregados e outras partes interessadas, como o caso da Eron Corporation e Arthur Andersen que efetuaram fraudes contábeis e fiscais, omitindo prejuízos por dois anos consecutivos de US$ 25 bilhões.

Trata-se de um modelo predominante no cenário corporativo internacional, utilizado sobretudo nos Estados Unidos. Também foi recepcionado pela INTOSAI (Órgão internacional fiscalizatório do setor governamental – tendo como representante o Tribunal de Contas da União - TCU): INTOSAI GOV 9130. Também é utilizado pelo Government Accountability Office (GAO) – Escritório de Accountability dos Estados Unidos; Banco Interamericano de Desenvolvimento (BID); Banco Mundial e Controladoria-Geral da União (CGU).

Ressalta-se que o COSO – Controles Internos ainda é uma referência quando se trata das melhores práticas de controles internos corporativos, indo além dos controles contábeis e financeiros e auxiliando as organizações a avaliarem e aperfeiçoarem seus sistemas de controle interno, considerando inclusive o gerenciamento de riscos.

Embora a estrutura de gerenciamento de riscos corporativos (COSO-ERM) não tenha por meta substituir a estrutura de controles internos das organizações, incorpora estrutura de controle interno em seu conteúdo e poderá ser utilizada, tanto para atender às necessidades de controle interno quanto para adotar um processo completo de gerenciamento de riscos.

Para o COSO ERM, o gerenciamento de riscos consiste em:

Um processo conduzido em uma organização pelo conselho de administração, diretoria e demais empregados, aplicado no estabelecimento de estratégias, formuladas para identificar em toda a organização eventos em potencial, capazes de afetá-la, e administrar os riscos de modo a mantê-los compatível com o apetite a risco da organização e possibilitar garantia razoável do cumprimento dos seus objetivos (COSO, 2007).


Página | 2

Quanto à estrutura de composição do COSO ERM, existe um relacionamento direto entre os objetivos, que uma organização se empenha em alcançar, com os componentes do gerenciamento de riscos corporativos, que representam aquilo que é necessário para o alcance desses objetivos, e a estrutura da organização para realização dessas ações. Esse relacionamento é apresentado em uma matriz tridimensional em forma de cubo:

As quatro categorias de objetivos (estratégicos, operacionais, de comunicação e conformidade) estão representadas nas colunas verticais. Os oito componentes nas linhas horizontais e as unidades de uma organização na terceira dimensão. Essa representação ilustra a capacidade de manter o enfoque na totalidade do gerenciamento de riscos de uma organização, ou na categoria de objetivos, componentes, unidade da organização ou qualquer um dos subconjuntos (COSO, 2007).

Orange Book

O Reino Unido também tem adotado gestão de riscos no seu setor público há alguns anos. Já no ano 2000, o Auditor Geral do Reino Unido publicou relatório de auditoria sobre o tema intitulado Supporting innovation: Managing risk in government departments, fortalecendo a agenda sobre gestão de riscos.

Em 2001, o Tesouro britânico produziu documento chamado Management of Risk - Principles and Concepts, conhecido como Orange Book, trazendo princípios e conceitos gerais sobre riscos. Foi atualizado em 2004.

Posteriormente, em 2009, o Tesouro britânico publicou ferramenta voltada para a avaliação da gestão de risco nos diversos setores do governo - Risk Management assessment framework: a tool for departments, consolidando assim o uso dessa abordagem na sua administração pública (TCU, 2013).

Estr

utur

a da

En

tidad

e

Objetivos

ComponentesFonte: COSO, 2007.


Página | 2

Ressalta-se que Orange Book foi referencial para o Guia de orientação para o gerenciamento de riscos, do Ministério do Planejamento, em 2013, mas que não foi homologado. O Guia justificou a adoção desse modelo da seguinte forma:

O Orange Book tem como vantagens, além de ser compatível com padrões internacionais de gerenciamento de riscos, apresentar uma introdução ao tema gerenciamento de riscos, tratando de uma forma abrangente e simples, um tema complexo como o gerenciamento de riscos nas organizações.

Isto é essencial na introdução de um processo de gerenciamento de riscos em uma organização, uma vez que, dentro de qualquer organização existem diversos níveis de maturidade com relação ao gerenciamento de riscos (SEGEP, 2013).

O modelo é composto por um conjunto de quatro elementos inter-relacionados:

1- Processo de gerenciamento de riscos: aplicação de princípios e processos para identificação de riscos, planejamento, implementação e controle das respostas aos riscos. Considera também a governança, políticas, objetivos, estrutura organizacional, recursos, sistemas de informação, normas, modelos e diretrizes da organização;

2- Organização Estendida: nenhuma organização opera de forma independente. Tem interdependências com outras organizações dentro e fora do governo.

3- Macro Ambiente de riscos: Outros fatores que contribuem para o ambiente ou cenários nos quais os riscos devem ser gerenciados, como ambiente político, social, tecnológico, ambiental, econômico.

4- Comunicação e Aprendizado Contínuo: fornecer, obter e compartilhar informações necessárias para dialogar com as partes interessadas, bem como aprender com o gerenciamento de riscos e permear toda a gestão.

Esses elementos também foram apresentados graficamente:


Página | 2

Fonte: Gespública, 2013.

Isto é essencial na introdução de um processo de gerenciamento de riscos em uma organização, uma vez que, dentro de qualquer organização existem diversos níveis de maturidade com relação ao gerenciamento de riscos (SEGEP, 2013).

Quanto ao Risk Management Assessment framework: a tool for departaments, elaborado pelo Tesouro Britânico, o modelo tem foco na organização e está estruturado em sete componentes:

1- liderança;

2- pessoas;

3- política e estratégias para riscos;

4- parcerias;

5- processo de gestão de riscos;

6- eficácia da gestão de riscos;

7- resultados.

Macro AmbienteLe

gislaç

ão

Nacion

al

e Int

erna

ciona

l Governos

Estrangeiros

Economia e Política

Nacional e

InternacionalExpectativas de

Cidadãos e Sociedade

Órgão

s de

Audito

ria

OrganizaçãoEstendida

Outra

s un

idade

s

e Mini

stério

s

Organismos

Financiadores

FornecedoresPar

ceiro

s

Organização

Identificar o Contextoe os Riscos

PlanejarRespostas

ImplementarMonitorar eControlar

Analisar eAvaliar

os riscosEstratégiaProgramas

Projetos e Atividades

Comunicaçãoe Aprendizado

Comunicaçãoe Aprendizado


Página | 2

Com base nesse modelo o Tribunal de Contas da União desenvolveu a seguinte estrutura para avaliar a maturidade em gestão de riscos da Unidades da Administração Indireta:

Fonte: TCU, 2013.

O TCU dispõe em seu relatório TC 011.745/2012-6 a justificativa para escolha desse modelo:

Trata-se de ferramenta desenvolvida para a mesma finalidade ora pretendida (avaliar a gestão de riscos); trata explicitamente a gestão dos riscos que envolvem parcerias no setor público, aspecto não enfocado em outros modelos; baseia-se em modelo consagrado de excelência de gestão; foi desenvolvido especificamente para o setor público (TCU, 2013).

Modelo de Gestão de riscos do Governo Canadense

O Treasury Board Secretariat (Secretaria do Tesouro) do Canadá adotou oficialmente modelo de gestão de riscos em 2001 (Integrated Risk Management Framework), criado para auxiliar a alta administração pública quanto à identificação dos diferentes tipos de riscos e às decisões a serem tomadas para mitigá-los.

Em 2010, promoveu revisão ampla do tema e editou novos documentos de referência (Framework for the Management of Risk), mas mantendo a continuidade da adoção da gestão de riscos no setor público canadense. Também existem outros grupos federais envolvidos com questões relacionadas à gestão de riscos, conforme figura abaixo:


Página | 2

Fonte: Enap, 2003.

O Modelo canadense também apresenta obstáculos e possíveis soluções à implementação da gestão de riscos:

Processo de gestão de riscos

Obstáculos à implementação do

sistema idealPossíveis Soluções

Identificação do problema ou risco

Ignorar riscos importantes

- Planejamento de cenários/prospecção;- Abordagem sistêmica à identificação de riscos;- Abordagem integrada à gestão de riscos;- Equipes interfuncionais e interministeriais.

Avaliação das áreas-chave de risco

Qualidade e oportunidade das

informações

- Competência profissional e conhecimento dos métodos de avaliação de riscos.

Lidar com incertezas nas informações

- Reconhecimento, aceitação e comunicação das incertezas;- Criação de uma cultura organizacional caracterizada pela experimentação e pela gestão adaptativa;- Permissão às pessoas para aprenderem com seus erros;- Adoção do princípio preventivo quando necessário;- Monitoramento e auditoria, melhoria contínua.

Falta de compreensão e confiança entre as partes interessadas

- Integridade, competência, empatia, transparência, diálogo e comunicação dos riscos;- Processo decisório consistente e bem compreendido.

Resposta ao desenvolvendo dos

objetivos, estratégias e opções

Priorizar a atenção- Diálogo e comunicação dos riscos.

Diálogo e comunicação dos riscos

- Facilitação das negociações com partes interessadas;- Inclusão, envolvimento e consultas.

Minimizar os riscos

- Especialização e competência profissional no desenvolvimento e análise de políticas para determinar os instrumentos mais eficazes, como regulamentação, instrumentos econômicos, acordos voluntários.

Implementação das estratégias

Sistemas e cultura organizacionais

- Educação e treinamento no serviço público;- Criação de uma cultura de gestão de riscos no serviço público;- Estabelecimento de atribuições e responsabilidades claras;- Desenvolvimento de sistemas, procedimentos claros e bem documentados.


Página | 2

Monitoramento e aprendizagem

Monitorar tanto o processo como o

resultado

- Criação de objetivos específicos tanto para processo como para substância da gestão da riscos;- Desenvolvimento de indicadores baseados nesses objetivos.

Fonte: ENAP, 2003.

ABNT NBR ISO 31000

A ABNT NBR ISSO 31000 foi elaborada pela Comissão de Estudo Especial de Gestão de Riscos (CEE-63), sendo uma adoção idêntica, em conteúdo técnico, estrutura e redação, à ISO 31000:2009, que foi elaborada pelo International Organization for Standardization Technical Management Board Working Group on risk management (ISO/TMB/WG), conforme ISO/IEC Guide 21-1:2005.

A norma fornece princípios e diretrizes genéricas para a gestão de riscos, podendo ser utilizada por qualquer empresa pública, privada, associação, grupo ou indivíduo.

É usualmente conhecida como uma norma “guarda-chuva” por pretender harmonizar os processos de gestão de riscos, tanto em normas atuais como em futuras, fornecendo uma abordagem comum para apoiar Normas que tratem de riscos e/ou setores específicos.

A ISO 31000 é composta por três normas:

ISO 31000 – Informações básicas, princípios e diretrizes para a implementação de gestão de riscos.

ISO/IEC 31010 – Técnicas de avaliação e gestão de riscos. ISO Guia 73 – Vocabulário relacionado à gestão de riscos.

