DISCIPLINA: CONTROLE INTERNO GOVERNAMENTAL

TEXTO DE APOIO DO PROFESSOR

AULA 03

CONTROLE INTERNO SEGUNDO O COSO / COSO – AMBIENTE INTERNO.

A Aula 2 será dividida em dois tópicos: I) controle interno segundo o COSO; e II) COSO –
Ambiente Interno.

I) CONTROLE INTERNO SEGUNDO O COSO

Para Peters (2007) o processo regulatório referente a controles internos tem um marco
importante nos Estados Unidos por ocasião da edição da Lei de Práticas de Anticorrupção no
Exterior (Foreign Corrup Practices Act – FCPA), em 1977. Embora a lei restringe-se as
empresas privadas, a FCPA torna-se importante para a administração pública, pois contém várias
cláusulas referentes ao controle interno que levaram contadores, auditores, administradores e
empresas a iniciarem estudos para estabelecer padrões de processos de controles internos
razoáveis.
Em 1987, dez anos após a promulgação da Lei de Praticas Anticorrupção no Exterior, foi
criada, nos Estados Unidos, a Comissão Nacional sobre Fraudes em Relatórios Financeiros
(National Commission on Fraudulent Financial Reporting), uma iniciativa independente para
estudar as causas da ocorrência de fraudes em relatórios financeiros/contábeis. A comissão era
composta por representantes das principais associações de classe de profissionais ligados à área
financeira. Seu primeiro objeto de estudo foram os controles internos.
Posteriormente a Comissão transformou-se em Comitê das Organizações Patrocinadoras
(Committee of Sponsoring Organizations of the Treadway Commission - COSO). O COSO é uma
entidade sem fins lucrativos, dedicada à melhoria dos relatórios financeiros através da ética,
efetividade dos controles internos e governança corporativa. É patrocinado por cinco das
principais associações de classe de profissionais:
• AICPA - American Institute of Certified Public Accountants (Instituto Americano de
Contadores Públicos Certificados);
 • AAA – American Accounting Association (Associação Americana de Contadores);
• FEI - Financial Executives Internacional (Executivos Financeiros Internacional);
• IIA - Institute of Internal Auditors (Instituto dos Auditores Internos);
• IMA- Institute of Management Accountants (Instituto dos Contadores Gerenciais).

Apesar de ser patrocinada por cinco associações de classe relacionadas direta ou

indiretamente ao informe financeiro empresarial, o COSO atua de maneira independente de seus
patrocinadores e inclui, em seu quadro, representantes das companhias privadas, contadores,
entidades de investimentos e a New York Securities Exchange (NYSE).
De acordo com Peters (2007), o COSO divulgou, em 1992, um relatório intitulado de
Controle Interno – Estrutura Integrada (Internal Controle – Integrated Framework), atualmente
conhecido como COSO I. A principal finalidade do estudo era estabelecer uma única definição de
controle interno que atendesse às necessidades de diferentes interessados e definir critérios para
avaliação dos sistemas de controle interno. Para o autor, a partir daí o controle interno passou a
ser visto como um sistema e, portanto, com enfoque processual de melhoria.
O Internal Controle – Integrated Framework define controles internos como:
[...] um processo, efetuado pela gerência, pelos diretores, administradores e
outras pessoas da entidade, implementado para fornecer razoável segurança no
alcance dos objetivos, nas seguintes categorias: eficácia e eficiência das
operações; fidedignidade dos relatórios financeiros; e cumprimento das leis e
regulamentos aplicáveis.

Nota-se que o COSO I dá a responsabilidade pelo processo de controle interno a todos os

integrantes da organização, deste o Diretor e à Administração até aos funcionários da entidade. O
COSO I estabelece que, o controle interno, é o processo que visa dar garantia razoável, quanto á
realização de objetivos das seguintes categorias:

a) eficácia e eficiência de operações (objetivos de desempenho ou estratégia): esta

categoria está relacionada com os objetivos básicos da entidade, inclusive com os
objetivos e metas de desempenho e rentabilidade, bem como da segurança e qualidade dos
ativos;
 b) confiabilidade dos relatórios financeiros (objetivos de informação): todas as
transações devem ser registradas, todos os registros devem refletir transações reais,
consignadas pelos valores e enquadramentos corretos; e

c) cumprimento das leis e regulamentos pertinentes (objetivos de conformidade):

todos os atos devem estar em conformidade com leis e normativos aplicáveis à entidade e
sua área de atuação.

