Machine Translated by Google

Machine Translated by Google

Machine Translated by Google

Subcomitê de Normas de Controle Interno da INTOSAI

F. VANSTAPEL

Presidente sênior do Tribunal de Contas da Bélgica

Regentschapsstraat 2 – Rue de la Régence 2

B-1000 BRUXELAS
BÉLGICA

Tel : + 32 2 551 8111

Fax : + 32 2 551 8629 E-
mail : international@ccrek.be

3
Machine Translated by Google

G diretrizes para Interno

Padrões de Controle
para o Setor Público -
Mais informações sobre
Gestão de Risco de Entidade

Prefácio

As Diretrizes da INTOSAI de 1992 para Padrões de

Controle Interno foram concebidas como um documento vivo
que reflete a visão de que os padrões devem ser promovidos
para o projeto, implementação e avaliação do controle interno.
Essa visão envolve um esforço contínuo para manter essas
diretrizes atualizadas.

O 17º INCOSAI (Seul, 2001) reconheceu uma grande necessidade

de atualização das diretrizes de 1992 e concordou que a estrutura
integrada de controle interno do Comitê de Organizações
Patrocinadoras da Comissão Treadway (COSO) deveria ser
utilizada. A consulta subsequente resultou em uma expansão
adicional para abordar valores éticos e fornecer mais informações
sobre os princípios gerais das atividades de controle relacionadas
ao processamento de informações.

As Diretrizes de Controle Interno atualizadas foram

publicadas em 2004 e também devem ser vistas como um documento vivo

4
Machine Translated by Google

que, ao longo do tempo, precisará ser desenvolvido e

refinado para abranger o impacto de novos desenvolvimentos,
como a estrutura de gerenciamento de riscos corporativos1 do COSO .
Consequentemente, esta adição às Diretrizes foi produzida
para cobrir o pensamento atual sobre gerenciamento de riscos,
conforme estabelecido na estrutura ERM do COSO. Como este
documento se destina principalmente a leitores do setor público,
o termo “entidade” é usado no lugar de “Empresa”, que possui
uma associação específica do setor privado.

As informações adicionais aqui fornecidas são resultado do

esforço conjunto dos membros do Subcomitê de Normas de
Controle Interno da INTOSAI. Esta atualização foi coordenada por
uma Força-Tarefa formada entre os membros do subcomitê com
representantes das EFSs da França, Hungria, Bangladesh,
Lituânia, Holanda, Omã, Ucrânia, Romênia, Reino Unido, Estados
Unidos da América e Bélgica (cadeira).

Franki VANSTAPEL
Presidente sênior do Tribunal de Contas da Bélgica
Presidente das Normas de Controle Interno da INTOSAI
Subcomitê

1 Gerenciamento de riscos corporativos - Integrado

Estrutura (COSO - setembro de 2004)

5
Machine Translated by Google

Introdução

A premissa subjacente à estrutura de gerenciamento

de riscos de entidades do COSO é que todas as
entidades existem para fornecer valor a seus stakeholders.
No setor público, a expectativa geral é de que os servidores
públicos sirvam ao interesse público com justiça e
administrem os recursos públicos adequadamente.
Efetivamente, as partes interessadas são o público e seus representantes eleitos.

Todas as entidades enfrentam incertezas e o desafio para a

administração é determinar quanta incerteza aceitar enquanto
se esforça para obter o melhor valor para as partes interessadas.
Também é importante observar que a incerteza apresenta riscos
e oportunidades, com potencial para corroer ou aumentar o
valor ou, em termos do setor público, para atender o interesse
público mais ou menos bem. O objetivo da gestão de risco da
entidade é permitir que a administração lide efetivamente com a
incerteza e seus riscos e oportunidades associados, aprimorando
a capacidade de criar valor, entregar serviços mais eficazes de
forma mais eficiente e econômica e direcioná-los, levando em
consideração valores como equidade e justiça.

As Diretrizes da INTOSAI para Normas de Controle Interno

para o Setor Público consideram o controle interno como
uma estrutura conceitual abrangente por meio da qual uma
entidade pode ser gerenciada para atingir seus objetivos. A
estrutura COSO ERM e outros modelos semelhantes levam isso
a um estágio mais avançado, pois a entidade pode ser
direcionada com base na identificação de riscos e
oportunidades futuras para refinar objetivos e projetar
controles internos para minimizar riscos e maximizar oportunidades.

Além de ampliar a definição de funções abrangidas pelo

regime de governança corporativa, a gestão de riscos de
entidades exigia uma mudança na forma como as organizações
pensam sobre o alcance de seus objetivos. Isso porque, para ser eficaz,

6
Machine Translated by Google

a gestão de risco da entidade é um processo contínuo

aplicado na definição da estratégia, eficaz e afetado por todos
os níveis e todas as unidades de negócios de uma entidade e
que é projetado para identificar todos os eventos que afetarão
a capacidade da organização de atingir seus objetivos.

Este documento descreve uma estrutura recomendada para

a aplicação dos princípios de gerenciamento de risco de
entidade no setor público e fornece uma base em relação à
qual o gerenciamento de risco de entidade pode ser avaliado.
No entanto, não se destina a substituir ou suplantar as Diretrizes
para Normas de Controle Interno para o Setor Público , mas
sim fornecer informações adicionais complementares a serem
usadas juntamente com essas normas onde os Estados
membros considerem apropriado fazê-lo. Também não se
destina a limitar ou interferir na autoridade devidamente
concedida relacionada ao desenvolvimento de legislação,
regulamentação ou outra política discricionária em uma organização.

Em conclusão, cabe esclarecer que este documento inclui

diretrizes adicionais para os padrões de governança corporativa.
As diretrizes não fornecem políticas, procedimentos e práticas
detalhadas para a implementação de um regime de práticas
recomendadas de governança corporativa, nem se espera que
sejam adequadas para todas as organizações em todos os ambientes regulatórios.
No entanto, o adendo fornece um acréscimo à ampla estrutura
dentro da qual as entidades podem desenvolver regimes para
melhor ajudá-las a maximizar os serviços prestados às partes
interessadas.

7
Machine Translated by Google

Como este documento está estruturado?

