Escolar Documentos
Profissional Documentos
Cultura Documentos
Página | 1
Apostila
Ministério da Transparência, Fiscalização e Controladoria-Geral da União
SUMÁRIO
1. Introdução .................................................................................................. 03
2. Conceitos Básicos ....................................................................................... 04
3. Evolução Histórica: Controle & Risco ......................................................... 05
4. Objetivos da Organização .......................................................................... 20
5. Gestão de Riscos ....................................................................................... 21
6. Controles Internos .................................................................................... 33
7. Quando o risco de materializa .................................................................. 51
Página | 2
Ministério da Transparência, Fiscalização e Controladoria-Geral da União
1. INTRODUÇÃO
O ano de 2016 pode ser considerado um marco na Gestão Pública Federal com o
advindo da Instrução Normativa Conjunta CGU/MPOG nº 1. A Controladoria-Geral da União e
o Ministério do Planejamento, Orçamento e Gestão determinam, aos órgãos e entidades do
Poder Executivo Federal, a adoção de uma série de medidas para a sistematização de práticas
relacionadas a gestão de riscos, controles internos e governança.
A partir de agora, o dirigente máximo de cada órgão ou entidade passa a ser o
principal responsável pelo estabelecimento da estratégia de organização e da estrutura de
gerenciamento de riscos. Dentro deste cenário, também será papel do dirigente máximo
estabelecer, de forma continuada, o monitoramento e o aperfeiçoamento dos controles
internos da gestão.
Cada risco mapeado e avaliado deve estar associado a um agente responsável
formalmente identificado. O agente responsável pelo risco deve ser um gestor com alçada
suficiente para orientar e acompanhar as ações de mapeamento, avaliação e mitigação do
risco. As tipologias de risco abrangem: riscos operacionais, de imagem/reputação do órgão,
legais e financeiros/orçamentários.
A norma também prevê a instituição de comitês de governança, riscos e controles em
todos os órgãos federais. Cada comitê será formado pelo dirigente máximo do órgão ou Página | 3
entidade, pelos dirigentes das unidades a ele diretamente subordinadas e será apoiado pelo
respectivo assessor especial de Controle Interno.
Os comitês terão sob sua responsabilidade promover a adoção de práticas que
institucionalizem a responsabilidade dos agentes públicos na prestação de contas,
transparência, efetividade das informações e, dentro dessa finalidade, promover o
desenvolvimento contínuo dos agentes públicos; garantir a aderência às regulamentações, leis,
códigos, normas e padrões, com vistas a condução das políticas e à prestação de serviços de
interesse público; bem como supervisionar o mapeamento e avaliação dos riscos-chaves que
podem comprometer a prestação de serviços de interesse público; entre outras atribuições.
Caberá à CGU avaliar cada procedimento em relação à aplicação das políticas de
gestão de risco e a eficácia dos controles internos.
De forma a capacitar os gestores para a implementação dessa norma, a CGU em
parceria com a ENAP elaborou esse curso que tem como objetivo prover os gestores com as
ferramentas e conhecimentos necessários para se adequarem ao cenário proposto.
Ministério da Transparência, Fiscalização e Controladoria-Geral da União
2. CONCEITOS BÁSICOS
Para melhor compreender o assunto que será abordado nessa apostila, é necessário
ter o entendimento de três conceitos básicos relativos à gestão de risco: objetivo, risco e
controles internos.
Objetivo
O gerenciamento de riscos corporativos eficaz não dita os objetivos que a
administração deve escolher, mas certifica-se que a referida administração dispõe de um
processo que alinhe objetivos estratégicos com a sua missão e que esses objetivos e os
correlatos selecionados estejam de acordo com o apetite a risco (Committee of Sponsoring
Organizations of the Treadway Commission - COSO, 2007).
Ainda segundo o COSO os controles internos asseguram o atingimento dos objetivos,
de maneira correta e tempestiva, com a mínima utilização de recursos.
Pelo exposto, fica evidente que para se implementar uma gestão de riscos eficaz, é
necessário ao gestor saber primeiramente quais são seus objetivos. O termo objetivo diz
respeito a um fim que se quer atingir.
Se não sabes a que porto te diriges, nenhum vento te será favorável. Página | 4
Sêneca – filósofo
Risco
Superada a fase de definição dos objetivos, cabe ao gestor levantar os eventos que
porventura possam vir a impactar futuramente o atingimento dos objetivos. Esses eventos
denominamos de “riscos”.
É comum na literatura associar riscos à eventos que impactam a gestão de forma
negativa ou positiva, dificultando ou facilitando o gestor no atingimento dos objetivos.
Por motivo de didática, adotaremos nesse curso apenas o sentido negativo da palavra,
e quando se tratar de seu sentido positivo será utilizada a palavra oportunidade ao invés de
riscos.
Controle Interno
De acordo com a IN conjunta 01, os controles internos da gestão se constituem na
primeira linha (ou camada) de defesa das organizações públicas para propiciar o alcance de
seus objetivos.
Em outras palavras, são os instrumentos implementados pelo gestor para mitigar os
riscos identificados.
A palavra “risco” deriva do italiano antigo riscare, que significa “ousar”. Nesse sentido,
o risco é uma opção, e não um destino. É das ações que ousamos tomar que depende nosso
grau de liberdade de opção.
