GESTÃO DE RISCOS E CONTROLES INTERNOS NO SETOR PÚBLICO

Objetivo geral

Apresentar os conceitos necessários à

implementação da estrutura de gestão de riscos
e controles internos com vistas ao atingimento
dos objetivos organizacionais
Agenda

• Governança pública e gestão de riscos

• Histórico e conceitos fundamentais
• Estrutura e funcionamento
• Frameworks referenciais
• Legislação aplicável
• Relação entre Governança, Gestão de Riscos e
Controles Internos
Agenda
• Processo de Gestão de Riscos
- Estabelecimento do Contexto
- Identificação:
o dos Riscos
o Causas e Consequências
- Avaliação dos Riscos
o Probabilidade e Impacto
o Risco Inerente e Risco Residual
- Tratamento
- Comunicação, Monitoramento, Relato
Agenda

• Controles internos
- Processo de controle interno - COSO
- Ambiente de controle
- Avaliação de riscos
- Atividades de controle
- Informação e comunicação
- Monitoramento
Agenda

• Responsabilidade de gestores e auditores

- Modelo das Três Linhas
- Auditoria interna
• Atributos de uma Gestão de Riscos avançada
CONTEXTO
Mundo VICA

• Volátil
• Incerto (uncertain)
• Complexo
• Ambíguo

Mundo em
Transformação
Governança pública

Decreto n° 9.203/2017.
Governança Pública: conjunto de
mecanismos de liderança,
estratégia e controle postos em
prática para avaliar, direcionar e
monitorar a gestão, com vistas à
condução de políticas públicas e à
prestação de serviços de
interesse da sociedade;
Guia da Política de Governança Pública. E Referencial Básico de Governança- TCU
Disponível em: https://www.gov.br/casacivil/pt-br/centrais-de-conteudo/downloads/guia-
da-politica-de-governanca-publica
Governança pública

GOVERNANÇA COORPORATIVA*

“Governança corporativa é o sistema pelo qual as empresas e demais organizações

são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre
sócios, conselho de administração, diretoria, órgãos de fiscalização e controle e
demais partes interessadas.

As boas práticas de governança corporativa convertem princípios básicos em

recomendações objetivas, alinhando interesses com a finalidade de preservar e
otimizar o valor econômico de longo prazo da organização, facilitando seu acesso a
recursos e contribuindo para a qualidade da gestão da organização, sua longevidade
e o bem comum.”
Governança pública

Banco Mundial e a "Boa Governança"

Processo por meio do qual atores estatais e

não estatais interagem para formular e implementar
políticas dentro de um conjunto predefinido de
regras formais e informais que moldam e são moldadas
pelo poder”
Banco Mundial: Relatório de Desenvolvimento Mundial 2017:

Política Pública:

Num sentido mais amplo, pode ser entendida como o

que o governo escolhe ou não fazer.¹ Modernamente,
este conceito foi estendido para todas as atividades
realizadas pelo governo que influenciam a vida dos
cidadãos².
Governança pública

“Tudo o que uma

instituição pública faz
para assegurar que sua
ação esteja direcionada
para objetivos
alinhados aos
interesses da
sociedade.”
Guia da Política de Governança
Pública.
Governança pública
Governança pública
Governança pública Evolução do Governança Pública
Brasil

1976 1988 2001 2007 2014 2016 2017 2019

Lei 6.404/76 IGC Criação do Referencial de IG-SEST

Lei das SA Indice Gov IGG TCU Governança Lei 13.303 Lei 13848
CF 88 Decreto
Coorporativa TCU Decreto 8.945 Ag.Reg
BV
9.203
Governança pública

Conjunto de mecanismos de liderança, estratégia e controle postos em

prática para avaliar, direcionar e monitorar a gestão, com vistas à condução
de políticas públicas e à prestação de serviços de interesse da sociedade

Fonte: Decreto nº 9.203/2017

TCU - Referencial Básico de Governança, 2014
Governança pública

Fonte: TCU - Referencial Básico de Governança, 2020

Governança pública

Fonte: TCU - Referencial Básico de Governança, 2020

Governança pública

Fonte: TCU - Referencial Básico de Governança, 2020

Governança pública

Fonte: Decreto nº 9.203/2017

TCU - Referencial Básico de Governança, 2014
Legislação aplicável

• IN MP/CGU nº 1/2016 (Governança, Gestão de Riscos e Controles)

• Lei nº 13.303/2016 (Estatais)
• IN CGU nº 3/2017 (Referencial Técnico da Auditoria Interna Governamental)
• Decreto nº 9.203/2017 (Política de Governança)
• Lei nº 14.129/2021 (Governo Digital)
• Lei nº 14.133/2021 (Licitações e Contratos)
Legislação aplicável
Lei nº 14.129/2021