O suplemento está estruturado de maneira semelhante

às Diretrizes da INTOSAI para Normas de Controle
Interno para o Setor Público. No primeiro capítulo é
definido o conceito de gestão de risco da Entidade e é
delineado o seu âmbito. No segundo capítulo são
apresentadas as componentes da gestão do risco das
Entidades e destacadas as extensões às normas de controlo interno.

8
Machine Translated by Google

C capítulo 1: o chapéu é C
Gestão de Risco de Entidade

1.1 Definição

1.1.1 Gestão de Riscos de Entidades do COSO: Integrada

A estrutura afirma que o gerenciamento de riscos
da entidade lida com riscos e oportunidades que
afetam a criação ou preservação de valor, definidos da seguinte forma:

“Gestão de risco da entidade é um processo efetuado

pelo conselho de administração, administração e
outros funcionários de uma entidade, aplicado na
definição da estratégia e em toda a Entidade, projetado
para identificar eventos potenciais que podem afetar a
entidade e gerenciar o risco para estar dentro de seu
apetite de risco, para fornecem segurança razoável em
relação ao alcance dos objetivos da entidade”. (modelo COSO ERM 2004)

1.1.2 No setor público os termos criação de valor e preservação

de valor não têm tanta relevância direta quanto no
setor privado. No entanto, a definição é propositalmente
ampla para abranger tantos setores e tipos de
organizações quanto possível. Assim, é possível
substituir a criação e preservação de serviços por
criação e preservação de valor para que a definição
seja totalmente aplicável às entidades do setor público.

9
Machine Translated by Google

1.2 Identificando a Missão

1.2.1 O ponto de partida para a gestão de riscos da Entidade é a
missão ou visão estabelecida da entidade. No contexto
desta missão, a gestão deve estabelecer objetivos
estratégicos, selecionar estratégias para atingir esses
objetivos e definir objetivos alinhados de apoio que são
disseminados por toda a organização.

1.3 Definindo Objetivos

1.3.1 As Diretrizes da INTOSAI sobre Controle Interno

Os padrões estabelecem que os objetivos podem ser

subdivididos em quatro categorias (embora a maioria dos
objetivos caia em mais de uma categoria). Estes são:

• Estratégico - objetivos de alto nível, alinhados e apoiando

a missão das entidades

• Operacional – executando de forma ordenada, ética,

operações econômicas, eficientes e eficazes; e
salvaguardar os recursos contra perda, uso indevido e
danos

• Relatórios - confiabilidade dos relatórios, incluindo o

cumprimento das obrigações de responsabilidade

• Conformidade - conformidade com os aplicáveis

leis e regulamentos e ser capaz de agir de acordo
com a política do governo

1.3.2 Os objetivos nas duas primeiras categorias não estão

totalmente sob o controle de uma entidade, portanto,
qualquer sistema de gerenciamento de risco pode fornecer
apenas uma garantia razoável de que esses riscos estão sendo gerenciados

10
Machine Translated by Google

satisfatoriamente, mas deve permitir que a administração

esteja ciente de até que ponto esses objetivos estão
sendo alcançados em tempo hábil. No entanto, os
objetivos relativos à confiabilidade dos relatórios e à
conformidade estão sob o controle de uma entidade, de
modo que o gerenciamento de risco da entidade
geralmente oferece garantia à administração de que
esses objetivos estão sendo alcançados.

1.4 Identificação de Eventos - Riscos

e Oportunidades
1.4.1 Uma vez definidos os objetivos Risco da entidade
a gestão exige que uma organização identifique
eventos que possam ter impacto na realização desses
objetivos. Os eventos podem ter um impacto negativo,
um impacto positivo ou ambos.
Eventos com impacto negativo representam riscos,
que podem prejudicar a capacidade da entidade de
atingir seus objetivos. Esses riscos podem surgir
devido a fatores internos e externos. A Figura 1, abaixo,
apresenta muitos dos riscos que as entidades
governamentais enfrentam – pode muito bem haver
outros riscos relevantes para entidades específicas.

1.4.2 Eventos com impacto positivo podem compensar impactos

negativos ou representar oportunidades. As
oportunidades são a possibilidade de ocorrer um evento
que aumentará a capacidade da entidade de atingir seus
objetivos ou permitir que a entidade atinja os objetivos
com mais eficiência. Além de buscar mitigar os riscos,
a gestão deve formular planos para aproveitar as
oportunidades.

11
Machine Translated by Google

1.5 Comunicação e Aprendizagem

1.5.1 Determinar se o risco de Entidade de uma entidade

a gestão é "eficaz" é parte fundamental do processo.
A administração precisa fazer um julgamento sobre
se os componentes da gestão de riscos da Entidade
estão presentes e operando de forma eficaz; ou
seja, que não há fraquezas materiais e que todos
os riscos foram colocados dentro de parâmetros
aceitáveis, dado o apetite de risco da entidade.
Onde o gerenciamento de riscos da entidade é
eficaz, o gerenciamento entenderá até que ponto os
objetivos em todas as quatro categorias estão
alinhados com a missão e estão sendo alcançados.
A comunicação eficaz de cima para baixo e de baixo
para cima em toda a entidade é essencial para facilitar
esse processo.

1.6 Limitações

1.6.1 Não importa o quão bem projetado e operado o

sistema é, A gestão de riscos da entidade não pode
fornecer à administração garantia absoluta em relação
ao alcance dos objetivos gerais. Em vez disso, este
suplemento reconhece que apenas um nível razoável
de garantia é obtido.

1.6.2 Garantia razoável equivale a um nível satisfatório de

confiança de que os objetivos serão alcançados
ou de que a administração será informada em tempo
hábil se os objetivos não forem alcançados.
Determinar quanta segurança é necessária para
atingir um nível satisfatório de confiança é uma
questão de julgamento. Ao exercer esse julgamento,
a administração precisará considerar o apetite de risco
da entidade e os eventos que podem afetar o alcance
dos objetivos.

