Controles Internos

CONTROLES INTERNOS
Autoria: Estelamaris Reif
UNIASSELVI-PÓS
Programa de Pós-Graduação EAD
CENTRO UNIVERSITÁRIO LEONARDO DA VINCI
Rodovia BR 470, Km 71, no 1.040, Bairro Benedito
Cx. P. 191 - 89.130-000 – INDAIAL/SC
Fone Fax: (47) 3281-9000/3281-9090
Reitor: Prof. Hermínio Kloch
Diretor UNIASSELVI-PÓS: Prof. Carlos Fabiano Fistarol
Equipe Multidisciplinar da Pós-Graduação EAD:

Carlos Fabiano Fistarol
Ilana Gunilda Gerber Cavichioli
Cristiane Lisandra Danna
Norberto Siegel
Camila Roczanski
Julia dos Santos
Ariana Monique Dalri
Bárbara Pricila Franz
Marcelo Bucci
Revisão de Conteúdo: Jorge Roberto Krening

Revisão Gramatical: Equipe Produção de Materiais
Diagramação e Capa:
Centro Universitário Leonardo da Vinci – UNIASSELVI
Copyright © UNIASSELVI 2018

Ficha catalográfica elaborada na fonte pela Biblioteca Dante Alighieri
UNIASSELVI – Indaial.
R361c
Reif, Estelamaris
Controles internos. / Estelamaris Reif – Indaial: UNIAS-

SELVI, 2018.
129 p.; il.
ISBN 978-85-53158-57-7
1.Administração de empresas – Brasil. II. Centro Univer-

sitário Leonardo Da Vinci.
CDD 658.155
Estelamaris Reif
Mestre em Ciências Contábeis pela Fundação

Universidade Regional de Blumenau – FURB
(2015). Pós-graduada em Auditoria e Controladoria
pelo Centro Universitário Leonardo da Vinci – ICPG
(2012). Graduada em Ciências Contábeis pelo Centro
Universitário Leonardo da Vinci – UNIASSELVI (2008).
Atualmente é professora titular no Centro Universitário
Leonardo da Vinci (FAMEBLU) e Supervisora de Disciplina
no Núcleo de Educação a Distância da Sociedade
Educacional Leonardo da Vinci (NEAD-UNIASSELVI).
Sumário
APRESENTAÇÃO...........................................................................07
CAPÍTULO 1
Gestão de Riscos......................................................................... 09
CAPÍTULO 2
Controles Internos.................................................................... 49
CAPÍTULO 3
Aplicação e Implantação do Controle Interno...................... 91
APRESENTAÇÃO
O controle interno pode ser definido como um conjunto de métodos e
ferramentas que os agentes da empresa utilizam para manter a trajetória
de modo a alcançar os objetivos traçados. As necessidades do controle são
decorrentes de diversos fatores, tais como riscos nos negócios por conta das
ameaças e vulnerabilidades identificadas no ciclo, problemas de fragilidade de
procedimentos, eventos não previstos na ocasião do planejamento etc. Diante
da situação exposta, estudar controle interno requer uma visão mais ampla,
abordando, além das técnicas tradicionais, o conhecimento sobre sua origem e
relação com a organização.
Este livro está dividido em três capítulos. No Capítulo 1, o gerenciamento

de riscos corporativos tem como premissa que toda organização existe para
gerar valor às partes interessadas (pessoas, instituições, grupos, órgãos
governamentais etc.). Assim, todas as organizações enfrentam incertezas, e o
desafio de seus administradores é determinar até que ponto as aceitar, assim
como definir como elas podem interferir no esforço da instituição para gerar valor
às partes interessadas.
No Capítulo 2, junto ao surgimento das organizações nasceu a necessidade

de controlá-las, porém em muitos casos as organizações nem sempre foram
capazes de satisfazer as suas necessidades de controles internos. Muitos são
os casos de organizações que tiveram grande repercussão na mídia devido a
escândalos financeiros e contábeis que impactaram diretamente em seu resultado
e, consequentemente, na vida das pessoas envolvidas. Estes casos só realçam a
importância do controle interno, afinal de contas, se essas empresas possuíssem
sistemas de controles internos adequados, estes desvios e fraudes poderiam ter
sido descobertos a tempo, evitando o impacto negativo para as partes interessadas.
No Capítulo 3, controle é uma palavra proveniente do francês, controler, que

significa registrar, inspecionar e/ou examinar. No vocabulário técnico de negócios,
o termo serve para indicar inspeção ou exame, o qual se processa nos papéis
ou nas operações registradas a cada instante nos estabelecimentos industriais
e comerciais. Pode-se dizer que há o sentido de uma fiscalização organizada
no próprio estabelecimento para controlar os negócios que são realizados no
cotidiano por meio de conferências e registros a qualquer momento. O controle é
decorrente do processo de planejamento, assim, a empresa deve ser controlada
por meio de ferramentas que asseguram a execução de processos e os direcionam
dentro dos objetivos traçados pela alta administração.
Bons estudos!
C APÍTULO 1
Gestão de Riscos
A partir da perspectiva do saber fazer, neste capítulo você terá os seguintes

objetivos de aprendizagem:
33 Entender a definição de gestão de riscos.
33 Conhecer os órgãos responsáveis pela normatização da gestão de riscos bem

como do controle interno.
33 Entender a relação entre gerenciamentos de riscos e controle interno.
33 Compreender o contexto em que a gestão de riscos está inserida.

CONTROLES INTERNOS
10
Capítulo 1 Gestão de Riscos
1 Contextualização
Não há como falar sobre gestão de riscos sem mencionar o COSO (The
Comitee of Sponsoring Organizations), que tem como principal função prevenir e
evitar fraudes decorrentes de fragilidades nos processos internos da empresa. O
gerenciamento de riscos corporativos tem como premissa que toda organização
existe para gerar valor às partes interessadas (pessoas, instituições, grupos,
órgãos governamentais etc.).
Assim, todas as organizações enfrentam incertezas, e o desafio de seus

administradores é determinar até que ponto as aceitar, assim como definir como elas
podem interferir no esforço da instituição para gerar valor às partes interessadas.
As incertezas representam riscos e oportunidades com potencial para

destruir ou agregar valor. É nesse contexto que o gerenciamento de riscos
corporativos possibilita aos administradores tratar com eficácia as incertezas, bem
como os riscos e as oportunidades a elas associadas com o intuito de melhorar a
capacidade de geração de valor à corporação.
Acadêmico, dentro deste contexto iremos nos aprofundar mais sobre gestão
de riscos, pois é de extrema importância compreendermos sua definição para que
possamos entender posteriormente sua ligação com o controle interno, que é o
foco principal dessa disciplina.
2 Definição de Gestão de Riscos

O termo risco é proveniente da palavra em latim risicu, ou riscu, que significa
ousar. Habitualmente entende-se risco como possibilidade de “algo não dar certo”,
porém seu conceito atual envolve a quantificação e qualificação da incerteza no
que diz respeito às perdas e ganhos em relação ao rumo dos acontecimentos
planejados, seja por indivíduos ou por organizações (IBCG, 2007).
Nas organizações, quando falamos de gerenciamento de riscos é indiscutível

a importância do Committee of Sponsoring Organizations of the Treadway
Commission (COSO). O COSO é uma instituição que trabalha prevenindo e
evitando fraudes nos procedimentos e processos internos da empresa, um órgão
normalizador tanto da gestão de riscos quanto do controle interno.
Alguns conceitos abordados no COSO (2017) são apresentados para

entendermos a definição de gestão de riscos, ou gerenciamento de riscos:
11
CONTROLES INTERNOS
• Gerenciamento de riscos corporativos não é uma função nem um

departamento. É a cultura, as competências e as práticas que as organizações
integram à definição e à execução da estratégia, com o objetivo de gerenciar
o risco na criação, na preservação e na realização de valor.
• Gerenciamento de riscos corporativos é mais do que uma lista de
riscos. Ele requer mais do que fazer um inventário de todos os riscos da
organização. Ele é mais amplo e inclui práticas que a administração utiliza
para uma ativa gestão dos riscos.
• Gerenciamento de riscos corporativos vai além do controle interno. Ele
também trata de outros tópicos, como definição de estratégia, governança,
comunicação com os stakeholders e mensuração da performance. Seus
princípios se aplicam a todos os níveis da organização e a todas as funções.
• Gerenciamento de riscos corporativos não é um checklist. É um conjunto de
princípios com base nos quais os processos podem ser criados ou integrados
para uma determinada organização. É também um sistema de monitoramento,
aprendizado e melhoria da performance.
• Gerenciamento de riscos corporativos pode ser usado por organizações
de qualquer porte. Se a organização tiver uma missão, uma estratégia e
um objetivo – e a necessidade de tomar decisões que levam em conta
o risco – ela poderá aplicar o gerenciamento de riscos corporativos. Ele
pode e deve ser usado por organizações de todos os tipos – de pequenas
empresas a empresas locais e não lucrativas, órgãos governamentais,
até empresas da lista Fortune 500.
Quanto às finalidades do gerenciamento de riscos corporativos, observam-se

os tópicos a seguir:
QUADRO 1 – FINALIDADES DO GERENCIAMENTO DE RISCO

Alinhar o apetite a risco com a estratégia adotada – os administradores avaliam o
apetite a risco da organização ao analisar as estratégias, definindo os objetivos a elas
relacionados e desenvolvendo mecanismos para gerenciar esses riscos.
Fortalecer as decisões em resposta aos riscos – o gerenciamento de riscos
corporativos possibilita o rigor na identificação e na seleção de alternativas de respostas
aos riscos, como evitar, reduzir, compartilhar e aceitar.
Reduzir as surpresas e prejuízos operacionais – as organizações adquirem melhor
capacidade para identificar eventos em potencial e estabelecer respostas, reduzindo
surpresas, custos ou prejuízos associados.
Identificar e administrar riscos múltiplos e entre empreendimentos – toda
organização enfrenta uma gama de riscos que podem afetar diferentes áreas da
organização. A gestão de riscos corporativos possibilita uma resposta eficaz a impactos
inter-relacionados e, também, respostas integradas aos diversos riscos.
Aproveitar oportunidades – pelo fato de considerar todos os eventos em potencial,
a organização se posiciona para identificar e aproveitar as oportunidades de forma
proativa.
12
Otimizar o capital – a obtenção de informações adequadas a respeito de riscos

possibilita à administração conduzir uma avaliação eficaz das necessidades de capital
como um todo e aprimorar a alocação desse capital.
FONTE: COSO (2007, p. 3).
As finalidades mencionadas são inerentes ao gerenciamento de riscos

corporativos e ajudam os administradores a atingir metas de desempenho e de
lucratividade da organização, e evitam a perda de recursos.
Além disso, o gerenciamento de riscos corporativos contribui para assegurar

uma comunicação eficaz e o cumprimento de leis e regulamentos, bem como
evitar eventuais danos à reputação da organização (COSO, 2007).
Eventos que podem atingir criticamente a reputação da organização, em geral,

são denominados de “risco reputacional” ou de “imagem”, porém não se constituem
em um tipo específico de risco, mas uma consequência do mau gerenciamento dos
riscos da organização que se tornam públicos (IBCG, 2007). Exemplos:
• O impacto negativo sofrido por uma empresa de marca valiosa acusada

de práticas como o uso de material tóxico para produção de bens.
• Contratação de fornecedores com práticas trabalhistas condenáveis.
Os impactos negativos sofridos por essa empresa podem causar impacto

positivo nas empresas concorrentes. Não há um tipo de classificação de riscos que
seja consensual, exaustivo e aplicável a todas as organizações, a classificação
deve ser desenvolvida de acordo com as características de cada organização,
contemplando suas particularidades, no caso de indústria, mercado ou qualquer
outro setor de atuação. Por exemplo, os estoques de materiais de consumo
são menos relevantes para um banco do que para uma indústria, o qual pode
representar um dos principais fatores de risco (IBCG, 2007).
No entanto, você deve estar se perguntando: De que gerenciamento de

riscos estamos falando? Arima, Gil e Nakamura (2013) apresentam de forma bem
prática alguns exemplos:
• Uma pessoa sai de casa pela manhã e não sabe como está o trânsito.
Pode estar ruim, muito ruim, bom ou muito bom, pontuando somente
quatro alternativas.
• Uma equipe de futebol vai jogar uma partida em seu estádio contra o seu
principal adversário na cidade. Pode ganhar, perder ou empatar.
• Você adquire um apartamento novo, mas não para morar, apenas como
investimento. Pode ser que o apartamento se valorize, perca valor ou
mantenha um preço estagnado.
13
CONTROLES INTERNOS
Todas as situações mencionadas pelos autores nos ajudam a entender o

significado de risco.
Risco está associado à incerteza que temos sobre

o amanhã, ao futuro e à impossibilidade que temos
de controlar o que pode vir a ocorrer, no curto ou
longo prazo. Embora em muitos casos a incerteza
sobre o futuro possa ser algo positivo e favorável,
naturalmente as pessoas em geral não gostam de estar
sujeitas a condições de risco, pois a incerteza do que
pode vir a acontecer gera desconforto, estresse e até
vulnerabilidade. Em finanças, risco é definido como a
possibilidade de ocorrência de uma perda. Ou, ainda,
como a chance de obtenção de um resultado aquém do
esperado (ARIMA; GIL; NAKAMURA, 2013, p. 171).
O gerenciamento de O gerenciamento de riscos corporativos ajuda a organização a

riscos corporativos atingir seus objetivos e a evitar perigos e surpresas em seu percurso.
ajuda a organização A condução do gerenciamento de riscos corporativos é um processo
a atingir seus realizado pelo conselho de administração, diretoria e demais
objetivos e a evitar empregados. Sua aplicabilidade é realizada no setor de estratégias, as
perigos e surpresas
quais são formuladas para identificar em toda a organização eventos
em seu percurso.
potencialmente capazes de afetá-la, e administrar os riscos de modo
a mantê-los compatíveis com o apetite a risco da organização e possibilitar uma
garantia razoável do cumprimento dos seus objetivos (COSO, 2007).
O IBCG (2007) aborda que uma das formas de categorização dos riscos
reside em desenhar uma matriz que considere a origem dos eventos, a natureza e
uma tipificação dos riscos, conforme demonstrado na Figura 1 a seguir:
FIGURA 1 – MATRIZ DE CATEGORIZAÇÃO DOS RISCOS
FONTE: IBCG (2007, s.p.).
14
A classificação deve ser feita observando algumas diretrizes, como identificar

a origem dos eventos enquanto externa ou interna. Vejamos o conceito abordado
segundo o IBCG (2007):
Riscos Externos: são ocorrências associadas ao ambiente macroeconômico,

político, social, natural ou setorial em que a organização opera. Exemplos: nível de
expansão do crédito, grau de liquidez do mercado, nível das taxas de juros, tecnologias
emergentes, ações da concorrência, mudança no cenário político, conflitos sociais,
aquecimento global, catástrofes ambientais, atos terroristas, problemas de saúde
pública etc. A organização, em geral, não consegue intervir diretamente sobre estes
eventos e terá, portanto, uma ação predominantemente reativa. Isso não significa que
os riscos externos não possam ser “gerenciados”, pelo contrário, é fundamental que a
organização esteja bem preparada para essa ação reativa.
Riscos Internos: são eventos originados na própria estrutura da organização

pelos seus processos, quadro de pessoal ou ambiente de tecnologia. A
organização pode e deve, em geral, interagir diretamente com uma ação proativa.
A Folha de São Paulo em 2017 escreveu um breve artigo com ilustrações

bem interessantes sobre o assunto e o intitulou de: “Unir gerenciamento de
risco e estratégia melhora resultados”. No artigo se afirma que ter estratégia é
fundamental nos negócios, pois ela define aonde uma empresa chegará, como e
em quanto tempo, uma vez que o mercado está mais exigente e cobra atenção na
gestão dos riscos envolvidos nessa estratégia.
15
CONTROLES INTERNOS
FIGURA 2 – ESTRATÉGIA X GERENCIAMENTO DE RISCOS
FONTE: <http://estudio.folha.uol.com.br/petrobras/2017/12/1940485-unir-gerenciamento-
de-risco-e-estrategia-melhora-resultados.shtml>. Acesso em: 6 jun. 2018.
16
Em resumo, o artigo afirma que se as ameaças não são bem mapeadas,

corre-se o risco de inviabilizar o negócio, pois diante da preocupação dos
investidores, muitas empresas estão alinhando as áreas de estratégia com a de
gerenciamento de risco.
FIGURA 3 – EQUILÍBRIO ENTRE RISCO E ESTRATÉGIA (GESTÃO DE RISCOS)
FONTE: <https://oregionalsul.com/geral/sst-fara-parte-de-projeto-piloto-
de-gerenciamento-de-riscos/55134/>. Acesso em: 1 jun. 2018.
Vejamos outros conceitos fundamentais de gerenciamento de riscos

corporativos:
QUADRO 2 – CONCEITOS FUNDAMENTAIS DE GERENCIAMENTOS DE RISCOS
Um processo contínuo e que flui através da organização.

Conduzido pelos profissionais em todos os níveis da organização.
Aplicado à definição das estratégias.
Aplicado em toda a organização, em todos os níveis e unidades, e inclui a formação de
uma visão de portfólio de todos os riscos a que ela está exposta.
Formulado para identificar eventos em potencial, cuja ocorrência poderá afetar a
organização, e para administrar os riscos de acordo com seu apetite a risco.
Capaz de propiciar garantia razoável para o conselho de administração e a diretoria
executiva de uma organização.
Orientado para a realização de objetivos em uma ou mais categorias distintas, mas
dependentes.
FONTE: COSO (2007, p. 4).
17
CONTROLES INTERNOS
“O gerenciamento de riscos corporativos orienta seu enfoque diretamente

para o cumprimento dos objetivos estabelecidos por uma organização específica
e fornece parâmetros para definir a eficácia desse gerenciamento de riscos”
(COSO, 2007, p. 4).
Arima, Gil e Nakamura (2013) abordam que entre os diversos segmentos

existentes no mercado e nas corporações, a administração de risco é
especialmente importante nas atividades bancárias, seja ela um banco comercial
ou de investimento. Os bancos são instituições que especificamente trabalham
e gerenciam riscos, seja em operações de crédito, gestão de recursos ou nas
atividades de tesouraria.
Nesse sentido, as próprias crises financeiras ocorridas nos anos 1990 e 2000,
junto à crise do subprime em 2008, têm provocado a necessidade de uma busca
constante de novos mecanismos de gerenciamento de riscos, buscando não
comprometer em excesso os capitais especulativos e os capitais de reserva, que
acabam se sujeitando, via marcação, ao mercado e aos movimentos imprevisíveis
de variação da taxa de juros e de prêmio de risco.
É fato que há negócios na economia mais arriscados e outros menos. Como

exemplos, o setor de energia elétrica, que tende a ser menos arriscado do que
o negócio de comércio eletrônico, ou o setor de alimentos básicos que também
tende a ser menos arriscado do que o setor de bens de capital, e assim por diante
(ARIMA; GIL; NAKAMURA, 2013).
Nossa compreensão de risco e nossa prática de gerenciamento de riscos

corporativos melhoraram muito nas últimas décadas. A margem para erro é cada
vez menor. As organizações se deparam com desafios que afetam a confiabilidade,
a relevância e a confiança das partes interessadas, o que torna necessária maior
adaptação às mudanças (COSO, 2017).
Atividade de Estudos:
1) Sobre os conceitos fundamentais de Gerenciamentos de Riscos,

assinale V para as sentenças verdadeiras e F para as falsas:
( ) Orientado para a realização de objetivos em apenas uma

categoria específica.
( ) Conduzido pelos profissionais da área de auditoria.
( ) É um processo contínuo que flui por meio da organização.
( ) É aplicado à definição das estratégias.
18
Assinale a sequência CORRETA:
a) ( ) V – F – F – V.
b) ( ) F – V – V – F.
c) ( ) V – F – F – F.
d) ( ) F – F – V – V.
3 Componentes e Objetivos
do Gerenciamento de Riscos
Corporativo
“Existe um relacionamento direto entre os objetivos que uma organização se
empenha em alcançar e os componentes do gerenciamento de riscos corporativos,
que representam aquilo que é necessário para o seu alcance” (COSO, 2007, p. 7).
Esse relacionamento era apresentado de 2004 a 2017 (quando saiu a última
atualização do COSO) em uma matriz tridimensional em forma de cubo, como
pode ser observado a seguir:
FIGURA 4 – CUBO COSO
FONTE: Adaptado de COSO (2007, p. 7).
19
CONTROLES INTERNOS
Com base na missão ou na visão da organização, a administração estabelece

os planos principais, seleciona as estratégias e determina o alinhamento dos objetivos
nos níveis da organização. Essa estrutura de gerenciamento de riscos corporativos
visa alcançar os objetivos da organização e são classificados em quatro categorias:
a) Estratégicos – metas gerais, alinhadas com a missão da organização.

b) Operações – utilização eficaz e eficiente dos recursos.
c) Comunicação – confiabilidade de relatórios.
d) Conformidade – cumprimento de leis e regulamentos aplicáveis.
Observe que esta classificação está no topo do cubo e se refere aos

objetivos da organização. Além disso, essa classificação possibilita um enfoque
nos diferentes aspectos do gerenciamento de riscos de uma organização. Apesar
de serem categorias distintas, elas se inter-relacionam, uma vez que determinado
objetivo pode ser classificado em mais de uma categoria (COSO, 2007).
Após abordadas as quatro categorias pertencentes ao objetivo da

organização, abordam-se os oito componentes inter-relacionados por meio dos
quais a administração gerencia a organização. Observe que esses componentes
se encontram na parte da frente do cubo.
a) Ambiente interno: o ambiente interno compreende o tom de uma

organização e fornece a base em que os riscos são identificados e abordados
pelo seu pessoal, inclusive a filosofia de gerenciamento de riscos, o apetite a
risco, a integridade e os valores éticos, além do ambiente em que estes estão.
b) Fixação de objetivos: os objetivos devem existir antes que a administração

possa identificar os eventos em potencial que poderão afetar a sua realização. O
gerenciamento de riscos corporativos assegura que a administração disponha de um
processo implementado para estabelecer os objetivos que propiciam suporte e estejam
alinhados à missão da organização e sejam compatíveis com o seu apetite a riscos.
c) Identificação de eventos: os eventos internos e externos que influenciam o

cumprimento dos objetivos de uma organização devem ser identificados e classificados
entre riscos e oportunidades. Essas oportunidades são canalizadas para os processos
de estabelecimento de estratégias da administração ou de seus objetivos.
d) Avaliação de riscos: os riscos são analisados considerando a probabilidade

e o impacto como base para determinar o modo pelo qual deverão ser administrados.
Esses riscos são avaliados quanto à condição de inerentes e residuais.
e) Resposta a risco: a administração escolhe as respostas aos riscos –

evitando, aceitando, reduzindo ou compartilhando – desenvolvendo uma série de
medidas para alinhar os riscos com a tolerância e com o apetite a risco.
20
f) Atividades de controle: políticas e procedimentos são estabelecidos e

implementados para assegurar que as respostas aos riscos sejam executadas
com eficácia.
g) Informações e comunicações: as informações relevantes são

identificadas, colhidas e comunicadas de forma e no prazo que permitam que
cumpram suas responsabilidades. A comunicação eficaz também ocorre em um
sentido mais amplo, fluindo em todos níveis da organização.
h) Monitoramento: a integridade da gestão de riscos corporativos é

monitorada a fim de realizar as modificações necessárias. O monitoramento é
realizado através de atividades gerenciais contínuas ou avaliações independentes,
ou de ambas as formas.
O gerenciamento de riscos corporativos, constituído pelos oito componentes

apresentados, estão inter-relacionados e integrados ao processo de gestão. Este
processo de gestão é visto na lateral do cubo (subsidiária, unidade de negócio,
divisão e nível de organização) e são chamados de níveis da organização.
Em resumo, tem-se a seguinte situação: as quatro categorias de objetivos

(estratégicos, operacionais, de comunicação e conformidade) estão representadas
nas colunas verticais. Os oito componentes estão nas linhas horizontais e as
unidades de uma organização estão na terceira dimensão. Essa representação (o
cubo) ilustra a capacidade de uma organização em manter o enfoque na totalidade
do gerenciamento de riscos, ou na categoria de objetivos, componentes, unidade
da organização ou qualquer um dos subconjuntos (COSO, 2007). Ademais, uma
das novidades da versão atualizada do COSO é que a estrutura de gerenciamento
de riscos não é mais demonstrada em forma de cubo, mas por meio das figuras,
como as demonstradas a seguir:
FIGURA 5 – RISCOS E SEU PAPEL NA DEFINIÇÃO DA ESTRATÉGIA
Implic
ning atio
t alig ns
no fr
gy
om
rate
th e
Possibility of st
strate
gy chosen
Ris ce
k to an
strategy & Perform
FONTE: COSO (2017, s.p.).
21
CONTROLES INTERNOS
O gerenciamento de riscos corporativos, como vem sendo tradicionalmente

praticado, contribui para que as organizações identifiquem, avaliem e gerenciem
os riscos da estratégia. Porém, as causas mais importantes na destruição de valor
residem na possibilidade de as estratégias não suportarem a missão e a visão
da entidade, bem como as consequências decorrentes da estratégia escolhida
(COSO, 2017).
Assim, a atualização do COSO focou no gerenciamento de riscos corporativos

destacando a escolha da estratégia. “A definição de uma estratégia demanda um
processo decisório estruturado que analise os riscos e alinhe os recursos com a
missão e a visão da organização” (COSO, 2017, p. 10).
O gerenciamento de riscos corporativos – integrado à estratégia e

performance – realça a importância do gerenciamento de riscos corporativos no
planejamento estratégico e sua incorporação em toda a organização – porque o
risco influencia e alinha estratégia e performance em todos os departamentos e
funções, conforme demonstrado na próxima figura:
FIGURA 6 – GESTÃO DE RISCOS CORPORATIVOS INTEGRADOS
MISSION, VISION STRATEGY BUSINESS ENHANCED

OBJECTIVE IMPLEMENTATION
& CORE VALUES DEVELOPMENT & PERFORMANCE VALUE
FORMULATION
FONTE: COSO (2017, s.p.)
O Framework é um conjunto de princípios organizados em cinco componentes

inter-relacionados, conforme aponta o COSO (2017):
• Governance and culture (Governança e cultura): a governança

dá o tom da organização, reforçando a importância e instituindo
responsabilidades de supervisão sobre o gerenciamento de riscos
corporativos. A cultura diz respeito aos valores éticos, a comportamentos
esperados e ao entendimento do risco em toda a entidade.
• Strategy and objective-setting (Estratégia e definição de objetivos):

gerenciamento de riscos corporativos, estratégia e definição de objetivos
22
atuam juntos no processo de planejamento estratégico. O apetite a risco

é estabelecido e alinhado à estratégia; os objetivos de negócios colocam
a estratégia em prática e, ao mesmo tempo, servem como base para
identificar, avaliar e responder aos riscos.
• Performance: os riscos que podem impactar a realização da estratégia

e dos objetivos de negócios precisam ser identificados e avaliados. Os
riscos são priorizados com base no grau de severidade, no contexto do
apetite a risco. A organização determina as respostas aos riscos e, por
fim, alcança uma visão consolidada do portfólio e do montante total dos
riscos assumidos. Os resultados desse processo são comunicados aos
principais stakeholders envolvidos com a supervisão dos riscos.
• Review and revision (Análise e revisão): ao analisar sua performance,

a organização tem a oportunidade de refletir sobre até que ponto os
componentes do gerenciamento de riscos corporativos estão funcionando
bem ao longo do tempo e no contexto de mudanças relevantes, e quais
correções são necessárias.
• Information, communication and reporting (Informação, Caro acadêmico! É

importante destacar
comunicação e divulgação): o gerenciamento de riscos
que a nova versão
corporativos demanda um processo contínuo de obtenção do COSO veio para
e compartilhamento de informações precisas provenientes ressaltar, atualizar
de fontes internas e externas e originadas das mais diversas e complementar
camadas e processos de negócios da organização. conceitos abordados
nas versões
anteriores, e
Caro acadêmico! É importante destacar que a nova versão do COSO
não invalidar os
veio para ressaltar, atualizar e complementar conceitos abordados nas conteúdos abordados
versões anteriores, e não invalidar os conteúdos abordados neles até então. neles até então.
Acadêmico, quer entender mais sobre o CUBO do COSO? Acesse

o link <https://www.coso.org/Documents/COSO-ERM-Executive-
Summary-Portuguese.pdf> e tenha acesso ao COSO Gerenciamento
de Riscos Corporativos – Estrutura Integrada completo.
23
CONTROLES INTERNOS
1) Agora que você já estudou sobre a inter-relação dos conceitos

abordados no Cubo do COSO, assinale V para as sentenças
verdadeiras e F para as falsas:
( ) É com base na missão ou visão da organização que a

administração estabelece os planos, as estratégias e determina
o alinhamento dos objetivos.
( ) Em relação à resposta ao risco de a administração não a
escolher, cabe a ela somente aceitar.
( ) O processo de gestão da organização, conhecido no cubo como
níveis da organização, é composto por oito partes.
( ) Para uma correta avaliação dos riscos, analisam-se a
probabilidade e o impacto como base para determinar o modo
que deverá ser administrado.

a) ( ) V – F – F – V.
b) ( ) F – V – V – F.
c) ( ) V – F – F – F.
d) ( ) F – V – V – V.
4 Eventos: Riscos e Oportunidades

COSO (2007, p. 16) estabelece que “um evento é um incidente ou uma
ocorrência gerada com base em fontes internas ou externas, que afeta a
realização dos objetivos”. Estes, por sua vez podem causar impacto negativo,
positivo ou ambos. Os eventos que geram impacto negativo representam riscos.
“O risco é representado pela possibilidade de que um evento ocorrerá e afetará
negativamente a realização dos objetivos” (COSO, 2007, p. 16).
Eventos que causam impacto desfavorável são obstáculos à criação de

valor ou desgastam o valor existente. Vejamos alguns exemplos de eventos com
impacto desfavorável:
• Paradas no maquinário da fábrica.

