Controle Interno GIRC

CONTROLES INTERNOS,
GESTÃO DE RISCOS E
GOVERNANÇA NO ÂMBITO DO
PODER EXECUTIVO FEDERAL -
GIRC
Aplicação no âmbito do Ministério da

Educação - MEC
CONTROLES INTERNOS, GESTÃO DE RISCOS E GOVERNANÇA NO ÂMBITO
DO PODER EXECUTIVO FEDERAL - GIRC
MINISTÉRIO DA EDUCAÇÃO
Gabinete do Ministério da Educação
Assessoria Especial de Controle Interno
Ministro da Educação
Mendonça Filho
Chefe de Gabinete
Raphael Callou
Secretária Executiva
Maria Helena Guimarães de Castro
Chefe da Assessoria Especial de Controle Interno – AECI
Frederico Bernardes Vasconcelos
Elaboração
Sergio Arnor Vieira
Colaboradores
Alina Pinheiro Fialho
Mariza Goes Pinheiro
Ruth Mariana Lima Cordeiro

SUMÁRIO
1. CONSIDERAÇÕES PRELIMINARES 1
1.1 Amplitude da norma 1
1.2 Responsabilidade 1
1.3 Planejamento estratégico 2
1.4 Tecnologia 3
1.5 Entidades nacionais e internacionais 4
2. CONTROLES INTERNOS 11
2.1 Controles internos da gestão 12
2.2 Metodologia de implantação 14
2.3 Linhas de defesa aplicáveis aos controle interno e regulação

16
externa
PRINCÍPIOS DA GESTÃO INTEGRADA DE RISCOS E CONTROLES

3. 24
– GIRC
4. DEMAIS CONCEITOS 31
4.1 Economicidade 31
4.2 Eficiência 31
4.3 Eficácia 31
4.4 Efetividade 31
5. AMBIENTE DE CONTROLE 33
5.1 Componentes 33
5.2 Informação e comunicação 34
6. GESTÃO E GERENCIAMENTO DE RISCOS 35
6.1 Princípios de gestão de riscos 36

6.2 Objetivos da gestão de riscos 37
6.3 Estrutura do modelo de gestão de riscos 37
7. POLÍTICA DE GESTÃO DE RISCO 43
7.1 Especificação mínima 43
7.2 Tipologia dos riscos 43
7.3 Responsabilidade do gestor dos riscos 45
8. PRINCÍPIOS DE GOVERNANÇA 46
9. COMITÊ DE GOVERNANÇA, RISCOS E CONTROLE 48
9.1 COMPOSIÇÃO DO COMITÊ 49
10 COMPETÊNCIA DA CGU 50
11 MATRIZ DE NÍVEIS RISCOS 52
FIGURAS
1 Matriz tridimensional de riscos 6
Relacionamentos entre princípios da gestão de riscos, estrutura

2 9
e processos
3 Esquema de implantação dos controles internos da gestão 14
4 Sistemas de controles internos deficientes 16
5 Sistemas de controles internos eficientes 16
6 Esquemas de três linhas de defesa 23
7 Distinção entre os conceitos 32
8 Esquema de avaliação de risco 39
9 Causas e consequências na gestão de riscos 40
10 Matriz impacto/probabilidade 52
TABELA
1 Componentes da matriz tridimensional de riscos 7/8
2 Escala de peso dos impactos 53
3 Escala da ocorrência das probabilidades 53

1. CONSIDERAÇÕES PRELIMINARES
Segundo as diretrizes estabelecidas pela Instrução Normativa Conjunta CGU/MP Nº

01, de 10 de maio de 2016, os órgãos e entidades do Poder Executivo Federal
deverão adotar medidas para a sistematização de práticas relacionadas aos
controles internos, à gestão de riscos, e à governança.
Através da utilização desses instrumentos gerenciais, a finalidade do Normativo

Conjunto é, portanto, fortalecer a gestão, aperfeiçoar os processos e o alcance dos
objetivos organizacionais, por meio da criação e aprimoramento dos controles
internos da gestão, da governança e sistematização da gestão de riscos.
1.1 Amplitude da norma
A norma tem uma grande amplitude, por ser aplicável a, praticamente, todos os
órgãos e entidades do Poder Executivo Federal, incluindo a administração direta e
indireta. Desta forma, a aplicação do normativo deverá ser observada pelas
autarquias, empresas públicas, sociedades de economia mista e fundações públicas.
Não há referência explícita à aplicação pelas entidades paraestatais e pelos

conselhos profissionais. Contudo, levando-se em conta a particularidade dessas
entidades no sentido de colaborar com o Estado no desempenho das atividades de
interesse público, a fim de fortalecer as práticas de gestão e o alcance de seus
objetivos organizacionais, é recomendável que essas entidades também observem
as diretrizes dispostas no normativo.
1.2 Responsabilidade
O dirigente máximo da organização é o principal responsável pelo estabelecimento

da estratégia da organização e da estrutura de gerenciamento de riscos. Tais
responsabilidades, incluem o estabelecimento, a manutenção, o monitoramento e o
aperfeiçoamento dos controles internos da gestão.
Na iniciativa privada, normalmente, respondem por essa atribuição o conselho de

administração ou, na hipótese de não existir formalmente, a diretoria da
organização é a responsável. No que concerne aos órgãos da administração direta,
devem responder os titulares das respectivas pastas (ministros de estado).
1
Cabe aos demais funcionários e servidores a responsabilidade pela

operacionalização dos controles internos da gestão e pela identificação e
comunicação de eventuais deficiências às instâncias superiores, sem prejuízo das
responsabilidades atribuídas aos gestores dos processos organizacionais e de
programas de governos nos seus respectivos âmbitos de atuação.
Portanto, em vista de tudo até agora exposto, não há dúvida que,

independentemente da posição hierárquica, do grau de relevância e da
complexidade dos trabalhos, todos os agentes internos à Unidade são responsáveis
diretos pela efetividade da implementação dos controles internos da gestão e da
política de gestão de riscos e, consequentemente, pelo cumprimento da IN
Conjunta MP/CGU nº 01/2016.
Na hipótese de existirem, no órgão ou na entidade, áreas que tenham a

responsabilidade de apoiar e instrumentalizar a gestão de riscos e a implementação
de controles, como o caso das Assessoria Especiais de Controle Interno (AECI). Tais
áreas deverão atuar na facilitação e monitoramento do processo de gerenciamento
de riscos e no acompanhamento da implementação dos controles mitigadores dos
riscos identificados.
Sem que sejam eximidas as responsabilidades de todos os agentes do órgão ou

entidade em relação ao monitoramento e tratamento dos controles internos e
gerenciamento de riscos específicos, a atuação do órgão de auditoria interna,
conduzia pelo Ministério da Transparência e Controladoria-Geral da União (CGU)
deve guardar perfeita harmonia e estar em permanente consonância as AECI dos
Ministérios.
1.3 Planejamento estratégico
Como documento formal que estabelece os objetivos organizacionais essenciais de

médio e longo prazo, o planejamento estratégico é mais do que um documento de
significativa importância. Constitui-se um material de fundamental importância, por
estar centrado, principalmente, na comunicação, a todas as partes interessadas
internos e externos, dos objetivos, valores, missão e visão da unidade.
O fato é que as organizações necessitam de estruturas, políticas e diretrizes