12
Machine Translated by Google

1.6.3 Segurança razoável reflete a noção de que

a incerteza e o risco dizem respeito ao futuro, que
ninguém pode prever com certeza. Além disso, fatores
fora do controle ou influência de uma entidade, como
fatores políticos, podem afetar sua capacidade de atingir
seus objetivos. No setor público, fatores fora do controle
de uma entidade podem até mesmo alterar os objetivos
principais em um curto espaço de tempo. As limitações
também resultam das seguintes realidades: que o
julgamento humano na tomada de decisões pode ser
falho; que as avarias podem ocorrer devido a falhas
humanas, como simples erros ou falhas; que as decisões
sobre resposta a riscos e estabelecimento de controles
precisam considerar os custos e benefícios relevantes; e
que os controles podem ser contornados por conluio entre
duas ou mais pessoas e a administração pode anular o
sistema de controle. Essas limitações impedem a
administração de ter garantia absoluta de que os objetivos
serão alcançados. A Figura 1 apresenta alguns dos riscos
que normalmente podem ser enfrentados. Destina-se a ser
ilustrativo e não
exaustivo.

13
Machine Translated by Google

Figura 1: Alguns Riscos Típicos que Entidades Governamentais

Face?

Mudanças econômicas como Falha em Perda ou

menor crescimento econômico inovar apropriação indébita

reduzir a arrecadação de impostos e levando a de fundos através

oportunidades para fornecer um abaixo do padrão fraude ou

gama mais ampla de serviços ou

Ambiental Inconsistente

dano causado política

por falha de Objetivos

regulamentos ou resultando em

governo

Atrasos no projeto Alcançando o serviço

Falha em
custos excedentes Entrega
medir
e
desempenho
inadequado

Falha em
inadequado
monitor
planos de serviço
implementação
manter

continuidade de

Falha ao avaliar risco técnico -

inadequado Falha de pilotar corretamente falha em manter o ritmo

habilidades ou empreiteiros, projetos antes de um com técnico

recursos para parceiros ou outros novo serviço é desenvolvimentos, ou

entregar governo introduzido pode investimento em

serviços como agências para fornecer resultar em problemas inapropriado ou

14
Machine Translated by Google

1.7 Vínculo entre Controle Interno

e Gestão de Riscos de Entidades
1.7.1 Em muitos aspectos, o gerenciamento de riscos da
entidade pode ser considerado uma evolução
natural do modelo de controle interno. A maioria
das organizações buscará aplicar integralmente o
modelo de controle interno antes de implementar
os conceitos inerentes ao gerenciamento de riscos
da Entidade. O controle interno é parte integrante
da gestão de riscos da entidade. A estrutura de
gerenciamento de risco da entidade abrange o
controle interno, mas, além disso, forma uma
conceituação mais robusta de como as decisões de
negócios de uma entidade devem se enquadrar em
sua missão principal e objetivos associados e
fornece uma ferramenta para gerenciamento para
ajudá-los a determinar qual a resposta correta para
um determinado evento deve ser. O modelo ERM vai
além das Diretrizes de Controle Interno da INTOSAI em várias áreas, em particular:

•
as categorias de objetivos são mais amplas e
também incluem relatórios mais completos,
informações não financeiras, objetivos estratégicos;

• expande o componente de avaliação de risco e

introduz diferentes conceitos de risco, como apetite
ao risco, tolerância ao risco, resposta ao risco; e

• enfatiza a importância dos conselheiros

independentes no conselho e detalha suas
funções e responsabilidades.

15
Machine Translated by Google

C capítulo 2:

C componentes da Entidade

Gerenciamento de riscos

O gerenciamento de riscos da entidade consiste em oito

componentes inter-relacionados. Estes são derivados da
forma como a gestão conduz um negócio e estão integrados
com o processo de gestão. Os componentes são:

• Ambiente interno

• Definição de objetivos
• Identificação do evento

• Avaliação de riscos
• Resposta a riscos
• Atividades de controle

• Informação e comunicação

• Monitoramento
Ao aplicar os componentes do gerenciamento de riscos da
entidade, uma entidade deve considerar todo o escopo de suas
atividades em todos os níveis da organização. A administração
também deve considerar novas iniciativas e projetos usando a
estrutura de gerenciamento de riscos da Entidade.

16
Machine Translated by Google

Aplicação do Gerenciamento de Riscos da

Entidade em toda a Entidade

A administração é obrigada a ter uma visão de portfólio de risco.

Com efeito, todos os níveis de gestão terão de considerar os eventos
que podem ter impacto nas suas áreas de actividade e transmiti-los
à gestão de topo. Esta avaliação pode ser qualitativa ou quantitativa.
A alta administração deve usar essas avaliações em todos os níveis
e áreas de negócios da entidade para construir uma avaliação de
nível de entidade do portfólio de risco geral da organização.

Importância das Pessoas

O gerenciamento de riscos da entidade é implementado e feito para

funcionar de forma eficaz pela administração de uma entidade e outro pessoal.
É realizado pelo que os indivíduos dentro de uma
organização fazem e dizem. Da mesma forma, o gerenciamento de
riscos da entidade afeta as ações das pessoas. Cada funcionário é
um indivíduo com diferentes competências e compreensão. A gestão
de riscos da entidade procura fornecer os mecanismos para permitir
que os funcionários entendam o risco no contexto dos objetivos da
entidade.

Os membros da equipe devem conhecer suas responsabilidades

e os limites de sua autoridade. Assim, deve existir uma ligação
clara e concisa entre os deveres de um indivíduo e a forma como
são executados. A alta administração fornece principalmente
supervisão. No entanto, eles também fornecem orientação,
aprovam estratégias e aprovam certas transações e políticas,
desempenhando assim um papel vital na aplicação da cultura
organizacional.

17
Machine Translated by Google

2.1 Ambiente/contexto de risco

2.1.1 O ambiente/contexto de risco engloba o tom de uma

organização, influenciando a consciência de risco
de todos os seus funcionários e, é a base para todos
os outros componentes da gestão de risco da
Entidade, fornecendo disciplina e estrutura.
Os fatores do ambiente interno incluem a filosofia
de gerenciamento de risco de uma entidade; seu
apetite de risco; supervisão pelo conselho de
administração; integridade e valores éticos;
competência do pessoal; e a forma como a
administração atribui autoridade e responsabilidade e organiza e desenvolve a equipe.

2.1.2 A filosofia de gestão de risco de uma entidade é o conjunto

de crenças e atitudes compartilhadas que definem
como a entidade considera o risco em tudo o que faz,
desde a definição da estratégia até as atividades
operacionais do dia a dia. Influencia a cultura e o
estilo operacional, incluindo como os riscos são
identificados, o tipo de riscos aceitos e como eles
são gerenciados. A filosofia de gestão de riscos de
uma entidade deve ser capturada em declarações de
políticas, comunicações orais e escritas para as
partes interessadas e funcionários e na tomada de
decisões. Independentemente do método de
comunicação, é de importância crítica que a alta
administração reforce a filosofia, não apenas por meio
da comunicação de políticas, mas também por meio de ações cotidianas.

