Manual de Implantacao de Controles Internos

Manual de Implantação de Controles Internos - Clézio de Alcantara Santos
Licenciado para - Marcelo vicente da costa - 93865287115 - Protegido por Eduzz.com

Sumário
1. Introdução ............................................................................................................................................... 4
2. Conhecendo os Controles Internos ....................................................................................................... 5
2.1 O Sistema Organizacional Como Ambiente de Aplicação dos Controles Internos ..................... 5
2.2 A Iniciativa COSO, Origens e Áreas de Atuação ............................................................................... 6
2.2.1 A Regulação dos Controles Internos........................................................................................... 7
2.3 Componentes e Princípios de Controles Internos (COSO 2013) ..................................................... 8
2.4 Conceitos e Interfaces do Sistema de Controles Internos .............................................................10
2.5 Atribuições e Funções de Controles Internos ................................................................................. 11
2.6 Interação da Área de Controles Internos ........................................................................................ 12
2.6.1 Alta Administração/Governança ................................................................................................ 12
2.6.2 Compliance .................................................................................................................................. 13
2.6.3 Áreas de Negócios e Áreas de Suporte ..................................................................................... 13
2.6.4 Gestão de Riscos ......................................................................................................................... 13
2.6.5 Auditoria Interna ........................................................................................................................ 13
2.7 Práticas e Ferramentas Relacionadas a Controles Internos...........................................................14
2.7.1 Ambiente de Controle .................................................................................................................14
2.7.2 Avaliação de Risco.......................................................................................................................14
2.7.3 Atividade de Controle .................................................................................................................14
2.7.4 Informação e Comunicação .......................................................................................................14
2.7.5 Monitoramento ...........................................................................................................................14
2.8 Classificação dos Controles Internos ............................................................................................... 15
2.8.1 Classificação Nível I - Categorias e/ou Dimensões dos Controles Internos ............................ 15
2.8.2 Classificação Nível II – Primários ou Secundários .................................................................... 15
2.8.3 Classificação Nível III – Preventivos ou Detectivos .................................................................. 15
2.8.4 Classificação Nível IV – Manuais, Eletrônicos ou Automatizados........................................... 15
2.8.5 Classificação Nível V – Itens do Sistema de Controles de Internos ........................................16
2.9 Limitações de Controles Internos .................................................................................................... 17
2.10 O Profissional de Controles Internos ............................................................................................18
3. Controles Internos e Suas Interfaces ...................................................................................................18
3.1 As Evidências dos Controles Internos Utilizando as Técnicas de BPM Baseado nas Três Linhas de
Defesa do IIA............................................................................................................................................18
3.1.1 - 1ª Linha de Defesa: Operações e Unidades de Negócios .........................................................19
3.1.2 - 2ª Linha de Defesa: Avaliação e Monitoramento da Gestão da 1ª Linha de Defesa ..............19
3.1.3 - 3ª Linha de Defesa: Verificação Independente do Modelo e dos Controles ........................ 20
3.2 Abordagem de Controles Internos Baseado no Gerenciamento de Riscos ................................. 20
4. Conceitos e Fundamentos do Gerenciamento de Processos.............................................................. 21

4.1 Conceitos e Definições Sobre Gerenciamento de Processos ........................................................ 22

4.2 O que é Cadeia de Valor?.................................................................................................................. 22
4.3 O que é Arquitetura de Processos? ................................................................................................. 23
4.4 O que é Mapeamento de Processos? .............................................................................................. 23
5. Metodologia de Implantação de Controles Internos Baseado em BPM .......................................... 24
6. Framework - Priorização Diretrizes de Governança Para Controles Internos ................................. 25
7. Reflexão - A Gestão de Controles Internos Deve Ser de Responsabilidade do Escritório de
Processos? .................................................................................................................................................. 26
7. Glossário ................................................................................................................................................ 26

1. Introdução
O Manual de Implantação de Controles Internos surge em razão da

relevância do tema, do aumento de sua abrangência, da evolução do
escopo de atuação das áreas de Controles Internos, bem como para
possibilitar o melhor entendimento da interface entre as outras
estruturas, como Gestão de Riscos, Compliance, Auditoria Interna e
tudo isso alinhado as práticas de BPM (Business Process Management).
Apresentaremos neste guia sugestões de práticas para a

função/atuação das áreas de Controles Internos nas Instituições. É
importante ressaltar que os itens aqui abordados devem ser
adaptados à natureza, ao porte, à complexidade, à estrutura, ao
risco e ao modelo de negócio das operações realizadas em cada
Instituição.
Porém todo e qualquer tipo de estudo e implementação de

controles internos é importante lembra que primeiramente deve-se
conhecer sobre como é constituído o sistema de gestão e cultura da
organização.
Um ponto importante que nunca podemos deixar de lado é a

necessidade do conhecimento aprofundado sobre a definição e
aplicação metodológica de controles internos utilizando o
mapeamento de processos como principal estrutura de
sustentação, mensuração, análises e evidências e este e-book tem a
intenção de trazer este conhecimento para seus leitores.
Clézio de Alcantara Santos – 2021

2. Conhecendo os Controles Internos
2.1 O Sistema Organizacional Como Ambiente de Aplicação dos Controles Internos

Para avançarmos no entendimento e aplicação dos controles internos baseado em processos
é preciso inicialmente conhecer sobre o que é um sistema organizacional, ou seja ele é a forma
pela qual as atividades desenvolvidas por uma organização são divididas, estruturadas,
organizadas e coordenadas. Em um enfoque amplo, inclui a descrição dos aspectos físicos (ex.:
instalações), humanos, financeiros, jurídicos, administrativos e econômicos.
Uma organização, para cumprir sua função, necessita de partes que funcionem de forma
articulada, uma dando suporte ou complementando a atividade da outra, de forma que
precisam, então, de um estrutura sobre a qual se posicionem e se relacionem entre si.
Não existe uma estrutura organizacional acabada e nem

perfeita, o que há é uma estrutura organizacional que se
adapte adequadamente às mudanças.
Isso serve também para os controles internos, ou seja,
não existe sistema de controles internos perfeito e
consolidado.
Chandler (1962), ao pesquisar quatro grandes empresas americanas (DuPont, GM, Standard
Oil e Sears) constatou que as respectivas estruturas eram continuamente ajustadas às suas
estratégias e pode demonstrar a íntima relação entre a estratégia e a estrutura organizacional
E ATÉ OS DIAS ATUAIS VEMOS QUE ESTE CONCEITO AINDA PREVALECE.
Para ele, a estrutura depende das circunstâncias de cada organização em determinado
momento, assim também IMPLANTAR E GERENCIAR CONTROLES INTERNOS DEVE EXISTE UMA
ADEQUAÇÃO BASEADO NA FORMATAÇÃO DA ORGANIZAÇÃO.
Existem variáveis que contribuem para isso: a sua estratégia, o ambiente em que opera,
a tecnologia de que dispõe e as características de seus participantes.
Outra condição muito importante é o ambiente em que a organização atua e que é
caracterizado por três tipos E QUE DEVE SER LEVADO EM CONSIDERAÇÃO NAS INICIATIVAS DE
IMPLANTAÇÃO DE GERENCIAMENTO DE CONTROLES INTERNOS.
 O ambiente estável, com pequena variação, que quando ocorre é previsível e controlável;
 O ambiente em transformação, em que as tendências de mudanças são visíveis e
constantes;
 O ambiente turbulento, em que as mudanças são velozes, oportunistas e, não raro,
surpreendentes.
Basicamente o sistema organizacional se divide em três grandes frentes, que são:
Sistema Institucional – Composto da missão, visão, valores e modelo de gestão.
Sistema de Gestão – É composto para a formatação da estratégia, o planejamento

operacional, execução e cumprimento de metas e objetivos.
Sistema Físico Operacional – Responsável pelos ativos organizacionais, processos produtivos,

estrutura de recursos humanos, tecnologia da informação e estrutura física.