Art. 48. Os órgãos e as entidades (...) deverão estabelecer, manter, monitorar e aprimorar sistema de
gestão de riscos e de controle interno com vistas à identificação, à avaliação, ao tratamento, ao
monitoramento e à análise crítica de riscos (...) que possam impactar a consecução dos objetivos da
organização no cumprimento de sua missão institucional e na proteção dos usuários, observados os
seguintes princípios:

I - integração da gestão de riscos ao processo de planejamento estratégico e aos seus

desdobramentos, às atividades, aos processos de trabalho e aos projetos em todos os níveis da
organização, relevantes para a execução da estratégia e o alcance dos objetivos institucionais;

II - estabelecimento de controles internos proporcionais aos riscos, de modo a considerar suas causas,
fontes, consequências e impactos, observada a relação custo-benefício;

III - utilização dos resultados da gestão de riscos para apoio à melhoria contínua do desempenho e dos
processos de governança, de gestão de riscos e de controle;

(...)
Princípios da GR
Decreto n° 9.203/2017, art. 17

I - implementação e aplicação de forma sistemática, estruturada, oportuna e

documentada, subordinada ao interesse público;

II - integração da gestão de riscos ao processo de planejamento estratégico e [demais

processos de gestão] relevantes para a execução da estratégia e o alcance dos
objetivos institucionais;

III - estabelecimento de controles internos proporcionais aos riscos...;

IV - utilização dos resultados para apoio à melhoria contínua do desempenho e dos

processos de GR, controle e governança.
Legislação aplicável
IN MP/CGU n° 1/2016

IN Conjunta MP/CGU • Princípios

Controles Internos • Objetivos
da Gestão • Estrutura
• Responsabilidades
nº 01/2016
• Princípios
• Objetivos
Gestão de Riscos • Estrutura
• Política de Gestão de Riscos
• Responsabilidades

Governança • Princípios
Objetivos da GR

Permitir o TRATAMENTO adequado dos

EVENTOS (riscos e oportunidades) que
possam ameaçar o atingimento dos
OBJETIVOS do processo ou da organização
Benefícios da GR
NBR ISO 31000:2018

• Cria e protege valor

• Melhoria da performance
• Encoraja a inovação
• Aumenta a probabilidade de alcance dos objetivos
• Melhor alocação dos recursos
• Proporciona base confiável para a tomada de decisão
• Melhora a governança
• Melhora a confiança das partes interessadas
CONCEITOS FUNDAMENTAIS
Objetivo

Meta ou propósito que se deseja

alcançar de forma a se obter êxito no
cumprimento da missão e no alcance
da visão de futuro da organização

Pra Onde?
Objetivo
Risco

Efeito da incerteza nos objetivos

Controles

Medidas tomadas pela gestão com vistas a

enfrentar os riscos e fornecer segurança
razoável de que os objetivos serão
alcançados
Framework

Conjunto de conceitos e boas práticas

usados para orientar as atividades
relacionadas a um domínio específico
Framework Princípios
NBR ISO 31000:2018
Framework
COSO ICIF (2013)
Framework
COSO ERM (2017)
Framework
HM Treasury: Orange Book Macro
Ambiente

Organização
Estendida

Organização
Identificar
o Contexto
e os Riscos

Comunicação Comunicação
e Aprendizado Analisar e e Aprendizado
Estratégia
Implementar Avaliar
Monitorar e Programas os riscos
Controlar
Projetos e Atividades

Planejar
Respostas

Expectativas de
Cidadãos e
Sociedade
Política de GR

Declaração das intenções,

comprometimento e diretrizes gerais de
uma organização relacionadas à gestão
de riscos
Política de GR

Propósito da organização em relação à GR

Ligação entre objetivos da organização e da GR
Integração da GR com a tomada de decisão
Autoridade, Responsabilidade e Accountability
Tratamento de conflitos de interesse
Recursos
Medição e reporte do desempenho
Análise crítica e melhoria contínua

NBR ISO 31000:2018

Política de GR
Portaria CGU nº 915/2017 – PGR da CGU

Princípios Objetivos Processo Competências

• Agregar/proteger valor • Entendimento do • Comitê de
• Subsidiar tomada de • Alcance dos objetivos contexto Governança Interna
decisões • Gestão proativa • Análise dos riscos • Comitê Gerencial de
• Melhores informações • Conformidade • Avaliação dos riscos Riscos e Integridade
disponíveis • Melhorar a • Priorização dos riscos • Núcleo de Gestão de
• Transparente e governança • Respostas aos riscos Riscos
inclusiva • Prevenir perdas • Comunicação e • Proprietários dos
• Dinâmica e interativa monitoramento Riscos
• Adaptar a mudanças
• Integrada às • ...
oportunidades e à
inovação
• ...
Política de GR
PGR da CGU - Responsabilidades

Nível - Comitê de Governança Interna

Estratégico

- Comitê Gerencial de Riscos e Integridade

Nível Tático
- Núcleo de Gestão de Riscos

Nível - Responsáveis pelos Processos

Operacional - Servidores
Metodologia

Explicação minuciosa, detalhada,

rigorosa e exata de toda ação
desenvolvida no método (caminho) de
trabalho
PROCESSO DE GESTÃO DE RISCOS
Processo de GR
Etapas

