COMPLIANCE E CONTROLE NA

ADMINISTRAÇÃO PÚBLICA
AULA 5

Prof. Rogério Carlos Born

 CONVERSA INICIAL

Nesta aula estudaremos a metodologia COSO de controle interno

desenvolvida pelo Comitê das Organizações Patrocinadoras.
No primeiro tema, a origem e o histórico da metodologia COSO será
apresentada para que possa entender, em uma visão panorâmica, a sua
concepção.
No segundo tema, você conhecerá os objetivos e os componentes da
metodologia COSO.
No terceiro tema, você será capaz de identificar os eventos positivos e
negativos que justificam a aplicação da metodologia COSO.
No quarto capítulo, serão vistos os processos, procedimentos e política
de controle das atividades administrativas da administração pública.
No quarto tema, após aprender como identificar os eventos negativos,
você será capaz de avaliar os riscos que envolvem as ações administrativas.
Por fim, o quinto tema será arrematado com as atividades de controle
como instrumento de resposta aos riscos prevenidos, precavidos e
implementados.

TEMA 1 – DEFINIÇÃO DA METODOLOGIA COSO I

A metodologia COSO é um sistema de controle interno desenvolvido a

partir de um relatório denominado Controle interno – estrutura integrada editado
em 1992 pelo Committee of Sponsoring Organizations of the Treadway
Comission-COSO (Comitê das Organizações Patrocinadoras).
O Comitê é uma associação sem fins lucrativos com o objetivo de
contribuir para o aperfeiçoamento dos relatórios e demonstrativos financeiros a
partir de procedimentos éticos, efetivos dos controles internos e da governança
corporativa. Possui autonomia em relação aos seus patrocinadores e a sua
composição é integrada por executivos, contabilistas, entidades de
investimentos e a New York Securities Exhange (NYSE).
Essa associação é patrocinada pela Associação Americana de
Contadores (American Accounting Association – AAA); o Instituto Americano de
Contadores Públicos Certificados (American Institute of Certified Publica
Accontants – AICPA); os Executivos Financeiros Internacional (Financial
Executives International – FEI); o Instituto dos Contadores Gerenciais (The

2
 Association for Accountans and Financial Professional in Business – IMA); e o
Instituto dos Auditores Internos (The Institute of Internal Auditors – IIA).
As metodologias COSO foram incorporadas na administração pública por
um estudo publicado em 2004 pela Organização Internacional de Entidades
Superiores de Fiscalização (Intosai), que compatibiliza os conceitos e as
diretrizes do controle interno ao poder público.
A ideia desse relatório foi compatibilizar e padronizar apenas uma
definição de controle interno que atendesse a todos os interessados a partir de
estereótipos de critérios avaliativos de sistemas de controles internos.
O documento Controle interno – estrutura integrada, também conhecido
como COSO I, define os controles internos (no plural) como:

Um processo, efetuado pela gerência, pelos diretores, administradores

e outras pessoas da entidade, implementado para fornecer razoável
segurança no alcance dos objetivos, nas seguintes categorias: eficácia
e eficiência das operações; fidedignidade dos relatórios financeiros; e
cumprimento das leis e regulamentos aplicáveis (COSO, 2013).

Na metodologia COSO I o processo é iniciado pelo compliance quando

são verificadas as compatibilidades das ações controladas com as leis, atos
normativos, estatutos e regulamentos. Além da legalidade, constata-se que as
operações estão sendo realizadas com a forma mais eficaz, com a melhor
eficiência e com economicidade do erário. Também é aferido se as informações
registradas espelham a realidade interna, se a entidade está cumprindo os seus
objetos e objetivos de atender aos interesses públicos e coletivos e, por fim,
investigar a presença de erros ou fraudes.
Nesse ponto, é necessário esclarecer que a expressão compliance é
denominada como “programa de integridade” pela Administração Pública da
União. O ato normativo que dispõe sobre a responsabilização administrativa
define o compliance ou programa de integridade como:

Conjunto de mecanismos e procedimentos internos de integridade,

auditoria e incentivo à denúncia de irregularidades e na aplicação
efetiva de códigos de ética e de conduta, políticas e diretrizes com
objetivo de detectar e sanar desvios, fraudes, irregularidades e atos
ilícitos praticados contra a administração pública, nacional ou
estrangeira (Decreto n. 8.420/2015, art. 41).