organizacionais que as capacitem a identificar as novas oportunidades ou vislumbre
possíveis riscos e, assim, promovam as mudanças necessárias à adaptação a essas
mudanças.
2
No atual cenário de incertezas e vicissitudes, o planejamento estratégico adquire

uma importância central. Deve ser implementado em um processo contínuo e
maleável, capaz de suportar eventuais mudanças. Acontece que ao longo de sua
implantação podem ser encontrados diversidade de cenários que irão requerer
reavaliação e modificações para a adequação o cumprimento dos objetivos
propostos.
Não obstante sua importância e a estreita ligação com a gestão de riscos e os

controles internos da gestão, o Normativo não faz menção à sua necessidade e
imprescindibilidade de elaboração.
Todavia, em função das razões expostas, bem como eventuais mudanças

tecnológicas, culturais e legais, é conveniente que os administradores públicos
envidem os melhores esforços para a implementação do planejamento estratégico
em toda estrutura gerencial sob sua área de gestão.
1.4 Tecnologia
As disposições trazidas pela Norma definem ferramenta de suporte tecnológico na

implementação da gestão de riscos. Assim, a tecnologia empregada pode ser em
uma única, mais que uma metodologia. Por iniciativa e respeitadas as
especificidades de cada órgão em relação à disponibilidade de sua política e
metodologia, cada órgão poderá optar pela melhor ferramenta de tecnologia que
atenda a plenitude de suas necessidades. Obviamente, desde que seja considerada
a alternativa ideal para dar suporte à gestão de riscos e auxiliar e reduzir os custos
das organizações públicas na implementação da gestão de riscos.
Por exemplo, o Ministério do Planejamento, Desenvolvimento e Gestão - MP

publicou MANUAL DE GESTÃO DE INTEGRIDADE, RISCOS E CONTROLES INTERNOS
DA GESTÃO, com as instruções imprescindíveis e indispensáveis à implantação do
programa instituído pela Norma Conjunta. Para controle e gerenciamento dos
riscos, sugeriu uma planilha, em cujo conteúdo são descritos, passo a passo, os
procedimentos para identificação dos objetivos, tratamento, classificação e
monitoramento dos riscos.
Trata-se de uma ferramenta bastante completa e que pode se mostrar aplicável a

uma grande dimensão de usuários. Porém, no caso de outros órgãos, em função da
complexidade e especificidade, provavelmente o aplicativo se torne inviável.
3
Malgrado a viabilidade de utilização de ferramentas disponíveis, como o caso de

planilhas e sistemas, caso a organização já possua aplicativos e metodologias
próprias ou mesmo já adquiridas, não se justificaria a aquisição de software
específico. Entretanto, desde que os princípios e as diretrizes trazidos pelo
referencial normativo sejam atendidos, ou que as excepcionalidades sejam
adequadamente justificadas pelos gestores, poderá haver casos de aquisição de
aplicativos específicos. Neste caso, vale repetir, deve ser observado, caso a caso, e
confrontados o critério de custo versus benefícios trazidos.
Vale citar, a esse propósito, a abrangência, o tamanho e as dimensões de cada

órgão. No caso vertente do Ministério da Educação, existem não menos que 121
órgãos ligados diretamente (órgãos subordinados, como as secretarias) ou
indiretamente (órgãos apenas vinculados, como universidades, institutos e outros).
Óbvio que para estabelecer controles mínimos suficientes, podem ser admitidos
processos mais amplos e de variada e tecnologias de maiores complexidades.
1.5 Entidades nacionais e internacionais
Na esteira de diversos escândalos financeiros ocorridos no início dos anos 20001, as

entidades internacionais de monitoramento e acompanhamento dos mercados
financeiro e de capitais manifestaram interesse em melhorar os processos de
governança corporativa e gerenciamento de riscos.
COSO - Gerenciamento de Riscos Corporativos – Estrutura Integrada
Por meio de novas leis, regulamentos e de padrões a serem seguidos, restou

explícita a necessidade de uma estrutura de gerenciamento de riscos, capaz de
fornecer os princípios e conceitos fundamentais sobre o assunto. Contendo diversos
direcionamentos e orientações, foi editado o COSO Gerenciamento de Riscos
1
Segundo a revista Forbes, na classificação dos maiores escândalos financeiros recentes,
destacam-se as fraudes contábeis de 2001, totalizando US$ 78 bilhões, perpetradas pela
EROM, até então maior empresa de energia do Texas (EUA). Fraudes contábeis, em 2001,
na empresa de telecomunicações norte americana WorldCom, ocasionando perdas de US$
103,9 bilhões em ativos. Desvios financeiros ocorridos na empresa Parmalat, no valor de
14 bilhões de euros. Operações em pirâmide, que resultou em uma fraude de US$ 65
bilhões, comandada pelo gerente financeiro Bernard Madoff, de Nova York. Vale citar,
também, a falência do Banco Lehman Brothers, em 2008, em decorrência de realização de
operações ilusórias, considerada a maior falência da história, ao atingir a cifra de US$ 600
bilhões.
4
Corporativos – Estrutura Integrada2. O COSO foi concebido com intuito de

preencher essa lacuna, até então incipiente, não somente em empresas como por
outras organizações públicas e privadas e partes interessadas.
No Brasil, o COSO foi editado pela Instituto dos Auditores Internos do Brasil -
AUDIBRA, ligada à Federação Latino-Americana de Auditores Internos - FLAI. Estes
órgãos, juntamente com a empresa de auditoria PricewaterhouseCoopers
prepararam a publicação destinada aos profissionais de auditoria interna, auditoria
externa, gerenciamento de riscos, controles internos, órgãos reguladores,
conselheiros e administradores em geral, visando difundir os conceitos de riscos
corporativos definidos pelo Comitê Consultivo do COSO.
O relatório COSO atualmente é considerado o framework mais utilizado pelas

companhias norte-americanas que possuem ações em bolsa, haja vista o
atendimento da lei Sarbanes-Oxley. Particularmente no que diz respeito à seção
404 da Lei, visa assegurar a efetividade dos controles internos sobre relatórios
financeiros3.
Apesar de inicialmente ser destinado aos segmentos especializados do mercado

financeiro e de capitais, visto que o enfoque foi direcionado para os relatórios
financeiros, posteriormente o modelo ganhou uma nova dimensão em seu escopo,
podendo, a partir de então, ser aplicados a relatórios de gestão.
Portanto, dentro desses recentes avanços, o COSO passou muito apropriadamente

ser aplicado também na avaliação dos controles internos relacionados com às
operações, conformidade legal regulatória e outros objetivos, como foi o caso
presente na edição da Portaria Conjunta.
2
O COSO - Committee of Sponsoring Organizations da National Comission on Fraudlent
Financial Reporting. - Comitê das Organizações Patrocinadoras de Relatórios Financeiros é
uma entidade privada sem fins lucrativos criada em 1985. Patrocinado pelo The Institute of
Internal Auditors – IIA Instituto Norte Americano de Auditores Internos. O estudo é voltado para o
aperfeiçoamento da qualidade de relatórios financeiros, implementação de controles internos e
governança corporativa.
3
Também conhecida como simplesmente SOX, a Lei Sarbanes-Oxley foi sancionada em
2002 pelo Congresso dos Estados Unidos para proteger investidores e demais stakeholders
dos escândalos contábeis e práticas fraudulentas no início dos anos 2000, como já
mencionados.
5
A matriz tridimensional de riscos, apresentada a seguir, representada por um cubo,