O estudo sério do risco começou no Renascimento, quando as pessoas se libertaram
das restrições do passado e desafiaram abertamente as crenças consagradas. Foi uma época
em que grande parte do mundo seria descoberta e seus recursos, explorados. Uma época de
turbulência religiosa, de capitalismo nascente e de uma abordagem vigorosa da ciência e do
futuro.
O núcleo matemático do conceito do risco surgiu em 1654 com a elaboração da teoria
das probabilidades por Blaise Pascal e Pierre de Fermat. No século XVIII, Johann Bernoulli
inventou a lei dos Grandes Números e a amostragem estatística, enquanto Abraham de Moivre
expôs a estrutura da distribuição normal e descobriu o conceito de desvio padrão constituindo
a base da lei das médias.
Página | 5
Apesar dos estudos matemáticos referentes a risco existirem há muitos anos, observa-
se que apenas recentemente tais teorias foram se integrando às boas práticas internacionais
de gestão coorporativa. É mais curioso ainda o fato de que apesar dos controles internos
existirem para mitigar os riscos identificados, os modelos de controle interno na gestão
coorporativa se destacaram previamente aos modelos de gestão de risco. Como observa-se no
framework de controles internos do COSO, publicado em 1992, que antecedeu o COSO-ERM,
publicado somente em 2004.
Commission) foi criado a partir de membros da Coopers & Lybrand, uma grande firma pública
de contadores, para estudar as questões apontadas no relatório e elaborar um framework de
controle interno.
Em 1992, os quatro volumes intitulados Internal Control – Integrated Framework, foi
lançado pelo COSO apresentando definições comuns de controle interno e provendo um
framework no qual controles internos podiam ser avaliados e melhorados.
COSO ERM
Em 2001, o COSO - Controles Internos iniciou um projeto com a finalidade de
desenvolver estratégia para gerenciar riscos corporativos e solicitou à PricewaterhouseCoopers
que desenvolvesse uma estratégia de fácil utilização pelas organizações.
Foi criado o documento chamado Enterprise Risk Management – Integrated
Framework, como uma estrutura de gerenciamento de riscos corporativos, capaz de fornecer
os princípios e conceitos fundamentais, em uma linguagem simples, com direcionamento e
orientação, publicado em 2004.
Em 2007, foi traduzido para o português pela AUDIBRA (Instituto dos Auditores
Internos do Brasil) e publicado com o título “Gerenciamento de Riscos Corporativos – Estrutura Página | 6
Integrada”
O período de desenvolvimento do COSO - ERM foi marcado por uma série de
escândalos e quebras de negócios de grande repercussão, que geraram prejuízos de grande
monta a investidores, empregados e outras partes interessadas, como o caso da Eron
Corporation e Arthur Andersen que efetuaram fraudes contábeis e fiscais, omitindo prejuízos
por dois anos consecutivos de US$ 25 bilhões.
Trata-se de um modelo predominante no cenário corporativo internacional, utilizado
sobretudo nos Estados Unidos. Também foi recepcionado pela INTOSAI (Órgão internacional
fiscalizatório do setor governamental – tendo como representante o Tribunal de Contas da
União - TCU): INTOSAI GOV 9130. Também é utilizado pelo Government Accountability Office
(GAO) – Escritório de Accountability dos Estados Unidos; Banco Interamericano de
Desenvolvimento (BID); Banco Mundial e Controladoria-Geral da União (CGU).
Ressalta-se que o COSO – Controles Internos ainda é uma referência quando se trata
das melhores práticas de controles internos corporativos, indo além dos controles contábeis e
financeiros e auxiliando as organizações a avaliarem e aperfeiçoarem seus sistemas de
controle interno, considerando inclusive o gerenciamento de riscos.
Embora a estrutura de gerenciamento de riscos corporativos (COSO-ERM) não tenha
por meta substituir a estrutura de controles internos das organizações, incorpora estrutura de
controle interno em seu conteúdo e poderá ser utilizada, tanto para atender às necessidades
de controle interno quanto para adotar um processo completo de gerenciamento de riscos.
Para o COSO ERM, o gerenciamento de riscos consiste em:
Um processo conduzido em uma organização pelo conselho de administração,
diretoria e demais empregados, aplicado no estabelecimento de estratégias, formuladas para
identificar em toda a organização eventos em potencial, capazes de afetá-la, e administrar os
Ministério da Transparência, Fiscalização e Controladoria-Geral da União
Objetivos
Estru
tura
da
Entid
ade
Página | 7
Componentes
Fonte: COSO, 2007.
Orange Book
O Reino Unido também tem adotado gestão de riscos no seu setor público há alguns
anos. Já no ano 2000, o Auditor Geral do Reino Unido publicou relatório de auditoria sobre o
tema intitulado Supporting innovation: Managing risk in government departments,
fortalecendo a agenda sobre gestão de riscos.
Em 2001, o Tesouro britânico produziu documento chamado Management of Risk -
Principles and Concepts, conhecido como Orange Book, trazendo princípios e conceitos gerais
sobre riscos. Foi atualizado em 2004.
Posteriormente, em 2009, o Tesouro britânico publicou ferramenta voltada para a
avaliação da gestão de risco nos diversos setores do governo - Risk Management assessment
Ministério da Transparência, Fiscalização e Controladoria-Geral da União
framework: a tool for departments, consolidando assim o uso dessa abordagem na sua
administração pública (TCU, 2013).
