Apostila - Gest o de Riscos e Controles Internos

Ministério da Transparência, Fiscalização e Controladoria-Geral da União
Curso: Gestão de Riscos e Controles

Internos no Setor Público
Página | 1
Apostila
SUMÁRIO
1. Introdução .................................................................................................. 03
2. Conceitos Básicos ....................................................................................... 04
3. Evolução Histórica: Controle & Risco ......................................................... 05
4. Objetivos da Organização .......................................................................... 20
5. Gestão de Riscos ....................................................................................... 21
6. Controles Internos .................................................................................... 33
7. Quando o risco de materializa .................................................................. 51
Página | 2
1. INTRODUÇÃO
O ano de 2016 pode ser considerado um marco na Gestão Pública Federal com o
advindo da Instrução Normativa Conjunta CGU/MPOG nº 1. A Controladoria-Geral da União e
o Ministério do Planejamento, Orçamento e Gestão determinam, aos órgãos e entidades do
Poder Executivo Federal, a adoção de uma série de medidas para a sistematização de práticas
relacionadas a gestão de riscos, controles internos e governança.
A partir de agora, o dirigente máximo de cada órgão ou entidade passa a ser o
principal responsável pelo estabelecimento da estratégia de organização e da estrutura de
gerenciamento de riscos. Dentro deste cenário, também será papel do dirigente máximo
estabelecer, de forma continuada, o monitoramento e o aperfeiçoamento dos controles
internos da gestão.
Cada risco mapeado e avaliado deve estar associado a um agente responsável
formalmente identificado. O agente responsável pelo risco deve ser um gestor com alçada
suficiente para orientar e acompanhar as ações de mapeamento, avaliação e mitigação do
risco. As tipologias de risco abrangem: riscos operacionais, de imagem/reputação do órgão,
legais e financeiros/orçamentários.
A norma também prevê a instituição de comitês de governança, riscos e controles em
todos os órgãos federais. Cada comitê será formado pelo dirigente máximo do órgão ou Página | 3
entidade, pelos dirigentes das unidades a ele diretamente subordinadas e será apoiado pelo
respectivo assessor especial de Controle Interno.
Os comitês terão sob sua responsabilidade promover a adoção de práticas que
institucionalizem a responsabilidade dos agentes públicos na prestação de contas,
transparência, efetividade das informações e, dentro dessa finalidade, promover o
desenvolvimento contínuo dos agentes públicos; garantir a aderência às regulamentações, leis,
códigos, normas e padrões, com vistas a condução das políticas e à prestação de serviços de
interesse público; bem como supervisionar o mapeamento e avaliação dos riscos-chaves que
podem comprometer a prestação de serviços de interesse público; entre outras atribuições.
Caberá à CGU avaliar cada procedimento em relação à aplicação das políticas de
gestão de risco e a eficácia dos controles internos.
De forma a capacitar os gestores para a implementação dessa norma, a CGU em
parceria com a ENAP elaborou esse curso que tem como objetivo prover os gestores com as
ferramentas e conhecimentos necessários para se adequarem ao cenário proposto.
2. CONCEITOS BÁSICOS
Para melhor compreender o assunto que será abordado nessa apostila, é necessário
ter o entendimento de três conceitos básicos relativos à gestão de risco: objetivo, risco e
controles internos.
Objetivo
O gerenciamento de riscos corporativos eficaz não dita os objetivos que a
administração deve escolher, mas certifica-se que a referida administração dispõe de um
processo que alinhe objetivos estratégicos com a sua missão e que esses objetivos e os
correlatos selecionados estejam de acordo com o apetite a risco (Committee of Sponsoring
Organizations of the Treadway Commission - COSO, 2007).
Ainda segundo o COSO os controles internos asseguram o atingimento dos objetivos,
de maneira correta e tempestiva, com a mínima utilização de recursos.
Pelo exposto, fica evidente que para se implementar uma gestão de riscos eficaz, é
necessário ao gestor saber primeiramente quais são seus objetivos. O termo objetivo diz
respeito a um fim que se quer atingir.
Se não sabes a que porto te diriges, nenhum vento te será favorável. Página | 4
Sêneca – filósofo
Risco
Superada a fase de definição dos objetivos, cabe ao gestor levantar os eventos que
porventura possam vir a impactar futuramente o atingimento dos objetivos. Esses eventos
denominamos de “riscos”.
É comum na literatura associar riscos à eventos que impactam a gestão de forma
negativa ou positiva, dificultando ou facilitando o gestor no atingimento dos objetivos.
Por motivo de didática, adotaremos nesse curso apenas o sentido negativo da palavra,
e quando se tratar de seu sentido positivo será utilizada a palavra oportunidade ao invés de
riscos.
Controle Interno
De acordo com a IN conjunta 01, os controles internos da gestão se constituem na
primeira linha (ou camada) de defesa das organizações públicas para propiciar o alcance de
seus objetivos.
Em outras palavras, são os instrumentos implementados pelo gestor para mitigar os
riscos identificados.
3. EVOLUÇÃO HISTÓRICA: CONTROLE & RISCO

A palavra “risco” deriva do italiano antigo riscare, que significa “ousar”. Nesse sentido,
o risco é uma opção, e não um destino. É das ações que ousamos tomar que depende nosso
grau de liberdade de opção.
O estudo sério do risco começou no Renascimento, quando as pessoas se libertaram
das restrições do passado e desafiaram abertamente as crenças consagradas. Foi uma época
em que grande parte do mundo seria descoberta e seus recursos, explorados. Uma época de
turbulência religiosa, de capitalismo nascente e de uma abordagem vigorosa da ciência e do
futuro.
O núcleo matemático do conceito do risco surgiu em 1654 com a elaboração da teoria
das probabilidades por Blaise Pascal e Pierre de Fermat. No século XVIII, Johann Bernoulli
inventou a lei dos Grandes Números e a amostragem estatística, enquanto Abraham de Moivre
expôs a estrutura da distribuição normal e descobriu o conceito de desvio padrão constituindo
a base da lei das médias.
Página | 5
Figura 1 - Curva Normal
Apesar dos estudos matemáticos referentes a risco existirem há muitos anos, observa-
se que apenas recentemente tais teorias foram se integrando às boas práticas internacionais
de gestão coorporativa. É mais curioso ainda o fato de que apesar dos controles internos
existirem para mitigar os riscos identificados, os modelos de controle interno na gestão
coorporativa se destacaram previamente aos modelos de gestão de risco. Como observa-se no
framework de controles internos do COSO, publicado em 1992, que antecedeu o COSO-ERM,
publicado somente em 2004.
COSO Controles Internos – Estrutura Integrada

Devido a políticas questionáveis no financiamento de campanhas políticas e
identificação de práticas de corrupção em relações internacionais na década de 1970, o U.S
Securities and Exchange Commission (SEC) e o Congresso dos EUA promulgaram uma reforma
nas leis de financiamento de campanha, bem como o Foreign Corrupt Practices Act (FCPA) que
criminalizou os subornos transnacionais e exigiu que as empresas implementassem programa
de controle interno. Em resposta, uma comissão nacional em fraudes financeiras, a Treadway
Commision, foi formada em 1985 para inspecionar, analisar e elaborar recomendações em
fraudes financeiras corporativas. É importante ressaltar que essa comissão tratou-se de uma
iniciativa do setor privado.
O resultado do trabalho da Treadway Commision foi publicado em 1987 e como
resultado desse relatório o COSO (The Committee of Sponsoring Organizations of the Treadway
Commission) foi criado a partir de membros da Coopers & Lybrand, uma grande firma pública
de contadores, para estudar as questões apontadas no relatório e elaborar um framework de
controle interno.
Em 1992, os quatro volumes intitulados Internal Control – Integrated Framework, foi
lançado pelo COSO apresentando definições comuns de controle interno e provendo um
framework no qual controles internos podiam ser avaliados e melhorados.
COSO ERM
Em 2001, o COSO - Controles Internos iniciou um projeto com a finalidade de
desenvolver estratégia para gerenciar riscos corporativos e solicitou à PricewaterhouseCoopers
que desenvolvesse uma estratégia de fácil utilização pelas organizações.
Foi criado o documento chamado Enterprise Risk Management – Integrated
Framework, como uma estrutura de gerenciamento de riscos corporativos, capaz de fornecer
os princípios e conceitos fundamentais, em uma linguagem simples, com direcionamento e
orientação, publicado em 2004.
Em 2007, foi traduzido para o português pela AUDIBRA (Instituto dos Auditores
Internos do Brasil) e publicado com o título “Gerenciamento de Riscos Corporativos – Estrutura Página | 6
Integrada”
O período de desenvolvimento do COSO - ERM foi marcado por uma série de
escândalos e quebras de negócios de grande repercussão, que geraram prejuízos de grande
monta a investidores, empregados e outras partes interessadas, como o caso da Eron
Corporation e Arthur Andersen que efetuaram fraudes contábeis e fiscais, omitindo prejuízos
por dois anos consecutivos de US$ 25 bilhões.
Trata-se de um modelo predominante no cenário corporativo internacional, utilizado
sobretudo nos Estados Unidos. Também foi recepcionado pela INTOSAI (Órgão internacional
fiscalizatório do setor governamental – tendo como representante o Tribunal de Contas da
União - TCU): INTOSAI GOV 9130. Também é utilizado pelo Government Accountability Office
(GAO) – Escritório de Accountability dos Estados Unidos; Banco Interamericano de
Desenvolvimento (BID); Banco Mundial e Controladoria-Geral da União (CGU).
Ressalta-se que o COSO – Controles Internos ainda é uma referência quando se trata
das melhores práticas de controles internos corporativos, indo além dos controles contábeis e
financeiros e auxiliando as organizações a avaliarem e aperfeiçoarem seus sistemas de
controle interno, considerando inclusive o gerenciamento de riscos.
Embora a estrutura de gerenciamento de riscos corporativos (COSO-ERM) não tenha
por meta substituir a estrutura de controles internos das organizações, incorpora estrutura de
controle interno em seu conteúdo e poderá ser utilizada, tanto para atender às necessidades
de controle interno quanto para adotar um processo completo de gerenciamento de riscos.
Para o COSO ERM, o gerenciamento de riscos consiste em:
Um processo conduzido em uma organização pelo conselho de administração,
diretoria e demais empregados, aplicado no estabelecimento de estratégias, formuladas para
identificar em toda a organização eventos em potencial, capazes de afetá-la, e administrar os
riscos de modo a mantê-los compatível com o apetite a risco da organização e possibilitar

garantia razoável do cumprimento dos seus objetivos (COSO, 2007).
Quanto à estrutura de composição do COSO ERM, existe um relacionamento direto
entre os objetivos, que uma organização se empenha em alcançar, com os componentes do
gerenciamento de riscos corporativos, que representam aquilo que é necessário para o alcance
desses objetivos, e a estrutura da organização para realização dessas ações. Esse
relacionamento é apresentado em uma matriz tridimensional em forma de cubo:
Objetivos
Estru
tura
da
Entid
ade
Página | 7
Componentes
Fonte: COSO, 2007.
As quatro categorias de objetivos (estratégicos, operacionais, de comunicação e

conformidade) estão representadas nas colunas verticais. Os oito componentes nas linhas
horizontais e as unidades de uma organização na terceira dimensão. Essa representação ilustra
a capacidade de manter o enfoque na totalidade do gerenciamento de riscos de uma
organização, ou na categoria de objetivos, componentes, unidade da organização ou qualquer
um dos subconjuntos (COSO, 2007).
Orange Book
O Reino Unido também tem adotado gestão de riscos no seu setor público há alguns
anos. Já no ano 2000, o Auditor Geral do Reino Unido publicou relatório de auditoria sobre o
tema intitulado Supporting innovation: Managing risk in government departments,
fortalecendo a agenda sobre gestão de riscos.
Em 2001, o Tesouro britânico produziu documento chamado Management of Risk -
Principles and Concepts, conhecido como Orange Book, trazendo princípios e conceitos gerais
sobre riscos. Foi atualizado em 2004.
Posteriormente, em 2009, o Tesouro britânico publicou ferramenta voltada para a
avaliação da gestão de risco nos diversos setores do governo - Risk Management assessment
framework: a tool for departments, consolidando assim o uso dessa abordagem na sua
administração pública (TCU, 2013).
Ressalta-se que Orange Book foi referencial para o Guia de orientação para o
gerenciamento de riscos, do Ministério do Planejamento, em 2013, mas que não foi
homologado. O Guia justificou a adoção desse modelo da seguinte forma:
O Orange Book tem como vantagens, além de ser compatível com padrões
internacionais de gerenciamento de riscos, apresentar uma introdução ao tema
gerenciamento de riscos, tratando de uma forma abrangente e simples, um tema
complexo como o gerenciamento de riscos nas organizações.
Isto é essencial na introdução de um processo de gerenciamento de riscos em
uma organização, uma vez que, dentro de qualquer organização existem diversos
níveis de maturidade com relação ao gerenciamento de riscos (SEGEP, 2013).
O modelo é composto por um conjunto de quatro elementos inter-relacionados:
1- Processo de gerenciamento de riscos: aplicação de princípios e processos
para identificação de riscos, planejamento, implementação e controle das respostas
aos riscos. Considera também a governança, políticas, objetivos, estrutura
organizacional, recursos, sistemas de informação, normas, modelos e diretrizes da
Página | 8
organização;
2- Organização Estendida: nenhuma organização opera de forma
independente. Tem interdependências com outras organizações dentro e fora do
governo.
3- Macro Ambiente de riscos: Outros fatores que contribuem para o ambiente
ou cenários nos quais os riscos devem ser gerenciados, como ambiente político, social,
tecnológico, ambiental, econômico.
4- Comunicação e Aprendizado Contínuo: fornecer, obter e compartilhar
informações necessárias para dialogar com as partes interessadas, bem como
aprender com o gerenciamento de riscos e permear toda a gestão.
Esses elementos também foram apresentados graficamente:
Macro Ambiente
Legisl
ação
Nacio
Organização Orga Gove
nal Outras
Estendida nism rnos
e unidades os Estra
Intern e Finanngeir
Organização
acionaMinistério ciado os
Identificar
l s o Contexto res
e os Riscos
Comunicação Comunicação
e Aprendizado e Aprendizado
Estratégia Analisar e
Avaliar
Programas os riscos
Implementar
Economi Monitorar e Pa
Controlar
ae Projetos e Atividades rce
Política Planejar iroÓrgã Página | 9
NacionalFornecedores Respostas s os de
e Audit
Internaci oria
onal
Expectativas de
Cidadãos e
Sociedade
Fonte: Gespública, 2013.
Isto é essencial na introdução de um processo de gerenciamento de riscos em uma