O sistema COSO I se tornou referência de mercado em razão de ser a

metodologia mais completa de controle interno, sendo amplamente adotado
pelos auditores independentes como modelo para revisão e emissão de

3
 pareceres que opinam acerca de demonstrativos financeiros. Isso porque fixa
uma única definição de controle interno para todas as organizações, servindo
como um paradigma para análise e melhoria do controle interno (Corbari,
Macedo; 2011, p. 111).

TEMA 2 – OBJETIVOS E COMPONENTES DA METODOLOGIA COSO II

Os componentes do COSO I (controle interno) são o ambiente e a

atividade de controle, a avaliação dos riscos, a informação e a comunicação, e
o monitoramento do COSO II (gerenciamento de riscos) são o ambiente interno,
a avaliação e a resposta aos riscos, a atividade de controle, a fixação dos
objetivos, a identificação de eventos, a informação e comunicação, e o
monitoramento.
Corbari e Macedo (2011, p. 114) ensinam que:

O objetivo do controle interno é oferecer garantia razoável de que os

objetivos de comunicação e de conformidade estão sendo alcançados,
pois estão sob o controle da organização, que tem total controle sobre
a sua capacidade de fazer o que for necessário para atingi-los.
Entretanto, os objetivos estratégicos e operacionais não estão sob
controle exclusivo da organização, pois sujeitam-se a eventos
externos, como a mudança de governo, a evolução tecnológica, as
condições climáticas adversar, entre outros.

Os autores frisam que “enquanto os objetivos representam o que a

organização deseja alcançar, os componentes do controle interno se
caracterizam como aquilo que é necessário para que a organização alcance seu
objetivo” (Corbari; Macedo, 2011, p. 114).
Como componente da metodologia COSO I, o ambiente interno
conglomera todo o arcabouço cultural, os valores éticos, a competência e a
capacitação dos recursos humanos e a política de gestão de riscos.
Os elementos que compõem o ambiente interno são os que se seguem.

• A filosofia de gestão de riscos consiste na consciência e nos estilos

compartilhados entre as equipes que são conjeturadas nas ações
realizadas pelos gestores do poder público. É estimulada pela cúpula
administrativa pelas atitudes correntes e pelas comunicações orais e
expressas.

• O apetite de risco consiste no grau pelo qual a administração pública está

disposta a aceitar. Equipara-se a um mercado de ações na bolsa de

4
 valores na qual o investidor que aposta na elevação dos papéis corre o
risco de ter lucratividade elevada e perda de capital a curto prazo.

• A integridade de valores éticos são os fatores que influenciam os estilos

e as estratégias de gestão, preferências e preterições e o julgamento de
valores que são importantes para a organização e, para Corbari e Macedo
(2011, p. 116) “Determinados fatores podem influenciar no
comportamento antiético levando os indivíduos a cometerem atos
desonestos, ilegais e práticas fraudulentas. Isto acontece simplesmente
em virtude de a organização lhe propiciar forte incentivo ou tentação para
agir desta forma”.

• O compromisso com a competência espelha o grau de capacitação e a

habilitação para o cumprimento de atribuições que dependem dos níveis
de inteligência, inteligibilidade, experiência e treinamento. Nesse
componente é necessária a visão dos gestores em busca do custo que
deve ser destinado ao aperfeiçoamento e a área a ser capacitada.

• O organograma são os pilares que sustentam as ações que são

desenvolvidas e onde são definidas as autoridades decisórias, a
hierarquia e a segregação de funções. Nas relações hierárquicas é que
se controla o planejamento, a execução e o fluxo de informação.

• A atribuição de responsabilidades estabelece os poderes e os limites

decisórios e executivos de toda a cadeia hierárquica, bem como o
incentivo para a tomada de novas ações;

• Por fim, os modelos de gestão de pessoas que são as boas práticas que
transmitem os valores éticos e a competência pela capacitação
continuada, seleção de colaboradores, os sistemas de carreiras e o
processo disciplinar.

• Em 2004, foi criado a metodologia COSO II – gerenciamento de risco, que

acrescenta a análise de riscos para complementar as análises do primeiro
sistema metodológico.

• A comunicação está relacionada com a credibilidade dos demonstrativos.

Possui uma ligação direta com confiabilidade dos registros contidos em
demonstrativos internos e externos contábeis ou financeiros. A

5
 confiabilidade de uma informação é evidenciada pela exatidão, precisão,
completude, tempestividade e contemporaneidade.