Além da definição das três categorias de objetivo em que o controle interno deve fornecer
segurança razoável no seu alcance, a estrutura do COSO I identifica que um sistema de controle
interno compõe-se de cinco componentes inter-relacionados e necessários para um controle
interno eficaz, que são:

a) ambiente de controle – refere-se à disciplina e à estrutura que influenciam a qualidade

do controle interno em seu conjunto, incluindo a integridade e valores éticos, comprometimentos
com a competência, conselho de administração e comitê de auditoria, filosofia e estilo
operacional da administração, estrutura organizacional, designação de autoridade e
responsabilidade e políticas e práticas de recursos humanos.
b) avaliação e gerenciamento de riscos – após estabelecidos os objetivos de forma clara
e o ambiente de controle efetivo, uma avaliação dos riscos fornece um mapa do risco, que
possibilita uma resposta apropriada que pode mitigar o risco.
c) atividades de controle – as definição das atividades de controle com foco em políticas
e procedimentos são fundamentais para que a avaliação e o gerenciamento de risco aconteçam.
d) informações e comunicações - são os pontos vitais para que uma entidade conduza e
controle suas operações. Sem informações fidedignas e disponibilizadas em tempo hábil, será
difícil identificar proativamente e agir em relação à área de risco.
e) monitoramento – necessário para assegurar que o controle interno está em harmonia
com o objetivo, com o ambiente, com os recursos e com os riscos. Focado em monitoração
corrente, avaliações separadas e informes de deficiências, o monitoramento permite que o
controle esteja sempre alinhado com a dinâmica da empresa, necessitando adaptar-se
continuamente às mudanças e aos riscos do ambiente interno e externo.
 Os objetivos e os componentes de controle estão diretamente relacionados, representados
por uma matriz tridimensional, em forma de cubo. Assim, as três dimensões conjugadas (os
objetivos, as unidades administrativas e os componentes dos controles internos) formam a
clássica figura de um cubo que retrata a modelo COSO I.

A metodologia Controle Interno – Estrutura Integrada (Internal Control - Integrated

Framework ou COSO Report) tem como princípio analisar e melhorar a efetividade dos
controles internos, fornecendo subsídios para que a administração e demais interessados
possam utilizar e avaliar um sistema de controle. Foi necessário estabelecer uma definição
única de controle interno para que as partes envolvidas tivessem um parâmetro comum, com
a finalidade de avaliação e melhoramento constante de seus sistemas.
Para Peters (2007) o COSO I tornou-se um paradigma de mercado, pois os auditores
independentes o utilizam como padrão para revisão do controle interno em seus trabalhos de
emissão de parecer sobre demonstrações financeiras empresariais. Assim os conceitos foram
incorporados por diversas organizações internacionais, dentre elas a American Institute of
Certified Public Accountantes (AICPA), o Comitê de Baliséia e o International Federation of
Accountants (IFAC), como visto nos conceitos trabalhados na Aula 1.
No primeiro documento divulgado pelo COSO, foi enfatizada a relevância dos controles
internos na redução de demonstrações contábeis fraudulentas. Após a ampla divulgação da
metodologia Controle Interno – Estrutura Integrada (Internal Controle – Integrated Framework
ou COSO Report), o COSO reconheceu a necessidade de desenvolver diretrizes adicionais sobre
controles internos que pudessem aperfeiçoar o trabalho inicial, focando o aspecto gerencial e, não
somente, os controles do processo.
Assim, em 2001 o COSO divulgou o documento Gerenciamento de Risco Empresarial
- Estrutura Integrada (Enterprise Risk Management - Integrated Framework), chamado de
COSO II.
O novo modelo difundido, chamado de COSO II, leva em consideração o
gerenciamento de risco nas organizações, sem abandonar os elementos do COSO I ou
COSO REPORT. Na Tabela 1 está apresentado um comparativo entre os dois Modelos COSO I e
COSO II, indicando o que mudou e o que foi acrescido.