organização, uma vez que, dentro de qualquer organização existem diversos níveis de
maturidade com relação ao gerenciamento de riscos (SEGEP, 2013).
Quanto ao Risk Management Assessment framework: a tool for departaments,
elaborado pelo Tesouro Britânico, o modelo tem foco na organização e está estruturado em
sete componentes:
1- liderança;
2- pessoas;
3- política e estratégias para riscos;
4- parcerias;
5- processo de gestão de riscos;

6- eficácia da gestão de riscos;
7- resultados.
Com base nesse modelo o Tribunal de Contas da União desenvolveu a seguinte

estrutura para avaliar a maturidade
em gestão de riscos da Unidades da
Administração Indireta:
Página | 10
Fonte: TCU, 2013.
O TCU dispõe em seu relatório TC 011.745/2012-6 a justificativa para escolha desse

modelo:
Trata-se de ferramenta desenvolvida para a mesma finalidade ora pretendida (avaliar

a gestão de riscos); trata explicitamente a gestão dos riscos que envolvem parcerias no
setor público, aspecto não enfocado em outros modelos; baseia-se em modelo
consagrado de excelência de gestão; foi desenvolvido especificamente para o setor
público (TCU, 2013).
Modelo de Gestão de riscos do Governo Canadense

O Treasury Board Secretariat (Secretaria do Tesouro) do Canadá adotou oficialmente
modelo de gestão de riscos em 2001 (Integrated Risk Management Framework), criado para
auxiliar a alta administração pública quanto à identificação dos diferentes tipos de riscos e às
decisões a serem tomadas para mitigá-los.
Em 2010, promoveu revisão ampla do tema e editou novos documentos de referência

(Framework for the Management of Risk), mas mantendo a continuidade da adoção da gestão
de riscos no setor público canadense. Também existem outros grupos federais envolvidos com
questões relacionadas à gestão de riscos, conforme figura abaixo:
Fonte: Enap, 2003.
O Modelo canadense também apresenta obstáculos e possíveis soluções à

implementação da gestão de riscos:
Obstáculos à
Processo de gestão de
implementação do Possíveis Soluções
riscos Página | 11
sistema ideal
- Planejamento de cenários/prospecção;
Identificação do Ignorar riscos - Abordagem sistêmica à identificação de riscos;
problema ou risco importantes - Abordagem integrada à gestão de riscos;
- Equipes interfuncionais e interministeriais.
Qualidade e - Competência profissional e conhecimento dos
oportunidade das métodos de avaliação de riscos.
informações
- Reconhecimento, aceitação e comunicação das
incertezas;
- Criação de uma cultura organizacional
caracterizada pela experimentação e pela gestão
Lidar com incertezas adaptativa;
Avaliação das áreas-
nas informações - Permissão às pessoas para aprenderem com seus
chave de risco
erros;
- Adoção do princípio preventivo quando
necessário;
- Monitoramento e auditoria, melhoria contínua.
- Integridade, competência, empatia,
Falta de compreensão
transparência, diálogo e comunicação dos riscos;
e confiança entre as
- Processo decisório consistente e bem
partes interessadas
compreendido.
- Diálogo e comunicação dos riscos.
Priorizar a atenção
- Facilitação das negociações com partes

Resposta ao Diálogo e comunicação
interessadas;
desenvolvendo dos dos riscos
- Inclusão, envolvimento e consultas.
objetivos, estratégias e - Especialização e competência profissional no
opções desenvolvimento e análise de políticas para
Minimizar os riscos determinar os instrumentos mais eficazes, como
regulamentação, instrumentos econômicos,
acordos voluntários.
- Educação e treinamento no serviço público;

- Criação de uma cultura de gestão de riscos no
serviço público;
Implementação das Sistemas e cultura
- Estabelecimento de atribuições e
estratégias organizacionais
responsabilidades claras;
- Desenvolvimento de sistemas, procedimentos
claros e bem documentados.
- Criação de objetivos específicos tanto para
Monitorar tanto o
Monitoramento e processo como para substância da gestão da riscos;
processo como o
aprendizagem - Desenvolvimento de indicadores baseados nesses
resultado
objetivos.
Fonte: ENAP, 2003.
ABNT NBR ISO 31000

A ABNT NBR ISSO 31000 foi elaborada pela Comissão de Estudo Especial de Gestão de
Riscos (CEE-63), sendo uma adoção idêntica, em conteúdo técnico, estrutura e redação, à ISO
31000:2009, que foi elaborada pelo International Organization for Standardization Technical
Management Board Working Group on risk management (ISO/TMB/WG), conforme ISO/IEC
Guide 21-1:2005.
A norma fornece princípios e diretrizes genéricas para a gestão de riscos, podendo ser Página | 12
utilizada por qualquer empresa pública, privada, associação, grupo ou indivíduo.
É usualmente conhecida como uma norma “guarda-chuva” por pretender harmonizar

os processos de gestão de riscos, tanto em normas atuais como em futuras, fornecendo uma
abordagem comum para apoiar Normas que tratem de riscos e/ou setores específicos.
A ISO 31000 é composta por três normas:
 ISO 31000 – Informações básicas, princípios e diretrizes para a implementação

de gestão de riscos.
 ISO/IEC 31010 – Técnicas de avaliação e gestão de riscos.
 ISO Guia 73 – Vocabulário relacionado à gestão de riscos.
A norma apresenta os seguintes princípios aos quais uma organização deve atender
em todos os níveis para que a gestão de risco seja eficaz:
 A gestão de riscos cria e protege valor.

 A gestão de riscos é parte integrante de todos os processos organizacionais.
 A gestão de riscos é parte da tomada de decisões.
 A gestão de riscos aborda explicitamente a incerteza.
 A gestão de riscos é sistemática, estruturada e oportuna.
 A gestão de riscos baseia-se nas melhores informações disponíveis.
 A gestão de riscos é feita sob medida.
 A gestão de riscos considera fatores humanos e culturais.
 A gestão de riscos é transparente e inclusiva.
 A gestão de riscos é dinâmica, iterativa e capaz de reagir a mudanças.
 A gestão de riscos facilita a melhoria contínua da organização.
De acordo com a ISO, o sucesso da gestão de riscos irá depender da eficácia da

estrutura de gestão que fornece os fundamentos e os arranjos que irão incorporá-la através de
toda a organização em todos os níveis. A estrutura auxilia a gerenciar riscos eficazmente
através da aplicação do processo de gestão de riscos em diferentes níveis e dentro de
contextos específicos da organização. A estrutura assegura que a informação sobre riscos
provenientes desse processo seja adequadamente reportada e utilizada como base para a
tomada de decisões e a responsabilização em todos os níveis organizacionais aplicáveis. A
figura a seguir apresenta o relacionamento entre os princípios apresentados com a estrutura e
processo:
Página | 13
Fonte: ISO, 2009
Instrução Normativa Conjunta Nº 01, de 10 de maio de 2016

A Instrução Normativa Conjunta Nº 01, de 10 de maio de 2016, dispões sobre
controles internos, gestão de riscos e governança no âmbito do Poder Executivo Federal. Os
órgãos e entidades do Poder Executivo Federal deverão implementar, manter, monitorar e
revisar o processo de gestão de riscos, compatível com sua missão e seus objetivos
estratégicos, observadas as diretrizes estabelecidas na IN.
De acordo com a IN, são objetivos da gestão de riscos:

 Assegurar que os responsáveis pela tomada de decisão, em todos os níveis do

órgão ou entidade, tenham acesso tempestivo a informações suficientes
quanto aos riscos aos quais está exposta a organização.
 Aumentar a probabilidade de alcance dos objetivos da organização, reduzindo
os riscos a níveis aceitáveis.
 Agregar valor à organização por meio da melhoria dos processos de tomada de
decisão e do tratamento adequado dos riscos e dos impactos negativos
decorrentes de sua materialização.
A gestão de riscos do órgão ou entidade observará os seguintes princípios:
 Gestão de riscos de forma sistemática, estruturada e oportuna, subordinada

ao interesse público;
 Estabelecimento de níveis de exposição a riscos adequados;
 Estabelecimento de procedimentos de controle interno proporcionais ao risco,
observada a relação custo-benefício, e destinados a agregar valor à
organização;
 Utilização do mapeamento de riscos para apoio à tomada de decisão e à
elaboração do planejamento estratégico; e
 Utilização da gestão de riscos para apoio à melhoria contínua dos processos Página | 14
organizacionais.
A IN também definiu um prazo de doze meses a contar da sua publicação para a

instituição de uma Política de Gestão de Riscos pelos órgãos e entidades do Poder Executivo
Federal. Nessa política devem ser especificadas pelo menos:
 Princípios e objetivos organizacionais.

 Diretrizes sobre:
o Como a gestão de risco será integrada ao planejamento estratégico,
aos processos e às políticas da organização.
o Como e com qual periodicidade serão identificados, avaliados,
tratados e monitorados os riscos.
o Como será medido o desempenho da gestão de riscos.
o Como serão integradas as instâncias do órgão ou entidade
responsáveis pela gestão de riscos.
o A utilização de metodologia e ferramentas para o apoio à gestão de
riscos.
 Competências e responsabilidades para a efetivação da gestão de riscos no
âmbito do órgão ou entidade.
De acordo com a IN, a responsabilidade será do dirigente máximo da organização no

estabelecimento da estratégia da organização e da estrutura de gerenciamento de riscos,
incluindo o estabelecimento, a manutenção, o monitoramento e o aperfeiçoamento dos
controles internos da gestão.
Cada risco mapeado e avaliado deverá estar associado a um agente responsável

formalmente identificado. Caberá ao gestor de risco:
 Assegurar que o risco seja gerenciado de acordo com a política de gestão de

riscos da organização.
 Monitorar o risco ao longo do tempo, de modo a garantir que as respostas
adotadas resultem na manutenção do risco em níveis adequados, de acordo
com a política de gestão de riscos.
 Garantir que as informações adequadas sobre o risco estejam disponíveis em
todos os níveis da organização.
A IN define também os princípios da boa governança, a saber: liderança, integridade,

responsabilidade, compromisso, transparência e accountability.
Por último a IN determina que os órgãos e entidades do Poder Executivo federal

deverão instituir, pelos seus dirigentes máximos, Comitê de Governança, Riscos e Controles. O
Comitê deverá ser composto pelo dirigente máximo e pelos dirigentes das unidades a ele
diretamente subordinados e será apoiado pelo respectivo Assessor Especial de Controle
Interno.
Modelos e regulamentações aplicáveis a determinados segmentos específicos – COBIT