• A conformidade com o compliance é atrelado à obediência às leis, atos

normativos, estatutos e regulamentos. No norte desse objetivo estão os
princípios da legalidade e da reserva legal no âmbito externo e o estatuto
ou contrato social no âmbito interno.

• A estratégia está “relacionada às metas gerais, alinhadas de forma a dar

suporte à missão da organização”.

• Por fim, as operações possuem o elo entre a eficácia e a eficiência dos

recursos humanos e materiais (Corbari, Macedo; 2011, p. 114). Os
objetivos operacionais, na prática, buscam o aperfeiçoamento como
impulso para que a instituição alcance o seu desiderato. Tais objetivos
devem ser bem formulados, claros e os recursos humanos e materiais
deverão ser muito bem aproveitados em busca da economicidade,
eficiência e eficácia (Corbari, Macedo; 2011, p. 119).

TEMA 3 – IDENTIFICAÇÃO DE EVENTOS

A identificação de eventos é o elemento da metodologia COSO que

relaciona o diagnóstico dos eventos internos e externos que atingem o poder
público nas oportunidades e nos riscos em busca do cumprimento das
exigências para a conquista dos objetivos de conformidade ou compliance, de
comunicação, de estratégia e de operação.
Pereira (2019) sugere a identificação dos riscos que representam as
maiores exposições aos riscos legais pela formulação de questionamentos sobre
o que pode dar errado e onde poderá ser cometida uma falha; onde estão as
vulnerabilidades; quais são os ativos que devem ser protegidos e quais os ativos
alternativos; onde pode ocorrer fraudes, desvios ou desfalques; o que pode
causar a suspensão ou o impedimento das operações; se existe a consciência
quanto aos objetivos, missão e a tarefa a ser desenvolvida e como identificar se
os objetivos foram alcançados; quais são as orientações mais importantes; onde
é gasto o dinheiro e como pagamos os fornecedores e credores de bens e
serviços; como recebemos os tributos dos contribuintes e quais as atividades
são mais complexas e quais são regulamentadas.

6
 Os eventos são identificados pelos fatores de oportunidades, externos,
econômicos, ambientais, políticos, sociais e tecnológicos.
Os fatores de oportunidades consistem em eventos com resultados
positivos e direcionados para a consolidação dos objetivos da administração
pública, bem como alargar as ocasiões de criar ou ampliar os valores da
entidade. Os riscos consistem em eventos negativos em situações em que
exigem avaliações mais aprofundadas e a busca de respostas mais seguras, ou
seja, são os fatores que impedem que a instituição alcance a sua missão
organizacional.
Os fatores externos e suas consequências influenciam as oportunidades
e os riscos pelos eventos econômicos, ambientais, políticos, sociológicos e
tecnológicos.
Os fatores econômicos são os riscos decorrentes das oscilações de
preços, as crises financeiras, as restrições de financiamentos, as variações do
câmbio, a carência de recursos humanos e materiais, dentre outros.
Os fatores ambientais são os riscos naturais decorrentes de eventos
causados no meio como incêndios, inundações, abalos sísmicos, os fatores
geológicos não previstos em projetos de obras e outros.
Os fatores políticos ocorrem em razão de ocorrências de grupos políticos
que influenciam a administração como a inexistência de coalizão entre o chefe
do Executivo e o Poder Legislativo, a criação ou revogação de leis importantes
ao projeto e a ausência de verticalidade política entre os entes federativos.
Os fatores sociais ocorrem quando ocorrem eventos demográficos, nos
costumes, nas famílias, no trabalho, nas associações que afetam diretamente a
execução de políticas públicas como as greves, os movimentos sociais, o
fechamento de uma grande empresa e outros.
Os fatores tecnológicos surgem com obsolescência, a inadequação, a
subutilização, a não utilização ou a depreciação de recursos tecnológicos.
Além dos fatores externos, inúmeros fatores negativos internos
necessitam da ação do gestor para o impedimento de sua ocorrência ou a
minimização dos seus efeitos.
O primeiro fator é a infraestrutura quando as obras podem colocar em
perigos as pessoas e bens em razão da precariedade da construção ou da falta
de manutenção permanente, cabendo ao administrador avaliar a oportunidade
de recuperação, restauração, revitalização ou nova aquisição de outro bem.