ilustra a possibilidade da organização em manter o enfoque na totalidade do
gerenciamento de riscos, conjugadamente com a categoria dos componentes e, por
último, nas unidades da organização,
Figura 1 – Matriz tridimensional de riscos
A parte superior especifica as diversas formas de riscos mais comumente tratados:

riscos estratégicos, operacionais de comunicação e conformidade. Na parte
direita, estão evidenciados o âmbito de aplicação do modelo. Refere-se à
abrangência da aplicação da matriz de riscos, ou seja, subsidiárias, unidades de
negócios, divisão e nível de organização da entidade.
Entretanto, a face de maior importância que demanda maior compreensão é a parte

central e mais visível do cubo, devidamente apresentada a comentada na tabela a
seguir.
6
Tabela 1 – Componentes da matriz tridimensional de riscos
O ambiente interno compreende o tom de uma organização e

fornece a base pela qual os riscos são identificados e abordados
Ambiente
pelo seu pessoal, inclusive a filosofia de gerenciamento de riscos,
Interno
o apetite a risco, a integridade e os valores éticos, além do
ambiente em que estes estão localizados.
Os objetivos devem existir antes que a administração possa

identificar os eventos em potencial que poderão afetar a sua
realização. O gerenciamento de riscos corporativos assegura que
Fixação de
a administração disponha de um processo implementado para
Objetivos
estabelecer os objetivos que propiciem suporte e estejam
alinhados com a missão da organização e sejam compatíveis com
o seu apetite a riscos.
Os eventos internos e externos que influenciam o cumprimento

dos objetivos de uma organização devem ser identificados e
Identificação
classificados entre riscos e oportunidades. Essas oportunidades
de Eventos
são canalizadas para os processos de estabelecimento de
estratégias da administração ou de seus objetivos.
Os riscos são analisados, considerando-se a sua probabilidade e o

Avaliação de impacto como base para determinar o modo pelo qual deverão
Riscos ser administrados. Esses riscos são avaliados quanto à sua
condição de inerentes e residuais.
A administração escolhe as respostas aos riscos - evitando,

Resposta a aceitando, reduzindo ou compartilhando - desenvolvendo uma
Risco série de medidas para alinhar os riscos com a tolerância e com o
apetite a risco.
7
Políticas e procedimentos são estabelecidos e implementados

Atividades de
para assegurar que as respostas aos riscos sejam executadas
Controle
com eficácia.
As informações relevantes são identificadas, colhidas e

Informações e comunicadas de forma e no prazo que permitam que cumpram
Comunicações suas responsabilidades. A comunicação eficaz também ocorre em
um sentido mais amplo, fluindo em todos níveis da organização.
A integridade da gestão de riscos corporativos é monitorada e

são feitas as modificações necessárias. O monitoramento é
Monitoramento
realizado através de atividades gerenciais contínuas ou
avaliações independentes ou de ambas as formas.
8
ABNT NBR ISSO 31000:2009
Por último, vale citar a edição da norma técnica ISO 31000:2009, resultante de
esforço da International Organization for Standardization (ISO), no sentido de criar
um padrão internacional para a gestão de riscos corporativos. A norma foi
publicada no Brasil sob a denominação ABNT NBR ISO 31000:2009 Gestão de
riscos – Princípios e diretrizes.
A concepção do estudo ABNT NBR ISO 31000;2009, está representada na figura a

seguir em que estão segregadas três seções específicas:
Figura 2 – Relacionamentos entre princípios da gestão de riscos, estrutura

e processos
9
Seção 3 – PRINCÍPIOS – São as diretrizes que embasam os princípios o escopo,

função e funcionamento e os benefícios obtidos pela norma.
Seção 4 – ESTRUTURA - Indica que, a partir dos princípios, são demonstradas as

formas e metodologias em que são aplicadas na gestão de riscos.
Seção 5 – PROCESSO – Diz respeito às etapas da análise de riscos, desde o

estabelecimento do contexto até a forma do tratamento do risco.
Cabe enfatizar, ainda, que no contexto dessa norma, foram aprimorados os

conceitos, as diretrizes e as práticas recomendadas até então existentes. Embora
menos conhecida e utilizada no Brasil, o objetivo central da ABNT NBR ISO
31000:2009 é oferecer recomendações avançadas para o planejamento,
implantação e execução de um processo de gestão de riscos abrangendo toda a
organização.
10
2. CONTROLES INTERNOS
Em uma conotação mais ampla, define-se controles internos como o conjunto de

regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados,
conferências e trâmites de documentos e informações, operacionalizados de forma
integrada pela direção e pelo corpo de servidores das organizações. Destina-se a
enfrentar os riscos e fornecer segurança razoável de que, na consecução da missão
da entidade, os objetivos gerais serão alcançados.
Segundo a definição do COSO controles internos são um processo conduzido pela

estrutura de governança, administração e outros profissionais da entidade, e
desenvolvido para proporcionar segurança razoável com respeito à realização dos
objetivos relacionados divulgação e conformidade das operações.
A Norma Conjunta é explícita ao dizer que cabe aos órgãos e entidades do Poder
Executivo Federal a missão de implementar, manter, monitorar e revisar os
controles internos. O processo tem por base a identificação, a avaliação e o
gerenciamento de riscos que possam impactar a consecução dos objetivos
estabelecidos pelo Poder Público. A definição e a operacionalização dos controles
internos devem levar em conta os riscos que se pretende mitigar, mercê dos
objetivos das organizações públicas.
Assim, tendo em vista os objetivos estabelecidos pelos órgãos e entidades da

administração pública, e os riscos decorrentes de eventos internos ou externos que
possam obstaculizar o alcance desses objetivos, os controles internos mais
adequados à circunstância devem ser posicionados com o objetivo de mitigar,
abrandar, suavizar e aliviar a probabilidade de ocorrência dos riscos, bem como o
cálculo e a avaliação do impacto sobre os objetivos organizacionais. O sistema de
controle interno é reconhecidamente de tal importância que os constitucionalistas
optaram por incluir na constituição artigo 744.
4
Art. 74. Os Poderes Legislativo, Executivo e Judiciário manterão, de forma integrada, sistema de
controle interno com a finalidade de: avaliar o cumprimento das metas previstas no plano plurianual,
a execução dos programas de governo e dos orçamentos da União; execução dos programas de
governo e dos orçamentos da União; comprovar a legalidade e avaliar os resultados, quanto à
eficácia e eficiência, da gestão orçamentária, financeira e patrimonial; exercer o controle das
operações de crédito, avais e garantias, bem como dos direitos e haveres da União; apoiar o
controle externo no exercício de sua missão institucional.
11
Foi nesse contexto que o Instituto dos Contadores dos Estados Unidos da América5,
com um olhar mais voltado para os aspectos contábeis, definiu com maior
amplitude o controles interno como o plano da organização, todos os métodos e
medidas coordenadas adotados para salvaguardar os ativos, verificar a adequação
e confiabilidade de seus dados contábeis, promover a eficiência operacional e
estimular o respeito e obediência às políticas administrativas fixadas pela gestão.
O AICPA fornece os seguintes exemplos de atividades de controles internos:
a) Procedimentos de autorização e aprovação;
b) Segregação de funções (autorização, execução, registro, controle);
c) Controles de acesso a recursos e registros;
d) Verificações;
e) Conciliações;
f) Avaliação de desempenho operacional;
g) Avaliação das operações, dos processos e das atividades; e
h) Supervisão.
2.1 Controles internos da gestão
Em uma conotação mais específica, o controle interno da gestão caracteriza-se

como o conjunto de regras, procedimentos e trâmites de documentos e
informações, operacionalizados de forma integrada pela direção e pelo corpo de
servidores das organizações, destinados a enfrentar os riscos e fornecer segurança
razoável de que, na consecução da missão da entidade.
A metodologia de estruturação do sistema de controle interno da gestão é

fundamental para o bom desenvolvimento das atividades de controle inerentes. Isto
posto, uma estrutura de controle interno da gestão somente será eficiente se os
objetivos dos controles já mencionados e a correção de eventuais irregularidades,
falhas ou desvios forem prontamente detectáveis, tempestivamente cobertos e
perfeitamente corrigíveis.
5 American Institute of Certified Accountants (AICPA).