• Incêndio e perdas de créditos.
24
FIGURA 7 – CAMINHONEIROS EM GREVE
FONTE: <http://www.boatos.org/brasil/caminhoneiros-nova-
paralisacao-lideres.html>. Acesso em: 1° jun. 2018.
O Correio Braziliense (2018) veiculou a seguinte informação: “A Confederação

Nacional de Dirigentes Lojistas (CNDL) estima que as áreas de comércio e
serviços deixaram de faturar cerca de R$ 27 bilhões entre os dias 21 e 28 de maio
de 2018 devido à greve dos caminhoneiros”.
Os eventos de impacto negativo eventualmente podem surgir de condições

aparentemente positivas, como nos casos em que a demanda de produtos pelo
consumidor é superior à capacidade de produção. Resultando, assim, em um não
atendimento da demanda, desgaste na fidelidade do cliente e declínio de pedidos
futuros (COSO, 2007).
É de extrema importância quando falamos de risco, a fim de associá-lo a uma

forma de mensuração ou, pelo menos, levar essa questão em conta diante das
condições de acompanhamento e controle de determinados negócios.
Assim, podemos entender que todos nós, indivíduos, governos, empresas,

instituições financeiras e entidades sem fins lucrativos estamos sempre sujeitos a
situações de risco e incerteza. É indispensável, do ponto de vista do tratamento
do risco, analisar formas de mensuração para que possamos, de alguma forma,
controlá-lo e gerenciá-lo (ARIMA; GIL; NAKAMURA, 2013).
Por sua vez, os eventos cujos impactos são positivos podem contrabalançar
os impactos negativos ou ainda representar oportunidades. Vejamos o conceito de
oportunidade, segundo o COSO (2007, pg. 52): “Oportunidade é a possibilidade
de que um evento ocorra e influencie favoravelmente na realização dos objetivos”.
As oportunidades favorecem a criação ou a preservação de valor. Cabe à

direção da organização conduzir estas oportunidades para seus processos de
fixação de estratégias ou objetivos, visando ao seu aproveitamento. Vejamos um
exemplo de evento favorável:
25
CONTROLES INTERNOS
FIGURA 8 – TAÇA DA COPA DO MUNDO
FONTE: <http://www.odefensor.com.br/site/2018/05/21/especialista-
da-dicas-de-seguranca-para-assistir-aos-jogos-da-copa-do-mundo-
em-ambientes-publicos/>. Acesso em: 1° jun. 2018
Feijó (2018) escreve que apesar do evento da Copa do Mundo ser

realizado em um breve período, muitas empresas já definem suas estratégias de
lançamentos de produtos e realizações de eventos com grande antecedência
para que estes estejam vinculados à Copa. Um estudo de caso feito pela Foxline
Marketing Promocional apontou que as vendas podem aumentar em até 41%
com a utilização de brindes personalizados em períodos como estes em
que acontecem a Copa. Quando se fala de risco, Arima, Gil e Nakamura (2013)
apontam que é necessário reconhecer a existência dos diferentes tipos de riscos,
que são:
a) Risco de mercado: é aquele que está relacionado à variabilidade

imprevisível dos preços de ativos negociados no mercado. Exemplo: o mercado
de ações está sujeito ao risco de mercado por conta da volatilidade observada
nos preços das ações em geral.
b) Risco de crédito: está relacionado à possibilidade de não pagamento de

obrigações. Portanto, quando uma empresa toma dívidas no mercado, o credor
assume o risco de crédito correspondente a essa dívida.
c) Risco operacional: está associado a eventos futuros que podem ocorrer

e que colocam em risco o patrimônio físico e financeiro de uma empresa.
d) Risco cambial: está relacionado à variação da taxa de câmbio ao longo

do tempo, ou seja, variação do preço da moeda estrangeira referenciada na
moeda local.
26
e) Risco sistemático: é uma definição que surgiu no contexto da teoria de

carteiras de ativos financeiros e está associada à parcela de risco que não pode
ser eliminada pela diversificação. O risco sistemático é a medida relevante de
risco no caso das ações, sejam elas ordinárias ou preferenciais.
f) Risco diversificável: ao contrário do sistemático, corresponde à parcela

de risco que pode ser eliminada por estratégias de diversificação, que consiste
em compor carteiras numerosas ou pelo menos com dois ou mais ativos que não
sejam forte e positivamente correlacionados entre si.
Os autores relatam que há outros tipos de riscos que podem ser mencionados,
porém cabe nos concentrarmos especialmente nos tipos mencionados, que são
os que mais nos interessam do ponto de vista da gestão de risco corporativo.
Além disso, os tipos de riscos variam de acordo com o tipo de organização e o
ambiente em que está inserida. Vejamos o exemplo de mapeamento de riscos do
DNIT (2017). O resultado da aplicação das técnicas de identificação dos riscos
resultou na construção do Mapa de Riscos Corporativos, que pode ser visualizado
a seguir:
27
CONTROLES INTERNOS
FIGURA 9 – MAPA DE RISCOS CORPORATIVOS DNIT
FONTE: <http://www.dnit.gov.br/planejamento-estrategico/riscos-corporativos/
gestao-de-riscos-corporativos-no-dnit>. Acesso em: 6 jun. 2018.
28
Observe que, neste caso, temos os seguintes riscos: risco orçamentário,

risco operacional, risco de mercado e risco político. Risco operacional e risco de
mercado foram abordados nos parágrafos anteriores. Trataremos, portanto, de
abordar os demais riscos: risco orçamentário e risco político.
Risco orçamentário: diz respeito à possibilidade das receitas e despesas

projetadas não se confirmarem durante o exercício financeiro. Tanto do lado da
receita quanto da despesa, os riscos decorrem de fatos novos e imprevisíveis
à época da elaboração do projeto, como a não concretização das hipóteses e
parâmetros utilizados nas projeções, as alterações nas decisões de alocação de
recursos e/ou as mudanças na legislação.
Risco político: está associado a ações governamentais que negam ou

restringem o direito de um investidor/proprietário (usar ou se beneficiar de seus
ativos e/ou redução do valor de uma empresa). Os mais conhecidos fatores
de risco político incluem: guerra, revoluções, expropriação, nacionalização ou
confisco e as ações para restringir a emissão de lucros ou outras receitas para o
país de origem. Os riscos políticos são aqueles associados com atos de governo
(COSTA; FIGUEIRA, 2017).
Lembre-se: O risco é representado pela possibilidade de que um

evento ocorrerá e afetará negativamente a realização dos objetivos
da organização, porém ele deve ser avaliado com base na sua
probabilidade de ocorrência e no impacto que gerará, fornecendo, dessa
forma, informações para um correto gerenciamento organizacional.
1) Hora de Refletir! Conceitue risco e oportunidade, citando um exemplo

de cada termo (o exemplo não deve constar no livro de estudos).
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
29
CONTROLES INTERNOS
5 Órgãos Normalizadores
Para entender o funcionamento dos órgãos normalizadores que tratam dos
assuntos relacionados à gestão de riscos e aos controles internos, temos que
voltar um pouco no tempo e relembrar alguns casos que contribuíram com a
expansão dessas atividades em nível mundial.
A seguir, apresenta-se um artigo produzido pela KPMG (2004), o qual

explica de forma fácil e resumida essa questão. A Lei Sarbanes-Oxley (SOX)
é a que tem maior impacto sobre os mercados de capitais norte-americanos
e mundiais desde a legislação de 1933 e 1934, que criou a Securities and
Exchange Commission (Comissão de Valores Mobiliários dos Estados Unidos –
SEC), com amplos poderes para regular e policiar o mercado norte-americano
de capitais.
Após inúmeros escândalos contábeis, a legislatura dos Estados Unidos,

com uma rapidez extraordinária e um apoio quase unânime, implementou uma
legislação que ampliou os poderes da SEC, aumentando consideravelmente
a responsabilidade da administração das empresas e introduzindo a
regulamentação, pelo governo, da profissão de auditor.
Esta regulamentação das novas normas, bem como sua supervisão do

cumprimento pelos vários elementos do mercado de capitais, passou a ser
de responsabilidade do Conselho de Supervisão de Assuntos Contábeis das
Companhias Abertas (Public Company Accounting Oversight Board – PCAOB),
com membros indicados pela SEC.
Os efeitos da Lei Sarbanes-Oxley são bastante significativos não apenas

nos Estados Unidos, pois a legislação determina que as empresas que não
são norte-americanas, mas que possuem cotação secundária em uma bolsa de
valores norte-americana, também deve seguir as novas leis. No entanto, quais
os efeitos práticos para as empresas brasileiras com registro na SEC?
Em 2003, existiam mais de 30 empresas brasileiras com registro na SEC,

empresas estas que possuem ações cotadas na bolsa norte-americana. Como
já se passaram anos desde a publicação do artigo da KPMG, estima-se que
esse número deve ter aumentado. A seguir, destacam-se as mudanças mais
evidentes e profundas advindas com a Lei SOX:
30
a) Responsabilidade do presidente (CEO) e do diretor financeiro (CFO) na

“certificação” das demonstrações financeiras.
b) Transferência para um comitê de auditoria, composto de membros não
executivos do Conselho da Administração, de muitos poderes e responsabilidades
que eram anteriormente dos diretores executivos.
c) Mais transparência na divulgação das informações financeiras e dos atos
da administração.
Vejamos algumas empresas brasileiras que, pelo fato de possuírem registro

na SEC, devem seguir a legislação acima comentada:
FIGURA 10 – LISTAGEM DAS COMPANHIAS BRASILEIRAS

QUE NEGOCIAM AÇÕES NA NYSE
FONTE: Adaptado pela autora SEC (2017, s.p.).
A metodologia do COSO foi recomendada pela SEC por causa da publicação

da SOX, por isso ela é uma das mais utilizadas pelas empresas quanto ao
gerenciamento dos sistemas de controle interno (LOPES; GONÇALVES;
CALLADO, 2016).
Criada em 1985, nos Estados Unidos, a National Commission on Fraudulent

Financial Reporting (Comissão Nacional sobre Fraudes em Relatórios
Financeiros), também conhecida como Treadway Commission, foi uma iniciativa
do setor privado de estudar as causas da ocorrência de fraudes em relatórios
financeiros e contábeis, a fim de desenvolver recomendações para empresas,
auditores independentes e instituições educativas. A comissão foi patrocinada por
cinco grandes associações de profissionais de classes ligadas à área financeira,
sendo totalmente independentes de suas entidades patrocinadoras. Segundo
Pereira et al. (2008), são elas:
31
CONTROLES INTERNOS
• AICPA – American Institute of Certified Public Accounts (Instituto

Americano de Contadores Públicos Certificados).
• AAA – American Accounting Association (Associação Americana de
Contadores).
• FEI – Financial Executives Internacional (Executivos Financeiros
Internacionais).
• IIA – The Insititute of Internal Auditors (Instituto dos Auditores Internos).
• IMA – Institute of Management Accountants (Instituto dos Contadores
Gerenciais
Em 1992, esta comissão publicou o trabalho Internal Control – Integrated

Framework (Controle Interno – Um Modelo Integrado), que se tornou
uma referência mundial para o estudo e aplicação dos controles internos.
Posteriormente, a comissão se transformou em comitê, passando a ser conhecida
então como COSO – The Committee of Sponsoring Organizations of the Treadway
Commission (Comitê das Organizações Patrocinadoras).
O COSO é uma entidade sem fins lucrativos, dedicada à melhoria dos

relatórios financeiros através da ética, efetividade dos controles internos e
governança corporativa.
Acadêmico, abordamos até agora os órgãos normalizadores e a legislação em

nível mundial. Na sequência, estudaremos esse assunto no âmbito da nação brasileira.
A regulação do controle interno no Brasil ocorreu devido às crises que o

Sistema Financeiro Nacional passava por volta dos anos 1990, por causa de
problemas de solvência das instituições financeiras, tais como: Bamerindus,
Nacional, Econômico, Noroeste.
No Banco Nacional foram constatadas manipulações contábeis com a criação

de ativos e receitas fictícias. Assim, o Conselho Monetário Nacional (CMN), por meio
da Resolução nº 2.554/98, determinou regras para implantação e implementação
dos sistemas de controle interno (NIYAMA et al., 2008; SANCHES, 2007).
Sanches (2007) complementa que em 2004, com a Lei SOX já publicada,

observou-se uma preocupação dos órgãos nacionais com o sistema de controle
interno, pois o Conselho Nacional de Seguros Privados e a Superintendência
de Seguros Privados (SUSEP) emitiram a Circular nº 249, determinando a
implementação do sistema de controle interno nas sociedades seguradoras de
capitalização e entidades abertas de previdência complementar. Em 2006, a
SUSEP publicou a Lei nº 9.613, que regulamentou a implantação de controles
internos específicos para tratamento de situações relativas à prática de crimes de
lavagem de dinheiro.
32
A Comissão de Valores Mobiliários (CVM), autarquia responsável pela

regulamentação e fiscalização das atividades concernentes ao mercado de
valores mobiliário brasileiro, tornou as informações sobre o controle interno
obrigatórias, por meio da Instrução nº 480/2009 no formulário de referência. É por
meio desse formulário que a CVM determina que as companhias divulguem as
informações quanto às deficiências de controle interno (LOPES; GONÇALVES;
CALLADO, 2016).
Os formulários de referência estão disponíveis no site da

BM&FBOVESPA. Para acessá-los, basta acessar o link: <http://www.
bmfbovespa.com.br/pt_br/produtos/listados-a-vista-e-derivativos/
renda-variavel/empresas-listadas.htm>, selecionar a empresa
desejada e ir até a aba Relatório Financeiros.
1) Em meio a tantos órgãos reguladores abordados, tanto em nível

mundial como nacional, é importante deixar clara a função de
cada um. Para isso, associe os itens a seguir:
I- Lei SOX
II- COSO
III- CVM
IV- CMN
( ) É uma organização privada, criada nos EUA em 1985, para

prevenir e evitar fraudes nos procedimentos e processos
internos da empresa.
( ) Compete a este conselho regulamentar as operações de crédito
das instituições financeiras brasileiras, regular a moeda do país,
supervisionar suas reservas em ouro e cambiais, determinar
suas políticas de poupança e investimento e regulamentar os
mercados de capitais brasileiros.
( ) A criação desta lei foi uma consequência das fraudes e
33
CONTROLES INTERNOS
escândalos contábeis que, na época, atingiram grandes

corporações nos Estados Unidos. Teve como intuito tentar evitar
a fuga dos investidores causada pela insegurança e perda de
confiança em relação às escriturações contábeis e aos princípios
de governança nas empresas.
( ) É uma autarquia vinculada ao Ministério da Fazenda do Brasil.
Tem poderes para disciplinar, normalizar e fiscalizar a atuação dos
diversos integrantes do mercado. Seu poder de normalizar abrange
todas as matérias referentes ao mercado de valores mobiliários.
Assinale a alternativa que apresenta a sequência CORRETA:
a) ( ) II – III – IV – I.
b) ( ) II – IV – I – III.
c) ( ) III – I – II – IV.
d) ( ) III – II – I – IV.
Para nos aprofundarmos um pouco mais na questão de normatização e

vermos como funciona na prática, apresentamos um artigo escrito por Imoniana e
Krening (2009), que teve como objetivo analisar a adoção dos aspectos relevantes
e intrínsecos na Circular CMN 3.467/09 pelas cooperativas de crédito do estado
de São Paulo.
A Circular 3.467 faz referência à “qualidade e adequação

do sistema de controles internos [...]” e define a abrangência e
o conteúdo mínimo do relatório do auditor sobre a avaliação dos
controles internos. Os critérios definidos pelo Banco Central do
Brasil seguem as definições e componentes presentes no COSO,
ou seja, o mesmo framework de controles internos utilizados pelas
empresas que possuem estrutura de controles internos certificados
conforme os requerimentos da Lei Sarbanes-Oxley.
Imoniana e Krening (2009) destacam as similaridades entre os

componentes do COSO e os aspectos relevantes da Circular CMN
3.467/09:
34
QUADRO 3 – SIMILARIDADES ENTRE OS COMPONENTES

DO COSO E CIRCULAR CMN 3.467/09
FONTE: a autora
Foram entrevistadas oito cooperativas de crédito por

conveniência, mais a Cooperativa Central de Crédito (Sicoob
Central Cecresp), totalizando nove cooperativas. A pesquisa contou
com entrevistas com as gerências de riscos, controles internos e
auditoria interna.
Resultados Obtidos:
Ambiente de controle: através dos resultados foi possível

identificar que, apesar de todas as cooperativas possuírem
código de ética e conduta divulgadas, nenhuma tem histórico de
descumprimento formalizado.
Outro aspecto se refere às políticas institucionais. Apenas um

respondente afirmou que todas as políticas tinham sido aprovadas e
divulgadas. Os demais demonstraram que o processo de aprovação
das políticas ainda se encontra em andamento em suas cooperativas
singulares, sendo que um deles afirmou que, na sua opinião, as
políticas são mais aplicáveis para bancos do que para cooperativas
de crédito singulares, ou seja, com pouca aplicabilidade. Outro
respondente afirmou não seguir a política de crédito institucional
porque não se aplica à realidade da cooperativa. Desobediência aos
normativos sistêmicos pode fomentar um ambiente interno inadequado.
“Determinados indivíduos poderão cometer atos desonestos, ilegais
ou antiéticos simplesmente porque a organização lhes propicia forte
incentivo ou tentação para agir desta forma” (COSO, 2007, p. 30).
Identificação e avaliação dos riscos: nas cooperativas singulares

entrevistadas não existem departamentos ou comitês formalmente
constituídos relacionados a riscos. Segundo os entrevistados, as cooperativas
35
CONTROLES INTERNOS
singulares de crédito apenas realizam alguns acompanhamentos, internos e

externos, mas de forma muito informal e superficial.
O fato da cooperativa central de crédito prever e tratar os

riscos para suas filiadas, não desobriga os administradores em suas
singulares a avaliar ou identificar riscos, principalmente de eventos
imprevistos, específicos da modalidade, os quais podem causar
impacto significativo na cooperativa. É decisão única e exclusiva da
gestão das cooperativas questões como aceitar o risco, implantar
controles internos efetivos ou eliminar o risco. “Ao avaliar riscos, a
administração leva em consideração eventos previstos e imprevistos.
Muitos eventos são rotineiros e recorrentes e já foram abordados,
enquanto outros são imprevistos” (COSO, 2007, p. 540).
Controles: os resultados sugerem forte ausência de formalizações

em relação a autorizações e alçadas. Sabe-se que as alçadas ou limites
servem para dar um alerta à administração pela comparação de transações
ou ocorrências atuais com critérios predefinidos. Um dos entrevistados
citou que não tinha nada formalizado em relação a autorizações e que a
questão ficava muito na dependência do bom senso do gestor.
A atribuição de autoridade e de responsabilidade estabelece

até que ponto pessoas ou equipes estão autorizadas, e
são incentivadas, a fazer uso de sua iniciativa para tratar
de questões e resolver problemas, e estabelece limites de
autoridade (COSO, 2007, p. 110).
Em relação às políticas envolvendo relatórios financeiros

e contábeis, percebe-se de forma unânime total ausência de
formalização. Um dos entrevistados citou o processo como
burocrático. Desta forma, pode-se entender que não existe evidência
de cultura por parte da administração para estabelecer e manter
sistemas de controle da contabilidade que estejam ligados aos
seus objetivos específicos. Uma visão ponderada nas entrevistas
é que a gestão de risco em muitas cooperativas não é uma prática
efetivada. É tomado conhecimento de indicadores e informações,
mas nenhuma decisão é tomada de forma formal. Somente o risco
de crédito foi citado pela maioria das cooperativas como foco de
atenção principal. “O gerenciamento de riscos é do interesse de
todos, ou seja, todos são responsáveis pelo apoio aos fluxos de
informações e comunicações inerentes ao gerenciamento de riscos,
incluindo comunicação em um nível organizacional mais elevado, de
quaisquer problemas nas operações, incluindo infrações às políticas
ou atos ilegais” (COSO, 2007, p. 97).
36
Informações e comunicações: entende-se que limitações

sistêmicas ou não integração de processos podem interferir na
qualidade dos dados, fazendo necessária uma avaliação periódica.
Todos os entrevistados afirmaram realizar o procedimento de
reconciliação contábil, como forma de captura de erro de dados.
No quesito divulgação, muitas cooperativas internamente

se utilizam de canais como e-mails e intranet para divulgar suas
políticas e procedimentos. “Em face da crescente dependência
em relação a sistemas sofisticados de informações e sistemas e
processos automatizados de decisão, acionados por dados, a
confiabilidade dos dados é um fator crítico” (COSO, 2007, p. 79).
Monitoramento e aperfeiçoamento: a auditoria interna

da Cooperativa Central de Crédito tem como missão principal
auxiliar as cooperativas a atingir seus objetivos por meio da
avaliação da situação econômico-financeira, verificação dos
controles internos, riscos e governança corporativa, propondo
recomendações de melhorias e soluções para regularização das
inconformidades. Algumas metodologias utilizadas pela auditoria
interna se baseiam no Manual de Instruções Gerais (MIG) da
confederação Sicoob e em algumas premissas do COSO, como:
proteção de ativos, informações fidedignas e cumprimento às
regulamentações. Teste de segurança nos sistemas de informação
são atribuições da confederação e cooperativa central de crédito,
detentores dos sistemas operacionais utilizados pelas suas filiadas.
Questões envolvendo monitoramento e aperfeiçoamento estão em
conformidade com as premissas da estrutura conceitual.
Consideração final: considerando as peculiaridades do

segmento cooperativista de crédito, principalmente no que se refere
a sua organização sistêmica, em que as figuras da confederação
cooperativa central e singulares têm seus papéis bem definidos
no que tange às políticas corporativas, diretrizes e processos
de controles internos, pode-se concluir que os resultados deste
trabalho foram satisfatórios.
FONTE: Adaptado de Imoniana e Krening (2009). <http://

tede.mackenzie.br/jspui/bitstream/tede/935/1/Jorge%20
da%20Silva%20Krening.pdf>. Acesso em: 6 ago. 2018.
37
CONTROLES INTERNOS
A natureza do A natureza do controle interno, da gestão de risco e da auditoria irá

controle interno, depender do tipo de negócio, se é um negócio privado ou governamental,
da gestão de risco e é de fundamental importância para a continuidade da empresa.
e da auditoria irá
depender do tipo de
negócio, se é um
negócio privado ou
6 Relação Entre
governamental, e
é de fundamental
Gerenciamento de Riscos
importância para
a continuidade da
e Controle Interno
empresa.
Acadêmico, vimos até agora sobre gestão de riscos (definição,
conceito etc.), estudamos também sobre os órgãos normalizadores (o princípio, a
evolução e as leis). Agora é necessário entender qual é a relação entre a gestão
de riscos e o controle interno.
O Institute of Internal Auditors (IIA, 2013) escreve que nos negócios do

século XXI não é mais raro encontrarmos diversas equipes de auditores internos,
especialistas em gerenciamento de riscos corporativos, executivos de compliance,
especialistas em controle interno, inspetores de qualidade, investigadores de
fraude e outros profissionais de riscos e controle trabalhando em conjunto para
auxiliar as empresas no gerenciamento de riscos.
Cada uma dessas especialidades tem perspectivas únicas e habilidades

específicas de valor inestimável para as organizações que assessoram,
entretanto, as atividades relacionadas ao gerenciamento de riscos e controle estão
cada vez mais divididas nos diversos departamentos e setores, prezando por um
trabalho coordenado para garantir que os processos de riscos e controle sejam
conduzidos conforme planejado. Sem uma abordagem coesa e coordenada, os
recursos limitados de riscos e controle podem não ser aplicados com eficácia,
e os riscos significantes podem não ser identificados e gerenciados de forma
adequada. Assim, entende-se que os controles internos são parte integrante do
gerenciamento de riscos. Vejamos a definição do COSO (2007):
Gerenciamento de riscos: trata da identificação, avaliação e administração

de riscos diante de incertezas e da geração de valor. Além disso, seu processo
permite a administração de riscos de forma compatível com o apetite de risco da
organização e possibilita um nível razoável de garantia em relação à realização
dos seus [organização] objetivos.
Controles internos: têm a finalidade de “possibilitar uma garantia razoável

quanto à realização dos objetivos [da organização]” (COSO, 2007, p.109).
Observe a figura para entender melhor essa integração:
38
FIGURA 11 – GESTÃO INTEGRADA
FONTE: <http://www.cesarramos.com.br/gestao-de-riscos-
corporativos-como-integrar-a-gestao-dos-riscos-com-a-estrategia-a-
governanca-e-o-controle-interno/>. Acesso em: 8 jun. 2018
“O controle interno é parte integrante do gerenciamento de riscos

corporativos. A estrutura do gerenciamento de riscos corporativos
abrange o controle interno, originando dessa forma uma conceituação
e uma ferramenta de gestão mais eficiente” (COSO, 2007, p. 8).
O controle interno é definido e tratado como: “Controle Interno – Estrutura