A norma apresenta os seguintes princípios aos quais uma organização deve atender em todos os níveis para que a gestão de risco seja eficaz:

A gestão de riscos cria e protege valor. A gestão de riscos é parte integrante de todos os processos organizacionais. A gestão de riscos é parte da tomada de decisões. A gestão de riscos aborda explicitamente a incerteza. A gestão de riscos é sistemática, estruturada e oportuna. A gestão de riscos baseia-se nas melhores informações disponíveis. A gestão de riscos é feita sob medida. A gestão de riscos considera fatores humanos e culturais. A gestão de riscos é transparente e inclusiva. A gestão de riscos é dinâmica, iterativa e capaz de reagir a mudanças. A gestão de riscos facilita a melhoria contínua da organização.

De acordo com a ISO, o sucesso da gestão de riscos irá depender da eficácia da estrutura de gestão que fornece os fundamentos e os arranjos que irão incorporá-la através de toda a organização em todos os níveis. A estrutura auxilia a gerenciar riscos eficazmente através da aplicação do processo de gestão de riscos em diferentes níveis e dentro de contextos específicos da organização. A estrutura assegura que a informação sobre riscos


Página | 2

provenientes desse processo seja adequadamente reportada e utilizada como base para a tomada de decisões e a responsabilização em todos os níveis organizacionais aplicáveis. A figura a seguir apresenta o relacionamento entre os princípios apresentados com a estrutura e processo:

Fonte: ISO, 2009

Instrução Normativa Conjunta Nº 01, de 10 de maio de 2016

A Instrução Normativa Conjunta Nº 01, de 10 de maio de 2016, dispões sobre controles internos, gestão de riscos e governança no âmbito do Poder Executivo Federal. Os órgãos e entidades do Poder Executivo Federal deverão implementar, manter, monitorar e revisar o processo de gestão de riscos, compatível com sua missão e seus objetivos estratégicos, observadas as diretrizes estabelecidas na IN.

De acordo com a IN, são objetivos da gestão de riscos:

Assegurar que os responsáveis pela tomada de decisão, em todos os níveis do órgão ou entidade, tenham acesso tempestivo a informações suficientes quanto aos riscos aos quais está exposta a organização.

Aumentar a probabilidade de alcance dos objetivos da organização, reduzindo os riscos a níveis aceitáveis.


Página | 2

Agregar valor à organização por meio da melhoria dos processos de tomada de decisão e do tratamento adequado dos riscos e dos impactos negativos decorrentes de sua materialização.

A gestão de riscos do órgão ou entidade observará os seguintes princípios:

Gestão de riscos de forma sistemática, estruturada e oportuna, subordinada ao interesse público;

Estabelecimento de níveis de exposição a riscos adequados; Estabelecimento de procedimentos de controle interno proporcionais ao risco,

observada a relação custo-benefício, e destinados a agregar valor à organização;

Utilização do mapeamento de riscos para apoio à tomada de decisão e à elaboração do planejamento estratégico; e

Utilização da gestão de riscos para apoio à melhoria contínua dos processos organizacionais.

A IN também definiu um prazo de doze meses a contar da sua publicação para a instituição de uma Política de Gestão de Riscos pelos órgãos e entidades do Poder Executivo Federal. Nessa política devem ser especificadas pelo menos:

Princípios e objetivos organizacionais. Diretrizes sobre:

o Como a gestão de risco será integrada ao planejamento estratégico, aos processos e às políticas da organização.

o Como e com qual periodicidade serão identificados, avaliados, tratados e monitorados os riscos.

o Como será medido o desempenho da gestão de riscos.o Como serão integradas as instâncias do órgão ou entidade

responsáveis pela gestão de riscos.o A utilização de metodologia e ferramentas para o apoio à gestão de

riscos. Competências e responsabilidades para a efetivação da gestão de riscos no

âmbito do órgão ou entidade.

De acordo com a IN, a responsabilidade será do dirigente máximo da organização no estabelecimento da estratégia da organização e da estrutura de gerenciamento de riscos, incluindo o estabelecimento, a manutenção, o monitoramento e o aperfeiçoamento dos controles internos da gestão.

Cada risco mapeado e avaliado deverá estar associado a um agente responsável formalmente identificado. Caberá ao gestor de risco:

Assegurar que o risco seja gerenciado de acordo com a política de gestão de riscos da organização.

Monitorar o risco ao longo do tempo, de modo a garantir que as respostas adotadas resultem na manutenção do risco em níveis adequados, de acordo com a política de gestão de riscos.


Página | 2

Garantir que as informações adequadas sobre o risco estejam disponíveis em todos os níveis da organização.

A IN define também os princípios da boa governança, a saber: liderança, integridade, responsabilidade, compromisso, transparência e accountability.

Por último a IN determina que os órgãos e entidades do Poder Executivo federal deverão instituir, pelos seus dirigentes máximos, Comitê de Governança, Riscos e Controles. O Comitê deverá ser composto pelo dirigente máximo e pelos dirigentes das unidades a ele diretamente subordinados e será apoiado pelo respectivo Assessor Especial de Controle Interno.

Modelos e regulamentações aplicáveis a determinados segmentos específicos – COBIT

COBIT é um guia de boas práticas apresentado como framework, dirigido para a gestão de tecnologia de informação. Mantido pelo Information Systems Audit and Control Association - ISACA, possui uma série de recursos que podem servir como um modelo de referência para gestão da TI, incluindo um sumário executivo, um framework, objetivos de controle, mapas de auditoria, ferramentas para a sua implementação e principalmente, um guia com técnicas de gerenciamento.

Especialistas em gestão e institutos independentes recomendam o uso do COBIT como meio para otimizar os investimentos de TI, melhorando o retorno sobre o investimento e fornecendo métricas para avaliação dos resultados.

De acordo com o COBIT são objetivos genéricos de TI:

Responder aos requerimentos de negócio de maneira alinhada com a estratégia de negócio.

Responder aos requerimentos de governança em linha com a Alta Direção. Assegurar a satisfação dos usuários. Otimizar o uso da informação. Criar agilidade para TI Definir como funções de negócios e requerimentos Definir como funções de negócios e requerimentos de controles são

convertidos em soluções automatizadas efetivas e eficientes. Adquirir e manter sistemas aplicativos integrados e padronizados. Adquirir e manter uma infraestrutura de TI integrada e padronizada. Adquirir e manter habilidades de TI que atendam as estratégias de TI. Assegurar a satisfação mútua no relacionamento com terceiros. Assegurar a integração dos aplicativos com os processos de negócios. Assegurar a transparência e o entendimento dos custos, benefícios, estratégia,

políticas e níveis de serviços de TI. Assegurar apropriado uso e a performance das soluções de aplicativos e de

tecnologia. Responsabilizar e proteger todos os ativos de TI. Otimizar a infraestrutura, recursos e capacidades de TI. Reduzir os defeitos e retrabalhos na entrega de serviços e soluções.


Página | 2

Proteger os resultados alcançados pelos objetivos de TI. Estabelecer claramente os impactos para os negócios resultantes de riscos de

objetivos e recursos de TI. Assegurar que informações confidenciais e críticas são protegidas daqueles

que não deveriam ter acesso às mesmas. Assegurar que transações automatizadas de negócios e trocas de informações

podem ser confiáveis. Assegurar que os serviços e infraestrutura de TI podem resistir e recuperar-se

de falhas devido a erros, ataques deliberados ou desastres. Assegurar o mínimo impacto para os negócios no caso de uma parada ou

mudança nos serviços de TI. Garantir que os serviços de TI fiquem disponíveis de acordo com o requerido.

Assim como o COSO, é comum ver a estrutura do COBIT representada por um cubo:

Fonte: COBIT, 2012

O COBIT cobre quatro domínios, os quais possuem 34 processos, e estes processos possuem 210 objetivos de controle. Os quatro domínios são:

Planejar e Organizar Adquirir e Implementar Entregar e Suportar Monitorar e Avaliar.

O domínio de Planejamento e Organização cobre o uso de informação e tecnologia e como isso pode ser usado para que a empresa atinja seus objetivos e metas. Ele também salienta que a forma organizacional e a infraestrutura da TI devem ser consideradas para que se atinjam resultados ótimos e para que se gerem benefícios do seu uso. A tabela seguinte lista os processos de TI para o domínio do Planejamento e Organização.


Página | 2

Fonte: COBIT, 2012

O domínio Adquirir e Implementar cobre a identificação, o desenvolvimento ou aquisição, a implementação e integração das soluções de TI ao processo de negócios. Além disso, alterações e manutenções nos sistemas existentes são cobertas por esse domínio para assegurar que as soluções continuem a atender aos objetivos de negócios. Este domínio tipicamente trata das seguintes questões de gerenciamento.

Fonte: COBIT, 2012

O domínio Entregar e Suportar foca aspectos de entrega de tecnologia da informação. Cobre a execução de aplicações dentro do sistema de TI e seus resultados, assim como os processos de suporte que permitem a execução de forma eficiente e efetiva. Esses processos de suporte também incluem questões de segurança e treinamento. A seguir, a tabela com os processos de TI desse domínio.


Página | 2Fonte: COBIT, 2012

O domínio de Monitorar e Avaliar lida com a estimativa estratégica das necessidades da companhia e avalia se o atual sistema de TI atinge os objetivos para os quais ele foi especificado e controla os requisitos para atender objetivos regulatórios. Ele também cobre as questões de estimativa, independentemente da efetividade do sistema de TI e sua capacidade de atingir os objetivos de negócio, controlando os processos internos da companhia através de auditores internos e externos.

Fonte: COBIT, 2012

Modelos e regulamentações aplicáveis a determinados segmentos específicos – Lei Sarbanes-Oxley

A Lei Sarbanes-Oxley é uma lei estadunidense, assinada em 30 de julho de 2002 pelo senador Paul Sarbanes e pelo deputado Michael Oxley.

Motivada por escândalos financeiros corporativos (dentre eles o da Enron, que acabou por afetar drasticamente a empresa de auditoria Arthur Andersen), essa lei foi redigida com o


Página | 2

objetivo de evitar o esvaziamento dos investimentos financeiros e a fuga dos investidores causada pela aparente insegurança a respeito da governança adequada das empresas.

A lei Sarbanes-Oxley, apelidada de Sarbox ou ainda de SOX, visa garantir a criação de mecanismos de auditoria e segurança confiáveis nas empresas, incluindo ainda regras para a criação de comitês encarregados de supervisionar suas atividades e operações, de modo a mitigar riscos aos negócios, evitar a ocorrência de fraudes ou assegurar que haja meios de identificá-las quando ocorrem, garantindo a transparência na gestão das empresas.

A lei Sarbanes – Oxley praticamente redefiniu as regras para as empresas corporativas, em relação a divulgação e a emissão de relatórios financeiros. Devido aos recentes escândalos presenciados no atual mercado e declarações de executivos renomados nas quais dizem “não ter conhecimento” de atividades duvidosas desenvolvidas por suas entidades. Esta Lei tem por finalidade desencorajar essas declarações nas quais às conferências internas irão ser mais rígidas e os executivos irão ser responsabilizados.

A Lei Sarbanes-Oxley tem por finalidade ressaltar o papel crítico do “controle interno”. O controle interno é desenvolvido pela Diretoria, Conselho de Administração ou por colaboradores da entidade que alavanca o sucesso dos negócios em três categorias:

Eficácia e eficiência das operações; Confiabilidade nos relatórios financeiros; Cumprimento de leis e regulamentos aplicáveis.