Com base no desdobramento do sistema organizacional é possível começar a entender onde

será aplicação dos controles internos, ou seja, sem conhecer um sistema organizacional os
especialistas em controles internos já poderão ter êxito em suas aplicações.
2.2 A Iniciativa COSO, Origens e Áreas de Atuação
O COSO® (Committee of Sponsoring Organizations of the Treadway Commission) é uma

organização privada criada nos EUA em 1985 para prevenir e evitar fraudes nos procedimentos
e processos internos da empresa.
Inicialmente criada como: National Commission on Fraudulent Financial Reporting
(em português: Comissão Nacional sobre Fraudes em Relatórios Financeiros), essa comissão era
formada por representantes das principais associações de classes de profissionais ligados à área
financeira.
O primeiro objeto de estudo da comissão foram os controles internos das empresas. Essa
comissão posteriormente tornou-se um comitê e passou a se chamar COSO - Committee of
Sponsoring Organizations of the Treadway Commission (em português: Comitê das
Organizações Patrocinadoras da Comissão Treadway).
O COSO é uma organização sem fins lucrativos, dedicada a melhoria dos relatórios financeiros,
sobretudo pela aplicação da ética e efetividade na aplicação e cumprimento dos controles
internos e é patrocinado pelas cinco das principais associações de classe de profissionais ligados
à área financeira nos EUA.
Em decorrência da globalização e padronização internacional das técnicas de auditoria, as
recomendações da COSO, relativas aos controles internos, bem como seu cumprimento e
observância, são amplamente praticados e tidos como modelo e referência no Brasil e na
maioria dos países.

Composição do COSO
Controles Internos e os Principais Eventos Relacionados
Como podemos ver, toda a evolução e conceitos sobre controles internos

passa pelo COSO, que foi um divisor de águas em relação a demandas de
controles dentro das organizações, porém podemos verificar que sua base
apesar de ser abrangente teve toda a sua origem voltada para controles
internos baseados na essência contábil, porém com o avanço das disciplinas
de gestões, podemos verificar uma boa evolução, e neste caso o
Gerenciamento de Processos vem para somente aos conceitos e as práticas
antigas relacionadas aos controles internos.
2.2.1 A Regulação dos Controles Internos
O Conselho Monetário Nacional emitiu em 24/09/1998, a Resolução nº 2.554 que dispõe sobre a
“Implantação e Implementação de Sistema de Controles Internos”, e cita:
“§ 1º Os Controles Internos, independentemente do porte da Instituição, devem ser efetivos e
consistentes com a natureza, complexidade e risco das operações por ela realizadas.”.
Dentre as exigências, a referida resolução estabeleceu que são de responsabilidade da
diretoria da Instituição:
 A implantação e a implementação de uma estrutura de Controles Internos efetiva mediante
a definição de atividades de controle para todos os níveis de negócios da Instituição;

 O estabelecimento dos objetivos e procedimentos pertinentes aos mesmos;
 A verificação sistemática da adoção e do cumprimento dos procedimentos definidos em

função de seus objetivos.
Esta resolução teve inspiração nos componentes do Internal Control – Integrated Framework,
material publicado em 1992 pelo Committee of Sponsoring Organizations of the Treadway
Commission – COSO, entidade privada criada nos Estados Unidos da América que se dedica a
desenvolver estruturas e orientações sobre Controles Internos, gerenciamento de riscos
prevenção / mitigação de fraudes, entre outras.
Essa primeira versão com uma linguagem comum, direcionamento e orientação clara, obteve
grande aceitação e tem sido amplamente utilizada em todo o mundo por integrar boas
práticas de gestão de maneira organizada e transversal para toda organização, além de ser
reconhecida como um modelo para desenvolvimento, implementação e condução do
Controle Interno, bem como para a avaliação de sua eficácia.
Em 2013 o COSO realizou uma ampla revisão da estrutura e atualizou a definição para Controle
Interno: “processo conduzido pela estrutura de governança, administração e outros profissionais
da entidade, desenvolvido para proporcionar segurança razoável com respeito à realização
dos objetivos relacionados as operações, divulgação e conformidade”.
Essa definição de Controle Interno remete alguns conceitos fundamentais:
 Conduzido para atingir objetivos em uma ou mais categorias – Operacional, divulgação e
conformidade;
 Um processo que consiste em tarefas e atividades contínuas – Um meio para um fim, não um
fim em si mesmo;
 Realizado por pessoas – Não se trata simplesmente de um manual de políticas e

procedimentos, sistemas e formulários, mas diz respeito a pessoas e as ações que elas tomam
em cada nível da organização para realizar o Controle Interno;
 Capaz de proporcionar segurança razoável - Mas não absoluta, para a estrutura de

governança e Alta Administração de uma entidade;
 Adaptável à estrutura da entidade - Exigível na aplicação para toda a entidade ou para uma
subsidiária, divisão, unidade operacional ou processo de negócio em particular.
Segundo o COSO, essa definição é intencionalmente abrangente e captura conceitos
fundamentais para a forma como as organizações desenvolvem, implementam e conduzem
suas atividades de controle, proporcionando uma base para aplicação a todas as
organizações que operam em diferentes estruturas de entidades, indústrias e regiões geográ-
ficas.
De acordo também com a definição, verificamos que a responsabilidade pelo ambiente de
controle é de todos os envolvidos na Instituição, que devem agir com conduta ética e
adequada, além de serem diligentes com as suas atividades.
2.3 Componentes e Princípios de Controles Internos (COSO 2013)
Grande parte das instituições brasileiras desenvolveu o seu Sistema de Controles Internos
baseado nas diretrizes contidas no COSO - Internal Control – Integrated Framework, citado
anteriormente.
Dessa forma, a seguir exploraremos de forma simples o referido modelo, representado
frequentemente pelo um cubo que apresenta a inter-relação dos Objetivos, Componentes
(Elementos) e o Objeto (Estrutura Organizacional - Empresa, Divisão, Unidade, Função etc.).

Existe uma relação direta entre os Objetivos, que são o que a entidade busca alcançar, os
Componentes, que representam o que é necessário para atingir os objetivos e a Estrutura
organizacional da entidade (as unidades operacionais e entidades legais, entre outras).
 Objetivos: operacional, divulgação e conformidade – representadas pelas colunas;
 Componentes: são representados pelas linhas;
 Estrutura organizacional da entidade: representada pela terceira dimensão.

Objetivos
As três categorias de objetivos permitem às organizações se concentrarem em diferentes
aspectos do Controle Interno:
 Operacional – Utilização eficaz e eficiente dos recursos;
 Divulgação – Confiabilidade de relatórios;
 Conformidade – Cumprimento de leis e regulamentos aplicáveis.

Componentes
Para cada um dos componentes há princípios estabelecidos que representam os conceitos
fundamentais associados a cada um deles. Como esses princípios são originados diretamente
dos componentes, uma entidade poderá ter um Controle Interno eficaz ao aplicar todos os
princípios. Todos os 17 princípios aplicam-se às categorias de Objetivos (Operacional,
Divulgação e Conformidade).
Os princípios que apoiam os componentes estão relacionados a seguir:
Ambiente de Controle: É a base para os outros componentes.
1. A organização demonstra ter comprometimento com a integridade e os valores éticos.
2. A estrutura de governança demonstra independência em relação aos seus executivos e
supervisiona o desenvolvimento e o desempenho do Controle Interno.