Metodologia de GR - CGU
Processo de GR
Entendimento do contexto

Descrição do processo
Fluxo (mapa) do processo (se houver)
Objetivos do processo organizacional
Ligação com os objetivos estratégicos
Leis e regulamentos relacionados ao processo
Ciclo médio do processo
Sistemas tecnológicos que apoiam o processo
Partes interessadas, internas ou externas
Contextos interno e externo
Processo de GR
Entendimento do contexto

Missão Visão

Stakeholders Valores

Objetivos
Processo de GR
Entendimento do contexto

• Político
• Social
• Orçamentário/
financeiro
• Legal/regulatório
• Tecnológico
Processo de GR
Entendimento do contexto

A Shell usa cenários desde o começo

da década de 1970 para permitir que
gerações de líderes tomem as
melhores decisões de negócios.
shellbrasil.com.br

05ago2019
Processo de GR
Identificação e análise dos riscos

A identificação de riscos envolve a

identificação das fontes de risco, eventos, Brainstorm Método Delphi
suas causas e suas consequências potenciais
Mapeamento de Processos Matriz SWOT
(NBR ISO 31000:2009)
Processo de GR
Identificação e análise dos riscos

• EVITAR

Que eventos podem...
• IMPEDIR
Documentos de apoio:
- Organograma
• ATRASAR - Opinião de especialistas
- Dados históricos
- Relatórios de auditoria
• PREJUDICAR - Fluxograma do processo

... o atingimento de um ou
mais objetivos do processo?

CEO
Reclamação
Processo de GR
Identificação e análise dos riscos

Fonte: ISO 31010:2009

Processo de GR
Identificação e análise dos riscos

Para os eventos de riscos identificados, deve-se indicar:

• Objetivo do processo/etapa impactado pelo risco
• Categoria do risco:
o Operacional
o Legal
o financeiro/orçamentário
o integridade
Processo de GR
Identificação e análise dos riscos

Análise e Revisão
O evento é um risco que pode comprometer claramente um
objetivo do processo?
O evento é um risco ou uma falha no desenho do processo?

À luz dos objetivos do processo, o evento é um risco ou uma

causa/consequência de um risco?
O evento é um risco ou uma fragilidade de controle para tratar
um risco do processo?
Processo de GR
Identificação e análise dos riscos

Principais Erros
Negativa do Objetivo:
Não selecionar a proposta mais vantajosa
Descrição Genérica:
Falhas na alimentação do processo
Ótica do Terceiro:
Licitante apresentar informação inidônea
Ótica do Controle:
Analista não realizar as conferências exigidas
Processo de GR
Identificação e análise dos riscos
Diagrama Bow Tie

CAUSA CONSEQUÊNCIA

CAUSA EVENTO CONSEQUÊNCIA

CAUSA CONSEQUÊNCIA

Fonte: ISO 31010:2009

Vamos praticar?

Identificação:
- Objetivo(s) do Processo
- 3 Eventos de Risco

Caminhão BR
Processo de GR
Causa

Situações ou fatos que podem promover a

ocorrência do risco
Processo de GR
Causa - Fontes

Pessoas Sistemas Eventos Externos

Processos Infraestrutura Tecnologia

Processo de GR
Causa - Vulnerabilidades

FONTE VULNERABILIDADE
Insuficiente; Sem capacitação; Perfil inadequado; Sem motivação,
Pessoa
Rotatividade; Desvio ético
Mal estruturado; Ineficiente; Redundante; Imaturo; Sem
Processo
transparência
Obsoleto; Não integrado; Segurança inadequada; Baixo grau de
Sistema
automação
Ultrapassada; Alto custo; Baixa acessibilidade; Alta complexidade;
Tecnologia
Sem compatibilidade
Infraestrutura Inadequada; Ineficiente; Precária; Inacessível
Eventos
Desastre natural; Crise econômica; Crise política;Fonte:
Crise sanitária
externos MOT (CGU), adaptado
Processo de GR
Causa

Fragilidades nos controles estabelecidos para mitigar

um risco NÃO devem ser tratadas como causa
primária desse risco
Processo de GR
Consequência

Resultado da materialização de um evento

que afeta os objetivos
(NBR ISO 31000:2009)
Processo de GR
Descrição de riscos

Devido a <CAUSAS/FONTES>, poderá acontecer

<DESCRIÇÃO DA INCERTEZA>, o que poderá levar a
<DESCRIÇÃO DO IMPACTO/CONSEQUÊNCIA/EFEITO>
impactando no/na <DIMENSÃO DE OBJETIVO IMPACTADA>
Fonte: TCU, 2013
Processo de GR
Descrição de riscos

Devido a falhas no sistema de climatização, poderá

ocorrer superaquecimento dos equipamentos de
informática, gerando instabilidade dos servidores de
rede, acarretando em indisponibilidade de sistemas e
informações da unidade
Vamos praticar?