Ressalta-se que Orange Book foi referencial para o Guia de orientação para o
gerenciamento de riscos, do Ministério do Planejamento, em 2013, mas que não foi
homologado. O Guia justificou a adoção desse modelo da seguinte forma:
O Orange Book tem como vantagens, além de ser compatível com padrões
internacionais de gerenciamento de riscos, apresentar uma introdução ao tema
gerenciamento de riscos, tratando de uma forma abrangente e simples, um tema
complexo como o gerenciamento de riscos nas organizações.
Isto é essencial na introdução de um processo de gerenciamento de riscos em
uma organização, uma vez que, dentro de qualquer organização existem diversos
níveis de maturidade com relação ao gerenciamento de riscos (SEGEP, 2013).
O modelo é composto por um conjunto de quatro elementos inter-relacionados:
1- Processo de gerenciamento de riscos: aplicação de princípios e processos
para identificação de riscos, planejamento, implementação e controle das respostas
aos riscos. Considera também a governança, políticas, objetivos, estrutura
organizacional, recursos, sistemas de informação, normas, modelos e diretrizes da
Página | 8
organização;
2- Organização Estendida: nenhuma organização opera de forma
independente. Tem interdependências com outras organizações dentro e fora do
governo.
3- Macro Ambiente de riscos: Outros fatores que contribuem para o ambiente
ou cenários nos quais os riscos devem ser gerenciados, como ambiente político, social,
tecnológico, ambiental, econômico.
4- Comunicação e Aprendizado Contínuo: fornecer, obter e compartilhar
informações necessárias para dialogar com as partes interessadas, bem como
aprender com o gerenciamento de riscos e permear toda a gestão.
Esses elementos também foram apresentados graficamente:
Ministério da Transparência, Fiscalização e Controladoria-Geral da União
Macro Ambiente
Legisl
ação
Nacio
Organização Orga Gove
nal Outras
Estendida nism rnos
e unidades os Estra
Intern e Finanngeir
Organização
acionaMinistério ciado os
Identificar
l s o Contexto res
e os Riscos
Comunicação Comunicação
e Aprendizado e Aprendizado
Estratégia Analisar e
Avaliar
Programas os riscos
Implementar
Economi Monitorar e Pa
Controlar
ae Projetos e Atividades rce
Política Planejar iroÓrgã Página | 9
NacionalFornecedores Respostas s os de
e Audit
Internaci oria
onal
Expectativas de
Cidadãos e
Sociedade
2- pessoas;
4- parcerias;
7- resultados.
Página | 10
Obstáculos à
Processo de gestão de
implementação do Possíveis Soluções
riscos Página | 11
sistema ideal
- Planejamento de cenários/prospecção;
Identificação do Ignorar riscos - Abordagem sistêmica à identificação de riscos;
problema ou risco importantes - Abordagem integrada à gestão de riscos;
- Equipes interfuncionais e interministeriais.
Qualidade e - Competência profissional e conhecimento dos
oportunidade das métodos de avaliação de riscos.
informações
- Reconhecimento, aceitação e comunicação das
incertezas;
- Criação de uma cultura organizacional
caracterizada pela experimentação e pela gestão
Lidar com incertezas adaptativa;
Avaliação das áreas-
nas informações - Permissão às pessoas para aprenderem com seus
chave de risco
erros;
- Adoção do princípio preventivo quando
necessário;
- Monitoramento e auditoria, melhoria contínua.
- Integridade, competência, empatia,
Falta de compreensão
transparência, diálogo e comunicação dos riscos;
e confiança entre as
- Processo decisório consistente e bem
partes interessadas
compreendido.
- Diálogo e comunicação dos riscos.
Priorizar a atenção
A norma fornece princípios e diretrizes genéricas para a gestão de riscos, podendo ser Página | 12
utilizada por qualquer empresa pública, privada, associação, grupo ou indivíduo.
A norma apresenta os seguintes princípios aos quais uma organização deve atender
em todos os níveis para que a gestão de risco seja eficaz:
Página | 13
Assim como o COSO, é comum ver a estrutura do COBIT representada por um cubo: Página | 16
Planejar e Organizar
Adquirir e Implementar
Entregar e Suportar
Monitorar e Avaliar.
se atinjam resultados ótimos e para que se gerem benefícios do seu uso. A tabela seguinte lista
os processos de TI para o domínio do Planejamento e Organização.
Página | 18
Fonte: COBIT, 2012
Motivada por escândalos financeiros corporativos (dentre eles o da Enron, que acabou
por afetar drasticamente a empresa de auditoria Arthur Andersen), essa lei foi redigida com o
Ministério da Transparência, Fiscalização e Controladoria-Geral da União
A Lei Sarbanes-Oxley tem por finalidade ressaltar o papel crítico do “controle interno”.
O controle interno é desenvolvido pela Diretoria, Conselho de Administração ou por
colaboradores da entidade que alavanca o sucesso dos negócios em três categorias:
Especialistas no assunto descrevem que esta nova lei é a peça mais significativa da
legislação comercial nos últimos cinquenta anos. Ela muda o ambiente empresarial e
regulador. A maior abrangência da Lei Sarbanes-Oxley concentra-se nas Seções 302 e 404.
Seção 404 – Expõe que deve ser feita uma avaliação anual de todos os controles e
procedimentos internos para que sejam emitidos os relatórios financeiros. Além disso, o
auditor externo deve emitir um relatório atestando a veracidade das informações do controle
interno.
O descumprimento dessa exigência tem um alto preço: multas de até US$ 5 milhões e
até vinte anos de prisão podem ser as penas impostas para o descumprimento intencional,
esta é uma medida que sustenta a engrenagem da lei.