COBIT é um guia de boas práticas apresentado como framework, dirigido para a gestão Página | 15
de tecnologia de informação. Mantido pelo Information Systems Audit and Control Association
- ISACA, possui uma série de recursos que podem servir como um modelo de referência para
gestão da TI, incluindo um sumário executivo, um framework, objetivos de controle, mapas de
auditoria, ferramentas para a sua implementação e principalmente, um guia com técnicas de
gerenciamento.
Especialistas em gestão e institutos independentes recomendam o uso do COBIT como

meio para otimizar os investimentos de TI, melhorando o retorno sobre o investimento e
fornecendo métricas para avaliação dos resultados.
De acordo com o COBIT são objetivos genéricos de TI:
 Responder aos requerimentos de negócio de maneira alinhada com a

estratégia de negócio.
 Responder aos requerimentos de governança em linha com a Alta Direção.
 Assegurar a satisfação dos usuários.
 Otimizar o uso da informação.
 Criar agilidade para TI
 Definir como funções de negócios e requerimentos
 Definir como funções de negócios e requerimentos de controles são
convertidos em soluções automatizadas efetivas e eficientes.
 Adquirir e manter sistemas aplicativos integrados e padronizados.
 Adquirir e manter uma infraestrutura de TI integrada e padronizada.
 Adquirir e manter habilidades de TI que atendam as estratégias de TI.
 Assegurar a satisfação mútua no relacionamento com terceiros.
 Assegurar a integração dos aplicativos com os processos de negócios.
 Assegurar a transparência e o entendimento dos custos, benefícios, estratégia,

políticas e níveis de serviços de TI.
 Assegurar apropriado uso e a performance das soluções de aplicativos e de
tecnologia.
 Responsabilizar e proteger todos os ativos de TI.
 Otimizar a infraestrutura, recursos e capacidades de TI.
 Reduzir os defeitos e retrabalhos na entrega de serviços e soluções.
 Proteger os resultados alcançados pelos objetivos de TI.
 Estabelecer claramente os impactos para os negócios resultantes de riscos de
objetivos e recursos de TI.
 Assegurar que informações confidenciais e críticas são protegidas daqueles
que não deveriam ter acesso às mesmas.
 Assegurar que transações automatizadas de negócios e trocas de informações
podem ser confiáveis.
 Assegurar que os serviços e infraestrutura de TI podem resistir e recuperar-se
de falhas devido a erros, ataques deliberados ou desastres.
 Assegurar o mínimo impacto para os negócios no caso de uma parada ou
mudança nos serviços de TI.
 Garantir que os serviços de TI fiquem disponíveis de acordo com o requerido.
Assim como o COSO, é comum ver a estrutura do COBIT representada por um cubo: Página | 16
Fonte: COBIT, 2012
O COBIT cobre quatro domínios, os quais possuem 34 processos, e estes processos

possuem 210 objetivos de controle. Os quatro domínios são:
 Planejar e Organizar
 Adquirir e Implementar
 Entregar e Suportar
 Monitorar e Avaliar.
O domínio de Planejamento e Organização cobre o uso de informação e tecnologia e

como isso pode ser usado para que a empresa atinja seus objetivos e metas. Ele também
salienta que a forma organizacional e a infraestrutura da TI devem ser consideradas para que
se atinjam resultados ótimos e para que se gerem benefícios do seu uso. A tabela seguinte lista
os processos de TI para o domínio do Planejamento e Organização.
Fonte: COBIT, 2012

Página | 17
O domínio Adquirir e Implementar cobre a identificação, o desenvolvimento ou
aquisição, a implementação e integração das soluções de TI ao processo de negócios. Além
disso, alterações e manutenções nos sistemas existentes são cobertas por esse domínio para
assegurar que as soluções continuem a atender aos objetivos de negócios. Este domínio
tipicamente trata das seguintes questões de gerenciamento.
Fonte: COBIT, 2012
O domínio Entregar e Suportar foca aspectos de entrega de tecnologia da informação.

Cobre a execução de aplicações dentro do sistema de TI e seus resultados, assim como os
processos de suporte que permitem a execução de forma eficiente e efetiva. Esses processos
de suporte também incluem questões de segurança e treinamento. A seguir, a tabela com os
processos de TI desse domínio.
Página | 18
Fonte: COBIT, 2012
O domínio de Monitorar e Avaliar lida com a estimativa estratégica das necessidades

da companhia e avalia se o atual sistema de TI atinge os objetivos para os quais ele foi
especificado e controla os requisitos para atender objetivos regulatórios. Ele também cobre as
questões de estimativa, independentemente da efetividade do sistema de TI e sua capacidade
de atingir os objetivos de negócio, controlando os processos internos da companhia através de
auditores internos e externos.
Fonte: COBIT, 2012
Modelos e regulamentações aplicáveis a determinados segmentos específicos – Lei

Sarbanes-Oxley
A Lei Sarbanes-Oxley é uma lei estadunidense, assinada em 30 de julho de 2002 pelo
senador Paul Sarbanes e pelo deputado Michael Oxley.
Motivada por escândalos financeiros corporativos (dentre eles o da Enron, que acabou
por afetar drasticamente a empresa de auditoria Arthur Andersen), essa lei foi redigida com o
objetivo de evitar o esvaziamento dos investimentos financeiros e a fuga dos investidores

causada pela aparente insegurança a respeito da governança adequada das empresas.
A lei Sarbanes-Oxley, apelidada de Sarbox ou ainda de SOX, visa garantir a criação de

mecanismos de auditoria e segurança confiáveis nas empresas, incluindo ainda regras para a
criação de comitês encarregados de supervisionar suas atividades e operações, de modo a
mitigar riscos aos negócios, evitar a ocorrência de fraudes ou assegurar que haja meios de
identificá-las quando ocorrem, garantindo a transparência na gestão das empresas.
A lei Sarbanes – Oxley praticamente redefiniu as regras para as empresas corporativas,

em relação a divulgação e a emissão de relatórios financeiros. Devido aos recentes escândalos
presenciados no atual mercado e declarações de executivos renomados nas quais dizem “não
ter conhecimento” de atividades duvidosas desenvolvidas por suas entidades. Esta Lei tem por
finalidade desencorajar essas declarações nas quais às conferências internas irão ser mais
rígidas e os executivos irão ser responsabilizados.
A Lei Sarbanes-Oxley tem por finalidade ressaltar o papel crítico do “controle interno”.
O controle interno é desenvolvido pela Diretoria, Conselho de Administração ou por
colaboradores da entidade que alavanca o sucesso dos negócios em três categorias:
 Eficácia e eficiência das operações;

 Confiabilidade nos relatórios financeiros;
Página | 19
 Cumprimento de leis e regulamentos aplicáveis.
A Lei Sarbanes-Oxley esclarece que os diretores executivos e diretores financeiros

serão responsáveis por estabelecer, analisar e controlar a eficácia dos controles internos sobre
os relatórios financeiros e divulgações.
Especialistas no assunto descrevem que esta nova lei é a peça mais significativa da
legislação comercial nos últimos cinquenta anos. Ela muda o ambiente empresarial e
regulador. A maior abrangência da Lei Sarbanes-Oxley concentra-se nas Seções 302 e 404.
Seção 302 – de forma explícita demonstra que os diretores executivos e diretores

financeiros devem declarar pessoalmente que são responsáveis pelos controles e
procedimentos de divulgação de relatórios. A cada documento trimestral deverá conter a
certificação de que eles desenvolveram e avaliaram com eficácia os controles internos. Os
executivos certificados também devem declarar e divulgar todas e quaisquer relevâncias
significativas do controle, como insuficiência materiais e atos de fraudes.
Seção 404 – Expõe que deve ser feita uma avaliação anual de todos os controles e
procedimentos internos para que sejam emitidos os relatórios financeiros. Além disso, o
auditor externo deve emitir um relatório atestando a veracidade das informações do controle
interno.
O descumprimento dessa exigência tem um alto preço: multas de até US$ 5 milhões e
até vinte anos de prisão podem ser as penas impostas para o descumprimento intencional,
esta é uma medida que sustenta a engrenagem da lei.
Enfim a Sarbanes-Oxley é um indicativo de uma das mudanças que afetam a forma

como as empresas realizam seus controles internos e sua responsabilidade perante os
mesmos.
São requisitos da lei:

 Controlar a criação, edição e versionamento dos documentos em um ambiente

de acordo com os padrões ISO, para controle de todos os documentos
relativos à seção 404.
 Cadastrar os riscos associados aos processos de negócios e armazenar os
desenhos de processo.
 Utilizar ferramentas como editor de texto e planilha eletrônica para criação e
alteração dos documentos da seção 404.
 Publicar em múltiplos websites os conteúdos da seção 404.
 Gerenciar todos os documentos controlando seus períodos de retenção e
distribuição.
 Digitalizar e armazenar todos os documentos que estejam em papel, ligados à
seção 404.
Você sabia que...

Atualmente grandes empresas com operações financeiras no exterior seguem a lei
Sarbanes-Oxley. A lei também afeta dezenas de empresas brasileiras que mantém ADRs -
American Depositary Receipts negociadas na NYSE, como a Petrobras, Ambev, Bunge
Brasil, a GOL Linhas Aéreas, a Sabesp, a CPFL (Companhia Paulista de Força e Luz), a TAM
Linhas Aéreas, a Brasil Telecom, Ultrapar (Ultragaz), a Companhia Brasileira de
Distribuição (Grupo Pão de Açúcar), Banco Bradesco, Banco Itaú, TIM, Vale S.A., Vivo S.A., Página | 20
Companhia Energética de Minas Gerais (CEMIG), Natura Cosméticos S.A., Claro e a
Gerdau S.A. (Gerdau), Grupo Comercial Cencosud, CSN, Eletrobrás, Brasilagro.
4. OBJETIVOS DA ORGANIZAÇÃO
Para Chiavenato, objetivos organizacionais são o fim desejado que a organização
pretende atingir e que orientam o seu comportamento em relação ao futuro e ao ambiente
interno e externo. Neste sentido, os objetivos organizacionais são a razão de ser das
organizações, que necessitam de um fim objetivo.
Ainda, segundo Chiavenato, a motivação é o desejo de exercer altos níveis de esforço

em direção a determinados objetivos organizacionais, condicionados pela capacidade de
satisfazer algumas necessidades individuais. Neste sentido, defende o autor que o
alinhamento entre os objetivos individuais e os objetivos organizacionais predispõem os
sujeitos a exercerem elevados níveis de esforço para atender aos interesses organizacionais e,
simultaneamente, atender aos seus próprios interesses.
Dessa forma, percebe-se que existe uma relação entre a motivação e os objetivos
organizacionais, ainda que os resultados sejam diferentes no que toca à motivação intrínseca e
à motivação extrínseca. Ou seja, objetivos organizacionais bem definidos aumentam a
motivação dos colaboradores. Por seu lado, os objetivos organizacionais devem sempre estar
alinhados com os objetivos individuais, devendo estes últimos dar um contributo para a
definição dos primeiros.
Os objetivos devem ser:
 Focalizados em um resultado;
 Consistentes;
 Mensuráveis;
 Relacionados com um determinado período;

 Alcançáveis.
No contexto da administração pública, é comum existirem pelo menos 2 níveis

distintos de objetivos organizacionais: objetivos estratégicos e objetivos operacionais. Além
desses 2 níveis é comum os gestores também definirem objetivos relacionados à comunicação
organizacional e objetivos relacionados à conformidade dos processos organizacionais à
legislação.
Objetivos Estratégicos
São os objetivos globais e amplos da organização e definidos no longo prazo, isto é,
entre dois a cinco ou mais anos pela frente. (Ex.: aumento do retorno sobre o investimento
organizacional.
Objetivos Operacionais
São os objetivos específicos e de curto prazo voltados para a execução das operações
cotidianas da organização referem-se geralmente a cada tarefa ou operação especificamente.
(Ex.: Admitir dez pessoas deficientes ao ano e incentivar o consumo consciente) Página | 21
Objetivos de Comunicação
São os objetivos relacionados à integração de todas as áreas que compõem uma
organização, como por exemplo, a Relações Públicas, a Assessoria de Comunicação, no caso
das empresas públicas, temos também a Publicidade e Propaganda, o Marketing e etc. Elas
têm que estar em harmonia e estabelecer um discurso único, pois tendo isso permite-se a
construção de uma comunicação eficaz e eficiente diante seus públicos.
Objetivo de Conformidade
São os objetivos que visam manter a entidade em conformidade com leis, normativos
e regulamentos externos e internos, e sempre que possível manter o respeito às normas e
procedimentos da organização.
5. GESTÃO DE RISCOS
Definidos os objetivos institucionais, em todos seus níveis, é possível ao gestor iniciar o
seu processo de Gestão de Riscos. Inicia-se esse processo pela identificação dos riscos que
podem vir a impactar nos objetivos definidos previamente, identificando as causas possíveis
desses riscos, bem como suas consequências. Após essa identificação, o gestor medirá o nível
de risco de cada um dos riscos observando-os em seu Diagrama de Risco, possibilitando assim
ter uma visão de quais serão as respostas adotadas para cada risco identificado. Segue abaixo
o fluxo apresentado pelo COSO, 2012.
Avaliação do
Risco
Definir Avaliar a
Identificar Critérios Avaliar Interação Priorizar Responder
Riscos de Riscos dos Riscos ao Risco
Avaliação Riscos
Fonte: COSO, 2012.
Identificação do Risco
De acordo com a ISO 31000, a finalidade da etapa de identificação de risco é gerar uma
lista abrangente de riscos baseada em eventos que possam criar, aumentar, evitar, reduzir,
acelerar ou atrasar a realização dos objetivos. Trata-se, portanto, de uma identificação
abrangente, pois riscos que não forem identificados nesta fase não serão incluídos em análises
futuros.
O responsável pela identificação dos riscos pode e deve utilizar-se de ferramentas e
técnicas de identificação de riscos que sejam adequadas aos seus objetivos e capacidades e Página | 22
aos riscos enfrentados. Por esse motivo é importante que as pessoas envolvidas nesse
processo tenham um conhecimento adequado sobre o negócio, bem como sejam incentivadas
a não se restringirem aos acontecimentos do passado.
A seguir serão exemplificadas algumas técnicas utilizadas na identificação de riscos:
1. Mapeamento de Processos
A técnica de mapeamento de processos tem como objetivo prover uma representação
gráfica do fluxo operacional e a inter-relação entre diferentes processos e unidades. O
mapeamento de processo facilita a visualização das operações, permitindo que o gestor
identifique pontos de monitoramento e controle, bem como fragilidades que podem vir a
tornar-se causas de riscos.
2. Brainstorming
A técnica de brainstorming é uma atividade que tem como objetivo explorar o
potencial criativo dos participantes.
De forma resumida e simplificada, a técnica consiste em permitir que todos os
participantes contribuam com ideias acerca de um determinado tema sem sofrer nenhum tipo
de crítica. Os integrantes são incentivados a contribuir com o máximo possível de ideias que
conseguirem. Tem-se então, como o próprio nome sugere, uma tempestade de ideias.
Na gestão de riscos, essa técnica permite, principalmente, a identificação de riscos que
não se materializaram no passado, aqueles com baixa probabilidade de ocorrência mas de
significativos impactos, chamados de “Cisne Negro”.
3. Método Delphi
O método Delphi é reconhecido como um dos melhores instrumentos de previsão
qualitativa. Sua área de aplicação original é a previsão tecnológica, mas atualmente tem sido
aplicado frequentemente na gestão de riscos.
O método baseia-se na elaboração de um questionário acerca do tema que deseja-se
entender melhor, submetendo-o aos especialistas do tema/negócio para que seja respondido
de forma anônima. Ao final é disponibilizado um relatório estatístico contendo as respostas
dos questionários.
O anonimato permite que barreiras hierárquicas e barreiras culturais tenham menor
influência nas respostas, possibilitando que riscos relacionados a pessoas e cargos estratégicos
sejam mais facilmente identificados.
Causa e Fator de Risco