12
Os seguintes objetivos gerais devem ser alcançados:
a) Execução ordenada, ética, econômica, eficiente e eficaz das operações.
b) Cumprimento das obrigações de accountability6.
c) Cumprimento das leis e regulamentos aplicáveis; e
d) Salvaguardar os recursos para evitar perdas, mau uso e danos.
Os controles internos da gestão devem ser estruturados para oferecer segurança

razoável de que os objetivos da organização serão alcançados. A existência de
objetivos claros é pré-requisito para a eficácia do funcionamento dos controles
internos da gestão, segundo os seguintes objetivos:
> Dar suporte à missão, à continuidade e à sustentabilidade institucional, pela

garantia razoável de atingimento dos objetivos estratégicos do órgão ou
entidade.
> Proporcionar a eficiência, a eficácia e a efetividade operacional, mediante

execução ordenada, ética e econômica das operações. Ética se refere aos
princípios morais, sendo pré-requisito e suporte para a confiança pública.
> Assegurar que as informações produzidas sejam íntegras e confiáveis à tomada

de decisões, ao cumprimento de obrigações de transparência e à prestação de
contas.
> Assegurar a conformidade com as leis e regulamentos aplicáveis, incluindo

normas, políticas, programas, planos e procedimentos de governo e da própria
organização; e
> Salvaguardar e proteger bens, ativos e recursos públicos contra desperdício,

perda, mau uso, dano, utilização não autorizada ou apropriação indevida.
Independentemente do porte da organização, os controles internos da gestão

baseiam-se no gerenciamento de riscos e integram o processo de gestão de
6
Accountability é um termo da língua inglesa que pode ser traduzido como
responsabilidade com ética que remete à obrigação, à transparência, de membros de um
órgão administrativo ou representativo de prestar contas a instâncias controladoras ou a
seus representados.
13
maneira abrangente, devendo ser efetivos e consistentes com a natureza,

complexidade e risco das operações realizadas.
2.2 Metodologia de implantação
Figura 3 – Esquema de implantação dos controles internos da gestão
Conhecer, Definir os
descrever e objetivos que Identificar e Selecionar as
definir o se deseja avaliar os riscos respostas aos
ambiente de alcançar em inerentes ao riscos
controle função do controle interno identificados
controle que se deseja e avaliados
controlar
Mapear o
Acompanhar e Informar aos controle interno
monitorar interessados e utilizando uma
rotineiramente. descrever a ferramenta
Rever sempre função e o adequada de
quando houver a funcionamento fluxograma
edição de normas do controle
que altere as rotinas
Fatores negativos que podem contribuir para fragilizar o controle interno da gestão:
> Pessoas
Falta de capacitação ou desmotivação.
> Processos
Falta de mapeamento dos processos que impede de visualização de riscos como

a necessidade de segregação de funções.
14
> Estrutura organizacional
Para melhor desempenhar suas funções, as pessoas devem receber as

informações na organização de maneira clara, precisa e a tempo. Para isso,
devem ter claras as funções dentro da estrutura organizacional.
> Sistemas
Obsoletos e sem clara definição em manuais.
> Infraestrutura
Instalações ou leiaute inadequados, ocasionando perda com equipamentos e

demais
> Tecnologia
Sistema de proteção ineficiente ou mal dimensionada, capazes de não

proporcionar sem proteção contra fraudes, cópias ou espionagem.
> Eventos externos
Mudanças de normas e leis que afetam negativamente as atividades

desenvolvidas.
Os controles internos da gestão devem ser integrados aos processos já

devidamente mapeados, dimensionados e desenvolvidos na proporção requerida
pelos riscos, de acordo com a natureza, complexidade, estrutura e missão do órgão
ou da entidade pública.
Também devem integrar as atividades, planos, ações, políticas, sistemas, recursos

e esforços de todos que trabalhem na organização, sendo projetados para fornecer
segurança razoável de que a organização atingirá seus objetivos e missão.
Enfim, tanto o controle interno da gestão, assim como o gerenciamento de risco

não devem ser implementados de forma circunstancial, mas como uma série de
ações que permeiam as atividades da organização. Essas ações se dá em todas as
operações da organização de modo contínuo, inerentes à maneira pela qual o
gestor administra a organização.
15
Figura 4 - Sistemas de controles internos deficientes
Ameaças Ameaças Ameaças

Perda ou
dano
Falta de Falta de Falta de
prevenção detecção proteção
Figura 5 - sistemas de controles internos eficientes
Ações
corretivas
Ameaças Incidente Perda ou
dano
Iminente
Conhecimento Controles
prévio adequados
Risco
conhecido
detectado e
coberto
2.3 Linhas de defesa aplicáveis aos controle interno e regulação externa
Tendo como como meta a melhoria dos processos internos, além dos controles
internos da gestão, os órgãos e entidades do Poder Executivo Federal devem
estabelecer instâncias ou linhas de defesa para garantia do gerenciamento eficaz de
riscos e controles.
Pelo fato de os órgãos de governança e a alta administração serem as principais

partes interessadas atendidas por essas linhas de defesa, estão em melhor posição
para ajudar a garantir que o modelo de linhas de defesa seja aplicado aos
16
processos de gerenciamento de riscos e controle da organização. Esse modelo é

conhecido como as três linhas de defesa. Cada uma dessas três linhas de defesa
desempenha papeis distintos dentro da estrutura mais ampla de governança da
organização.
As partes mais interessadas em implantar o modelo das três linhas de defesa são,
em primeiro lugar, a alta administração, seguida dos órgãos de governança aos
quais estão vinculados. Todos detêm, coletivamente, a responsabilidade e o dever
de prestação de contas sobre os objetivos da organização. São também
responsáveis pela definição de estratégias para alcançar esses objetivos e o
estabelecimento de estruturas e processos de governança para melhor gerenciar os
riscos durante a realização desses objetivos.
O modelo de três linhas de defesa é uma forma simples, porém muito eficaz de
melhorar a comunicação do gerenciamento de riscos e controle por meio do
esclarecimento dos papéis e responsabilidades essenciais. Tem um papel
fundamental, com vistas a estabelecer as responsabilidades de cada agente
envolvido nos mecanismos de controle.
O modelo apresenta um importante ponto de vista sobre as operações, de forma a