4. OBJETIVOS DA ORGANIZAÇÃO
Para Chiavenato, objetivos organizacionais são o fim desejado que a organização
pretende atingir e que orientam o seu comportamento em relação ao futuro e ao ambiente
interno e externo. Neste sentido, os objetivos organizacionais são a razão de ser das
organizações, que necessitam de um fim objetivo.
Dessa forma, percebe-se que existe uma relação entre a motivação e os objetivos
organizacionais, ainda que os resultados sejam diferentes no que toca à motivação intrínseca e
à motivação extrínseca. Ou seja, objetivos organizacionais bem definidos aumentam a
motivação dos colaboradores. Por seu lado, os objetivos organizacionais devem sempre estar
alinhados com os objetivos individuais, devendo estes últimos dar um contributo para a
definição dos primeiros.
Focalizados em um resultado;
Consistentes;
Mensuráveis;
Ministério da Transparência, Fiscalização e Controladoria-Geral da União
Objetivos Estratégicos
São os objetivos globais e amplos da organização e definidos no longo prazo, isto é,
entre dois a cinco ou mais anos pela frente. (Ex.: aumento do retorno sobre o investimento
organizacional.
Objetivos Operacionais
São os objetivos específicos e de curto prazo voltados para a execução das operações
cotidianas da organização referem-se geralmente a cada tarefa ou operação especificamente.
(Ex.: Admitir dez pessoas deficientes ao ano e incentivar o consumo consciente) Página | 21
Objetivos de Comunicação
São os objetivos relacionados à integração de todas as áreas que compõem uma
organização, como por exemplo, a Relações Públicas, a Assessoria de Comunicação, no caso
das empresas públicas, temos também a Publicidade e Propaganda, o Marketing e etc. Elas
têm que estar em harmonia e estabelecer um discurso único, pois tendo isso permite-se a
construção de uma comunicação eficaz e eficiente diante seus públicos.
Objetivo de Conformidade
São os objetivos que visam manter a entidade em conformidade com leis, normativos
e regulamentos externos e internos, e sempre que possível manter o respeito às normas e
procedimentos da organização.
5. GESTÃO DE RISCOS
Definidos os objetivos institucionais, em todos seus níveis, é possível ao gestor iniciar o
seu processo de Gestão de Riscos. Inicia-se esse processo pela identificação dos riscos que
podem vir a impactar nos objetivos definidos previamente, identificando as causas possíveis
desses riscos, bem como suas consequências. Após essa identificação, o gestor medirá o nível
de risco de cada um dos riscos observando-os em seu Diagrama de Risco, possibilitando assim
ter uma visão de quais serão as respostas adotadas para cada risco identificado. Segue abaixo
o fluxo apresentado pelo COSO, 2012.
Ministério da Transparência, Fiscalização e Controladoria-Geral da União
Avaliação do
Risco
Definir Avaliar a
Identificar Critérios Avaliar Interação Priorizar Responder
Riscos de Riscos dos Riscos ao Risco
Avaliação Riscos
Identificação do Risco
De acordo com a ISO 31000, a finalidade da etapa de identificação de risco é gerar uma
lista abrangente de riscos baseada em eventos que possam criar, aumentar, evitar, reduzir,
acelerar ou atrasar a realização dos objetivos. Trata-se, portanto, de uma identificação
abrangente, pois riscos que não forem identificados nesta fase não serão incluídos em análises
futuros.
O responsável pela identificação dos riscos pode e deve utilizar-se de ferramentas e
técnicas de identificação de riscos que sejam adequadas aos seus objetivos e capacidades e Página | 22
aos riscos enfrentados. Por esse motivo é importante que as pessoas envolvidas nesse
processo tenham um conhecimento adequado sobre o negócio, bem como sejam incentivadas
a não se restringirem aos acontecimentos do passado.
A seguir serão exemplificadas algumas técnicas utilizadas na identificação de riscos:
1. Mapeamento de Processos
A técnica de mapeamento de processos tem como objetivo prover uma representação
gráfica do fluxo operacional e a inter-relação entre diferentes processos e unidades. O
mapeamento de processo facilita a visualização das operações, permitindo que o gestor
identifique pontos de monitoramento e controle, bem como fragilidades que podem vir a
tornar-se causas de riscos.
2. Brainstorming
A técnica de brainstorming é uma atividade que tem como objetivo explorar o
potencial criativo dos participantes.
De forma resumida e simplificada, a técnica consiste em permitir que todos os
participantes contribuam com ideias acerca de um determinado tema sem sofrer nenhum tipo
de crítica. Os integrantes são incentivados a contribuir com o máximo possível de ideias que
conseguirem. Tem-se então, como o próprio nome sugere, uma tempestade de ideias.
Na gestão de riscos, essa técnica permite, principalmente, a identificação de riscos que
não se materializaram no passado, aqueles com baixa probabilidade de ocorrência mas de
significativos impactos, chamados de “Cisne Negro”.
Ministério da Transparência, Fiscalização e Controladoria-Geral da União
3. Método Delphi
O método Delphi é reconhecido como um dos melhores instrumentos de previsão
qualitativa. Sua área de aplicação original é a previsão tecnológica, mas atualmente tem sido
aplicado frequentemente na gestão de riscos.