Tabela 1 – Comparativo entre os Modelos COSO

COSO I (1992) – Controle Interno COSO II (2004) – Gerenciamento de Risco
Realização dos Objetivos
Estratégicos
Operações Operações
Relatórios Financeiros Comunicação
Cumprimento das Regras Conformidade
Componentes do Gerenciamento de Riscos Corporativos
Ambiente de Controle Ambiente Interno
Fixação de Objetivos
Identificação de Eventos
Avaliação de Riscos Avaliação de Riscos
Resposta a Risco
Atividade de Controle Atividade de Controle
Informação e Comunicação Informação e Comunicação
Monitoramento Monitoramento

Os COSO II adicionou três componentes de controles internos, em relação aos previstos

no COSO I, que são:
 1) estabelecimento de objetivos – que diz respeito aos objetivos alinhados com a
missão da empresa e consistentes com a tolerância ao risco (apetite ao risco)
predefinida;
2) identificação de eventos – que se refere ao diagnóstico dos eventos internos e
externos que afetam o cumprimento dos objetivos de maneira positiva (oportunidades)
e negativa (risco);
3) resposta ao risco – que são as regras de gestão do risco: evitar, aceitar, reduzir ou
partilhar, desenvolvendo ações de alinhamento à tolerância ao risco.

O COSO II, além de alterar as dimensões dos objetivos organizacionais constantes no

COSO I, incluiu o objetivo estratégico na gestão de risco. Desta forma, as dimensões dos
objetivos organizacionais passam de três para quatro. Para a consecução dos objetivos
organizacionais o COSO II estabelece a necessidade de se definir com clareza as seguintes
categorias de objetivos:
• Estratégicos – referem-se às metas no nível mais elevado, alinhadas para fornecer apoio à
missão organizacional;
• Operacionais – tem como meta a utilização eficiente e eficaz dos recursos;
• Comunicação – relacionado à confiabilidade dos relatórios;
• Conformidade – fundamenta-se no cumprimento de leis e regulamentos pertinentes.

Considerações do COSO II a respeito da Realização de Objetivos: Com base na

missão ou visão estabelecida por uma organização, a administração estabelece os planos
principais, seleciona as estratégias e determina o alinhamento dos objetivos nos níveis da
organização. A estrutura de gerenciamento de riscos corporativos é orientada a fim de alcançar os
objetivos de uma organização e são classificados em quatro categorias: Estratégicos –
relacionados às metas gerais, alinhadas de forma a dar suporte à missão da organização;
Operações – vinculados à utilização eficaz e eficiente dos recursos; Comunicação – ligado à
confiabilidade dos relatórios; e Conformidade – pertinente ao cumprimento de leis e
regulamentos aplicáveis;
Os objetivos relacionados com a confiabilidade de relatórios e o cumprimento de leis e
regulamentos estão sobre controle da organização, pode-se esperar que o gerenciamento de
riscos corporativos forneça uma garantia razoável em relação ao atendimento desses objetivos.
Entretanto, a realização de objetivos estratégicos e operacionais está sujeita à ação de eventos
externos que nem sempre estão sob o controle da organização, cabe ao gerenciamento de riscos
propiciar a garantia razoável que a diretoria e o conselho de administração sejam informados a
respeito do quanto a organização está avançando na direção do atendimento dos objetivos.
O cubo (matriz tridimensional) – obtido pelos objetivos organizacionais conjugados com
os componentes de controles internos- tem nova estrutura no COSO II.

Fonte: COSO, 2004.

Figura 1 – Matriz de Controles Internos.