A Lei Sarbanes-Oxley esclarece que os diretores executivos e diretores financeiros serão responsáveis por estabelecer, analisar e controlar a eficácia dos controles internos sobre os relatórios financeiros e divulgações.

Especialistas no assunto descrevem que esta nova lei é a peça mais significativa da legislação comercial nos últimos cinquenta anos. Ela muda o ambiente empresarial e regulador. A maior abrangência da Lei Sarbanes-Oxley concentra-se nas Seções 302 e 404.

Seção 302 – de forma explícita demonstra que os diretores executivos e diretores financeiros devem declarar pessoalmente que são responsáveis pelos controles e procedimentos de divulgação de relatórios. A cada documento trimestral deverá conter a certificação de que eles desenvolveram e avaliaram com eficácia os controles internos. Os executivos certificados também devem declarar e divulgar todas e quaisquer relevâncias significativas do controle, como insuficiência materiais e atos de fraudes.

Seção 404 – Expõe que deve ser feita uma avaliação anual de todos os controles e procedimentos internos para que sejam emitidos os relatórios financeiros. Além disso, o auditor externo deve emitir um relatório atestando a veracidade das informações do controle interno.

O descumprimento dessa exigência tem um alto preço: multas de até US$ 5 milhões e até vinte anos de prisão podem ser as penas impostas para o descumprimento intencional, esta é uma medida que sustenta a engrenagem da lei.

Enfim a Sarbanes-Oxley é um indicativo de uma das mudanças que afetam a forma como as empresas realizam seus controles internos e sua responsabilidade perante os mesmos.

São requisitos da lei:


Página | 2

Controlar a criação, edição e versionamento dos documentos em um ambiente de acordo com os padrões ISO, para controle de todos os documentos relativos à seção 404.

Cadastrar os riscos associados aos processos de negócios e armazenar os desenhos de processo.

Utilizar ferramentas como editor de texto e planilha eletrônica para criação e alteração dos documentos da seção 404.

Publicar em múltiplos websites os conteúdos da seção 404. Gerenciar todos os documentos controlando seus períodos de retenção e

distribuição. Digitalizar e armazenar todos os documentos que estejam em papel, ligados à

seção 404.

Você sabia que...

Atualmente grandes empresas com operações financeiras no exterior seguem a lei Sarbanes-Oxley. A lei também afeta dezenas de empresas brasileiras que mantém ADRs - American Depositary Receipts negociadas na NYSE, como a Petrobras, Ambev, Bunge Brasil, a GOL Linhas Aéreas, a Sabesp, a CPFL (Companhia Paulista de Força e Luz), a TAM Linhas Aéreas, a Brasil Telecom, Ultrapar (Ultragaz), a Companhia Brasileira de Distribuição (Grupo Pão de Açúcar), Banco Bradesco, Banco Itaú, TIM, Vale S.A., Vivo S.A., Companhia Energética de Minas Gerais (CEMIG), Natura Cosméticos S.A., Claro e a Gerdau S.A. (Gerdau), Grupo Comercial Cencosud, CSN, Eletrobrás, Brasilagro.

4. OBJETIVOS DA ORGANIZAÇÃO

Para Chiavenato, objetivos organizacionais são o fim desejado que a organização pretende atingir e que orientam o seu comportamento em relação ao futuro e ao ambiente interno e externo. Neste sentido, os objetivos organizacionais são a razão de ser das organizações, que necessitam de um fim objetivo.

Ainda, segundo Chiavenato, a motivação é o desejo de exercer altos níveis de esforço em direção a determinados objetivos organizacionais, condicionados pela capacidade de satisfazer algumas necessidades individuais. Neste sentido, defende o autor que o alinhamento entre os objetivos individuais e os objetivos organizacionais predispõem os sujeitos a exercerem elevados níveis de esforço para atender aos interesses organizacionais e, simultaneamente, atender aos seus próprios interesses.

Dessa forma, percebe-se que existe uma relação entre a motivação e os objetivos organizacionais, ainda que os resultados sejam diferentes no que toca à motivação intrínseca e à motivação extrínseca. Ou seja, objetivos organizacionais bem definidos aumentam a motivação dos colaboradores. Por seu lado, os objetivos organizacionais devem sempre estar alinhados com os objetivos individuais, devendo estes últimos dar um contributo para a definição dos primeiros.

Os objetivos devem ser:

Focalizados em um resultado; Consistentes; Mensuráveis;


Página | 2

Relacionados com um determinado período; Alcançáveis.

No contexto da administração pública, é comum existirem pelo menos 2 níveis distintos de objetivos organizacionais: objetivos estratégicos e objetivos operacionais. Além desses 2 níveis é comum os gestores também definirem objetivos relacionados à comunicação organizacional e objetivos relacionados à conformidade dos processos organizacionais à legislação.

Objetivos Estratégicos

São os objetivos globais e amplos da organização e definidos no longo prazo, isto é, entre dois a cinco ou mais anos pela frente. (Ex.: aumento do retorno sobre o investimento organizacional.

Objetivos Operacionais

São os objetivos específicos e de curto prazo voltados para a execução das operações cotidianas da organização referem-se geralmente a cada tarefa ou operação especificamente. (Ex.: Admitir dez pessoas deficientes ao ano e incentivar o consumo consciente)

Objetivos de Comunicação

São os objetivos relacionados à integração de todas as áreas que compõem uma organização, como por exemplo, a Relações Públicas, a Assessoria de Comunicação, no caso das empresas públicas, temos também a Publicidade e Propaganda, o Marketing e etc. Elas têm que estar em harmonia e estabelecer um discurso único, pois tendo isso permite-se a construção de uma comunicação eficaz e eficiente diante seus públicos.

Objetivo de Conformidade

São os objetivos que visam manter a entidade em conformidade com leis, normativos e regulamentos externos e internos, e sempre que possível manter o respeito às normas e procedimentos da organização.

5. GESTÃO DE RISCOS

Definidos os objetivos institucionais, em todos seus níveis, é possível ao gestor iniciar o seu processo de Gestão de Riscos. Inicia-se esse processo pela identificação dos riscos que podem vir a impactar nos objetivos definidos previamente, identificando as causas possíveis desses riscos, bem como suas consequências. Após essa identificação, o gestor medirá o nível de risco de cada um dos riscos observando-os em seu Diagrama de Risco, possibilitando assim ter uma visão de quais serão as respostas adotadas para cada risco identificado. Segue abaixo o fluxo apresentado pelo COSO, 2012.


Página | 2

Fonte: COSO, 2012.

Identificação do Risco

De acordo com a ISO 31000, a finalidade da etapa de identificação de risco é gerar uma lista abrangente de riscos baseada em eventos que possam criar, aumentar, evitar, reduzir, acelerar ou atrasar a realização dos objetivos. Trata-se, portanto, de uma identificação abrangente, pois riscos que não forem identificados nesta fase não serão incluídos em análises futuros.

O responsável pela identificação dos riscos pode e deve utilizar-se de ferramentas e técnicas de identificação de riscos que sejam adequadas aos seus objetivos e capacidades e aos riscos enfrentados. Por esse motivo é importante que as pessoas envolvidas nesse processo tenham um conhecimento adequado sobre o negócio, bem como sejam incentivadas a não se restringirem aos acontecimentos do passado.

A seguir serão exemplificadas algumas técnicas utilizadas na identificação de riscos:

1. Mapeamento de Processos

A técnica de mapeamento de processos tem como objetivo prover uma representação gráfica do fluxo operacional e a inter-relação entre diferentes processos e unidades. O mapeamento de processo facilita a visualização das operações, permitindo que o gestor identifique pontos de monitoramento e controle, bem como fragilidades que podem vir a tornar-se causas de riscos.

2. Brainstorming

A técnica de brainstorming é uma atividade que tem como objetivo explorar o potencial criativo dos participantes.

De forma resumida e simplificada, a técnica consiste em permitir que todos os participantes contribuam com ideias acerca de um determinado tema sem sofrer nenhum tipo de crítica. Os integrantes são incentivados a contribuir com o máximo possível de ideias que conseguirem. Tem-se então, como o próprio nome sugere, uma tempestade de ideias.

Na gestão de riscos, essa técnica permite, principalmente, a identificação de riscos que não se materializaram no passado, aqueles com baixa probabilidade de ocorrência mas de significativos impactos, chamados de “Cisne Negro”.

IdentificarRiscos

DefinirCritérios

deAvaliação

AvaliarRiscos

Avaliar aInteração

dos Riscos

PriorizarRiscos

Responderao Risco

Avaliação do Risco


Página | 2

3. Método Delphi

O método Delphi é reconhecido como um dos melhores instrumentos de previsão qualitativa. Sua área de aplicação original é a previsão tecnológica, mas atualmente tem sido aplicado frequentemente na gestão de riscos.

O método baseia-se na elaboração de um questionário acerca do tema que deseja-se entender melhor, submetendo-o aos especialistas do tema/negócio para que seja respondido de forma anônima. Ao final é disponibilizado um relatório estatístico contendo as respostas dos questionários.

O anonimato permite que barreiras hierárquicas e barreiras culturais tenham menor influência nas respostas, possibilitando que riscos relacionados a pessoas e cargos estratégicos sejam mais facilmente identificados.

Causa e Fator de Risco

Uma vez mapeado os riscos do negócio, é necessário identificar as causas desses riscos. Uma metodologia que ajuda nessa identificação é pensar na causa como a soma de dois fatores: fator de risco (ou fonte de risco) e fragilidade.

Para a ISO 31000, fator de risco ou fonte de risco é um elemento, que individualmente ou combinado, tem o potencial intrínseco para dar origem ao risco, podendo ser tangível ou intangível. Os fatores de risco mais comuns são: pessoas, processos, sistemas, tecnologia, infraestrutura e eventos externos.

A tabela a seguir apresenta uma lista desses fatores de risco associados às fragilidades mais comuns de serem identificadas:

Fator de Risco Fragilidades

Pessoa Baixa capacitação, desmotivada, estressada, negligente, corrupta, etc.

Processo Ineficiente, mal estruturado, redundante, imaturo, etc.

Sistema Obsoleto, incompatível, sem documentação, baixa segurança, etc.

Tecnologia Ultrapassada, alto custo, baixa acessibilidade, alta complexidade, etc.

Infraestrutura Inadequada, Inacessível, Ineficiente, Precária, etc.

Evento Externo Desastre Ambiental, Crise Econômica, Influência Política, etc.

Fonte: Elaboração própria

Tome nota:

CAUSA = FATOR DE RISCO + FRAGILIDADE

Consequência

Na gestão de riscos, entende-se por consequência, todos os eventos negativos resultantes da materialização de um risco. Normalmente, a consequência da materialização de um risco irá resultar nos seguintes aspectos: perda de recurso financeiro, danos à imagem da instituição ou danos à integridade física de funcionários.


