Controles Internos

Antonio Alves de Carvalho Neto

Auditor Federal de Controle Externo TCU

Porto Alegre/RS, 28 Maio 2013

Objetivos
 Importância do controle interno no contexto
da governança e accountability pública
 Controle interno e gerenciamento de riscos
 Papéis e responsabilidades
 Oito passos para a implementação de um
sistema de controle interno eficaz
Para
começar...
Um pouco sobre
Accountability Pública
Conflito de agência e accountability
 Aparece quando o bem-estar de uma parte, denominada
principal, depende das decisões tomadas por outra, denominada
agente. Este, responsável pela gestão do patrimônio do principal.
 Existe desde que as organizações passaram a ser administradas
por agentes distintos dos proprietários.
 O agente recebe uma delegação de recursos e poderes, e tem,
por dever dessa delegação, que gerenciar tais recursos e exercer
tais poderes mediante estratégias e ações para atingir objetivos,
com uma obrigação constante de prestar de contas para quem
lhe fez a delegação (accountability).
Conflito de agência e auditoria
Influenciou decisivamente o surgimento da função de auditoria e
seu desenvolvimento como instrumento de monitoramento das
relações de accountability, sobretudo em função de:
 distanciamento entre o proprietário e o gestor do patrimônio
 crescimento econômico, do patrimônio administrado, aumento da
complexidade e da regulação dos negócios

Proprietário

Conflito
Auditoria

Gestor
Papel da Auditoria na Accountability

Auditoria

Monitoramento

Principal Relação de Agente

(Delegante) Accountability (Delegado)

Auditoria é um instrumento de governança para reduzir conflitos de

agência. É um mecanismo do principal, não do agente.
Posição da Auditoria na Accountability
 “Ação independente de um terceiro sobre uma
relação de accountability, objetivando expressar
uma opinião ou emitir comentários e sugestões
sobre como essa relação está sendo cumprida.”
Escritório do Auditor-Geral do Canadá (OAG)
Posição da Auditoria na Accountability
 “Ação independente de um terceiro sobre uma
relação de accountability, objetivando expressar
uma opinião ou emitir comentários e sugestões
sobre como essa relação está sendo cumprida.”
Escritório do Auditor-Geral do Canadá (OAG)

O principal, ao fazer uma delegação de recursos,

busca na confirmação de um terceiro, independente,
a asseguração de que tais recursos estão sendo
geridos mediante estratégias e ações adequadas para
atingir os objetivos por ele estabelecidos.
Princípio de Accountability na CF/88
Art. 70. A fiscalização
contábil, financeira,
orçamentária, operacional
e patrimonial da União [...]
será exercida pelo
Congresso Nacional,
mediante controle externo,
e pelo sistema de controle
interno de cada Poder.
Entre nós, denominado Princípio da Prestação de Contas
Parágrafo único. Prestará
contas qualquer pessoa
física ou jurídica, pública ou
privada, que utilize,
arrecade, guarde, gerencie,
ou administre dinheiros,
bens e valores públicos ou
pelos quais a União
responda, ou que em nome
desta, assuma obrigações
de natureza pecuniária.
Accountability segundo o TCU
Normas de Auditoria do Tribunal de Contas da União - NAT

• Obrigação que têm as pessoas ou entidades às quais se

tenham confiado recursos, incluídas os órgãos e as
entidades públicas, de assumir as responsabilidades de
ordem fiscal, gerencial e programática que lhes foram
conferidas e de informar a quem lhes delegou essas
responsabilidades.
• E, ainda, obrigação imposta a uma pessoa ou entidade
auditada de demonstrar que administrou ou controlou os
recursos que lhe foram confiados em conformidade com
os termos segundos os quais lhe foram entregues.
Relação de Accountability no Setor Privado
Delegação de recursos e poderes
Prestação de contas
Monitoramento das relações de Accountability

Conselho de
Acionistas Administração Diretoria Executiva
• Principal • Representante do • Agentes
Principal

Auditoria
Relação de Accountability no Setor Público
Delegação de recursos
Prestação de contas
Monitoramento das relações de Accountability

Poder Legislativo Gestores

Sociedade
• Representante do Públicos
• Principal
Principal • Agentes

Controle
Externo
 Cadeia de Accountability na entidade
Delegação de recursos
Prestação de contas
Monitoramento das relações de Accountability

Conselho ou
Dirigente máximo Gestor N1 Gestor N2
• Agente/Principal • Agente • Agente