Os quatros objetivos organizacionais estão representados nas colunas verticais; os oitos

componentes, nas linhas horizontais e a organização e respectivas unidades, estão representados
na terceira dimensão da matriz.
Para o COSO (2004) existe um relacionamento direto entre os objetivos, que uma
organização empenha-se em alcançar, e os componentes do gerenciamento de riscos corporativos,
que representam aquilo que é necessário para o seu alcance. A linha de cada componente
“atravessa” e se aplicam as todas as quatro categorias de objetivos. Por exemplo, os dados
financeiros e não financeiros gerados a partir de fontes internas e externas, pertencentes ao
componente de informação e comunicação, são necessários para estabelecer a estratégia,
administrar operações com eficácia, comunicar e certificar-se de que a organização esteja
cumprindo as leis aplicáveis. Da mesma forma, os oitos componentes se inter-relacionam. O
gerenciamento de riscos é relevante a toda a organização ou a qualquer uma de suas unidades.
Esse relacionamento é ilustrado pela terceira dimensão, que representa subsidiárias, divisões e
outras unidades de negócio.
O Modelo COSO I e II foi incorporado aos controles internos no setor público por meio
do Comitê de Padrões de Controle Internos da Organização Internacional de Entidades
Superiores de Fiscalização (Internacional Organization of Supreme Audit Institutions -
INTOSAI). A INTOSAI publicou em 2004 o estudo denominado Diretrizes para Normas de
Controle Interno para o Setor Público – Estrutura Integrada (Guidelines for Internal Control
Standards for the Públic Sector – Integrated Framework) agregando os conceitos e diretrizes do
controle interno introduzidas pelo COSO às especificidades do setor público.
A INTOSAI possui como objetivo fornecer um arcabouço conceitual às instituições
associadas, buscando desenvolver e transferir conhecimento, aperfeiçoar a auditoria
governamental em todo o mundo, além de elevar o nível profissional e a influência de seus
membros em seus respectivos países (INTOSAI, 2007).
O guia emitido pela INTOSAI não visa substituir nenhuma Norma de Auditoria emitida
pela INTOSAI e também não se trata de um documento impositivo ou destinado exclusivamente
às Entidades Superiores de Fiscalização. Ele apenas fornece diretrizes para a implementação,
execução e avaliação de sistemas de controles internos no setor público, aplicados a qualquer
organização governamental (WASSALLY, 2008).
A visão tradicional de risco e seu gerenciamento são trabalhados profundamente na teoria
de finanças, com a associação do retorno do investimento. Porém, o conceito de risco tem
merecido revisões conceituais tendo em vista que as organizações estão sujeitas a outros tipos de
riscos , cujas origens não são estritamente financeiras e devem merecer uma gestão igualmente
importante. Dentre os novos conceitos de riscos, encontra-se o risco como perigo ou ameaça,
relacionados a eventos potencialmente negativos como perdas financeiras, fraudes, danos à
reputação, roubo ou furto, falha de sistema, entre outros. Nesse contexto, a gestão de risco
significa instalar técnicas administrativas para reduzir a probabilidade de eventos negativos sem
incorrer em custos excessivos nem paralisar a organização. É neste contexto que a gestão de risco
é trabalhada no controle interno governamental.
Padoveze e Bertolucci (2008, p.141) comentam que na visão corporativa do risco o IFAC
aponta que,
 riscos são eventos futuros incertos que podem influenciar o atendimento dos
objetivos estratégicos, operacionais e financeiros da organização. As dimensões
do risco incluem o impacto sobre a reputação de uma organização, incluindo a
“perda de legitimidade” devido a atividades consideradas inaceitáveis para a
comunidade.

Em relação aos riscos operacionais Jorion (2000) apud Padoveze e Bertolucci (2008,
p.209) aponta que os “os riscos operacionais referem-se às perdas potenciais resultantes de sistemas
inadequados, má administração, controles defeituosos ou falha humana, a qual inclui o risco de execução,
correspondente a situações em que as operações não são executadas”.
A administração de riscos procura identificar os eventos que possam ter conseqüências
operacionais, financeiras e estratégicas adversas e, então, imaginar salvaguardas para prevenir
e/ou minimizar o perigo causado por tais eventos.
De acordo com Fama, Cardoso e Mendonça (2002) apud Padoveze e Bertolucci (2008,
p.229) “a preocupação passa a ser de se olhar sistematicamente para problemas eventuais e
salvaguardar-se, minimizando efeitos danosos através de ferramentas adequadas”. Para os
autores, os estágios para a administração do risco, são:
• Identificar o risco enfrentado pela empresa;
• Medir o impacto potencial do risco identificado;
• Decidir se e como cada risco relevante pode ser minimizado.