7
 O segundo fator são os recursos humanos em razão dos riscos
decorrentes da falta de qualificação, ausência de proteção contra acidentes de
trabalho, a conscientização ética do corpo de servidores quanto à missão
institucional, a idoneidade do colaborador e outros elementos que podem
comprometer a eficiência e a eficácia do serviço.
O quarto fator são os processos quanto ao bom andamento dos projetos,
principalmente quando envolve a execução por agentes alheios à administração
pública como terceirizados ou colaboradores de empresas contratadas pelo
Poder Público.
Por fim, o quinto fator são os riscos provenientes das fraudes e erros da
tecnologia como as violações da segurança, os vazamentos de informações, as
transações fraudulentas, as falhas de execução e os programas e equipamentos
inadequados.

TEMA 4 – AVALIAÇÃO DE RISCOS

Considerando que a possibilidade de implementação dos riscos sempre

estará presente e quando isso ocorre pode dificultar e até mesmo impedir a
consecução dos resultados desejados, a avaliação de riscos é o procedimento
de identificação, mapeamento, probabilidade, impacto e possíveis medidas de
prevenção e de precaução.
A avaliação dos riscos, na verdade, é destinada a minimizar as
consequências operacionais, financeiras e estratégicas e encontrar meios de
minimizar os eventuais perigos que venham a ser implementados.
Marcus Silva (2011, p. 239-240) esclarece que, nas auditorias, os riscos
pode se bifurcar em três degraus:

Riscos relacionados ao ambiente externo: podem ser riscos políticos,

riscos econômicos, riscos tecnológicos, riscos legais, riscos ambientais
etc.
Riscos relacionados ao ambiente operacional: riscos de produção,
riscos de capacidade operacional, riscos do patrimônio físico etc.
Riscos relacionados a informações: falta ou má qualidade das
informações para o processo decisório.
Esta análise dos riscos é feita na fase de planejamento dos trabalhos,
para estabelecer o grau de priorização dos trabalhos da auditoria,
analisando-se, ainda, os fatores da materialidade, da relevância e da
criticidade.

8
 Marcos Pereira (2019) enumera como perspectivas para avaliação de
riscos a probabilidade das chances de o evento negativo ser implementado e o
impacto dos efeitos que o risco implementado poderá produzir.
Clóvis Luís Padoveze (2017), em primeiro plano, avalia o impacto como
alto, quando o a probabilidade da ocorrência for alta ou provável. Em segundo
plano, avalia o impacto como moderado, quando o a probabilidade da ocorrência
for moderada ou possível. Por fim, avalia o impacto como baixo, quando a
probabilidade da ocorrência for baixa ou remota.
Padoveze (2017) também classifica os riscos nas faixas superior,
intermediária e inferior. A faixa superior é o grau de risco intolerável e que atinge
diretamente os objetivos da organização, por isso necessita de cuidado extremo
do administrador para ser minimizado independentemente do custo da redução.
A faixa intermediária é o grau em que os riscos atingem os objetivos, mas onde
os custos para evitar ou minimizar o risco deverão ser ponderados. Por
derradeiro, a faixa inferior é o grau no qual os riscos são tão pequenos que
poderão ser negligenciados por serem muito pequenos ou porque o custo para
saná-los é muito maior que os prejuízos experimentados.
Para Padoveze (2017), a elaboração de um mapa ou matriz de risco é a
melhor e mais abrangente ferramenta para o gerenciamento dos perigos que
ameaçam o cumprimento dos objetivos institucionais, uma vez que,
panoramicamente, possibilita a visualização da probabilidade e do impacto do
risco para a tomada de decisões quanto às ações mais eficientes.
Corbari e Macedo (2011, p. 128) demonstram que:

Ao determinar respostas a riscos, a administração deverá levar em

conta:
• Os efeitos das respostas em potencial sobre a probabilidade e o
impacto do risco e que as opções de respostas são compatíveis com
as tolerâncias ao risco da organização.
• O custo versus os benefícios das respostas em potencial.

