Escolar Documentos
Profissional Documentos
Cultura Documentos
Proprietário
Conflito
Auditoria
Gestor
Papel da Auditoria na Accountability
Auditoria
Monitoramento
Conselho de
Acionistas Administração Diretoria Executiva
• Principal • Representante do • Agentes
Principal
Auditoria
Relação de Accountability no Setor Público
Delegação de recursos
Prestação de contas
Monitoramento das relações de Accountability
Controle
Externo
Cadeia de Accountability na entidade
Delegação de recursos
Prestação de contas
Monitoramento das relações de Accountability
Conselho ou
Dirigente máximo Gestor N1 Gestor N2
• Agente/Principal • Agente • Agente
Auditoria
Interna, OCI ou
UCI
IN-TCU 63/2010:
Risco
• Qualquer evento em
Objetivo
potencial que possa • O que se
impedir ou desvirtuar estabelece
o cumprimento de para ser
objetivos. alcançado.
Controles internos
• Estrutura, processos e outros
mecanismos para assegurar o
cumprimento de objetivos.
Por que a preocupação com riscos?
Todas as organizações estão expostas a uma ampla
gama de riscos que podem afetar suas atividades e o
alcance de seus objetivos, tornando incerto se e quando
elas atingirão esses objetivos.
A incerteza apresenta tanto riscos como oportunidades
com potencial de corroer ou aumentar valor, que no
setor público significa prestar o serviço público mais
ou menos bem aos cidadãos.
Um bom sistema de controle interno é o principal
instrumento para administrar riscos de maneira eficaz.
Mudança de paradigma na atuação do TCU: consequências => causas
Por que o TCU está focando Gestão de Riscos
e Controles Internos?
Contribuir para a melhoria da
gestão e do desempenho da
• A atuação a posteriori, em Administração Pública.
atividades de típicas de
correição, pouco agrega • Promover a adoção de
valor para a sociedade. controles mais efetivos
• A recuperação dos para melhorar a gestão,
prejuízos é mínima. coibir fraudes e desvios
Deslocar o foco tradicional de
de recursos e assegurar a
controle dos aspectos formais conformidade.
e legais para uma atuação
preventiva e proativa da
gestão.
Na prática, onde estão os riscos?
Execução de políticas públicas e recursos envolvidos.
Questões relativas a ética, fraude, segurança patrimonial e
probidade.
Elaboração e gestão de projetos, contratos, convênios,
licitações.
Saúde e segurança, operações e sistemas.
Interrupção ou continuidade de negócios e serviços públicos.
...
E onde devem estar os controles?
Em todos os lugares onde um risco estiver presente.
Como implantar controles internos?
Para implantar controles, primeiro é necessário que objetivos sejam
definidos (em termos de prazo, custo etc.) e ...
... como todos os objetivos envolvem, de certa maneira, uma parcela
considerável de riscos, existe a necessidade de mitigá-los:
• identificando-os, avaliando-os e decidindo se devem ser modificados por algum
tratamento (resposta a riscos).
Atividades de
controle e outras
respostas
ISO 31000
COSO II
COSO I
COSO I
VISÃO
OBJETIVOS
ORGANIZACIONAIS
ESTRATÉGIA
ORGANIZACIONAL
Fixe objetivos considerando riscos
Planeje e incentive o planejamento em todos os níveis
Envolva as pessoas e as partes interessadas no planejamento estratégico
Estabeleça objetivos
Faça a partição dos objetivos em metas
Conceba indicadores para monitorar o cumprimento
Exija que os gestores setoriais desdobrem o plano para suas áreas
Comunique e divulgue os objetivos
Estimule e facilite o controle social dos resultados
Identifique, avalie gerencie os riscos estratégicos
Uma abordagem apropriada de gerenciamento de riscos começa na própria
definição da estratégia
Atribua responsabilidades aos altos gestores pela gestão dos riscos estratégicos
3º - Identifique os riscos
Envolve a identificação de fontes de risco, eventos, suas causas e suas
consequências potenciais.
Se baseia muito mais na nossa percepção da existência dos riscos do
que na sua existência em si.
CAUSA
Condições que
dão origem à Fontes de Risco
Causa possibilidade de
um evento
acontecer.