Identificação para cada risco:

- 2 causas
- 2 consequências
Processo de GR
Avaliação dos riscos: Probabilidade X Impacto

CAUSAS PROBABILIDADE

CONSEQUÊNCIAS IMPACTO
Processo de GR
Avaliação dos riscos: Critérios

Avaliação do Risco

Desenvolver Avaliar a
Identificar Avaliar Priorizar Responder
Critérios de Interação
Riscos Riscos Riscos ao Risco
Avaliação dos Riscos

Fonte: COSO, 2012

Termos de referência contra os quais a

significância de um risco é avaliada
(NBR ISO 31000:2009)
Processo de GR
Avaliação dos riscos: Critérios

Qualitativo Quantitativo
Processo de GR
Avaliação dos riscos: Critérios

Comparação entre as técnicas de mensuração do risco

Técnica Vantagens Desvantagens
• Relativamente rápida e fácil • Provê diferenciação limitada entre os níveis de risco
(ex: muito alto, alto, médio e baixo)
• Fácil compreensão, não requer treinamento em técnicas
sofisticadas de análise • Imprecisa - riscos situados no mesmo nível podem
Qualitativa • Permite avaliações que não se restringem a impacto apresentar diferenças consideráveis no valor de seus
financeiro e probabilidade, como vulnerabilidade, critérios
velocidade e persistência do impacto, segurança, • Limitação quanto à análise de custo-benefício das
reputação, etc respostas ao risco

• Permite agregação numérica considerando interações

dos riscos • Requer tempo e recursos, especialmente na construção
• Permite análise de custo-benefício na escolha das do modelo de avaliação
respostas ao risco • Pode implicar em precisão maior que a realidade devido
Quantitativa
• Permite que a alocação do capital seja baseada no risco, às incertezas dos valores de entrada
visando um retorno ideal • Presunções podem não ficar claras
• Permite computar a necessidade de capital para manter • Pode resultar na negligência de impactos qualitativos
a solvência da organização em condições extremas

Fonte: COSO, 2012

Processo de GR
Avaliação dos riscos: Probabilidade

Chance de algo acontecer

(NBR ISO 31000:2009)
Processo de GR
Avaliação dos riscos: Critérios de probabilidade (CGU)

Probabilidade Descrição da probabilidade Peso

Improvável. Em situações excepcionais, o evento poderá até
Muito baixa ocorrer, mas nada nas circunstâncias indica essa possibilidade 1

Rara. De forma inesperada ou casual, o evento poderá ocorrer,

Baixa pois as circunstâncias pouco indicam essa possibilidade 2

Possível. De alguma forma, o evento poderá ocorrer, pois as

Média circunstâncias indicam moderadamente essa possibilidade 3

Provável. De forma até esperada, o evento poderá ocorrer,

Alta pois as circunstâncias indicam fortemente essa possibilidade 4

Praticamente certa. De forma inequívoca, o evento ocorrerá,

Muito alta as circunstâncias indicam claramente essa possibilidade 5
Processo de GR
Avaliação dos riscos: Critérios de probabilidade (MP)

Probabilidade
Processo de GR
Avaliação dos riscos: Impacto

Expressão de gravidade da materialização de

um evento de risco
Processo de GR
Avaliação dos riscos: Critérios de impacto (CGU)

Impacto Impacto nos objetivos Peso

Mínimo impacto nos objetivos (estratégicos, operacionais,
Muito baixo de informação/comunicação/ divulgação ou de 1
conformidade)
Baixo Pequeno impacto nos objetivos (idem) 2
Moderado impacto nos objetivos (idem), porém
Médio 3
recuperável
Significativo impacto nos objetivos (idem), de difícil
Alto 4
reversão
Catastrófico impacto nos objetivos (idem), de forma
Muito Alto 5
irreversível
Processo de GR
Avaliação dos riscos: Critérios de impacto