contribuir para a garantia do sucesso contínuo das iniciativas de gerenciamento de
riscos. É aplicável a qualquer organização - não importando seu tamanho ou
complexidade. Mesmo em empresas em que não existam uma estrutura ou sistema
formal de gerenciamento de riscos, o modelo de três linhas de defesa pode
melhorar a clareza dos riscos e controles e ajudar a aumentar a eficácia dos
sistemas de gerenciamento de riscos.
> 1ª linha de defesa: responsabilidade pela gestão
A primeira linha de defesa para supervisão e monitoramento são os controles

internos da gestão. Constituem-se em instâncias de supervisão de controles
internos, comitês, diretorias ou assessorias específicas para tratar de riscos,
controles internos, integridade e compliance7.
7
O termo compliance tem origem no verbo em inglês to comply, que significa agir de acordo
com regras, uma instrução interna, dispositivos legais e regulamentares ou simplesmente
um comando ou um pedido, ou seja, estar em “compliance” é estar em conformidade com
leis e regulamentos externos e internos que permeia toda a organização.
17
Esses controles são operados por todos os agentes públicos responsáveis pela
condução de atividades e tarefas, no âmbito dos macroprocessos finalísticos e de
apoio dos órgãos e entidades do poder público.
A gerência responsável pelas áreas operacionais de frente, portanto diretamente

envolvido com os riscos, é a estrutura mais apta ao gerenciamento, por ser os
legítimos proprietários dos riscos. Também são os responsáveis por implementar as
ações corretivas para resolver deficiências em processos e controles. Portanto, o
controle estabelecido pela gerência operacional é a primeira linha de defesa no
gerenciamento de riscos.
Em suma, a gerência operacional tem, naturalmente, a incumbência de primeira

linha de defesa, porque os controles são desenvolvidos como sistemas e processos
sob sua direta orientação e gestão operacional. Deve existir controles de gestão e
de supervisão adequados postos em prática, para garantir a conformidade e para
evitar eventuais falhas nos controle, processos inadequados e eventos inesperados.
> 2ª linha de defesa: os controles internos e gestão de riscos
A segunda linha de defesa é caracterizada pelas diversas funções de controle de

riscos e supervisão e de conformidade estabelecidas pela gerência. Neste estágio, a
gerência estabelece diversas funções de gerenciamento de riscos e conformidade
com o intuito de melhor desenvolver ou monitorar os controles da primeira linha de
defesa.
As funções específicas vão variar entre organizações que visam lucro ou sem fins
lucrativos, empresas de prestação de serviços, comércio e indústrias. Porém,
independentemente do ramo de atividade, porte ou tipo de instituição, as funções
típicas dessa segunda linha de defesa incluem ou devem incluir:
Gerenciamento de riscos
Implantação de um comitê de gerenciamento de riscos com o objetivo de facilitar e

monitorar a implementação de práticas eficazes de gerenciamento de riscos. Nesta
via, as gerências operacionais, autênticos proprietários dos riscos, são compelidos a
definir a meta de exposição ao risco e a reportar adequadamente informações
relacionadas para toda a organização.
Conformidade e o monitoramento
Não somente desejáveis como inteiramente imprescindíveis é a manutenção de

permanente conformidade e monitoramento dos eventos, com vistas a evitar riscos
18
específicos ainda não conhecidos. Os riscos e os fatores negativos podem aparecer

em qualquer hipótese devido a não observância com as leis e regulamentos8. Nesse
quesito, a função separada de conformidade e monitoramento deve-se reportar
diretamente à alta administração, em alguns setores específicos do negócio,
diretamente a um órgão específico de governança ou mesmo uma diretoria
específica com essa atribuição9.
Em suma, em uma organização complexa, existem múltiplas funções que

frequentemente exigem conformidade em variadas linhas hierárquicas, com o
propósito de fazer com que o monitoramento seja permanente e proporcione a
segurança nas diversas atividades.
> 3ª linha de defesa: auditoria interna
A terceira linha de defesa é a auditoria interna. Caracteriza-se como uma atividade

independente que reúne funções diversas como a avaliação e consultoria,
desenhada para adicionar valor e melhorar as operações de uma organização.
Contribui para que as diversas unidades realizem seus objetivos, a partir da

aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a
eficácia dos processos de gerenciamento de riscos, de controles internos, de
integridade e de governança.
No âmbito da administração pública, a auditoria interna se constitui na terceira

linha ou camada de defesa das organizações. A auditoria interna é responsável pela
avaliação dos controles internos da gestão (primeira linha ou camada de defesa,
executada por todos os níveis da organização) e da supervisão dos controles
internos (segunda linha ou camada de defesa, executada por instâncias específicas,
como comitês de risco e controles internos).
Compete à auditoria interna supervisionar e realizar avaliações assim como prestar

assessoramento às organizações, destinadas ao aprimoramento dos controles
8
No caso vertente, diz-se, habitualmente, com a organização não está em compliance.
9
Na Petrobras, face os riscos e os desmandos que imperaram sobre a empresa, obrigou o
Conselho de Administração a instituir em estrutura uma diretoria específica para
governança, risco e conformidade. O objetivo da Diretoria é assegurar a conformidade de
processos e mitigar riscos - dentre eles o de fraudes, corrupção e desvios da ética.
19
internos para que sejam mais eficientes e eficazes e possam conhecer e mitigar os
principais riscos.
No âmbito da Administração Pública Federal, compete ao Ministério da

Transparência e Controladoria-Geral da União (CGU) realizar as ações relacionadas
ao controle interno, auditoria pública, correição, prevenção e combate à corrupção
e ouvidoria, bem como as atividades relacionadas à defesa do patrimônio público e
ao incremento da transparência da gestão.
Como Órgão Central, a CGU também exerce a supervisão técnica dos órgãos que
compõem o Sistema de Controle Interno e o Sistema de Correição e das unidades
de ouvidoria do Poder Executivo Federal, prestando a orientação normativa
necessária.
Avaliações
No contexto da organização, os auditores internos fornecem ao órgão de

governança e à alta administração avaliações abrangentes baseadas no maior nível
de independência e objetividade possível. Esse alto nível não está disponível nas
demais linhas de defesa.
Revisões
Também integra o escopo da auditoria interna efetuar revisões sobre a eficácia da

governança, do gerenciamento de riscos e dos controles internos, incluindo a forma
como a primeira e a segunda linhas de defesa alcançam os objetivos de
gerenciamento de riscos e controle. Também nesse caso vertente, na área pública
essa atividade é exercida pela CGU.
O escopo da avaliação da auditoria, deve ser reportada à alta administração e ao