A gestão de risco, então, é o processo pelos quais as exposições ao risco são identificadas,
mensuradas e controladas. Para Francis e Armstrong (2003) apud Padoveze e Bertolucci (2008, p.
230) “gerenciar risco diz respeito à aplicação de políticas e procedimentos às tarefas de
identificar, analisar e avaliar riscos, determinando o grau de exposição ao risco que uma
organização pode acomodar, e tomando, atitudes adequadas para evitar litigação, perdas e
reputação ou dano”.
Ainda de acordo com Padoveze e Bertolucci (2008, p.232), citando Robillard (2001), o
gerenciamento do risco se estrutura conforme se segue:
• Identificação dos Riscos:

Identificação dos problemas, definição do contexto;
• Avaliação dos Riscos:

Avaliação das áreas de riscos fundamentais;

Medição de probabilidade e impacto;

Priorização dos riscos;
• Respostas aos Riscos:

Determinação dos resultados desejados;

Desenvolvimento de opções;

Seleção da estratégica;

Implementação da estratégia;
• Monitoramento e avaliação.

A metodologia do COSO II - Gerenciamento de Riscos constitui em uma metodologia

mais completa de gerenciamento de risco, associando as atividades aos objetivos e à estrutura
organizacional.
Para melhor compreensão da metodologia COSO II, a seguir, e nas próximas aulas, será
abordado sobre os componentes do COSO II e sua aplicação às entidades governamentais.

II) COSO – AMBIETE INTERNO;

O primeiro componente do modelo refere-se

ao ambiente interno, que compreende o tom
de uma organização e fornece a base pela
qual os riscos são identificados e abordados
pelo seu pessoal, inclusive a filosofia de
gerenciamento de riscos, o apetite a risco, a
integridade e os valores éticos, além do
ambiente em que estes estão (COSO, 2004).

Para o COSO (2004) o ambiente de interno engloba toda a bagagem cultural, os valores
éticos, competência do pessoal e a filosofia de gestão de riscos de uma entidade. O ambiente
interno determina os conceitos básicos sobre a forma como os riscos e os controles serão vistos e
abordados pelos empregados da organização.
 Para Vassally (2008), por ser formado por pessoas, o ambiente interno é influenciado
diretamente pelos aspectos individuais e coletivos, como integridade, valores éticos e a
competência de cada servidor. Compreende o conjunto de crenças e atitudes em todos os níveis,
que caracterizam a forma pela qual a referida organização considera o risco em tudo aquilo que
faz, do desenvolvimento e implementação de estratégias às suas atividade do dia-a-dia.
O ambiente interno é a base para todos os outros componentes do sistema de
gerenciamento de risco, que propicia disciplina e estrutura. Esse ambiente estabelece o tom ético
de uma organização, influenciando a consciência do pessoal sobre o controle, influencia o modo
pelo qual as estratégias e os objetivos são estabelecidos, os negócios são estruturados, e os riscos
são identificados, avaliados e geridos.
Os elementos compõem o ambiente de interno, segundo o COSO II, são:

1. Filosofia de Gestão de Riscos

A filosofia de gestão de riscos é composta pelo conjunto de convicções e atitudes

compartilhadas entre as pessoas e reflete em tudo o que a administração faz para gerir a
organização. Essa filosofia é apresentada em declarações a respeito das políticas, comunicações
verbas e escritas, assim como, durante o processo decisório.
Quando a filosofia de administração de riscos está adequadamente desenvolvida em uma
organização e, ainda, é entendida e aceita pelo pessoal, a organização estará em condições de
identificar e administrar os riscos com eficácia. Os valores de ética e integridade devem ser
estimulados principalmente por meio do comportamento da Alta administração e da gerência.
Mesmo que a filosofia do risco esteja desenvolvida dentro de uma organização e esteja
aceita pelo pessoal, poderá existir diferença cultural entre as unidades da organização que,
atuando de forma isolada, podem afetar negativamente a organização. Porém, ao trabalharem em
conjunto, as unidades poderão refletir adequadamente na filosofia de administração de riscos.