Auditoria
Interna, OCI ou
UCI

É parte do sistema de controle interno da

organização, mas não é sua a responsabilidade
pelos controle internos, é dos gestores.
Quem é responsável por controles internos?
 É necessário fazer a distinção entre controle interno administrativo
com o controle interno avaliativo previsto na CF/88, Art. 74, I, II e IV.
 Não se deve confundir o controle interno administrativo com o órgão
ou unidade de controle interno ou de auditoria interna, cuja função é
avaliar a qualidade dos outros controles implantados pelos gestores.
 O controle interno [administrativo] é responsabilidade dos
próprios gestores, e tem por finalidade mitigar riscos e assegurar
que os objetivos da organização (do principal) sejam alcançados.
 A responsabilidade das unidades/órgãos de controle ou auditoria
interna é avaliar a consistência, qualidade e suficiência dos controles
internos implantados pelos gestores (IN-TCU 63/2010, Art. 1º, XI e DN-TCU 124/2012) .
Órgãos ou Unidades de Controle Interno
(OCI ou UCI)

IN-TCU 63/2010:

 Art. 1º, XI: Unidades administrativas, integrantes dos

sistemas de controle interno da administração pública
federal, incumbidas, entre outras funções, da verificação
da consistência e qualidade dos controles internos,
bem como do apoio às atividades de controle externo
exercidas pelo Tribunal.
Papel da Auditoria Interna ou da UCI/OCI
Definição e
mandato da
Auditoria Interna “Atividade independente e objetiva de avaliação
(IIA) (assurance) e de consultoria, desenhada para
adicionar valor e melhorar as operações de uma
organização.
Ela auxilia uma organização a realizar seus
objetivos a partir da aplicação de uma abordagem
sistemática e disciplinada para avaliar e melhorar
a eficácia dos processos de gerenciamento de
riscos, controle e governança.”
Evolução do paradigma da Auditoria no
monitoramento das relações de Accountability

Enfoque nos riscos

do negócio e nos
Identificação controles internos
de implantados para
irregularidades assegurar o alcance
Enfoque de e fraudes de objetivos.
conferência
Controles Internos
e Gestão de Riscos
Objetivos, Riscos e Controles

Risco
• Qualquer evento em
Objetivo
potencial que possa • O que se
impedir ou desvirtuar estabelece
o cumprimento de para ser
objetivos. alcançado.

Controles internos
• Estrutura, processos e outros
mecanismos para assegurar o
cumprimento de objetivos.
 Por que a preocupação com riscos?
 Todas as organizações estão expostas a uma ampla
gama de riscos que podem afetar suas atividades e o
alcance de seus objetivos, tornando incerto se e quando
elas atingirão esses objetivos.
 A incerteza apresenta tanto riscos como oportunidades
com potencial de corroer ou aumentar valor, que no
setor público significa prestar o serviço público mais
ou menos bem aos cidadãos.
 Um bom sistema de controle interno é o principal
instrumento para administrar riscos de maneira eficaz.
Mudança de paradigma na atuação do TCU: consequências => causas
Por que o TCU está focando Gestão de Riscos
e Controles Internos?
Contribuir para a melhoria da
gestão e do desempenho da
• A atuação a posteriori, em Administração Pública.
atividades de típicas de
correição, pouco agrega • Promover a adoção de
valor para a sociedade. controles mais efetivos
• A recuperação dos para melhorar a gestão,
prejuízos é mínima. coibir fraudes e desvios
Deslocar o foco tradicional de
de recursos e assegurar a
controle dos aspectos formais conformidade.
e legais para uma atuação
preventiva e proativa da
gestão.
Na prática, onde estão os riscos?
 Execução de políticas públicas e recursos envolvidos.
 Questões relativas a ética, fraude, segurança patrimonial e
probidade.
 Elaboração e gestão de projetos, contratos, convênios,
licitações.
 Saúde e segurança, operações e sistemas.
 Interrupção ou continuidade de negócios e serviços públicos.
 ...
E onde devem estar os controles?
 Em todos os lugares onde um risco estiver presente.
Como implantar controles internos?
 Para implantar controles, primeiro é necessário que objetivos sejam
definidos (em termos de prazo, custo etc.) e ...
 ... como todos os objetivos envolvem, de certa maneira, uma parcela
considerável de riscos, existe a necessidade de mitigá-los:
• identificando-os, avaliando-os e decidindo se devem ser modificados por algum
tratamento (resposta a riscos).