Página | 2

Avaliação do Risco: Probabilidade x Impacto

Os riscos são analisados, considerando a probabilidade e o impacto, com intuito de determinar o modo como serão administrados. Probabilidade representa a possibilidade de que um determinado evento ocorrerá. Enquanto o Impacto representa o seu efeito. Quanto à probabilidade, a literatura traz definições para uma abordagem qualitativa e quantitativa:

Quanto à abordagem qualitativa e quantitativa, o COSO traz uma distinção entre os termos usados para probabilidade, sendo Likelihood: usado para indicar a possibilidade de que um evento ocorra em termos qualitativos, (elevada, média e reduzida ou outros critérios de escala - utilizada no Orange Book); e Probability: indica uma medida quantitativa, como porcentagem, frequência de ocorrência ou outra medida numérica.

Além disso, os riscos também são avaliados quanto à sua condição de inerentes e residuais, sendo risco inerente o que não considera o efeito dos controles e das respostas a riscos existentes e risco residual o que considera o efeito dos controles e das respostas a riscos existentes. É aquele que permanece após a resposta da administração.

Em razão das estratégias e objetivos de muitas organizações considerarem horizontes de tempo de curta a média duração, a administração naturalmente concentra-se nos riscos associados a esses períodos de tempo. Contudo, alguns aspectos do direcionamento estratégico e dos objetivos estendem-se a prazo mais longo. Consequentemente, a administração precisa levar em conta os cenários de prazos mais longos para não ignorar riscos que possam estar mais adiante.

Quanto às técnicas de avaliação de riscos, o modelo do COSO, inclui uma combinação de técnicas qualitativas e quantitativas.

Geralmente, a administração emprega técnicas qualitativas de avaliação se os riscos não se prestam a quantificação, ou se não há dados confiáveis em quantidade suficiente para a realização das avaliações quantitativas, ou ainda, se a relação custo-benefício para obtenção e análise de dados não for viável.

As técnicas quantitativas emprestam maior precisão e são utilizadas em atividades mais complexas e sofisticadas para suplementar as técnicas qualitativas. Dependem sobremaneira da qualidade dos dados e das premissas adotadas e são mais relevantes para exposições que apresentem um histórico conhecido, uma frequência de sua variabilidade e permitam uma previsão confiável.

O quadro a seguir apresenta uma comparação entre as duas técnicas:


Página | 2

Fonte: COSO, 2012.

O produto resultante das funções impacto e probabilidade representa o nível de risco a que a organização está exposta. Esse nível de risco pode ser representado pelo seguinte diagrama:

Fonte: CGU/SFC/CGFAZ, 2014.

O diagrama acima representa a intensidade dos riscos e os nove quadrantes, nos quais os riscos são inseridos, representam uma categorização considerando a avaliação de impacto e probabilidade desses riscos. A intensidade desse nível também é refletida por cores, indo do


Página | 2

azul, para um o “risco aceitável”, cuja probabilidade e impacto são baixos, para o vermelho, o “risco crítico”, cuja probabilidade e impactos são alto.

Com intuito de ressaltar que não basta somente considerar o valor absoluto das intensidades, mas também a valoração do impacto e da probabilidade, serão comparados dois riscos que apresentam a mesma intensidade, mas que são completamente distintos: “Cisne Negro” e o ”Comedor de Recursos”, tendo o primeiro alto impacto e baixa probabilidade, enquanto o segundo, baixo impacto e alta probabilidade.

O “Cisne Negro” é considerado pela literatura como evento raro, que deve cumprir três condições para obter essa classificação: imprevisibilidade, pois no campo das expectativas, nada no passado indicava a possibilidade da sua ocorrência; forte impacto e consequências econômicas, pessoais e sociais imprevisíveis; e, apesar da imprevisibilidade, quando analisados retrospectivamente, tem-se a impressão de que sua ocorrência era evidente e de que poderiam ter sido racionalmente avaliados ou previstos. Como exemplo deste tipo de risco, destacam-se ataques terroristas e destrates naturais.

Já o “Comedor de Recursos” está relacionado às atividades cotidianas que ocorrem com frequência, por isso a probabilidade é alta e seu monitoramento deve ser constante. Os gestores costumam gastar recursos de forma contínua para mitigá-los.

Critérios de Avaliação da Probabilidade e do Impacto

O COSO em seu documento “Risk Assessment in Practice”, destaca a importância de se construir critérios de avaliação, sem os quais é impossível comparar e agregar riscos que perpassam por todas as áreas de uma determinada organização.

Quanto mais descritiva é a escala, mais consistente será sua interpretação pelos responsáveis pela avaliação dos riscos.

As escalas devem permitir uma diferenciação significativa que servirá de suporte à priorização dos riscos. Escalas com 5 pontos apresentam melhor dispersão do que uma escala com apenas 3 pontos, em contrapartida uma escala com 10 pontos apresenta uma precisão normalmente não desejada em uma análise qualitativa.

Toda organização é diferente, e as escalas devem ser customizadas de forma a melhor se adaptarem ao tamanho, complexidade e cultura da organização.

A

imagem a seguir apresenta um exemplo de escala proposto pelo COSO:


Página | 2

Fonte: COSO, 2012.

Fonte: COSO, 2012.

Avaliação de Risco: Outras visões do nível de risco.

Além do nível de risco referente a produto de probabilidade e impacto, o COSO destaca a existência de outras formas de visualizar o nível de risco de uma entidade, sendo elas:

Vulnerabilidade x Impacto Velocidade do Impacto Persistência do Impacto

Vulnerabilidade refere-se ao quanto uma determinada entidade está preparada para a materialização de um risco, levando em consideração sua agilidade de resposta e adaptabilidade para cenários distintos dos previstos.

Entende-se que a probabilidade de um evento de risco ocorrer depende da correlação entre as vulnerabilidades e as ameaças em um determinado processo. Em outras palavras, a visão de vulnerabilidade foca nos controles implementados.


Página | 2

Por ter o foco no controle, essa visão de vulnerabilidade é muito útil para a auditoria ou qualquer que seja a área responsável pela avaliação do custo-benefício dos controles de gestão. Segue abaixo exemplo de critérios e escala de mensuração da vulnerabilidade:

Fonte: COSO, 2012.

As outras duas visões do nível de risco, focam no impacto. A velocidade do impacto mede o tempo que decorre após a materialização do risco até que os impactos sejam notados. A persistência do impacto, por outro lado, mede o tempo decorrido até que os efeitos do impacto não sejam mais notados. Para o COSO, adoção de velocidade e persistência do impacto pode ser utilizada também como critério para priorização dos riscos a serem tratados.

Técnicas de Avaliação de Risco – ABNT NBR ISO/IEC 31010:2012

A ISO 31010:2012 destaca-se pela apresentação de uma variedade de técnicas utilizadas na identificação, análise e avaliação de risco.

A seleção das técnicas a serem utilizadas é uma escolha de cada organização que deve levar em consideração sua área de atuação, cultura organizacional e conhecimento do seu corpo técnico.

A tabela a seguir apresenta a totalidade das técnicas presentes na ISO 31010:2012, informando se a técnica é fortemente aplicável, aplicável ou não aplicável para cada etapa do processo de avaliação de risco.

Fonte: ISO, 2012.

Respostas ao Risco


Página | 2

Após avaliar e ranquear os riscos, o gestor é capaz de decidir como serão as respostas a esses riscos.

Existem 4 tipos de respostas que podem ser atribuídas a um determinado risco. São elas:

Aceitar

Um determinado risco normalmente é aceito quando seu nível encontra-se em uma zona confortável para o gestor, ou seja, o risco não está ameaçando os objetivos da organização. Nessa situação, nenhum controle será implementado para mitigar o risco, porém controles de monitoramento são recomendáveis para esse tipo de risco, uma vez que, com o passar do tempo, o nível do risco pode sofrer alterações significantes e vir a ameaçar os objetivos em questão.

Exemplo prático

Uma determinada organização identificou em seus processos o risco de funcionários furtarem comida dos depósitos dos restaurantes. Na avaliação desse risco, notou-se que sua probabilidade era baixa, bem como o impacto financeiro desses pequenos furtos era praticamente insignificante perante a receita da organização. Os gestores solicitaram um orçamento de instalações de câmeras de segurança e raios-x e perceberam que o valor necessário para a instalação e manutenção desses controles era muito superior ao valor estimado das perdas devido a furtos de alimentos. Dessa forma, os gestores decidiram que controles não deveriam ser implementados, porém esse risco deverá ser reavaliado a cada dois anos de forma a verificar se seu nível continua baixo.

Mitigar

Um risco normalmente é mitigado quando seu nível encontra-se em uma zona que ameaça os objetivos da organização e a implementação de controles apresenta um custo/benefício adequado. Nessa situação, os controles podem ser implementados tanto para mitigar as causas do risco quanto o seu impacto.

Durante o processo de avaliação dos riscos, pode-se optar por avaliar o nível de risco sem levar em consideração os controles do processo, ou pode-se optar por avaliar o nível levando em consideração os controles implementados. Ambas abordagens apresentam informações importantes para o gestor. Entende-se que quando é feita a avaliação do risco sem os controles existentes, tem-se o risco inerente ao processo. Quando é feita a avaliação do risco considerando os controles existentes, tem-se o risco residual.

Exemplo prático

Uma determinada organização identificou em seus processos o risco de fraude em seus documentos contábeis. Na avaliação desse risco sua probabilidade foi avaliada como média e seu impacto como alto. Com o intuito de mitigar esse risco, os gestores optaram por dividir a área financeira em duas áreas distintas, sendo que uma ficaria responsável por fiscalizar as ações da outra área. Além disso, foi criada uma Comissão de Ética que


Página | 2

terá a responsabilidade de conscientizar os funcionários sobre os padrões éticos exigidos pela empresa, bem como as consequências legais acerca de tais condutas criminosas.

Compartilhar

Um risco normalmente é compartilhado quando seu nível encontra-se em uma zona que ameaça os objetivos da organização, porém a implementação de controles não apresenta um custo/benefício adequado.

Exemplo prático

Uma determinada organização identificou que a localização de uma de suas principais filiais encontra-se em um local vulnerável a tsunamis. A frequência desses eventos no local é de um tsunami a cada 5 anos, sendo que a cada 100 anos tem-se um grande tsunami de proporções devastadoras. Modificações no relevo de forma a mitigar os impactos de um tsunami necessitariam de um investimento muito elevado para os padrões da organização. De forma a evitar possíveis mortes, foram adquiridas lanchas rápidas para a evacuação do local. No entanto, os bens imóveis não podem ser transportados e em caso de tsunami serão completamente destruídos. Para os imóveis, a única opção foi a transferência desse risco por meio de uma apólice de seguro.

Evitar

Um risco normalmente é evitado quando seu nível encontra-se em uma zona crítica de alta probabilidade e alto impacto, comprometendo totalmente os objetivos da organização. Normalmente, nesses casos, a implementação de controles apresenta um custo muito elevado, inviabilizando sua mitigação, bem como não há entidades dispostas a compartilhar o risco com a organização. Nesses casos, a opção é evitar o risco, encerrando o processo em questão.

Exemplo prático

Uma empresa de correios identificou que existem áreas muito perigosas na cidade, onde o índice de criminalidade inviabiliza completamente a entrega de correspondência por comprometer a integridade física dos carteiros, bem como resultar em elevados furtos das correspondências. Após inúmeras solicitações, não correspondidas, para que a prefeitura aumentasse o efetivo policial nessas regiões, a empresa optou por encerrar temporariamente seus serviços nessas regiões até que houvesse uma melhora na segurança pública.