Fonte: COSO, 2012

Processo de GR
Avaliação dos riscos: Critérios de impacto

Fonte: COSO, 2012

Processo de GR
Avaliação dos riscos: Critérios de impacto (MP)
Processo de GR
Avaliação dos riscos: Critérios de impacto (CGU)
Orçamentário/
Missão Institucional Imagem Institucional
Financeiro
II 10 – Imagem da CGU totalmente prejudicada, com
MI 10 – Após o ocorrido, um ou mais aspectos da OR 10
100% descrédito da maioria da sociedade. Atenção da mídia
missão institucional da CGU estariam em colapso ≥ R$ 25.000.000
nacional e internacional
MI 08 – Após o ocorrido, um ou mais aspectos da II 08 – Imagem da CGU fortemente prejudicada, com
OR 08
80% missão institucional da CGU apresentariam descrédito de boa parcela da sociedade. Atenção da mídia
≥ R$ 10.000.000 < 25.000.000
considerável retrocesso nacional e local
MI 06 – Após o ocorrido, um ou mais aspectos da II 06 – Imagem da CGU moderadamente prejudicada, com
OR 06
60% missão institucional da CGU apresentariam pequeno descrédito de uma parcela específica da sociedade.
≥ R$ 3.000.000 < 10.000.000
retrocesso Atenção da mídia local
MI 04 – Após o ocorrido, um ou mais aspectos da II 04 – Imagem da CGU levemente prejudicada, com
OR 04
40% missão institucional da CGU apresentariam evolução descrédito de uma pequena parcela da sociedade.
≥ R$ 1.000.000 < 3.000.000
tímida perto de seu potencial de crescimento Possível atenção da mídia
MI 02 – Após o ocorrido, um ou mais aspectos da II 02 – Imagem da CGU prejudicada apenas na visão dos
OR 02
20% missão institucional da CGU apresentariam evolução envolvidos, sem descrédito da sociedade. Improvável
< 1.000.000
um pouco aquém do esperado atenção da mídia
II 00 – Imagem da CGU se mantém intacta, seja pela baixa OR 00
MI 00 – Nenhuma abrangência dos efeitos na
0% gravidade, pelas ações possíveis de reparação, ou pela Sem impacto
missão da CGU
impossibilidade da sociedade vir a conhecer o fato financeiro/orçamentário
Processo de GR
Avaliação dos riscos: Nível de risco
Processo de GR
Avaliação dos riscos: Nível de risco
Processo de GR
Avaliação dos riscos: Nível de risco
Impacto

Probabilidade
Processo de GR
Avaliação dos riscos: Nível de risco
Processo de GR
Avaliação dos riscos: Outras visões do nível de risco
Processo de GR
Outras visões do nível de risco: Vulnerabilidade X Impacto

Terremoto Haiti – 2010 Terremoto Japão – 2016

Magnitude: 7.0 Magnitude: 7.0
Mortos: 250.000 Mortos: 16
Processo de GR
Outras visões do nível de risco: Critérios de vulnerabilidade

Fonte: COSO, 2012

Processo de GR
Outras visões do nível de risco: Velocidade do impacto
Processo de GR
Outras visões do nível de risco: Persistência do impacto

Fonte: O GLOBO, 2015

Processo de GR
Outras visões do nível de risco: Probabilidade X Impacto X
(Vulnerabilidade, Velocidade, Persistência)
Impacto

Probabilidade
Fonte: COSO, 2012
Processo de GR
Avaliação dos riscos: Risco inerente

É o risco intrínseco à atividade que está sendo realizada

Está presente no estado natural, antes da adoção de medidas
de resposta ao risco
Processo de GR
Avaliação dos riscos: Risco residual

É o risco remanescente após a adoção de

medidas de resposta ao risco
Porque avaliar riscos inerentes e riscos residuais?
Processo de GR
Avaliação dos riscos: Risco residual
Fator de
Nível Descrição
Avaliação
Controles inexistentes, mal desenhados ou mal
Inexistente 1
implementados, isto é, não funcionais
Controles têm abordagens ad hoc, tendem a ser aplicados
Fraco caso a caso, a responsabilidade é individual, havendo 0,8
elevado grau de confiança no conhecimento das pessoas
Controles implementados mitigam alguns aspectos do
risco, mas não contemplam todos os aspectos relevantes
Mediano 0,6
devido a deficiências no desenho ou nas ferramentas
utilizadas
Controles implementados e sustentados por ferramentas
Satisfatório adequadas e, embora passíveis de aperfeiçoamento, 0,4
mitigam o risco satisfatoriamente
Controles implementados considerados a “melhor prática”,
Forte 0,2
mitigando todos os aspectos relevantes do risco
Vamos praticar?

Avaliação do Risco INERENTE:

- - Impacto
- - Probabilidade
Processo de GR
Apetite a riscos

APETITE A RISCO
Nível de risco que uma organização está disposta a aceitar
Processo de GR
Apetite a riscos
OK OK

Fora do apetite! Fora do apetite!

Processo de GR
Apetite a riscos (CGU)
Classificação Ação necessária
Nível de risco dentro do apetite. Pode haver
oportunidades de maior retorno a serem exploradas
Risco Baixo
assumindo-se mais riscos, avaliando a relação custo x
benefício, como diminuir o nível de controles
Nível de risco dentro do apetite. Nenhuma medida
adicional é necessária, porém requer atividades de
Risco Médio monitoramento específicas e atenção da unidade na
manutenção de respostas e controles para manter o
risco nesse nível, ou reduzi-lo sem custos adicionais
Nível de risco além do apetite a risco. Qualquer risco
nesse nível deve ser comunicado ao dirigente máximo
Risco Alto da unidade e ter uma ação tomada em período
determinado. Postergação de medidas só com
autorização do dirigente máximo da unidade
Nível de risco muito além do apetite a risco. Deve ser
objeto de Avaliação Estratégica, comunicado ao CGE e
Risco Extremo ao dirigente máximo da unidade e ter resposta
imediata. Postergação de medidas só com autorização
do CGE
Exceção
Caso o risco seja priorizado para
implementação de medidas de tratamento,
deve haver justificativa da unidade e
aprovação do dirigente máximo
Caso o risco seja priorizado para
implementação de medidas de tratamento,
deve haver justificativa da unidade e
aprovação do dirigente máximo
Caso o risco não seja priorizado para
implementação de medidas de tratamento,
deve haver justificativa da unidade e
aprovação pelo dirigente máximo
Caso o risco não seja priorizado para
implementação de medidas de tratamento,
deve haver justificativa da unidade e
aprovação pelo dirigente máximo e pelo CGI
Apetite ao
Risco
Processo de GR
Tratamento dos riscos