Definir Identificar Avaliar Tratar

objetivos riscos riscos riscos

Atividades de
controle e outras
respostas
 ISO 31000

COSO II

COSO I
COSO I

Qual modelo utilizar?

Comece de maneira simples
 Geralmente as organizações gerenciam riscos, por meio de
controles internos, não a partir de um único modelo, mas sim
combinando diversas abordagens (COSO, COBIT, ISO 31000).
 Contudo é possível fazer muito começando com uma abordagem
simples, como demonstraremos mais adiante, em oito passos.
 Gerenciar riscos por meio de um bom sistema de controles
internos é um processo de aprendizagem organizacional, que
começa com o desenvolvimento de uma consciência sobre a
importância e avança com a implementação de estruturas e
práticas progressivamente mais consistentes e sistematizadas.
Quais serão os seus desafios?

Resistência de unidades organizacionais e pessoas

Falta de consciência sobre a necessidade de gerenciar
riscos e controles
Falta de documentação de atividades/processos (políticas,
manuais, normas, fluxos)
Falta de conhecimento do negócio e do seu ambiente
Quais são os fatores críticos para o sucesso?
Compreensão, comprometimento e apoio da alta gestão do
órgão/entidade
Conscientização quanto aos papéis e responsabilidades de
gestores e auditores em relação aos controles internos e à
gestão de riscos
Disseminação da cultura na organização
Disponibilização de recursos e infraestrutura:
Capacitação das pessoas
Equipe para coordenar o processo
1º - Crie o Ambiente
 Lidere com uma filosofia de gestão e um estilo gerencial
 Enfatize uma gestão proativa, focada nos riscos e nos seus controles
 Determine que decisões, iniciativas e novos projetos devem envolver
considerações explícitas sobre riscos e medidas para tratá-los
 Promova valores éticos e integridade
 Identifique os possíveis conflitos de interesse nos relacionamentos
 Estabeleça regras de conduta para mitigá-los e controles para efetivá-las
(ouvidoria, canais de denúncias, sistema de consequências...)
 Estrutura organizacional
 Segregue funções e atividades incompatíveis
 Conceda autoridade equivalente às responsabilidades, nem mais nem menos
 Pessoas
 Invista em treinamento, capacite, avalie desempenho e dê feedback.
 Adote medidas tempestivas para desvios do “tom do topo” estabelecido
2º Fixe objetivos
MISSÃO

VISÃO

OBJETIVOS
ORGANIZACIONAIS

Análise das oportunidades e Análise de forças e fraquezas

ameaças do ambiente externo do ambiente interno

ESTRATÉGIA
ORGANIZACIONAL
Fixe objetivos considerando riscos
 Planeje e incentive o planejamento em todos os níveis
 Envolva as pessoas e as partes interessadas no planejamento estratégico
 Estabeleça objetivos
 Faça a partição dos objetivos em metas
 Conceba indicadores para monitorar o cumprimento
 Exija que os gestores setoriais desdobrem o plano para suas áreas
 Comunique e divulgue os objetivos
 Estimule e facilite o controle social dos resultados
 Identifique, avalie gerencie os riscos estratégicos
 Uma abordagem apropriada de gerenciamento de riscos começa na própria
definição da estratégia
 Atribua responsabilidades aos altos gestores pela gestão dos riscos estratégicos
3º - Identifique os riscos
 Envolve a identificação de fontes de risco, eventos, suas causas e suas
consequências potenciais.
 Se baseia muito mais na nossa percepção da existência dos riscos do
que na sua existência em si.

Causa/Fonte Evento Consequência

 Um princípio que não pode ser esquecido na identificação de riscos é

que eles se relacionam aos objetivos da organização, do processo,
do projeto etc.
Identifique causas e fontes do risco

CAUSA
Condições que
dão origem à Fontes de Risco
Causa possibilidade de
um evento
acontecer.
Vulnerabilidades

Às causas também são chamadas fatores de riscos e podem ter origem

no ambiente externo ou interno à organização.
Causa = fonte + vulnerabilidade

 Fonte de risco: elemento que, individualmente ou combinado,

tem o potencial intrínseco para dar origem ao risco (ISO 2.16):
 Pessoas
 Processos
 Sistemas
 Infraestrutura física/organizacional
 Tecnologia [de produto ou de produção] e
 eventos externos [não gerenciáveis].
 Vulnerabilidade: inexistências, inadequações ou deficiências
em uma fonte de risco.
Exemplos de Causas