Apetite ao Risco

A escolha da resposta adequada para cada risco vai depender do apetite ao risco da organização. O apetite ao risco é um aspecto que deve, preferencialmente, ser decidido pelos responsáveis pela governança da organização. Ao definir seu apetite, a organização poderá definir em seu diagrama de risco qual a zona de aceitação ou não aos riscos. Na definição do apetite ao risco, deve ser levado em consideração as contribuições individuais de cada risco, bem como a visão dos riscos em conjunto.


Página | 2

As várias técnicas de avaliação de risco apresentadas anteriormente são muito importantes na definição do apetite ao risco, uma vez que elas apresentam visões distintas dos riscos da organização.

Tolerância ao Risco

Um conceito que, às vezes, confunde-se com o apetite ao risco é o da tolerância ao risco. O apetite ao risco define o processo normal de aceitação dos riscos, ou seja, as zonas de aceitação ou não aceitação de risco pela organização no seu dia a dia. A tolerância ao risco, por outro lado, trata da exceção, ou seja, do quanto tolera-se que o risco fuja de sua zona de aceitação esporadicamente. A tolerância está relacionada com a margem/variação de aceitação do risco.

Exemplo prático

Uma determinada organização identificou em seus processos o risco de seus sistemas de informação ficarem indisponíveis para seus clientes. A organização definiu um apetite baixo para esse tipo de risco. Dessa forma, seus controles atuais visam que o serviço fique disponível pelo menos 99% do tempo. Apesar dessa definição, a organização entende que, de tempos em tempos, a infraestrutura de TI necessita de manutenções mais severas e que nesses casos o sistema poderá chegar a ficar 10% do tempo indisponível. Dessa forma, a organização definiu que, de acordo com seu apetite a risco, os sistemas deveriam ficar disponíveis 99% do tempo sendo tolerado que se utilize um fim de semana a cada 2 meses para realizar manutenções mais severas, podendo o serviço ficar disponível apenas 90% do tempo nesses finais de semana.

6. CONTROLE INTERNO

Em linhas gerais, Controles Internos representam um sistema que envolve todos os integrantes da organização na implementação de ações que visem à proteção do patrimônio da entidade e o consequente atingimento de seus objetivos.

Para o COSO, Controle Interno:

É um processo realizado pela diretoria, por todos os níveis de gerência e por outras pessoas da entidade, projetado para fornecer segurança razoável quanto à consecução de objetivos nas seguintes categorias:

a. eficácia e eficiência das operações;

b. confiabilidade de relatórios;

c. cumprimento de leis e regulamentações aplicáveis. (COSO, 2013)

Ao apresentar essa definição, o COSO tinha como um dos objetivos integrar os diversos conceitos de controle interno, promovendo a uniformização das definições até então vigentes. A partir da divulgação dessa definição, várias organizações internacionais revisaram suas normas para incorporar o conceito de controle interno definido pelo modelo, o qual tornou-se uma referência mundial.


Página | 2

Em 2004, a INTOSAI (Organização Internacional de Entidades Fiscalizadoras Superiores) publicou a revisão das Diretrizes para as Normas de Controle Interno do Setor Público (INTOSAI, 2004), alinhando-as ao COSO, e adotou a seguinte definição:

Controle interno é um processo integrado efetuado pela direção e corpo de funcionários, estruturado para enfrentar os riscos e fornecer razoável segurança de que na consecução da missão da entidade os seguintes objetivos gerais serão alcançados:

• execução ordenada, ética, econômica, eficiente e eficaz das operações;

• cumprimento das obrigações de accountability;

• cumprimento das leis e regulamentos aplicáveis;

• salvaguarda dos recursos para evitar perdas, mau uso e dano. (INTOSAI, 2004)

O TCU, alinhando-se às Diretrizes para as Normas de Controle Interno do Setor Público, emitidas pela INTOSAI, e seguindo a tendência internacional, introduziu no Glossário de Termos do Controle Externo, a seguinte definição:

Processo efetuado pela administração e por todo o corpo funcional, integrado ao processo de gestão em todas as áreas e todos os níveis de órgãos e entidades públicos, estruturado para enfrentar riscos e fornecer razoável segurança de que, na consecução da missão, dos objetivos e das metas institucionais, os princípios constitucionais da administração pública serão obedecidos e os seguintes objetivos gerais de controle serão atendidos:

I. eficiência, eficácia e efetividade operacional, mediante execução ordenada, ética e econômica das operações;

II. integridade e confiabilidade da informação produzida e sua disponibilidade para a tomada de decisões e para o cumprimento de obrigações de accountability;

III. conformidade com leis e regulamentos aplicáveis, incluindo normas, políticas, programas, planos e procedimentos de governo e da própria instituição;

IV. adequada salvaguarda e proteção de bens, ativos e recursos públicos contra desperdício, perda, mau uso, dano, utilização não autorizada ou apropriação indevida. (TCU, 2010)

Em suma, essas novas definições de controle interno incorporaram as seguintes diretrizes:

1. O papel do controle interno é ampliado, sendo estruturado para enfrentar riscos em todas as áreas e todos os níveis da organização.

2. O controle interno é um processo organizacional de responsabilidade da própria gestão e é efetuado com o intuito de assegurar uma razoável segurança de que os objetivos da entidade sejam alcançados de modo a dar cumprimento à sua missão.

3. Controle interno é um processo integrado que interliga diversos elementos da gestão organizacional para compor o sistema de controle interno da organização, afastando-se a ideia de procedimento ou circunstância isolada.


Página | 2

Para a Instrução Normativa Conjunta nº 01/2016, os controles internos da gestão baseiam-se no gerenciamento de riscos e integram o processo de gestão, considerando as atividades, planos, ações, políticas, sistemas, recursos e esforços de todos que trabalhem na organização, sendo projetados para fornecer segurança razoável de que a organização atingirá seus objetivos e missão.

A definição e a operacionalização dos controles internos devem levar em conta os riscos que pretende-se mitigar, tendo em vista os objetivos das organizações públicas. Assim, ao considerar os objetivos estabelecidos pelos órgãos e entidades da administração pública e os riscos decorrentes de eventos internos ou externos que possam afetar o alcance desses objetivos, devem ser posicionados os controles internos mais adequados para mitigar a probabilidade de ocorrência dos riscos ou o seu impacto sobre os objetivos organizacionais.

Como apresentado inicialmente na apostila, os controles internos da gestão constituem-se na primeira linha (ou camada) de defesa das organizações públicas para propiciar o alcance de seus objetivos. Esses controles são operados por todos os agentes públicos responsáveis pela condução de atividades e tarefas, no âmbito dos macroprocessos finalísticos e de apoio dos órgãos e entidades do Poder Executivo federal.

Além dos controles internos da gestão, os órgãos e entidades do Poder Executivo federal podem estabelecer instâncias de segunda linha (ou camada) de defesa, para supervisão e monitoramento desses controles internos. Assim, comitês, diretorias ou assessorias específicas para tratar de riscos, controles internos, integridade e compliance, por exemplo, podem se constituir em instâncias de supervisão de controles internos.

Para a IN Conjunta, os controles internos da gestão do órgão ou entidade devem ser desenhados e implementados em consonância com os seguintes princípios:

Aderência à integridade e a valores éticos; Competência da alta administração em exercer a supervisão do

desenvolvimento e do desempenho dos controles internos da gestão; Coerência e harmonização da estrutura de competências e reponsabilidades

dos diversos níveis de gestão do órgão ou entidade; Compromisso da alta administração em atrair, desenvolver e reter pessoas

com competências técnicas, em alinhamento com os objetivos da organização; Clara definição dos responsáveis pelos diversos controles internos da gestão

no âmbito da organização; Clara definição de objetivos que possibilitem o eficaz gerenciamento de riscos; Mapeamento das vulnerabilidades que impactam os objetivos, de forma que

sejam adequadamente identificados os riscos a serem geridos; Identificação e avaliação das mudanças internas e externas ao órgão ou

entidade que possam afetar significativamente os controles internos da gestão;

Desenvolvimento e implementação de atividades de controle que contribuam para a obtenção de níveis aceitáveis de riscos;

Adequado suporte de tecnologia da informação para apoiar a implementação dos controles internos da gestão;


Página | 2

Definição de políticas e normas que suportem as atividades de controles internos da gestão;

Utilização de informações relevantes e de qualidade para apoiar o funcionamento dos controles internos da gestão;

Disseminação de informações necessárias ao fortalecimento da cultura e da valorização dos controles internos da gestão;

Realização de avaliações periódicas para verificar a eficácia do funcionamento dos controles internos da gestão; e

Comunicação do resultado da avaliação dos controles internos da gestão aos responsáveis pela adoção de ações corretivas, incluindo a alta administração.

A IN também apresenta os objetivos dos controles internos da gestão, os quais são:

Dar suporte à missão, à continuidade e à sustentabilidade institucional, pela garantia razoável de atingimento dos objetivos estratégicos do órgão ou entidade;

Proporcionar a eficiência, a eficácia e a efetividade operacional, mediante execução ordenada, ética e econômica das operações;

Assegurar que as informações produzidas sejam íntegras e confiáveis à tomada de decisões, ao cumprimento de obrigações de transparência e à prestação de contas;

Assegurar a conformidade com as leis e regulamentos aplicáveis, incluindo normas, políticas, programas, planos e procedimentos de governo e da própria organização; e

Salvaguardar e proteger bens, ativos e recursos públicos contra desperdício, perda, mau uso, dano, utilização não autorizada ou apropriação indevida.

O processo de Controle Interno e suas limitações

Recordando as definições apresentadas anteriormente sobre controle interno, como um processo integrado efetuado pela direção e corpo de funcionários, em todas as áreas e todos os níveis da organização. Convém tecer um detalhamento sobre os elementos que embasam as definições:

1. Processo integrado

Entende-se por processo integrado o fato de que os componentes do controle interno se relacionem entre si, não sendo possível a avaliação dos controles por meio da análise de cada componente isoladamente.

2. Processo executado por pessoas

O controle interno é um processo que, em última instância, é executado por pessoas. Todos na organização executam controles internos, implicando que esses controles são afetados pela natureza humana.

3. Controle Interno auxilia o alcance de objetivos

Sua principal função é auxiliar na consecução de objetivos. Sejam os objetivos estabelecidos para a entidade como um todo, sejam os fixados para atividades, processos ou


Página | 2

operações específicos. A finalidade do controle interno é prover as melhores condições para se atingirem objetivos.

4. Controle Interno oferece segurança razoável, não absoluta

Tendo em vista a incerteza acerca de riscos futuros que não podem ser previstos com segurança absoluta, além do fato de existirem fatores que estão fora do controle ou da influência da organização e que podem afetar sua capacidade de alcançar objetivos, a implementação de controles internos não oferece segurança absoluta de que os objetivos da entidade serão atingidos.

Limitações à eficácia do controle interno

1. Custo x Benefício

O custo de se controlar um risco não deve ser superior aos benefícios esperados do controle. Isso quer dizer que nem todos os riscos precisam e/ou devem ser controlados. Por exemplo, quando o risco é baixo e o impacto na empresa causado pela ocorrência do risco também é baixo, pode-se aceitar o risco e não estabelecer controle interno algum.