RESPOSTAS AO RISCO = MITIGAR

ACEITAR
SÃO AÇÕES GERENCIAIS
DESTINADAS A
MODIFICAR O RISCO

COMPARTILHAR EVITAR
Processo de GR
Tratamento dos riscos

Aceitar Mitigar Compartilhar Evitar

• Risco dentro do • Requer medidas • Redução do • Descontinuar ou

apetite da de controle para impacto e/ou não iniciar as
organização reduzir causas probabilidade atividades que
• Não requer (probabilidade) mediante geram os riscos
medidas para e/ou transferência ou
reduzir consequências compartilhament
probabilidade e/ou (impacto) o de uma porção
impacto do risco
• Monitoramento • Exemplos:
para garantir o terceirização;
risco em nível seguros
aceitável
Controles internos
Plano de tratamento

O QUE? QUEM? COMO? QUANTO? QUANDO?

Medida de Unidade Unidades Responsável pela Como será Data Data

Risco Custo Previsto Situação
Tratamento Responsável Corresponsáveis Implementação implementado Início Término

Trata-se de um plano de ação para a implementação das medidas de tratamento dos riscos
do processo organizacional
Churrasco
Processo de GR
Comunicação

▪ processo contínuo
▪ fortalece o envolvimento da liderança
▪ possibilita que os responsáveis pelo GR e partes interessadas:

o compreendam os fundamentos para a tomada de decisão

o entendam as razões pelas quais ações específicas são requeridas
o desenvolvam senso de inclusão e propriedade em relação ao
processo de GR
Processo de GR
Monitoramento

▪ Parte integrante do processo de GR

▪ Responsabilidades devem ser claramente definidas
▪ Base para melhoria contínua do processo de GR
▪ Objetivos:
o assegurar que os controles operam de forma eficiente e eficaz
o possibilitar a análise das ocorrências dos riscos
o detectar mudanças que requeiram revisão dos controles e/ou do
plano de tratamento
o Identificar riscos emergentes
Processo de GR
Registro e relato

• Fornece os fundamentos para a melhoria dos processos, métodos e

ferramentas
• A adequada documentação do processo de GR possibilita:

o Rastreabilidade dos procedimentos realizados e decisões

tomadas
o Aprendizado contínuo
o Atendimento a requisitos legais, regulatórios, operacionais e
auditoria
Para que controles internos?
Controles internos
Pesquisa KPMG (2004): A fraude no Brasil

Causas
✔ Controles internos burlados: 26%
✔ Insuficiência no sistema de CI: 71%
Controles internos
COSO ICIF 2013

Abordagem SISTEMÁTICA e
DISCIPLINADA

É um processo INTEGRADO

É executado por PESSOAS

Auxilia o alcance de OBJETIVOS

Oferece SEGURANÇA RAZOÁVEL

Controles internos
IN MP/CGU nº 1/2016 – Art. 9º

Os controles internos da gestão devem ser estruturados para

oferecer segurança razoável de que os objetivos da
organização serão alcançados
A existência de objetivos claros é pré-requisito para a eficácia
do funcionamento dos controles internos da gestão

Caminhão
ALE
Controles internos
IN MP/CGU nº 1/2016 – Art. 12

• Estabelecimento
• Alta Administração
Internos da Gestão

• Manutenção
Responsabilidades
pelos Controles

• Gestores • Monitoramento
• Aperfeiçoamento

• Servidores e
• Operacionalização
Funcionários
Controles internos
IN MP/CGU nº 1/2016 – Art. 10

Objetivos:

I – dar suporte à missão, à continuidade e à sustentabilidade

institucional, pela garantia razoável de atingimento dos objetivos
estratégicos do órgão ou entidade

II – proporcionar a eficiência, a eficácia e a efetividade

operacional, mediante execução ordenada, ética e econômica
das operações
Controles internos
IN MP/CGU nº 1/2016 – Art. 10

III – assegurar que as informações sejam íntegras e confiáveis à

tomada de decisões, ao cumprimento de obrigações de transparência
e à prestação de contas

IV – assegurar a conformidade com leis e regulamentos aplicáveis,

incluindo normas, políticas, programas, planos e procedimentos de
governo e da própria organização

V – salvaguardar e proteger bens, ativos e recursos públicos contra

desperdício, perda, mau uso, dano, utilização não autorizada ou
apropriação indevida
Controles internos
COSO ICIF 2013