3. A administração estabelece as estruturas, os níveis de subordinação e as autoridades e

responsabilidades adequadas na busca dos objetivos.
4. A organização demonstra comprometimento para atrair, desenvolver e reter talentos
competentes, em linha com seus objetivos.
5. A organização faz com que as pessoas assumam responsabilidade por suas funções de
Controle Interno na busca pelos objetivos.
Avaliação de Riscos: Está relacionada ao conhecimento de todos os riscos relevantes.
6. A organização especifica os objetivos com clareza suficiente, a m de permitir a identificação
e a avaliação dos riscos associados aos objetivos.
7. A organização identifica os riscos à realização de seus objetivos por toda a entidade e analisa
os riscos como uma base para determinar a forma como devem ser gerenciados.
8. A organização considera o potencial para fraude na avaliação dos riscos à realização dos
objetivos.
9. A organização identifica e avalia as mudanças que poderiam afetar, de forma significativa,
o sistema de Controle Interno.
Atividades de controle diz respeito às políticas e procedimentos, que devem ser seguidos por
todos os níveis hierárquicos para minimizar a ocorrência e/ou impacto dos riscos inerentes à
operação.
10. A organização seleciona e desenvolve atividades de controle que contribuem para a
redução, a níveis aceitáveis, dos riscos à realização dos objetivos.
11. A organização seleciona e desenvolve atividades gerais de controle sobre a tecnologia para
apoiar a realização dos objetivos.
12. A organização estabelece atividades de controle por meio de políticas que estabelecem o
que é esperado e os procedimentos que colocam em prática essas políticas.
Comunicação e informação: Referem-se à produção de relatórios, tanto operacionais, como
financeiros, necessários para o controle e gestão da organização.
13. A organização obtém ou gera e utiliza informações significativas e de qualidade para apoiar
o funcionamento do Controle Interno.
14. A organização transmite internamente as informações necessárias para apoiar o
funcionamento do Controle Interno, inclusive os objetivos e responsabilidades pelo controle.
15. A organização comunica-se com os públicos externos sobre assuntos que afetam o
funcionamento do Controle Interno.
Monitoramento: São atividades contínuas que detectam a qualidade do sistema de Controles
Internos e reporta de ciências aos responsáveis para que sejam tratadas.
16. A organização seleciona, desenvolve e realiza avaliações contínuas e/ou independentes
para se certificar da efetividade do sistema de Controles Internos.
17. A organização avalia e comunica de ciências no Controle Interno em tempo hábil aos
responsáveis por tomar ações corretivas, inclusive a estrutura de governança e Alta
Administração, conforme aplicável.
2.4 Conceitos e Interfaces do Sistema de Controles Internos
Uma referência dada ao definir do que se trata a resolução, deve-se destacar para melhor
compreensão sobre o que seria um “Sistema de Controles Internos”, e para isso, iremos utilizar
uma definição básica que se adequa perfeitamente. Vindo do grego, o termo “sistema” signi-
fica: combinar, ajustar, formar um conjunto.

Esse conjunto possui um objetivo geral a ser atingido e órgãos distintos, cada um com a sua
determinada função, e a integração entre esses órgãos pode se dar, por exemplo, através de
um fluxo de informações e reportes. A composição do Sistema de Controles Internos pode ser
facilmente demonstrada e compreendida pelo diagrama a seguir.
Um adequado eficiente Sistema de Controles Internos auxilia as entidades a alcançar objetivos
importantes e a sustentar e melhorar o seu desempenho. Requer que as organizações
desenvolvam atividades de controle que se adaptem aos ambientes operacionais e
corporativos em constante mudança, reduzam/mitiguem os riscos para níveis aceitáveis e
apoiem um processo sólido de tomada de decisões e de governança da organização.
Recomenda-se que todos os atores que fazem parte desse conjunto compartilhem
conhecimento e informações, de modo a retroalimentar o funcionamento adequado e
contínuo do Sistema de Controles Internos, contribuindo para que cada área desempenhe de
maneira mais e ciente suas atribuições.
Porém para a administração moderna é importante entender que o
controles internos são oriundos dos processos de negócio, ou seja, já não é
mais possível implementar controles internos baseados somente em
perspectivas contábeis, ou os controles propriamente avulsos baseados e
elencados em prol de ERP´s, é preciso primeiramente olhar e entender como
funciona o sistema de processos da organização para que se possa fazer a
decomposição e estruturação dos controles internos.
2.5 Atribuições e Funções de Controles Internos
As atividades de controle, visando mitigar potenciais perdas originadas da exposição ao risco e

fortalecer os processos e procedimentos que refletem o modelo de governança adotado, deve
ter sua efetividade constantemente avaliada.
Nesta linha, são atribuições e funções da estrutura de Controles Internos:
 Apoiar a 1ª Linha de Defesa na observação de suas responsabilidades diretas;
 Desenvolver metodologias, ferramentas, sistemas, infraestrutura e governança necessária

para suportar a gestão de riscos;
 Disseminar a cultura de riscos e controles e divulgar as práticas líderes e políticas relacionadas

a esses temas;
 Monitorar as atividades da 1ª linha de defesa visando garantir a definição das

responsabilidades dentro da Instituição, a segregação das atividades de forma a evitar conflito
de interesses;
 Mapear e avaliar periodicamente os processos, regras, modelos, sistemas, riscos e atividades

de controle executados pela 1ª e 2ª Linha de Defesa (quando esta realiza atividade de 1ª linha),
objetivando a mitigação dos riscos e redução de possíveis perdas financeiras;
 Assegurar a existência de governança para avaliação de produtos e serviços, bem como

verificar previamente os riscos envolvidos em sua alteração e criação, indicando a necessidade
de implantação de controles;
 Efetuar verificações nas unidades de negócio a m de validar a veracidade das respostas em

sistema no formato Self Assessment;
 Disseminar os temas de riscos e controles junto à 1ª Linha de Defesa e aos órgãos de

governança / Alta Administração;

 Efetuar reportes de sua atuação periodicamente para Diretoria / Alta Administração por meio
de relatórios ou informes pontuais.
2.6 Interação da Área de Controles Internos
Para assegurar o adequado atingimento dos objetivos da organização, todas as áreas que
compõem as Linhas de Defesa (Áreas de Negócios e Suporte, Controles Internos, Compliance,
Auditoria Interna, entre outras) devem ter atuação e abordagem integrada, com clara divisão
de papéis e responsabilidades.
A seguir as principais áreas de interação com a área de Controles Internos.

2.6.1 Alta Administração/Governança
A Alta Administração, com a supervisão da estrutura de governança, fixa objetivos que se

alinham com a missão, a visão e as estratégias. Esses objetivos refletem as escolhas feitas pela
administração e pela estrutura de governança.
A fixação de objetivos é requisito prévio para o Controle Interno e uma parte importante do
processo de gestão relacionado ao planejamento estratégico. Dessa forma, é primordial o
comprometimento da Alta Administração na implementação e monitoramento do Sistema de
Controles Internos da empresa.
Para que o Sistema de Controles Internos de uma Instituição seja e ciente, é imprescindível que
a Alta Administração esteja comprometida e engajada, de forma que a cultura de controles
seja disseminada e compreendida em todos os níveis da Organização.
Para tanto, deve assegurar independência e autoridade para que a área de Controles Internos
execute a bom termo suas atribuições, e com isso proporcione segurança às atividades
operacionais, além de fornecer confiabilidade para os stakeholders e maximizar o retorno do
investimento.
2.6.2 Compliance
A função de Compliance contribui para a prevenção e mitigação de exposições a riscos

regulatórios (locais e internacionais), de conduta e danos à imagem da Instituição, por meio de
medidas internas que disciplinam as suas atividades. Compliance transcende a ideia de “estar
em conformidade” às leis, regulamentações e autorregulamentações, abrangendo aspectos
de governança, conduta, transparência e temas como ética e integridade.
A função Compliance é trabalhar no estabelecimento de regras, nos treinamentos, nos
procedimentos rotineiros e na conscientização das normas para as partes interessadas.
Cabe ao Compliance a captura, interpretação das normas legais e infralegais, bem como,
atuar junto aos Gestores de 1ª ou 2ª linha nas definições de ações que visem o
atendimento/cumprimento regulatório.
2.6.3 Áreas de Negócios e Áreas de Suporte
A função e a atuação da área de Controles Internos permeiam toda a organização, incluindo