2. Erros de julgamento

A eficácia do controle interno sofre limitações das realidades da fraqueza humana durante a tomada de decisões de negócios, que exige, na maioria das vezes, uma boa dose de julgamento humano, nem sempre calcado em informações adequadas e suficientes para suportá-lo. Muitas vezes, decisões tomadas sob pressão de tempo e de outras decorrentes da condução dos negócios podem não refletir os benefícios desejados, necessitando ser mudadas.

3. Falhas e colapsos

Até mesmo controles bem desenhados estão sujeitos a falhas e colapsos. Pessoas podem não entender instruções ou interpretá-las de forma equivocada ou podem, ainda, cometer erros por fadiga, distração ou falta de cuidado (erros de execução).

4. Conluio

É a falha mais difícil de ser detectada e corrigida. Responsáveis pela gestão e pelos controles podem valer-se do seu conhecimento e competência para contorná-los com objetivos ilícitos, em conjunto com outros ou com terceiros.

5. Burla de gestores

A ação intencional de gestores no sentido de descumprir procedimentos de controle estabelecidos a fim de obter benefícios pessoais é uma séria limitação ao controle interno.

Classificações de Controles Internos

Os controles internos podem ser classificados sob diversas perspectivas de análise. Serão apresentada, a seguir, as classificações mais usuais para os controles internos.

1. Classificação quanto à função


Página | 2

Reflete a função do controle em relação ao risco, isto é, se o controle destina-se a prevenir ou a detectar a materialização de eventos, considerando o disposto no COSO.

Preventivos: são os controles concebidos para reduzir a frequência de materialização eventos de risco. Um controle preventivo tende a agir sobre a probabilidade de ocorrência de um determinado evento, dificultando que esse aconteça.

Detectivos: são os controles que detectam a materialização de eventos de risco, contudo não impedem a sua ocorrência. Alertam sobre a existência de problemas ou desvios do padrão, com o objetivo de provocar a gestão para adotar as ações corretivas pertinentes.

Compensatórios: como o próprio nome sugere, são controles concebidos para compensar a não adoção de outros controles preventivos ou detectivos, ou para contrabalançar outras falhas na estrutura de controle da organização. A adoção desse tipo de controle normalmente acontece por razões de custo-benefício.

2. Classificação quanto ao momento da aplicação Prévio: anterior aos atos de gestão. Concomitante: o controle é realizado simultaneamente à execução dos atos. Posterior: a verificação dos fatos ocorre após a consumação.

3. Classificação quanto ao nível de abrangência Controles em nível de entidade

São os controles mais abrangentes da organização, também mencionados na literatura especializada como Entity-Level Control (ELC). Desdobram-se em dois níveis:

o Indiretos: são os controles típicos de “governança corporativa”. Consistem em procedimentos e instrumentos corporativos não ligados diretamente a operações específicas, mas que dão o escopo e evidenciam o tom das ações na organização, estabelecendo critérios e diretrizes de atuação, tais como políticas, regimentos, códigos de conduta, normas e manuais abrangentes, processo de planejamento estratégico, de gestão de riscos, conselhos de administração e fiscal, comitês de auditoria e outros, auditoria interna, ouvidoria (canal de denúncia) etc. Uma característica distintiva desse tipo de controle é o fato de serem, geralmente, preventivos.

o Diretos: controles típicos de “controladoria” – consistem em monitoramentos exercidos pela alta administração com o objetivo de identificar eventuais desvios de padrões para, em seguida, aprofundar a investigação de erros ou falhas. Incidem diretamente sobre os processos operacionais da organização, mas não sobre cada transação individual durante o fluxo de operação ou processamento, e sim sobre grupos de transações que já foram total ou parcialmente processadas, tais como análises de variações do tipo “previsto x realizado”, revisões de relatórios gerais de desempenho, monitoramento de indicadores


Página | 2

etc. Uma característica distintiva desse tipo de controle é o fato de serem, geralmente, detectivos.

Controles em nível de atividades

Às vezes referidos na literatura como controles transacionais ou Transation-Level Control (TLC), são os controles que incidem direta ou indiretamente sobre atividades, operações, processos ou sistemas específicos. Esses controles, assim como os controles em nível de entidade, também desdobram-se em dois níveis:

o Indiretos ou abrangentes: definem como fazer. Por exemplo, manuais de procedimentos. Também tem, geralmente, função preventiva.

o Diretos, de monitoramento ou de registros: controlam ou evidenciam a execução de atividades durante o fluxo de operação ou processamento. Incidem sobre produtos ou serviços, atividades e tarefas. Exemplos: controles de qualidade na produção. Também tem, em geral, função detectiva.

Responsabilidades dos Gestores e de Auditores

Em negócios do século XXI, não é raro encontrar diversas equipes de auditores internos, especialistas em gerenciamento de riscos corporativos, executivos de compliance, especialistas em controle interno, inspetores de qualidade, investigadores de fraude e outros profissionais de riscos e controle trabalhando em conjunto para ajudar suas empresas a gerenciar riscos. Cada uma dessas especialidades tem uma perspectiva única e habilidades específicas de valor inestimável às organizações que atendem; no entanto, já que as atividades relacionadas ao gerenciamento de riscos e controle estão sendo cada vez mais divididas entre diversos departamentos e setores, o trabalho deve ser coordenado com cuidado, para garantir que os processos de riscos e controle sejam conduzidos como intencionado.

Para o IIA (The Institute of Interna Auditors), o modelo de Três Linhas de Defesa é uma forma simples e eficaz de melhorar a comunicação do gerenciamento de riscos e controle por meio do esclarecimento dos papéis e responsabilidades essenciais. O modelo apresenta um novo ponto de vista sobre as operações, ajudando a garantir o sucesso contínuo das iniciativas de gerenciamento de riscos, e é aplicável a qualquer organização - não importando seu tamanho ou complexidade. Mesmo em empresas em que não haja uma estrutura ou sistema formal de gerenciamento de riscos, o modelo de Três Linhas de Defesa pode melhorar a clareza dos riscos e controles e ajudar a aumentar a eficácia dos sistemas de gerenciamento de riscos.

O IIA entende que no modelo de Três Linhas de Defesa, o controle da gerência é a primeira linha de defesa no gerenciamento de riscos, as diversas funções de controle de riscos e supervisão de conformidade estabelecidas pela gerência são a segunda linha de defesa e a avalição independente é a terceira. Cada uma dessas três “linhas” desempenha um papel distinto dentro da estrutura mais ampla de governança da organização. Segue abaixo o modelo apresentado pelo IIA.


Página | 2

Fonte: IIA, 2013.

A alta administração e os órgãos de governança têm, coletivamente, a responsabilidade e o dever de prestação de contas sobre o estabelecimento dos objetivos da organização, a definição de estratégias para alcançar esses objetivos e o estabelecimento de estruturas e processos de governança para melhor gerenciar os riscos durante a realização desses objetivos.

A responsabilidade por estabelecer, manter, monitorar e aperfeiçoar os controles internos da gestão é da alta administração da organização, sem prejuízo das responsabilidades dos gestores dos processos organizacionais e de programas de governos nos seus respectivos âmbitos de atuação.

Cabe aos demais funcionários e servidores a responsabilidade pela operacionalização dos controles internos da gestão e pela identificação e comunicação de deficiências às instâncias superiores.

Já a Auditoria Interna tem como objetivo auxiliar a administração da entidade no cumprimento de seus objetivos, não tendo por objetivo principal a identificação de fraudes e erros, tampouco a punição de gestores que cometam as impropriedades ou irregularidades. É uma atividade de avaliação independente dentro da entidade, para verificar as operações e emitir uma opinião sobre elas, sendo considerada um serviço prestado à administração.

Essa ligação com a Alta Administração da empresa é que dá a necessária autonomia aos trabalhos da Auditoria Interna, pois não é dependente de qualquer setor da entidade. Da mesma forma ocorre no Setor Público.

Auditores externos, reguladores e outros órgãos externos estão fora da estrutura da organização, mas podem desempenhar um papel importante em sua estrutura geral de governança e controle. Isso vale principalmente para indústrias regulamentadas, como a de serviços financeiros ou seguros. Os reguladores, às vezes, estabelecem requisitos com a intenção de fortalecer os controles em uma empresa e, em outras ocasiões, têm uma função independente e objetiva, para avaliar o todo ou parte da primeira, segunda ou terceira linha de defesa no que tange a esses requisitos.

A INTOSAI segue a mesma linha, definindo o papel dos gestores, como os responsáveis diretos por todas as atividades de uma organização, incluindo o planejamento, a


Página | 2

implementação, a supervisão do funcionamento adequado, a manutenção e a documentação do sistema de controle interno. Suas responsabilidades variam de acordo com sua função e as características da organização.

Também defini o papel dos auditores internos, como responsáveis por examinar e contribuir para a contínua eficácia do controle interno por meio de suas avaliações e recomendações, no entanto, não têm a responsabilidade gerencial primeira sobre o planejamento, implementação, manutenção e documentação do controle interno.

Para o IIA, a auditoria interna é uma atividade independente e objetiva de avaliação (assurance) e de consultoria, desenhada para adicionar valor e melhorar as operações de uma organização, auxiliando os gestores. Segue abaixo representação gráfica do papel da auditoria interna no Gerenciamento de Risco demonstrando as atividades de avaliação e consultoria.

Fonte: IIA, 2009

Avaliação de controles internos

Para que o controle interno efetivamente cumpra sua finalidade é necessário que seja implementado e funcione de maneira eficaz. A administração e todo o corpo funcional tem a responsabilidade de estabelecer, executar e aprimorar os controles internos.

Avaliar controles internos significa verificar se o sistema de controle interno como um todo e as atividades de controle em nível de atividades, processos ou operações específicos


Página | 2

estão apropriadamente concebidos e se funcionam de forma eficaz, de maneira contínua e coerente.

A avaliação de controles internos vem se firmando como um trabalho que adiciona valor às atividades das organizações, podendo ser útil para:

Embasar recomendações e determinações de planos de ação para a melhoria de processos organizacionais (redução de riscos e aproveitamento de oportunidades);

Direcionar e determinar a extensão de procedimentos e exames de auditorias com mais precisão, tendo por base a avaliação de confiabilidade dos controles que mitigam os riscos do objeto de auditoria.

Quanto menor a confiabilidade dos controles, mais profundos e amplos deverão ser os testes de auditoria e, mesmo no caso dos controles serem avaliados como excelentes, o auditor sempre executará testes.

Finalmente, vale ressaltar que seja qual for o objetivo da avaliação dos controles internos, o foco deve ser dirigido para os riscos que eles devem mitigar, relacionados a objetivos que devem ser cumpridos.

Isso significa que os auditores devem, antes de avaliar os controles, conhecer os objetivos da atividade, do negócio, do processo, do programa, do projeto, do sistema etc., procurando identificar os riscos mais relevantes a eles associados para, em seguida, identificar e testar os controles adotados para mitigá-los.

COSO Controles Internos – Estrutura Integrada

O COSO lançou em 2013 uma atualização do modelo anterior do COSO Controles Internos – Estrutura Integrada, publicado em 1992, devido às principais mudanças ocorridas ao longo desses anos, como a globalização, a complexidade dos negócios, a incidência de fraudes e o incremento das exigências quanto à transparência e à responsabilidade dos órgãos reguladores, do governo e do mercado em geral.