órgão de governança. Normalmente essa atividade deve ser constituída dos
seguintes quesitos:
a) Variedade de objetivos, incluindo a eficiência e a eficácia das operações.
b) Salvaguarda de ativos.
c) Confiabilidade e a integridade dos processos e de reporte.
d) Conformidade com leis, regulamentos, políticas, procedimentos e contratos.
20
A auditoria interna deve revisar, preponderantemente, todos os elementos da

estrutura de gerenciamento de riscos e controle interno, que inclui:
a) O ambiente de controle interno.
b) Os elementos da estrutura de gerenciamento de riscos consistindo de

identificação de riscos, avaliação de riscos e resposta ao risco.
c) Informação e comunicação.
d) Monitoramento.
Na medida em que atuam com independência e profissionalismo, a auditoria interna

contribui ativamente para o alcance da governança eficaz. Para desenvolvimento de
melhor prática, além de ser independente, a equipe deve ser muito bem preparada
e demonstrar plena competência para o desenvolvimento dos trabalhos10.
Devem ser incluídas no escopo da auditoria interna a organização como um todo,

incluindo todas as funções auditáveis, como divisões, subsidiárias, unidades de
operação e funções. Também os negócios e processos, como vendas, produção,
marketing, segurança, funções voltadas para o cliente e operações - assim como
funções de suporte, como contabilidade, recursos humanos, compras, folha de
pagamento, orçamentos, gestão de infraestrutura e ativos, inventário e tecnologia
da informação.
Estabelecer uma atividade profissional de auditoria interna deve ser um requisito de

governança para todas as organizações. Não é importante apenas para empresas
de grande e médio porte, mas também pode ser igualmente importante para
negócios de menor porte, já que podem enfrentar ambientes igualmente complexos
com uma estrutura organizacional menos formal e robusta para garantir a eficácia
de seus processos de governança e gerenciamento de riscos.
10
No âmbito do desenvolvimento profissional, o Conselho Federal de Contabilidade (CFC)
instituiu o Programa de Educação Profissional Continuada (EPC). Trata-se de uma
atividade destinada a manter, atualizar e expandir os conhecimentos e competências
técnicas e profissionais, as habilidades multidisciplinares e a elevação do comportamento
social, moral e ético dos profissionais da contabilidade presente na norma NBC PG 12
(R1) – EDUCAÇÃO PROFISSIONAL CONTINUADA.
21
Por último, cabe mencionar que, de acordo com as normas internacionais

reconhecidas11 a auditoria interna deve-se reportar a um nível suficientemente alto
na organização, de modo a cumprir com suas responsabilidades de forma
independente, bem como ter uma linha de reporte ativa e eficaz ao órgão de
governança. Poderá ficar fora do âmbito da auditoria apenas as atividades de
menor expressão no âmbito da organização em que, comprovadamente, o custo
versus benefícios não se justifica.
> Regulação externa
Os auditores externos, reguladores e demais órgãos externos fora estrutura

organizacional, devem desempenhar um importante papel na governança e
controle. A regulação externa no contexto da iniciativa vale principalmente para
atividades regulamentadas, como a de instituições financeiras, seguros,
capitalização e previdência complementar.
Com o intuito de manter forte e saudável o segmento que a organização opera e

contribuir para o fortalecimento dos controles interno, os reguladores, acabam por
estabelecer requisitos para avaliação de todo ambiente da organização, incluindo a
primeira, segunda ou terceira linhas de defesa12.
Os auditores externos, por sua vez, também prestam relevantes serviços, devido à
necessidade de observar normas internacionais de contabilidade e auditoria13. Em
11
Normas Internacionais para a Prática Profissional de Auditoria Interna (Normas
Internacionais de Auditoria). Disponível em:
http://www.iiabrasil.org.br/new/2016/downs/IPPF_standards2015_portuguese.pdf
12
Como exemplos vale citar a atuação dos órgãos reguladores, como o Banco Central do
Brasil, na condição de fiscalizador, normatizador e regulador do mercado financeiro. A
Comissão de Valores Mobiliários no âmbito do mercado de capitais. A Superintendência
de Seguros Privados no segmento segurador e a PREVIC - Superintendência Nacional de
Previdência Complementar, no que concerne às entidades fechadas de previdência
complementar.
13
É obrigatória a auditoria externa ou independente para as empresas de capital aberto e
as instituições que atuam no âmbito do Sistema Financeiro Nacional, exceto cooperativas
de crédito. Com o advento da Lei 11.638/2001, a atuação auditoria externa ou
independente teve se escopo ampliado ao instituir a obrigatoriedade nas seguintes
circunstâncias: sociedades de grande porte, ainda que não constituídas sob a forma de
sociedades por ações. Considera-se de grande porte a sociedade ou conjunto de
sociedades sob controle comum que tiver, no exercício social anterior, ativo total superior
a R$ 240 milhões ou receita bruta anual superior a R$ 300 milhões.
22
função disso, esses reguladores externos de supervisão e acompanhamento, podem

ser considerados importantes auxiliares de linhas de defesa adicionais. Ao final,
fornecem avaliações às partes interessadas da organização, incluindo o órgão de
governança e a alta administração.
Figura 6 - Esquema das três linhas de defesa
23
3. PRINCÍPIOS DA GESTÃO INTEGRADA DE RISCOS E CONTROLES -

GIRC
A IN Conjunta enumerou quatorze princípios com o objetivo de dar sustentáculo às

políticas de governança, integridade riscos e controle (GIRC).
1º princípio - Aderência à integridade e a valores éticos. A integridade nas

organizações envolve variados temas como conduta ética, orientações e exemplos
das lideranças, processos e divisões de trabalho, políticas de incentivo a
determinados comportamentos, sistemas de prestação de contas, processos de
monitoramento e uso de recursos e as interações com a sociedade em geral.
Devido à complexidade e do potencial danoso à sociedade, a corrupção exige por

parte do Estado, além de uma atuação repressiva, também uma ação preventiva.
Portanto, sob esse prisma que é preciso estimular permanentemente a integridade
não somente no contexto do serviço público, como do privado para que os agentes
sempre atuem em prol do interesse público.
A esse propósito, para estimular a integridade muito contribui a promulgação da Lei

nº. 12.846/2013, conhecida simplesmente como Lei Anticorrupção que instituiu
regras mais severas de combate a corrupção. A Lei estabeleceu sanções rígidas às
pessoas jurídicas que praticarem atos contra a administração pública, nacional ou
estrangeira. Mais que a promulgação de uma lei, é um disseminador eficaz de
frontal combate à corrupção.
Como antecedentes à promulgação da Lei Anticorrupção, a exemplo dos demais

países signatários, visando combater a corrupção, o Brasil ratificou a Convenção
das Nações Unidas contra corrupção (ONU), a Convenção Interamericana de
Combate à Corrupção (OEA) e a Convenção sobre o Combate à Corrupção de
Funcionários Públicos Estrangeiros em Transações Comerciais Internacionais da
Organização para a Cooperação e Desenvolvimento Econômico (OCDE).
Para solidificar o entendimento, vale a pena também citar a manifestação da