negócios, processos, produtos e serviços. Dessa forma, deve existir interação entre essas áreas
(1ª Linha de Defesa) e a área de Controles Internos (2ª Linha de Defesa), com o objetivo de
construir processos com controles eficazes e eficientes, com menor grau de exposição a riscos,
bem como a sustentabilidade dos negócios.
A participação da área de Controles Internos na criação, manutenção e alteração dos
produtos e serviços comercializados pela Instituição, visa assegurar que as atividades de
controle associadas ao produto ou serviço sejam efetivas e consistentes com a natureza,
complexidade e risco dessas operações.
Além disso, cabe a área de Controles Internos avaliar e monitorar os controles implementados
nos principais processos, produtos e serviços da organização, bem como assessorar as áreas de
negócio na correção dos desvios identificados.
2.6.4 Gestão de Riscos
As atividades de controle estão dentre os principais mecanismos para mitigação de riscos,

principalmente o risco operacional, devendo as áreas de Controles Internos e Gestão de Riscos
trabalhar em sinergia e de forma complementar, visando conferir segurança e robustez às
instituições financeiras no seu mercado/segmento de atuação.
Em determinadas Instituições Financeiras a área de Controles Internos pode ter a função de
validar os modelos, metodologias, ambiente tecnológico e base de dados e informações de
gestão de riscos e capital.
2.6.5 Auditoria Interna
As Instituições devem implementar e manter atividade de auditoria interna compatível com a

natureza, o porte, a complexidade, a estrutura, o per l de risco e o modelo de negócio da
Instituição.
A área de auditoria interna é considerada 3ª Linha de Defesa, independente, respondendo pela
avaliação da governança, do gerenciamento de riscos e do Sistema de Controles Internos da
Instituição.
Deve realizar auditorias periódicas, avaliando a adequação dos controles, a partir da veri-
ficação de sua qualidade, suficiência, cumprimento e efetividade.
As áreas de Controles Internos e Auditoria Interna devem possuir definições claras sobre as
atribuições e forma de atuação de cada uma, visando a cobertura apropriada de suas
avaliações e minimizando a sobreposição de atuação.

Para isso, as duas áreas podem articular a elaboração dos seus escopos de
atuação/planejamento, além de compartilhar informações sobre trabalhos realizados.
2.7 Práticas e Ferramentas Relacionadas a Controles Internos
2.7.1 Ambiente de Controle
 Código de Ética - É um documento com diversas diretrizes que orientam as pessoas quanto
às suas posturas e atitudes ideais, moralmente aceitas ou toleradas pela Instituição,
enquadrando os colaboradores a uma conduta politicamente correta e em linha com a boa
imagem que a entidade quer ocupar.
 Normativos Internos - Conjunto de políticas, circulares, normas, regulamentos, manuais de

procedimento e seus anexos, emitidos pelo conglomerado.
 Estrutura Organizacional - A estrutura de governança tem independência em relação aos

seus diretores e supervisiona o Sistema de Controles Internos.
2.7.2 Avaliação de Risco
 Matriz de Risco e Controle - As matrizes de riscos e controles são elaboradas pelos gestores
das áreas e têm o objetivo de registrar os processos, etapas e atividades das unidades de
negócio, servindo de instrumento para a avaliação da e ciência e eficácia de seus métodos no
gerenciamento de riscos que possam causar impactos na busca de seus objetivos.
 Gestão de Mudanças - A organização identifica e avalia os impactos que as mudanças

podem causar, de forma relevante, no funcionamento do Sistema de Controles Internos.
2.7.3 Atividade de Controle
 Mapeamento de Processos - O mapeamento de processos de negócios objetiva determinar

a forma em que os insumos recebidos de um fornecedor, são tratados e transformados em
produtos que serão entregues aos clientes. A essa transformação, chamada de processo, são
alocados recursos destinados a promover essa transformação com efetividade.
 Passo a Passo - É um processo que consiste na revisão do fluxo de atividades de um

determinado processo e na avaliação do desenho dos controles existentes para certificar se os
mesmos estão operando e mitigam os fatores de riscos inerentes a este processo.
 Controle Chave - Controle ou conjunto de controles que possuem a maior capacidade de

mitigar o risco correspondente, sendo considerado elemento essencial ou mais importante de
controle em um processo.
2.7.4 Informação e Comunicação
 Canais de Denúncia - Canal estabelecido para recepção e/ou encaminhamento da

denúncia relacionadas a fatos ou indícios de condutas irregulares para tratamento.
 Canais de Reporte - Canal de comunicação com a Diretoria / Alta Administração para: (I)
reporte tempestivo das avaliações sobre a qualidade dos controles; (II) andamento dos planos
de ação que visam sanar eventuais fragilidades identificadas.
2.7.5 Monitoramento
 Indicador de Risco (KRI) - Medida que fornece informação sobre o nível de exposição do
conglomerado a um dado risco operacional num determinado ponto no tempo.

 Teste - O teste de controle é uma atividade que consiste em avaliar a efetividade do

funcionamento/operação dos controles.
 Avaliação do Sistema de Controles Internos - A integridade do Sistema de Controles Internos

é monitorada e são feitas as modificações necessárias. O monitoramento é realizado através
de atividades gerenciais contínuas ou avaliações independentes ou de ambas as formas.
2.8 Classificação dos Controles Internos
2.8.1 Classificação Nível I - Categorias e/ou Dimensões dos Controles Internos
As categorias e/ou dimensões dos controles internos, está intimamente ligado a estrutura e
direcionamento dos controles internos da organização, ou seja, é como ela irá dividir os grandes
blocos de controles com base na perspectiva que lhe convém, tais como:
 Controle Contábil;
 Controle de Custos;
 Controle Fiscal;
 Controle de Ativos;
 Entre outros;
2.8.2 Classificação Nível II – Primários ou Secundários
 Controle Primários – É o primeiro nível de controle e está vinculado diretamente ao objetivo

do processo.
 Controle Secundários – Funcionam de forma adicional aos controles primários, possuem

moderado grau de importância para o processo.
2.8.3 Classificação Nível III – Preventivos ou Detectivos
 Controles Preventivos – Operam para evitar a ocorrência de erro, fraude ou falha e devem
ser capazes de antecipadamente evitar os desvios.
 Controles Detectivos – Operam para evitar a possibilidade de ocorrência do erro, fraude ou

falha e devem ser capazes de identificar os desvios no processo.
2.8.4 Classificação Nível IV – Manuais, Eletrônicos ou Automatizados
 Controles Manuais – São todos que operam por manuseio das pessoas inseridas no processo.
 Controles Eletrônicos – São todos aqueles que operam por meio de pessoas, porém os seus
registros consistem por meio eletrônicos.
 Controles Automatizados – São todos aqueles que são executados automaticamente por
software inteligentes ou qualquer outro meio informatizado que não precisa de interface
humana para ser executado.

2.8.5 Classificação Nível V – Itens do Sistema de Controles de Internos
 Alçadas e Limites - Envolvem a delimitação do âmbito de atuação ou influência de um

gestor, via sistema aplicativo ou de forma manual, quanto a sua condição de vir a aprovar
valores ou assumir posições em nome da Instituição, conferida pela hierarquia ou por comitês.
 Autorizações - Buscam permitir o encaminhamento de uma operação/transação após

conferência, evidenciada por log no sistema ou assinatura/visto em documentação de suporte.
 Conciliação - Consiste no confronto de informações de origens distintas, com o objetivo de

detectar inconsistências.
 Acesso Físico - Consiste no controle da entrada/saída de funcionários, clientes e/ou

equipamentos em determinadas áreas de uma Instituição.
 Acesso Lógico - Busca o controle de acesso/alcance de funcionários e/ou clientes a arquivos

eletrônicos e sistemas computacionais, bem como a disponibilização de instruções e
treinamento para esses sistemas aos usuários autorizados.
 Delimitação de Responsabilidades - Determina uma definição clara e formal das

responsabilidades e da autoridade sobre os procedimentos criados para certas atividades,
focando a limitação de ação acerca dos mesmos, sem envolver valores (cuja delimitação é
tratada no Controle Interno de alçadas).
 Disponibilização e Padronização de Informações - Visam o estabelecimento de sistemas de