2. Apetite ao Risco

O apetite a risco refere-se ao nível de riscos que uma organização está disposta a aceitar.
Quanto mais risco uma organização assume, maior é seu apetite ao risco. O apetite a risco reflete
na filosofia de gestão de riscos corporativos que, por sua vez, influencia a cultura e o estilo de
operação.
O apetite ao risco pode ser considerado de forma qualitativa, classificados em elevado,
moderado ou baixo, ou quantitativa, que reflete e equilibra as metas de crescimento e retorno aos
riscos.

3. Integridade e Valores Éticos

A estratégia e os objetivos de uma organização e o modo pelo qual são implementados

baseiam-se em preferências, julgamentos de valor e estilos gerenciais. A integridade e o
compromisso da administração com valores éticos influenciam essa preferência e esses
julgamentos, os quais são traduzidos em normas de comportamento.
A integridade da administração é um pré-requisito para o comportamento ético em todos
os aspectos das atividades de uma organização. Assim, o comportamento ético e a integridade
administrativa são subprodutos da cultura corporativa, que compreende as normas éticas e
comportamentais, e a forma pela qual elas são comunicadas e reforçadas
Determinado fatores organizacionais podem influenciar a probabilidade de práticas
fraudulentas e questionáveis de mascarar as demonstrações financeiras. Esses mesmos fatores
também podem influenciar o comportamento ético. Determinados indivíduos poderão cometer
atos desonestos, ilegais e antiéticos simplesmente porque a organização lhes propicia forte
incentivo ou tentação para agir dessa forma.
As integridades e valores éticos são elementos essenciais ao ambiente interno das
organizações, que influenciam o traçado, a administração e o monitoramento dos outros
componentes do gerenciamento de riscos corporativos.
Entretanto, a eficácia do gerenciamento de riscos corporativos não deve estar acima da
integridade e dos valores éticos das pessoas que criam, administram e monitoram as atividades da
organização. Estabelecer valores éticos corporativos é uma tarefa difícil pois se faz necessário
levar em consideração os interesses de várias partes (gestores políticos, funcionários, sociedade,
fornecedores, etc). Equilibrar os diversos interesses pode revelar-se uma tarefa complexa e
frustrante. Por exemplo, ao oferecer subsídio à produção de soja transgênico para fomentar a
competitividade das empresas e trazer maiores retornos econômicos às empresas e,
conseqüentemente à economia, pode gerar preocupações ambientais e de saúde pública.

4. Compromisso com a Competência

O desempenho das atividades na organização deve ser feito por pessoas que possuam
conhecimento e habilidade para o serviço, de modo particular as funções de gerência e
supervisão.
A competência reflete o conhecimento e as habilidades necessárias aos funcionários na
execução de tarefas designadas. A administração decide quão bem essas tarefas necessitam ser
executadas, ponderando a estratégia e os objetivos da organização, bem como os planos para a
sua implementação e realização.
As habilidades e os conhecimentos necessários dependem do grau de inteligência,
treinamento e experiência individual. Como a competência tem relação direta com a execução
das atividades na Entidade, isto resulta na demanda constante de aperfeiçoamento, realizado por
meio de treinamentos, capacitações, etc.
Cabe a organização definir o nível de exatidão que é necessário nas tarefas
organizacionais, pois a habilidade e conhecimento têm um custo para a organização, seja de
contratação de mão-de-obra especializada, seja de treinamento. Em determinadas circunstâncias
não são necessários muitos conhecimentos para desenvolver tarefas mais simples e corriqueiras.

5. Estrutura Organizacional

A estrutura organizacional da entidade é que provê o alicerce sobre o qual suas atividades
para o alcance de seus objetivos são planejadas, executadas, controladas e monitoradas. A
estrutura organizacional deve ser definida de acordo com os objetivos e a natureza das atividades
da entidade.
A estrutura organizacional projeta e organiza os relacionamentos dos níveis hierárquicos
construindo o arcabouço para planejar, executar, controlar e monitorar as suas atividades, bem
como o fluxo das informações essenciais de uma organização. Uma estrutura organizacional
relevante inclui a definição de áreas fundamentais de autoridade e responsabilidade, bem como a
definição de linhas apropriadas de comunicação.
As corporações desenvolvem estruturas organizacionais compatíveis com as suas
necessidades. Algumas são centralizadas, outras descentralizadas; algumas apresentam reporte
direto, enquanto que outras são matriciais. A adequação da estrutura organizacional depende em
parte do tamanho da entidade e de suas atividades. Entretanto, qualquer que seja a estrutura, a
entidades deve estar organizada de modo a possibilitar um gerenciamento de riscos corporativos
eficaz e desempenhar as suas atividades de modo a atingir os seus objetivos.
A estrutura organizacional precisa prever, ainda, a segregação de funções, impedindo que
a mesma pessoa possa ocupar mais de uma função dentro do sistema, quando essas forem
incompatíveis, tais como as funções de acesso aos ativos e aos registros contábeis, liquidação e
pagamento da despesa.