Vulnerabilidades
Da Fonte
Pessoas
Vulnerabilidades
Em número insuficiente
Sem capacitação
Perfil inadequado
Desmotivadas
...
Exemplos de Causas
Da Fonte
Processos
Vulnerabilidades
Mal concebidos (exemplo: fluxo, desenho)
Sem manuais ou instruções formalizadas
(procedimentos)
Segregação de funções
...
Exemplos de Causas
Da Fonte
Sistemas
Vulnerabilidades
Obsoletos
Sem integração
Sem manuais de operação
Inexistência de controles de acesso lógico / backups
...
Exemplos de Causas
Da Fonte
Estrutura organizacional
Vulnerabilidades
Falta de clareza quanto à funções e responsabilidades
Deficiências nos fluxos de informação e comunicação
Centralização de responsabilidades
Delegações exorbitantes
...
Exemplos de Causas
Da Fonte
Infraestrutura física
Vulnerabilidades
Localização inadequada
Instalações ou leiaute inadequados
Inexistência de controles de acesso físico
...
Exemplos de Causas
Da Fonte
Tecnologia (de produto ou de produção)
Vulnerabilidades
Técnica de produção ultrapassada / produto obsoleto
Inexistência de investimentos em pesquisa e desenvolvimento
Tecnologia sem proteção de patentes
Processo produtivo (tecnologia) sem proteção contra
espionagem
...
4º Avalie os riscos
Matriz de Risco
Legenda:
Extremamente elevado
Probabilidade
Elevado
Médio 1 2 3 4 5
Baixo Muito Baixa Baixa Média Alta Muito Alta
5
Muito Alto
Extremamente
4
Alto elevado
Impacto
3 Elevado
Médio
2 Médio
Baixo
1 Baixo
Muito Baixo
Estime a probabilidade de ocorrência
1 - Baixa
Pode ocorrer até x vezes no período.
2 - Média
Pode ocorrer entre x e y vezes no período.
3 - Alta
Pode ocorrer mais de x vezes no período.
Sofistique com o aprendizado
Baixa 11 a 29% 2
Média 30 a 49% 3
Alta 50 a 70% 4
Resultado de ESTRATÉGICOS
Impacto um evento que OPERACIONAIS
afeta os Objetivos COMUNICAÇÃO
CONFORMIDADE
Dimensões de impacto:
- Prazo (cronograma)
- Financeira ($ custo/receita)
- Qualidade
- Imagem ou reputação
Escalone os Impactos
Descritor do
Nível Descrição
Impacto
5
Muito Alto 5 10 15 20 25
4
Alto 4 8 12 16 20
Impacto
3
Médio 3 6 9 12 15
2
Baixo 2 4 6 8 10
1
Muito Baixo 1 2 3 4 5
4º - Selecione respostas para os riscos
. Seguros ...
. Atividades
de controle
Alto Impacto / Alto Impacto /
Baixa Probabilidade Alta Probabilidade
Evitar
Transferir Transferir . Abandonar ...
Mitigar Mitigar . Seguros ...
. Planos de
Contingência
. Atividades de
Baixo Impacto / Baixo Impacto / controle
Baixa Probabilidade Alta Probabilidade
Assumir Mitigar
. Monitorar . Atividades
de controle
probabilidade
Resposta a riscos
Selecione uma ou mais opções e ações para implementação com vistas
a modificar os riscos.
• Avalie custos e benefícios de cada
resposta
• Avalie o efeito de cada resposta Evitar Transferir
sobre a probabilidade e o impacto
• Considere riscos cujo tratamento Resposta
não é economicamente justificável
• Avalie os riscos secundários
introduzidos pelo tratamento Mitigar Aceitar
• Identifique e designe um
responsável pela(s) resposta(s)
Evitar Evitar Riscos
Privilegiar o
papel do • A habilidade da administração para tomar
controle decisões apropriadas é afetada pela qualidade
interno como da informação
base • Uma comunicação eficaz deve fluir entre todos
informativa os níveis e em todos os sentidos na entidade
para o • Canais de comunicação com cidadãos,
processo fornecedores e outras partes interessadas
decisório devem ser planejados e facilitados
Práticas de Informação & Comunicação