comunicação efetivos entre áreas, de maneira a assegurar que as informações cheguem a seu
destino, contemplando, inclusive, aspectos como integridade, confiabilidade e disponibilidade.
 Execução de Plano de Contingência - Busca formalizar e testar ações que permitam dar
continuidade às operações de unidades que não possam ser interrompidas,
independentemente da adversidade da situação.
 Manutenção de Registros - Consiste em fazer a manutenção atualizada, segura e organizada

de registros.
 Monitoração - Acompanhamento de uma atividade ou processo, para avaliação de sua

adequação e/ou desempenho, em relação às metas, aos objetivos traçados e aos
benchmarks, assim como acompanhamento contínuo do mercado financeiro, de forma a
antecipar mudanças que possam impactar negativamente a Instituição.
 Normatização Interna - Compreende o estabelecimento formal de normas internas, para a

execução das atividades inerentes à unidade.
 Segregação de Funções - Envolve a separação das responsabilidades sobre atividades

conflitantes, por meio de organograma ou estabelecimento de regras, a m de prevenir ou
detectar problemas nas tarefas executadas.
 Treinamento - Engloba exercícios para apurar habilidades ou transmitir conhecimentos,

ampliando competências e capacitações.
 Validação - Consiste em examinar minuciosamente procedimentos relacionados a uma

atividade, com o intuito de validar informações (internas e externas), obtidas por funcionários

ou clientes, na documentação de operações financeiras ou em eventual modificação desses

procedimentos.
2.9 Limitações de Controles Internos
A estrutura de Controles Internos tem como seu principal objetivo atuar para verificar se os
procedimentos ou atos que possibilitem segurança quanto aos aspectos lógicos e técnicos do
processo são realizados de forma e ciente e tempestiva, e neste contexto, mesmo tendo sido
realizada de forma adequada em todas as suas etapas, não é possível assegurar um nível de
conforto pleno porque há limitações inerentes.
Neste cenário considera-se o julgamento humano no processo de decisão e este pode falhar
com erros simples. Outro fator a ser levado em consideração é a possibilidade de existência de
conluio o que pode vir a neutralizar os controles existentes, além do fator custo e vantagens
observáveis relacionados ao processo de resposta a riscos.
A segurança razoável em relação ao funcionamento e eficácia das atividades de controles,
depende de muitos fatores que são considerados isoladamente ou em conjunto e que visam
atender a diversos objetivos e finalidades mitigando o risco de uma organização deixar de
atingir seus propósitos.
Ainda assim pode acontecer um evento extraordinário, uma ocorrência operacional ou falha
na comunicação.
Citamos a seguir situações que exemplificam melhor algumas limitações:
 Negligenciamento de controles por meio de conluio de colaboradores, incluindo a Alta
Administração, e/ ou prestadores de serviços terceirizados;
 Atuação de um grupo de pessoas com o objetivo de ocultar ou praticar um fato ilícito, que
pode passar despercebido pelas atividades de controle;
 Erro Humano devido a imperícia, imprudência, instruções mal interpretadas e erros de

julgamento;
 Decisões tomadas na realidade do momento, ou seja, considerando as informações

disponíveis, tempo e pressões do negócio, pode-se esperar que eventuais falhas ocorram;
 Toda e qualquer atividade está sujeita a colapsos, no caso de atividades não realizadas
adequadamente, como por exemplo, na substituição de um sistema crítico onde não ocorreu
capacitação tempestiva dos usuários, ocorrendo muitos erros, que podem gerar falhas signi-
ficativas;
 Alterações na realidade operacional dos processos e procedimentos, não refletidas

adequadamente nos controles;
 Os custos e os benefícios da implementação de funcionalidades de identificação de eventos

e atividades de controle são mensurados com diferentes níveis de segurança dentro de cada
Instituição, mas mesmo assim é importante encontrar equilíbrio neste processo, trazendo um
nível de conforto em relação ao benefício que o controle trará versus os custos envolvidos;
 Qualquer uma dessas situações impede a segurança absoluta, e embora sejam inerentes, a
organização deve estar ciente delas ao desenvolver, implementar e executar as atividades de
controles, para minimizar, dentro do possível, a ocorrência de tais limitações.

2.10 O Profissional de Controles Internos

Ainda que não exista uma formação específica para exercer a função na atividade de
Controles Internos, o profissional para ser reconhecido e se destacar na área deve possuir
experiência, conhecimento e determinadas qualidades, como:
 Sólidos valores éticos e de integridade, demonstrados por meio de sua conduta e atitudes;
 Capacidade de entendimento da Instituição, seu contexto, cultura, princípios e a natureza

de suas atividades.
 Rápida assimilação de conteúdo; sendo capaz de assimilar de forma macro e micro as

atividades das diversas áreas da Instituição;
 Criatividade e análise crítica, sendo utilizada como ferramentas para trazer benefícios para
a Instituição e otimizar as atividades realizadas na função de Controles Internos;
 Independência para expressar a sua opinião técnica sem receio de retaliações ou ameaças
e isenção para que suas decisões e julgamentos não sejam influenciados por relações de a-
finidade;
 Habilidade de comunicação e argumentação com todos os graus e níveis da Instituição, não

só, mas também com os Órgãos Reguladores;
 Capacidade de lidar com pressões externas e internas;
 Flexibilidade perante as diversas situações, o profissional que exercer a função de Controles

Internos deve possuir habilidade de se adaptar a diferentes situações que podem ocorrer no
ambiente de trabalho;
 Habilidade de identificar onde estão os riscos da Instituição;
 Habilidade de se manter atualizado sobre as novas tecnologias disruptivas, tecnologias estas

que ocasionam mudanças mercadológicas, criam novos modelos de negócios, produtos e
serviços;
 Expertise em resolver problemas complexos com metodologias ágeis, além de apresentar

resiliência para enfrentar novos desafios;
 Foco na melhoria de processos objetivando ao alcance dos resultados estratégicos

estabelecidos pela Instituição;
 Sólidos conhecimentos dos frameworks de controle, bem como dos processos de negócios e
produtos da companhia.
3. Controles Internos e Suas Interfaces
3.1 As Evidências dos Controles Internos Utilizando as Técnicas de BPM Baseado nas Três Linhas
de Defesa do IIA
O engajamento de toda a Instituição no Sistema de Controles Internos, estabelecendo a

adequada segregação de funções e independência das áreas/atividades, pode ser
alcançado por meio da adoção do modelo de Linhas de Defesa, que tem estrutura flexível e é
aplicável a qualquer Instituição, não importando seu tamanho ou complexidade.
As funções, com base em cada uma das Linhas de Defesa, variam de acordo com a
organização, sendo que algumas funções podem ser combinadas ou divididas nas Linhas. As

Linhas de Defesa devem trabalhar de forma complementar, evitando sombreamentos e

lacunas. A figura a seguir representa, de forma adaptada, esse modelo.
Cada uma dessas “Linhas” desempenha um papel distinto dentro da estrutura de governança
da Instituição, atuando de forma interdependente, mas não impede que em algumas
organizações, por exemplo, partes de uma função na 2ª Linha possam estar envolvidas na
assessoria e gestão de riscos para a 1ª Linha, enquanto outras funções da 2ª Linha focam na
avaliação e monitoramento desses controles.
3.1.1 - 1ª Linha de Defesa: Operações e Unidades de Negócios
Corresponde ao nível de controle da gerência operacional, responsável por manter Controles

Internos eficazes e conduzir procedimentos de gerenciamento de seus riscos e controles
diariamente. São os responsáveis primários por identificar, avaliar, tratar, controlar, monitorar e
reportar os riscos de suas áreas, de forma alinhada às diretrizes internas, regulamentações,
políticas e procedimentos aplicáveis.
3.1.2 - 2ª Linha de Defesa: Avaliação e Monitoramento da Gestão da 1ª Linha de Defesa
Essas unidades corporativas devem ser independentes da gestão das Linhas de Negócio e
atuam no monitoramento periódico do desenho e funcionamento dos controles na 1ª Linha de
Defesa, bem como fornecendo conhecimento e facilitando as atividades de gerenciamento
de riscos, além de dar suporte às áreas da 1ª Linha de Defesa de forma consultiva.
São responsáveis também por certificar a e ciência e a eficácia das atividades de controle da
1ª Linha de Defesa, por meio de mapeamentos, monitoramento e testes de controles, efetuando
reportes de sua atuação periodicamente para Diretoria/Alta Administração.
Para serem efetivas, essas funções devem ter acesso a todas as informações, metodologias,
documentos e base de dados, necessários para o exercício de sua atividade, assim como,
autoridade, recursos e acesso a Diretoria/Alta Administração da Instituição.