O método baseia-se na elaboração de um questionário acerca do tema que deseja-se
entender melhor, submetendo-o aos especialistas do tema/negócio para que seja respondido
de forma anônima. Ao final é disponibilizado um relatório estatístico contendo as respostas
dos questionários.
O anonimato permite que barreiras hierárquicas e barreiras culturais tenham menor
influência nas respostas, possibilitando que riscos relacionados a pessoas e cargos estratégicos
sejam mais facilmente identificados.
Tome nota:
Consequência
Na gestão de riscos, entende-se por consequência, todos os eventos negativos
resultantes da materialização de um risco. Normalmente, a consequência da materialização de
um risco irá resultar nos seguintes aspectos: perda de recurso financeiro, danos à imagem da
instituição ou danos à integridade física de funcionários.
Ministério da Transparência, Fiscalização e Controladoria-Geral da União
Além disso, os riscos também são avaliados quanto à sua condição de inerentes e
residuais, sendo risco inerente o que não considera o efeito dos controles e das respostas a
riscos existentes e risco residual o que considera o efeito dos controles e das respostas a riscos
existentes. É aquele que permanece após a resposta da administração.
Página | 25
O diagrama acima representa a intensidade dos riscos e os nove quadrantes, nos quais
os riscos são inseridos, representam uma categorização considerando a avaliação de impacto e
probabilidade desses riscos. A intensidade desse nível também é refletida por cores, indo do
Ministério da Transparência, Fiscalização e Controladoria-Geral da União
azul, para um o “risco aceitável”, cuja probabilidade e impacto são baixos, para o vermelho, o
“risco crítico”, cuja probabilidade e impactos são alto.
Com intuito de ressaltar que não basta somente considerar o valor absoluto das
intensidades, mas também a valoração do impacto e da probabilidade, serão comparados dois
riscos que apresentam a mesma intensidade, mas que são completamente distintos: “Cisne
Negro” e o ”Comedor de Recursos”, tendo o primeiro alto impacto e baixa probabilidade,
enquanto o segundo, baixo impacto e alta probabilidade.
O “Cisne Negro” é considerado pela literatura como evento raro, que deve cumprir
três condições para obter essa classificação: imprevisibilidade, pois no campo das expectativas,
nada no passado indicava a possibilidade da sua ocorrência; forte impacto e consequências
econômicas, pessoais e sociais imprevisíveis; e, apesar da imprevisibilidade, quando analisados
retrospectivamente, tem-se a impressão de que sua ocorrência era evidente e de que
poderiam ter sido racionalmente avaliados ou previstos. Como exemplo deste tipo de risco,
destacam-se ataques terroristas e destrates naturais.
Quanto mais descritiva é a escala, mais consistente será sua interpretação pelos
responsáveis pela avaliação dos riscos.
Vulnerabilidade x Impacto
Velocidade do Impacto
Página | 28
Persistência do Impacto
Por ter o foco no controle, essa visão de vulnerabilidade é muito útil para a auditoria
ou qualquer que seja a área responsável pela avaliação do custo-benefício dos controles de
Página | 29
Página | 30
Respostas ao Risco
Após avaliar e ranquear os riscos, o gestor é capaz de decidir como serão as respostas
a esses riscos.
Ministério da Transparência, Fiscalização e Controladoria-Geral da União
Existem 4 tipos de respostas que podem ser atribuídas a um determinado risco. São
elas:
Aceitar
Um determinado risco normalmente é aceito quando seu nível encontra-se em uma
zona confortável para o gestor, ou seja, o risco não está ameaçando os objetivos da
organização. Nessa situação, nenhum controle será implementado para mitigar o risco, porém
controles de monitoramento são recomendáveis para esse tipo de risco, uma vez que, com o
passar do tempo, o nível do risco pode sofrer alterações significantes e vir a ameaçar os
objetivos em questão.
Exemplo prático
Uma determinada organização identificou em seus processos o risco de funcionários
furtarem comida dos depósitos dos restaurantes. Na avaliação desse risco, notou-se que
sua probabilidade era baixa, bem como o impacto financeiro desses pequenos furtos era
praticamente insignificante perante a receita da organização. Os gestores solicitaram um
orçamento de instalações de câmeras de segurança e raios-x e perceberam que o valor
necessário para a instalação e manutenção desses controles era muito superior ao valor
estimado das perdas devido a furtos de alimentos. Dessa forma, os gestores decidiram Página | 31
que controles não deveriam ser implementados, porém esse risco deverá ser reavaliado a
cada dois anos de forma a verificar se seu nível continua baixo.
Mitigar
Um risco normalmente é mitigado quando seu nível encontra-se em uma zona que
ameaça os objetivos da organização e a implementação de controles apresenta um
custo/benefício adequado. Nessa situação, os controles podem ser implementados tanto para
mitigar as causas do risco quanto o seu impacto.
Durante o processo de avaliação dos riscos, pode-se optar por avaliar o nível de risco
sem levar em consideração os controles do processo, ou pode-se optar por avaliar o nível
levando em consideração os controles implementados. Ambas abordagens apresentam
informações importantes para o gestor. Entende-se que quando é feita a avaliação do risco
sem os controles existentes, tem-se o risco inerente ao processo. Quando é feita a avaliação
do risco considerando os controles existentes, tem-se o risco residual.