Uma vez mapeado os riscos do negócio, é necessário identificar as causas desses
riscos. Uma metodologia que ajuda nessa identificação é pensar na causa como a soma de dois
fatores: fator de risco (ou fonte de risco) e fragilidade.
Para a ISO 31000, fator de risco ou fonte de risco é um elemento, que individualmente Página | 23
ou combinado, tem o potencial intrínseco para dar origem ao risco, podendo ser tangível ou
intangível. Os fatores de risco mais comuns são: pessoas, processos, sistemas, tecnologia,
infraestrutura e eventos externos.
A tabela a seguir apresenta uma lista desses fatores de risco associados às fragilidades
mais comuns de serem identificadas:
Fator de Risco Fragilidades
Pessoa Baixa capacitação, desmotivada, estressada, negligente, corrupta, etc.
Processo Ineficiente, mal estruturado, redundante, imaturo, etc.
Sistema Obsoleto, incompatível, sem documentação, baixa segurança, etc.
Tecnologia Ultrapassada, alto custo, baixa acessibilidade, alta complexidade, etc.
Infraestrutura Inadequada, Inacessível, Ineficiente, Precária, etc.
Evento Externo Desastre Ambiental, Crise Econômica, Influência Política, etc.
Fonte: Elaboração própria
Tome nota:
CAUSA = FATOR DE RISCO + FRAGILIDADE
Consequência
Na gestão de riscos, entende-se por consequência, todos os eventos negativos
resultantes da materialização de um risco. Normalmente, a consequência da materialização de
um risco irá resultar nos seguintes aspectos: perda de recurso financeiro, danos à imagem da
instituição ou danos à integridade física de funcionários.
Avaliação do Risco: Probabilidade x Impacto

Os riscos são analisados, considerando a probabilidade e o impacto, com intuito de
determinar o modo como serão administrados. Probabilidade representa a possibilidade de
que um determinado evento ocorrerá. Enquanto o Impacto representa o seu efeito. Quanto à
probabilidade, a literatura traz definições para uma abordagem qualitativa e quantitativa:
Quanto à abordagem qualitativa e quantitativa, o COSO traz uma distinção entre os

termos usados para probabilidade, sendo Likelihood: usado para indicar a possibilidade de que
um evento ocorra em termos qualitativos, (elevada, média e reduzida ou outros critérios de
escala - utilizada no Orange Book); e Probability: indica uma medida quantitativa, como
porcentagem, frequência de ocorrência ou outra medida numérica.
Além disso, os riscos também são avaliados quanto à sua condição de inerentes e
residuais, sendo risco inerente o que não considera o efeito dos controles e das respostas a
riscos existentes e risco residual o que considera o efeito dos controles e das respostas a riscos
existentes. É aquele que permanece após a resposta da administração.
Em razão das estratégias e objetivos de muitas organizações considerarem horizontes

de tempo de curta a média duração, a administração naturalmente concentra-se nos riscos Página | 24
associados a esses períodos de tempo. Contudo, alguns aspectos do direcionamento
estratégico e dos objetivos estendem-se a prazo mais longo. Consequentemente, a
administração precisa levar em conta os cenários de prazos mais longos para não ignorar riscos
que possam estar mais adiante.
Quanto às técnicas de avaliação de riscos, o modelo do COSO, inclui uma combinação

de técnicas qualitativas e quantitativas.
Geralmente, a administração emprega técnicas qualitativas de avaliação se os riscos

não se prestam a quantificação, ou se não há dados confiáveis em quantidade suficiente para a
realização das avaliações quantitativas, ou ainda, se a relação custo-benefício para obtenção e
análise de dados não for viável.
As técnicas quantitativas emprestam maior precisão e são utilizadas em atividades

mais complexas e sofisticadas para suplementar as técnicas qualitativas. Dependem
sobremaneira da qualidade dos dados e das premissas adotadas e são mais relevantes para
exposições que apresentem um histórico conhecido, uma frequência de sua variabilidade e
permitam uma previsão confiável.
O quadro a seguir apresenta uma comparação entre as duas técnicas:

Fonte: COSO, 2012.
O produto resultante das funções impacto e probabilidade representa o nível de risco

a que a organização está exposta. Esse nível de risco pode ser representado pelo seguinte
diagrama:
Página | 25
Fonte: CGU/SFC/CGFAZ, 2014.
O diagrama acima representa a intensidade dos riscos e os nove quadrantes, nos quais
os riscos são inseridos, representam uma categorização considerando a avaliação de impacto e
probabilidade desses riscos. A intensidade desse nível também é refletida por cores, indo do
azul, para um o “risco aceitável”, cuja probabilidade e impacto são baixos, para o vermelho, o
“risco crítico”, cuja probabilidade e impactos são alto.
Com intuito de ressaltar que não basta somente considerar o valor absoluto das
intensidades, mas também a valoração do impacto e da probabilidade, serão comparados dois
riscos que apresentam a mesma intensidade, mas que são completamente distintos: “Cisne
Negro” e o ”Comedor de Recursos”, tendo o primeiro alto impacto e baixa probabilidade,
enquanto o segundo, baixo impacto e alta probabilidade.
O “Cisne Negro” é considerado pela literatura como evento raro, que deve cumprir
três condições para obter essa classificação: imprevisibilidade, pois no campo das expectativas,
nada no passado indicava a possibilidade da sua ocorrência; forte impacto e consequências
econômicas, pessoais e sociais imprevisíveis; e, apesar da imprevisibilidade, quando analisados
retrospectivamente, tem-se a impressão de que sua ocorrência era evidente e de que
poderiam ter sido racionalmente avaliados ou previstos. Como exemplo deste tipo de risco,
destacam-se ataques terroristas e destrates naturais.
Já o “Comedor de Recursos” está relacionado às atividades cotidianas que ocorrem

com frequência, por isso a probabilidade é alta e seu monitoramento deve ser constante. Os
gestores costumam gastar recursos de forma contínua para mitigá-los.
Página | 26
Critérios de Avaliação da Probabilidade e do Impacto

O COSO em seu documento “Risk Assessment in Practice”, destaca a importância de se
construir critérios de avaliação, sem os quais é impossível comparar e agregar riscos que
perpassam por todas as áreas de uma determinada organização.
Quanto mais descritiva é a escala, mais consistente será sua interpretação pelos
responsáveis pela avaliação dos riscos.
As escalas devem permitir uma diferenciação significativa que servirá de suporte à

priorização dos riscos. Escalas com 5 pontos apresentam melhor dispersão do que uma escala
com apenas 3 pontos, em contrapartida uma escala com 10 pontos apresenta uma precisão
normalmente não desejada em uma análise qualitativa.
Toda organização é diferente, e as escalas devem ser customizadas de forma a melhor

se adaptarem ao tamanho, complexidade e cultura da organização.
A imagem a seguir apresenta um exemplo de escala proposto pelo COSO:
Fonte: COSO, 2012. Página | 27

Fonte: COSO, 2012.
Avaliação de Risco: Outras visões do nível de risco.

Além do nível de risco referente a produto de probabilidade e impacto, o COSO
destaca a existência de outras formas de visualizar o nível de risco de uma entidade, sendo
elas:
 Vulnerabilidade x Impacto
 Velocidade do Impacto
Página | 28
 Persistência do Impacto
Vulnerabilidade refere-se ao quanto uma determinada entidade está preparada para a

materialização de um risco, levando em consideração sua agilidade de resposta e
adaptabilidade para cenários distintos dos previstos.
Entende-se que a probabilidade de um evento de risco ocorrer depende da correlação

entre as vulnerabilidades e as ameaças em um determinado processo. Em outras palavras, a
visão de vulnerabilidade foca nos controles implementados.
Por ter o foco no controle, essa visão de vulnerabilidade é muito útil para a auditoria
ou qualquer que seja a área responsável pela avaliação do custo-benefício dos controles de
Página | 29
gestão. Segue abaixo exemplo de critérios e escala de mensuração da vulnerabilidade:
Fonte: COSO, 2012.
As outras duas visões do nível de risco, focam no impacto. A velocidade do impacto

mede o tempo que decorre após a materialização do risco até que os impactos sejam notados.
A persistência do impacto, por outro lado, mede o tempo decorrido até que os efeitos do
impacto não sejam mais notados. Para o COSO, adoção de velocidade e persistência do
impacto pode ser utilizada também como critério para priorização dos riscos a serem tratados.
Técnicas de Avaliação de Risco – ABNT NBR ISO/IEC 31010:2012

A ISO 31010:2012 destaca-se pela apresentação de uma variedade de técnicas
utilizadas na identificação, análise e avaliação de risco.
A seleção das técnicas a serem utilizadas é uma escolha de cada organização que deve
levar em consideração sua área de atuação, cultura organizacional e conhecimento do seu
corpo técnico.
A tabela a seguir apresenta a totalidade das técnicas presentes na ISO 31010:2012,
informando se a técnica é fortemente aplicável, aplicável ou não aplicável para cada etapa do
processo de avaliação de risco.
Página | 30
Fonte: ISO, 2012.
Respostas ao Risco
Após avaliar e ranquear os riscos, o gestor é capaz de decidir como serão as respostas
a esses riscos.
Existem 4 tipos de respostas que podem ser atribuídas a um determinado risco. São
elas:
Aceitar
Um determinado risco normalmente é aceito quando seu nível encontra-se em uma
zona confortável para o gestor, ou seja, o risco não está ameaçando os objetivos da
organização. Nessa situação, nenhum controle será implementado para mitigar o risco, porém
controles de monitoramento são recomendáveis para esse tipo de risco, uma vez que, com o
passar do tempo, o nível do risco pode sofrer alterações significantes e vir a ameaçar os
objetivos em questão.
Exemplo prático
Uma determinada organização identificou em seus processos o risco de funcionários
furtarem comida dos depósitos dos restaurantes. Na avaliação desse risco, notou-se que
sua probabilidade era baixa, bem como o impacto financeiro desses pequenos furtos era
praticamente insignificante perante a receita da organização. Os gestores solicitaram um
orçamento de instalações de câmeras de segurança e raios-x e perceberam que o valor
necessário para a instalação e manutenção desses controles era muito superior ao valor
estimado das perdas devido a furtos de alimentos. Dessa forma, os gestores decidiram Página | 31
que controles não deveriam ser implementados, porém esse risco deverá ser reavaliado a
cada dois anos de forma a verificar se seu nível continua baixo.
Mitigar
Um risco normalmente é mitigado quando seu nível encontra-se em uma zona que
ameaça os objetivos da organização e a implementação de controles apresenta um
custo/benefício adequado. Nessa situação, os controles podem ser implementados tanto para
mitigar as causas do risco quanto o seu impacto.
Durante o processo de avaliação dos riscos, pode-se optar por avaliar o nível de risco
sem levar em consideração os controles do processo, ou pode-se optar por avaliar o nível
levando em consideração os controles implementados. Ambas abordagens apresentam
informações importantes para o gestor. Entende-se que quando é feita a avaliação do risco
sem os controles existentes, tem-se o risco inerente ao processo. Quando é feita a avaliação
do risco considerando os controles existentes, tem-se o risco residual.
Exemplo prático
Uma determinada organização identificou em seus processos o risco de fraude em seus
documentos contábeis. Na avaliação desse risco sua probabilidade foi avaliada como
média e seu impacto como alto. Com o intuito de mitigar esse risco, os gestores optaram
por dividir a área financeira em duas áreas distintas, sendo que uma ficaria responsável
por fiscalizar as ações da outra área. Além disso, foi criada uma Comissão de Ética que
terá a responsabilidade de conscientizar os funcionários sobre os padrões éticos exigidos
pela empresa, bem como as consequências legais acerca de tais condutas criminosas.
Compartilhar
Um risco normalmente é compartilhado quando seu nível encontra-se em uma zona
que ameaça os objetivos da organização, porém a implementação de controles não apresenta
um custo/benefício adequado.
Exemplo prático
Uma determinada organização identificou que a localização de uma de suas principais
filiais encontra-se em um local vulnerável a tsunamis. A frequência desses eventos no
local é de um tsunami a cada 5 anos, sendo que a cada 100 anos tem-se um grande
tsunami de proporções devastadoras. Modificações no relevo de forma a mitigar os
impactos de um tsunami necessitariam de um investimento muito elevado para os
padrões da organização. De forma a evitar possíveis mortes, foram adquiridas lanchas
rápidas para a evacuação do local. No entanto, os bens imóveis não podem ser
transportados e em caso de tsunami serão completamente destruídos. Para os imóveis, a
única opção foi a transferência desse risco por meio de uma apólice de seguro.
Evitar
Página | 32
Um risco normalmente é evitado quando seu nível encontra-se em uma zona crítica de
alta probabilidade e alto impacto, comprometendo totalmente os objetivos da organização.
Normalmente, nesses casos, a implementação de controles apresenta um custo muito
elevado, inviabilizando sua mitigação, bem como não há entidades dispostas a compartilhar o
risco com a organização. Nesses casos, a opção é evitar o risco, encerrando o processo em
questão.
Exemplo prático
Uma empresa de correios identificou que existem áreas muito perigosas na cidade, onde
o índice de criminalidade inviabiliza completamente a entrega de correspondência por
comprometer a integridade física dos carteiros, bem como resultar em elevados furtos
das correspondências. Após inúmeras solicitações, não correspondidas, para que a
prefeitura aumentasse o efetivo policial nessas regiões, a empresa optou por encerrar
temporariamente seus serviços nessas regiões até que houvesse uma melhora na
segurança pública.
Apetite ao Risco
A escolha da resposta adequada para cada risco vai depender do apetite ao risco da
organização. O apetite ao risco é um aspecto que deve, preferencialmente, ser decidido pelos
responsáveis pela governança da organização. Ao definir seu apetite, a organização poderá
definir em seu diagrama de risco qual a zona de aceitação ou não aos riscos. Na definição do
apetite ao risco, deve ser levado em consideração as contribuições individuais de cada risco,
bem como a visão dos riscos em conjunto.
As várias técnicas de avaliação de risco apresentadas anteriormente são muito