Integrada”. Isso se deve ao fato da estrutura ter resistido ao tempo e ser base
das normas, dos regulamentos e das leis existentes, além disso o documento
permanece vigente como fonte de definição e marco para as estruturas de
controles internos (COSO, 2007).
O “Controle Interno – Estrutura Integrada” especifica três categorias de objetivos:

operacionais, relatórios financeiros e compliance. O gerenciamento de riscos
corporativos especifica três categorias de objetivos semelhantes: operacionais, de
comunicação e de compliance. A categoria de comunicações na estrutura de controle
interno se relaciona com a confiabilidade das demonstrações financeiras publicadas.
Na estrutura do gerenciamento de riscos corporativos, a categoria de comunicação foi
expandida significativamente a fim de envolver todos os relatórios desenvolvidos pela
organização, divulgados tanto interna quanto externamente. Essa categoria inclui
os relatórios utilizados internamente pela administração e os publicados para partes
externas, inclusive arquivamentos obrigatórios e relatórios a outros stakeholders.
39
CONTROLES INTERNOS
Além disso, seu alcance se estende além da situação financeira, tratando

também das informações não financeiras (COSO, 2007). As estruturas de
gerenciamento de riscos corporativos e de controle interno reconhecem que os
riscos podem ocorrer em qualquer nível da organização, bem como ser originados
de uma variedade de fatores internos e externos. Assim, ambas as estruturas
consideram a identificação de riscos no contexto de potencial impacto sobre a
realização dos objetivos (COSO, 2007). Segundo o CVM (2015), ainda que hajam
visões diferentes, pode-se concluir de forma resumida os conceitos:
• Compliance (aderência às normas e procedimentos definidos

previamente) tende a ser visto na literatura como parte, seja de
gerenciamento de riscos, seja apenas de controles internos, ambos com
escopo mais amplo dentro da organização.
• Controles internos podem ser compreendidos como uma intersecção

com um sistema de gerenciamento de riscos. O sistema de controles
internos, além de compliance, busca assegurar que as operações da
empresa sigam conforme o planejado, mitigando desvios e, embora
não questione o que foi planejado, pode contribuir de forma crítica.
A função dos controles internos compreende a verificação para que
os ativos e os recursos sejam utilizados em função dos propósitos da
organização (eficiência e eficácia operacional), assim, podemos concluir
que nem todas as atividades da função controles internos (operacional)
endereçam “riscos”, e nem todo controle de riscos relevantes pode ser
tratado por meio da função controles internos.
• Gerenciamento de riscos é mais holístico, ao se inserir não apenas nos

contornos das operações, mas também no direcionamento estratégico da
organização, incorporando diferentes perspectivas, tais como o ambiente
externo e a reputação da organização. Ademais, o gerenciamento de
riscos é mais amplo, o que inclui o processo de identificação, mensuração
(qualitativa ou quantitativa), avaliação de riscos, bem como a definição
da atitude da organização perante esses riscos e os seus tratamentos
(inclusive controle).
40
1) Definida a relação entre gerenciamento de riscos e controles

internos. Conceitue os dois termos abordados para que fique
clara a definição de cada um.
____________________________________________________
____________________________________________________
____________________________________________________
____________________________________________________
____________________________________________________
____________________________________________________
____________________________________________________
2) Os conceitos de compliance, controles internos e gerenciamento

de riscos podem ter visões diferentes. Associe os itens a seguir
que correspondem a cada conceito instituído pela CVM:
I- Compliance
II- Controles internos
III- Gerenciamento de riscos
( ) É mais amplo, incluindo o processo de identificação,

mensuração e avaliação de riscos, bem como a definição
da atitude da organização perante esses riscos e os seus
tratamentos (inclusive controle).
( ) Pode ser compreendida como tendo intersecção com um
sistema de gerenciamento de riscos. Sua função compreende
a verificação para que os ativos e os recursos sejam utilizados
em função dos propósitos da organização (eficiência e eficácia
operacional).
( ) Possui aderência às normas e procedimentos previamente
definidos. Tende a ser visto na literatura como parte, seja de
gerenciamento de riscos ou apenas de controles internos.
a) ( ) II – III – I.
b) ( ) II – I – III.
c) ( ) III – I – II.
d) ( ) III – II – I.
41
CONTROLES INTERNOS
7 Informação e Comunicação
Vaassen, Meuwissen e Schelleman (2013) escrevem que as organizações
precisam de informação, assim como as pessoas de comida, e sem isso não se
pode fazer muito. A informação pode vir e ser usada de múltiplas maneiras, porém
seu objetivo final é tirar a organização de uma situação de falta de controle e
colocá-la em uma outra que exista.
É claro que as organizações não estarão automaticamente sob controle

apenas pelas informações, por isso se faz necessário um relacionamento
entre informação, sistemas de informação e controle. Assim como outros
relacionamentos empresariais, as informações e os sistemas que as produzem
devem ser controlados.
Informação é todo Informação é todo dado processado que contribui para o

dado processado entendimento, por parte do receptor, da parcela da realidade à qual se
que contribui para o aplica.
entendimento, por
parte do receptor, da
parcela da realidade Vaassen, Meuwissen e Schelleman (2013) abordam que o
à qual se aplica. controle interno tem seu foco voltado para a governança e o controle
das organizações. Porém, os instrumentos disponíveis têm natureza
predominantemente mecanicista, o que quer dizer que procedimentos e controles
são implantados e pouca atenção é dada a problemas derivados dos empregados
não saberem o que se espera deles, o que ocasiona desmotivação e incapacidade
de fazer o que se espera. Para o alcance dos objetivos estratégicos da organização,
os gestores da estratégia devem desempenhar as seguintes atividades:
• Definição dos objetivos estratégicos organizacionais (planejamento).

• Criação de processos colaborativos multifuncionais entre os funcionários
(estruturação).
• Definição das alocações de tarefas e fornecimento dos recursos
referentes a esses funcionários (execução).
• Mensuração do grau de alcance dos objetivos (avaliação).
• Empreendimento de ações corretivas ou preventivas se os objetivos não
forem alcançados ou o forem de forma parcial (ajuste).
Nos níveis tático e operacional, atividades semelhantes serão

desempenhadas. Contudo, à medida que as especificações dessas atividades se
tornam mais detalhadas é comum surgirem diferenças, como:
• Os objetivos se tornam mais concretos. Por exemplo, o chefe do

departamento de compras é responsável por manter os estoques acima
42
de determinado nível mínimo X.

• O grau de liberdade na criação de colaborações multifuncionais será
mais limitado. Por exemplo, se na gestão tática foi criada uma estrutura
organizacional que inclui um estoque separado do departamento de
compras, não será possível aos gestores operacionais criar um cargo no
qual a armazenagem e as compras estejam combinadas.
• As definições de tarefas serão específicas e conterão instruções mais
detalhadas. Por exemplo, apoiado pelo sistema de informação, o
chefe do departamento de compras delegará a seus subordinados a
responsabilidade de comprar Y unidades do produto A do fornecedor
B quando o controle dos estoques indicar que o nível mínimo X, assim
preestabelecido, for atingido.
• As normas para verificar se os objetivos foram atingidos serão mais
específicas. Por exemplo, serão realizados testes para checar se o nível
real dos estoques é maior do que o mínimo X.
• As medidas tomadas para mudar uma situação em que os objetivos não
são atingidos são de natureza rotineira. Por exemplo, se o nível real dos
estoques estiver abaixo do mínimo X requerido, a quantidade necessária
será comprada.
Dessa forma, os objetivos estratégicos de uma organização podem ser

divididos em metas mais palpáveis, ao se tornarem cada vez mais concretas
(VAASSEN; MEUWISSEN; SCHELLEMAN, 2013).
Sem informação não há controle. As informações são vitais

para que a organização conduza e controle suas operações.
Sem informações fidedignas em tempo hábil, será difícil
identificar proativamente a área de risco e reagir em relação a
ela (CORBARI; MACEDO, 2012, p. 133).
Para que a empresa possa tomar uma decisão correta, os gestores

dependem da qualidade da informação, que deve ser:
• Apropriada.
• Oportuna.
• Exata.
• Acessível.
O sistema de controle interno deve assegurar a qualidade da informação

avaliando se todas as transações e os eventos significativos estão corretos e
claramente documentados (CORBARI; MACEDO, 2012).
Vejamos no quadro a seguir a implicação da qualidade das informações:
43
CONTROLES INTERNOS
QUADRO 4 – IMPLICAÇÃO DA QUALIDADE DAS INFORMAÇÕES
Verificar se: Questionamento:
O conteúdo é apropriado. Está no nível de detalhes adequado?
As informações são oportunas. Estarão disponíveis quando necessário?
As informações são atuais. São as mais recentes?
As informações são exatas. Os dados estão corretos?
As informações são de fácil acesso. São de fácil obtenção por aqueles que as necessitam?
FONTE: Adaptado de Corbari e Macedo (2012)
A comunicação é pertencente a todos os sistemas de informação. Os sistemas

de informação devem amparar as pessoas para que elas possam desenvolver
responsabilidades operacionais, de comunicação e de conformidade, além de
conduzir as pessoas ao caminho da realização dos objetivos organizacionais.
A comunicação deve ocorrer de forma ampla, tratando de expectativas,
responsabilidade de indivíduos e de grupos, bem como de outras questões
importantes (CORBARI; MACEDO, 2012).
Acadêmico! Chegamos ao final deste capítulo e esperamos que você tenha

aproveitado o conteúdo elaborado. Nos próximos capítulos abordaremos mais
especificamente sobre os controles internos, a forma de aplicação e a implantação.
1) Sem informações fidedignas em tempo hábil, torna-se difícil

identificar proativamente a área de risco e reagir prontamente. As
informações são vitais para que a organização conduza e controle
suas operações, porém devem possuir algumas características.
Sobre essas características, analise os itens a seguir e classifique
V para os verdadeiros e F para os falsos:
( ) Oportuna
( ) Descartável
( ) Exata
( ) Acessível
44
a) ( ) V – V – F – V.
b) ( ) F – V – F – V.
c) ( ) V – F – V – V.
d) ( ) F – F – F – V.
8 Algumas Considerações
Após o estudo da temática de gestão de riscos, alguns pontos devem ser
destacados: o COSO (The Comitee of Sponsoring Organizations) que tem
como principal função prevenir e evitar fraudes decorrentes de fragilidades nos
processos internos da empresa é a principal ferramenta a ser utilizada quando se
fala em gerenciamento de riscos.
O gerenciamento de riscos tem papel fundamental no cumprimento dos

objetivos dos negócios, pois utiliza-se da prevenção de perdas e aproveita as
oportunidades e a capacidade de geração de valor da empresa. Ele não é uma
função nem um departamento e vai além do controle interno. Abrange tópicos,
como definição de estratégia, governança, comunicação e mensuração da
performance.
Porém, muitos obstáculos e desafios devem ser superados pelas

organizações para que a implantação e a manutenção desta prática sejam
desenvolvidas com sucesso. Tendo como base a missão/visão da organização
a estrutura do gerenciamento de riscos corporativos visa alcançar os objetivos
propostos pela organização e por isso é classificados em quatro categorias:
estratégico, operacional, comunicação e conformidade. Essa estrutura visa facilitar
a internalização do gerenciamento de riscos e uma maior eficácia no processo.
Referências
ARIMA, Carlos Hideo; GIL, Antonio de Loureiro; NAKAMURA, Wilson Toshiro.
Gestão: controle interno, risco e auditoria. São Paulo: Saraiva, 2013.
CORBARI, Ely Celia; MACEDO, Joel de Jesus. Controle interno e externo na

administração pública. Curitiba: InterSaberes, 2012.
45
CONTROLES INTERNOS
CORREIO BRAZILIENSE. 2018. Disponível em: <https://www.correiobraziliense.

com.br/app/noticia/economia/2018/05/31/internas_economia,685176/perdas-com-a-
greve-dos-caminhoneiros-superam-os-r-75-bilhoes.shtml>. Acesso em: 1° jun. 2018.
COSO – Committee of Sponsoring Organizations of the Treadway Commission,

Integrated Framework. Application Techniques, v. 2. USA, 2007.
______. Sumário Executivo. 2017. Disponível em: <conteudo.iiabrasil.org.br/

coso>. Acesso em: 7 jun. 2018.
COSTA, Luiz Paulo da Silva; FIGUEIRA, Ariane Cristine Roder. Risco político e
internacionalização de empresas: uma revisão bibliográfica. Cadernos EBAPE.
BR, v. 15, n. 1, 2017.
CVM – Comissão de Valores Mobiliários. Gerenciamento de riscos

corporativos: uma análise das diretrizes e da prática. Assessoria de Análise e
Pesquisa (ASA). Trabalhos para Discussão. 2015. Disponível em: <www.cvm.gov.
br/menu/acesso_informacao/serieshistoricas/estudos/anexos/Gerenciamento-de-
riscos_final_151015.pdf>. Acesso em: 4 jun. 2018.
DNIT (Brasil). 2017. Disponível em: <http://www.dnit.gov.br/planejamento-

estrategico/riscos-corporativos/gestao-de-riscos-corporativos-no-dnit>. Acesso
em: 6 jun. 2018.
FEIJÓ, Julio. Oportunidade à vista: Copa do Mundo. Promoview. 2018.

Disponível em: <https://www.promoview.com.br/esportes/oportunidade-a-vista-
copa-do-mundo.html>. Acesso em: 1 jun. 2018.
FOLHA DE SÃO PAULO. Unir gerenciamento de risco e estratégia

melhora resultados. 2017. Disponível em: <http://estudio.folha.uol.com.br/
petrobras/2017/12/1940485-unir-gerenciamento-de-risco-e-estrategia-melhora-
resultados.shtml>. Acesso em: 6 jun. 2018.
IAA – Institute of Internal Auditors. (Brasil). 2013. Disponível em: <http://www.

planejamento.gov.br/assuntos/empresas-estatais/palestras-e-apresentacoes/2-
complemento-papeis-das-areas-de-gestao-de-riscos-controles-internos-e-
auditoria-interna.pdf>. Acesso em: 8 jun. 2018.
IBCG – Instituto Brasileiro de Governança Corporativa. Guia de Orientação para

Gerenciamento de Riscos Corporativos. 2007. Disponível em: <http://www.
ibgc.org.br/userfiles/3.pdf>. Acesso em: 8 jun. 2018.
IMONIANA, Joshua Onome; KRENING, Jorge. Adesão das Cooperativas de Crédito
46
do Estado de São Paulo à framework de controles internos regido por Circular CMN
3.467/2009. Revista Organizações em Contexto, v. 11, n. 22. [s.l.] 2009.
KPMG – Auditores Independentes. Auditoria Externa do Terceiro Setor. 2004.

Disponível em: <http://www.kpmg.com.br/images/P7602-Office-Palestra.pdf>.
Acesso em 1 jun. 2018.
LOPES, Christianne Calado Vieira de Melo; GONÇALVES, Rodrigo de Souza;

CALLADO, Aldo Leonardo Cunha. Controle interno de empresas brasileiras listadas
na nyse: uma comparação entre as informações enviadas a SEC e à CVM. In: Anais
do Congresso UFPE de Ciências Contábeis. Pernambuco, 2016.
NIYAMA, Jorge Katsumi et al. Evolução da Regulação da Auditoria Independente

no Brasil: análise crítica a partir da teoria da regulação. Advances in Scientific
and Applied Accounting, São Paulo, v. 4, n. 2, 2008.
PEREIRA, E. et al. COSO: The Committee of Sponsoring Organizations of the

Treadway Commission. 2008. Disponível em: <http://www.fonai-mec.com.br/
uploads/documentos/arq1371678360.pdf>. Acesso em: 4 jun. 2018.
SANCHES, Marcos Venicio. Sistemas de Controles Internos e de fiscalização

em demonstrações contábeis: uma análise crítica de normas específicas.
Dissertação (Mestrado em Contabilidade) – Faculdade de Economia,
Administração e Contabilidade. Universidade de São Paulo. São Paulo, 2007.
SEC – U.S. Securities Exchange Comission. 2017. Disponível em: <http://www.

sec.gov/edgar.shtml>. Acesso em: 6 jun. 2018.
VAASSEN, Eddy; MEUWISSEN, Roger; SCHELLEMAN, Caren. Ebook: controle

interno e sistemas de informação contábil: sob a ótica de empresas privadas e
públicas. São Paulo: Saraiva, 2013.
47
CONTROLES INTERNOS
48
C APÍTULO 2
Controles Internos

33 Compreender a definição de controle interno.
33 Entender qual é o objetivo do controle interno, bem como sua metodologia

utilizada.
33 Estudar a estruturação do controle interno.
33 Refletir sobre o controle interno, ponderando os pontos positivos e negativos de

sua aplicabilidade e utilidade.
CONTROLES INTERNOS
50
Capítulo 2 Controles Internos
A evolução da sociedade e dos seus negócios não ocorre sempre de forma
simples ante os eventos do horizonte, no passado ou no presente. Seja para
entidades privadas ou governamentais, a ideia de mudança está vinculada à visão
da sustentabilidade dos negócios e à medida que a continuidade da entidade
necessita de conformidade, customização e inovação para atender aos interesses
dos acionistas e clientes (ARIMA; GIL; NAKAMURA, 2013).
Diante dessa evolução, os gestores necessitam de ferramentas que possam

identificar e mensurar os processos desenvolvidos dentro da organização. E é
nesse contexto que se insere o controle interno, uma ferramenta fundamental e
considerada uma das mais importantes na gestão de uma empresa, pois auxilia
os gestores em uma administração que inibe a ocorrência de erros, evitando o
desperdício e auxiliando no uso indevido de recursos e bens.
No entanto, destaca-se que a responsabilidade do controle interno é também

uma responsabilidade de todas as áreas da empresa e de todos que atuam nela.
Sua correta aplicação trará inúmeros benefícios aos negócios, contribuindo na
continuidade da empresa com o fornecimento de dados confiáveis que auxiliarão
na tomada de decisão.
Acadêmico, agora adentraremos no mundo do controle interno. Bons estudos!
2 Definição de Controle Interno

“Controle é uma palavra proveniente do francês controler, que significa
registrar, inspecionar e/ou examinar, ou então, do italiano controllo, que significa
registro e/ou exame” (ARIMA; GIL; NAKAMURA, 2013, p. 211). A palavra foi
inserida no vocabulário dos negócios para indicar inspeção ou exame, que pode
ser processado nos papéis ou nas operações registradas nos estabelecimentos
industriais e comerciais. Tem a conotação de uma fiscalização organizada
no próprio estabelecimento, que visa controlar os negócios que estão sendo
realizados no cotidiano por meio de conferências e registros a qualquer momento.
Para uma correta compreensão do estudo de controle interno é importante

entendermos que controle interno, controles internos e sistema ou estrutura de
controle(s) interno(s) são expressões que possuem a mesma denotação, são
sinônimos que representam um único objetivo dentro da organização, que é fazer
referência ao processo composto pelo conjunto de políticas, pelas regras de
51
CONTROLES INTERNOS
estrutura organizacional e pelos procedimentos adotados dentro da entidade para

vigiar, fiscalizar e verificar, permitindo criar mecanismos de correção, prevenção,
direção e observação para eventos que possam impactar no alcance dos objetos
da organização (TCU, 2018).
Controlar pode ser definido como o ato de efetuar interferências no

comportamento, processo ou sistema para verificar se está de acordo com o
resultado pretendido. O procedimento de controle interno consiste na atuação
de um determinado agente corretivo que atua diretamente no processo para
balizar ou fazer com que se desenvolvam as atividades dentro dos padrões
preestabelecidos (ARIMA; GIL; NAKAMURA, 2013).
1) Algumas expressões têm a mesma denotação, sinônimos que

têm o mesmo objetivo dentro da organização que é o de fazer
referência ao processo composto pelo conjunto de políticas da
organização. É importante conhecermos essas expressões para
não termos dúvidas na hora de aplicá-las em nosso cotidiano.
Sobre as expressões que possuem a mesma denotação, analise
as os termos abaixo e assinale as alternativas que são sinônimos:
I- Sistema de Controle Interno

II- Governança Corporativa
III- Controles Internos
IV- Controle Interno
Assinale a alternativa CORRETA:
a) ( ) Somente a alternativa II está correta.

b) ( ) As alternativas II e IV estão corretas.
c) ( ) As alternativas I, III e IV estão corretas.
d) ( ) Somente a alternativa I está correta.
As atividades de controle são políticas e procedimentos

que direcionam as ações individuais na implementação das
políticas de gestão de riscos, diretamente ou mediante a
aplicação de tecnologia a fim de assegurar que as respostas
aos riscos sejam executadas (COSO, 2007, p. 67).
52
Essas atividades de controle geralmente são classificadas com base

na natureza dos objetivos da organização, nos quais os riscos de estratégia,
operação, comunicação e cumprimento de diretrizes estão associados.
A base do sistema de controle interno é o ambiente em que está inserido

e se refere ao preceito e à estrutura que influenciam em conjunto a qualidade.
Definidos os objetivos em um ambiente de controle efetivo, a avaliação de riscos
fornece uma resposta apropriada, podendo mitigar as ocorrências indesejáveis
dependendo das atividades de controle implementadas (BRAGA, 2013).
“Ambiente de controle envolve competência técnica e “Ambiente de

compromisso ético. É um fator intangível, essencial à efetividade dos controle envolve
controles internos” (IMONIANA; NOHARA, 2005, p. 39). competência técnica
e compromisso
ético. É um fator
intangível, essencial
FIGURA 1 – CONTROLE INTERNO à efetividade dos
controles internos”
(IMONIANA; NOHARA,
2005, p. 39).
FONTE: <http://www.saojosedosquatromarcos.mt.gov.br/categoria/
unidade-de-controle-interno-uci/>. Acesso em: 2 jul 2018.
Cada organização tem o próprio conjunto de objetivos e abordagens de

implementação, por isso sempre haverá diferenças nas respostas aos riscos e
às atividades de controle relacionadas a estes. Por mais que duas organizações
com objetivos idênticos tomem decisões parecidas sobre o modo de atingir seus
objetivos, é possível que as atividades de controle sejam diferentes (COSO, 2007).
Isso acontece porque as organizações são administradas por pessoas

diferentes que utilizam critérios próprios para exercer controle. Além disso, os
53
CONTROLES INTERNOS
controles refletem o ambiente (externo) em que a organização está inserida, bem

como seu porte e sua complexidade, além da sua história e cultura (COSO, 2007).
Do ponto de vista da ciência contábil, o controle pode ser visto como uma
ciência do controle econômico, que tem como objetivo fornecer informação
econômica física de produtividade e social relevante para que os usuários possam
tomar suas decisões e realizar seus julgamentos com segurança (ARIMA; GIL;
NAKAMURA, 2013).
Vaassen, Meuwissen e Schelleman (2013) escrevem que, tradicionalmente,

o controle interno tem como foco a informação financeira, e é, portanto,
retrospectivo. No entanto, a sociedade sofreu inúmeras mudanças e o controle
interno passou a ter sua ênfase voltada à informação com vistas à otimização da
gestão operacional.
Esses conceitos possibilitam a determinação de diversas conjecturas de

controle interno, possibilitando estabelecer os objetivos de controle necessários
para o desenvolvimento do modelo conceitual de gestão empresarial, tanto no
nível contábil quanto administrativo (ARIMA; GIL; NAKAMURA, 2013). Vejamos
no quadro a seguir a classificação e a divisão de controle interno com seus
respectivos princípios:
QUADRO 1 – PRINCÍPIOS DE CONTROLE INTERNO
CONTÁBIL ADMINISTRATIVO
Integridade Disponibilidade
Confidencialidade Eficácia
Fidelidade da informação Eficiência
em relação aos dados
Segurança ambiental Obediência às diretrizes administrativas
Segurança física
Segurança lógica
Conformidade
Irrevogabilidade
FONTE: Adaptado de Arima, Gil e Nakamura (2013, p. 222)
54
No caminhar dessa alteração, três períodos de evolução econômica podem

ser discriminados: o primeiro foi a Era Agrária, que durou até meados do século
XVIII. O segundo, a Era Industrial, que é contínua até hoje. O terceiro, a Era da
Informação. A saber, estamos em um período de transição entre as eras Industrial
e da Informação (VAASSEN; MEUWISSEN; SCHELLEMAN, 2013).
• Era Agrária: caracterizada pelo poder das guildas (corporações

profissionais, também chamadas de ofícios). Dentro das guildas, acordos
precisos eram feitos e não havia uma competição real.
• Era Industrial: caracteriza-se pela concentração do poder em companhias
produtoras que crescem em tamanho e também pela competição entre
essas entidades.
• Era da Informação: caracteriza-se por um aumento nas formas de
organização que transcendem ramos, fronteiras, culturas e mercados.
Nesta era, a economia é dominada pelas organizações de serviços
(incluindo os setores comercial e financeiro), para as quais conhecimento
e informação são os recursos mais importantes para competir.
O CRC/RS (2011) aborda que o controle interno também teve uma ampliação
no seu conceito com o COSO (2007), passando a ter uma conotação proativa,
além da reativa, focando o controle interno como um sistema, sempre de forma
integrada, com melhor visão de gestão no gerenciamento dos riscos, prevendo,
inclusive, a sua realização como processo por um comitê diretivo no âmbito da
entidade. Esta ampliação acontece no contexto de forma geral, vejamos:
• Os objetivos de controle interno em uma entidade, considerando-a pela

sua efetiva estrutura, se por departamentos ou unidades de negócios ou
se por grupo econômico de várias empresas.
• As categorias de atividades são acrescidas referente à estratégia e são
agregadas ao próprio novo conceito de controle interno.
• Os elementos básicos de controle interno passam a dar maior
importância à gestão de riscos, mudando de cinco para oito elementos.
O Controle interno deve ser visto como um processo, pois O Controle interno
representa um conjunto de ações das atividades internas em busca do deve ser visto como
cumprimento da missão da organização. um processo, pois
representa um
conjunto de ações
No decorrer do tempo, o papel do controle interno evoluiu,
das atividades
ultrapassando o campo da área contábil e estática para ser internas em busca
compreendido como um processo em movimento para ser debatido, que do cumprimento
não se prende a uma visão de passado, comparativa, mas assume uma da missão da
tendência prospectiva de mitigação de riscos (BRAGA, 2013). organização.
55
CONTROLES INTERNOS
1) Quando se fala que o controle interno ampliou seu conceito e

passou a ter conotação proativa, estamos querendo falar o quê?
Assinale a alternativa CORRETA:
a) ( ) Lançar ideias inovadoras.

b) ( ) Analisar somente os controles internos futuros.
c) ( ) Capacidade de resolver problemas.
d) ( ) Antecipar futuros problemas.
Vaassen, Meuwissen e Schelleman (2013) escrevem que os controles

envolvem tanto aspectos vinculados ao passado como os prováveis (futuro). O
passado se resume em comparar a realização (no sentido de “o que é”) com um
critério já estabelecido (referindo-se ao “o que deveria ser”). Os autores citam o
seguinte exemplo: registros de estoques (“o que é”) são comparados com seus
respectivos saldos definidos (“o que deveria ser”) e ajustados caso haja alguma
discrepância. Chama-se este componente do controle de checagem.
Já o componente provável envolve tomar decisões objetivando assegurar

o desempenho da organização no futuro. Exemplo: contratar as pessoas certas
e treiná-las, definindo objetivos e recompensando os gestores caso alcançados
tais objetivos.
A constante luta de executivos, gestores e demais profissionais especializados

para concretizar mudanças que alcançam futuros cenário positivos, é um desafio
diário na condução dos negócios, pois a convivência com as contingências é
atribuição destes profissionais (ARIMA; GIL; NAKAMURA, 2013).
“Gestão é decisão Imoniana e Nohara (2005) escrevem que apesar de haver vários
e toda decisão é conceitos, percebe-se que existe uma unidade de pensamento sobre
uma aposta de a compreensão de controle interno enquanto mecanismos adotados
ocorrência ou não e pelas organizações visando minimizar o impacto de riscos de processo
de forma favorável
e de negócio.
ou desfavorável aos
cenários do amanhã
dos negócios” (ARIMA; “Gestão é decisão e toda decisão é uma aposta de ocorrência ou
GIL; NAKAMURA, não e de forma favorável ou desfavorável aos cenários do amanhã dos
2013, p. 57). negócios” (ARIMA; GIL; NAKAMURA, 2013, p. 57).
56
2 Controle Interno na Área Pública

A importância que os controles internos desempenham no setor público teve
origem na literatura norte-americana relacionada à auditoria das demonstrações
contábeis no setor privado (BRAGA, 2013). Sua obrigatoriedade no Brasil já era
regulamentada antes da Constituição Federal de 1988 e da Lei de Responsabilidade
Fiscal, previsto na Lei nº 4.320/64 e no Decreto-Lei nº 200/67, e tinha como objetivo
exercer o controle interno da atividade orçamentária, financeira e patrimonial da
administração pública (TCE/PB, 2016).
FIGURA 2 – VISÃO DO CONTROLE INTERNO NA ÁREA PÚBLICA
FONTE: TCE/PB (2016, p. 12).
A administração pública é constitucionalmente submetida a controle externo

por parte do Congresso Nacional, cabendo aos poderes Executivo, Legislativo e
Judiciário manter de forma integrada um sistema de controle interno (CÂMARA
DOS DEPUTADOS/DF, 2014). O controle interno deve ser exercido em todos os
níveis da entidade do setor público, compreendendo:
• A preservação do patrimônio público.