Os principais objetivos da mudança foram:

Refletir as mudanças no negócio e nos ambientes operacionais; Expandir as operações e relatórios objetivos; e Apresentar princípios para aumentar a eficácia do controle interno.

O processo de revisão e construção desse novo documento levou mais de 2 anos, foi baseado em pesquisas e audiências públicas, sendo que mais de 700 stakeholders (participantes) responderam à pesquisa global durante o ano de 2011.

Um novo conceito para os controles internos foi apresentado:

Um processo definido pela alta administração ou pessoa responsável, para prover razoável segurança no alcance dos objetivos sobre operações, reporte e compliance da entidade. (COSO 2013)

Para o COSO – Controles Internos, há cinco componentes de controle interno que apoiam a organização em seus esforços para realizar seus objetivos. Esses componentes dizem


Página | 2

respeito por toda a entidade, considerando tanto sua visão mais global como suas divisões ou qualquer de suas unidades operacionais, áreas funcionais ou outros subconjuntos da entidade.

Considerando que existe uma relação direta entre os objetivos que a entidade busca realizar, os componentes que representam o que é necessário para atingir os objetivos, bem como a estrutura da entidade (unidades operacionais, entidades legais e outras estruturas), essa relação pode ser ilustrada na forma de um cubo.

Fonte: COSO, 2013

As três categorias de objetivos (Operacional; Divulgação e Conformidade) são representadas pelas colunas. Os cinco componentes (Ambiente de Controle; Avaliação de Riscos; Atividades de Controle; Informação e Comunicação; e Atividades de Monitoramento) são representados pelas linhas. Por fim, a estrutura da entidade, que representa a entidade total, suas divisões, subsidiárias, unidades operacionais ou áreas funcionais, inclusive os processos operacionais, é ilustrada pela terceira dimensão do cubo.

Nota-se que a representação desse relacionamento direto entre objetivos, componentes e a estrutura organizacional também consta do COSO-ERM, com as devidas adaptações. Essa representação também foi adotada pelo COBIT, ao apresentar a relação entre requisitos de negócios, processo de TI e recursos de TI.

A seguir será apresentada uma breve explicação sobre os objetivos, componentes e estrutura organizacional, cuja relação entre eles foi representada graficamente em forma de cubo.

Objetivos

A administração fixa seus objetivos que se alinham à missão, à visão e às estratégias de atuação. A fixação de objetivos é requisito prévio para o controle interno e uma parte importante do processo de gestão relacionado ao planejamento estratégico.

Pessoas que integram o sistema de controle interno da organização precisam compreender as estratégias e os objetivos globais fixados. Como parte do controle interno, a administração especifica objetivos adequados de forma que os riscos à realização desses objetivos possam ser identificados e avaliados.

Objetivos

Estr

utur

a da

En

tidad

e

Componentes


Página | 2

Para o COSO – Controles Internos, os objetivos são classificados em: Operacional, Divulgação e Conformidade. Ressalta-se que um objetivo de uma categoria pode ser sobrepor a um objetivo de outra categoria. A categoria na qual um objetivo se enquadra pode variar, dependendo das circunstâncias. Para isso, é necessário entender claramente os processos, as políticas e as procedimentos corporativos da entidade, bem como o respectivo impacto sobre cada categoria de objetivos.

Você sabia que...

Diferentemente do COSO-ERM, os objetivos estratégicos não foram incorporados à classificação de objetivos definida pelo COSO – Controles Internos. Isso deve-se ao fato de o COSO-ERM ter uma atuação mais direta com a estrutura de governança da organização e pelo fato de considerar os riscos não somente como uma ameaça, como é definido no COSO – Controles Internos, mas também como oportunidades. Quando são identificadas oportunidades, elas podem afetar de forma positiva os objetivos mais amplos da organização (objetivos estratégicos) ao redefinir suas estratégias de atuação.

1. Objetivos Operacionais

Relacionam-se à realização da missão e da visão da entidade. Esses objetivos variam de acordo com o modelo operacional da organização. Também pode ser desdobrados em subobjetivos para as operações das divisões, subsidiárias, unidades operacionais e áreas funcionais, com a finalidade de aumentar a eficácia e eficiência da trajetória da entidade rumo à sua meta definitiva.

Podem estar relacionados à melhoria de desempenho financeiro, de produtividade, de qualidade, de práticas ambientais, inovação, satisfação dos clientes e funcionários.

2. Objetivos de Divulgação

Dizem respeito à preparação de comunicação para o uso da organização e das partes interessadas. Podem envolver informações financeiras e não financeiras e divulgação interna e externa.

Os objetivos da divulgação interna são influenciados por necessidades internas, como rumos estratégicos da entidade, seus planos operacionais e as métricas de desempenho em vários níveis. Os objetivos de divulgação externa são influenciados principalmente por regulamentos e/ou normas estabelecidas por órgãos reguladores ou autoridades normativas.

3. Objetivos de Conformidade

As organizações devem conduzir suas atividades e, frequentemente, tomar ações específicas, em concordância com as leis e regulamentos aplicáveis. Como parte da fixação dos objetivos de conformidade, a organização precisa reconhecer quais leis, regras e regulamentos são aplicáveis a toda a entidade.

Para o COSO, a conformidade com políticas e procedimentos internos, ao contrário da conformidade com leis e regulamentos, está relacionada aos objetivos operacionais.


Página | 2

Componentes do controle interno

1. Ambiente de controle

O ambiente de controle deve demonstrar o grau e comprometimento em todos os níveis da administração, com a qualidade do controle interno em seu conjunto. É o principal componente, e seus fatores relacionados incluem:

Integridade e valores éticos; Competência das pessoas da entidade; Estilo operacional da organização; Aspectos relacionados com a gestão; e Forma de atribuição da autoridade e responsabilidade.

A direção superior, ao demonstrar o seu compromisso e a sua liderança, no que diz respeito aos controles internos, aos demais níveis da organização, apoiando a auditoria interna e outras áreas críticas para o controle, bem como os planos de ação recomendados pela auditoria interna e pelos órgãos de controle, transmite a mensagem que controle interno é importante e os demais membros da organização sentirão essa atitude e a responderão, observando conscientemente os controles estabelecidos.

Como dito anteriormente, a empresa norte-americana Enron, uma gigante do setor energético, sofreu a maior falência da história econômica americana devido a várias práticas contábeis e operacionais escusas relacionadas ao ambiente de controle interno (conflitos de interesse, pressão por metas, práticas de avaliação contábeis agressivas, auditoria e consultoria pelos mesmos auditores etc.).

2. Avaliação de risco

Identificação dos eventos ou das condições que podem afetar a qualidade da informação contábil e avaliação dos riscos identificados, incluindo sua probabilidade de ocorrência, a forma como são gerenciados e as ações a serem implementadas.

Segundo o COSO – Controles Internos, risco é evento futuro e incerto (ou seja, ainda não ocorreu, e nem há certeza de que irá ocorrer) que, caso ocorra, pode impactar negativamente o alcance dos objetivos da organização.

Ressalta-se que o COSO-ERM apresenta um maior detalhamento sobre a avaliação de riscos, inclusive ampliando a definição sobre risco, considerando também as oportunidades, como eventos que podem impactar positivamente o alcance dos objetivos e também impactar em alterações nas estratégias da organização.

3. Atividades de controle

Medidas e ações integrantes de um sistema de controle que, se estabelecidas de forma tempestiva e adequada, podem vir a prevenir ou administrar os riscos inerentes ou em


Página | 2

potencial da entidade. Não são exclusividade de determinada área da organização, sendo realizadas em todos os níveis.

O propósito fundamental das atividades de controle é reforçar a realização dos planos traçados, mantendo as organizações direcionadas para o cumprimento dos objetivos estabelecidos. Assim, elas podem ser vistas como mecanismos de gestão do cumprimento de objetivos.

As atividades de controle são parte do sistema de controle interno e, mesmo numa perspectiva do conjunto de todas elas, não devem ser confundidas com o ele próprio.

De modo geral, as atividades de controle incluem dois elementos: uma política, que estabelece aquilo que deverá ser feito e os procedimentos para fazê-la ser cumprida. O grau de formalização varia entre as entidades, conforme o tamanho, a complexidade e o número de níveis hierárquicos, embora os conceitos subjacentes não se diferenciem de maneira significativa. Elas devem estar distribuídas por toda a organização, em todos os níveis e em todas as funções, conforme requeridas pelas decisões de resposta a riscos. Elas incluem uma gama de controles preventivos e detectivos, como os exemplificados a seguir:

Atribuição de autoridade e limites de alçada; Procedimentos de autorização e aprovação; Segregação de funções ou atividades; Rotatividade de funções Revisões independentes, verificações e conciliações; Avaliações de desempenho operacional; Avaliações de operações, processos e atividades; Supervisão direta; e Controles de acesso a recursos e registros.

Considerando que a Instrução Normativa Conjunta nº 01/2016 considerou como um dos referenciais o COSO, tanto o COSO – Controles Internos quanto o COSO-ERM, apresentamos também exemplos de atividades de controles internos definidas para o setor público:

Procedimentos de autorização e aprovação; Segregação de funções (autorização, execução, registro, controle); Controles de acesso a recursos e registros; Verificações; Conciliações; Avaliação de desempenho operacional; Avaliação das operações, dos processos e das atividades; e Supervisão.

4. Informação e Comunicação

Identificar, armazenar e comunicar toda informação relevante, a fim de permitir a realização dos procedimentos estabelecidos. Para tanto, deverá ser oportuna e adequada, além de abordar aspectos financeiros, econômicos, operacionais e estratégicos.


Página | 2

Deve ser entendida como um canal que movimenta as informações em todas as direções – dos superiores aos subordinados, e vice-versa – pois determinados assuntos são mais bem visualizados pelos integrantes dos níveis mais subordinados.

5. Monitoramento

Compreende o acompanhamento da qualidade do controle interno, visando assegurar a sua adequação aos objetivos, ao ambiente, aos recursos e aos riscos. Pressupõe uma atividade desenvolvida ao longo do tempo.

O monitoramento pode ser realizado de duas maneiras ou por uma combinação de ambas:

Monitoramento contínuo: por meio de atividades gerenciais contínuas, no curso das operações normais da organização;

Avaliações separadas: avaliações de controle interno, periódicas, por meio de autoavaliações e/ou de avaliações/revisões independentes executadas pela auditoria interna. Avaliações separadas podem também ser executadas pelas EFS (Entidades Superiores de Fiscalização, cujo representante do Brasil é o TCU) e por auditores externos.

Novos princípios e abordagens em cada componente – os 17 princípios:

Umas das melhorias mais significativas que o COSO CONTROLES INTERNOS - ESTRUTURA INTEGRADA 2013 foi a transformação dos conceitos fundamentais em princípios, associados a cada um dos cinco componentes, auxiliando na compreensão sobre os requisitos para se ter um controle interno eficaz.

O sistema de controle interno eficaz proporciona garantia razoável à realização dos objetivos da entidade. Ele reduz a um nível aceitável o risco de não se realizar o objetivo relacionado a uma, duas ou todas as três categorias de objetivos.