Pela metodologia COSO (2013), como resposta, é possível evitar, reduzir,

compartilhar ou aceitar os riscos. Evitar significa a interrupção ou aborto dos
eventos arriscados, o que pode ter como consequências a paralização de
projetos e programas de implementação políticas públicas. Reduzir significa a
adoção de medidas que diminuam a possibilidade de ocorrência de um evento
ou impacto negativo. Compartilhar é a ação que minimiza o impacto pela
transferência dos riscos a terceiros como firmar uma apólice de seguro. Por fim,

9
 aceitar significa correr o risco pela omissão quanto aos possíveis impactos
provocados pela implementação de eventos negativos.
Para o autor, quando houver a baixa probabilidade de um alto risco, este
risco deve ser compartilhado. Quando houver a baixa probabilidade de um
baixo impacto este risco deve ser assumido. Quando houver o alto impacto e a
alta probabilidade, esse risco deve ser evitado, compartilhado ou reduzido.
Finalmente, quando houver a alta probabilidade e o baixo impacto, o risco deve
ser reduzido.

TEMA 5 – ATIVIDADES DE CONTROLE E RESPOSTAS AOS RISCOS

As atividades de controle são os processos, procedimentos e políticas

pela qual a gestão pública deverá garantir que as respostas aos riscos sejam
executadas de forma adequada, eficiente, eficaz e oportuna.
A metodologia COSO (2013) recomenda que as atividades de controle,
para serem efetivas, dependerão de algumas qualidades. Primeiramente,
deverão ser apropriadas para aplicação proporcional ao risco conforme as
necessidades corretas da área em perigo. Depois, as atividades de controle
deverão funcionar de forma consistente e cumpridas de forma planejada por
todos os envolvidos. Ainda, as atividades de controle deverão gerar um custo
correspondente que não excedam os benefícios resultantes. Por fim, as
atividades de controle deverão ser compreensíveis, razoáveis e relacionadas
diretamente com os objetivos de controle.
Na fase de auditoria, Marcus Silva (2011, p. 240) frisa que se deve
priorizar os seguintes procedimentos técnicos:

a) Inspeção – exame de registros, documentos e de ativos tangíveis.

b) Observação – acompanhamento de processo ou procedimentos
quando de sua execução.
c) Investigação e confirmação – obtenção de informações junto a
pessoas ou entidades conhecedoras da transação, dentro ou fora da
entidade.
d) Cálculo – conferência da exatidão aritmética de documentos
comprobatórios, registros e demonstrações contábeis e outras
circunstâncias; e
e) Revisão analítica – verificação do comportamento de valores
significativos, mediante índices, quocientes, quantidades absolutas ou
outros meios, com vistas à identificação de situação ou tendências
atípicas.

Pereira (2019) aponta dez atividades de controle que são realizadas em

sentido estrito.

10
 A primeira é a atividade de detecção pela revisão pela cúpula
administrativa quando efetua uma comparação entre os desempenhos
orçamentários do exercício atual com o efetivo exercício financeiro dos
exercícios anteriores.
Silva frisa que, na aplicação dos procedimentos de revisão analítica
deverão ser considerados: “a) o objetivo dos procedimentos e o grau de
confiabilidade dos resultados alcançáveis. b) a natureza da entidade e o
conhecimento adquirido nas auditorias anteriores; e c) a disponibilidade de
informações, sua relevância, confiabilidade e comparabilidade” (Silva, 2011, p.
240-241).
A segunda é a atividade de detecção pela administração funcional
direta ou a execução pela análise de demonstrativos de desempenho pelos
gestores.
A terceira é a atividade de detecção e de prevenção de processamento
da informação consistente em uma gama de controles destinada ao exame da
precisão, integridade e autorização das transações quando as informações ficam
sujeitas à confrontação ou ao batimento.
A quarta é a atividade de detecção e segurança de controles físicos de
identificação de valores institucionais que devem merecer a proteção contra
a utilização e comercialização não autorizada. Nessa seara, devem ser criados
mecanismos de controle de acesso, circulação de pessoas e bens, senhas e
contrassenhas. Nessa atividade entram os processos de inventários de itens
materiais como estoques, equipamentos, máquinas, títulos, numerário etc.
A quinta é a atividade de detecção dos indicadores de desempenho
relacionados a análise de relacionamentos e medidas de correção e investigação
referentes aos registros operacionais e financeiros.
A sexta é a atividade de prevenção de segregação de funções pela
distribuição das responsabilidades e obrigações entre colaboradores e órgãos
distintos para reduzir o risco de fraude pela autofiscalização. Assim, é
imprescindível que as conciliações, a contabilidade, os dados, as informações,
as autorizações, a custódia, as contratações, o inventário, os pagamentos, a
gestão de recursos próprios e alheios, as regulamentações e a fiscalização
sejam exercidos por órgãos e pessoas diferentes.