importantes na definição do apetite ao risco, uma vez que elas apresentam visões distintas dos
riscos da organização.
Tolerância ao Risco
Um conceito que, às vezes, confunde-se com o apetite ao risco é o da tolerância ao
risco. O apetite ao risco define o processo normal de aceitação dos riscos, ou seja, as zonas de
aceitação ou não aceitação de risco pela organização no seu dia a dia. A tolerância ao risco, por
outro lado, trata da exceção, ou seja, do quanto tolera-se que o risco fuja de sua zona de
aceitação esporadicamente. A tolerância está relacionada com a margem/variação de
aceitação do risco.
Exemplo prático
Uma determinada organização identificou em seus processos o risco de seus sistemas de
informação ficarem indisponíveis para seus clientes. A organização definiu um apetite
baixo para esse tipo de risco. Dessa forma, seus controles atuais visam que o serviço
fique disponível pelo menos 99% do tempo. Apesar dessa definição, a organização
entende que, de tempos em tempos, a infraestrutura de TI necessita de manutenções
mais severas e que nesses casos o sistema poderá chegar a ficar 10% do tempo Página | 33
indisponível. Dessa forma, a organização definiu que, de acordo com seu apetite a risco,
os sistemas deveriam ficar disponíveis 99% do tempo sendo tolerado que se utilize um
fim de semana a cada 2 meses para realizar manutenções mais severas, podendo o
serviço ficar disponível apenas 90% do tempo nesses finais de semana.
6. CONTROLE INTERNO
Em linhas gerais, Controles Internos representam um sistema que envolve todos os
integrantes da organização na implementação de ações que visem à proteção do patrimônio
da entidade e o consequente atingimento de seus objetivos.
Para o COSO, Controle Interno:
É um processo realizado pela diretoria, por todos os níveis de gerência e por outras
pessoas da entidade, projetado para fornecer segurança razoável quanto à consecução de
objetivos nas seguintes categorias:
a. eficácia e eficiência das operações;
b. confiabilidade de relatórios;
c. cumprimento de leis e regulamentações aplicáveis. (COSO, 2013)
Ao apresentar essa definição, o COSO tinha como um dos objetivos integrar os
diversos conceitos de controle interno, promovendo a uniformização das definições até então
vigentes. A partir da divulgação dessa definição, várias organizações internacionais revisaram
suas normas para incorporar o conceito de controle interno definido pelo modelo, o qual
tornou-se uma referência mundial.
Em 2004, a INTOSAI (Organização Internacional de Entidades Fiscalizadoras Superiores)

publicou a revisão das Diretrizes para as Normas de Controle Interno do Setor Público
(INTOSAI, 2004), alinhando-as ao COSO, e adotou a seguinte definição:
Controle interno é um processo integrado efetuado pela direção e corpo de
funcionários, estruturado para enfrentar os riscos e fornecer razoável segurança de que
na consecução da missão da entidade os seguintes objetivos gerais serão alcançados:
• execução ordenada, ética, econômica, eficiente e eficaz das operações;
• cumprimento das obrigações de accountability;
• cumprimento das leis e regulamentos aplicáveis;
• salvaguarda dos recursos para evitar perdas, mau uso e dano. (INTOSAI, 2004)
O TCU, alinhando-se às Diretrizes para as Normas de Controle Interno do Setor Público,
emitidas pela INTOSAI, e seguindo a tendência internacional, introduziu no Glossário de
Termos do Controle Externo, a seguinte definição:
Processo efetuado pela administração e por todo o corpo funcional, integrado
ao processo de gestão em todas as áreas e todos os níveis de órgãos e entidades
públicos, estruturado para enfrentar riscos e fornecer razoável segurança de que, na
consecução da missão, dos objetivos e das metas institucionais, os princípios Página | 34
constitucionais da administração pública serão obedecidos e os seguintes objetivos
gerais de controle serão atendidos:
I. eficiência, eficácia e efetividade operacional, mediante execução ordenada, ética
e econômica das operações;
II. integridade e confiabilidade da informação produzida e sua disponibilidade para
a tomada de decisões e para o cumprimento de obrigações de accountability;
III. conformidade com leis e regulamentos aplicáveis, incluindo normas, políticas,
programas, planos e procedimentos de governo e da própria instituição;
IV. adequada salvaguarda e proteção de bens, ativos e recursos públicos contra
desperdício, perda, mau uso, dano, utilização não autorizada ou apropriação indevida.
(TCU, 2010)
Em suma, essas novas definições de controle interno incorporaram as seguintes
diretrizes:
1. O papel do controle interno é ampliado, sendo estruturado para enfrentar riscos em
todas as áreas e todos os níveis da organização.
2. O controle interno é um processo organizacional de responsabilidade da própria
gestão e é efetuado com o intuito de assegurar uma razoável segurança de que os
objetivos da entidade sejam alcançados de modo a dar cumprimento à sua missão.
3. Controle interno é um processo integrado que interliga diversos elementos da
gestão organizacional para compor o sistema de controle interno da organização,
afastando-se a ideia de procedimento ou circunstância isolada.
Para a Instrução Normativa Conjunta nº 01/2016, os controles internos da gestão

baseiam-se no gerenciamento de riscos e integram o processo de gestão, considerando as
atividades, planos, ações, políticas, sistemas, recursos e esforços de todos que trabalhem na
organização, sendo projetados para fornecer segurança razoável de que a organização atingirá
seus objetivos e missão.
A definição e a operacionalização dos controles internos devem levar em conta os
riscos que pretende-se mitigar, tendo em vista os objetivos das organizações públicas. Assim,
ao considerar os objetivos estabelecidos pelos órgãos e entidades da administração pública e
os riscos decorrentes de eventos internos ou externos que possam afetar o alcance desses
objetivos, devem ser posicionados os controles internos mais adequados para mitigar a
probabilidade de ocorrência dos riscos ou o seu impacto sobre os objetivos organizacionais.
Como apresentado inicialmente na apostila, os controles internos da gestão
constituem-se na primeira linha (ou camada) de defesa das organizações públicas para
propiciar o alcance de seus objetivos. Esses controles são operados por todos os agentes
públicos responsáveis pela condução de atividades e tarefas, no âmbito dos macroprocessos
finalísticos e de apoio dos órgãos e entidades do Poder Executivo federal.
Além dos controles internos da gestão, os órgãos e entidades do Poder Executivo
federal podem estabelecer instâncias de segunda linha (ou camada) de defesa, para supervisão Página | 35
e monitoramento desses controles internos. Assim, comitês, diretorias ou assessorias
específicas para tratar de riscos, controles internos, integridade e compliance, por exemplo,
podem se constituir em instâncias de supervisão de controles internos.
Para a IN Conjunta, os controles internos da gestão do órgão ou entidade devem ser
desenhados e implementados em consonância com os seguintes princípios:
 Aderência à integridade e a valores éticos;
 Competência da alta administração em exercer a supervisão do
desenvolvimento e do desempenho dos controles internos da gestão;
 Coerência e harmonização da estrutura de competências e reponsabilidades
dos diversos níveis de gestão do órgão ou entidade;
 Compromisso da alta administração em atrair, desenvolver e reter pessoas
com competências técnicas, em alinhamento com os objetivos da organização;
 Clara definição dos responsáveis pelos diversos controles internos da gestão
no âmbito da organização;
 Clara definição de objetivos que possibilitem o eficaz gerenciamento de riscos;
 Mapeamento das vulnerabilidades que impactam os objetivos, de forma que
sejam adequadamente identificados os riscos a serem geridos;
 Identificação e avaliação das mudanças internas e externas ao órgão ou
entidade que possam afetar significativamente os controles internos da
gestão;
 Desenvolvimento e implementação de atividades de controle que contribuam
para a obtenção de níveis aceitáveis de riscos;
 Adequado suporte de tecnologia da informação para apoiar a implementação
dos controles internos da gestão;
 Definição de políticas e normas que suportem as atividades de controles

internos da gestão;
 Utilização de informações relevantes e de qualidade para apoiar o
funcionamento dos controles internos da gestão;
 Disseminação de informações necessárias ao fortalecimento da cultura e da
valorização dos controles internos da gestão;
 Realização de avaliações periódicas para verificar a eficácia do funcionamento
dos controles internos da gestão; e
 Comunicação do resultado da avaliação dos controles internos da gestão aos
responsáveis pela adoção de ações corretivas, incluindo a alta administração.
A IN também apresenta os objetivos dos controles internos da gestão, os quais são:
 Dar suporte à missão, à continuidade e à sustentabilidade institucional, pela
garantia razoável de atingimento dos objetivos estratégicos do órgão ou
entidade;
 Proporcionar a eficiência, a eficácia e a efetividade operacional, mediante
execução ordenada, ética e econômica das operações;
 Assegurar que as informações produzidas sejam íntegras e confiáveis à tomada
de decisões, ao cumprimento de obrigações de transparência e à prestação de
Página | 36
contas;
 Assegurar a conformidade com as leis e regulamentos aplicáveis, incluindo
normas, políticas, programas, planos e procedimentos de governo e da própria
organização; e
 Salvaguardar e proteger bens, ativos e recursos públicos contra desperdício,
perda, mau uso, dano, utilização não autorizada ou apropriação indevida.
O processo de Controle Interno e suas limitações

Recordando as definições apresentadas anteriormente sobre controle interno, como
um processo integrado efetuado pela direção e corpo de funcionários, em todas as áreas e
todos os níveis da organização. Convém tecer um detalhamento sobre os elementos que
embasam as definições:
1. Processo integrado
Entende-se por processo integrado o fato de que os componentes do controle interno
se relacionem entre si, não sendo possível a avaliação dos controles por meio da análise de
cada componente isoladamente.
2. Processo executado por pessoas
O controle interno é um processo que, em última instância, é executado por pessoas.
Todos na organização executam controles internos, implicando que esses controles são
afetados pela natureza humana.
3. Controle Interno auxilia o alcance de objetivos
Sua principal função é auxiliar na consecução de objetivos. Sejam os objetivos
estabelecidos para a entidade como um todo, sejam os fixados para atividades, processos ou
operações específicos. A finalidade do controle interno é prover as melhores condições para se

atingirem objetivos.
4. Controle Interno oferece segurança razoável, não absoluta
Tendo em vista a incerteza acerca de riscos futuros que não podem ser previstos com
segurança absoluta, além do fato de existirem fatores que estão fora do controle ou da
influência da organização e que podem afetar sua capacidade de alcançar objetivos, a
implementação de controles internos não oferece segurança absoluta de que os objetivos da
entidade serão atingidos.
Limitações à eficácia do controle interno