Organização para a Cooperação e Desenvolvimento Econômico - OCDE, em cujo
teor a organização enfatiza que integridade é uma pedra fundamental da boa
governança, uma condição para que todas as outras atividades do governo não só
tenham confiança e legitimidade, mas também que sejam efetivas.
24
A definição da OCDE da boa governança é condição para que todas as outras

atividades do governo tenham confiança e legitimidade. Nessa linha, a OCDE cita
que é essencial promover a prevenção à corrupção no setor público não só para
preservar a credibilidade das instituições públicas em suas decisões, mas também
para assegurar um campo propício para os negócios privados.
Assim, pois, promover uma cultura de integridade no serviço público é requisito

essencial para o aumento da confiança da sociedade no Estado e em suas
instituições.
2º princípio - Competência da alta administração em exercer a supervisão do

desenvolvimento e do desempenho dos controles internos da gestão.
Segundo definição do TCU, o controle interno da gestão é o processo efetuado não

somente pela alta administração como por todo o corpo funcional, integrado ao
processo de gestão em todas as áreas e todos os níveis de órgãos e entidades
públicos, estruturado para enfrentar riscos e fornecer razoável segurança de que,
na consecução da missão, dos objetivos e das metas institucionais, os princípios
constitucionais da administração pública serão obedecidos e os objetivos gerais de
controle serão atendidos.
Esse princípio muito bem se coaduna com as três linhas de defesa já mencionadas.
Ao final, todos são responsáveis pelos controles internos.
3º princípio - Coerência e harmonização da estrutura de competências e

reponsabilidades dos diversos níveis de gestão do órgão ou entidade.
A coerência e a harmonização mencionada diz respeito à adequabilidade da

estrutura, conjugadamente com os princípios e objetivos organizacionais, diretrizes,
aliados à competência e responsabilidades delegadas às diversas pessoas
envolvidas no âmbito da organização.
Uma estrutura em excesso além de onerosa produz uma burocracia indesejável. Por
outro lado, uma estrutura excessivamente enxuta pode vulnerabilizar o expediente,
trazendo insegurança e riscos indesejáveis.
25
4º princípio - Compromisso da alta administração em atrair, desenvolver e reter

pessoas com competências técnicas, em alinhamento com os objetivos da
organização.
Guardando consistência com o terceiro princípio, este prescreve que as diversas

pessoas envolvidas devem ter claro os compromissos com a organização, mercê de
suas responsabilidades institucionais.
Há um consenso de que as organizações se constroem ou se destroem pelo

desempenho das pessoas que nelas trabalham. Tal crença tem levado muitas
organizações a investirem em programas de treinamento e capacitação para a
qualidade.
As organizações devem, sobretudo, considerar as variáveis de vital importância

para a melhoria do desempenho. Não há dúvida de que o preparo do corpo técnico
é um requisito fundamental para a melhoria do desempenho e para se obter a
melhoria da qualidade do trabalho. Nesse sentido, é necessário, sobretudo, a
dedicação, a procura de soluções para os problemas apresentados e o espírito de
colaboração deve estar permanentemente presente.
5º princípio - Clara definição dos responsáveis pelos diversos controles internos

da gestão no âmbito da organização e de objetivos que possibilitem o eficaz
gerenciamento de riscos.
Controlar os riscos não deve apenas ser compromissos impostos por dispositivos
legais e regulamentares. Deve ser caracterizada, sobretudo, por uma cultura
impregnada e enraizada nos compromissos com a organização.
No Brasil, o sistema de controles internos para gestão e prevenção de riscos foram

iniciados pela edição de normas pelo Conselho Monetário Nacional. No contexto das
instituições financeiras foram editadas as Resoluções CMN que trata do risco de
liquidez, de mercado, de crédito, além do gerenciamento de capital.
A Resolução CMN n° 2.554, de 24 de setembro de 1998, por exemplo, dispõe sobre

a implantação e implementação dos controles internos. Embora tenha sido
expedida no âmbito do Sistema Financeiro Nacional e, portanto, pelas instituições
integrantes do Sistema Financeiro Nacional, as demais empresas e instituições
públicas e privadas em geral, adotaram a Resolução como pilar de boa governança.
26
Em data mais pretérita, ainda com foco no aperfeiçoamento dos controles internos,
Banco Central do Brasil regulamentou os procedimentos de prevenção a lavagem
de dinheiro – PLD, relacionados com os crimes previstos na Lei n° 9.613/98 e que,
posteriormente, foi consolidada na Circular BCB nº 3.461/09.
6º princípio - Mapeamento das vulnerabilidades que impactam os objetivos, de

forma que sejam adequadamente identificados os riscos a serem geridos.
A implantação da gestão de riscos deve ser precedida de uma análise criteriosa do

mapeamento dos processos internos. Sem esse procedimento preliminar, torna-se
difícil, senão impossível, identificar e tratar os riscos.
O mapeamento de processos é uma ferramenta gerencial e de comunicação, que

tem o objetivo gerar instrumentos de melhoria dos processos internos, e explicitar
as metodologias das práticas que são utilizadas em suas atividades.
O mapeamento possui o papel de descobrir todos os detalhes sobre o

funcionamento do processo e materializá-lo em forma de documentação organizada
e coesa, que reúna todo o conhecimento coletado sobre os processos estudados.
Nesse contexto, o mapeamento de processos é uma ferramenta eficaz na hora de

identificar gargalos no processo produtivo. A análise mais detalhada e completa dos
processos facilita a identificação de pontos em que haja inconsistências que
atrapalhem o desempenho das atividades e permite que medidas sejam tomadas
com mais rapidez e precisão.
7º princípio - Identificação e avaliação das mudanças internas e externas ao órgão

ou entidade que possam afetar significativamente os controles internos da gestão.
Pode-se afirmar que a estrutura organizacional é o espelho da organização, pois

reflete a condição em que se sustenta. Trata-se de um instrumento essencial para o
desenvolvimento e para a implementação do plano organizacional. Está delineada
de acordo com os objetivos e estratégias estabelecidos, ou seja, a estrutura é uma
ferramenta básica para alcançar as situações existente e vislumbrar as almejadas.
Quaisquer mudanças podem afetar a estrutura da organização podem afetar o

modo de avaliação e monitoramento dos controles internos e, consequentemente,
variar a estrutura e análise de riscos. Cabe aos gestores, no contexto de suas
27
funções, acompanhar e manter permanentemente as informações sobre as

mudanças.
8º princípio - Desenvolvimento e implementação de atividades de controle que

contribuam para a obtenção de níveis aceitáveis de riscos.
Uma vez identificado, conhecido e mapeado o fluxo do processo, deve-se promover

a uniformização dos procedimentos, implementar manuais e metodologias de
acompanhamento, com vistas a promover a melhoria das atividades de controle
para a determinação dos fatores aceitáveis de riscos.
9º princípio - Adequado suporte de tecnologia da informação para apoiar a

implementação dos controles internos da gestão.
Uma vez delineados os mecanismos de implantação dos controles dos níveis de

riscos, é necessário o acompanhamento, visando corrigir, alterar, extinguir ou
incluir determinados procedimentos. Para isso, uma vez implantados, é
imprescindível um controle de riscos que possam, de pronto, fornecer as
informações aos gestores.
Com intuito de implantar controles eficientes e eficazes, conforme preconizado no