6. Atribuição de Alçadas e Responsabilidade

Devem estar previamente estabelecidos o grau de autoridade e responsabilidade pelas

atividades operacionais, bem como a linha de informação e relatório e protocolos de autorização.
As atribuições de alçadas e responsabilidade delimitam até que ponto pessoas e equipes
estão autorizados, e são incentivadas, a tomar iniciativa para implementar novas ações e a
solucionar problemas. Esse procedimento inclui as relações de comunicação e protocolos de
autorização, bem como as políticas que descrevem práticas apropriadas de negócios,
conhecimento e experiência dos funcionários essenciais e os recursos fornecidos para cumprir as
suas obrigações.
O grande desafio é delegar apenas até o grau necessário ao alcance dos objetivos. Isso
significa assegurar que o processo decisório esteja embasado em práticas sadias de identificação e
avaliação de riscos, inclusive o dimensionamento de riscos e a comparação entre o potencial de
prejuízo com os ganhos na determinação de quais riscos aceitar e de como serão administrados.
Outro desafio é assegurar que todo o pessoal entenda os objetivos da organização. É
essencial que as pessoas entendam de que forma suas ações se inter-relacionam e contribuem
para a realização dos objetivos.
 7. Padrões de Recursos Humanos

As praticas na área de recursos humanos devem constantemente passar mensagens ao

pessoal sobre as expectativas da entidade no tocante a integridade, valores éticos e competência.
Envolve também educação continuada, rotação de pessoal e atuação disciplinar de modo
evidenciar que desvios de comportamento esperado não serão tolerados.
Assim, os processos relacionados a recursos humanos, como admissão, orientação,
treinamento, avaliação, aconselhamento, promoção, compensação e adoção de medidas
corretivas, são comunicados aos empregados, em relação aos níveis esperados de integridade,
comportamento ético e competência.
Os processos relacionados a recursos humanos enviam mensagem aos funcionários. Por
exemplo, admissão de indivíduos mais qualificados, com ênfase no histórico educacional,
experiência de trabalho anterior, realizações anteriores, bem como comprovação da integridade e
do comportamento ético, demonstrarão o compromisso de uma entidade com o profissional
competente e digno de confiança. Da mesma forma, políticas de treinamento podem reforçar os
níveis de desempenho esperados e o comportamento ao comunicarem as funções e as
responsabilidades em perspectiva, bem como ao incluir práticas como cursos de treinamento e
seminários. Transferência e promoções fundamentadas em avaliações de desempenho
demonstram empenho da organização com o progresso dos empregados qualificados.