2.1.3 Apetite ao risco é a quantidade de risco em um

nível amplo que uma entidade está disposta a aceitar
na busca de atingir seus objetivos. Ele reflete a
filosofia de gerenciamento de riscos e, por sua vez,
influencia a cultura e o estilo operacional da entidade.
O apetite ao risco pode ser considerado quantitativa
ou qualitativamente. Deve ser considerado na
definição da estratégia, onde o retorno desejado de uma estratégia

18
Machine Translated by Google

deve estar alinhada com o apetite ao risco, ou seja,

a vontade de aceitar ou tolerar o risco.

2.1.4 Além disso, ao identificar o ambiente de

risco e selecionar um apetite de risco apropriado,
as entidades do setor público precisam considerar
a "Entidade estendida". As opiniões e expectativas
de organizações patrocinadoras e patrocinadas,
sejam elas outros órgãos governamentais ou
legisladores, e as opiniões de organizações parceiras
podem dar uma orientação clara quanto a uma
filosofia de gerenciamento de risco e apetite de risco
adequados.

2.1.5 A alta administração de uma entidade é parte crítica do

ambiente interno e influencia significativamente seus
elementos. É um truísmo que
a cultura organizacional pode ser definida ou ser
fatalmente prejudicada pelo "tom no topo". A
independência da administração sênior em relação
à administração executiva, a experiência e a estatura
dos membros, a extensão do envolvimento e escrutínio
e a adequação de suas atividades desempenham um papel importante.
Os membros da alta administração executiva podem
fazer parte da alta administração, mas para que o
ambiente interno seja eficaz é aconselhável que a
equipe da alta administração contenha alguns membros
externos independentes. Isso ocorre porque a alta
administração deve estar preparada para responsabilizar
a administração executiva, questionando e examinando
as atividades e estando preparada para apresentar
pontos de vista alternativos.

2.1.6 A integridade da administração e os valores

éticos influenciam a forma como a estratégia e os
objetivos são implementados. Como a boa
reputação de uma entidade é tão valiosa, os
padrões de comportamento devem ir além do mero cumprimento de

19
Machine Translated by Google

padrões legais mínimos. O comportamento ético e a

integridade da gestão são subprodutos da cultura
corporativa, que inclui padrões éticos e comportamentais e
como isso é comunicado e aplicado. A alta administração
desempenha um papel fundamental na determinação da
cultura corporativa. Uma ênfase indevida em resultados de
curto prazo, em vez de alcançar a missão geral, pode
promover um ambiente interno inadequado.

2.1.7 Códigos formais de conduta são importantes e a base da

promoção de um tom ético apropriado. Canais de
comunicação ascendentes (ou procedimentos formais de
denúncia) onde os funcionários se sintam à vontade para
levar informações relevantes ao conselho também são
importantes.
No entanto, um código de conduta escrito não garante, por
si só, que os procedimentos sejam seguidos, mesmo que
todos os colaboradores tenham de comprovar que estão
cientes dos comportamentos esperados deles.
Igualmente importantes para a conformidade são as
penalidades resultantes para os funcionários que violarem o código.
As mensagens enviadas pela alta administração
rapidamente se tornam incorporadas à cultura
corporativa, de modo que "fazer a coisa certa" quando
confrontado com difíceis decisões de negócios
rapidamente se torna incorporado em toda a entidade.

2.1.8
A competência reflete o conhecimento e as
habilidades necessárias para executar as tarefas
atribuídas. Ele precisa ser apoiado por práticas de
recursos humanos referentes à contratação e promoção
de indivíduos adequados, indução, treinamento e
tratamento de baixo desempenho. A administração
precisa especificar níveis de competência para tarefas
específicas e traduzi-los em descrições de cargos
apropriadas para cargos específicos. É importante

20
Machine Translated by Google

reconhecer que pode existir um trade-off entre

competência e custo.

2.1.9 A estrutura organizacional de uma entidade fornece a estrutura

para planejar, executar, controlar e monitorar suas
atividades. A estrutura organizacional adotada será
adequada às necessidades do negócio. Alguns são
centralizados, outros descentralizados, alguns organizados
por localização geográfica e outros por função.
Qualquer que seja a estrutura, uma entidade deve
ser organizada de forma a permitir uma gestão eficaz
dos riscos e a desenvolver as suas atividades de forma
a atingir os seus objetivos.

2.1.10 Atribuição de autoridade e responsabilidade

envolve o grau em que indivíduos e equipes são
autorizados e encorajados a usar a iniciativa para
abordar questões e resolver problemas, bem como os
limites de sua autoridade. Os principais desafios são
garantir que todo o pessoal entenda os objetivos da
entidade e como suas ações contribuem para a
consecução desses objetivos e apenas delegar na medida
necessária para atingir os objetivos. A responsabilidade
é tão importante quanto a autoridade. O ambiente interno
é muito influenciado pelo grau em que os indivíduos
reconhecem que serão responsabilizados. Isso vale até o
chefe do executivo.

2.2 Estabelecimento de Objetivos

2.2.1 Os objetivos são definidos em um nível estratégico,

estabelecendo uma base para operações de nível inferior,
relatórios e objetivos de conformidade. Cada entidade
enfrenta uma variedade de riscos de fontes externas e
internas e uma pré-condição para eventos efetivos

21
Machine Translated by Google

identificação, avaliação de riscos e resposta a riscos é o

estabelecimento de objetivos. Os objetivos devem ser
estabelecidos antes que a administração possa identificar e
avaliar os riscos para sua realização e tomar as ações
necessárias para mitigar esses riscos.
Os objetivos estão alinhados com o apetite de risco
de uma entidade, o que impulsiona os níveis de tolerância ao
risco para a entidade.

2.2.2 A missão de uma entidade define em termos gerais o que a entidade

aspira alcançar. A administração define objetivos estratégicos,
formula estratégias e estabelece operações relacionadas. Os
objetivos estratégicos são metas de alto nível alinhadas e
que apóiam a missão da entidade. A estratégia implementada
para alcançar a missão e os objetivos relacionados tendem
a ser mais dinâmicos do que a missão e serão ajustados para
levar em conta as mudanças nas condições.