11
 A sétima é a atividade de prevenção por alçada que fixam os limites a
cada colaborador para a aprovação de valores ou assunção de deveres e
obrigações em representação da organização.
A oitava é a atividade de prevenção de concessão de autorizações em
que é necessário definir quais são os atos que dependem de supervisão para
serem efetivadas.
A nona é a atividade de detecção de conciliações nas quais se adotam
ações corretivas a partir da confrontação de dados ou informações em bases
diferentes de controle.
Por fim, a décima é a atividade de prevenção a partir da normatização
interna em que atos normativos definem as responsabilidades, as políticas
corporativas, os fluxos operacionais, as funções e os procedimentos.
Para a Organização Internacional de Entidades Superiores de
Fiscalização (Intosai), as atividades de controle aplicadas em todos os níveis
organizacionais envolvem um conjunto de atividades detectivas e preventivas
que são os requisitos e os processos de autorização e ratificação; a segregação
de funções para autorização, execução, controle e registro; os controles de
acesso e de registros e recursos; as conciliações; verificações; avaliações de
desempenho operacional, das operações, dos processos e das atividades e a
supervisão para alocação, aprovação, capacitação, orientação e revisão. Os
elementos que definem as atividades de controle são baseados na política do
que deve ser efetuado e os procedimentos para o seu cumprimento.
Os sistemas de informação envolvem, primeiramente, os controles
gerais que asseguram uma operação adequada e contínua de administração da
tecnologia de informação, administração de segurança, aquisição,
desenvolvimento e manutenção de programas de informática. Depois, também,
alcança o controle de aplicativos que se concentra na configuração, precisão na
autorização e na validação dos dados processados, garantindo que os dados
sejam coletados e gerados conforme a necessidade, “quando os aplicativos de
apoio estiverem disponíveis e quando os erros de interface forem detectados”
(Corbari; Macedo, 2011, p. 132).
Corbari e Macedo (2011, p. 133) ressaltam que:

As informações são vitais para que a organização pública conduza e

controle suas operações. Sem informações fidedignas e
disponibilizadas em tempo hábil, será difícil identificar proativamente a
área de risco e agir em relação a ela.

12
 [...]
A comunicação é inerente a todos os sistemas de informação. Os
sistemas devem subsidiar as pessoas para que possam desenvolver
suas responsabilidades operacionais, de comunicação e de
conformidade, além de que devem conduzir as pessoas ao caminho da
realização dos objetivos organizacionais.

Considerando o binômio da informação e comunicação, Corbari e Macedo

(2011) idealizam alguns questionamentos que devem ser formulados para
objetivar registros e dados com qualidade. É necessário, em primeiro lugar,
verificar se o conteúdo de informações é apropriado e questionar se o nível de
detalhamento está adequado. Em segundo lugar, se são oportunas as
informações para se questionar e se ficarão disponíveis sempre que for
necessário. Em terceiro lugar, a atualidade das informações, questionando-se se
são as mais recentes. Em quarto lugar, verificar se a exatidão das informações
para questionar se estão corretas. Em quinto e último lugar, verificar se as
informações são de acesso fácil e se todos podem obtê-las (Corbari; Macedo,
2011, p. 133).
Por derradeiro, é necessário um monitoramento dos riscos advindos das
atividades da administração pública. Primeiramente, o monitoramento das
atividades deve ser contínuo por meio das operações normais de supervisão
para combate às atividades irregulares, antiéticas, antieconômicas, ineficazes e
ineficientes. Além disso, são importantes as avaliações independentes sobre
alguns eventos negativos conforme a necessidade apontada no monitoramento
contínuo, haja vista que quanto mais contínuo o monitoramento, menor a
necessidade de avaliação independente (Corbari; Macedo, 2011, p. 135).

NA PRÁTICA

O Tribunal de Contas da União trouxe a seguinte decisão envolvendo a

avaliação de riscos na administração pública:

A Administração deve fazer constar de seus estudos preliminares que

vierem a fundamentar a aquisição de agenciamento de transporte
terrestre dos servidores, empregados e colaboradores por demanda,
os serviços de transporte individual privado de passageiros (STIP) -
Uber, Cabify, etc. - que estiverem em operação, bem como a avaliação
dos riscos decorrentes da centralização dos serviços em um único
fornecedor e sua sustentabilidade ao longo do tempo, levando em
conta, por exemplo, as possíveis vantagens do parcelamento do objeto
e a possibilidade de credenciamento de empresas agenciadoras de
transporte individual de passageiros.