Exemplo prático
Uma determinada organização identificou em seus processos o risco de fraude em seus
documentos contábeis. Na avaliação desse risco sua probabilidade foi avaliada como
média e seu impacto como alto. Com o intuito de mitigar esse risco, os gestores optaram
por dividir a área financeira em duas áreas distintas, sendo que uma ficaria responsável
por fiscalizar as ações da outra área. Além disso, foi criada uma Comissão de Ética que
terá a responsabilidade de conscientizar os funcionários sobre os padrões éticos exigidos
pela empresa, bem como as consequências legais acerca de tais condutas criminosas.
Ministério da Transparência, Fiscalização e Controladoria-Geral da União
Compartilhar
Um risco normalmente é compartilhado quando seu nível encontra-se em uma zona
que ameaça os objetivos da organização, porém a implementação de controles não apresenta
um custo/benefício adequado.
Exemplo prático
Uma determinada organização identificou que a localização de uma de suas principais
filiais encontra-se em um local vulnerável a tsunamis. A frequência desses eventos no
local é de um tsunami a cada 5 anos, sendo que a cada 100 anos tem-se um grande
tsunami de proporções devastadoras. Modificações no relevo de forma a mitigar os
impactos de um tsunami necessitariam de um investimento muito elevado para os
padrões da organização. De forma a evitar possíveis mortes, foram adquiridas lanchas
rápidas para a evacuação do local. No entanto, os bens imóveis não podem ser
transportados e em caso de tsunami serão completamente destruídos. Para os imóveis, a
única opção foi a transferência desse risco por meio de uma apólice de seguro.
Evitar
Página | 32
Um risco normalmente é evitado quando seu nível encontra-se em uma zona crítica de
alta probabilidade e alto impacto, comprometendo totalmente os objetivos da organização.
Normalmente, nesses casos, a implementação de controles apresenta um custo muito
elevado, inviabilizando sua mitigação, bem como não há entidades dispostas a compartilhar o
risco com a organização. Nesses casos, a opção é evitar o risco, encerrando o processo em
questão.
Exemplo prático
Uma empresa de correios identificou que existem áreas muito perigosas na cidade, onde
o índice de criminalidade inviabiliza completamente a entrega de correspondência por
comprometer a integridade física dos carteiros, bem como resultar em elevados furtos
das correspondências. Após inúmeras solicitações, não correspondidas, para que a
prefeitura aumentasse o efetivo policial nessas regiões, a empresa optou por encerrar
temporariamente seus serviços nessas regiões até que houvesse uma melhora na
segurança pública.
Apetite ao Risco
A escolha da resposta adequada para cada risco vai depender do apetite ao risco da
organização. O apetite ao risco é um aspecto que deve, preferencialmente, ser decidido pelos
responsáveis pela governança da organização. Ao definir seu apetite, a organização poderá
definir em seu diagrama de risco qual a zona de aceitação ou não aos riscos. Na definição do
apetite ao risco, deve ser levado em consideração as contribuições individuais de cada risco,
bem como a visão dos riscos em conjunto.
Ministério da Transparência, Fiscalização e Controladoria-Geral da União
Tolerância ao Risco
Um conceito que, às vezes, confunde-se com o apetite ao risco é o da tolerância ao
risco. O apetite ao risco define o processo normal de aceitação dos riscos, ou seja, as zonas de
aceitação ou não aceitação de risco pela organização no seu dia a dia. A tolerância ao risco, por
outro lado, trata da exceção, ou seja, do quanto tolera-se que o risco fuja de sua zona de
aceitação esporadicamente. A tolerância está relacionada com a margem/variação de
aceitação do risco.
Exemplo prático
Uma determinada organização identificou em seus processos o risco de seus sistemas de
informação ficarem indisponíveis para seus clientes. A organização definiu um apetite
baixo para esse tipo de risco. Dessa forma, seus controles atuais visam que o serviço
fique disponível pelo menos 99% do tempo. Apesar dessa definição, a organização
entende que, de tempos em tempos, a infraestrutura de TI necessita de manutenções
mais severas e que nesses casos o sistema poderá chegar a ficar 10% do tempo Página | 33
indisponível. Dessa forma, a organização definiu que, de acordo com seu apetite a risco,
os sistemas deveriam ficar disponíveis 99% do tempo sendo tolerado que se utilize um
fim de semana a cada 2 meses para realizar manutenções mais severas, podendo o
serviço ficar disponível apenas 90% do tempo nesses finais de semana.
6. CONTROLE INTERNO
Em linhas gerais, Controles Internos representam um sistema que envolve todos os
integrantes da organização na implementação de ações que visem à proteção do patrimônio
da entidade e o consequente atingimento de seus objetivos.
Para o COSO, Controle Interno:
É um processo realizado pela diretoria, por todos os níveis de gerência e por outras
pessoas da entidade, projetado para fornecer segurança razoável quanto à consecução de
objetivos nas seguintes categorias:
a. eficácia e eficiência das operações;
b. confiabilidade de relatórios;
c. cumprimento de leis e regulamentações aplicáveis. (COSO, 2013)
Ao apresentar essa definição, o COSO tinha como um dos objetivos integrar os
diversos conceitos de controle interno, promovendo a uniformização das definições até então
vigentes. A partir da divulgação dessa definição, várias organizações internacionais revisaram
suas normas para incorporar o conceito de controle interno definido pelo modelo, o qual
tornou-se uma referência mundial.
Ministério da Transparência, Fiscalização e Controladoria-Geral da União
Página | 41
respeito por toda a entidade, considerando tanto sua visão mais global como suas divisões ou
qualquer de suas unidades operacionais, áreas funcionais ou outros subconjuntos da entidade.