Da Fonte
 Pessoas
Vulnerabilidades
 Em número insuficiente
 Sem capacitação
 Perfil inadequado
 Desmotivadas
 ...
Exemplos de Causas

Da Fonte
 Processos
Vulnerabilidades
 Mal concebidos (exemplo: fluxo, desenho)
 Sem manuais ou instruções formalizadas
(procedimentos)
 Segregação de funções
 ...
Exemplos de Causas

Da Fonte
 Sistemas
Vulnerabilidades
 Obsoletos
 Sem integração
 Sem manuais de operação
 Inexistência de controles de acesso lógico / backups
 ...
Exemplos de Causas

Da Fonte
 Estrutura organizacional
Vulnerabilidades
 Falta de clareza quanto à funções e responsabilidades
 Deficiências nos fluxos de informação e comunicação
 Centralização de responsabilidades
 Delegações exorbitantes
 ...
Exemplos de Causas

Da Fonte
 Infraestrutura física
Vulnerabilidades
 Localização inadequada
 Instalações ou leiaute inadequados
 Inexistência de controles de acesso físico
 ...
Exemplos de Causas
Da Fonte
 Tecnologia (de produto ou de produção)
Vulnerabilidades
 Técnica de produção ultrapassada / produto obsoleto
 Inexistência de investimentos em pesquisa e desenvolvimento
 Tecnologia sem proteção de patentes
 Processo produtivo (tecnologia) sem proteção contra
espionagem
 ...
4º Avalie os riscos
Matriz de Risco
Legenda:
Extremamente elevado
Probabilidade
Elevado
Médio 1 2 3 4 5
Baixo Muito Baixa Baixa Média Alta Muito Alta

5
Muito Alto
Extremamente
4
Alto elevado
Impacto

3 Elevado
Médio

2 Médio
Baixo

1 Baixo
Muito Baixo
Estime a probabilidade de ocorrência

1 - Baixa
 Pode ocorrer até x vezes no período.
2 - Média
 Pode ocorrer entre x e y vezes no período.
3 - Alta
 Pode ocorrer mais de x vezes no período.
Sofistique com o aprendizado

Descritor Probabilidade Peso

Muito Baixa Até 10% 1

Baixa 11 a 29% 2

Média 30 a 49% 3

Alta 50 a 70% 4

Muito Alta Mais de 80% 5

Estime as consequências

Resultado de ESTRATÉGICOS
Impacto um evento que OPERACIONAIS
afeta os Objetivos COMUNICAÇÃO
CONFORMIDADE

Dimensões de impacto:
- Prazo (cronograma)
- Financeira ($ custo/receita)
- Qualidade
- Imagem ou reputação
Escalone os Impactos
Descritor do
Nível Descrição
Impacto

Degradação das operações ou atividades, porém causando

1 Muito Baixo impactos mínimos para a organização (em termos financeiros,
afetação da qualidade de produtos e serviços, reputação).

Degradação das operações ou atividades, causando impactos

2 Baixo
pequenos para a organização (idem).

Interrupção das operações ou atividades, causando impactos

3 Médio
significativos para a organização, porém recuperáveis (idem).

Interrupção das operações ou atividades, causando impactos de

4 Alto
reversão muito difícil para a organização (idem).

Paralisação das operações ou atividades, causando impactos

5 Muito Alto
irreversíveis para a organização (idem).
Matriz de Impacto e Probabilidade
Legenda:
Extremamente elevado
Probabilidade
Elevado
Médio 1 2 3 4 5
Baixo Muito Baixa Baixa Média Alta Muito Alta

5
Muito Alto 5 10 15 20 25

4
Alto 4 8 12 16 20
Impacto

3
Médio 3 6 9 12 15

2
Baixo 2 4 6 8 10

1
Muito Baixo 1 2 3 4 5
4º - Selecione respostas para os riscos

. Seguros ...
. Atividades
de controle
Alto Impacto / Alto Impacto /
Baixa Probabilidade Alta Probabilidade
Evitar
Transferir Transferir . Abandonar ...
Mitigar Mitigar . Seguros ...
. Planos de
Contingência
. Atividades de
Baixo Impacto / Baixo Impacto / controle
Baixa Probabilidade Alta Probabilidade