3.1.3 - 3ª Linha de Defesa: Verificação Independente do Modelo e dos Controles
Responsáveis pela revisão independente sobre o gerenciamento dos riscos, a Auditoria Interna
ajuda a organização a atingir os seus objetivos apresentando uma abordagem sistemática e
disciplinada para avaliar e aprimorar a eficácia dos processos de gestão de riscos, controles e
governança, fornecendo aos órgãos de governança e à Alta Administração avaliações
abrangentes baseadas no maior nível de independência.
Opinam ainda sobre a forma como a primeira e a segunda Linha de Defesa alcançam os
objetivos de sua atuação, contribuindo para o seu aprimoramento.
Auditores Externos e Órgãos Reguladores e Autorreguladores
Embora as partes externas não sejam formalmente consideradas para estarem entre as três
Linhas de Defesa, grupos como os de auditores externos e os de responsáveis pelas
regulamentações geralmente têm uma função importante com relação à estrutura de controle
e governança geral de uma organização.
Os responsáveis pelas regulamentações estabelecem requerimentos geralmente para solidificar
a governança e os controles, e eles analisam e relatam ativamente as organizações as quais
eles regulamentam.
Da mesma forma, os auditores externos podem apresentar observações e avaliações
importantes dos controles da organização em relação às informações financeiras prestadas.
Algumas instituições, como o Banco de Compensações Internacionais (BIS - Bank for
International Settlements), consideram esses entes como Linhas Adicionais de Defesa, que
fornecem avaliações às partes interessadas da organização, incluindo os órgãos de
governança e a Alta Administração.
3.1.4 Alta Administração
Embora não sejam considerados dentre as três Linhas de Defesa desse modelo, nenhuma
discussão estaria completa sem considerar os papéis essenciais da Diretoria e da Alta
Administração (Conselho de Administração, Conselho Fiscal, Comitê de Auditoria e órgãos
equivalentes), que são as principais partes interessadas atendidas pelas “Linhas” e estão em
melhor posição para ajudar a garantir que o modelo de Três Linhas de Defesa seja aplicado aos
processos de gerenciamento de riscos e controles da organização.
A Diretoria e a Alta Administração devem estabelecer as diretrizes da estrutura de Controles

Internos na Instituição e disponibilizar os recursos necessários conforme o grau de complexidade
de suas operações, além de disseminar a cultura de controles.
3.2 Abordagem de Controles Internos Baseado no Gerenciamento de Riscos
Considerando a crescente complexidade e a dinâmica do mercado em nível global, cada vez

mais se faz necessária a adoção de práticas de Controles Internos baseadas em risco, para
garantir foco nos aspectos mais relevantes.
Uma atuação voltada exclusivamente à avaliação do funcionamento dos Controles Internos,
pode descartar a possibilidade de existirem riscos ainda sem controles. Por isso, uma abordagem
baseada em risco pode ser adotada, até porque, é fruto da evolução contínua do processo de
gestão de riscos nas organizações.
Se pressupõe que cada Instituição adote uma avaliação de risco de acordo com seu modelo
de negócios, apetite ao risco e ambiente regulatório a que está sujeita, não existindo assim um
modelo uniforme para todas as Instituições. Ou seja, é uma questão mais principiológica, e cada
Instituição tem a liberdade de definir como atuar.

Essa abordagem, associada ao modelo de Três Linhas de Defesa e a metodologia baseada no

COSO, pode ser de grande valia, sendo um importante elemento que, alinhado com as
estratégias da organização, contribuirá para a e ciência e eficácia geral do processo.
A abordagem baseada em riscos tem como fundamentação o próprio processo de
gerenciamento de riscos da organização, e de forma estruturada, deve considerar a natureza,
a complexidade e o risco das operações realizadas.
Resumidamente, a abordagem ocorre desde a fase de planejamento das atividades de
avaliação, não se limitando a ela, e inclui ainda as fases de execução, reporte e
monitoramento.
Não se pode deixar de reforçar que o risco é dinâmico e deve ser periodicamente avaliado,
sendo essencial que as avaliações reflitam adequadamente os riscos presentes, e que os
resultados das avaliações permitam a implementação de medidas práticas para mitigação do
risco.
4. Conceitos e Fundamentos do Gerenciamento de Processos

É inegável que o mundo está mudando em especial no que se refere as mudanças tecnológicas
e inovadoras que afetam as rotinas das pessoas e das organizações de forma geral, mas que
facilitam nossas interações pessoais, acesso a produtos e serviços de qualidade e o
conhecimento se torna cada dia mais acessível.
A sociedade aos poucos é transformada pela conscientização sobre o que cabe ou não nessa
nova realidade que está surgindo e que podemos chamar de Indústria 4.0 e Nova Economia e
que acaba por afetar todo o nosso conhecimento, gerando assim uma necessidade de se
pensar em novos formatos. O velho e o novo entram e conflitos levando-nos a beira de um
mundo completamente desconhecido no qual a fórmula já conhecida e testada está sendo
engolida por novas práticas e pela inovação.
E o que isso tem a ver com a gestão de processo? Bom isso tudo afeta diretamente essa
disciplina de gestão que podemos chamar “Gerenciamento de Processos de Negócio” e que
mundialmente é conhecida como BPM (Business Process Management). Portanto todos os
praticantes de BPM, seja eles patrocinadores, implementadores, donos, entre outros deve cada
vez mais saber e se orientar por essa disciplina que é a nova onda sobre a forma de se fazer
gestão.
Por isso, pensar em Gestão de Controles Internos sem pensar antes em
Gestão de Processos e consequentemente em Mapeamento de Processos, fica
cada vez mais difícil controlar e gerir essa ferramenta/técnica de gestão que
é a governança dos controles internos.
4.1 Conceitos e Definições Sobre Gerenciamento de Processos
O BPM CBOK (Business Process Management Common Book of Knowledge) é um guia para
gerenciamento de processos de negócio que reúne o conhecimento fundamental aos
profissionais que atuam em iniciativas de Gestão por Processos e que o define da seguinte forma
CBOK VS 3.0 - BPM (Bussines Process Management) é uma sigla em inglês que significa
Gerenciamento de Processos de Negócio e trata-se de uma “Disciplina Gerencial” que integra
objetivos de uma organização com expectativas e necessidades de clientes, por meio do foco
em processos ponta a ponta. O BPM engloba estratégias, objetivos, cultura, estruturas
organizacionais, papéis, políticas, metodologias e tecnologias para: analisar, desenhar,
implementar, controlar e transformar continuamente processos ponta a ponta e estabelecer a
governança de processos.
CBOK VS 4.0 - BPM é uma abordagem de gerenciamento disciplinada para identificar,

desenhar, executar, documentar, medir, monitorar e controlar processos de negócio
automatizados ou não automatizados, para alcançar resultados consistentes e direcionados,
alinhados aos objetivos estratégicos de uma organização. O BPM envolve a definição
deliberada, colaborativa e cada vez mais assistida por tecnologia, a melhoria, a inovação e o
gerenciamento de processos de negócio pontam a ponta que geram resultados para negócio,
criam valor para os clientes e permitem que uma organização atinja seus objetivos de negócio
com mais agilidade.
De posse dessas definições podemos verificar que os controles

internos estão intimamente ligados ao gerenciamento de processos
uma vez que se tem premissa de controlar e salvaguardar os ativos das
organizações, ou seja, a gestão de controles internos pode ser uma
aplicação como um subtécnica ou como sincronismo metodológico á
partir de um trabalho de mapeamento de processos, porém para isso
é preciso entender o que é “Mapeamento de Processos”
4.2 O que é Cadeia de Valor?
Em 1947 Lawrence D. Miles criou e introduziu a técnica da Análise de Valor, identificando,

clarificando e separando os custos que têm e os que não têm relação com os clientes, ou seja,
a criação de valor consiste em decompor um produto ou serviço nas suas funções principais e,
em seguida, delinear as soluções organizacionais mais apropriadas para reduzir os custos de
produção.
Isso tudo implica em uma análise detalhada do valor criado pela organização através da
distribuição dos custos totais de um produto ou serviço, pelas suas diferentes etapas:
concepção, produção/desenvolvimento, vendas e distribuição dos serviços/produtos aos
clientes. Este conceito de Alfred Rappaport deu origem às noções de Cadeia de Valor,
acrescida do produto ou serviço e de valor para o acionista.