1. Custo x Benefício
O custo de se controlar um risco não deve ser superior aos benefícios esperados do
controle. Isso quer dizer que nem todos os riscos precisam e/ou devem ser controlados. Por
exemplo, quando o risco é baixo e o impacto na empresa causado pela ocorrência do risco
também é baixo, pode-se aceitar o risco e não estabelecer controle interno algum.
2. Erros de julgamento
Página | 37
A eficácia do controle interno sofre limitações das realidades da fraqueza humana
durante a tomada de decisões de negócios, que exige, na maioria das vezes, uma boa dose de
julgamento humano, nem sempre calcado em informações adequadas e suficientes para
suportá-lo. Muitas vezes, decisões tomadas sob pressão de tempo e de outras decorrentes da
condução dos negócios podem não refletir os benefícios desejados, necessitando ser mudadas.
3. Falhas e colapsos
Até mesmo controles bem desenhados estão sujeitos a falhas e colapsos. Pessoas
podem não entender instruções ou interpretá-las de forma equivocada ou podem, ainda,
cometer erros por fadiga, distração ou falta de cuidado (erros de execução).
4. Conluio
É a falha mais difícil de ser detectada e corrigida. Responsáveis pela gestão e pelos
controles podem valer-se do seu conhecimento e competência para contorná-los com
objetivos ilícitos, em conjunto com outros ou com terceiros.
5. Burla de gestores
A ação intencional de gestores no sentido de descumprir procedimentos de controle
estabelecidos a fim de obter benefícios pessoais é uma séria limitação ao controle interno.
Classificações de Controles Internos

Os controles internos podem ser classificados sob diversas perspectivas de análise.
Serão apresentada, a seguir, as classificações mais usuais para os controles internos.
1. Classificação quanto à função
Reflete a função do controle em relação ao risco, isto é, se o controle destina-se a

prevenir ou a detectar a materialização de eventos, considerando o disposto no COSO.
 Preventivos: são os controles concebidos para reduzir a frequência de
materialização eventos de risco. Um controle preventivo tende a agir sobre a
probabilidade de ocorrência de um determinado evento, dificultando que esse
aconteça.
 Detectivos: são os controles que detectam a materialização de eventos de
risco, contudo não impedem a sua ocorrência. Alertam sobre a existência de
problemas ou desvios do padrão, com o objetivo de provocar a gestão para
adotar as ações corretivas pertinentes.
 Compensatórios: como o próprio nome sugere, são controles concebidos para
compensar a não adoção de outros controles preventivos ou detectivos, ou
para contrabalançar outras falhas na estrutura de controle da organização. A
adoção desse tipo de controle normalmente acontece por razões de custo-
benefício.
2. Classificação quanto ao momento da aplicação

 Prévio: anterior aos atos de gestão.
 Concomitante: o controle é realizado simultaneamente à execução dos atos. Página | 38
 Posterior: a verificação dos fatos ocorre após a consumação.
3. Classificação quanto ao nível de abrangência

 Controles em nível de entidade
São os controles mais abrangentes da organização, também mencionados na literatura
especializada como Entity-Level Control (ELC). Desdobram-se em dois níveis:
o Indiretos: são os controles típicos de “governança corporativa”.
Consistem em procedimentos e instrumentos corporativos não ligados
diretamente a operações específicas, mas que dão o escopo e
evidenciam o tom das ações na organização, estabelecendo critérios e
diretrizes de atuação, tais como políticas, regimentos, códigos de
conduta, normas e manuais abrangentes, processo de planejamento
estratégico, de gestão de riscos, conselhos de administração e fiscal,
comitês de auditoria e outros, auditoria interna, ouvidoria (canal de
denúncia) etc. Uma característica distintiva desse tipo de controle é o
fato de serem, geralmente, preventivos.
o Diretos: controles típicos de “controladoria” – consistem em
monitoramentos exercidos pela alta administração com o objetivo de
identificar eventuais desvios de padrões para, em seguida, aprofundar
a investigação de erros ou falhas. Incidem diretamente sobre os
processos operacionais da organização, mas não sobre cada transação
individual durante o fluxo de operação ou processamento, e sim sobre
grupos de transações que já foram total ou parcialmente processadas,
tais como análises de variações do tipo “previsto x realizado”, revisões
de relatórios gerais de desempenho, monitoramento de indicadores
etc. Uma característica distintiva desse tipo de controle é o fato de

serem, geralmente, detectivos.
 Controles em nível de atividades

Às vezes referidos na literatura como controles transacionais ou Transation-Level
Control (TLC), são os controles que incidem direta ou indiretamente sobre atividades,
operações, processos ou sistemas específicos. Esses controles, assim como os controles em
nível de entidade, também desdobram-se em dois níveis:
o Indiretos ou abrangentes: definem como fazer. Por exemplo, manuais
de procedimentos. Também tem, geralmente, função preventiva.
o Diretos, de monitoramento ou de registros: controlam ou evidenciam
a execução de atividades durante o fluxo de operação ou
processamento. Incidem sobre produtos ou serviços, atividades e
tarefas. Exemplos: controles de qualidade na produção. Também tem,
em geral, função detectiva.
Responsabilidades dos Gestores e de Auditores Página | 39

Em negócios do século XXI, não é raro encontrar diversas equipes de auditores
internos, especialistas em gerenciamento de riscos corporativos, executivos de compliance,
especialistas em controle interno, inspetores de qualidade, investigadores de fraude e outros
profissionais de riscos e controle trabalhando em conjunto para ajudar suas empresas a
gerenciar riscos. Cada uma dessas especialidades tem uma perspectiva única e habilidades
específicas de valor inestimável às organizações que atendem; no entanto, já que as atividades
relacionadas ao gerenciamento de riscos e controle estão sendo cada vez mais divididas entre
diversos departamentos e setores, o trabalho deve ser coordenado com cuidado, para garantir
que os processos de riscos e controle sejam conduzidos como intencionado.
Para o IIA (The Institute of Interna Auditors), o modelo de Três Linhas de Defesa é uma
forma simples e eficaz de melhorar a comunicação do gerenciamento de riscos e controle por
meio do esclarecimento dos papéis e responsabilidades essenciais. O modelo apresenta um
novo ponto de vista sobre as operações, ajudando a garantir o sucesso contínuo das iniciativas
de gerenciamento de riscos, e é aplicável a qualquer organização - não importando seu
tamanho ou complexidade. Mesmo em empresas em que não haja uma estrutura ou sistema
formal de gerenciamento de riscos, o modelo de Três Linhas de Defesa pode melhorar a
clareza dos riscos e controles e ajudar a aumentar a eficácia dos sistemas de gerenciamento de
riscos.
O IIA entende que no modelo de Três Linhas de Defesa, o controle da gerência é a
primeira linha de defesa no gerenciamento de riscos, as diversas funções de controle de riscos
e supervisão de conformidade estabelecidas pela gerência são a segunda linha de defesa e a
avalição independente é a terceira. Cada uma dessas três “linhas” desempenha um papel
distinto dentro da estrutura mais ampla de governança da organização. Segue abaixo o modelo
apresentado pelo IIA.
Fonte: IIA, 2013.
A alta administração e os órgãos de governança têm, coletivamente, a

responsabilidade e o dever de prestação de contas sobre o estabelecimento dos objetivos da
organização, a definição de estratégias para alcançar esses objetivos e o estabelecimento de
estruturas e processos de governança para melhor gerenciar os riscos durante a realização
desses objetivos.
Página | 40
A responsabilidade por estabelecer, manter, monitorar e aperfeiçoar os controles
internos da gestão é da alta administração da organização, sem prejuízo das responsabilidades
dos gestores dos processos organizacionais e de programas de governos nos seus respectivos
âmbitos de atuação.
Cabe aos demais funcionários e servidores a responsabilidade pela operacionalização
dos controles internos da gestão e pela identificação e comunicação de deficiências às
instâncias superiores.
Já a Auditoria Interna tem como objetivo auxiliar a administração da entidade no
cumprimento de seus objetivos, não tendo por objetivo principal a identificação de fraudes e
erros, tampouco a punição de gestores que cometam as impropriedades ou irregularidades. É
uma atividade de avaliação independente dentro da entidade, para verificar as operações e
emitir uma opinião sobre elas, sendo considerada um serviço prestado à administração.
Essa ligação com a Alta Administração da empresa é que dá a necessária autonomia
aos trabalhos da Auditoria Interna, pois não é dependente de qualquer setor da entidade. Da
mesma forma ocorre no Setor Público.
Auditores externos, reguladores e outros órgãos externos estão fora da estrutura da
organização, mas podem desempenhar um papel importante em sua estrutura geral de
governança e controle. Isso vale principalmente para indústrias regulamentadas, como a de
serviços financeiros ou seguros. Os reguladores, às vezes, estabelecem requisitos com a
intenção de fortalecer os controles em uma empresa e, em outras ocasiões, têm uma função
independente e objetiva, para avaliar o todo ou parte da primeira, segunda ou terceira linha
de defesa no que tange a esses requisitos.
A INTOSAI segue a mesma linha, definindo o papel dos gestores, como os responsáveis
diretos por todas as atividades de uma organização, incluindo o planejamento, a
implementação, a supervisão do funcionamento adequado, a manutenção e a documentação

do sistema de controle interno. Suas responsabilidades variam de acordo com sua função e as
características da organização.
Também defini o papel dos auditores internos, como responsáveis por examinar e
contribuir para a contínua eficácia do controle interno por meio de suas avaliações e
recomendações, no entanto, não têm a responsabilidade gerencial primeira sobre o
planejamento, implementação, manutenção e documentação do controle interno.
Para o IIA, a auditoria interna é uma atividade independente e objetiva de avaliação
(assurance) e de consultoria, desenhada para adicionar valor e melhorar as operações de uma
organização, auxiliando os gestores. Segue abaixo representação gráfica do papel da auditoria
interna no Gerenciamento de Risco demonstrando as atividades de avaliação e consultoria.
Página | 41
Fonte: IIA, 2009
Avaliação de controles internos

Para que o controle interno efetivamente cumpra sua finalidade é necessário que seja
implementado e funcione de maneira eficaz. A administração e todo o corpo funcional tem a
responsabilidade de estabelecer, executar e aprimorar os controles internos.
Avaliar controles internos significa verificar se o sistema de controle interno como um
todo e as atividades de controle em nível de atividades, processos ou operações específicos
estão apropriadamente concebidos e se funcionam de forma eficaz, de maneira contínua e

coerente.
A avaliação de controles internos vem se firmando como um trabalho que adiciona
valor às atividades das organizações, podendo ser útil para:
 Embasar recomendações e determinações de planos de ação para a melhoria
de processos organizacionais (redução de riscos e aproveitamento de
oportunidades);
 Direcionar e determinar a extensão de procedimentos e exames de auditorias
com mais precisão, tendo por base a avaliação de confiabilidade dos controles
que mitigam os riscos do objeto de auditoria.
Quanto menor a confiabilidade dos controles, mais profundos e amplos deverão ser os
testes de auditoria e, mesmo no caso dos controles serem avaliados como excelentes, o
auditor sempre executará testes.
Finalmente, vale ressaltar que seja qual for o objetivo da avaliação dos controles
internos, o foco deve ser dirigido para os riscos que eles devem mitigar, relacionados a
objetivos que devem ser cumpridos.
Isso significa que os auditores devem, antes de avaliar os controles, conhecer os
Página | 42
objetivos da atividade, do negócio, do processo, do programa, do projeto, do sistema etc.,
procurando identificar os riscos mais relevantes a eles associados para, em seguida, identificar
e testar os controles adotados para mitigá-los.
COSO Controles Internos – Estrutura Integrada