• O controle da execução das ações que integram os programas.
• A observância às leis, aos regulamentos e às diretrizes estabelecidas.
O controle interno preconizado na Carta Magna tem como objetivo avaliar

o grau de confiabilidade e eficácia dos controles administrativos por meio da
implantação de uma unidade especializada. Essa unidade detém as atribuições
de auditoria, fiscalização e acompanhamento da gestão administrativa, financeira,
contábil, orçamentária e operacional, com a finalidade de dar sugestões para
tornar os controles primários mais eficientes e detectar possíveis falhas e
irregularidades (CÂMARA DOS DEPUTADOS/DF, 2014).
57
CONTROLES INTERNOS
Nesse sentido, o TCE/PB (2016, p. 13) corrobora que “o controle interno

integra a estrutura organizacional da Administração, tendo por função acompanhar
a execução dos atos e apontar, em caráter sugestivo, preventivo ou corretivo, as
ações a serem desempenhadas”. Ademais, o controle interno ainda possui caráter
opinativo, porém o gestor pode ou não atender à proposta que lhe seja indicada,
sendo de sua responsabilidade e risco os atos praticados (TCE/PB, 2016).
Assim como na área privada, na área pública os controles internos também

são executados por pessoas, que consequentemente sofrem influência da
natureza humana, como julgamentos imprecisos ou incorretos, seja pela falta de
conhecimento técnico adequado, por engano, pela intempestividade na tomada
de decisão ou na falta de comprometimento dos gestores e do pessoal quanto
à implementação de procedimentos de controle excessivamente burocráticos
e sem eficácia comprovada. Além disso, consideram o custo muito superior
aos benefícios alcançados pela atividade, e a atuação delituosa por meio de
práticas de conluio, possibilitando fraudar o sistema de controle interno acaba por
prejudicar o controle interno nesta esfera (BRAGA, 2013).
Nesse sentido, Braga (2013) aborda que os controles internos não são capazes
de assegurar, de forma absoluta, que os objetivos serão alcançados. O fator humano,
os riscos que estão fora do controle da administração e uma estrutura inadequada dos
controles influenciam negativamente na eficiência e eficácia dos objetivos propostos.
“A Carta Magna A Carta Magna não é uma lei, e sim normas que abrangem
não é uma lei, e deveres e obrigações das pessoas, incluindo o Direito. Ela apenas
define o que teremos de cumprir no todo ou em parte regida
sim normas que
pelo Código Civil, Código Penal e Comitê de Pronunciamentos
abrangem deveres Contábeis (DICIONÁRIO INFORMAL, 2013, s.p.).
e obrigações das
pessoas, incluindo
o Direito. Ela Na administração pública, a função de controle é exercida por
apenas define o causa de exigências legais. O artigo 70 da CF de 1988 determina que
que teremos de
cumprir no todo ou a fiscalização contábil, financeira, orçamentária, operacional e
em parte regida pelo patrimonial da União e das entidades da Administração Direta
e Indireta, quanto à legalidade, legitimidade, economicidade,
Código Civil, Código
aplicação das subvenções e renúncia de receitas, será exercida
Penal e Comitê de pelo Congresso Nacional, mediante controle externo, e pelo
Pronunciamentos sistema de controle interno de cada Poder (BRASIL, 1988, s.p.).
Contábeis”
(DICIONÁRIO
O Tribunal de Contas da União (TCU) encaminhou uma proposta
INFORMAL, 2013,
s.p.). de lei ao Congresso Nacional propondo um documento para que haja
uma uniformização da definição de controle interno, além da definição
de seus objetivos e elementos. Uma vez que se reconhece que é necessária uma
ordem para que haja uniformidade sem prejuízo das peculiaridades na criação e
implementação de estruturas de controles internos no Brasil (BRAGA, 2013).
58
1) Diferente de algumas organizações privadas, na administração

pública a função de controle interno é exercida por motivos de
exigências legais. Assinale a alternativa que corresponde à base
legal que determinou o controle interno na área pública:
a) ( ) Decreto-Lei nº 200/1967.
b) ( ) NBC T 16.8 – Controles Internos.
c) ( ) Lei nº 4.320/1964.
d) ( ) Constituição Federal de 1988.
Para entendermos melhor de controle interno na esfera pública, analisemos

a imagem a seguir:
FIGURA 3 – SISTEMA DE CONTROLE NA ÁREA PÚBLICA
Fonte: <https://slideplayer.com.br/slide/10197865/>. Acesso em: 6 jul. 2018.
59
CONTROLES INTERNOS
O TCE/PB (2016) destaca que entre as responsabilidades dos gestores das

unidades administrativas, destacam-se:
• Exercer os controles estabelecidos nos diversos sistemas administrativos

afins à área de atuação.
• Exercer controle sobre o uso e guarda de bens.
• Manter registro de suas operações e adotar manuais e fluxogramas
para espelhar as rotinas de procedimentos que consubstanciam suas
atividades.
• Disponibilizar à Unidade Central de Controle Interno informações,
documentos, acesso a sistemas e banco de dados informatizados, além
de outros elementos solicitados para desempenho de suas atribuições.
• Comunicar à Unidade Central de Controle Interno qualquer irregularidade
ou ilegalidade.
“O Controle Interno “O Controle Interno não controla o gestor, não engessa, nem impede
não controla o sua atuação. Ele controla para o gestor, amplia sua visão, seu conhecimento
gestor, não engessa, de todos os meandros da Administração” (TCE/PB, 2016, p. 14).
nem impede sua
atuação. Ele controla
para o gestor, amplia
sua visão, seu
conhecimento de
3 Controle Interno x Auditoria
todos os meandros
da Administração”
Interna
(TCE/PB, 2016, p. 14).
Primeiramente, ressalta-se que a auditoria interna está presente
tanto na esfera pública quanto na privada. Embora as definições apresentadas a
seguir se relacionem mais a uma ou outra esfera, o objetivo da auditoria interna
não irá diferir em sua essência, independentemente dela estar dentro de uma
empresa ou de um órgão público (BRAGA, 2013).
Por conseguinte, é comum as pessoas presumirem que controle interno é

sinônimo de auditoria interna. No entanto, esta ideia é totalmente equivocada,
visto que a auditoria interna consiste em um trabalho organizado de revisão e
apreciação de trabalho, que normalmente é realizado por um departamento
especializado, e o controle interno constitui-se de procedimentos e organização
vinculados aos planos permanentes da empresa (YOSHIDA; REIS, 2005).
A auditoria interna é realizada por funcionários da própria

empresa que fazem parte de um departamento de auditoria
interna ou de uma função equivalente, tendo com objetivo
principal a avaliação, monitoramento da adequação e
efetividade do controle interno (MELO; SANTOS, 2017, p. 61).
60
É comum as entidades criarem a função de auditoria interna como parte

integrante das suas estruturas de controle interno e governança. Porém
os objetivos, o alcance da função de auditoria interna, a natureza das suas
responsabilidades e a sua posição hierárquica na organização, incluindo a sua
autoridade e a sua prestação de contas (accountability), variam amplamente
dependendo do tamanho e da estrutura da entidade (NBC TA 610, 2018).
Os auditores internos exercem uma função essencial ao avaliar a eficácia do

gerenciamento de riscos corporativos e ao recomendar melhorias. O Institute of
Internal Auditors no Brasil estabelece por meio de suas normas que o alcance da
auditoria interna deve incluir o gerenciamento de riscos e os sistemas de controle
interno. Esse alcance deve compreender a avaliação da confiabilidade das
informações, a eficácia e a eficiência das operações, e por fim o cumprimento de
leis e normas aplicáveis (COSO, 2007).
A NBC TA 610 (2018) escreve que os objetivos e o alcance da função de

auditoria interna normalmente incluem as atividades de asseguração e consultoria
planejadas para avaliar e aprimorar a eficácia dos processos de governança,
gestão de risco e controle interno da entidade, tais como veremos a seguir.
Atividades da auditoria interna relacionadas ao controle interno:
• Avaliação do controle interno: a auditoria interna pode ter

responsabilidade específica para revisar controles, avaliar o seu
funcionamento e recomendar melhorias a esses controles. Ao fazê-las,
a auditoria interna fornece segurança sobre o controle. Por exemplo, AUDI-
a
TORIA
auditoria interna pode planejar e executar testes ou outros procedimentos
para fornecer segurança à gerência e aos responsáveis pela governança
relativos ao planejamento, implantação e eficácia operacional do controle
interno, incluindo os controles que sejam relevantes para a auditoria.
• Análise da informação operacional e financeira: a auditoria interna

pode ser designada para revisar os meios usados para identificar,
reconhecer, mensurar, classificar e reportar as informações financeiras e
operacionais, e realizar investigação específica de itens individualizados,
incluindo testes detalhados de transações, saldos e procedimentos.
• Revisão das atividades operacionais: a auditoria interna pode ser designada

para revisar a economicidade, a eficiência e a eficácia das atividades
operacionais, incluindo as atividades não financeiras de uma entidade.
• Revisar a observância das legislações e regulamentações: a

auditoria interna pode ser designada para revisar a observância das
legislações e regulamentações, outros requisitos externos, além das
políticas e diretrizes da administração e outros requisitos internos.
61
CONTROLES INTERNOS
Yoshida e Reis (2005, p. 15) abordam que o “controle interno por melhor que
seja, deve ser fiscalizado periodicamente por um auditor interno, com a finalidade
de averiguar se realmente está sendo utilizado e se está sendo bom para o
funcionamento da empresa”. Os autores escrevem que o auditor interno deverá
efetuar o levantamento do sistema contábil e de controle interno, e avaliar o grau
de confiabilidade para que, baseado neste, possa estabelecer a extensão dos
procedimentos de auditoria e o momento de aplicação.
Para se certificar de que o sistema de controle interno é realmente utilizado,

são aplicados alguns testes que consistem basicamente em observar a execução
dos trabalhos pelos funcionários e a inspeção de documentos e registros
contábeis. Essa avaliação do sistema de controle interno servirá de base para
o auditor determinar o grau de confiança depositado. Constado que o controle
interno da empresa é bom, o auditor poderá diminuir o volume de testes, porém,
caso o controle interno seja considerado fraco, a tendência é aumentar o volume.
Além disso, quando detectada deficiência no sistema de controle interno, o auditor
poderá fazer recomendações objetivando medidas corretivas consideradas
apropriadas. Os controles internos poderão ser considerados bons, ou seja,
eficientes e eficazes se a alta administração tiver segurança razoável de que:
a) Os objetivos das operações da Entidade estão sendo

alcançados (objetivos das operações).
b) As demonstrações financeiras publicadas são preparadas
de maneira confiável (objetivos de relatórios financeiros e
tomada de decisão).
c) As leis e regulamentos aplicáveis estão sendo cumpridos
(objetivo de conformidade) (ABRAPP, 2010, p. 14).
Para uma avaliação mais profunda em relação ao controle interno, o auditor

deve ponderar o plano organizacional e a divisão de responsabilidades, bem
como os sistemas de autorizações, procedimentos de registros e elaboração de
relatórios, manuais internos, realizar conversas com os funcionários, inspeção
física de procedimentos (compra, venda, pagamentos etc.) e, por fim,
“Auditoria
Interna pode ser a eficiência com que as normas e procedimentos estabelecidos estão
conceituada como sendo seguidos (YOSHIDA; REIS, 2005).
o controle dos
controles internos” “Auditoria Interna pode ser conceituada como o controle dos
(MELO; SANTOS, controles internos” (MELO; SANTOS, 2017, p. 111).
2017, p. 111).
62
1) A auditoria interna, para se certificar de que o controle interno

é realmente utilizado, faz uso da aplicação de alguns testes.
Constatado que tal controle interno é bom ou ruim, como é feita
a aplicação dos testes? Discurse sobre esse procedimento nas
duas situações.
____________________________________________________
____________________________________________________
____________________________________________________
____________________________________________________
____________________________________________________
____________________________________________________
____________________________________________________
____________________________________________________
4 Controle Interno x
Controladoria
Os termos controle interno e controladoria acabam confundindo as pessoas,
fazendo com que pensem que é a mesma coisa, porém, ao nos aprofundarmos
mais no assunto, veremos que que a controladoria é muito mais. A controladoria é
uma área de conhecimento humano, enquanto que o controle interno são métodos
utilizados e modelos estruturados que objetivam garantir a eficácia no controle
organizacional (FERNANDES, 2012).
Fernandes (2012, p. 40) afirma que:
a palavra controle, no sentido mais amplo, significa domínio

sobre algo ou alguma coisa ou alguém, dando a ideia de
autoridade, enquanto, numa linguagem corporativa, controle
é um mecanismo que mantém padrões preestabelecidos das
operações da empresa sob controle.
Em muitos casos, há também uma indefinição a respeito da função da

controladoria, isso se deve a questões hierárquicas, ou seja, como a organização
coloca a controladoria dentro de sua estrutura. Vejamos um modelo:
63
CONTROLES INTERNOS
FIGURA 4 – EXEMPLO DE ORGANOGRAMA EMPRESARIAL
FONTE: <https://pt.slideshare.net/ValinieAssociados/palestra-de-
gesto-estratgica-em-controladoria/>. Acesso em: 21 jun. 2018.
Observa-se que a controladoria engloba tanto as funções de auditoria interna

quanto as de controles internos, contudo a diferença consiste em que a controladoria
executa suas atividades de forma contínua (identificando, avaliando, mensurando,
planejando e comunicando) com foco na orientação aos gestores na tomada de
decisão e direção para o alcance dos objetivos organizacionais. Já a auditoria
interna não fornece subsídio de informação contínua e realiza suas atividades por
amostragem ou ciclos, devendo estar segregada como unidade organizacional, e por
fim o controle interno, que é um mecanismo que mantém padrões preestabelecidos
das operações da empresa sob controle (FERNANDES, 2012).
Para compreendermos melhor a variedade de atividades atribuídas à função

da controladoria, vejamos o quadro a seguir:
QUADRO 2 – FUNÇÕES DO CONTROLLER E DA CONTROLADORIA
Autor Funções
Controle organizacional; Mensuração do

Anderson e Schmidt (1961) empreendimento; Divulgação de informações
(interna e externa); Proteção do Patrimônio.
Heckert e Wilson (1963) Planejamento e controle; Relatórios; Função contábil.

Informação (interna e externa); Motivação;
Kanitz (1976) Coordenação (planos, assessoria, ações
corretivas); Planejamento; Acompanhamento.
64
Planejamento; Organização; Direção; Medição de

Roehl-Anderson e Bragg (2000)
desempenho; Análise financeira e de processo.
Planejamento e controle; Relatórios Internos
Horngren et al. (2004) e Externos; Avaliação e consultoria; Proteção
dos Ativos; Avaliação econômica.
Projeto e operação de informações e sistemas
de controle; Informação p/ usuário externos;
Anthony & Govindarajan (2006) Análise relatório de desempenho, consolidação
de orçamento global; supervisionar auditoria
interna e procedimentos de controle contábil.
Contábil; Gerencial-estratégica; Custos; Tributária;
Borinelli (2006) Proteção e controle de ativos; controle interno;
controle de riscos; gestão da informação.
FONTE: Kataoka et al. (2010, p. 17).
Borinelli (2006) escreve que a controladoria se ocupa do controle de A pessoa

processo da gestão, objetivando assegurar os interesses da organização encarregada
e proteger seu patrimônio, dessa forma, o controle interno é uma função pela área de
por meio da qual a controladoria se materializa dentro das organizações. controladoria
é chamada de
controller ou
A pessoa encarregada pela área de controladoria é chamada de
controlador.
controller ou controlador.
1) É comum os termos controle interno e controladoria acabarem

nos confundindo, fazendo-nos pensar que são a mesma coisa.
Em síntese, para entender o conceito das duas atividades são
necessários aprofundamentos nos estudos. Nesse sentido,
disserte sobre a diferença entre controle interno e controladoria.
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
65
CONTROLES INTERNOS
5 Limitações do Controle Interno

Em um fluxo de negócios de uma organização, o controle é resultante do
processo de planejamento. Consequentemente a empresa teria de ser controlada por
meio de ferramentas que proporcionam a execução de processos e os direcionam
dentro dos objetivos traçados pela administração (ARIMA; GIL; NAKAMURA, 2013).
No âmbito administrativo, a função de controle só existe se houver a função

de planejamento, pois elas são totalmente interdependentes. O ato de planejar
corresponde a estabelecer padrões e o controle atua nos desvios apurados
entre o que está definido como padrão em relação às medidas obtidas para sua
execução (ARIMA; GIL; NAKAMURA, 2013).
Para o COSO (2007, p. 75), “toda organização identifica e coleta uma ampla
gama de informações relacionadas a atividades e eventos externos e internos,
pertinentes à administração”. Após essa coleta, as informações são transmitidas
ao pessoal responsável de alguma forma e em um prazo que lhes permita
executar suas responsabilidades.
A qualidade da decisão do pessoal responsável depende da qualidade da

informação, por isso os requisitos da informação devem ser determinados com
a maior precisão possível, bem como a informação fornecida deve se adequar a
esses requisitos. Em controles internos, a confiabilidade da informação prestada é
extremamente importante, assim como a confiabilidade do sistema de informação
(VAASSEN; MEUWISSEN; SCHELLEMAN, 2013).
Para garantir a qualidade da informação, o sistema de controle interno

deve avaliar se todas as transações e eventos significativos estão corretos
e devidamente documentados (CORBARI; MACEDO, 2012). Além disso, a
informação precisa possuir algumas características qualitativas que contribuirão
para uma melhor compreensão das informações.
FIGURA 5 – ESPECTRO DA QUALIDADE DA INFORMAÇÃO
FONTE: Vaassen, Meuwissen e Schelleman (2013, p. 48).
66
As definições das características de confiabilidade e relevâncias apresentadas

a seguir são descritas por Vaassen, Meuwissen e Schelleman (2013, p. 50-53):
DEFINIÇÃO DAS CARACTERÍSTICAS

ABORDADAS NA CONFIABILIDADE
Validade: uma informação é válida se estiver de acordo com a

realidade representada, no sentido de que o que está relatado não
contenha exageros. Por exemplo, despesas só devem ser feitas
quando se visa atingir os objetivos organizacionais. Os registros
originados dessas transações podem conter despesas que não são
atribuíveis ao negócio ou que estão classificadas em contas erradas,
fatos estes que inviabilizariam, parcialmente, os registros.
Precisão: diz-se que uma informação é precisa se for

matematicamente correta; por exemplo, no recálculo de determinada
posição podem ocorrer erros, como a soma incorreta de uma coluna
de números: 451, quando o certo seria 551, ou a inversão da ordem
dos dígitos de um número: 35, quando deveria ter sido 53.
Integralidade: possui integralidade a informação que está

de acordo com a parcela da realidade representada, ou seja, o que
foi relatado não deixou lacunas. Exemplo de uma informação sem
integralidade seria: o “Contas a receber” da empresa A mostra um
saldo de R$ 100.000, constituído pelas dívidas de três entidades: X, Y
e Z. X tem uma dívida de R$ 25.000; Y, de R$ 70.000; Z de R$ 5.000.
Neste caso, dois pontos relacionados à integralidade podem surgir.
Primeiro, cada um desses três devedores pode ter um débito maior
do que o registrado nos livros da companhia; segundo, pode existir um
quarto devedor não relacionado nas “Contas a receber” da empresa.
DEFINIÇÃO DAS CARACTERÍSTICAS

ABORDADAS NA RELEVÂNCIA
Precisão: uma informação se torna mais precisa à medida que

seja mais detalhada. Quanto mais alto o nível hierárquico do tomador
de decisão, ou quanto maior o horizonte de planejamento, menor a
precisão necessária. Existe, muitas vezes, um mal-entendido nas
empresas em relação à Contabilidade, de que esta se preocuparia
exageradamente com a precisão, gerando informações precisas até
67
CONTROLES INTERNOS
a segunda casa decimal, quando isso poderia não ser necessário; a

típica mentalidade de contadores de feijões. Obviamente, o sistema
de informação contábil pode fornecer informação com este grau
de precisão. Contudo, nem sempre ele é necessário e, em alguns
momentos, pode ser improdutivo, dependendo do tipo de decisão a
ser tomada e do nível hierárquico do tomador de decisão.
Oportunidade: uma informação é oportuna quando for

comunicada a tempo de afetar o processo decisório. Por exemplo,
suponha que um cliente faça um pedido. O responsável pelo
processamento de ordens coloca o código do cliente (ou seu
nome), o código do produto e a quantidade ordenada no módulo de
processamento de ordens do sistema de informação. O sistema, via
procedimento programado, checa o crédito do cliente e se os produtos
necessários estão disponíveis no estoque. A decisão a ser tomada
aqui é entregar ou não os bens requeridos a um cliente específico. Se
o sistema de classificação de crédito demorar a fornecer a informação
necessária pode fazer que se venda a um cliente em má situação
financeira. Se o controle permanente de estoque estiver desatualizado,
o produto pedido pode estar esgotado, e essa informação não chegará
ao atendente, responsável pelo processamento do pedido.
Compreensibilidade: uma informação compreensível é

aquela apresentada em um formato útil e inteligível para o usuário.
Esta qualidade diz respeito à possibilidade de uma interpretação
inequívoca da informação. Em geral, quanto mais quantitativa ela
for, maior será sua compreensibilidade. Por exemplo, compare
um relatório de desempenho verbal com um quantitativo. O verbal
poderia ser: “A unidade de negócios X teve desempenho satisfatório.
Os lucros cresceram, os clientes continuam satisfeitos, houve uma
reestruturação organizacional com o objetivo de atender às demandas
do mercado por produtos mais personalizados com o desenvolvimento
de alguns produtos novos”. Um relatório quantitativo com o mesmo
objetivo poderia ser: “A unidade de negócios X mostrou aumento no
lucro líquido de 15%. O índice de satisfação do cliente, elaborado com
base em pesquisa de mercado, apresentou pequena queda de 1%,
e as reclamações sobre a demora de atendimento aumentaram 10%;
contudo, com a reestruturação interna se espera uma modificação para
melhorar esse quadro. Foram desenvolvidos cinco novos produtos,
dos quais dois são responsáveis pelo acréscimo no lucro reportado”.
Claramente, o relatório quantitativo é muito menos ambíguo e, portanto,
mais compreensível. Ao final, este relatório levará a uma avaliação de
desempenho mais aprimorada para a unidade de negócios X.
68
Na geração de informação, existe sempre uma realidade

implícita. O ideal é que existisse uma relação de igualdade entre
a informação e o negócio, porém na prática esse relacionamento
raramente acontece, o que faz com que a informação nem sempre
forneça uma apresentação perfeita da realidade ou, se fizesse,
seus custos seriam extremamente altos. O processo de coleta,
armazenamento, processamento dos dados e prestação da
informação é altamente influenciada pelo meio em que está inserido.
1) Foi constatada que uma das limitações do controle advém da má

qualidade das informações repassadas, ou até mesmo da forma
como estas são absorvidas. Sobre a qualidade da informação no
quesito confiabilidade, interligue a característica com sua descrição:
Característica Descrição
Deve estar de acordo com a parcela da
1 Precisão ( ) realidade representada, não deixando lacunas
para o que foi relatado.
Deve estar de acordo com a realidade
2 Integralidade ( ) representada, no sentido de que o que está
relatado não contenha exageros.
Deve ser matematicamente correta, não
3 Validade ( ) havendo a inversão da ordem dos dígitos de
um número.
Controle Interno: “A realização contínua de objetivos legítimos” Controle Interno:

(VAASSEN; MEUWISSEN; SCHELLEMAN, 2013, p. 53). “A realização
contínua de
objetivos legítimos”
(VAASSEN;
MEUWISSEN;
SCHELLEMAN,
2013, p. 53).
69
CONTROLES INTERNOS
6 Objetivos e Metodologia
Quando se fala em objetivos do controle interno, os autores Yoshida e Reis
(2005) abordam que eles podem ser de natureza preventiva, detectiva ou corretiva.
• Controles preventivos: são planejados com a finalidade de evitar

a ocorrência de erros, desperdícios ou irregularidades. Exemplo: o
fechamento da porta de seu carro serve para prevenir que ele seja roubado.
• C
ontroles detectivos: são os que detectam os erros, desperdícios ou
irregularidades no momento em que eles ocorrem, permitindo a adoção
de medidas tempestivas de correção. Exemplo: quando o alarme de seu
carro dispara é porque detectou algo errado e tem a finalidade de evitar
que o fato aconteça.
• C
ontroles corretivos: são os projetados para detectar erros, desperdícios
ou irregularidades depois que já tenham acontecidos, permitindo a adoção
posterior de ações corretivas. Exemplo: a conferência do seu extrato de
conta bancária permite que você detecte erros porventura existentes e a
posterior adoção de medidas para correção dos mesmos.
Entre as formas de controles abordadas, três principais objetivos dos

processos de controles internos são citados por Pereira (2009):
• O bjetivos de desempenho.
• Objetivos de informação.
• Objetivos de conformidade.
Vejamos por meio da figura a função de cada um deles:
FIGURA 6 – FUNÇÃO DOS TRÊS PRINCIPAIS CONTROLES INTERNOS
FONTE: Pereira (2009, p. 18).
70
De acordo com os três objetivos principais, vejamos as formas de controles

para cada um dos objetivos apresentados:
QUADRO 3 – FORMAS DE CONTROLES DE ACORDO COM SUA FINALIDADE
Objetivo Finalidade Controle
• Avaliação da qualidade dos ativos.