Michael Porter descreve em seu livro de 1985: “Vantagem Competitiva – Criando e Mantendo
Desempenho Superior” que a cadeia de valor designa uma série de atividades relacionadas e
desenvolvidas pela organização para satisfazer as necessidades dos clientes, desde as relações
com os fornecedores passando pelos ciclos de desenvolvimento, pela venda até chegar a fase
de distribuição para o consumidor final.
Portanto cada empresa possui uma proposta de entrega de valor onde ela possui vantagens
competitiva em seus produtos/serviços em relação ao concorrente, visando sanar os problemas
de seus clientes, assim podemos dizer que este é o valor percebido pelo cliente. Uma forma de
entender mais precisamente o que é “cadeia de valor” é analisando o significado de cada
palavra:
 Cadeia: Uma série de elos ligados, como uma corrente.
 Valor: Percepção dos clientes sobre os produtos ou serviços de uma organização,

principalmente no que se refere ao custo-benefício.
Podemos dizer e entender que a cadeia de valor consiste em uma série de processos
interligados (elos) que são necessários para viabilizar uma percepção positiva dos clientes a
respeito dos produtos/serviços (valor) de uma organização.
Na prática a cadeia de valor é utilizada de forma simples para demonstrar o encadeamento

dos macroprocessos afim de viabilizar o apontamento direto para quais processos ocorrem a
entrega de valor ligado diretamente na jornada do cliente.
4.3 O que é Arquitetura de Processos?
Arquitetura de processos é a especificação da estrutura geral de um sistema de processos

composto de procedimentos com um determinado fim.
Os processos por muitas das vezes são complexos e multidimensionais, constituídos de outros
procedimentos que operam em diferentes esferas, órgãos, departamentos ou áreas e o
resultado disso é uma estrutura ou uma hierarquia de processos que se retroalimentam de forma
dinâmica a todo momento.
O sistema de processos deve ser estudado hierarquicamente, pois assim, facilita o entendimento
e o gerenciamento, entretanto, para construir uma arquitetura de processos é preciso
compreender os padrões lógicos de relação entre os processos que constituem uma arquitetura
coerente e fidedigna com a dinâmica real dos processos na organização com o detalhamento
e encadeamento de seus níveis.
4.4 O que é Mapeamento de Processos?
O termo mapeamento de processos possui vários conceitos nas literaturas especializadas, assim
reunimos abaixo os principais dos quais entendemos o que representam melhor o universo BPM
e as necessidades que um método de aplicação integrada exige.
“Mapeamento de Processos trata-se da representação gráfica do sequenciamento de atividades que se

representa de maneira clara e objetiva, a estrutura e o funcionamento básico do que chamemos de
processos (Mapeamento e Gestão Por Processos – BPM – Orlando Pavani Junior e Rafael Scucuglia)”.
“Mapeamento de Processos é uma técnica gerencial utilizada por empresas para entender de forma clara e
simples como uma unidade de negócio está operando, representando cada passo da operação desta
unidade em termos de entradas, saídas e ações. (FNQ – Fundação Nacional de Qualidade)”.
Para fecharmos o conceito de forma prática o mapeamento de processos uma técnica de

comunicação, evidenciação e mensuração das operações das empresas, o qual podemos

através dele entendermos todas as interfuncionalidade as ligações ponta-a-ponta de cada

atividade.
Um mapeamento de processos BPM tem como objetivo determinar a forma como os insumos
recebidos são tratados e transformados para promover as operações da organização com total
efetividade e aderência, servindo ainda de base de estudos, controle, transformação e
medição.
Conforme podemos identificar o mapeamento de processo fornece informações em
como as operações são executadas e representadas em forma de fluxogramas, ou
seja, assim podemos dizer que os estudos, a identificação, as análises e as
implantações dos controles internos podem ser desenvolvidos com base no
conhecimento e no desenvolvimento de um trabalho de Mapeamento de Processos.
5. Metodologia de Implantação de Controles Internos Baseado em BPM
Como podemos ver para o desenvolvimento da metodologia de implantação de controles

internos é preciso entender todas as suas conexões e posteriormente agrupá-las em ordem de
desenvolvimento. Conforme abaixo:
1. Metodologia BPM – A metodologia BPM é principio de todo o trabalho, ou seja, não possível
chegar as análises e as identificações dos controles internos sem antes ter os processos
mapeados, sendo assim, existem inúmeras metodologias e simbologias para o desenvolvimento
dos fluxogramas.
2. Definir Cadeia de Valor e Arquitetura de Processos – A cadeia de valor e a arquitetura de

processos são as bases orientativas para gestão de processos, ou seja, são modelos estruturais
que orientam a visão por processos, e consequentemente os controles internos também
poderão serem vistos neste formato.

3. Mapeamento de Processos – O mapeamento de processos é a representação diagrama das

operações, é neste fluxograma representativo é que será a orientação estrutural para todo o
desenvolvimento da gestão de controles internos, lembrando sempre que a independemente
da notação utilizada os artefatos que indicam os tipos de controles internos deverão serem
mensurados.
4. Estrutura Corporativa de Categorias de Processos – Esta uma etapa em que as organizações

desenvolvem as suas hierarquias e categorias dos controles internos, conforme descrito neste
manual.
5. Estrutura de Classificação de Controles Internos – A estrutura de classificação de controles

internos para que se possa identificar cada grupo ou tipo de controles internos para que se
possa direcioná-los conforme a necessidade e o processo, ambos visualizados dentro da cadeia
de valor e da arquitetura de processos, compreendendo assim uma Matriz de Controles Internos
baseado no mapeamento de processos e alinhado a estratégia.
6. Implantação (Plano de Ação) – Está e etapa em que após as análises e as identificações dos
riscos, elaboração os planos de ação para realizar as implantações.
7. Monitoramento e Reavaliação – O monitoramento dos controles internos é realizado pela

equipe de gerenciamento dos controles internos, os quais devem avaliar os controles criados
e/ou selecionado para serem monitorados e assim efetivar dos executores as evidências de que
os controles estão sendo executados.
8. Reavaliação – A reavaliação dos controles internos depende muito da estratégia, tamanho

e porte da organização, mas sempre é recomendável que as reavaliações dos controles
internos sejam feitas pela Auditoria Interna, a qual mantém a sua independência para análise
e julgamento.
6. Framework - Priorização Diretrizes de Governança Para Controles Internos

ESTRUTURA DE CONTROLES INTERNOS
Priorização das atividades (implantação e monitoramento)
Documentar os fluxos das Determinar método de quantificação

Workshop
informações e os controles internos de qualidade de erros
Efetuar entrevistas e revisões Identificar melhorias em infra, Definir ações de remediação e

de amostra documental pessoal e processos implementação
Fazer diagnóstico Fazer diagnóstico

Analisar resultados
(questionamentos, reuniões) (questionamentos, reuniões)
Treinamento Normatização Medição
Diretrizes de governança, aprovações da gestão e domínio do “framework”
Infraestrutura Capital humano Processos

Entender a estrutura física e de Benchmark com melhores práticas:
Avaliar políticas internas e recursos
tecnologia características e riscos do negócio
Fazer walkthrough e identificar Fazer walkthrough e identificar Fazer walkthrough e identificar

necessidades necessidades necessidades
Implementar mudanças que atendam Modificar, implementar o fluxo e