De acordo com Wassaly (2008), segundo as diretrizes da INTOSAI, cada pessoa que
compõe a organização deve manter e demonstrar a integridade pessoal e profissional e os valores
éticos, além de cumprir o código de conduta aplicável. Como ações efetivas estão a apresentação
da declaração de bens, declarar que possui outra atividade econômica ou cargo elegível e relatar
conflitos de interesse. As entidades públicas têm o dever de manter a integridade e os valores
éticos e torná-los visível à sociedade.
Para se criar um ambiente propício com a disseminação de integridade e valores éticos é
recomendado:
1º A criação de comissão de ética formalmente constituída;
 2º A implantação de código de ética com: mensagem da autoridade maior se
comprometendo com o código e explanando sobre as metas e filosofia, os conflitos de interesse,
os presentes e gratificações, transparência, e outros itens relacionadas à conduta.
A integridade e o compromisso com valores éticos têm como ponto de partida o
indivíduo, pois, cada indivíduo é único, com experiências únicas, fazendo com que cada um
tenha uma percepção diferente dos fatos. No entanto, os principais atores do cenário de
integridade e valores éticos são as chefias.
A competência corresponde ao nível de conhecimento e habilidade necessárias para
assegurar uma ação ordenada, ética, econômica, eficaz e eficiente, bem como um conhecimento a
respeito das responsabilidades individuais relacionadas ao controle interno. A capacitação, por
exemplo, pode aumentar a consciência dos servidores públicos sobre os objetivos dos controles
internos, como também, auxiliar a desenvolver as capacidades do servidor em dirimir dilemas
éticos.
A competência está diretamente relacionada às políticas e praticas de recursos humanos
que incluem contratação, orientação, capacitação, assim como educação formal, assessoramento,
consultoria, promoção, compensação e realização de ações corretivas.
De acordo com o COSO e a INTOSAI, o comprometimento da alta administração é
crucial para manter uma atitude positiva em relação ao controle interno de uma organização. Se
os gestores demonstram que os controles internos são importantes, os demais membros da
entidade sentirão essa atitude e responderão, observando os controles internos. Mas, se os
membros da entidade governamental sentem que o controle interno não é uma preocupação
importante para a alta administração, é quase certo que os objetivos dos controles não sejam
alcançados.
Em relação à estrutura organizacional, o COSO e a INTOSAI orientam que é desejável
uma unidade de controle interno independente da alta administração e que se reporta à autoridade
de maior nível hierárquico na organização. Essa unidade de controle, geralmente é representada
pela unidade de auditora interna, responsável pela avaliação dos controles internos e seu
monitoramento.
______________________________________________________________________________
RESUMO de acordo com COSO (2004): o ambiente interno abrange a cultura de uma
organização, a influência sobre a consciência de risco de seu pessoal, sendo a base para todos os
outros componentes do gerenciamento de riscos corporativos, possibilita disciplina e a estrutura.
Os fatores do ambiente interno compreendem a filosofia administrativa de uma organização no
que diz respeito aos riscos; o seu apetite a risco; a supervisão do conselho de administração; a
integridade, os valores éticos e a competência pessoal da organização; e a forma pela qual a
administração atribui alçada e responsabilidade, bem como organiza e desenvolve o seu pessoal.
O impacto de um ambiente interno ineficaz pode ir muito longe e talvez provocar
prejuízos financeiros, desgastes da imagem pública ou, até mesmo, o fracasso. Mas, para que uma
organização possa desfrutar de um gerenciamento de riscos corporativo eficaz, a atitude e o
interesse da alta administração devem ser claros e definidos, bem como permear toda a
organização.
______________________________________________________________________________

REFERENCIAL BIBLIOGRÁFICO

AMERICAN INSTITUTE OF CERTIFIED PUBLIC ACCOUNTANTS – AICPA. Sas 78 –

Consideration of Internal Control in a Financial Statement Audit:An Amendment to SAS nº
55, New York, 1995.

COMMITTE OF SPONSORING ORGANIZATIONS OF THE TREDWAY COMIISSION –

COSO. Internal Control – Integrated Framework. 2ª ed. New York, 1994.

CRUZ, Flávio da; CLOCK, José Osvaldo. Controle Interno nos Municípios: orientação para a
implantação e relacionamento com os Tribunais de Contas, 3ª ed. São Paulo: Atlas, 2006.

INTERNATIONAL ORGANIZATION OF SUPREME AUDIT INSTITUTIONS – INTOSAI.

Guidelines for internal control standards for the public sector. Bruxelas, 2004.

PADOVEZE, C.L.; BERTOLUCCI, R.G. Gerenciamento do Risco Corporativo em

Controladoria: Enterprise Risk Management (ERM). São Paulo: Cengage Learning, 2008.

PETERS, M. Implantando e gerenciando a Lei Sarbanes Oxley: governança corporative

agregando valor aos negócios. São Paulo: Atlas, 2007.

WASSALLY, L. P. M. P. Controles interno no setor público: um estudo de caso na Secretaria

de Controle Interno com Base em Diretrizes Emitidas pelo COSO e pela INTOSAI. Dissertação
de Mestrado. 2008. UnB/UFPB/UFRN.