• Normas relativas à segregação de
funções, delegação de autoridade e
de responsabilidade, conciliações,
controles de acessos a ativos
e arquivos, entre outros.
Assegurar que as • Autorização adequada de
atividades sejam transações e de atividades.
Desempenho
realizadas com eficiência • Planos de contingências.
e integridade. • Política de seleção e de utilização
de recursos humanos, abrangendo
um código de ética, descrições
de funções, avaliações de
desempenhos, rodízios, férias etc.
• Identificação, avaliação e
controle de riscos.
• Fornecimento de dados e produção
de relatórios gerenciais, abordando
a qualidade dos ativos.
• Gestão de riscos.
Preparar relatórios
• Desempenho financeiro.
confiáveis, precisos
Informação • Apuração de lucros e de perdas.
e tempestivos para a
• Registros adequados das
tomada de decisão.
operações ativas e das passivas.
• Contas de resultado e
de compensação.
• Agilidade da comunicação interna.
Assegurar que todas as
• Observância de leis e de normas
atividades da organização
que regem a administração.
sejam praticadas em
• Observância aos regulamentos
conformidade com as
internos sobre políticas
Conformidade leis e os regulamentos
e procedimentos.
e, principalmente,
• Neste item são necessárias
com as políticas e
duas funções: auditoria
os procedimentos da
interna e compliance.
própria organização.
FONTE: Adaptado de Pereira (2009)
71
CONTROLES INTERNOS
Esta linha de raciocínio também é apresentada por Oliveira, Perez Jr. e Silva
(2002), porém sob um ângulo um pouco mais tímido. Observe a figura:
FIGURA 7 – OBJETIVOS DOS CONTROLES INTERNOS
FONTE: Adaptado de Oliveira, Perez Jr. e Silva (2002, p. 85).
Coso (2007) também afirma que existe uma variedade de tipos de controle
e com uma variedade de descrições. Ele aborda, além das mencionadas, as
manuais, as computadorizadas e as de controles administrativos. A classificação
das atividades também pode ser feita com base nos objetivos de controle
especificados, como o de assegurar a integridade e a precisão do processamento
de dados.
Vejamos no quadro as atividades de controle geralmente utilizadas. Atente-se

que elas representam apenas uma parcela dos muitos procedimentos executados
pelo pessoal em vários níveis organizacionais:
QUADRO 4 – EXEMPLOS DE ATIVIDADES DE CONTROLE
Revisões da Alta Direção – a alta direção compara o desempenho atual em relação

ao orçado, às previsões, aos períodos anteriores e aos dos concorrentes. As principais
iniciativas são acompanhadas, como campanhas de marketing, processos de melhoria de
produção e programas de contenção ou de redução de custo, para medir até que ponto
as metas estão sendo alcançadas. A implementação de planos é monitorada no caso de
desenvolvimento de novos produtos, join ventures ou novos financiamentos.
Administração Funcional Direta ou de Atividade – gerentes, no exercício de suas
funções ou atividades examinam relatórios de desempenho. Um gerente responsável
pelos empréstimos bancários a consumidores revisa os relatórios por filial, região e tipo de
empréstimo (com caução), verificando resumos e identificando tendências e associando
os resultados a estatísticas econômicas e metas. Por sua vez, os gerentes de filiais
também se concentram em questões de cumprimento de políticas, revisando relatórios
exigidos por órgãos reguladores a respeito de novos depósitos acima de um determinado
valor. São realizadas reconciliações dos fluxos de caixa diários, com as posições líquidas
relatadas centralmente para transferências e investimentos no overnight.
72
Processamento da Informação – uma variedade de controles é realizada para verificar a

precisão, a integridade e a autorização das transações. Os dados inseridos ficam sujeitos
a verificações de edição on-line ou à combinação com arquivos aprovados de controle.
Um pedido de cliente, por exemplo, somente poderá ser aceito após fazer referência
a um arquivo de cliente e ao limite de crédito aprovado. As sequências numéricas das
transações são levadas em conta, sendo as exceções acompanhadas e relatadas aos
supervisores. O desenvolvimento de novos sistemas e as mudanças nos já existentes
são controlados da mesma forma que o acesso a dados, arquivos e programas.
Controles Físicos – os equipamentos, estoques, títulos, dinheiro e outros bens
são protegidos fisicamente, contados periodicamente e comparados com os valores
apresentados nos registros de controle.
Indicadores de Desempenho – relacionar diferentes conjuntos de dados, sejam
eles operacionais, sejam financeiros, em conjunto com a realização de análises dos
relacionamentos e das medidas de investigação e correção, funciona como uma atividade
de controle. Os indicadores de desempenho incluem, por exemplo, índices de rotação
de pessoal por unidade. Ao investigar resultados inesperados ou tendências incomuns,
a administração poderá identificar circunstâncias nas quais a falta de capacidade para
concluir processos fundamentais pode significar menor probabilidade dos objetivos
serem alcançados. A forma como a administração utiliza essas informações – somente no
caso de decisões operacionais ou, também, no caso do acompanhamento de resultados
imprevistos nos sistemas de comunicações – determinará se a análise dos indicadores
de desempenho por si só atenderá às finalidades operacionais, bem como às finalidades
de controle da comunicação.
Segregação de Funções – as obrigações são atribuídas ou divididas entre pessoas
diferentes com a finalidade de reduzir o risco de erro ou de fraude. Por exemplo, as
responsabilidades de autorização de transações, do registro e da entrega do bem em
questão são divididas. O gerente que autoriza vendas a crédito não deve ser responsável
por manter os registros de contas a pagar nem pela distribuição de recibos de pagamentos.
Da mesma forma, os vendedores não devem modificar arquivos de preços de produtos
nem as taxas de comissão.
FONTE: COSO (2007, p. 69).
É comum a prática de combinação de controles para tratar das respostas

relacionadas aos riscos, pois as atividades de controle incluem os preventivos,
que evitam a concretização de determinadas transações, e os de detecção,
que identificam outras transações discrepantes. Para assegurar que todas as
informações sejam colhidas corretamente, as atividades combinam controles
informatizados e manuais, inclusive os controles automatizados (COSO, 2007).
73
CONTROLES INTERNOS
1) Com relação aos exemplos de atividades de controle mencionados,

interligue o tipo de procedimento com sua respectiva ação:
É realizada uma variedade

de controles para verificar a
1 Indicadores de Desempenho ( )
precisão, a integridade e a
autorização das transações.
Compara o desempenho atual em
relação ao orçado, às previsões,
2 Revisões da Alta Direção ( )
aos períodos anteriores e aos dos
concorrentes.
Relaciona diferentes conjuntos de
dados, sejam eles operacionais
ou financeiros, em conjunto com
3 Segregação de Funções ( )
a realização de análises dos
relacionamentos e das medidas
de investigação e correção.
Obrigações são atribuídas
Processamento da entre pessoas diferentes com a
4 ( )
Informação finalidade de reduzir o risco de
erro ou de fraude.
7 Metodologia Aplicada ao
Controle Interno
É maior a dependência das organizações em relação aos sistemas de
informações, seja para auxiliar em suas operações, ou para atender aos objetivos
de comunicação, ou fazer acontecer o cumprimento de políticas (COSO, 2007).
Nesse cenário, dois grupos amplos de atividades de controle dos sistemas

de informação podem ser utilizados. O primeiro refere-se aos controles gerais,
aplicável a praticamente todos os sistemas e contribui para assegurar uma
operação adequada e contínua. O segundo se aplica aos controles de aplicativos
que incluem etapas para avaliar o processo por meio de códigos de programação
dentro do software. A utilização dos controles gerais e os de aplicativos, junto aos
processos de controle manual (quando necessário), possibilitam a integridade, a
precisão e a validade das informações (COSO, 2007).
74
Imoniana e Nohara (2005) escrevem que quando os controles são

manuais, geralmente são implantados se utilizando procedimentos ou normas
administrativas escritas e documentadas. E quando são sistêmicos, além de
sua documentação nos procedimentos ou normas administrativas, os controles
são incorporados nos programas que compõem os sistemas computacionais.
Independente da forma utilizada, a eficácia do controle se dá por meio da
conscientização dos integrantes do ambiente de controle e sua eficiência resulta
da implementação do conceito de accountability e monitoramento.
Accountability =
Responsabilidade +
Accountability = Responsabilidade + Transparência.
Transparência.
Vamos conhecer um pouco mais sobre os controles gerais e controles de

aplicativos abordados pelo COSO (2007):
CONTROLES GERAIS
• Administração da Tecnologia da Informática – um comitê diretivo

supervisiona, monitora e relata as atividades da tecnologia da
informática e as iniciativas de melhoria.
• Infraestrutura da Tecnologia da Informática – os controles são
aplicados para definir, adquirir, instalar, configurar, integrar e fazer
a manutenção de sistemas. Os controles podem incluir acordos
de níveis de serviço que estabelecem e reforçam o desempenho
do sistema, planejamento da continuidade dos negócios que
mantém a disponibilidade do sistema e, também, acompanhamento
do desempenho da rede, no caso de falhas operacionais e da
programação das operações de informática.
• Administração da Segurança – controles lógicos de acesso, como
as senhas de segurança, à rede, à base de dados e aos aplicativos.
Contas de usuários e controles relacionados de privilégios de
acesso contribuem para limitar os usuários autorizados a utilizar
apenas os aplicativos ou funções de aplicativos necessárias ao
cumprimento de suas tarefas.
• Aquisição, Desenvolvimento e Manutenção de Software – os
controles de aquisição e de implementação de software estão
incorporados em um processo estabelecido para administrar
mudanças, inclusive os requisitos de documentação, o teste de
aceitação pelo usuário e as avaliações de riscos do projeto. O acesso
a códigos-fonte é controlado por meio de uma biblioteca de códigos.
75
CONTROLES INTERNOS
CONTROLE DE APLICATIVOS
• Balanço das Atividades de Controle – detecta erros de captura de

dados por meio da reconciliação da quantidade imputada manual ou
automaticamente em relação ao total controlado. Uma companhia faz o
balanço automático entre a quantidade total de transações processadas
e lançadas no seu sistema de entrada de pedidos on-line e a quantidade
de transações recebidas em seu sistema de faturamento.
• Dígitos de Verificação – validam os dados por meio de cálculos. É
gerado a partir do código da organização, um dígito de verificação
para detectar e corrigir pedidos imprecisos de seus fornecedores.
• Listagens Predefinidas de Dados – fornecem aos usuários listagens
predefinidas de dados aceitáveis. O site de intranet de uma organização
inclui listas suspensas dos produtos oferecidos para venda.
• Testes da Razoabilidade de Dados – comparam os dados colhidos
com um padrão atual ou aprendido de razoabilidade. Um pedido ao
fornecedor de uma loja de material de construção de varejo solicitando
uma quantidade excessiva de metros cúbicos de madeira será
identificado na comparação de razoabilidade e irá requerer uma revisão.
• Testes Lógicos – incluem a utilização de limites de faixas ou de
valor ou testes alfanuméricos. Um órgão do governo constata erros
em potencial em número do seguro social ao verificar se todos os
números digitados contêm nove dígitos.
FONTE: COSO (2017, p. 72).
1) Um dos grupos de atividades de controle dos sistemas de

informação é o controle de aplicativos, que inclui etapas de
avaliação ao processo por meio de códigos de programação
dentro do software. Sobre esse tipo de controle, assinale V para
as afirmações verdadeiras e F para as falsas:
( ) Não inclui a utilização de limites de faixas ou de valor ou testes

alfanuméricos.
( ) Compara os dados colhidos com um padrão atual ou aprendido
de razoabilidade.
76
( ) Detecta erros de captura de dados por meio da reconciliação da

quantidade imputada apenas de forma manual.
( ) Valida os dados por meio de cálculos.
a) ( ) V – F – F – F.
b) ( ) F – V – F – V.
c) ( ) V – F – V – F.
d) ( ) F – F – V – V.
Corbari e Macedo (2012) abordam outra forma de metodologia aplicada aos

controles, o chamado Enterprise Resource Planning (ERP) ou Planejamento dos
Recursos da Empresa. É um conceito que se origina de noções logísticas como
Planejamento das Necessidades de Materiais e de Planejamento de Recursos
de Manufatura. Ao invés da empresa usar vários sistemas para gerenciar seu
negócio, o ERP otimiza as operações tradicionalmente segregadas as incluindo
em um único sistema.
Estas informações compartilhadas que utilizam sistema ERP fluem de

operação para operação, criando, assim, processos mais eficientes, relatórios de
mais qualidade, além de uma comunicação mais simples para toda a empresa.
FIGURA 8 – EXEMPLO DE SISTEMA ERP
NF-e
NFS-e Relatório de Status
GAM Qualidade de Atendimento
PIS/COFINS Sugestões e Reclamações
Controle de Impostos Cadastro de Clientes
Substituição Tributária Expedição
Histórico
Movimentação Manual
Consignação de entrada
Boleto CNAB Requisição
Controle de Cheques Compras e Pedidos
Contas a Pagar Consumo de matéria-prima
Fluxo de Caixa Cotação
Movimentação Bancária
Contas a Receber
Vendas Ordem de Produção

Orçamentos Tempo de Produção
Preço Composição
Devoluções Ordem de Serviços
Consignação de Saída Quantidade
Vendedores e Comissões Vendedores e Comissões
FONTE: <https://blog.mahout.com.br/quais-sao-as-vantagens-do-erp/>. Acesso em: 6 jul. 2018.
77
CONTROLES INTERNOS
O sistema ERP possui tanto efeitos diretos como indiretos sobre os controles
internos. Observe o quadro:
QUADRO 5 – MEDIDAS DE SEGURANÇA PARA SEGURANÇA DAS INFORMAÇÕES

Categoria de
Medidas principais
Segurança
• Declaração de política com as metas de segurança de
informações.
• Descrição dos interesses da organização em ter segurança
Política de Segurança adequada para as informações.
• Aprovação da política de segurança de informações pela
administração da organização e definição da regulamentação
em vigor.
• Definição das funções de segurança das informações
(atribuição de tarefas e responsabilidades), coordenação de
esforços de segurança das informações e responsabilização
Organização da
das pessoas por suas ações referentes a informações e TI.
Segurança
• Acordos explícitos com terceiros sobre cooperação na área
de intercâmbio de informações e as medidas de segurança de
informações a serem adotadas.
• Obtenção de conhecimento sobre os ativos da empresa e
seus proprietários.
Classificação e gestão • Uso de esquemas de classificação para informações
de ativos das empresas e sistemas de informação que possibilitem uma visão
integradora de questões de negócios, de informações e de TI
em relação à segurança das informações.
• Formação e capacitação voltadas a aumentar a
conscientização sobre segurança.
Pessoal • Seleção e posicionamento de pessoal.
• Atenção a questões de segurança das informações em
avaliações formais do pessoal.
• Implantação de controles de acesso físico ao ambiente do
usuário e ao departamento de automação.
• Estabelecimento de uma política de mesa limpa.
Segurança Física e
• Fiações e equipamentos de informática bem organizados.
Ambiente
• Emissão de diretrizes para o uso de periféricos, como
organizadores, telefones móveis, modems pessoais, discos
flexíveis, zip drives e fitas.
• Organização de gestão da TI.
• Registro de diretrizes autorizadas para a gestão da TI.
Gestão de
• Exame de medidas de segurança técnica.
computadores e redes
• Acompanhamento de incidentes de segurança.
• Implantação de controles de segurança de informações.
• Elaboração de um procedimento de autorização formal para
o acesso a informações e recursos de TI (gestão de senhas,
Controle de acesso
registro de usuários e rastreabilidade de indivíduos).
• Gestão dos recursos para autenticação e autorização.
Desenvolvimento • Atenção a questões de segurança durante o
e manutenção de desenvolvimento do sistema.
sistemas • Implementação de práticas sólidas de gestão de mudanças.
78
• Implantação de planos e controles de contingência

Gestão da (planejamento de recuperação de desastres procedimentos
Continuidade de backup, procedimentos e sistemas de fallback e sessões
periódicas de treinamento em gestão de desastres).
• Realização periódica de auditorias e outras atividades
voltadas ao cumprimento da política de segurança das
Monitoramento e informações e das obrigações legais e contratuais na área de
Supervisão segurança das informações.
• Realização de auditorias de TI com foco em segurança das
informações.
FONTE: Adaptado de Corbari e Macedo (2012)
“Códigos para segurança de informações destinam-se a levar a segurança

das informações dentro das organizações a um nível mínimo aceitável a fim de
aumentar a confiança mútua entre organizações ou partes delas” (CORBARI;
MACEDO, 2012, p. 283).
Por fim, o ERP tem efeitos diretos tanto positivos como negativos sobre os
controles internos, entre eles:
• Pontos de medição, como transferência de documentos, bens físicos ou

dinheiro comum de uma pessoa para outra são integrados no sistema de
informação e, assim, não são mais visíveis. Como resultado, controles
baseados em entradas e saídas manuais realizadas por usuários, com
frequência chamados controles de usuário, tornam-se menos aplicáveis.
• O uso de módulos de programa que forçam a aplicação de controles
programados cujo efeito é positivo.
• Os controles migram do estágio de execução do uso do sistema
de informação para o de implementação do seu desenvolvimento.
Dependendo do estado do conhecimento de TI da organização, isso pode
ter um efeito positivo ou negativo.
• A integração de dados, como no ERP, possibilita que o controle fique
focado em um único objeto: o banco de dados central. Isso deve levar a
controles melhores e, assim, tem um efeito positivo.
A metodologia do sistema ERP no controle interno pressupõe que ao garantir

que os objetivos estratégicos, operacionais, de comunicação e de conformidade
sejam alcançados resultam em uma segurança a todos os envolvidos de que os
recursos estão bem empregados (CORBARI; MACEDO, 2012).
79
CONTROLES INTERNOS
8 Estruturação do Controle
Interno
O controle é um importante elemento das funções administrativas de uma
organização, pois permite que seja verificada constantemente a avaliação do
alcance dos objetivos estratégicos e operacionais da organização. Segundo a
NBC T 16.8, a estrutura de controle interno compreende o ambiente de controle,
mapeamento e avaliação de riscos, procedimentos de controle, informação e
comunicação, e monitoramento.
QUADRO 6 – ESTRUTURA DE CONTROLE INTERNO
O ambiente de controle deve demonstrar o grau de

Ambiente de controle comprometimento em todos os níveis da administração com a
qualidade do controle interno em seu conjunto.
Mapeamento de riscos é a identificação dos eventos ou das
Mapeamento de riscos
condições que podem afetar a qualidade da informação contábil.
Avaliação de riscos corresponde à análise da relevância dos
riscos identificados, incluindo: (a) a avaliação da probabilidade
de sua ocorrência; (b) a forma como serão gerenciados; (c) a
definição das ações a serem implementadas para prevenir a sua
Avaliação de riscos
ocorrência ou minimizar seu potencial; e (d) a resposta ao risco,
indicando a decisão gerencial para mitigar os riscos, a partir de
uma abordagem geral e estratégica, considerando as hipóteses
de eliminação, redução, aceitação ou compartilhamento.
FONTE: Adaptado de NBC T 16.8 (2008)
Imoniana e Nohara (2005) escrevem que uma vez que os controles internos
estejam implantados, eles são capazes de amenizar ou eliminar gargalos que
impeçam o alcance dos objetivos, podendo ainda assumir formas dependentes ou
independentes, os quais podem ser manuais ou computadorizados.
Quando são dependentes, as recomendações de controle devem ser

atendidas antes da execução das atividades funcionais seguintes, pois uma
tentativa de omitir uma função de controle dependente poderia travar o fluxo de
processos operacionais. E quando os controles são independentes, referem-se
às atividades funcionais que não travam os fluxos das transações econômico-
financeiras. Exemplo: um gerente de fábrica pode requisitar a compra de insumos
por interesses fraudulentos, levando em consideração ou não o nível de estoques.
Um controle independente da área de controladoria poderia descobrir essa
irregularidade, ao identificar que essa compra de insumos estaria elevando o nível
médio de estoques além de sua necessidade no processo fabril.
80
A estrutura do controle interno é composta dos objetos de avaliação, de

categorias de atividades e dos elementos básicos, integrados entre si, ou seja:
• Os objetos de avaliação: as unidades administrativas e operacionais

abrangidas.
• As três categorias de atividades: as operações (efetividade), o seu registro
(conﬁabilidade) e a conformidade (com os preceitos legais).
• Os cinco elementos básicos de controle interno: o ambiente de controle
interno; a avaliação de riscos; as atividades de controle; o ﬂuxo de
comunicação e informações; e o monitoramento da efetividade do sistema
de controles internos (CRC/RS, 2011).
Arima, Gil e Nakamura (2013) escrevem que o conceito de controle cresceu

de tal forma que pode ser definido como um processo em etapas: planejar,
executar, monitorar, avaliar e corrigir.
• Planejar: consiste em estabelecer os objetivos da empresa e identificar

os processos que os completam, o que nada mais é que estabelecer
padrões de desempenho.
• Executar: corresponde a implementar o que foi planejado ou o plano
propriamente dito.
• Monitorar: consiste em mensurar o nível atual de desempenho, ou seja,
obter medidas que possam ser comparadas com o que foi estabelecido
no planejamento.
• Avaliar: consiste em comparar e analisar a variância apurada entre os
objetivos e o desempenho estabelecidos como padrão em relação aos
realizados, para fins de decidir sobre as ações corretivas a serem tomadas.
• Corrigir: é realizar uma ação corretiva necessária para trazer o
processo e os resultados do ciclo de negócios sob controle (ARIMA; GIL;
NAKAMURA, 2013).
81
CONTROLES INTERNOS
Este processo pode ser visto na figura a seguir:
FIGURA 9 – FASES DO CONTROLE INTERNO
FONTE: <https://pt.slideshare.net/miltonh/processo-
administrativo-201201>. Acesso em: 29 jun. 2018.
Por mais que o controle interno deva ser executado dentro da própria
estrutura da organização, ele deve possuir independência técnico-funcional em
obediência a um dos princípios de controle, que estabelece que aquele que exerce
as atividades de controle deve ter independência para realizar suas funções com
a eficácia desejada (CORBARI; MACEDO, 2012).
Os autores continuam abordando que não há controle eficaz quando não existe
independência, pois isso torna difícil que uma avaliação seja isenta e imparcial,
devido à ligação econômica e hierárquica entre aquele que exerce o comando e
o agente controlado. Havendo ausência da independência técnico-funcional entre
controle e controlado, desenvolve-se um incentivo para ignorar os riscos potenciais
e dificuldade de emissão de opinião isenta sobre os achados e conclusões.
A postura que a alta administração desempenha nesse papel é fator

determinante. Ela deve deixar claro para seus funcionários quais são as políticas,
os procedimentos, Código de Ética e Código de Conduta a serem adotados.
82
A forma como esse esclarecimento é feito, seja de maneira formal Embora a

ou informal é indiferente, pois o importante é que sejam claras aos independência
funcionários da organização, pois o exemplo “vem de cima”, e isso técnico-funcional
significa que quem dá o tom de controle da entidade são seus principais seja um princípio
administradores (IMONIANA; NOHARA, 2005). aceito de forma
ampla, não está
claro onde o
Embora a independência técnico-funcional seja um princípio aceito controle interno deve
de forma ampla, não está claro onde o controle interno deve estar estar localizado
localizado na estrutura organizacional (CORBARI; MACEDO, 2012). na estrutura
organizacional
(CORBARI;
MACEDO, 2012).
9 Mapeamento dos Processos
de Controle Interno
Para a ABRAPP (2004, p. 7), “o ambiente de controle influencia a consciência
de controle dos funcionários. O controle interno reflete o comprometimento
de todos”. Dessa forma, aborda-se que o ambiente de controle deve ser uma
situação permanente e contínua, existente em cada uma das áreas da empresa,
objetivando constantemente à redução dos riscos e ao aumento da eficácia dos
processos. Para o alcance desse objetivo, deve-se estar atento aos elementos que
compõem o ambiente, que são: integridade, ética e competência dos funcionários,
definição das responsabilidades, padrões de gerenciamento e organização e
alocação de recursos (ABRAPP, 2010).
O mapeamento dos processos possibilita um melhor entendimento das

atividades, bem como a definição de atribuições e suas responsabilidades,
especialmente quando aspectos interfuncionais estão envolvidos. Para isso, a
ABRAPP (2010) lista as etapas que deverão ser observadas em sua execução:
a) Formar grupo de trabalho composto por aqueles envolvidos diretamente

nas atividades que compõem o processo objeto da descrição.
b) Divulgar as metas de resultado estabelecidas pela diretoria.
c) Uniformizar conceitos entre os participantes (ex.: produto, cliente etc.).
d) Conhecer a legislação pertinente.
e) Definir início e fim do processo, bem como suas interfaces.
f) Realizar mapeamento utilizando a simbologia padronizada, destacando
todas as áreas envolvidas.
g) Localizar atividades que contribuam para o risco.
h) Identificar causas internas e externas dos riscos.
i) Estabelecer um plano para minimizar os riscos.
j) Obter aprovação da diretoria.
83
CONTROLES INTERNOS
Podemos definir o ciclo desses processos por meio da figura a seguir:
FIGURA 10 – CICLO DE VIDA DO PROJETO
FONTE: Adaptado de Ribeiro (2016)
Ribeiro (2016) aborda que todos os projetos podem, genericamente, ser

enquadrados neste ciclo de vida: iniciação, planejamento, execução, encerramento.
• Iniciação: fase em que a ideia do projeto se materializa, o projeto é

formalizado, assim como o gerente do projeto.
• Planejamento: fase em que todas as atividades e a estratégia de
execução do projeto será definida.
• Execução: fase em que todas e somente as atividades planejadas são
executadas.
• Encerramento: fase em que é formalizado o fim do projeto.
RAZÕES E PRÉ-REQUISITOS PARA IMPLANTAÇÃO

DO SISTEMA DE CONTROLE INTERNO
Há inúmeras razões para a implantação de um sistema de controle

interno, pois as empresas estão cada vez mais competitivas no mercado
e necessitam de maiores controles para uma melhor gestão.
Para implantar um sistema de controle interno é necessário

seguir os seguintes procedimentos, segundo Peleias (2003):
• Materialização do ambiente de controle na organização, criando bases

sustentadas para a adoção de boas práticas de governança corporativa.
84
• Otimização dos investimentos em tecnologia da informação, pela

redução de custos administrativos, eliminação de redundâncias
e retrabalhos e fim de entrada de dados em vários pontos dos
sistemas operacionais e administrativos. Também é possível obter
mais estabilidade e durabilidade dos ciclos de vida dos sistemas
operacionais e de informação.
• A possibilidade de refletir a delegação de autoridade e a segregação de
funções, contidas na estrutura organizacional, nos sistemas operacionais
e de informação, pela configuração dos perfis de acesso.
É necessário que seja feita uma análise para saber quais são
os fatores para implantação do sistema de controle interno, com o
objetivo de evitar erros nesta fase, como por exemplo:
• Definir o escopo da implantação, abrangência, características.