Processo conduzido pela estrutura de governança,

administração e outros profissionais da entidade,
desenvolvido para proporcionar segurança razoável
com respeito à realização dos objetivos relacionados a
operações, divulgação e conformidade
Controles internos
COSO ICIF 2013 Ambiente de controle
1. Aderência à integridade e a valores éticos
2. Competência da alta administração em exercer a
supervisão do desenvolvimento e do desempenho dos
controles internos da gestão
3. Coerência e harmonização da estrutura de
competências e reponsabilidades dos diversos níveis de
gestão do órgão ou entidade
4. Compromisso da alta administração em atrair,
desenvolver e reter pessoas com competências
técnicas, em alinhamento com os objetivos da
organização
5. Clara definição dos responsáveis pelos diversos
controles internos da gestão no âmbito da organização
Controles internos
COSO ICIF 2013

Valores éticos

Programa de integridade

Formação e desenvolvimento de colaboradores

Responsabilidade e supervisão dos controles internos pela alta direção

Estrutura organizacional e responsabilidades claramente definidas

Avaliação do desempenho e prestação de contas quanto aos controles internos

Controles internos
COSO ICIF 2013

Avaliação de riscos
6. Clara definição de objetivos que possibilitem o
eficaz gerenciamento de riscos
7. Mapeamento das vulnerabilidades que impactam
os objetivos, de forma que sejam adequadamente
identificados os riscos a serem geridos
8. A organização considera o potencial para fraude
na avaliação dos riscos à realização dos objetivos
9. Identificação e avaliação das mudanças internas e
externas ao órgão ou entidade que possam afetar
significativamente os controles internos da gestão
Controles internos
COSO ICIF 2013

Atividades de controle
10. Desenvolvimento e implementação de
atividades de controle que contribuam para a
obtenção de níveis aceitáveis de riscos
11. Adequado suporte de tecnologia da
informação para apoiar a implementação dos
controles internos da gestão
12. Definição de políticas e normas que
suportem as atividades de controles internos da
gestão
Controles internos
COSO ICIF 2013

Controles internos da gestão

Conjunto de regras, procedimentos, diretrizes, protocolos,

rotinas de sistemas informatizados, conferências e trâmites de
documentos e informações (...) destinados a enfrentar os riscos e fornecer
segurança razoável de que, na consecução da missão da entidade, os
seguintes objetivos gerais serão alcançados:
a - execução ordenada, ética, econômica, eficiente e eficaz das operações
b - cumprimento das obrigações de accountability
c - cumprimento das leis e regulamentos aplicáveis
d - salvaguarda dos recursos para evitar perdas, mau uso e danos

IN MP/CGU nº 1/2016
Controles internos
COSO ICIF 2013

Controles preventivos
(prévios)

• Finalidade de reduzir a materialização de

eventos de risco
• Agem sobre as causas, reduzindo a probabilidade de
ocorrência do risco

Exemplos: manuais, política de capacitação,

controles de alçada, controles de acesso,
segregação de funções
Controles internos
COSO ICIF 2013

Controles detectivos
(concomitantes)
• Identificam eventos de risco (efetivos ou
potenciais), sem impedir sua ocorrência
• Indicam desvios do padrão, alertando a gestão para adotar
ações corretivas tempestivamente

Exemplos: indicadores, avaliação de desempenho

operacional, reconciliações, cruzamento de bases de
dados
Controles internos
COSO ICIF 2013

Controles de correção ou
atenuação (subsequentes)

• Constituem medidas corretivas/retificadoras

aplicadas em resposta a eventos de risco materializados
• Atuam sobre as consequências potenciais, com vistas a
reduzir seu impacto
• Podem envolver ações de natureza punitiva ou
sancionatória, mas não se limitam a essa finalidade

Exemplos: extintores de incêndio, cinto de segurança,

coletes salva-vidas, back-up de dados

Paraquedas
Controles internos
COSO ICIF 2013

Informação e comunicação
13. Utilização de informações relevantes e de
qualidade para apoiar o funcionamento dos
controles internos da gestão
14. Disseminação de informações necessárias ao
fortalecimento da cultura e da valorização dos
controles internos da gestão
15. A organização comunica-se com os públicos
externos sobre assuntos que afetam o
funcionamento do controle interno
Controles internos
COSO ICIF 2013

Atividades de monitoramento
16. Realização de avaliações periódicas para
verificar a eficácia do funcionamento dos
controles internos da gestão
17. Comunicação do resultado da avaliação
dos controles internos da gestão aos
responsáveis pela adoção de ações
corretivas, incluindo a alta administração
Controles internos
COSO ICIF 2013

• Monitoramento Contínuo da Gestão

o Indicadores, supervisão hierárquica, etc.
o Revisão e supervisão por instâncias internas
específicas

• Avaliações Específicas
o Avaliações externas (consultores, especialistas)
o Auditoria interna
Controles internos
Limitações à eficácia dos controles internos

Custo

Eventos Erros de
Externos Julgamento

Conluio Colapsos
Controles internos
Desafios

- Falta de consciência (cultura) sobre as responsabilidades quanto ao

gerenciamento de riscos por meio de controles internos e outras respostas

- Resistência de unidades organizacionais e pessoas

- Falta de documentação de atividades/processos (políticas, manuais,

normas, fluxos)

- Falta de conhecimento do negócio e do ambiente interno e externo da

organização (contexto onde os objetivos são buscados)

Elevador
Vamos praticar?