2.2.3 Apesar da diversidade de objetivos entre entidades, existem

certas categorias amplas que podem ser aplicadas. Todos os
objetivos cairão em um ou mais dos seguintes:

• Objetivos operacionais - Referem-se à eficácia e eficiência

das operações da entidade, incluindo metas de
desempenho e proteção de recursos contra perdas.
Quando usado em conjunto com relatórios públicos,
uma definição expandida de "salvaguarda de recursos/
ativos" pode ser usada: lidando com a prevenção ou
detecção e correção da apropriação indevida de fundos
públicos. Os objetivos de operações precisam refletir o
ambiente específico no qual a entidade funciona. Como
os objetivos de operações são o ponto focal para
direcionar os recursos alocados, se

22
Machine Translated by Google

eles não são claros ou mal concebidos, os

recursos podem ser mal direcionados.

• Objetivos do relatório - Referem-se ao

confiabilidade dos relatórios e pode envolver dados
financeiros e não financeiros. Embora os objetivos
do relatório também se relacionem com informações
preparadas para partes externas, o principal objetivo
de um relatório confiável é fornecer à administração
informações precisas e completas apropriadas para a
finalidade a que se destinam. Sem informações
precisas e completas, é muito difícil para a
administração tomar boas decisões.

• Objetivos de conformidade - Referem-se a

conformidade com as leis e regulamentos relevantes.
Os requisitos podem estar relacionados a
mercados, meio ambiente, bem-estar dos funcionários, etc.
Algumas entidades também precisarão cumprir os
objetivos de conformidade internacional.

2.2.4 A gestão eficaz do risco da entidade fornece

garantia razoável de que os objetivos operacionais,
de relatórios e de conformidade de uma entidade
estão sendo alcançados.

2.2.5 O apetite ao risco, estabelecido pela administração e pelo

conselho de administração, é um guia na definição da
estratégia e na avaliação da importância relativa dos
objetivos. Efetivamente, o apetite ao risco é o nível de
risco que uma entidade está preparada para aceitar ao
fornecer valor (na forma de serviços públicos) às partes
interessadas. Normalmente, qualquer uma das várias
estratégias diferentes pode ser projetada para atingir a
missão desejada, cada uma com riscos diferentes.
A administração deve selecionar a estratégia e

23
Machine Translated by Google

objetivos associados que melhor se ajustam ao apetite

de risco.

2.2.6 Tolerâncias de risco são os níveis aceitáveis de

variação em relação ao alcance dos objetivos.
Eles podem ser medidos por meio de metas de
desempenho. Freqüentemente, as metas de
desempenho são mais bem medidas nas mesmas
unidades que os objetivos relacionados. Operar dentro
das tolerâncias de risco fornece à administração maior
garantia de que a entidade permanecerá dentro de seu
apetite de risco e alcançará seus objetivos

2.3 Identificação do Evento

2.3.1 A administração identifica eventos potenciais que,

se ocorrerem, afetarão a entidade. Os eventos precisam
ser classificados se representam oportunidades ou se
podem afetar adversamente a capacidade da entidade
de implementar com sucesso a estratégia e atingir os
objetivos (riscos). Na identificação dos eventos, a
gestão considera uma variedade de fatores internos e
externos que podem dar origem a riscos e
oportunidades, no contexto de todo o escopo da
entidade.

2.3.2 Um evento é um incidente ou ocorrência proveniente de

fontes internas ou externas que afeta a implementação
da estratégia ou o alcance dos objetivos. Os eventos
podem ter um impacto positivo ou negativo ou ambos.
Os eventos variam do óbvio ao obscuro e os efeitos
do inconsequente ao altamente significativo.

No entanto, para evitar o esquecimento de eventos,

é melhor fazer a identificação do evento separada do

24
Machine Translated by Google

avaliação da probabilidade do evento

ocorrido e seu impacto.

2.3.3 A administração precisa entender as principais classes

de fatores internos e externos que conduzem os
eventos. Fatores externos podem incluir, mas não
estão limitados àqueles decorrentes de mudanças no
ambiente político, ambiente social e tecnológico e
questões econômicas que afetam a própria entidade
ou seus fornecedores.
Fatores internos decorrem de escolhas que
administração faz sobre a maneira como
funcionará. Isso pode incluir a infraestrutura da
entidade, em quantos locais ela opera, as habilidades e
competências do pessoal e como os sistemas de
informações de negócios operam.

2.3.4 As técnicas de identificação de eventos olham tanto para o

passado quanto para o futuro. As técnicas que se
concentram em eventos passados podem considerar
questões como relatórios e contas anuais, históricos de
inadimplência de pagamentos e relatórios internos. As
técnicas que se concentram em eventos futuros podem
considerar fatores como mudanças demográficas, novas
condições de mercado e mudanças esperadas no ambiente
político. As técnicas variam amplamente em seu nível de
sofisticação e automação e podem ser focadas em uma
visão de cima para baixo ou de baixo para cima dos eventos.

2.3.5 Os eventos muitas vezes não ocorrem isoladamente. Um

evento pode desencadear outro e os eventos podem

ocorrer simultaneamente. A administração deve entender
como os eventos se relacionam uns com os outros. Ao
avaliar os relacionamentos, pode ser possível determinar
para onde os esforços de gerenciamento de riscos são mais bem direcionados.

2.3.6 Também pode ser útil agrupar eventos potenciais

em categorias. Ao agregar eventos

25
Machine Translated by Google

horizontalmente na entidade e verticalmente nas

unidades operacionais, a administração pode obter
uma compreensão das relações entre os eventos.
O agrupamento de eventos também pode fornecer
algumas orientações sobre quais seriam as respostas
mais econômicas. Embora cada entidade desenvolva
seu próprio método de agrupamento de eventos,
existem ferramentas padrão, como o PEST Market Analysis2, que podem
servir de base.

2.4 Avaliação de riscos

2.4.1 A avaliação dos riscos permite que uma entidade

considere até que ponto os eventos potenciais têm
impacto na consecução dos objetivos. A administração
deve avaliar os eventos de duas perspectivas -
impacto e probabilidade - usando uma combinação
de técnicas quantitativas e qualitativas. Os impactos
positivos e negativos dos eventos podem ser
avaliados individualmente ou por categoria para seu
impacto em toda a entidade. Os riscos devem ser
avaliados de forma inerente e residual.