Complementar, modificar, implementar
negócio considerando plano de controles e complementar
as políticas, manual e código de ética
crescimento documentação
Testes e Avaliações Periódicas

Adaptações: Clézio de Alcantara Santos

7. Reflexão - A Gestão de Controles Internos Deve Ser de Responsabilidade do Escritório de

Processos?
Cada vez mais a Gestão por Processos ganha força e adeptos no século XXI, como as
atribuições na Gestão de Processos é extremamente robusta, até porque temos em curso uma
proposta para que o BPM se torne uma ciência. Assim vemos a possibilidade da área de
controles internos serem absorvidos pelo BPMO.
O que é Controle Interno?
Controle Interno é o conjunto de procedimentos, normas e objetivos estabelecidos pela

administração da empresa com o objetivo de cumprir a política administrativa da organização
e proporcionar confiança no que diz respeito à eficácia e eficiência dos recursos.
Com base nessa definição de controles internos, as organizações que possuem um olhar sobre
eles e que pretende avançar em gestão de processos, deve-se atentar para esta prerrogativa,
ou seja, da possibilidade de os controles internos serem implementados pelo Escritório de
Processos e servindo ainda como alicerce para as validações e revisões de Gestão de Riscos e
Auditoria Interna de Processos, conforme diagrama abaixo.
7. Glossário
 Apetite a Riscos: A quantidade total de riscos que uma organização está disposta a aceitar
para alcançar os objetivos em busca de sua missão ou visão;
 Conformidade: Empregada em face aos objetivos e relacionada com o cumprimento do

arcabouço legal.
 Controles Automatizados: Executados por sistemas seguros e confiáveis, não dependendo de

julgamentos pessoais para garantir a consistência, precisão e tempestividade;
 Controles Compensatórios: Executados quando da ausência de implantação dos demais

controles;
 Controles Detectivos: Executados ao longo do processo. Detectam erros que são difíceis de
definir ou prever;
 Controles Diretivos: Controles que direcionam para os comportamentos desejados, porém

não garantem ou previnem a ocorrência de falhas e erros intencionais ou não;
 Controles Manuais: Executados por pessoas sem suporte sistêmico;
 Controles Preventivos: Executados no início do processo. Previnem o acontecimento de erros

ou irregularidades e minimizam os riscos na fonte;
 Evento: Incidente ou ocorrência, a partir de fontes internas ou externas a uma entidade,

capaz de afetar a realização dos objetivos;
 Impacto: Resultado ou efeito de um evento. Poderá haver uma série de impactos possíveis
associados a um evento. O impacto de um evento pode ser positivo ou negativo em relação
aos objetivos de uma organização;
 Integridade: A qualidade ou o estado de possuir princípios morais íntegros; retidão,

honestidade e sinceridade; fazer aquilo que é certo, professar e viver de acordo com uma série
de valores;
 Risco: A possibilidade de que um evento ocorra e afete desfavoravelmente a realização dos

objetivos;
 Stakeholders: Partes interessadas.
Contatos com Autor:

 E-mail: clezio.alcantara@gmail.com
 Instagram: clezioalcantarasantos
 Linkedin: https://www.linkedin.com/in/clezio-de-alc%C3%A2ntara-santos-940b1071/

Manual de Implantacao de Controles Internos

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Manual de Implantacao de Controles Internos

Enviado por

Direitos autorais:

Formatos disponíveis

Manual de Implantação de Controles Internos - Clézio de Alcantara Santos

Licenciado para - Marcelo vicente da costa - 93865287115 - Protegido por Eduzz.com

Manual de Implantação de Controles Internos - Clézio de Alcantara Santos

4.1 Conceitos e Definições Sobre Gerenciamento de Processos ........................................................ 22

Manual de Implantação de Controles Internos - Clézio de Alcantara Santos

O Manual de Implantação de Controles Internos surge em razão da

Apresentaremos neste guia sugestões de práticas para a

Porém todo e qualquer tipo de estudo e implementação de

Um ponto importante que nunca podemos deixar de lado é a

Clézio de Alcantara Santos – 2021

Manual de Implantação de Controles Internos - Clézio de Alcantara Santos

2. Conhecendo os Controles Internos

2.1 O Sistema Organizacional Como Ambiente de Aplicação dos Controles Internos

Não existe uma estrutura organizacional acabada e nem

Basicamente o sistema organizacional se divide em três grandes frentes, que são:

Sistema Institucional – Composto da missão, visão, valores e modelo de gestão.

Sistema de Gestão – É composto para a formatação da estratégia, o planejamento

Sistema Físico Operacional – Responsável pelos ativos organizacionais, processos produtivos,

Manual de Implantação de Controles Internos - Clézio de Alcantara Santos

Com base no desdobramento do sistema organizacional é possível começar a entender onde

2.2 A Iniciativa COSO, Origens e Áreas de Atuação

O COSO® (Committee of Sponsoring Organizations of the Treadway Commission) é uma

Manual de Implantação de Controles Internos - Clézio de Alcantara Santos

Controles Internos e os Principais Eventos Relacionados

Como podemos ver, toda a evolução e conceitos sobre controles internos

2.2.1 A Regulação dos Controles Internos

Manual de Implantação de Controles Internos - Clézio de Alcantara Santos

 O estabelecimento dos objetivos e procedimentos pertinentes aos mesmos;

 A verificação sistemática da adoção e do cumprimento dos procedimentos definidos em

 Realizado por pessoas – Não se trata simplesmente de um manual de políticas e

 Capaz de proporcionar segurança razoável - Mas não absoluta, para a estrutura de

Manual de Implantação de Controles Internos - Clézio de Alcantara Santos

 Componentes: são representados pelas linhas;

 Estrutura organizacional da entidade: representada pela terceira dimensão.

 Divulgação – Confiabilidade de relatórios;

 Conformidade – Cumprimento de leis e regulamentos aplicáveis.

Manual de Implantação de Controles Internos - Clézio de Alcantara Santos

3. A administração estabelece as estruturas, os níveis de subordinação e as autoridades e

Manual de Implantação de Controles Internos - Clézio de Alcantara Santos

As atividades de controle, visando mitigar potenciais perdas originadas da exposição ao risco e

 Desenvolver metodologias, ferramentas, sistemas, infraestrutura e governança necessária

 Disseminar a cultura de riscos e controles e divulgar as práticas líderes e políticas relacionadas

 Monitorar as atividades da 1ª linha de defesa visando garantir a definição das

 Mapear e avaliar periodicamente os processos, regras, modelos, sistemas, riscos e atividades

 Assegurar a existência de governança para avaliação de produtos e serviços, bem como

 Efetuar verificações nas unidades de negócio a m de validar a veracidade das respostas em

 Disseminar os temas de riscos e controles junto à 1ª Linha de Defesa e aos órgãos de

Manual de Implantação de Controles Internos - Clézio de Alcantara Santos

A seguir as principais áreas de interação com a área de Controles Internos.

A Alta Administração, com a supervisão da estrutura de governança, fixa objetivos que se

A função de Compliance contribui para a prevenção e mitigação de exposições a riscos

A função e a atuação da área de Controles Internos permeiam toda a organização, incluindo

As atividades de controle estão dentre os principais mecanismos para mitigação de riscos,

As Instituições devem implementar e manter atividade de auditoria interna compatível com a

Manual de Implantação de Controles Internos - Clézio de Alcantara Santos

2.7.1 Ambiente de Controle

 Normativos Internos - Conjunto de políticas, circulares, normas, regulamentos, manuais de

 Estrutura Organizacional - A estrutura de governança tem independência em relação aos

 Gestão de Mudanças - A organização identifica e avalia os impactos que as mudanças

 Mapeamento de Processos - O mapeamento de processos de negócios objetiva determinar

 Passo a Passo - É um processo que consiste na revisão do fluxo de atividades de um

 Controle Chave - Controle ou conjunto de controles que possuem a maior capacidade de

 Canais de Denúncia - Canal estabelecido para recepção e/ou encaminhamento da