Assumir Mitigar

. Monitorar . Atividades
de controle
probabilidade
Resposta a riscos
 Selecione uma ou mais opções e ações para implementação com vistas
a modificar os riscos.
• Avalie custos e benefícios de cada
resposta
• Avalie o efeito de cada resposta Evitar Transferir
sobre a probabilidade e o impacto
• Considere riscos cujo tratamento Resposta
não é economicamente justificável
• Avalie os riscos secundários
introduzidos pelo tratamento Mitigar Aceitar
• Identifique e designe um
responsável pela(s) resposta(s)
 Evitar Evitar Riscos

 Tomar uma ação para evitar totalmente o risco, saindo das ou

descontinuando as atividades que geram o risco.
 Exemplo:
 proibir acesso à internet dentro da organização. Isso evita a infecção por
vírus oriundos da rede.
 No setor público, é quase impossível optar por essa resposta em
alguns casos, dado que é da sua natureza assumir riscos que os
próprios cidadãos não podem assumir individualmente.
 Transferir Transferir Riscos

 Compartilhar ou transferir uma parte do risco a terceiros.

 Exemplo:
 seguros, contratos com cláusulas específicas ou com garantias (SLA),
terceirização de atividades.
 Importante notar que nem todos riscos são totalmente transferíveis,
em particular o de reputação e imagem, mesmo que a entrega dos
serviços seja contratada com um terceiro.
 o relacionamento com o terceiro para o qual o risco foi transferido deve ser
muito bem gerenciado para assegurar a efetiva transferência do risco.
 Aceitar Aceitar ou reter Riscos

 O risco é aceito ou tolerado sem que nenhuma ação específica seja

tomada, porque a capacidade organização para fazer alguma coisa
pode ser limitada, ou o custo pode ser desproporcional ao benefício
 Nenhuma resposta é considerada eficaz para reduzir a probabilidade
ou o impacto a um nível aceitável.
 Alguns riscos são tão caros para tratar que, mesmo não sendo toleráveis, vale
mais a pena retê-los e ter um plano “B”, caso ocorram (contingência).
 Pode ainda ocorrer de o risco inerente já está dentro das tolerâncias a risco da
organização, portanto, nada é feito além de aceitar e monitorar.
 Mitigar Mitigar Riscos

 De longe, o maior quantidade de riscos será tratada desta forma.

Ações são tomadas para reduzir a probabilidade ou o impacto do
risco, ou ambos.
 Essas ações são chamadas atividades de controle, conhecidas
entre nós simplesmente como “controles internos”, que consistem
em políticas e procedimentos adotados pela gestão para manter os
riscos dentro dos níveis aceitáveis.
 Exemplo:
 Limitar o acesso à internet a partir da organização a apenas alguns sites
confiáveis e necessários à execução das atividades laborais.
6º - Estabeleça Controles Internos para
mitigar riscos em todos os níveis
 Políticas (e.g. Política de Segurança da Informação – PSI)
 Procedimentos de autorização/aprovação
 Alçadas (atribuição de poder pela hierarquia)
 Segregação de funções ou atividades incompatíveis
 Controles de acesso a recursos e registros
 Revisões independentes, verificações, conciliações
 Avaliações de desempenho operacional (revisões e análises críticas)
 Avaliações de operações, processos e atividades
 Supervisão direta
7º - Informe & Comunique

Privilegiar o
papel do • A habilidade da administração para tomar
controle decisões apropriadas é afetada pela qualidade
interno como da informação
base • Uma comunicação eficaz deve fluir entre todos
informativa os níveis e em todos os sentidos na entidade
para o • Canais de comunicação com cidadãos,
processo fornecedores e outras partes interessadas
decisório devem ser planejados e facilitados
Práticas de Informação & Comunicação

• Transmitir diretrizes do nível da administração

As pessoas para o nível de execução e vice-versa em
devem receber formato e em tempo que permita a execução
informação eficaz das atividades por todos
clara, precisa e a • Planos, objetivos, metas, valores,
tempo para que desempenho, riscos e controles devem ser
cumpram suas transmitidos a todas as partes envolvidas
atribuições • Funções, deveres e responsabilidades devem
ser formalmente comunicados (políticas,
delegações, descrição de cargos)
8º - Monitore e melhore continuamente
Atividades gerenciais
contínuas no curso das
operações normais, auto
Envolva os gestores e a avaliações pontuais, ou
Auditoria Interna no uma combinação de ambos
monitoramento dos
riscos e controles
internos.
Cobre Avaliações independentes
responsabilidades Auditoria Interna,
Unidade de Controle
Interno /OCI ou por
auditorias externas
Se você já está fazendo ou fizer isso...