Considerando que existe uma relação direta entre os objetivos que a entidade busca
realizar, os componentes que representam o que é necessário para atingir os objetivos, bem
como a estrutura da entidade (unidades operacionais, entidades legais e outras estruturas),
essa relação pode ser ilustrada na forma de um cubo.
Objetivos
Estru
tura
da
Entid
ade
Página | 43
Componentes
Fonte: COSO, 2013
1. Objetivos Operacionais
Relacionam-se à realização da missão e da visão da entidade. Esses objetivos variam de Página | 44
acordo com o modelo operacional da organização. Também pode ser desdobrados em
subobjetivos para as operações das divisões, subsidiárias, unidades operacionais e áreas
funcionais, com a finalidade de aumentar a eficácia e eficiência da trajetória da entidade rumo
à sua meta definitiva.
Podem estar relacionados à melhoria de desempenho financeiro, de produtividade, de
qualidade, de práticas ambientais, inovação, satisfação dos clientes e funcionários.
2. Objetivos de Divulgação
Dizem respeito à preparação de comunicação para o uso da organização e das partes
interessadas. Podem envolver informações financeiras e não financeiras e divulgação interna e
externa.
Os objetivos da divulgação interna são influenciados por necessidades internas, como
rumos estratégicos da entidade, seus planos operacionais e as métricas de desempenho em
vários níveis. Os objetivos de divulgação externa são influenciados principalmente por
regulamentos e/ou normas estabelecidas por órgãos reguladores ou autoridades normativas.
3. Objetivos de Conformidade
As organizações devem conduzir suas atividades e, frequentemente, tomar ações
específicas, em concordância com as leis e regulamentos aplicáveis. Como parte da fixação dos
objetivos de conformidade, a organização precisa reconhecer quais leis, regras e regulamentos
são aplicáveis a toda a entidade.
Para o COSO, a conformidade com políticas e procedimentos internos, ao contrário da
conformidade com leis e regulamentos, está relacionada aos objetivos operacionais.
Ministério da Transparência, Fiscalização e Controladoria-Geral da União
2. Avaliação de risco
Identificação dos eventos ou das condições que podem afetar a qualidade da
informação contábil e avaliação dos riscos identificados, incluindo sua probabilidade de
ocorrência, a forma como são gerenciados e as ações a serem implementadas.
Segundo o COSO – Controles Internos, risco é evento futuro e incerto (ou seja, ainda
não ocorreu, e nem há certeza de que irá ocorrer) que, caso ocorra, pode impactar
negativamente o alcance dos objetivos da organização.
Ressalta-se que o COSO-ERM apresenta um maior detalhamento sobre a avaliação de
riscos, inclusive ampliando a definição sobre risco, considerando também as oportunidades,
como eventos que podem impactar positivamente o alcance dos objetivos e também impactar
em alterações nas estratégias da organização.
3. Atividades de controle
Medidas e ações integrantes de um sistema de controle que, se estabelecidas de
forma tempestiva e adequada, podem vir a prevenir ou administrar os riscos inerentes ou em
Ministério da Transparência, Fiscalização e Controladoria-Geral da União
4. Informação e Comunicação
Identificar, armazenar e comunicar toda informação relevante, a fim de permitir a
realização dos procedimentos estabelecidos. Para tanto, deverá ser oportuna e adequada,
além de abordar aspectos financeiros, econômicos, operacionais e estratégicos.
Ministério da Transparência, Fiscalização e Controladoria-Geral da União
5. Monitoramento
Compreende o acompanhamento da qualidade do controle interno, visando assegurar
a sua adequação aos objetivos, ao ambiente, aos recursos e aos riscos. Pressupõe uma
atividade desenvolvida ao longo do tempo.
O monitoramento pode ser realizado de duas maneiras ou por uma combinação de
ambas:
Monitoramento contínuo: por meio de atividades gerenciais contínuas, no
curso das operações normais da organização;
Avaliações separadas: avaliações de controle interno, periódicas, por meio de
autoavaliações e/ou de avaliações/revisões independentes executadas pela
auditoria interna. Avaliações separadas podem também ser executadas pelas
EFS (Entidades Superiores de Fiscalização, cujo representante do Brasil é o
TCU) e por auditores externos.
Página | 47
Ambiente de Controle
1. A organização demonstra um compromisso de integridade e valores éticos.
Pontos de Foco:
o Liderar pelo exemplo;
o Estabelecer normas de conduta;
o Avaliar a adesão às normas de conduta;
o Tratar desvios de forma oportuna.
Avaliação de Risco
6. A organização especifica objetivos com clareza suficiente para permitir a identificação
e avaliação de riscos relacionados com os objetivos.
Pontos de Foco
o Refletir as escolhas da administração;
o Considerar as tolerâncias ao risco;
o Incluir metas de desempenho operacionais e financeiras;
o Formar uma base para comprometimento de recursos.
Pontos de Foco
o Incluir os níveis de entidade, subsidiária, divisão, unidade operacional e áreas
funcionais;
o Analisar fatores internos e externos; Página | 49
o Envolver os níveis apropriados da administração;
o Estimar a importância dos riscos identificados;
o Determinar como responder aos riscos.
Atividades de Controle
10. A organização seleciona e desenvolve atividades de controle que contribuem para a
atenuação dos riscos para a realização dos objetivos a níveis aceitáveis.