Ele requer que cada um dos cinco componentes de controle interno e dos princípios relevantes esteja presente e funcionando e que os cinco componentes operem em conjunto e de uma forma integrada.

Ao verificar se um sistema de controle interno é eficaz, a administração exerce seu julgamento avaliando se cada um dos componentes e princípios relevantes está presente e funcionando e também se os componentes estão operando em conjunto.

Para facilitar a avaliação dos controles internos com base nos princípios, a Estrutura COSO descreve os pontos de foco como características importante dos princípios. Os pontos de foco podem auxiliar a administração a desenhar, implementar e aplicar o controle interno e avaliar se, de fato, os princípios relevantes estão presentes e funcionando. Ressalta-se que a administração pode concluir que alguns dos pontos de foco não são adequados ou relevantes e pode identificar e considerar outros pontos com base em circunstâncias específicas da entidade.


Página | 2

Seguem abaixo os princípios e seus pontos de foco para cada componente da Estrutura.

Ambiente de Controle

1. A organização demonstra um compromisso de integridade e valores éticos. Pontos de Foco:

o Liderar pelo exemplo;o Estabelecer normas de conduta;o Avaliar a adesão às normas de conduta;o Tratar desvios de forma oportuna.

2. O Conselho de administração demonstra independência de gestão e exerce a supervisão do desenvolvimento e desempenho do controle interno. Pontos de Foco:

o Estabelecer as responsabilidades pela supervisão;o Utilizar experiências relevantes;o Operar de forma independente;o Exercer a supervisão do sistema de controle interno.

3. Gestão estabelece, com supervisão da Diretoria, estruturas, relatando as linhas e as autoridades competentes e responsabilidades na busca pelos objetivos. Pontos de Foco:

o Considerar todas as estruturas da entidade;o Estabelecer linhas de subordinação;o Definir, atribuir e limitar autoridade e responsabilidades.

4. A organização demonstra o compromisso de atrair, desenvolver e reter pessoas competentes em alinhamento com os objetivos. Pontos de Foco:

o Estabelecer políticas e práticas;o Avaliar a competência e tratar as deficiências;o Atrair, desenvolver e reter talentos;o Planejar e preparar a sucessão.

5. A organização detém indivíduos responsáveis pelo controle interno na busca pelos objetivos. Pontos de Foco:

o Exigir a prestação de contas por meio estruturas, autoridades e responsabilidades;

o Estabelecer métricas, incentivos e recompensas de desempenho;o Avaliar continuamente a relevância de métricas, incentivos e recompensas

de desempenho;o Considerar pressões excessivas;o Avaliar o desempenho e recompensar ou disciplinar as pessoas.


Página | 2

Avaliação de Risco

6. A organização especifica objetivos com clareza suficiente para permitir a identificação e avaliação de riscos relacionados com os objetivos. Pontos de Foco

o Refletir as escolhas da administração;o Considerar as tolerâncias ao risco;o Incluir metas de desempenho operacionais e financeiras;o Formar uma base para comprometimento de recursos.

7. A organização identifica os riscos para a realização dos seus objetivos, através da entidade e analisa os riscos como uma base para determinar como os riscos devem ser geridos.

Pontos de Focoo Incluir os níveis de entidade, subsidiária, divisão, unidade operacional e áreas

funcionais;o Analisar fatores internos e externos;o Envolver os níveis apropriados da administração;o Estimar a importância dos riscos identificados;o Determinar como responder aos riscos.

8. A organização considera o potencial de fraude na avaliação dos riscos para a realização dos objetivos. Pontos de Foco

o Considerar os vários tipos de fraude;o Avaliar incentivos e pressões;o Avaliar oportunidades;o Avaliar atitudes e racionalizações.

9. A organização identifica e avalia as mudanças que podem significativamente afetar o sistema de controle interno. Pontos de Foco

o Avaliar mudanças no ambiente externo;o Avaliar mudanças no modelo de negócios;o Avaliar mudanças na liderança.

Atividades de Controle

10. A organização seleciona e desenvolve atividades de controle que contribuem para a atenuação dos riscos para a realização dos objetivos a níveis aceitáveis. Pontos de Foco

o Integrar-se com a avaliação de riscos;


Página | 2

o Considerar fatores específicos à entidade;o Determinar os processos de negócio relevantes;o Avaliar a combinação de tipos de atividades de controle;o Considerar em quais níveis as atividades são realizadas;o Abordar a segregação de funções.

11. A organização seleciona e desenvolve atividades de controle geral sobre a tecnologia para apoiar a realização dos objetivos. Pontos de Foco

o Determinar a dependência entre o uso da tecnologia nos processos de negócios e os controles gerais de tecnologia;

o Estabelecer atividades de controle sobre a infraestrutura de tecnologia relevante;

o Estabelecer atividades de controle sobre processos relevantes de gerenciamento;

o Estabelecer atividades de controle sobre os processos relevantes da aquisição.

12. A organização implanta as atividades de controle através de políticas que estabelecem o que é esperado e procedimentos que colocar condições no lugar. Pontos de Foco

o Estabelecer políticas e procedimentos para apoiar a implementação das diretrizes da administração;

o Estabelecer responsabilidade e prestação de contas pela execução das políticas e procedimentos;

o Realizar tempestivamente;o Tomar ações corretivas;o Realizar recorrendo a pessoal competente;o Reavaliar políticas e procedimentos.

Informação e Comunicação

13. A organização obtém ou gera e utiliza informações relevantes e de qualidade para apoiar o funcionamento do controle interno. Pontos de Foco

o Identificar os requisitos de informações;o Capturar fontes internas e externas de dados;o Processar dados relevantes em informações;o Manter a qualidade durante todo o processamento;o Considerar custos e benefícios.

14. A organização comunica internamente informações, incluindo objetivos e responsabilidades em matéria de controle interno, necessário para apoiar o funcionamento do controle interno.


Página | 2

Pontos de Focoo Comunicar as informações de controle interno;o Comunicar-se com a estrutura de governança;o Fornecer linhas de comunicação independentes;o Selecionar métodos de comunicação relevantes.

15. A organização se comunica com partes externas sobre questões que afetam o funcionamento do controle interno. Pontos de Foco

o Comunicar-se com públicos externos;o Possibilitar o recebimento de comunicações;o Comunicar-se com a estrutura de governança;o Fornecer linhas de comunicação independentes;o Selecionar métodos de comunicação relevantes.

Monitoramento

16. A organização seleciona, desenvolve e realiza avaliações para verificar se os componentes do controle interno estão presentes e funcionando. Pontos de Controle

o Considerar uma combinação de avaliações contínuas e independentes;o Considerar o ritmo das mudanças;o Estabelecer o entendimento da base de referência;o Utilizar pessoal com conhecimento;o Integrar aos processos de negócios;o Ajustar o escopo e a frequência;o Avaliar objetivamente.

17. A organização avalia e comunica deficiências de controle interno em tempo hábil para aqueles responsáveis para tomar uma ação corretiva, incluindo a alta administração e o Conselho de administração, conforme o caso. Pontos de Controle

o Avaliar resultados;o Comunicar deficiências;o Monitorar as ações corretivas.

6.7. QUANDO O RISCO DE MATERIALIZA

Gerenciamento de Incidentes

O gerenciamento de incidentes tem como foco principal restabelecer o serviço o mais rápido possível minimizando o impacto negativo no negócio. Garantir que os melhores níveis de disponibilidade e de qualidade dos serviços, sejam mantidos conforme os acordos de nível de serviço é também uma tarefa da gerência de incidentes.


Página | 2

Gerenciamento de Problemas

O gerenciamento de problemas tem o objetivo de analisar a causa dos incidentes ocorridos, fornecendo soluções paliativas e definitivas, mitigando a recorrência destes. Na prática, a gestão de problemas não gera resultados rápidos e por isso não é tão visível quanto a gestão de incidentes, porém a médio prazo costuma ajudar tanto na redução de reclamações quanto na credibilidade da área em questão.

Plano de Continuidade do Negócio

De acordo com a ABNT NBR 15999, o plano de continuidade de negócios é o desenvolvimento preventivo de um conjunto de estratégias e planos de ação de maneira a garantir que os serviços essenciais sejam devidamente identificados e preservados após a ocorrência de um desastre, e até o retorno à situação normal de funcionamento da organização dentro do contexto do negócio do qual ela faz parte. O plano de continuidade de negócios é responsabilidade dos dirigentes da organização.

Plano de Ação e Monitoramento

Os planos de ação devem indicar os 5W1H, traduzindo para o português, eles seriam o seguinte:

- O que será feito: descrever claramente a ação que será realizada;

- Porque será feito: indicar o objetivo da ação e justificar necessidade de sua realização;

- Quem fará: nominar e individualizar responsabilidade para cada ação do plano;

- Quando fará: precisar as datas previstas de início e fim de execução da cada ação;

- Onde fará: local, unidade, processo, sistema, programa, etc;

- Como fará: maneira, método ou solução adotada.

Plano de Contingências

Definição de responsabilidades, áreas e sistemas envolvidos para atender a uma emergência.

É um documento desenvolvido com o intuito de treinar, organizar, orientar, facilitar, agilizar e uniformizar as ações necessárias às respostas de controle e combate às ocorrências anormais.

Também chamado de planejamento de riscos, plano de continuidade de negócios ou plano de recuperação de desastres


Página | 2

REFERÊNCIAS

ABNT NBR ISO 31000, Gestão de Riscos – Princípios e diretrizes. Dezembro 2009

BRASIL. Instrução Normativa Conjunta MP/CGU n.º 01, de 10 de maio de 2016. Dispõe sobre controles internos, gestão de riscos e governança no âmbito do Poder Executivo federal. Disponível em <http://sintse.tse.jus.br/documentos/2016/Mai/11/instrucao-normativa-conjunta-no-1-de-10-de-maio-de> Acesso em: maio. 2016.

______. Relatório TCU - TC 011.745/2012-6. Levantamento de auditoria. Elaboração de indicador para medir o grau de maturidade de entidades públicas na gestão de riscos. Brasília: 11 set. 2013. Disponível em: < https://contas.tcu.gov.br/juris/Web/Juris/ConsultarTextual2/Jurisprudencia.faces>.

______.Tribunal de Contas da União. Glossário de termos do controle externo. Brasília: TCU, 2010.

HILL, S.; DINSDALE, G. Uma base para o desenvolvimento de estratégias de aprendizagem para a gestão de riscos no serviço público. Traduzido por Luís Marcos B. L. de Vasconcelos. Cadernos ENAP, 23. Brasília: ENAP, 2003.

Organizations, C. Internal Control – Integrated Framework. New York, NY: COSO. Traduzido pela PWC em 2013. Available at http://www.coso.org.

______. Enterprise Risk Management— Integrated Framework. New York, NY: COSO. Traduzido pela AUDIBRA em 2007. Available at http://www.coso.org.

PARTNERS, S. Projeto de Desenvolvimento do Guia de Orientação para Gerenciamento de Riscos. SEGEP/MP. Brasília: 01 mar. 2013.

The Institute of Internal Auditors. Declaração de Posicionamento do IIA: As três linhas de defesa no gerenciamento eficaz de riscos e controles. Janeiro 2013.

internos no setor público curso: gestão de riscos e...

Documents