• Tempo (prazo de implantação).
• Custos a serem alocados.
• Pessoas (definição da equipe responsável pela implantação) e os
recursos a serem utilizados.
• Comunicação (comunicar com clareza a toda organização quais os
objetivos da implantação).
• Avaliar os riscos (perda de agilidade).
• Avaliar as expectativas em relação ao que se espera após a
implantação (melhorias obtidas).
• Conhecimento dos ciclos e processos operacionais, por parte da
equipe responsável pela implantação.
Considerando as possibilidades mencionadas é importante

elaborar um planejamento para a implantação do sistema de
controles internos, o qual deve contemplar.
Cada empresa possui características e necessidades específicas,

portanto o sistema de controle interno deve ser adaptado conforme suas
necessidades, mas alguns fatores devem ser levados em consideração:
• Organograma que estabeleça os arranjos e as inter-relações das

unidades constitutivas do sistema organizacional, delineando as
linhas de subordinação funcional e a devida segregação de funções.
• Manual de procedimentos com um sistema de autorizações,
aprovações e de linhas de responsabilidade, e estabelecimento de
práticas processuais e de rotinas.
• Estrutura contábil adequada, incluindo técnicas orçamentárias
e de custos, um plano de contas e sua descrição, manual de
procedimentos e gráficos descritivos de fluxo de transações.
85
CONTROLES INTERNOS
• Qualidade dos integrantes do quadro de pessoal condizente

com as práticas, natureza dos cargos e responsabilidades, e com
treinamento adequado.
• Auditoria interna que se reporte, diretamente, a um membro da
administração, com a incumbência de verificar, avaliar e aperfeiçoar
os controles internos continuamente.
O sistema de controle interno deve variar de acordo com a

natureza do negócio, estrutura e tamanho da empresa, diversidade
e complexidade das operações e deve ser estruturado de forma que:
• Se mostre eficaz para atender aos objetivos da direção.

• Não gere ineficiências ou burocracia, adaptando os recursos da
estrutura ao sistema, e não ao contrário.
• Tenha um saldo positivo na relação custo/benefício.
Para Peleias (2003), a decisão de implantar um sistema de

controle interno significa que alguns parâmetros norteadores da
decisão precisam ser considerados:
• O sistema de controle interno e seus mecanismos devem ser

eficazes, do ponto de vista dos resultados esperados, e eficientes
no que se refere à funcionalidade e rapidez de resposta, para que
contribuam com os objetivos da organização.
• Não deve gerar trabalho desnecessário, tampouco encarecer ou
tornar excessivamente pesada e burocrática a estrutura organizacional,
os processos de negócio, o ambiente de informática, as instruções
escritas e os sistemas ou razões auxiliares à Contabilidade.
A relação entre os custos de desenvolver, implantar, operar e

manter o sistema de controle interno e os benefícios esperados deve ser
equilibrado. Significa que, em algumas circunstâncias, é possível que se
conviva com o risco de determinados eventos que, pela probabilidade
de ocorrência, combinada com o impacto que causariam ao patrimônio
e aos resultados da empresa, não compensem o investimento.
FONTE: <https://www.portaleducacao.com.br/conteudo/artigos/
contabilidade/razoes-e-pre-requisitos-para-implantacao-do-
sistema-de-controle-interno/52364>. Acesso em: 26 jun. 2018.
Todo o procedimento de mapeamento do processo de controle interno, bem

como sua respectiva implantação do sistema de controle, exige a participação
de toda organização. Assim, quanto melhor for a estrutura organizacional da
empresa, mais rápido e tranquilo se dará sua internalização.
86
1) As organizações tornam-se reféns dos sistemas de informações

de forma crescente, seja para auxiliar em suas operações, nos
seus objetivos ou cumprimento de políticas. O fato é que os
sistemas estão aí e temos que nos adequar a eles. Em controles
internos, dois grupos amplos de atividades de controle dos
sistemas de informação são utilizados. Sobre quais são estes
dois grupos, assinale a alternativa CORRETA:
a) ( ) Controles de custeios: com base nas fichas técnicas é

realizada a formação de preços. Controles de aplicativos, que
incluem etapas para avaliar o processo por meio de códigos de
programação dentro do software.
b) ( ) Controles de aplicativos: incluem etapas para avaliar o
processo por meio de códigos de programação dentro do software.
Controles gerais: contribui assegurando acesso a todos.
c) ( ) Controles gerais: contribui para assegurar uma operação
adequada e contínua. Controles de aplicativos, que incluem etapas
para avaliar o processo por meio de códigos de programação
dentro do software.
d) ( ) Controles de aplicativos: incluem etapas para avaliar o
processo por meio de códigos de programação dentro do software.
Controles gerais: contribui assegurando acesso a todos.
Controlar pode ser definido como o ato de efetuar interferências no
comportamento, processo ou sistema para verificar se está de acordo com o
resultado pretendido, gerando assim mais confiança e eficácia para a organização.
Nesse sentindo, o controle interno cada vez mais passa a ter maior
destaque nas organizações à medida que as pessoas afetadas reivindicam mais
esclarecimentos sobre os processos decisórios.
Além disso, é comum a prática de combinação de controles para tratar das

respostas relacionadas aos riscos, pois as atividades de controle incluem os
87
CONTROLES INTERNOS
preventivos, que evitam a concretização de determinadas transações, e os de

detecção, que identificam outras transações discrepantes.
É importante destacar que cada organização tem seu próprio conjunto de

objetivos e abordagens de implementação, o que faz com que a estrutura do
controle interno seja diferente de empresa para empresa.
Também é comum as pessoas presumirem que controle interno é sinônimo

de auditoria interna, porém conforme estudado o controle interno é fiscalizado
periodicamente por um auditor interno, que tem a finalidade de averiguar se este
controle está sendo utilizado e se está sendo bom para o funcionamento da empresa.
De qualquer forma, seja na área pública ou privada, o controle interno está

vivendo grandes mudanças devido a sua utilidade, porém muito sem tem a discutir
sobre o tema e seu melhoramento contínuo.
Referências
ABRAPP – Associação Brasileira de Entidades Fechadas de Previdência
Complementar. Manual de Controles Internos. Comissão Técnica Nacional de
Governança. 2. ed. São Paulo: ABRAPP, 2010.

Gestão: controle interno, risco e auditoria. São Paulo: Saraiva, 2013.
BORINELLI, Márcio Luiz. Estrutura conceitual básica de controladoria:

sistematização à luz da Teoria da Práxis. Tese (Doutorado em Ciências
Contábeis) – Programa de Pós-graduação em Ciências Contábeis. Departamento
de Contabilidade e Atuária, Faculdade de Economia, Administração e
Contabilidade da Universidade de São Paulo. São Paulo, 2006.
BRAGA, Marcus Vinicius de Azevedo. Controle interno: estudos e reflexões.

Belo Horizonte: Fórum, 2013.
CFC – Conselho Federal de Contabilidade. NBC TA 610. DOU 29/01/14.

Utilização do trabalho de auditoria interna. Disponível em: <http://
cfc.org.br/tecnica/normas-brasileiras-de-contabilidade/nbc-ta-de-auditoria-
independente/>. Acesso em: 2 jul. 2018.
______. NBC T 16.8. Resolução CFC nº 1.135/08. Dispõe sobre

controle interno. Disponível em: <http://www.fazenda.mg.gov.br/governo/
88
contadoria_geral/legislacao/tipolegisl/nbct1608.pdf>. Acesso em: 2 jul. 2018.
CORBARI, Ely Celia; MACEDO, Joel de Jesus. Controle Interno e

externo na administração pública. Curitiba: InterSaberes, 2012.
COSO – Committee of Sponsoring Organizations of the Treadway

Commission, Integrated Framework. Application Techniques, v. 2,
Jersey City: NJ, 2007.
BRASIL. Constituição da República Federativa do Brasil de 1988.

Disponível em: <http://www.planalto.gov.br/ccivil_03/constituicao/
constituicaocompilado.htm>. Acesso em: 4 jul. 2018.
CRC/RS – Conselho Regional de Contabilidade do Rio Grande do

Sul. A importância dos preceitos de governança corporativa e de
controle interno: sobre a evolução e a internacionalização das normas
de contabilidade e auditoria. 2011. Disponível em: <http://www.crcsc.org.br/
arquivosSGC/A_20130311094019A20Importancia20dos20Preceitos20de20Gover
nanca20Cor.pdf/download>. Acesso em: 2 jul. 2018.
DICIONÁRIO INFORMAL. Constituição. 2013. Disponível

em: <https://www.dicionarioinformal.com.br/significado/
constitui%C3%A7%C3%A3o/16856/>. Acesso em: 8 jul. 2018.
FERNANDES, Luciano. Controladoria. Indaial: Uniasselvi, 2012.
IMONIANA, Joshua Onome; NOHARA, Jouliana Jordan. Cognição da

estrutura de controle interno: uma pesquisa exploratória. Revista de
administração e contabilidade da Unisinos, v. 2, n. 1, 2005.
KATAOKA, Sheila Sayuri et al. Controladoria x auditoria interna: um

estudo sobre as atividades de controle interno nas empresas de grande
porte no estado de Pernambuco. In: Anais do Congresso Brasileiro de
Custos-ABC. 2010.
MELO, Moisés Moura de; SANTOS, Ivan Ramos dos. Auditoria Contábil.
2. ed. Rio de Janeiro: Freitas Bastos, 2017.
OLIVEIRA, Luis Martins de; PEREZ JR., José Hernandez; SILVA, Carlos
Alberto dos Santos. Controladoria Estratégica. São Paulo: Atlas, 2002.
PEREIRA, M. A. A. Controles internos e cultura organizacional: como

consolidar a confiança na gestão dos negócios. São Paulo: Saint Paul, 2009.
89
CONTROLES INTERNOS
PORTAL DA EDUCAÇÃO. Artigos de Contabilidade e Finanças.

Disponível em: <https://www.portaleducacao.com.br/conteudo/artigos/
contabilidade/razoes-e-pre-requisitos-para-implantacao-do-sistema-de-controle-
interno/52364>. Acesso em: 8 jul. 2018.
RIBEIRO, Wankes L. Questão de ordem: o ciclo de vida de um projeto

é iniciação, planejamento, execução e encerramento. 2016. Disponível
em: <http://www.wankesleandro.com/>. Acesso em: 6 jul. 2018.
SECRETARIA DE CONTROLE INTERNO. Centro de Documentação e

informação. Manual de controle. Brasília, 2014. Disponível em: <http://
bd.camara.gov.br/bd/handle/bdcamara/18861>. Acesso em: 2 jul. 2018.
TCE/PB – Tribunal de Contas do Estado da Paraíba. Cartilha de

orientação sobre controle interno. 2016. Disponível em: <http://tce.
pb.gov.br/publicacoes/publicacoes-1/cartilha-de-orientacoes-sobre-controle-
interno/cartilha-controle-interno-tce-pb.pdf>. Acesso em: 2 jul. 2018.
TCU - Tribunal de Contas da União (2018). Cartilha Governança.

Disponível em: <http://portal.tcu.gov.br/comunidades/governanca/>.
Acesso em: 6 jul. 2018.
VAASSEN, Eddy; MEUWISSEN, Roger; SCHELLEMAN, Caren. Controle

interno e sistemas de informação contábil: sob a ótica de empresas
privadas e públicas. São Paulo: Saraiva, 2013.
YOSHIDA, Patrícia Mie Miyamoto; REIS, Jorge Augusto Gonçalves.

Controle Interno nas Empresas. Encontro latino-americano de
iniciação científica, v. 11, [s.n.], 2005.
90
C APÍTULO 3
Aplicação e Implantação do
Controle Interno

33 Compreender a necessidade de uma visão geral sobre o ambiente em que está

inserido e seus riscos;
33 Entender a sistemática da informação e comunicação do controle interno;
33 Compreender a necessidade do monitoramento.
33 Assimilar as etapas da aplicação de um controle interno eficaz.

CONTROLES INTERNOS
92
Capítulo 3 Aplicação e Implantação do Controle Interno
Estruturar Controles Internos é um desafio presente em todas as
organizações, sendo que eles auxiliarão no gerenciamento dos riscos e evitarão
perdas em um cenário global e competitivo. As crescentes demandas dos órgãos
reguladores, bem como o aumento das auditorias e fiscalizações vêm forçando as
empresas a implantarem em sua estrutura um controle interno mais eficiente para
minimizar os riscos e fortalecer o mercado global (PIZO, 2018).
Nas organizações, o responsável pelo planejamento, pela instalação e pela

supervisão do controle interno é a administração, e cada organização possui
características e necessidades específicas. Logo, o sistema de controle interno
deve ser adaptado para atender a estas necessidades específicas da organização.
Além disso, para que o sistema de controle interno que foi devidamente
estruturado e inserido na organização não fique ultrapassado, faz-se uma
revisão periódica dele, o que chamamos de “monitoramento”. Esta revisão se faz
necessária para apontar sua correta interpretação nos pontos mais complexos,
como política interna, tratativas dos procedimentos mais complicados, obsoletos
ou inadequados, além de eventuais falhas no sistema de controle, e se constatadas
incoerências nessas ou em outras questões, são tomadas medidas corretivas.
2 Avaliação do Ambiente
Nascimento e Reginato (2013) escrevem que o ambiente de controle é
resultado direto do modelo de gestão da organização, é intimamente ligado às
intenções dos gestores e na maneira como pretendem conduzi-la, assim como
o modo como tais intenções são repassadas ao restante das pessoas que estão
envolvidas para que sigam as diretrizes estabelecidas pela direção.
Os autores abordam, ainda, que o sistema de Controles Internos é fortemente

influenciado pelo ambiente de controle, formando, desta forma, um ambiente
favorável ou desfavorável para a implantação e execução dos procedimentos de
controle. Portanto, consideram o ambiente de controle um dos principais critérios para
a formatação e a execução dos Controles Internos, visto que é com base nele que
serão determinados os demais princípios (NASCIMENTO; REGINATO, 2013).
“O ambiente de controle está relacionado aos controles não operacionais

que estão vinculados aos valores das pessoas da organização e são igualmente
importantes para gerar um ambiente de controle saudável” (GIRC, 2017, p. 24).
93
CONTROLES INTERNOS
A análise do ambiente objetiva colher informações que auxiliarão como apoio na

identificação de eventos de riscos, bem como contribuir na escolha das ações
mais adequadas para assegurar o alcance dos objetivos do processo.
Segundo Pizo (2018), para que a estrutura de Controles Internos possa definir
seu alcance e sua limitação é necessário identificar os ambientes de controle, que
podem ser divididos em níveis, conforme apresentamos a seguir:
• Ambiente Corporativo ou da Entidade;

• Ambiente de Negócios ou do Processo;
• Ambiente Tecnológico ou Suporte aos Negócios.
O autor aborda, com base na segregação dos ambientes, que é mais

fácil para a organização iniciar a sua avaliação sobre o quê e quanto controlar,
respaldando-se nos objetivos e no apetite ao risco da organização.
Apesar dos ambientes estarem segregados para avaliação, eles estão

interligados e se relacionam entre si, compartilhando do mesmo monitoramento
na estrutura de Controles Internos e consequentemente das atividades, dos riscos
e dos controles da organização (PIZO, 2018). Essa interligação dos ambientes
pode ser observada na figura a seguir:
FIGURA 1 – AMBIENTES DE CONTROLES INTERNOS
FONTE: Pizo (2018)
94
Vejamos um exemplo abordado pelo autor para entender melhor essa

conexão. O Código de Ética da empresa é um controle corporativo porque abrange
toda a organização, e está focado nos objetivos e nos indivíduos. Porém, o Código
de Ética aplicado no ambiente corporativo tem relação direta com o ambiente
de negócios e com o ambiente tecnológico, pois é esperado que se tenha ética
na condução das atividades, independentemente se o indivíduo estiver presente
no ambiente de negócios ou no tecnológico, pois trata de um controle sobre os
indivíduos da organização, não importando onde ele estiver inserido.
1) Muitos autores consideram o ambiente de controle um dos

principais critérios para a formatação e a execução dos Controles
Internos, visto que é com base nele que serão determinados os
demais princípios. De acordo com o que estudamos, como os
ambientes podem ser divididos? Assinale a alternativa correta:
a) ( ) Ambiente Governamental; Ambiente de Negócios ou do

Processo; Ambiente Virtual.
b) ( ) Ambiente Corporativo; Ambiente de Negócios ou do Processo;
Ambiente Tecnológico.
c) ( ) Ambiente Corporativo; Ambiente Empresarial; Ambiente Virtual.
d) ( ) Ambiente Governamental; Ambiente Empresarial; Ambiente
Tecnológico ou Suporte aos Negócios.
O ambiente interno compreende muitos elementos, incluindo os valores

éticos da organização, a competência e o desenvolvimento de pessoal, a filosofia
da administração para a gestão de riscos e como são atribuídas suas alçadas e
responsabilidades. Possui total influência pela história e cultura da organização, e
seu conselho de administração é parte crítica deste ambiente, influenciando muito
os demais elementos de ambiente interno (COSO, 2007).
Embora os ambientes de controles estejam relacionados e se complementam,

eles são determinados pela alta administração quanto a sua extensão e complexidade,
pois é a administração que estabelece a missão e visão da organização, atribuindo a
cultura desejada e os objetivos esperados. Dessa maneira é possível determinar onde
serão necessários mais e melhores esforços despendidos na estrutura de Controles
Internos (Corporativo, Negócios ou Tecnológico) (PIZO, 2018).
95
CONTROLES INTERNOS
2.1 Ambiente Corporativo

Conhecido como Entity Level Controls ou Company Level Controls é a
avaliação dos Controles Internos sobre controles da corporação como um todo,
atua de forma abrangente e está vinculado à forma de gestão da empresa, às
diretrizes de condução dos negócios e aos valores éticos estabelecidos.
No quadro a seguir estão exemplos de controles em nível de entidade:
QUADRO 1 – EXEMPLOS DE CONTROLES
• valores e premissas de conduta;

• privacidade e sigilo de informação;
Código de Ética
• relacionamento com clientes e fornecedores;
• atendimento a leis e regulamentos.
• hierarquia organizacional;
Organograma
• tomada de decisão;
• conflito de interesses (organizacional).
• avaliação de desempenho;
Recursos Humanos
• treinamento e desenvolvimento;
(Gestão de Pessoas)
• política de carreira e sucessão;
• clima e satisfação organizacional.
• autorização e delegação;
Alçadas e Limites
• compras e pagamentos;
• concessão de crédito.
• combate à fraude;
Canal de Denúncia e Sugestões • prevenção e punição a assédios;
• descumprimento de regras e diretrizes;
• oportunidades de melhoria.
• estratégias de gestão;
• gestão financeira;
Planejamento e Orçamento
• evolução dos negócios e concorrências;
• percepção e adaptação às mudanças de
mercado.
• políticas e normas;
• procedimentos e regras;
Diretrizes e Normas
• comunicação e disseminação;
• limitação e aderência;
• conhecimento e atendimento.
• desvio de condutas;
• riscos e conformidades;
• financeiro e tesouraria;
Comitês de Decisão ou Disciplina • fiscal e tributário;
• investimentos e crédito;
• governança e auditoria;
• gerenciamento de crise;
• novos negócios e produtos.
96
• ouvidoria;
Canal de Denúncia Externo (Clientes e
• combate à corrupção;
Fornecedores)
• combate à fraude;
• prevenção à lavagem de dinheiro.
• plano de auditoria e abrangência;
• independência e efetividade;
Auditoria Interna ou Externa
• pareceres internos e contramedidas;
• pareceres externos e publicações
financeiras.
FONTE: Adaptado de Pizo (2018)
Arima, Gil e Nakamura (2013) abordam que a aplicação dos elementos

de controle interno varia segundo a natureza do ciclo do negócio, estrutura e
tamanho da empresa, bem como sua diversidade e complexidade nas operações
e os métodos de tratamento das informações, tecnologia empregada, requisitos
legais e regulamentos.
Pizo (2018) reforça este conceito ao abordar que os controles variam muito
de empresa para empresa e conforme o segmento de negócios. Os bancos, por
exemplo, têm sua política própria por exigência regulatória (ex.: Banco Central do
Brasil – Bacen), embora outros segmentos também possam adotar as mesmas
exigências regulatórias para elevar seus níveis de reconhecimento e efetividade
das operações.
FIGURA 2 – EXEMPLOS DE CONTROLES DO AMBIENTE CORPORATIVO
FONTE: Pizo (2018)
97
CONTROLES INTERNOS
Os controles corporativos resultam da percepção da organização sobre a

gestão de risco e devem ser classificados como controles-chave suscetíveis dos
esforços na avaliação em um mapeamento de Controles Internos em nível da
entidade (PIZO, 2018).
2.2 Ambiente de Negócios ou do

Processo
Conhecido como Process Level Controls é a avaliação dos Controles Internos
sobre processos de negócios da organização. Atua de forma específica e direta
ligada ao modelo e à estrutura das operações da empresa (divisões, unidades),
sejam elas separadas por departamentos, áreas, setores ou subsetores. São
exemplos de controles em nível de processos: Aprovação de Pagamentos,
Conciliação Bancária, Autorização de Compras, Revisão de Lançamentos
Contábeis (PIZO, 2018).
FIGURA 3 – EXEMPLOS DE PROCESSOS DO AMBIENTE DE NEGÓCIOS
FONTE: Pizo (2018)
98
Arima, Gil e Nakamura (2013) escrevem que no ambiente de negócios todo

e qualquer processo operacional já definido garante certo nível de segurança
e integridade requerido no Controle Interno. Diante disso, a implantação de
processos de controle contribuirá com o seu grau de segurança e integridade, mas
não fará com que se atinja a plenitude a ponto de se possuir grau de risco zero.
Por isso, faz-se necessário efetuar revisões e avaliações periódicas do controle,
para que se possa manter o mínimo de segurança e efetividade dos controles no
desenvolvimento da gestão de negócios empresariais.
No ambiente de processo, Pizo (2018) destaca que é possível avaliar

o desenho da operação e testar sua eficiência de forma concreta e objetiva,
possibilitando identificar e avaliar os riscos para identificar os controles e, por fim,
formalizar sua operação e atestar sua efetividade.
O também autor destaca que todo processo precisa de controles para

atingir seus objetivos, porém não basta afirmar que existem Controles Internos,
é necessário atestar que esses controles são devidamente formalizados,
monitorados e corretamente atribuídos de acordo com seu objetivo (minimização
ou mitigação do risco percebido) (PIZO, 2018).
Muitas empresas estabelecem ou criam controles de forma reativa

à ocorrência de problemas (fraude, roubo, falha) e muitas não aplicam
procedimentos específicos para atestar a efetividade desses controles.
Para que seja estabelecida uma estrutura formal de Controles Internos é

necessário que os processos mais relevantes da organização tenham os seus
potenciais riscos e controles formalizados e monitorados. A formalização deve
ocorrer por meio de um mapeamento de Controles Internos e o monitoramento
por meio de testes de efetividade dos controles.
Para os processos classificados como mais relevantes é necessário estabelecer

um mapeamento de Controle Interno individual, em que serão identificados e
destacados os principais riscos e controles existentes. Posteriormente, deve
ser feita uma formalização que evidencie que o processo está sob avaliação e
monitoramento. Pizo (2018) lista as opções de formalização, e dentre elas estão:
• Fluxograma.
• Narrativa.
• Segregação de Funções Manual.
• Segregação de Funções Eletrônica.
• Matriz de Riscos e Controles.
• Walkthrough de Controles.
• Lista de Deficiências (GAPs)/Remediação (Plano de Ação).
99
CONTROLES INTERNOS
FIGURA 4 – DOCUMENTOS PARA FORMALIZAÇÃO DE MAPEAMENTO
FONTE: Pizo (2018)
O autor aborda que a extensão e a complexidade da formalização do

mapeamento do processo dependerão do nível de segurança desejado pela
empresa, pois quanto maior for o detalhamento e mais recursos formalizados
(narrativas, fluxogramas, segregação de funções manual ou eletrônica, matriz de
riscos e controles), maiores serão as possibilidades de compreensão do processo
e a identificação de potenciais fragilidades que requerem mapeamento. Todavia,
na impossibilidade de estabelecer todos os tipos de formalizações relacionadas,
faz-se necessário o mínimo para compor um mapeamento de Controles Internos
para cada processo, que é:
a) Matriz de Riscos e Controles: documento formal que evidenciará que

os riscos (mais relevantes) estão identificados, avaliados, e os controles
mitigatórios estão implementados.
b) Walkthrough de Controle: documento formal que evidencia a avaliação
individual para cada controle relacionado na matriz de riscos e controles,
referente ao desenho e à efetividade do controle.
c) Lista de Deficiências (GAPs) e Remediação (Plano de Ação): documento
formal que evidencia a gestão das deficiências identificadas durante os
walkthroughs de desenho ou efetividade, é a resposta para a exposição ao
risco feita mediante ações corretivas imediatas ou plano de ação.
Coso (2007) aborda que o ambiente de negócios em sua essência traz

inúmeros riscos inerentes. Por essa razão, o gerenciamento de riscos corporativos
100
possibilita soluções integradas para sua gestão. Vejamos um exemplo: Um

distribuidor atacadista enfrenta os riscos de estoques de suprimento em excesso
ou em falta, fornecedores frágeis e preços de compra elevados, sem justificativa
aparente. O gerenciamento identificou e avaliou os riscos no contexto da
estratégia, os objetivos e as respostas alternativas da Companhia, e desenvolveu
um sistema de controle de estoque de longo espectro. O sistema é integrado aos
fornecedores e compartilha informações de vendas e de estoques, possibilitando
uma parceria estratégica e evitando faltas de estoque e custos de carregamento,
por meio de contratos de fornecimento para prazos mais dilatados e com
melhores preços. Os fornecedores assumem a responsabilidade de reabastecer
os estoques, gerando, assim, reduções adicionais de custos.
2.3 Ambiente Tecnológico