Pontos de Foco
o Integrar-se com a avaliação de riscos;
Ministério da Transparência, Fiscalização e Controladoria-Geral da União
12. A organização implanta as atividades de controle através de políticas que estabelecem Página | 50
o que é esperado e procedimentos que colocar condições no lugar.
Pontos de Foco
o Estabelecer políticas e procedimentos para apoiar a implementação das
diretrizes da administração;
o Estabelecer responsabilidade e prestação de contas pela execução das
políticas e procedimentos;
o Realizar tempestivamente;
o Tomar ações corretivas;
o Realizar recorrendo a pessoal competente;
o Reavaliar políticas e procedimentos.
Informação e Comunicação
13. A organização obtém ou gera e utiliza informações relevantes e de qualidade para
apoiar o funcionamento do controle interno.
Pontos de Foco
o Identificar os requisitos de informações;
o Capturar fontes internas e externas de dados;
o Processar dados relevantes em informações;
o Manter a qualidade durante todo o processamento;
o Considerar custos e benefícios.
Pontos de Foco
o Comunicar as informações de controle interno;
o Comunicar-se com a estrutura de governança;
o Fornecer linhas de comunicação independentes;
o Selecionar métodos de comunicação relevantes.
15. A organização se comunica com partes externas sobre questões que afetam o
funcionamento do controle interno.
Pontos de Foco
o Comunicar-se com públicos externos;
o Possibilitar o recebimento de comunicações;
o Comunicar-se com a estrutura de governança;
o Fornecer linhas de comunicação independentes;
o Selecionar métodos de comunicação relevantes.
Monitoramento
16. A organização seleciona, desenvolve e realiza avaliações para verificar se os
Página | 51
componentes do controle interno estão presentes e funcionando.
Pontos de Controle
o Considerar uma combinação de avaliações contínuas e independentes;
o Considerar o ritmo das mudanças;
o Estabelecer o entendimento da base de referência;
o Utilizar pessoal com conhecimento;
o Integrar aos processos de negócios;
o Ajustar o escopo e a frequência;
o Avaliar objetivamente.
17. A organização avalia e comunica deficiências de controle interno em tempo hábil para
aqueles responsáveis para tomar uma ação corretiva, incluindo a alta administração e
o Conselho de administração, conforme o caso.
Pontos de Controle
o Avaliar resultados;
o Comunicar deficiências;
o Monitorar as ações corretivas.
6.
7. QUANDO O RISCO DE MATERIALIZA
Gerenciamento de Incidentes
O gerenciamento de incidentes tem como foco principal restabelecer o serviço o mais
rápido possível minimizando o impacto negativo no negócio. Garantir que os melhores níveis
de disponibilidade e de qualidade dos serviços, sejam mantidos conforme os acordos de nível
de serviço é também uma tarefa da gerência de incidentes.
Ministério da Transparência, Fiscalização e Controladoria-Geral da União
Gerenciamento de Problemas
O gerenciamento de problemas tem o objetivo de analisar a causa dos incidentes
ocorridos, fornecendo soluções paliativas e definitivas, mitigando a recorrência destes. Na
prática, a gestão de problemas não gera resultados rápidos e por isso não é tão visível quanto
a gestão de incidentes, porém a médio prazo costuma ajudar tanto na redução de reclamações
quanto na credibilidade da área em questão.
Os planos de ação devem indicar os 5W1H, traduzindo para o português, eles seriam o
seguinte:
- O que será feito: descrever claramente a ação que será realizada;
- Porque será feito: indicar o objetivo da ação e justificar necessidade de sua realização;
- Quem fará: nominar e individualizar responsabilidade para cada ação do plano;
- Quando fará: precisar as datas previstas de início e fim de execução da cada ação;
- Onde fará: local, unidade, processo, sistema, programa, etc;
- Como fará: maneira, método ou solução adotada.
Plano de Contingências
Definição de responsabilidades, áreas e sistemas envolvidos para atender a uma
emergência.
É um documento desenvolvido com o intuito de treinar, organizar, orientar, facilitar, agilizar e
uniformizar as ações necessárias às respostas de controle e combate às ocorrências anormais.
Também chamado de planejamento de riscos, plano de continuidade de negócios ou plano de
recuperação de desastres
Ministério da Transparência, Fiscalização e Controladoria-Geral da União
REFERÊNCIAS
ABNT NBR ISO 31000, Gestão de Riscos – Princípios e diretrizes. Dezembro 2009
BRASIL. Instrução Normativa Conjunta MP/CGU n.º 01, de 10 de maio de 2016. Dispõe sobre
controles internos, gestão de riscos e governança no âmbito do Poder Executivo federal.
Disponível em <http://sintse.tse.jus.br/documentos/2016/Mai/11/instrucao-normativa-
conjunta-no-1-de-10-de-maio-de> Acesso em: maio. 2016.
______. Relatório TCU - TC 011.745/2012-6. Levantamento de auditoria. Elaboração de
indicador para medir o grau de maturidade de entidades públicas na gestão de riscos.
Brasília: 11 set. 2013. Disponível em: <
https://contas.tcu.gov.br/juris/Web/Juris/ConsultarTextual2/Jurisprudencia.faces>.
Organizations, C. Internal Control – Integrated Framework. New York, NY: COSO. Traduzido
pela PWC em 2013. Available at http://www.coso.org.
______. Enterprise Risk Management— Integrated Framework. New York, NY: COSO.
Traduzido pela AUDIBRA em 2007. Available at http://www.coso.org.