13
 FINALIZANDO

No primeiro tema foi possível trazer uma definição sobre a metodologia

COSO como um sistema de controle desenvolvido pelo Comitê das
Organizações Patrocinadoras (COSO). O documento Controle interno –
estrutura integrada, também conhecido como COSO I, define os controles
internos (no plural), enquanto a metodologia COSO II analisa o gerenciamento
de risco empresarial que acrescenta a análise de riscos para complementar as
análises do primeiro sistema metodológico.
No segundo tema foi identificado que os objetivos do COSO I (controle
interno) são as operações, e o compliance, as operações e os relatórios
financeiros e do COSO II (gerenciamento de riscos) que tem como principais
objetivos a comunicação, a conformidade, a estratégia e, também, as operações.
No terceiro tema foi analisado o modelo COSO de identificação de
eventos negativos e positivos como elemento que se relaciona com o diagnóstico
dos eventos internos e externos que atingem o poder público nas oportunidades
e nos riscos em busca do cumprimento das exigências para a conquista dos
objetivos de conformidade ou compliance, de comunicação, de estratégia e de
operação.
O quarto tema abordou a avaliação de riscos como procedimento de
identificação, mapeamento, probabilidade, impacto e possíveis medidas de
prevenção e de precaução e que é destinado a minimizar as consequências
operacionais, financeiras e estratégicas contra perigos que venham a ser
implementados.
Por fim, o quinto tema constatou que as atividades de controle são os
processos, procedimentos e políticas pelos quais a gestão pública deverá
garantir que as respostas aos riscos sejam executadas de forma adequada,
eficiente, eficaz e oportuna.

14
 REFERÊNCIAS

BRASIL. Decreto 8.420, de 18 de março de 2015. Regulamenta a Lei n. 12.846,

de 1º de agosto de 2013, que dispõe sobre a responsabilização administrativa
de pessoas jurídicas pela prática de atos contra a administração pública,
nacional ou estrangeira e dá outras providências. Diário Oficial da União, 19
mar. 2015. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-
2018/2015/decreto/d8420.htm>. Acesso em: 10 jul. 2021.

COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY

COMMISSION. COSO I: Controle interno – estrutura integrada. São Paulo:
Instituto dos Auditores Internos do Brasil, 2013. Disponível em:
<http://www.auditoria.mpu.mp.br/bases/legislacao/COSO-I-
ICIF_2013_Sumario_Executivo.pdf>. Acesso em: 16 fev. 2021.

COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY

COMMISSION. COSO II: Gerenciamento de riscos corporativos integrado
com estratégia e performance. São Paulo: Instituto dos Auditores Internos do
Brasil, 2017. Disponível em:
<https://d335luupugsy2.cloudfront.net/cms/files/43769/1517856415Coso_Portu
gues_17.pdf>. Acesso em: 16 fev. 2021.

CORBARI, E. C.; MACEDO, J. de J. Controle interno e externo na

Administração. Curitiba: IBPEX, 2011.

ORGANIZAÇÃO INTERNACIONAL DE ENTIDADES SUPERIORES DE

FISCALIZAÇÃO (INTOSAI). Controle de Qualidade para as EFS. Brasília:
Tribunal de Contas da União, 2016. Disponível em:
<file:///C:/Users/rcbor/Downloads/d_Unidades_Semec_DIRAUD_2016_Issai_Tr
adu__o%20nivel%201%20e%202_%20Issai_Issais%201_2_Vers_o%20final%
20PDF_ISSAI_40_Controle%20de%20qualidade%20para%20as%20EFS.PDF
>. Acesso em: 27 jan. 2021.

PADOVEZE, C. L. Controladoria estratégica e operacional: conceitos,

estrutura e sistema de informações. 4. ed. São Paulo: Cengage Learning, 2017.

PEREIRA, M. A. A. Controles internos e cultura organizacional: como

consolidar a confiança na gestão de negócios. 3. ed. São Paulo: Saint Paul,
2019.

15
 SILVA, M. Controle interno e controle externo. Rio de Janeiro: Ferreira, 2011.

TRIBUNAL DE CONTAS DA UNIÃO. Representação 025.964/2016-0. Acórdão

1.223/2017. Relator ministro Benjamin Zymler. Sessão de: 4 jun. 2017.

16