Controles:
- Causas
- Consequências
Responsabilidades de gestores e auditores
Modelo das três linhas

Fonte: IIA (2020)

Modelo das três linhas

Princípios
Modelo das três linhas
Papéis

PAPÉIS DO
ÓRGÃO DE
GOVERNANÇA
Modelo das três linhas

Papéis
Modelo das três linhas
Papéis da
Papéis terceira linha
Em qual linha de defesa se enquadra a sua área de
atuação preponderante na entidade?
Auditoria interna governamental
Lei nº 14.129/2021, art 49
Independência e
Objetividade

Atributos
Governança
Gestão de Riscos Foco Serviços Avaliação e Consultoria
Controles Internos

Propósito

Agregar e
Proteger Valor
Auditoria interna governamental
Auditoria interna governamental
IN MP/CGU Nº 1/2016, art 2º, III

As auditorias internas (...) se constituem na terceira linha ou camada de defesa

das organizações, uma vez que são responsáveis por:

• avaliar a operacionalização dos controles internos da gestão (primeira

linha de defesa, executada por todos os níveis da gestão)

• supervisionar os controles internos (segunda linha de defesa, executada

por instâncias específicas)

• fornecer avaliações e assessoramento destinadas ao aprimoramento dos

controles internos, de forma que possam mitigar os principais riscos que
ameacem o alcance dos objetivos organizacionais
Auditoria interna governamental
Auditoria interna governamental
Papel da auditoria no gerenciamento de riscos

Fonte: IIA, 2009

Auditoria interna governamental
Papel da auditoria no gerenciamento de riscos

Revisar o gerenciamento dos principais riscos

Avaliar o processo de reporte dos principais riscos

Avaliar os processos de gerenciamento de riscos

Asseguração de que os riscos são corretamente estimados

Asseguração sobre o processo de GRC

Auditoria interna governamental
Papel da auditoria no gerenciamento de riscos

Facilitar a identificação e avaliação dos riscos

Orientar a administração na resposta aos riscos
Co-ordenar as atividades de GRC
Reporte consolidado sobre os riscos
Manter e desenvolver a estrutura do GRC
Defender a implantação do GRC
Desenvolver estratégia de GRC para aprovação do conselho
Auditoria interna governamental
Papel da auditoria no gerenciamento de riscos

Estabelecimento do apetite de risco

Impor processos de GRC

Asseguração gerencial sobre riscos

Tomada de decisão sobre respostas aos riscos

Implantar as respostas aos riscos em nome da administração

Reponsabildade (accountability) pelo GRC

Modelo das três linhas
Requisito fundamental

1ª
Linha
Hora de refletir...
 Gestão de riscos
Mitos e fatos

+
Trabalho

+ +
Custos Controles
Gestão
de Riscos

Só com Só com
Consultoria Sistemas

Fontenelle, 2017
Gestão de riscos
Atributos de uma gestão de riscos avançada

ATRIBUTOS POSSÍVEIS INDICADORES DE DESEMPENHO

Melhoria Contínua • Metas explicitas de desempenho

• Responsáveis pela gestão de riscos devidamente

Responsabilização integral
registrados em descrições de cargo/posição, em
pelos riscos
banco de dados ou sistemas de informação

Fonte: ABNT NBR ISO 31000:2009, Anexo A

Gestão de riscos
Atributos de uma gestão de riscos avançada

ATRIBUTOS POSSÍVEIS INDICADORES DE DESEMPENHO

• Registros de reuniões e decisões que demonstrem que

GR como base para o
discussões explícitas sobre os riscos ocorreram
processo de tomada de
• Representação dos componentes da gestão de riscos nos
decisão
processos-chave para a tomada de decisão na organização

• Reportes externos e internos, abrangentes e frequentes, sobre

Comunicação contínua os riscos significativos e sobre o desempenho da gestão de riscos

Integração da GR com a
• Importantes materiais escritos que utilizam o termo incerteza
estrutura de governança
em conexão com riscos
da organização
• Entrevista com gestores e evidência de suas ações e declarações

Fonte: ABNT NBR ISO 31000:2009, Anexo A

Oportunidades
 Controladoria-Geral da União – CGU
Secretaria Federal de Controle Interno – SFC
Coordenação-Geral de Métodos, Capacitação e Qualidade – CGMEQ
🕿 (61) 2020-7078
🖂 sfc.capacitacao@cgu.gov.br