O COSO lançou em 2013 uma atualização do modelo anterior do COSO Controles
Internos – Estrutura Integrada, publicado em 1992, devido às principais mudanças ocorridas ao
longo desses anos, como a globalização, a complexidade dos negócios, a incidência de fraudes
e o incremento das exigências quanto à transparência e à responsabilidade dos órgãos
reguladores, do governo e do mercado em geral.
Os principais objetivos da mudança foram:
 Refletir as mudanças no negócio e nos ambientes operacionais;
 Expandir as operações e relatórios objetivos; e
 Apresentar princípios para aumentar a eficácia do controle interno.
O processo de revisão e construção desse novo documento levou mais de 2 anos, foi
baseado em pesquisas e audiências públicas, sendo que mais de 700 stakeholders
(participantes) responderam à pesquisa global durante o ano de 2011.
Um novo conceito para os controles internos foi apresentado:
Um processo definido pela alta administração ou pessoa responsável, para prover
razoável segurança no alcance dos objetivos sobre operações, reporte e compliance da
entidade. (COSO 2013)
Para o COSO – Controles Internos, há cinco componentes de controle interno que
apoiam a organização em seus esforços para realizar seus objetivos. Esses componentes dizem
respeito por toda a entidade, considerando tanto sua visão mais global como suas divisões ou
qualquer de suas unidades operacionais, áreas funcionais ou outros subconjuntos da entidade.
Considerando que existe uma relação direta entre os objetivos que a entidade busca
realizar, os componentes que representam o que é necessário para atingir os objetivos, bem
como a estrutura da entidade (unidades operacionais, entidades legais e outras estruturas),
essa relação pode ser ilustrada na forma de um cubo.
Objetivos
Estru
tura
da
Entid
ade
Página | 43
Componentes
Fonte: COSO, 2013
As três categorias de objetivos (Operacional; Divulgação e Conformidade) são

representadas pelas colunas. Os cinco componentes (Ambiente de Controle; Avaliação de
Riscos; Atividades de Controle; Informação e Comunicação; e Atividades de Monitoramento)
são representados pelas linhas. Por fim, a estrutura da entidade, que representa a entidade
total, suas divisões, subsidiárias, unidades operacionais ou áreas funcionais, inclusive os
processos operacionais, é ilustrada pela terceira dimensão do cubo.
Nota-se que a representação desse relacionamento direto entre objetivos,
componentes e a estrutura organizacional também consta do COSO-ERM, com as devidas
adaptações. Essa representação também foi adotada pelo COBIT, ao apresentar a relação
entre requisitos de negócios, processo de TI e recursos de TI.
A seguir será apresentada uma breve explicação sobre os objetivos, componentes e
estrutura organizacional, cuja relação entre eles foi representada graficamente em forma de
cubo.
Objetivos
A administração fixa seus objetivos que se alinham à missão, à visão e às estratégias de
atuação. A fixação de objetivos é requisito prévio para o controle interno e uma parte
importante do processo de gestão relacionado ao planejamento estratégico.
Pessoas que integram o sistema de controle interno da organização precisam
compreender as estratégias e os objetivos globais fixados. Como parte do controle interno, a
administração especifica objetivos adequados de forma que os riscos à realização desses
objetivos possam ser identificados e avaliados.
Para o COSO – Controles Internos, os objetivos são classificados em: Operacional,

Divulgação e Conformidade. Ressalta-se que um objetivo de uma categoria pode ser sobrepor
a um objetivo de outra categoria. A categoria na qual um objetivo se enquadra pode variar,
dependendo das circunstâncias. Para isso, é necessário entender claramente os processos, as
políticas e as procedimentos corporativos da entidade, bem como o respectivo impacto sobre
cada categoria de objetivos.
Você sabia que...

Diferentemente do COSO-ERM, os objetivos estratégicos não foram incorporados à
classificação de objetivos definida pelo COSO – Controles Internos. Isso deve-se ao fato de o
COSO-ERM ter uma atuação mais direta com a estrutura de governança da organização e pelo
fato de considerar os riscos não somente como uma ameaça, como é definido no COSO –
Controles Internos, mas também como oportunidades. Quando são identificadas
oportunidades, elas podem afetar de forma positiva os objetivos mais amplos da organização
(objetivos estratégicos) ao redefinir suas estratégias de atuação.
1. Objetivos Operacionais
Relacionam-se à realização da missão e da visão da entidade. Esses objetivos variam de Página | 44
acordo com o modelo operacional da organização. Também pode ser desdobrados em
subobjetivos para as operações das divisões, subsidiárias, unidades operacionais e áreas
funcionais, com a finalidade de aumentar a eficácia e eficiência da trajetória da entidade rumo
à sua meta definitiva.
Podem estar relacionados à melhoria de desempenho financeiro, de produtividade, de
qualidade, de práticas ambientais, inovação, satisfação dos clientes e funcionários.
2. Objetivos de Divulgação
Dizem respeito à preparação de comunicação para o uso da organização e das partes
interessadas. Podem envolver informações financeiras e não financeiras e divulgação interna e
externa.
Os objetivos da divulgação interna são influenciados por necessidades internas, como
rumos estratégicos da entidade, seus planos operacionais e as métricas de desempenho em
vários níveis. Os objetivos de divulgação externa são influenciados principalmente por
regulamentos e/ou normas estabelecidas por órgãos reguladores ou autoridades normativas.
3. Objetivos de Conformidade
As organizações devem conduzir suas atividades e, frequentemente, tomar ações
específicas, em concordância com as leis e regulamentos aplicáveis. Como parte da fixação dos
objetivos de conformidade, a organização precisa reconhecer quais leis, regras e regulamentos
são aplicáveis a toda a entidade.
Para o COSO, a conformidade com políticas e procedimentos internos, ao contrário da
conformidade com leis e regulamentos, está relacionada aos objetivos operacionais.
Componentes do controle interno

1. Ambiente de controle
O ambiente de controle deve demonstrar o grau e comprometimento em todos os
níveis da administração, com a qualidade do controle interno em seu conjunto. É o principal
componente, e seus fatores relacionados incluem:
 Integridade e valores éticos;
 Competência das pessoas da entidade;
 Estilo operacional da organização;
 Aspectos relacionados com a gestão; e
 Forma de atribuição da autoridade e responsabilidade.
A direção superior, ao demonstrar o seu compromisso e a sua liderança, no que diz
respeito aos controles internos, aos demais níveis da organização, apoiando a auditoria interna
e outras áreas críticas para o controle, bem como os planos de ação recomendados pela
auditoria interna e pelos órgãos de controle, transmite a mensagem que controle interno é
importante e os demais membros da organização sentirão essa atitude e a responderão, Página | 45
observando conscientemente os controles estabelecidos.
Como dito anteriormente, a empresa norte-americana Enron, uma gigante do setor
energético, sofreu a maior falência da história econômica americana devido a várias práticas
contábeis e operacionais escusas relacionadas ao ambiente de controle interno (conflitos de
interesse, pressão por metas, práticas de avaliação contábeis agressivas, auditoria e
consultoria pelos mesmos auditores etc.).
2. Avaliação de risco
Identificação dos eventos ou das condições que podem afetar a qualidade da
informação contábil e avaliação dos riscos identificados, incluindo sua probabilidade de
ocorrência, a forma como são gerenciados e as ações a serem implementadas.
Segundo o COSO – Controles Internos, risco é evento futuro e incerto (ou seja, ainda
não ocorreu, e nem há certeza de que irá ocorrer) que, caso ocorra, pode impactar
negativamente o alcance dos objetivos da organização.
Ressalta-se que o COSO-ERM apresenta um maior detalhamento sobre a avaliação de
riscos, inclusive ampliando a definição sobre risco, considerando também as oportunidades,
como eventos que podem impactar positivamente o alcance dos objetivos e também impactar
em alterações nas estratégias da organização.
3. Atividades de controle
Medidas e ações integrantes de um sistema de controle que, se estabelecidas de
forma tempestiva e adequada, podem vir a prevenir ou administrar os riscos inerentes ou em
potencial da entidade. Não são exclusividade de determinada área da organização, sendo

realizadas em todos os níveis.
O propósito fundamental das atividades de controle é reforçar a realização dos planos
traçados, mantendo as organizações direcionadas para o cumprimento dos objetivos
estabelecidos. Assim, elas podem ser vistas como mecanismos de gestão do cumprimento de
objetivos.
As atividades de controle são parte do sistema de controle interno e, mesmo numa
perspectiva do conjunto de todas elas, não devem ser confundidas com o ele próprio.
De modo geral, as atividades de controle incluem dois elementos: uma política, que
estabelece aquilo que deverá ser feito e os procedimentos para fazê-la ser cumprida. O grau
de formalização varia entre as entidades, conforme o tamanho, a complexidade e o número de
níveis hierárquicos, embora os conceitos subjacentes não se diferenciem de maneira
significativa. Elas devem estar distribuídas por toda a organização, em todos os níveis e em
todas as funções, conforme requeridas pelas decisões de resposta a riscos. Elas incluem uma
gama de controles preventivos e detectivos, como os exemplificados a seguir:
 Atribuição de autoridade e limites de alçada;

 Procedimentos de autorização e aprovação;
 Segregação de funções ou atividades; Página | 46
 Rotatividade de funções
 Revisões independentes, verificações e conciliações;
 Avaliações de desempenho operacional;
 Avaliações de operações, processos e atividades;
 Supervisão direta; e
 Controles de acesso a recursos e registros.
Considerando que a Instrução Normativa Conjunta nº 01/2016 considerou como um
dos referenciais o COSO, tanto o COSO – Controles Internos quanto o COSO-ERM,
apresentamos também exemplos de atividades de controles internos definidas para o setor
público:
 Procedimentos de autorização e aprovação;
 Segregação de funções (autorização, execução, registro, controle);
 Controles de acesso a recursos e registros;
 Verificações;
 Conciliações;
 Avaliação de desempenho operacional;
 Avaliação das operações, dos processos e das atividades; e
 Supervisão.
4. Informação e Comunicação
Identificar, armazenar e comunicar toda informação relevante, a fim de permitir a
realização dos procedimentos estabelecidos. Para tanto, deverá ser oportuna e adequada,
além de abordar aspectos financeiros, econômicos, operacionais e estratégicos.
Deve ser entendida como um canal que movimenta as informações em todas as

direções – dos superiores aos subordinados, e vice-versa – pois determinados assuntos são
mais bem visualizados pelos integrantes dos níveis mais subordinados.
5. Monitoramento
Compreende o acompanhamento da qualidade do controle interno, visando assegurar
a sua adequação aos objetivos, ao ambiente, aos recursos e aos riscos. Pressupõe uma
atividade desenvolvida ao longo do tempo.
O monitoramento pode ser realizado de duas maneiras ou por uma combinação de
ambas:
 Monitoramento contínuo: por meio de atividades gerenciais contínuas, no
curso das operações normais da organização;
 Avaliações separadas: avaliações de controle interno, periódicas, por meio de
autoavaliações e/ou de avaliações/revisões independentes executadas pela
auditoria interna. Avaliações separadas podem também ser executadas pelas
EFS (Entidades Superiores de Fiscalização, cujo representante do Brasil é o
TCU) e por auditores externos.
Página | 47
Novos princípios e abordagens em cada componente – os 17 princípios:

Umas das melhorias mais significativas que o COSO CONTROLES INTERNOS -
ESTRUTURA INTEGRADA 2013 foi a transformação dos conceitos fundamentais em princípios,
associados a cada um dos cinco componentes, auxiliando na compreensão sobre os requisitos
para se ter um controle interno eficaz.
O sistema de controle interno eficaz proporciona garantia razoável à realização dos
objetivos da entidade. Ele reduz a um nível aceitável o risco de não se realizar o objetivo
relacionado a uma, duas ou todas as três categorias de objetivos.
Ele requer que cada um dos cinco componentes de controle interno e dos princípios
relevantes esteja presente e funcionando e que os cinco componentes operem em conjunto e
de uma forma integrada.
Ao verificar se um sistema de controle interno é eficaz, a administração exerce seu
julgamento avaliando se cada um dos componentes e princípios relevantes está presente e
funcionando e também se os componentes estão operando em conjunto.
Para facilitar a avaliação dos controles internos com base nos princípios, a Estrutura
COSO descreve os pontos de foco como características importante dos princípios. Os pontos
de foco podem auxiliar a administração a desenhar, implementar e aplicar o controle interno e
avaliar se, de fato, os princípios relevantes estão presentes e funcionando. Ressalta-se que a
administração pode concluir que alguns dos pontos de foco não são adequados ou relevantes
e pode identificar e considerar outros pontos com base em circunstâncias específicas da
entidade.
Seguem abaixo os princípios e seus pontos de foco para cada componente da