2.4.2 Embora o termo "avaliação de risco" às vezes

tenha sido usado em conjunto com uma atividade
única, no contexto do risco da entidade

2
A análise PEST é uma ferramenta útil para entender e
avaliar o impacto de fatores externos na realização dos
objetivos da entidade. PEST é um acrônimo para Fatores Políticos,
Econômicos, Sociais e Tecnológicos

26
Machine Translated by Google

gerenciamento, o componente de avaliação de

risco é uma interação contínua e iterativa de ações
que ocorrem em toda a entidade. O objetivo da
avaliação de riscos é identificar quais eventos são
suficientemente importantes e significativos para
serem o foco da atenção da administração.

2.4.3 A incerteza de eventos potenciais precisa

ser avaliada a partir das perspectivas de
probabilidade e impacto. A probabilidade representa
a possibilidade de um evento ocorrer em um
determinado período de tempo, enquanto o impacto
representa a escala do efeito que o evento terá na
capacidade da entidade de atingir seus objetivos. O
período de tempo durante o qual a administração
avalia a probabilidade deve ser consistente com o
horizonte de tempo da estratégia e objetivos
relacionados. Os riscos mais importantes são
aqueles com alta probabilidade de ocorrência e alto
impacto. Por outro lado, os riscos menos importantes
são aqueles com baixa probabilidade de ocorrência
e baixo impacto. O equilíbrio do foco da gestão
deve estar nos riscos de alta probabilidade e alto
impacto (consulte a Figura 2 abaixo). O resultado
final do processo será atribuir a cada risco uma
classificação de probabilidade e impacto. Algumas
entidades usam uma classificação alta-baixa, outras
um sistema de "semáforo" de vermelho, âmbar e
verde e outras uma medida quantitativa, como uma pontuação percentual.

27
Machine Translated by Google

Figura 2: Avaliação de Risco Simples e Matriz de Resposta

Alto Impacto/ Alto Impacto/

Baixa probabilidade Alta probabilidade

Plano de contingência

Ao controle Procedimentos

Significado

Baixo Impacto/ Baixo Impacto/

Baixa probabilidade Alta probabilidade

Tolerar Procedimentos de controle

Probabilidade

2.4.4 A metodologia de avaliação de riscos pode ser

quantitativa ou qualitativa. Pode ser baseado em
métodos objetivos ou subjetivos. Nem uma entidade
precisa empregar técnicas de avaliação comuns em
todas as áreas de negócios. No entanto, a administração
precisa estar ciente do viés humano ao avaliar riscos
e precisa garantir que todos os membros relevantes
da equipe tenham um entendimento comum do que
significa a terminologia de classificação para avaliar
riscos. Se isso não for feito, será difícil para a alta
administração avaliar a importância relevante dos
diferentes riscos.

2.4.5 Uma vez que os riscos tenham sido avaliados, as

prioridades de risco para a entidade devem surgir.
Se a exposição ao risco for inaceitável devido ao
apetite de risco da entidade, o risco deve ser
classificado como de alta prioridade ou "risco chave".
Os principais riscos devem receber atenção regular no nível mais alto da entidade.
As prioridades de risco específicas mudarão ao longo do tempo conforme

28
Machine Translated by Google

os objetivos da entidade mudam, as mudanças do

ambiente de risco e os principais riscos são abordados.

2.4.6 A avaliação de risco descrita acima refere-se ao 'risco

inerente'. Risco inerente é o risco para uma entidade
na ausência de quaisquer ações que a administração
possa tomar para alterar a probabilidade ou impacto
do evento. O risco residual é o risco que permanece depois
de considerar a resposta ao risco da administração, descrita
no próximo parágrafo.
A vantagem deste método é que permite às entidades
identificar os riscos que estão a ocupar tempo de
gestão que poderiam ser melhor gastos noutras questões
(por exemplo, porque o risco inerente tem uma
probabilidade baixa de ocorrer).

2.5 Resposta ao Risco

2.5.1 Tendo avaliado o risco relevante, a administração decide
como irá responder. As formas de abordar o risco
identificado incluem transferência de risco, tratamento
de risco, encerramento de atividades e tolerância ao risco.
Ao considerar sua resposta, a administração avalia o efeito
na probabilidade e impacto, bem como os custos e benefícios
de cada resposta, com o objetivo de selecionar uma resposta
que coloque o risco residual dentro da tolerância de risco
desejada.
A administração também deve identificar
quaisquer oportunidades que estejam disponíveis e adotar
uma visão de risco do portfólio de toda a entidade.

2.5.2 As respostas ao risco se enquadram nas

seguintes categorias:

• Compartilhamento/ transferência de risco - Redução da

probabilidade ou impacto do risco, transferindo ou
compartilhando de outra forma uma parte do risco. Esse

29
Machine Translated by Google

pode ser feito pelo seguro convencional ou

pagando um terceiro para assumir o risco de
outra forma. Esta opção é particularmente útil
na mitigação de riscos financeiros, riscos
patrimoniais e de terceirização de atividades.
No entanto, a maioria dos riscos não
será totalmente transferível. Em particular,
geralmente não é possível transferir o risco de
reputação, mesmo que a entrega de um serviço seja terceirizada.

• Redução/ Tratamento de Riscos - De longe o

maior número de riscos será tratado desta
forma. Ação é tomada para reduzir a
probabilidade de risco ou impacto ou ambos.
Isso normalmente envolve uma miríade de
decisões de negócios diárias, incluindo
procedimentos de controle discutidos com mais
detalhes na seção 2.6 e em Controles Internos - Estrutura Integrada.

• Evitar/ Terminar a Atividade - Sair das atividades

que dão risco ao risco. Embora as entidades do
setor público raramente consigam evitar a
entrega de um elemento central do programa,
evitar pode ser uma resposta útil ao considerar
se um novo método de prestação de serviços é
apropriado ou ao considerar se deve continuar
com um projeto específico.