Conhecido como IT General Controls ou ITGC é o Controle Interno em nível
de sistemas que proporcionam suporte aos negócios e estrutura das operações
sistêmicas da empresa, avaliando como são gerenciadas as informações e os dados.
Exemplos de controles em nível de sistemas: Controle de Acesso, Segregação de
Funções, Suporte a Sistemas, Proteção de Dados, Políticas de TI, Backup.
FIGURA 5 – EXEMPLOS DE PROCESSOS DO AMBIENTE TECNOLÓGICO
FONTE: Pizo (2018)
Dependendo do segmento de negócios e da grandeza das operações, os

processos tecnológicos para a estrutura de Controles Internos têm maior ou menor
importância, porém não há exceções em sua implementação quando o objetivo
101
CONTROLES INTERNOS
é a garantia das informações das Demonstrações Financeiras. A importância

da tecnologia da informação para os Controles Internos, particularmente na
garantia das Demonstrações Financeiras, abarca tanto a operação de controles
automatizados vinculados diretamente no ambiente de negócios quanto o
gerenciamento e segurança das informações e dados da empresa (PIZO, 2018).
Os processos de ITGC são mandatários para qualquer ambiente de

controle, pois um ambiente de negócios que não possui o devido suporte das
operações sistêmicas expõe a organização de forma significativa, e em muitos
casos de maneira irreversível (ex.: perda de dados ou falha na recuperação de
dados). Isso porque os processos de ITGC têm como objetivo primário suportar
os sistemas ligados diretamente às operações do ambiente de negócios em
que os processos (ex.: Contábil, Compras, Vendas) foram identificados como
relevantes pela materialidade, ou seja, todo sistema pertencente ao processo de
negócio mapeado em Controles Internos precisa estar refletido nos processos de
IT (ex.: Gerenciamento de Dados, Gerenciamento de Mudança, Implementação
e Aquisição de Software), pois o fato dos processos de negócios possuírem
importância pela materialidade justifica os esforços de ITGC dedicados aos
sistemas relacionados a esses processos (PIZO, 2018).
1) O ambiente de controle é resultado direto do modelo de gestão da

organização e está intimamente ligado às intenções dos gestores
e na maneira como estes pretendem conduzir a organização.
Sobre os tipos de ambientes e suas características, classifique-os
na ordem correta:
Proporciona suporte aos negócios e estrutura

1 Ambiente Corporativo ( ) das operações sistêmicas da empresa, avaliando
como são gerenciadas as informações e os dados.
Atua de forma específica e direta ligada ao modelo
Ambiente de Negócios/ e à estrutura das operações da empresa, sejam
2 ( )
Processo elas separadas por departamentos, áreas, setores
ou subsetores.
Está vinculado à forma de gestão da empresa, às
3 Ambiente Tecnológico ( ) diretrizes de condução dos negócios e aos valores
éticos estabelecidos.
102
3 Avaliação dos Riscos

Para se efetuar a avaliação e o gerenciamento dos riscos corporativos, parte-
se da suposição de que a empresa está inserida em um ambiente de constante
incerteza, consequentemente, sujeita tanto a riscos próprios da sua atividade,
quanto a riscos do mercado onde atua (NASCIMENTO; REGINATO, 2013).
O ato de administrar envolve constantemente a tomada de decisão e

cada decisão vem acompanhada da incerteza e de um risco. A gestão de riscos
corporativos possibilita que a administração trate de forma eficaz as incertezas e os
riscos, buscando a eficácia nas suas operações e gerando valor para o acionista.
Destaca-se que o processo de avaliação de riscos inclui a maneira como

a administração identifica riscos de negócio relevantes para a elaboração de
demonstrações contábeis, estima sua significância, avalia a probabilidade
de sua ocorrência e decide por ações para responder e administrar tais riscos
(NASCIMENTO; REGINATO, 2013).
A NBC TA 315 define que:
Os riscos relevantes para demonstrações contábeis

confiáveis incluem eventos externos e internos, transações
ou circunstâncias que possam ocorrer e afetar adversamente
a capacidade da entidade de iniciar, registrar, processar e
reportar dados financeiros compatíveis com as afirmações da
administração nas demonstrações contábeis. A administração
pode iniciar planos, programas ou ações para enfrentar riscos
específicos ou pode decidir aceitar um risco por causa do custo
ou de outras considerações (CFC, 2016, s.p.).
Por sua vez, o gerenciamento de riscos é importante porque facilita a

identificação e a resolução de problemas, especialmente na dimensão de controle
de gestão, uma vez que possibilita um melhor monitoramento de cada área da
empresa, minimizando a possibilidade de ocorrência de erros no processo de
tomada de decisão. Porém, o gerenciamento de riscos somente será eficaz se
os mecanismos de controle fornecerem suporte para tal, da mesma forma que,
para garantir a eficácia do sistema de controle, é necessária a precisão no
gerenciamento de riscos (NASCIMENTO; REGINATO, 2013).
Pizo (2018) aborda que a avaliação de riscos para o mapeamento de

Controles Internos surgiu após a identificação e o reconhecimento dos riscos
de reporte financeiro atrelados às assertivas, e é a segunda etapa para
implementação da estrutura de Controles Internos formal e para isso é necessário
mensurar a dimensão dos riscos.
103
CONTROLES INTERNOS
A etapa de avaliação de riscos é o momento de priorizar os riscos que foram

identificados, pois assim como os processos são priorizados pela materialidade, os riscos
também possuem uma seleção de priorização, seja para o equilíbrio dos custos envolvidos,
para estabelecer Controles Internos ou por questões estratégicas de priorização.
Elaborar uma avaliação utilizando de premissas estatísticas, dados e valores

históricos é complexo, exige conhecimentos específicos de diversas especialidades e
softwares de simulação probabilística, e apesar de ter um custo superior aos demais,
apresentam resultados mais exatos, porém nunca perfeitos porque o risco é uma
incerteza e a avaliação de risco é aplicada sobre essa incerteza (PIZO, 2018).
Por mais que os riscos sejam complexos, a avaliação do risco é uma etapa
obrigatória no mapeamento de Controles Internos, pois é parte fundamental do
processo de estabelecer controles.
A etapa de avaliação irá definir qual é o tratamento que será dado a

determinado risco, por isso o primeiro passo consiste em determinar o seu
potencial impacto, ou seja, o quanto a organização estará exposta àquele risco.
Para isso, leva-se em consideração pelo menos dois aspectos: a probabilidade
de ocorrência e o seu impacto (em geral medido pelo impacto no desempenho
econômico-financeiro do período) (IBCG, 2007).
Essa quantificação do grau de exposição nem sempre é fácil, podendo haver

interdependência entre os riscos em dois níveis:
a) os eventos podem não ser independentes;

b) um determinado evento pode gerar “impactos múltiplos”, ou seja, efeitos
sobre diferentes tipos de riscos, em diversas áreas.
“A importância Neste caso, o grau de exposição irá depender do impacto financeiro

da Avaliação de consolidado e da probabilidade conjunta de todos os eventos e deve ser
Riscos: identificar medido quantitativamente (IBCG, 2007).
o que é crítico;
definir prioridades; e
“A importância da Avaliação de Riscos: identificar o que é crítico;
conhecer o apetite
ao risco” (PIZO, definir prioridades; e conhecer o apetite ao risco” (PIZO, 2018, p. 103).
2018, p. 103).
4 Critério de Avaliação
Várias são as formas de se avaliar os riscos, podendo envolver bases
probabilísticas, estatísticas, históricas ou subjetivas, mas são, em sua maioria,
fundamentadas pelas vertentes de impacto e probabilidade (PIZO, 2018). Observe
a figura a seguir:
104
FIGURA 6 – AVALIAÇÃO DE RISCO – PROBABILIDADE X IMPACTO
FONTE: Pizo (2018)
Essas vertentes expõem que quanto maior for o impacto e maior a sua
probabilidade de ocorrer, maior será a preocupação com o risco.
A probabilidade e o impacto podem ser trabalhados em diversas escalas, do

nível de risco “muito baixo” ao “risco crítico”, variando conforme a extensão e os
objetivos da organização.
Para as Demonstrações Financeiras, o impacto será atrelado ao valor, porém

algumas empresas consideram outros impactos não financeiros para atribuir
a vertente da escala de impacto, como imagem e reputação, possibilidade de
perdas humanas ou parada na operação.
A probabilidade considera a vertente de um intervalo de tempo, seja

em dias, meses ou anos. Vejamos um exemplo de critério de avaliação de
risco referenciado ao impacto adverso na receita. Lembrando que, conforme
mencionado anteriormente, outros indicadores (ex.: custos ou ativos) podem ser
utilizados em relação às operações da empresa.
105
CONTROLES INTERNOS
FIGURA 7 – CRITÉRIOS DE AVALIAÇÃO DE RISCO
FONTE: Pizo (2018)
4.1 Modelo de Avaliação de Risco

Apesar de não existirem regras estabelecendo critérios mínimos para avaliação
de risco, faz-se necessário fundamentar o máximo possível os critérios para que a
avaliação realmente represente a criticidade, a priorização e o apetite ao risco.
Desta maneira, Pizo (2018) apresenta uma proposta de critérios de avaliação

de riscos, na qual a área de Controles Internos possa compreender a adoção dos
critérios e desenvolver o que melhor atender às necessidades da organização,
afirmando que os riscos mais relevantes foram considerados.
A avaliação de risco contempla cinco critérios de avaliação, além de

premissas de pontuação, definições (parâmetros) mensuráveis e subjetivas, três
níveis de riscos e uma curva de pontuação da classificação do risco. Os critérios
aplicados serão: Risco de Fraude, Risco de Imagem, Volume de Transações,
Autoavaliação do Ambiente e Automação do Processo.
• Risco de Fraude: identificar e classificar a possibilidade de ocorrência de

fraude por pessoas de dentro ou de fora da organização.
• Risco de Imagem: identificar e classificar a possibilidade de exposição
negativa aos clientes, fornecedores, concorrentes, órgãos reguladores ou
fiscalizadores.
• Volume de Transações: identificar e classificar o volume de transações
da operação, nesse modelo contempla-se o valor.
106
• Autoavaliação do Ambiente: identificar e classificar com base na opinião

da área avaliada, pertencente ao ambiente da operação.
• Automação do Processo: identificar e classificar o tipo e a abrangência
de atividades sistêmicas que suportam a realização da operação.
Podemos observar no quadro a seguir os possíveis questionamentos da área

de Controles Internos relacionando os critérios a um risco:
QUADRO 2 – POSSÍVEIS QUESTIONAMENTOS DA ÁREA DE CONTROLES

INTERNOS RELACIONANDO CRITÉRIOS A UM RISCO
O que garante o cadastro ou a alteração correta de preços dos produtos?

(Assertivas: Integridade; Ocorrência; Valoração)
A alteração do preço pode trazer benefício individual
ou imparcial? O controle interno deve questionar e
Risco de fraude compreender com base histórica as falhas e o nível de
segregação das pessoas autorizadas para essa operação,
para justificar o nível de risco entre baixo, médio ou alto.
O preço do produto pertence ao atacado ou varejo? Está
publicado em larga escala (internet) ou na gôndola? O
Risco de Imagem quanto o preço errado desse produto pode afetar uma
crítica na mídia? Então será possível justificar o nível de
risco em baixo, médio ou alto.
O controle interno deve apurar dados que demonstram
o volume e a grandeza financeira de cadastros
Volume de Transações ou alterações de preços que foram realizados em
determinado período e que justifiquem classificar o nível
de risco em baixo, médio ou alto.
O controle interno questiona e considera como a própria
Autoavaliação do Ambiente área que exerce o cadastro e alteração do preço reconhece
a exposição ao nível de risco em baixo, médio ou alto.
O controle interno deve validar como o cadastro e a alteração
de preços estão operando por mecanismos eu previnam
Automação do processo falhas por pessoas, pois quanto maior a automação do
processo, menor deve ser a possibilidade de falhas que
justificam classificar um risco em baixo, médio ou alto.
FONTE: Pizo (2018)
Para cada critério é considerada uma premissa de pontuação, equivalente a

1 ponto com peso e importância iguais.
A classificação do risco é dividida em três níveis: baixo, médio e alto, cada

critério com peso e importância iguais, conforme se pode observar na Figura 8
(Critérios de Avaliação de Risco por Pontuação). A atribuição de pontuação
para os riscos permite que o conjunto de critérios mensuráveis ou subjetivos tenha
uma relação que possibilite um resultado fundamentado. Porém, para equalizar
107
CONTROLES INTERNOS
a pontuação é recomendado que para a pontuação de cada critério sejam

consideradas definições de parâmetros associadas e atribuídas aos critérios,
como sugerido na referida imagem, que apresenta exemplos para compreensão
dos parâmetros mensuráveis (valor ou quantidade) e dos subjetivos.
Para cada risco devem ser aplicados todos os critérios, mantendo a grade
de pontuação para qualquer processo para que sejam avaliados sob o mesmo
padrão, a fim de apurar os riscos mais relevantes.
FIGURA 8 – CRITÉRIOS DE AVALIAÇÃO DE RISCO POR PONTUAÇÃO
FONTE: Pizo (2018)
108
Ao aplicar os critérios sugeridos será obtido um resultado padronizado para

os riscos avaliados, os riscos serão classificados sobre o resultado relacionado
à pontuação atribuída, sendo a classificação dos riscos em nível baixo (de 0 a 8
pontos), médio (de 9 a 11 pontos) e alto (de 12 a 15 pontos).
FIGURA 9 – RESULTADO DA AVALIAÇÃO DE RISCO
FONTE: Pizo (2018)
Para o modelo proposto de avaliação e classificação, pode haver uma

variação significativa dependendo do tipo de negócio, cabendo à organização
por meio da área de Controles Internos analisar e ajustar os critérios, premissas
(pesos de importância), definições (parâmetros) mensuráveis e subjetivas e a
curva do nível de risco.
1. Critérios: fraude, imagem, transações, automação, autoavaliação.

2. Premissas: 1 ponto por item com igual importância.
3. Definições (parâmetros): duas subjetivas, duas mensuráveis por
quantidade e uma mensurável por valor.
4. Nível de risco: baixo, médio e alto.
5. Curva de pontuação: 0 a 15 pontos distribuídos em: baixo – 0 a 8,
médio – 9 a 11 e alto – 13 a 15.
Nos casos em que o resultado da avaliação dos riscos esteja concentrando

a classificação em apenas um tipo de risco (baixo, médio ou alto), verifica-se a
necessidade de reavaliação dos pontos e classificações, pois toda aplicação de
avaliação de risco é uma simulação e por isso aplicar diversos cenários de critérios
até identificar o modelo mais adequado para organização será necessário, além
de promover uma reflexão dos riscos e a necessidade de conhecê-los e geri-los
como parte integrante dos objetivos organizacionais (PIZO, 2018).
109
CONTROLES INTERNOS
4.2 Implantação
Implantar um determinado conjunto de controles sem a observância de modelos
reconhecidos e aceitos pode levar a organização a uma coleção de instrumentos
e procedimentos burocráticos, descoordenados, que mais impressionam do que,
de fato, garantem efetivamente os benefícios desejados, o que acaba resultando
não só em desperdício de tempo e recursos, mas também em uma indesejável
concentração de poder e influência em quem os administra (TCU, 2012).
Implantar Controles Internos em uma organização exige, além do entendimento

sobre os métodos que a empresa possa vir a utilizar, conhecimento sobre uma série
de particularidades, como avaliar se a responsabilidade pelos Controles Internos
será centralizada ou descentralizada, se dependerá de aprovação apenas do
responsável por determinada área ou apenas pela alta administração, ou, ainda, se
ficará a cargo de um setor específico (NASCIMENTO; REGINATO, 2013).
Os autores escrevem que normalmente o planejamento dos Controles

Internos requer análise dos organogramas e fluxogramas da empresa, abrangendo
todas as suas áreas e operações. Também devem ser definidos os critérios para o
delineamento do sistema, observando as seguintes situações: cada procedimento
será desenhado e implantado por área? Quem será a pessoa responsável pela
implantação? E pela revisão e pelo monitoramento?
Todo o processo é conduzido por inúmeras ações e rotinas para o

cumprimento de seu objetivo, porém muitas dessas ações podem ser classificadas
apenas como atividades e outras como pertencentes aos controles. Pizo (2018)
aborda que as atividades e os controles são diferenciados pela sua relevância
e segurança para que o objetivo seja atingido, por isso as ações de diferenciar
as atividades dos controles existentes em um processo pertencem à etapa de
mapeamento de Controles Internos, pois exige compreensão do processo, dos
riscos e suas respectivas e reais mitigações.
Qual a diferença entre atividades e controles?
“As atividades são rotinas que suportam os controles, dependem de outras atividades
para formar um controle e isoladamente não mitigam o risco” (PIZO, 2018, p. 75).
“Os controles são premissas identificadas para mitigar ou minimizar a

ocorrência do risco adequadamente formalizado e evidenciado” (PIZO, 2018, p. 75).
“Os controles para o mapeamento de Controles Internos serão as atividades

críticas, mensuráveis, testáveis e capazes de mitigar o risco” (PIZO, 2018, p. 75).
110
Resumidamente, isso quer dizer que em muitos casos existem os controles para
mitigar os riscos, porém eles não são devidamente formalizados ou são controles
informais, o que faz com que não sejam passíveis de testes que comprovam sua
efetividade, motivo pelo qual sua inclusão na Matriz de Risco e Controles resulta em
um controle considerado deficiente ou inexistente (PIZO, 2018).
Algumas empresas
Algumas empresas conferem a responsabilidade pelos Controles conferem a
Internos ao setor de auditoria interna ou à controladoria (NASCIMENTO; responsabilidade
REGINATO, 2013). pelos Controles
Internos ao setor
de auditoria interna
Dependendo da estrutura da organização, a implantação ou ou à controladoria
aprimoramento do Sistema de Controles pode vir a ser uma tarefa (NASCIMENTO;
complexa que compreende a criação ou a reformulação de procedimentos, REGINATO, 2013).
formulários utilizados, técnicas orçamentárias e metodologia de custeio da
empresa. Todo esse processo envolve paciência e a aplicação da técnica de tentativa/
erro/correção, o que pode acarretar significativa perda de tempo, tornando, na prática,
impossível prever com exatidão ou até com razoável aproximação o prazo requerido
para a implantação ou renovação de um sistema de controle (OLIVEIRA et al., 2008).
É natural as pessoas não gostarem de controles e terem uma tendência a

reagir negativamente a quaisquer tentativas nesse sentido. Portanto, mais do que
nunca, o responsável pelo processo de implantação ou reformulação deve ter
habilidades de negociação e vender suas ideias (OLIVEIRA et al., 2008).
Os sistemas de controles não se criam, nem se alteram com facilidade, são

operações de alta complexidade que necessitam sempre da aplicação considerável
de recursos escassos da empresa, além do tempo tomado dos envolvidos.
Portanto, não se justifica que os sistemas sejam desenhados e implantados

apenas em função das condições presentes. É preciso que, no projeto, leve-se
em conta o futuro da empresa, a fim de que as alterações previstas para o porte
ou estrutura dessa empresa sejam já refletidas na sua geração.
As empresas crescem e se modificam, caso não seja possível prever

antecipadamente no desenho do sistema de controle estas alterações, não
demorará para que ele perca sua eficiência e eficácia (OLIVEIRA et al., 2008).
Uma companhia poderá, por exemplo, comparar o seu gerenciamento de riscos

corporativos e sistema de controles em relação a outras companhias de renome na
área. Outras organizações podem fornecer informações comparativas, e as funções
equivalentes de revisão permitindo que avaliem seus processos. Porém, pede-se
cautela ao estabelecer comparações, devendo ser consideradas as diferenças
existentes nos objetivos, nos fatos e nas circunstâncias (COSO, 2007).
111
CONTROLES INTERNOS
Um Controle Um Controle Interno deve ser: ÚTIL – PRÁTICO – ECONÔMICO

Interno deve ser:
ÚTIL – PRÁTICO –
ECONÔMICO
4.3 Objetivos de Controle
No Capítulo 2 vimos, de forma geral, quais são os objetivos dos Controles
Internos (para a organização). Agora trataremos dos objetivos dos controles de
forma mais específica.
a) Antifraude: os controles antifraude são todos aqueles que operam para

inibir fraudes por pessoas de dentro ou fora da organização. Proporcionam uma
razoável segurança ao prevenir ou detectar uma fraude, desvio ou manipulação
de dados com impacto material (PIZO, 2018).
Exemplos:
• Controle de Alterações de Salários: a pessoa com acesso ou

autoridade para alterar salários pode alterar o próprio salário ou de outros
em benefício próprio.
• Um controle de Reconhecimento de Receita: o departamento responsável
pelos critérios de apuração e reconhecimento das vendas pode manipular
dados de vendas em determinados períodos para elevar as receitas e com
isso aumentar seus ganhos atrelados à participação nos lucros e resultados.
O mapeamento de Controles Internos abordado no Item 1 deve estabelecer

quais controles irão inibir a possibilidade de fraude.
b) Salvaguarda: os controles de salvaguarda são todos aqueles que operam para

resguardar os bens e direitos da organização. Proporcionam uma razoável segurança
de que a aquisição, a utilização ou a disposição dos ativos, obrigações e direitos, não
estão sendo utilizadas de forma irregular ou não autorizada (PIZO, 2018).
Exemplos:
• Um controle de Venda de Ativo Fixo: uma pessoa com a gestão ou a

autorização para comercialização de ativo fixo da empresa pode vender ou
precificar a venda de um ativo em benefício próprio ou inapropriadamente,
e degradar a real posição dos ativos da empresa.
• Um controle de Desconto de Duplicatas: o departamento responsável
pela captação de recursos para o capital de giro pode forjar recebíveis
para obtenção de recursos financeiros sem que o lastro da operação
(duplicata) realmente seja um direito da organização.
112
c) Atividades: os controles de atividades são todos aqueles que operam

para monitorar a adequada elaboração das Demonstrações Financeiras
independentemente do processo organizacional, sem finalidade específica de
inibir fraude ou resguardar ativos (PIZO, 2018).
Exemplos:
• Um controle do valor de Gestão Patrimonial (Impairment): uma

pessoa responsável ou habilitada para a valorização de ativos para
redução no valor recuperável dos seus ativos de longa duração pode
errar a valorização em caso de ausência de informações precisas ou
desconhecimento das exigências requeridas pelas normas contábeis e
consequentemente impactar em ajuste errado ou indevido no balanço
patrimonial.
• Um controle de Apropriação de Custos: o departamento O Impairment
responsável pelo custeio e mensuração dos custos de produtos é abordado no
Pronunciamento
pode falhar ou mensurar erroneamente os custos do produto,
Técnico CPC 01,
possibilitando classificações irregulares nas Demonstrações segundo a norma, é
Financeiras. o maior valor entre o
valor justo líquido de
O Impairment é abordado no Pronunciamento Técnico CPC 01, despesas de venda
segundo a norma, é o maior valor entre o valor justo líquido de despesas de um ativo e o seu
valor em uso.
de venda de um ativo e o seu valor em uso.
CONTROLES INTERNOS EM ÉPOCA DE CRISE
A existência de Controles Internos adequadamente estruturados

e alinhados aos fatores de riscos de negócio da empresa assume
importância ainda maior em períodos de crise econômica, tal qual a
que estamos vivenciando atualmente.
É notório que, acompanhar, monitorar, controlar gastos e até

reduzir, é primordial nesses períodos, assim, controles adequados e
efetivos contribuem enormemente para o sucesso desse processo,
além de garantir a administração de outras ações que venham a ser
definidas para o enfrentamento da crise, como eficácia de pessoal,
vendas, processo de fabricação, compras etc.
Lembrando também que controles estão relacionados a

ferramentas de gestão e ao processo de tomada de decisão,
113
CONTROLES INTERNOS
contribuindo com estratégias de monitoramento do mercado,

tendências e evoluções de indicadores, identificação de
oportunidades e fontes de financiamentos, além de tantos outros.
Não obstante, embora já deva ser princípio básico em

qualquer circunstância, cuidado especial deve ser dado ao
desenho, à implantação e à execução dos controles para que
sejam customizados e revisados para as empresas que já dispõem
de estrutura de controles implementada, para que todo o processo
seja definido e elaborado para alcançar o propósito estabelecido e
alinhado com os objetivos e estratégia traçada para aquele momento,
ou seja, enfrentamento da crise e seus efeitos.
Todo o processo deve resultar em economia ou aumento da

rentabilidade, impulsionando os negócios e resultados, nunca o contrário.
Permite-se até a contribuição para a manutenção dos negócios,

evitando perdas se a Administração assim entender ser a melhor
alternativa nas circunstâncias até o restabelecimento da economia e
a retomada do crescimento.
FONTE: Mutinelli (2018, s.p.)
5 Frequência do Controle
A frequência do controle é um atributo que confere ao controle a identificação
do volume de vezes que precisa ou deveria ocorrer para que exista efetividade em
mitigar o risco. As frequências são periódicas ou irregulares (PIZO, 2018).
Periódica: os controles com frequência periódica são os que operam

por período de tempo determinado, o controle pode ser realizado anualmente,
semestralmente, trimestralmente, bimestralmente, mensalmente, quinzenalmente,
semanalmente ou diariamente, conforme exemplos a seguir:
• Exemplo (anualmente): um controle de Emissão da Publicação das

Demonstrações Financeiras – por uma determinação da empresa
a publicação das Demonstrações Financeiras pode ser anual ou
conforme determinação legal aplicada ao tipo de empresa (capital
aberto, capital fechado).
114
• (semestralmente): um controle de Distribuição dos Lucros – por

determinação da empresa a distribuição dos lucros pode ocorrer na
periodicidade semestral.
• (bimestralmente): um controle de Baixa de PLD (Perdas por Liquidação

Duvidosa) – a área de negócios por decisão da administração pode
determinar a PLD na periodicidade bimestral.
• (mensalmente): um controle de Pagamento de Salários – a área de

negócios por decisão da administração pode determinar os pagamentos
de salários (sem antecipações ou adiantamentos) na periodicidade
mensal, não podendo legalmente extrapolar essa periodicidade.
• (quinzenalmente): um controle de Pagamento de Comissão – a área de

negócios por decisão da administração pode determinar os pagamentos
de comissão na periodicidade quinzenal.
• (semanalmente): um controle de Apuração de Férias de Funcionários – a

área de negócios por decisão da administração pode determinar a apuração
e a comunicação de férias aos funcionários na periodicidade semanal.
• (diariamente): um controle de Saldos de Aplicação e Resgates – a

área de negócios por decisão da administração pode determinar que
a validação dos saldos de aplicação e resgates sejam realizados na
periodicidade diária.
Em geral, as atividades de monitoramento periódico (contínuo) são

conduzidas pelos gerentes de operação ou de suporte funcional, que dedicam
profunda consideração às informações que recebem. Ao se concentrarem nos
relacionamentos, nas inconsistências ou em outras implicações relevantes,
levantam questões, acompanhando outro pessoal, caso necessário, para
determinar se existe necessidade de adotar medidas corretivas (COSO, 2007).
As atividades de monitoramento periódico são diferenciadas das atividades

realizadas para o cumprimento da política nos processos do negócio, conforme
vimos nos exemplos anteriores.
O TCU (2012) corrobora que o monitoramento periódico é realizado pelo

próprio corpo gerencial da organização que objetiva fazer o acompanhamento de
determinadas informações que indicarão se os Controles Internos estão ou não
funcionando de maneira eficaz. Esse acompanhamento pode ser feito por meio de
análises de variância, comparações de informações provindas de fontes diversas,
correlação de indicadores financeiros e operacionais etc.
115
CONTROLES INTERNOS
Outro exemplo abordado para o monitoramento periódico quando realizado

por meio de correlação de indicadores financeiros e operacionais pode ser ilustrado
através de uma empresa de transportes, na qual os gastos com combustíveis
(indicador financeiro) devem manter direta correlação com a quilometragem rodada
pela frota de veículos (indicador operacional). Esse exemplo demonstra também
que ter um sistema de custos e realizar análises de desempenho constituem
poderosas ferramentas de monitoramento contínuo de uma organização.
Nesse exemplo apresentado, possivelmente a organização dispõe de controles

para autorizar abastecimentos, controles de rotas e registros de quilometragem,
porém o monitoramento do consumo desproporcional de combustível é que vai
indicar se tais controles são eficazes ou se estão ocorrendo falhas e anomalias
como fraudes, desvios e conluios.
É importante ressaltar que o monitoramento periódico dos Controles Internos

não deve ser confundido com o componente “atividades de controle”. Enquanto
estas incidem sobre atividades, processos e operações para assegurar o
cumprimento de políticas, procedimentos e outros requisitos em vigor, aquele tem
como foco o próprio funcionamento dos controles (TCU, 2012).
A escolha da escala de tempo de realização do controle impacta diretamente no

volume de amostras que serão selecionadas durante os testes de efetividade, além
disso, a periodicidade estabelecida para o controle deve estar adequada a uma razoável
mitigação do risco. O não cumprimento da frequência do controle ou o cumprimento em
atraso resultará em deficiência na elaboração do controle (PIZO, 2018).
Por Ocorrência (Irregulares): este tipo de controle opera por demanda ou

continuamente, tal controle pode ser realizado múltiplas vezes ao dia, ou poucas
vezes ao ano de maneira imprevisível (PIZO, 2018).
• Exemplo: um controle de Reajuste de Preço – o controle será

considerado irregular porque deverá ser monitorado somente quando
houver a necessidade de modificação do preço, múltiplas vezes ao dia,
como operações de troca de moeda estrangeira que têm volatilidade
totalmente sob demanda, ou preços de mercadorias (venda de produtos
linha branca) que podem não ter nenhuma alteração no período de um
ano e em outro ano haver múltiplas ocorrências, por isso ambos os casos
serão considerados como de frequência por ocorrência.
• Exemplo: um controle de Restrição de Acesso Sistêmico – o controle

será considerado por ocorrência porque uma vez que o sistema possui
uma restrição ou bloqueio de acesso, este deverá ocorrer quantas
tentativas ocorrerem, por isso a sua frequência é por ocorrência. Outras
nomenclaturas comuns utilizadas para controles por ocorrência são:
irregulares, sob demanda ou recorrentes.
116
No controle em que a escala de frequência for por ocorrência terá maior volume
de amostras selecionadas durante os testes de efetividade (PIZO, 2018). Nessa
modalidade, o monitoramento pode ser feito por meio de autoavaliações realizadas
pela própria equipe responsável por atividades, processos ou operações, ou por meio
de avaliações e revisões independentes realizadas pela auditoria interna ou externa.
A abordagem e a profundidade dos procedimentos adotados por cada uma

dessas entidades avaliadoras poderão variar significativamente, dependendo
dos objetivos específicos dos trabalhos. Naturalmente, os que tiverem maior
profundidade serão realizados pela auditoria interna. As avaliações conduzidas
pela auditoria externa podem ter menos profundidade se puderem utilizar a
avaliação e os resultados dos trabalhos realizados pela auditoria interna. Para isso,
os trabalhos dos auditores externos devem incluir uma análise da consistência e
qualidade das avaliações feitas pela auditoria interna (TCU, 2012).
FIGURA 10 – VISÃO DAS ATIVIDADES DE MONITORAMENTO
FONTE: TCU (2012, s.p.)
Tanto as ausências quanto as deficiências do sistema de Controle Interno são

detectadas por meio dos procedimentos de monitoramento periódico (contínuo)
ou de avaliações separadas, e todas as deficiências (condição, real ou potencial,
que possam afetar o alcance de objetivos) ou oportunidades para fortalecer o
Controle Interno (aumentar as probabilidades de alcance dos objetivos) devem
ser comunicadas aos responsáveis que possam adotar as ações necessárias.
As comunicações de deficiências variam de acordo com as circunstâncias.