Estrutura.
Ambiente de Controle
1. A organização demonstra um compromisso de integridade e valores éticos.
 Pontos de Foco:
o Liderar pelo exemplo;
o Estabelecer normas de conduta;
o Avaliar a adesão às normas de conduta;
o Tratar desvios de forma oportuna.
2. O Conselho de administração demonstra independência de gestão e exerce a

supervisão do desenvolvimento e desempenho do controle interno.
 Pontos de Foco:
o Estabelecer as responsabilidades pela supervisão;
o Utilizar experiências relevantes;
o Operar de forma independente;
Página | 48
o Exercer a supervisão do sistema de controle interno.
3. Gestão estabelece, com supervisão da Diretoria, estruturas, relatando as linhas e as
autoridades competentes e responsabilidades na busca pelos objetivos.
 Pontos de Foco:
o Considerar todas as estruturas da entidade;
o Estabelecer linhas de subordinação;
o Definir, atribuir e limitar autoridade e responsabilidades.
4. A organização demonstra o compromisso de atrair, desenvolver e reter pessoas

competentes em alinhamento com os objetivos.
 Pontos de Foco:
o Estabelecer políticas e práticas;
o Avaliar a competência e tratar as deficiências;
o Atrair, desenvolver e reter talentos;
o Planejar e preparar a sucessão.
5. A organização detém indivíduos responsáveis pelo controle interno na busca pelos

objetivos.
 Pontos de Foco:
o Exigir a prestação de contas por meio estruturas, autoridades e
responsabilidades;
o Estabelecer métricas, incentivos e recompensas de desempenho;
o Avaliar continuamente a relevância de métricas, incentivos e recompensas
de desempenho;
o Considerar pressões excessivas;
o Avaliar o desempenho e recompensar ou disciplinar as pessoas.
Avaliação de Risco
6. A organização especifica objetivos com clareza suficiente para permitir a identificação
e avaliação de riscos relacionados com os objetivos.
 Pontos de Foco
o Refletir as escolhas da administração;
o Considerar as tolerâncias ao risco;
o Incluir metas de desempenho operacionais e financeiras;
o Formar uma base para comprometimento de recursos.
7. A organização identifica os riscos para a realização dos seus objetivos, através da

entidade e analisa os riscos como uma base para determinar como os riscos devem ser
geridos.
 Pontos de Foco
o Incluir os níveis de entidade, subsidiária, divisão, unidade operacional e áreas
funcionais;
o Analisar fatores internos e externos; Página | 49
o Envolver os níveis apropriados da administração;
o Estimar a importância dos riscos identificados;
o Determinar como responder aos riscos.
8. A organização considera o potencial de fraude na avaliação dos riscos para a realização

dos objetivos.
 Pontos de Foco
o Considerar os vários tipos de fraude;
o Avaliar incentivos e pressões;
o Avaliar oportunidades;
o Avaliar atitudes e racionalizações.
9. A organização identifica e avalia as mudanças que podem significativamente afetar o

sistema de controle interno.
 Pontos de Foco
o Avaliar mudanças no ambiente externo;
o Avaliar mudanças no modelo de negócios;
o Avaliar mudanças na liderança.
Atividades de Controle
10. A organização seleciona e desenvolve atividades de controle que contribuem para a
atenuação dos riscos para a realização dos objetivos a níveis aceitáveis.
 Pontos de Foco
o Integrar-se com a avaliação de riscos;
o Considerar fatores específicos à entidade;

o Determinar os processos de negócio relevantes;
o Avaliar a combinação de tipos de atividades de controle;
o Considerar em quais níveis as atividades são realizadas;
o Abordar a segregação de funções.
11. A organização seleciona e desenvolve atividades de controle geral sobre a tecnologia

para apoiar a realização dos objetivos.
 Pontos de Foco
o Determinar a dependência entre o uso da tecnologia nos processos de
negócios e os controles gerais de tecnologia;
o Estabelecer atividades de controle sobre a infraestrutura de tecnologia
relevante;
o Estabelecer atividades de controle sobre processos relevantes de
gerenciamento;
o Estabelecer atividades de controle sobre os processos relevantes da aquisição.
12. A organização implanta as atividades de controle através de políticas que estabelecem Página | 50
o que é esperado e procedimentos que colocar condições no lugar.
 Pontos de Foco
o Estabelecer políticas e procedimentos para apoiar a implementação das
diretrizes da administração;
o Estabelecer responsabilidade e prestação de contas pela execução das
políticas e procedimentos;
o Realizar tempestivamente;
o Tomar ações corretivas;
o Realizar recorrendo a pessoal competente;
o Reavaliar políticas e procedimentos.
Informação e Comunicação
13. A organização obtém ou gera e utiliza informações relevantes e de qualidade para
apoiar o funcionamento do controle interno.
 Pontos de Foco
o Identificar os requisitos de informações;
o Capturar fontes internas e externas de dados;
o Processar dados relevantes em informações;
o Manter a qualidade durante todo o processamento;
o Considerar custos e benefícios.
14. A organização comunica internamente informações, incluindo objetivos e

responsabilidades em matéria de controle interno, necessário para apoiar o
funcionamento do controle interno.
 Pontos de Foco
o Comunicar as informações de controle interno;
o Comunicar-se com a estrutura de governança;
o Fornecer linhas de comunicação independentes;
o Selecionar métodos de comunicação relevantes.
15. A organização se comunica com partes externas sobre questões que afetam o
funcionamento do controle interno.
 Pontos de Foco
o Comunicar-se com públicos externos;
o Possibilitar o recebimento de comunicações;
o Comunicar-se com a estrutura de governança;
o Fornecer linhas de comunicação independentes;
o Selecionar métodos de comunicação relevantes.
Monitoramento
16. A organização seleciona, desenvolve e realiza avaliações para verificar se os
Página | 51
componentes do controle interno estão presentes e funcionando.
 Pontos de Controle
o Considerar uma combinação de avaliações contínuas e independentes;
o Considerar o ritmo das mudanças;
o Estabelecer o entendimento da base de referência;
o Utilizar pessoal com conhecimento;
o Integrar aos processos de negócios;
o Ajustar o escopo e a frequência;
o Avaliar objetivamente.
17. A organização avalia e comunica deficiências de controle interno em tempo hábil para
aqueles responsáveis para tomar uma ação corretiva, incluindo a alta administração e
o Conselho de administração, conforme o caso.
 Pontos de Controle
o Avaliar resultados;
o Comunicar deficiências;
o Monitorar as ações corretivas.
6.
7. QUANDO O RISCO DE MATERIALIZA
Gerenciamento de Incidentes
O gerenciamento de incidentes tem como foco principal restabelecer o serviço o mais
rápido possível minimizando o impacto negativo no negócio. Garantir que os melhores níveis
de disponibilidade e de qualidade dos serviços, sejam mantidos conforme os acordos de nível
de serviço é também uma tarefa da gerência de incidentes.
Gerenciamento de Problemas
O gerenciamento de problemas tem o objetivo de analisar a causa dos incidentes
ocorridos, fornecendo soluções paliativas e definitivas, mitigando a recorrência destes. Na
prática, a gestão de problemas não gera resultados rápidos e por isso não é tão visível quanto
a gestão de incidentes, porém a médio prazo costuma ajudar tanto na redução de reclamações
quanto na credibilidade da área em questão.
Plano de Continuidade do Negócio

De acordo com a ABNT NBR 15999, o plano de continuidade de negócios é o
desenvolvimento preventivo de um conjunto de estratégias e planos de ação de maneira a
garantir que os serviços essenciais sejam devidamente identificados e preservados após a
ocorrência de um desastre, e até o retorno à situação normal de funcionamento da
organização dentro do contexto do negócio do qual ela faz parte. O plano de continuidade de
negócios é responsabilidade dos dirigentes da organização.
Plano de Ação e Monitoramento Página | 52
Os planos de ação devem indicar os 5W1H, traduzindo para o português, eles seriam o
seguinte:
- O que será feito: descrever claramente a ação que será realizada;
- Porque será feito: indicar o objetivo da ação e justificar necessidade de sua realização;
- Quem fará: nominar e individualizar responsabilidade para cada ação do plano;
- Quando fará: precisar as datas previstas de início e fim de execução da cada ação;
- Onde fará: local, unidade, processo, sistema, programa, etc;
- Como fará: maneira, método ou solução adotada.
Plano de Contingências
Definição de responsabilidades, áreas e sistemas envolvidos para atender a uma
emergência.
É um documento desenvolvido com o intuito de treinar, organizar, orientar, facilitar, agilizar e
uniformizar as ações necessárias às respostas de controle e combate às ocorrências anormais.
Também chamado de planejamento de riscos, plano de continuidade de negócios ou plano de
recuperação de desastres
REFERÊNCIAS
ABNT NBR ISO 31000, Gestão de Riscos – Princípios e diretrizes. Dezembro 2009
BRASIL. Instrução Normativa Conjunta MP/CGU n.º 01, de 10 de maio de 2016. Dispõe sobre
controles internos, gestão de riscos e governança no âmbito do Poder Executivo federal.
Disponível em <http://sintse.tse.jus.br/documentos/2016/Mai/11/instrucao-normativa-
conjunta-no-1-de-10-de-maio-de> Acesso em: maio. 2016.
______. Relatório TCU - TC 011.745/2012-6. Levantamento de auditoria. Elaboração de
indicador para medir o grau de maturidade de entidades públicas na gestão de riscos.
Brasília: 11 set. 2013. Disponível em: <
https://contas.tcu.gov.br/juris/Web/Juris/ConsultarTextual2/Jurisprudencia.faces>.
______.Tribunal de Contas da União. Glossário de termos do controle externo. Brasília: TCU,

2010.
Página | 53
HILL, S.; DINSDALE, G. Uma base para o desenvolvimento de estratégias de aprendizagem
para a gestão de riscos no serviço público. Traduzido por Luís Marcos B. L. de Vasconcelos.
Cadernos ENAP, 23. Brasília: ENAP, 2003.
Organizations, C. Internal Control – Integrated Framework. New York, NY: COSO. Traduzido
pela PWC em 2013. Available at http://www.coso.org.
______. Enterprise Risk Management— Integrated Framework. New York, NY: COSO.
Traduzido pela AUDIBRA em 2007. Available at http://www.coso.org.
PARTNERS, S. Projeto de Desenvolvimento do Guia de Orientação para Gerenciamento de

Riscos. SEGEP/MP. Brasília: 01 mar. 2013.
The Institute of Internal Auditors. Declaração de Posicionamento do IIA: As três linhas de

defesa no gerenciamento eficaz de riscos e controles. Janeiro 2013.

Apostila - Gest o de Riscos e Controles Internos

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Apostila - Gest o de Riscos e Controles Internos

Enviado por

Direitos autorais:

Formatos disponíveis

Ministério da Transparência, Fiscalização e Controladoria-Geral da União

Curso: Gestão de Riscos e Controles

3. EVOLUÇÃO HISTÓRICA: CONTROLE & RISCO

Figura 1 - Curva Normal

COSO Controles Internos – Estrutura Integrada

riscos de modo a mantê-los compatível com o apetite a risco da organização e possibilitar

As quatro categorias de objetivos (estratégicos, operacionais, de comunicação e

Fonte: Gespública, 2013.

Isto é essencial na introdução de um processo de gerenciamento de riscos em uma

3- política e estratégias para riscos;

5- processo de gestão de riscos;

6- eficácia da gestão de riscos;

Com base nesse modelo o Tribunal de Contas da União desenvolveu a seguinte

Fonte: TCU, 2013.

O TCU dispõe em seu relatório TC 011.745/2012-6 a justificativa para escolha desse

Trata-se de ferramenta desenvolvida para a mesma finalidade ora pretendida (avaliar

Modelo de Gestão de riscos do Governo Canadense

Em 2010, promoveu revisão ampla do tema e editou novos documentos de referência

Fonte: Enap, 2003.

O Modelo canadense também apresenta obstáculos e possíveis soluções à

- Facilitação das negociações com partes

- Educação e treinamento no serviço público;

ABNT NBR ISO 31000

É usualmente conhecida como uma norma “guarda-chuva” por pretender harmonizar

A ISO 31000 é composta por três normas:

 ISO 31000 – Informações básicas, princípios e diretrizes para a implementação

 A gestão de riscos cria e protege valor.

De acordo com a ISO, o sucesso da gestão de riscos irá depender da eficácia da

Fonte: ISO, 2009

Instrução Normativa Conjunta Nº 01, de 10 de maio de 2016

De acordo com a IN, são objetivos da gestão de riscos:

 Assegurar que os responsáveis pela tomada de decisão, em todos os níveis do

A gestão de riscos do órgão ou entidade observará os seguintes princípios:

 Gestão de riscos de forma sistemática, estruturada e oportuna, subordinada

A IN também definiu um prazo de doze meses a contar da sua publicação para a

 Princípios e objetivos organizacionais.

De acordo com a IN, a responsabilidade será do dirigente máximo da organização no

Cada risco mapeado e avaliado deverá estar associado a um agente responsável

 Assegurar que o risco seja gerenciado de acordo com a política de gestão de

A IN define também os princípios da boa governança, a saber: liderança, integridade,

Por último a IN determina que os órgãos e entidades do Poder Executivo federal

Modelos e regulamentações aplicáveis a determinados segmentos específicos – COBIT

Especialistas em gestão e institutos independentes recomendam o uso do COBIT como

De acordo com o COBIT são objetivos genéricos de TI:

 Responder aos requerimentos de negócio de maneira alinhada com a

 Assegurar a transparência e o entendimento dos custos, benefícios, estratégia,

Fonte: COBIT, 2012

O COBIT cobre quatro domínios, os quais possuem 34 processos, e estes processos

O domínio de Planejamento e Organização cobre o uso de informação e tecnologia e

Fonte: COBIT, 2012

Fonte: COBIT, 2012

O domínio Entregar e Suportar foca aspectos de entrega de tecnologia da informação.

O domínio de Monitorar e Avaliar lida com a estimativa estratégica das necessidades

Fonte: COBIT, 2012

Modelos e regulamentações aplicáveis a determinados segmentos específicos – Lei

objetivo de evitar o esvaziamento dos investimentos financeiros e a fuga dos investidores

A lei Sarbanes-Oxley, apelidada de Sarbox ou ainda de SOX, visa garantir a criação de

A lei Sarbanes – Oxley praticamente redefiniu as regras para as empresas corporativas,

 Eficácia e eficiência das operações;

A Lei Sarbanes-Oxley esclarece que os diretores executivos e diretores financeiros

Seção 302 – de forma explícita demonstra que os diretores executivos e diretores

Enfim a Sarbanes-Oxley é um indicativo de uma das mudanças que afetam a forma

São requisitos da lei:

 Controlar a criação, edição e versionamento dos documentos em um ambiente