• Aceitação/ Tolerância - Nenhuma ação é tomada

para mitigar a probabilidade ou impacto do
risco. Esta resposta sugere que nenhuma
resposta econômica foi identificada que reduziria
o impacto e a probabilidade a um nível aceitável
ou que o risco inerente já está dentro das
tolerâncias de risco. Tolerar o risco pode
obviamente ser complementado pelo planejamento
de contingência para lidar com os impactos que
surgirão se o risco for concretizado.

30
Machine Translated by Google

2.5.3 O modelo ERM enfatiza não apenas antecipar e gerenciar

riscos, mas também, dentro da mesma abordagem,
identificar oportunidades. Em qualquer situação, a
administração deve considerar oportunidades ou
eventos com impacto positivo e não apenas considerar
riscos ou eventos com impacto negativo. Existem dois
aspectos para isso: em primeiro lugar, ao mesmo
tempo em que se mitigam as ameaças, surge uma
oportunidade de explorar um impacto positivo; e, em
segundo lugar, considerar se surgiram ou não
circunstâncias que, embora não sejam geradoras de
ameaças, ofereçam oportunidades positivas.

2.5.4 A administração deve avaliar os efeitos dos vários

métodos de abordar o risco e, então, decidir a
melhor forma de gerenciar o risco, selecionando
uma resposta ou combinação de respostas projetadas
para trazer a probabilidade e o impacto do risco dentro
das tolerâncias de risco. A resposta selecionada não
precisa necessariamente resultar na menor quantidade
de risco residual, mas se a resposta resultar em um
risco residual que ainda exceda as tolerâncias de
risco, a administração precisará reconsiderar a
resposta ou reconsiderar as tolerâncias de risco.

2.5.5 A avaliação de respostas alternativas ao risco

inerente requer consideração sobre os riscos
adicionais que podem resultar de uma resposta.
Aqui é útil para a gerência sênior considerar as
respostas de uma perspectiva de portfólio, pois isso
lhes dá uma visão geral do perfil geral de resposta ao
risco e permite que eles considerem se a natureza e
os tipos de riscos residuais restantes são aqueles
que se encaixam na missão geral e no apetite ao risco.

2.5.6 Uma vez que a administração seleciona o método

preferido para lidar com o risco, ela precisa
desenvolver um plano de implementação. Uma parte crítica de cada

31
Machine Translated by Google

plano de implementação é atividades de controle para

garantir que a resposta ao risco seja realizada de forma eficaz.

2.6 Atividades de Controle

2.6.1 As atividades de controle são as políticas e procedimentos

que ajudam a garantir que as respostas aos riscos da
administração sejam executadas. Atividades de controle ocorrem
em toda a organização, em todos os níveis e em todas
as funções. Como as Diretrizes para Interno
Os Padrões de Controle para o Setor Público contêm
informações detalhadas sobre como estabelecer
controles eficazes, este adendo não pretende fazer
nada além de colocar os controles internos no contexto
da gestão de riscos da Entidade.

2.6.2 A gestão de risco da entidade vê as atividades de controle

como uma parte importante do processo pelo qual uma
entidade busca atingir seus objetivos de negócios.
As atividades de controle não são executadas
simplesmente por si mesmas ou porque parece a "coisa
certa a fazer", mas servem como mecanismos para
gerenciar a conquista dos objetivos de negócios.

2.6.3 Embora as atividades de controle geralmente sejam

estabelecidas para garantir que as respostas aos riscos
sejam realizadas adequadamente, com relação a certos
objetivos, as próprias atividades de controle são o risco
resposta. A seleção ou revisão das atividades de
controle precisa incluir a consideração de sua relevância
e adequação à resposta ao risco e aos objetivos
relacionados.

2.6.4 Como cada entidade tem seu próprio conjunto de

objetivos e abordagem de implementação, haverá
diferenças nas respostas a riscos e nas atividades de
controle relacionadas. Mesmo que duas entidades tenham o mesmo

32
Machine Translated by Google

objetivos e tomar decisões semelhantes sobre como

eles devem ser alcançados, as atividades de controle
resultantes provavelmente serão diferentes. Isso ocorre
porque diferentes equipes de gerenciamento terão
diferentes apetites e tolerâncias a riscos.

2.6.5 No entanto, no contexto da gestão de riscos, todos os

procedimentos de controle se enquadram em quatro grandes categorias:

• Os controles preventivos são projetados para limitar a

possibilidade de um risco amadurecer e um resultado
indesejável ser realizado. Quanto maior o impacto
do risco na capacidade de atingir os objetivos da
entidade, mais importante se torna a implementação
de controles preventivos apropriados.

• Os controles diretivos são projetados para garantir que

um determinado resultado seja alcançado. Eles são
particularmente importantes quando é fundamental
que um evento indesejável (como uma violação de
segurança) seja evitado, portanto, são frequentemente
usados para apoiar a conquista dos objetivos de
conformidade.

• Os controles de detecção são projetados para identificar

se resultados indesejáveis ocorreram "após o
evento". No entanto, a presença de controles de
detecção apropriados também pode mitigar o risco
de ocorrência de resultados indesejáveis, criando
um efeito de dissuasão.

• Os controles corretivos são projetados para corrigir

resultados indesejáveis que foram realizados.

Eles também podem atuar como uma contingência para

obter alguma recuperação de fundos ou capacidade de
manutenção contra perdas ou danos.

33
Machine Translated by Google

2.7 Informação e Comunicação

2.7.1 Há pouca diferença entre os requisitos de

qualidade dos dados usados para dar suporte
aos objetivos de controle interno e os requisitos de
qualidade dos dados usados para dar suporte ao
gerenciamento de riscos da Entidade. Como as
Diretrizes para Normas de Controle Interno para o
Setor Público contêm informações detalhadas sobre
os requisitos de informação e comunicação, este
adendo não pretende fazer mais do que colocar esses
requisitos no contexto da gestão de riscos da Entidade.

Informação

2.7.2 A gestão de risco da entidade exige especificamente

que uma entidade capture uma gama maior de
informações do que o necessário para atingir os
objetivos de controle interno, por exemplo, o foco
nos objetivos estratégicos requer mais informações
de saída e resultado. Além disso, o uso dado a esses
dados é ligeiramente diferente. Os dados históricos
permitem que a entidade acompanhe o desempenho
real em relação às metas, planos e expectativas e
podem fornecer avisos antecipados de eventos
potenciais que requerem atenção da administração. Os
dados presentes permitem que o gerenciamento tenha
uma visão em tempo real dos riscos existentes dentro
de uma unidade/processo de negócios e identifique
variações das expectativas. Isso pode permitir que a
entidade determine se está operando dentro das tolerâncias de risco.