Internamente, a regra geral é que devem ser reportadas a pessoas com poder
para determinar as ações corretivas (TCU, 2012).
117
CONTROLES INTERNOS
1) A frequência do controle é um atributo que confere ao controle

a identificação do volume de vezes que precisa ou deveria
ocorrer para que exista efetividade em mitigar o risco. O que você
entendeu por frequências periódicas ou irregulares? Justifique
sua resposta.
____________________________________________________
____________________________________________________
____________________________________________________
____________________________________________________
____________________________________________________
____________________________________________________
____________________________________________________
5.1 Monitoramento
Assumir certos riscos faz parte da cultura corporativa, é um fato inerente às
atividades empresariais, assim como comprar matérias-primas e mão de obra
para a produção, fabricar uma quantidade variada de produtos, vender a prazo,
financiar o cliente, receber as faturas, pesquisar novos produtos ou tecnologias,
gerenciar o capital humano com toda sua problemática, anseios e ambições
típicas do ser humano etc.
Evidentemente que fazer tudo isso sem risco é impossível, principalmente no

ambiente brasileiro. Portanto, cientes da existência do fator de risco nas atividades
cotidianas, cabe aos gestores responsáveis estabelecer metodologias para a
correta identificação dos principais eventos que possam acarretar prejuízos para
as finanças e para a imagem da empresa (OLIVEIRA et al., 2008).
É natural o gerenciamento de riscos corporativos de uma organização se modificar

com o passar do tempo, dessa forma, as respostas ao risco que antes se mostravam
eficazes, podem não estar mais atendendo às necessidades da organização. As
atividades de controle podem perder a eficácia ou deixar de ser executadas, ou
os objetivos, antes propostos, podem ter mudado. Essas modificações podem ser
causadas pela chegada de novos profissionais, pelas mudanças na estrutura ou no
direcionamento da organização, ou pela introdução de novos processos. Diante desse
118
fato, a administração necessita determinar se o funcionamento do gerenciamento de

riscos corporativos permanece eficaz (COSO, 2007).
O controle é uma atividade dinâmica que deve se adaptar continuamente

às mudanças e riscos que a entidade tem de enfrentar, faz-se necessário o
monitoramento assegurar que o Controle Interno está em harmonia com os
objetivos, com o ambiente, com os recursos e com os riscos (BRAGA, 2013).
A IMPORTÂNCIA DOS CONTROLES INTERNOS:

ELES PODEM EVITAR QUE A SUA EMPRESA SEJA LESADA
Uma das intervenções mais frequentes do profissional de

compliance com as diferentes áreas de negócios da empresa é a
necessidade de fornecer a sua aprovação para que campanhas de
marketing, doações, cortesias comerciais, descontos, entre outros,
possam seguir o seu rumo. Essa necessidade de validação do
compliance acontece por causa da existência de Controles Internos
criados com o objetivo de monitorar as situações de risco nas quais
uma empresa pode estar exposta, ou vir a estar.
Manter controles internos efetivos é a grande chave de

segurança dos programas de integridade. São eles que garantem que
as normas e códigos da empresa serão seguidos independentemente
da vontade dos profissionais das diferentes áreas da companhia.
Se pensarmos no triângulo da fraude, teoria forjada pelo

estudioso norte-americano Donald R. Cressey, que preconiza que
uma fraude é cometida quando existem, necessariamente, três
elementos: Oportunidade, Necessidade e Racionalização, fica
fácil de entender a importância dos Controles Internos. Eles são
anticorpos suficientemente eficientes para eliminar o elemento da
“Oportunidade”, afinal, o potencial fraudador – ainda que tivesse a
intenção de fraudar e mesmo que se achasse merecedor do benefício
gerado pela fraude – não teria os meios para praticá-la.
“Trusted persons become trust violators when they conceive of

themselves as having a financial problem which is non-shareable,
are aware this problem can be secretly resolved by violation of the
position of financial trust, and are able to apply to their own conduct
in that situation verbalizations which enable them to adjust their
119
CONTROLES INTERNOS
conceptions of themselves as trusted persons with their conceptions

of themselves as users of the entrusted funds or property”, disse
Donald R. Cressey, no seu livro Other People’s Money (Dinheiro
dos outros, em uma tradução livre). O que podemos extrair é que
pessoas originalmente honestas podem criar uma narrativa própria
que torna aceitável, segundo os seus termos, o desvio de recursos
financeiros ou materiais dos outros para o seu próprio benefício.
A criação dos controles deve ocorrer com a condução de

uma análise de risco bastante efetiva, a qual dará a capacidade
de mapear corretamente os riscos existentes em cada aspecto do
negócio, criando “travas” para as aprovações de uma operação.
Além dos controles em si, é muito importante para o profissional de

compliance efetuar o monitoramento e a auditoria dos controles. Afinal,
com o passar do tempo, os negócios se desenvolvem e outros riscos
aparecem. Dependendo da natureza do negócio, alguns controles se
tornam inócuos em pouquíssimo tempo. Por isso, a revisão periódica
do programa de compliance como um todo é o segredo de ouro para
manter a condução dos negócios saudável e transparente.
FONTE: Sibille (2017, s.p.)
Para Arima, Gil e Nakamura (2013), monitorar significa mensurar o nível atual
de desempenho, ou seja, obter medidas que possam ser comparadas com o que
foi estabelecido no planejamento.
Nesse sentido, Braga (2013) escreve que tanto a medição de desempenho

quanto o conceito de monitoramento tomam como base a produção de
informações que subsidiará a administração, tanto no que diz respeito à condução
de resultados de suas políticas quanto em relação à qualidade e suficiência das
demais estruturas de Controles Internos, para tanto é necessário que as atividades
de registro estejam relacionadas a tais aspectos.
A NBC TA 315 aborda que as operações da empresa devem ser

constantemente monitoradas com o intuito de identificar e corrigir possíveis
falhas ou inexistência de procedimentos de controle (CFC, 2016, s.p.). Para isso,
geralmente são selecionadas amostras de cada operação para facilitar o processo
de monitoramento. Além da própria operação, os procedimentos de Controle
Interno existentes também devem ser monitorados.
120
O monitoramento é o processo de supervisionar e avaliar se as atividades

e os procedimentos estabelecidos foram devidamente executados. Para isso,
efetuam-se revisões contínuas realizando modificações quando necessário.
Nesse processo de monitoramento, inclui-se considerar se eles estão

operando conforme o pretendido e que serão modificados adequadamente quando
necessário para atender às mudanças de condições. Podendo incluir, ainda,
atividades como: revisão pela administração para determinar se as conciliações
bancárias são elaboradas tempestivamente, avaliação pelos auditores internos do
cumprimento, pelo pessoal de vendas, das políticas da entidade em termos de
contratos de venda, e a supervisão pelo departamento jurídico do cumprimento
das políticas de ética ou prática de negócios da entidade.
O monitoramento também deve assegurar que os controles continuem

a operar efetivamente ao longo do tempo. Por exemplo: se a tempestividade e
exatidão das conciliações bancárias não forem monitoradas, é provável que os
funcionários parem de elaborá-las (CFC, 2016).
A NBC TA 315 ainda menciona que as atividades de monitoramento podem

incluir:
• o uso de informações de partes externas (inclusive de órgãos reguladores,

que possam indicar problemas ou ressaltar áreas com necessidade de
aprimoramento);
• comunicações referentes ao Controle Interno vindas de auditores externos
ao executar atividades de monitoramento.
A formatação e a execução dos Controles Internos são de responsabilidade

da administração. No entanto, todas as pessoas na empresa devem assumir a
responsabilidade pelo monitoramento de controle conforme estes estiverem sob
suas alçadas (CFC, 2016).
É responsabilidade
É responsabilidade da administração estabelecer e manter o da administração
estabelecer
Controle Interno continuamente.
e manter o
Controle Interno
Por fim, avaliar a eficácia, eficiência e efetividade dos controles continuamente.
também pode ser considerado um bom parâmetro de monitoramento, haja
vista que tais conceitos estão inegavelmente interligados e são interdependentes
(BRAGA, 2013).
Acadêmico, vamos verificar se por meio de nosso estudo podemos implantar

um Controle Interno?
121
CONTROLES INTERNOS
FIGURA 11 – ESTABELECENDO UM CONTROLE INTERNO
FONTE: <https://pt.slideshare.net/almeriobarros/3o-workshop-governanca-corporativa-e-
controles-internos-cdl-balnerio-cambori-apresentacao-final>. Acesso em: 21 jul. 2018.
Observe as etapas!
• Passamos pela etapa de avaliação de ambiente, bem como estudamos

sobre os objetivos e o apetite a risco da empresa.
• Após isso, fomos para a etapa da Implantação, estudamos sobre a
importância do planejamento na hora da implantação do Controle Interno.
• Por fim, estudamos o monitoramento, talvez uma das partes mais
importantes de todo o processo, pois é ele que irá monitorar todo controle
implantado e ajustar o que for necessário para que a empresa possa
andar nos trilhos.
Esperamos que você tenha aproveitado os estudos, mas não esqueça: Não
basta saber, é preciso saber fazer! O conhecimento vai muito além desse livro
de estudos, depende exclusivamente de você.
Sucesso!
122
1) Monitorar significa mensurar o nível atual de desempenho, ou

seja, obter medidas que possam ser comparadas com o que foi
estabelecido no planejamento. O monitoramento também possui
outras características. Sobre essas características, assinale V
para as afirmações verdadeiras e F para as falsas:
( ) O constante monitoramento deve existir com o intuito de

identificar e corrigir possíveis falhas ou inexistência de
procedimentos de controle.
( ) É o processo de supervisionar e avaliar se as atividades e os
procedimentos estabelecidos foram devidamente executados.
( ) Não pode incluir o uso de informações de partes externas.
( ) Deve assegurar que os controles continuem a operar
efetivamente ao longo do tempo.
Agora assinale a sequência CORRETA:
a) ( ) V – F – F – F.
b) ( ) F – V – F – V.
c) ( ) V – V – F – V.
d) ( ) F – F – V – V.
COMO CONTROLES INTERNOS PODEM RESOLVER

O PROBLEMA DA MINHA EMPRESA?
Para resolver os problemas gerais de uma organização, é

fundamental possuir um plano de longo prazo e o envolvimento de
todos os colaboradores da empresa.
Os exemplos de Controles Internos que descreveremos aqui

irão lhe auxiliar na identificação e antecipação de alguns pontos que
podem impactar na imagem da sua empresa se não resolvidos.
123
CONTROLES INTERNOS
Esses riscos podem ser:
• Fraude.
• Corrupção.
• Desvio e lavagem de dinheiro.
• Favorecimento em licitações.
• Impacto na cultura organizacional.
Se os exemplos não são identificados com antecedência, as

chances de sua empresa sofrer um impacto negativo no mercado
são imensas.
Não deixe de ir até o final desse artigo! Entender como a

aplicação efetiva dos Controles Internos pode trazer grandes
benefícios para você e sua empresa.
Sete exemplos de Controles Internos
Leia atentamente e procure absorver o máximo possível os

conceitos de cada exemplo. Os exemplos estão listados por ordem
de importância, acredito que dessa forma você pode entender como
priorizá-los.
1# Treinamento e capacitação
Um dos principais erros que vemos quando o compliance é

introduzido em uma empresa é não comunicar e promover a cultura
trazida pela frente de conformidade.
Em um de nossos artigos, falamos sobre 7 estratégias para

implementar um programa de integridade na sua empresa. É
importante entender que as pessoas são a parte essencial para o
sucesso do compliance.
Sabemos que treinamento e capacitação é um investimento. Por

isso, tal investimento deve sempre entrar na conta do orçamento da
área de compliance.
Como gestor, você prefere investir em capacitação e evitar

prejuízos futuros ou não investir e saber que os recursos da sua
empresa estarão comprometidos em um futuro não muito distante?
Fica para reflexão essa simples provocação.
124
2# Código de ética e conduta
Uma das ações mais desafiadoras é o código de ética e conduta.

Por que considerá-lo o mais desafiador?
É muito simples, ele impacta diretamente na cultura

organizacional da empresa. Dos exemplos de Controles Internos,
esse merece uma atenção totalmente especial.
Mais do que desenvolver regras, o conselho administrativo,

junto à direção da empresa, precisa saber como disseminar tudo o
que foi definido para o restante da companhia.
O que é definido em um código de ética e conduta?
• Objetivos da empresa.
• Princípios da organização.
• O que é e o que não é permitido.
• Multas e punições por descumprimento.
Para se aprofundar no tema, sugerimos: A importância da

ética empresarial.
3# Controle de qualidade
Você já deve ter ouvido falar desse exemplo de Controles

Internos inserido em um outro contexto.
A aplicação do controle de qualidade é fundamental para a

otimização da eficiência dos processos e para a redução de custos.
Neste cenário, podemos considerar a hipótese de trabalhar

com soluções tecnológicas para alcançar os objetivos. O controle de
qualidade permite mapear as áreas e processos da empresa mais
propensos a situações de risco.
4# Auditoria interna
A auditoria interna é uma das práticas mais utilizadas pelas

organizações quando o assunto é estruturar todos os dados
necessários de documentação fiscal.
125
CONTROLES INTERNOS
É importante lembrar que a auditoria sempre vai além, às vezes,

existe a necessidade de olhar para o passado da empresa, para
assim identificar possíveis pontos estratégicos que impactam na
conformidade.
Na hora de contatar um consultor responsável pela auditoria,

certifique-se de que ele não possui nenhum envolvimento com a
empresa.
Organizações que se envolveram em escândalos de corrupção,

como a lava jato, estavam em processo de auditoria e ainda assim
foram pegas.
5# Canal de denúncias
O canal de denúncias é o meio pela qual um colaborador pode

reportar de forma anônima alguma anormalidade referente aos
processos internos, bem como ao descumprimento do código de
ética e conduta.
É importante disponibilizar para os colaboradores da empresa

mais do que um meio onde ele possa entrar em contato e reportar a
anormalidade.
Esses meios podem ser:
• Telefone.
• E-mail.
• Site.
Procure sempre dar importância à segurança das pessoas,

manter o anonimato do denunciante é extremamente fundamental.
6# Segurança da informação
A segurança da informação é um exemplo de Controle Interno

delicado. É necessário desenvolver um sistema de controle bem
estruturado e com extração de dados constantes para análise.
O que é possível fazer com os dados digitais da empresa?

Muitas coisas! O responsável pelo desenvolvimento da infraestrutura
de TI deve sempre seguir as políticas da empresa em relação à
segurança digital.
126
Uma tática que deve ser levada em consideração é a criptografia

dos dados. Com isso, toda e qualquer movimentação de informação
por meio digital pode ser protegida de invasões externas.
O objetivo principal é manter a estrutura e continuidade das

atividades de negócios.
7# Gestão de terceiros
Por último, mas não menos importante, a gestão de terceiros. E

o que é a gestão de terceiros?
A maioria das empresas lida com fornecedores e prestadores de

serviços. Com isso, é primordial conhecer quem são eles, como são
estruturados os contratos etc.
Gerir terceiros é entender como funciona a cadeia de

relacionamento da sua empresa.
• Com quem você se envolve?

• Como você analisa as informações de um fornecedor?
• Quais serviços são terceirizados?
É fundamental para as empresas definirem uma atualização

periódica dos dados e informações dos fornecedores, prestadores de
serviço, parceiros de negócio, entre outros agentes.
É claro que existem diversos outros exemplos, mas garantimos

que os que foram citados nesse artigo são fundamentais.
FONTE: UPLEXIS. 7 exemplos de controles internos para você

aplicar na sua empresa. 2018. Disponível em: <http://blog.uplexis.com.
br/7-exemplos-de-controles-internos/>. Acesso em: 20 ago. 2018.
127
CONTROLES INTERNOS
A filosofia da administração de riscos está potencialmente refletida em tudo
aquilo que a administração faz para gerir a organização. Ela é intrinsecamente
inserida nas declarações a respeito das políticas, comunicações verbais e escritas,
bem como durante o processo decisório. Além disso, é de suma importância que a
administração reforce a filosofia não apenas com palavras, mas também por meio
de ações do cotidiano (COSO, 2007).
Para isso, deve-se elaborar um manual contendo todos os procedimentos

de controle, bem como apontar as pessoas responsáveis pela elaboração,
implantação e revisão de cada evento. O manual deve ser elaborado com base
no delineamento de cada operação e cada tarefa executada na empresa. Nele
deve ser descrito o passo a passo do que cada funcionário deve e o que não
deve fazer, bem como os níveis de alçada de cada um. Dessa forma, todas
as pessoas da organização terão conhecimento das suas obrigações e das
limitações de seu cargo, isto é, passam a conhecer a sua autoridade, o seu poder
e suas responsabilidades, evitando problemas e facilitando o dia a dia empresarial
(NASCIMENTO; REGINATO, 2013).
Para alguns gestores, o gerenciamento de riscos corporativos, como

Controles Internos implantados, certifica que a organização não fracassará, ou
seja, ela sempre atingirá seus objetivos. Porém, isto é um engano, pois nenhum
tipo de sistema ou controle garante esse tipo de situação (COSO, 2007).
Referências
Ebook. Gestão: controle interno, risco e auditoria. São Paulo: Saraiva, 2013.
BRAGA, Marcus Vinicius de Azevedo. Controle Interno: estudos e

reflexões. Belo Horizonte: Editora Fórum, 2013.
CFC – Conselho Federal de Contabilidade. NBC TA 315. Dispõe sobre:

a identificação e avaliação dos riscos de distorção relevante por meio
do entendimento da entidade e do seu ambiente. 2016. Disponível em:
<http://www2.cfc.org.br/sisweb/sre/detalhes_sre.aspx?codigo=2016/
NBCTA315(R1)>. Acesso em: 20 jul. 2018.
128
COSO – Committee of Sponsoring Organizations of the Treadway

Commission, Integrated Framework – Application Techniques. 2 vol
Sept, Jersey City: NJ. USA. 2007.
IBCG – Instituto Brasileiro de Governança Corporativa. Guia de Orientação

para Gerenciamento de Riscos Corporativos. 2007. Disponível em <http://
www.ibgc.org.br/userfiles/3.pdf>. Acesso em: 8 jun. 2018.
GIRC. Ministério do Planejamento, Desenvolvimento e Gestão –

Assessoria Especial de Controle Interno. Manual de Gestão de
Integridade, Riscos e Controles Internos da Gestão. 2017. Disponível
em: <http://www.planejamento.gov.br/publicacoes/controle-interno/
manual_de_girc___versao_2_0.pdf>. Acesso em: 16 jul. 2018.
MUTINELLI, Éder. Controles internos em época de crise. Mazars.

2018. Disponível em: <https://por.mazars.com.br/Pagina-Inicial/Noticias/
Nossas-Publicacoes/Analises/Advisory/Controles-Internos-em-Epoca-de-
Crise>. Acesso em: 20 ago. 2018.
NASCIMENTO, Auster Moreira; REGINATO, Luciane (Orgs.).

Controladoria: um enfoque na eficácia organizacional. 3. ed. São Paulo:
Atlas, 2013.
OLIVEIRA, Alexandre Martins Silva de et al. Contabilidade

internacional: gestão de riscos, governança corporativa e contabilização
de derivativos. São Paulo: Atlas, 2008.
PIZO, Frank. Mapeamento de controles internos SOX: práticas de controles

internos sobre as demonstrações financeiras. São Paulo: Atlas, 2018.
SIBILLE, Daniel. A importância dos controles internos. LEC.

2017. Disponível em: <http://www.lecnews.com/artigos/2017/08/08/a-
importancia-dos-controles-internos/>. Acesso em: 20 ago. 2018.
129

Controles Internos

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Controles Internos

Enviado por

Direitos autorais:

Formatos disponíveis

CONTROLES INTERNOS

Autoria: Estelamaris Reif

Reitor: Prof. Hermínio Kloch

Diretor UNIASSELVI-PÓS: Prof. Carlos Fabiano Fistarol

Equipe Multidisciplinar da Pós-Graduação EAD:

Revisão de Conteúdo: Jorge Roberto Krening

Copyright © UNIASSELVI 2018

Controles internos. / Estelamaris Reif – Indaial: UNIAS-

129 p.; il.

1.Administração de empresas – Brasil. II. Centro Univer-

Mestre em Ciências Contábeis pela Fundação

Este livro está dividido em três capítulos. No Capítulo 1, o gerenciamento

No Capítulo 2, junto ao surgimento das organizações nasceu a necessidade

No Capítulo 3, controle é uma palavra proveniente do francês, controler, que

A partir da perspectiva do saber fazer, neste capítulo você terá os seguintes

33 Entender a definição de gestão de riscos.

33 Conhecer os órgãos responsáveis pela normatização da gestão de riscos bem

33 Entender a relação entre gerenciamentos de riscos e controle interno.

33 Compreender o contexto em que a gestão de riscos está inserida.

Assim, todas as organizações enfrentam incertezas, e o desafio de seus

As incertezas representam riscos e oportunidades com potencial para

2 Definição de Gestão de Riscos

Nas organizações, quando falamos de gerenciamento de riscos é indiscutível

Alguns conceitos abordados no COSO (2017) são apresentados para

• Gerenciamento de riscos corporativos não é uma função nem um

Quanto às finalidades do gerenciamento de riscos corporativos, observam-se

QUADRO 1 – FINALIDADES DO GERENCIAMENTO DE RISCO

Otimizar o capital – a obtenção de informações adequadas a respeito de riscos

FONTE: COSO (2007, p. 3).

As finalidades mencionadas são inerentes ao gerenciamento de riscos

Além disso, o gerenciamento de riscos corporativos contribui para assegurar

Eventos que podem atingir criticamente a reputação da organização, em geral,

• O impacto negativo sofrido por uma empresa de marca valiosa acusada

Os impactos negativos sofridos por essa empresa podem causar impacto

No entanto, você deve estar se perguntando: De que gerenciamento de

Todas as situações mencionadas pelos autores nos ajudam a entender o

Risco está associado à incerteza que temos sobre

O gerenciamento de O gerenciamento de riscos corporativos ajuda a organização a

FIGURA 1 – MATRIZ DE CATEGORIZAÇÃO DOS RISCOS

FONTE: IBCG (2007, s.p.).

A classificação deve ser feita observando algumas diretrizes, como identificar

Riscos Externos: são ocorrências associadas ao ambiente macroeconômico,

Riscos Internos: são eventos originados na própria estrutura da organização

A Folha de São Paulo em 2017 escreveu um breve artigo com ilustrações

FIGURA 2 – ESTRATÉGIA X GERENCIAMENTO DE RISCOS

Em resumo, o artigo afirma que se as ameaças não são bem mapeadas,

FIGURA 3 – EQUILÍBRIO ENTRE RISCO E ESTRATÉGIA (GESTÃO DE RISCOS)

Vejamos outros conceitos fundamentais de gerenciamento de riscos

QUADRO 2 – CONCEITOS FUNDAMENTAIS DE GERENCIAMENTOS DE RISCOS

Um processo contínuo e que flui através da organização.

FONTE: COSO (2007, p. 4).

“O gerenciamento de riscos corporativos orienta seu enfoque diretamente

Arima, Gil e Nakamura (2013) abordam que entre os diversos segmentos

É fato que há negócios na economia mais arriscados e outros menos. Como

Nossa compreensão de risco e nossa prática de gerenciamento de riscos

1) Sobre os conceitos fundamentais de Gerenciamentos de Riscos,

( ) Orientado para a realização de objetivos em apenas uma

Assinale a sequência CORRETA:

FIGURA 4 – CUBO COSO

FONTE: Adaptado de COSO (2007, p. 7).

Com base na missão ou na visão da organização, a administração estabelece

a) Estratégicos – metas gerais, alinhadas com a missão da organização.

Observe que esta classificação está no topo do cubo e se refere aos

Após abordadas as quatro categorias pertencentes ao objetivo da