2.7.3 As informações pertinentes devem ser

identificadas, capturadas e comunicadas de
uma forma e prazo que permitam que a equipe
desempenhe suas responsabilidades. A
comunicação eficaz também ocorre, fluindo para baixo, através e para cima da entidade.

34
Machine Translated by Google

Todo o pessoal deve receber uma mensagem clara

da alta administração de que as responsabilidades
de gerenciamento de riscos da Entidade devem ser
levadas a sério. Eles precisam entender seu próprio
papel no processo de gerenciamento de riscos da
Entidade e como isso se relaciona com o trabalho de outras pessoas.
O pessoal deve ter meios de comunicar informações
significativas a um nível apropriado de gerenciamento.
Também é preciso haver uma comunicação eficaz com
as partes interessadas externas.

2.7.4 Ter as pessoas certas com as informações

certas, na hora certa e no lugar certo, é essencial
para efetuar o gerenciamento de riscos da entidade.

Comunicação

2.7.5 A comunicação é inerente aos sistemas de

informação. Além de fornecer informações para

capacitar as pessoas adequadas para o desempenho
de suas funções, a comunicação deve ocorrer de
forma mais ampla, disseminando a cultura corporativa,
lidando com expectativas, abordando as
responsabilidades de indivíduos e grupos e outros
assuntos relevantes.

2.7.6 A administração fornece informações específicas e direcionadas

comunicação interna que aborda
expectativas comportamentais e as responsabilidades
do pessoal. Isso deve incluir uma declaração clara da
filosofia e abordagem de gerenciamento de risco da
entidade. A comunicação sobre processos e
procedimentos deve se alinhar e sustentar a cultura
desejada. A comunicação deve transmitir:

• A importância e relevância da gestão de riscos

da Entidade

35
Machine Translated by Google

• Os objetivos da entidade

• O apetite de risco e as tolerâncias de risco da entidade

• Uma linguagem comum para identificar e avaliar

riscos

• As funções e responsabilidades do pessoal na

execução e suporte dos componentes do
gerenciamento de riscos.
2.7.7 Também é necessário haver métodos para os
funcionários comunicarem informações baseadas em
risco para sua gerência de linha e em toda a organização.
Os funcionários da linha de frente que lidam com
questões operacionais críticas todos os dias geralmente
estão em melhor posição para reconhecer os problemas
à medida que surgem. Para que tais informações sejam
relatadas, deve haver canais de comunicação abertos e
uma vontade clara de ouvir. Se a cultura corporativa for
de "atirar no mensageiro", os funcionários não
comunicarão os problemas aos seus superiores e os
riscos podem não ser identificados em tempo hábil.

2.7.8 Na maioria dos casos, as linhas de comunicação

normais são os canais apropriados de comunicação ascendente.
No entanto, existem algumas circunstâncias em que
canais alternativos de comunicação (como alguma
forma de linha direta de denúncia) são necessários.
Pela sua importância, a gestão eficaz do risco da
Entidade exige a existência de um canal de comunicação
alternativo direto
para a alta administração e disponível para todos os
funcionários usarem sem medo de repercussão.

2.7.9 É preciso haver uma comunicação adequada não apenas

dentro da entidade, mas também com o exterior. É
importante comunicar externamente com as partes
interessadas sobre a forma como o

36
Machine Translated by Google

a entidade está gerenciando o risco para dar a eles

a garantia de que a entidade entregará o que é esperado
e para gerenciar as expectativas do que pode ser entregue.
Isso é particularmente importante em relação aos
riscos que afetam o público e onde o público depende
de seu governo para gerenciar o risco para eles.
A seriedade com que a comunicação com as partes
externas é levada e a honestidade dessa comunicação
também transmitem mensagens importantes para
toda a entidade e podem ter um impacto significativo
na cultura organizacional.

2.8 Monitoramento
2.8.1 A gestão de riscos da entidade deve ser monitorada
para avaliar o funcionamento de seus componentes
ao longo do tempo. Isso pode ser feito por meio de
atividades de monitoramento contínuo, avaliações
separadas ou uma combinação dos dois. Deficiências
no sistema de gestão de riscos da Entidade precisam
ser relatadas ao nível apropriado de gestão, com
assuntos graves relatados à alta administração ou ao
conselho para que a entidade aperfeiçoe seus
processos.

2.8.2 Os objetivos de uma entidade podem mudar

ao longo do tempo. O portfólio de riscos
enfrentados e sua importância relativa também
podem mudar ao longo do tempo. As respostas aos
riscos que antes eram eficazes podem se tornar
irrelevantes ou impossíveis de implementar, e as
atividades de controle podem se tornar menos
eficazes ou desaparecer completamente. A
administração precisa monitorar constantemente a
eficácia de seu sistema de gestão de riscos para
determinar se ainda é apropriado e eficaz.

37
Machine Translated by Google

2.8.3 Avaliações da eficácia do risco

o gerenciamento variará em escopo e frequência,
dependendo da importância dos grupos de riscos e da
importância das respostas aos riscos e controles
relacionados no gerenciamento desses riscos. Quando
a administração toma a decisão de realizar uma
avaliação abrangente da estrutura de gerenciamento de
riscos, a atenção deve ser direcionada para abordar
todos os aspectos do processo, incluindo a definição da
estratégia. No entanto, atividades regulares de
gerenciamento, como atualização de registros de riscos
e "verificações de integridade" organizacionais ou
funcionais, também fazem parte do monitoramento do
processo de gerenciamento de riscos.

38
Machine Translated by Google

Bibliografia

Australian Standard® para gerenciamento de riscos (Padrões da Austrália, 2004)

Entity Risk Management - Quadro Integrado (COSO, 2004)

Estrutura Integrada de Gestão de Riscos (Secretaria do Conselho do Tesouro do Canadá, 2001)

Controle Interno - Estrutura Integrada (COSO, 1992)

Norma de Gestão de Risco (ARMIC, IRM & ALARM, 2002)

The Orange Book: Management of Risk - Princípios e Conceitos (HM Treasury, 2004)