8º princípio, a forma adequada é instituir ferramentas de tecnologia adequada ao
caso. Como medida indispensável inicial é o mapeamento dos processos, para cuja
providências existem diversos software disponíveis e de fácil utilização.
Acontece que, em função das exigências, conhecer e tratar os riscos deixou de ser
uma necessidade técnica e transformou-se em uma questão estratégica para as
organizações governamentais. A automação da gestão da segurança da informação
com conteúdo tecnológico adequado fornece aos gestores níveis as informações
necessárias à tomada de decisão.
Para isso, é essencial um software de gestão de riscos que contenha uma

metodologia sólida e estruturada, alinhada às principais normas e padrões
internacionais, contemplando o ciclo de gestão de riscos, incluindo as atividades de
inventariar, analisar, avaliar e tratar os riscos.
É indispensável um software adequado que facilite e automatiza de todo o

processo, fornecendo suporte à tomada de decisões tempestivas e adequada,
28
facilitando o desenvolvimento de estratégias para controlar e minimizar os riscos a

níveis aceitáveis pela organização.
10º princípio - Definição de políticas e normas que suportem as atividades de

controles internos da gestão.
O compromisso de permanentemente acompanhar revisar os dispositivos de

controles internos devem se constituir uma rotina. Qualquer norma que se tornar
ineficaz devem ser prontamente eliminadas ou substituídas.
11º princípio - Utilização de informações relevantes e de qualidade para apoiar o

funcionamento dos controles internos da gestão.
Os sistemas de comunicação devem ser capazes de produzir e divulgar informações

de interesse, permitindo que as pessoas acessem e compartilhem tempestivamente
as informações necessárias para conduzir, gerenciar e controlar as operações da
organização.
Particularmente as informações relacionadas aos riscos e controles devem ser

dotadas de mecanismos de capturas e de divulgação para todos os envolvidos na
organização.
Além da divulgação, cabe à organização fomentar o interesse em acessar as

informações. Um dos mecanismos reconhecidamente como adequados é a
manutenção de canais internos de comunicação. São os meios utilizados para se
relacionar entre colaboradores. Os objetivos são diversos, como por exemplo
informar, alinhar, motivar e engajar.
A existência de informações de fontes externas, caso sejam importantes para a

análise de riscos, da mesma forma, devem existir mecanismos para coleta e
divulgação.
Por último, e não menos importantes, em relação às demais considerações, devem

ser constantemente avaliadas e disseminadas, as informações necessárias ao
fortalecimento da cultura e da valorização dos controles internos da gestão.
29
12º princípio - Realização de avaliações periódicas para verificar a eficácia do

funcionamento dos controles internos da gestão.
Este princípio está estreitamente relacionado ao décimo. Qualquer rotina ou

processo que for constatado a ineficácia deve ser prontamente reavaliado, revisto
ou promovida a substituição ou, se for o caso a extinção.
É por isso que, de tempos em tempos, as organizações precisam avaliar seus

controles internos da gestão para identificar vulnerabilidades inerentes a esses
sistemas. Mais uma vez, vale destacar a importância do mapeamento dos
processos. Uma vez identificados novas vulnerabilidades nos controles que
ocasionem riscos para os quais não haja controles relacionados ou que não se
mostram efetivos, devem ser apresentadas, imediatamente propostas de
melhorias.
A busca do controle interno eficiente traz mais confiabilidade e segurança, sendo

uma ferramenta de grande importância para manter a competitividade da
companhia no mercado.
13º princípio - Comunicação do resultado da avaliação dos controles internos da

gestão aos responsáveis pela adoção de ações corretivas, incluindo a alta
administração.
Como corolário, tem-se o fluxo das comunicações de modo a permitir uma perfeita
fluidez em todas as direções. Como boa medida, deve existir o direcionamento
estratégicos das informações a todos os interessados. Para a boa visibilidade do
fluxo de informações aos interessados, mais uma vez vale a pena recomendar a
implantação de fluxos de distribuição de informações através de software
especializados.
30
4. DEMAIS CONCEITOS
4.1 Economicidade
 As operações são econômicas quando a aquisição dos insumos necessários se

der na quantidade e qualidade adequadas, forem entregues no lugar certo e no
momento preciso, ao custo mais baixo.
 Economicidade é a característica de algo que é econômico, isto é, que pode ser

realizado com custos mais baixos.
 Sob este contexto, o administrador público tem no princípio da economicidade um
limitador da sua discricionariedade no processo decisório, já que está obrigado a
adotar dentre as soluções tecnicamente a mais vantajosa economicamente.
4.2 Eficiência
 As operações são eficientes quando consumirem o mínimo de recursos para

alcançar uma determinada quantidade e qualidade de resultados, ou
alcançarem o máximo de resultado com uma dada qualidade e quantidade de
recursos empregados.
 A eficiência pode ser medida sob três aspectos básicos: velocidade, qualidade e
resultado. Qualquer ação só poderá ser considerada eficiente se for rápida,
perfeita e eficaz.
4.3 Eficácia
 As operações são eficazes quando cumprirem objetivos imediatos, traduzidos

em metas de produção ou de atendimento, de acordo com o estabelecido no
planejamento das ações.
 Determinado projeto ou operação é eficaz quando atinge o objetivo ou a meta,
sem levar em conta os fatores da eficiência.
4.4 Efetividade
 As operações são efetivas quando alcançarem os resultados pretendidos a

médio e longo prazo, produzindo impacto positivo e resultando no cumprimento
dos objetivos das organizações.
 A efetividade é vista como a capacidade de se cumprir uma determinada
missão com eficácia da melhor maneira possível, ou seja, com eficiência.
31
Figura 7 – Distinção entre os conceitos
32
5. AMBIENTE DE CONTROLE
Diz respeito à base em que se apoiam todos os sistemas controles internos da

gestão. É formado pelo conjunto de regras e estrutura que determinam a qualidade
dos controles internos da gestão.
5.1 Componentes
O ambiente de controle deve influenciar a forma pela qual se estabelecem as

estratégias e os objetivos e na maneira como os procedimentos de controle
interno são estruturados. Alguns dos elementos do ambiente de controle são:
a) Integridade pessoal e profissional e valores éticos assumidos pela direção e

pelo quadro de servidores, incluindo inequívoca atitude de apoio à manutenção
de adequados controles internos da gestão, durante todo o tempo e por toda a
organização;
b) Comprometimento para reunir, desenvolver e manter colaboradores

competentes;
c) Filosofia da direção e estilo gerencial, com clara assunção da responsabilidade

de supervisionar os controles internos da gestão;
d) Estrutura organizacional na qual estejam claramente atribuídas

responsabilidades e delegação de autoridade, para que sejam alcançados os
objetivos da organização ou das políticas públicas; e
e) Políticas e práticas de recursos humanos, especialmente a avaliação do

desempenho e prestação de contas e responsabilidades pelos controles internos
da gestão da organização ou política pública.
O ambiente de controle são atividades materiais e formais, como políticas,

procedimentos, técnicas e ferramentas, implementadas pela gestão para diminuir
os riscos e assegurar o alcance de objetivos organizacionais e de políticas públicas.
Essas atividades podem ser preventivas (reduzem a ocorrência de eventos de

risco) ou detectivas (possibilitam a identificação da ocorrência dos eventos de
risco), implementadas de forma manual ou automatizada.
As atividades de controles internos da gestão devem ser apropriadas, funcionar

consistentemente de acordo com um plano de longo prazo, ter custo adequado,
33
ser abrangentes, razoáveis e diretamente relacionadas aos objetivos de controle.
5.2 Informação e comunicação
As informações produzidas pelo órgão ou entidade devem ser apropriadas,

tempestivas, atuais, precisas e acessíveis, devendo ser identificadas, armazenadas
e comunicadas de forma que, em determinado prazo, permitam que os
funcionários e servidores cumpram suas responsabilidades, inclusive a de
execução dos procedimentos de controle interno.
A comunicação eficaz deve fluir para baixo, para cima e através da organização,
por todos seus componentes e pela estrutura inteira. Todos os servidores,
funcionários ou mesmos simples colaboradores devem receber mensagem clara da
alta administração sobre as responsabilidades de cada agente no que concerne aos
A organização deve comunicar as informações necessárias ao alcance dos seus

objetivos para todas as partes interessadas, independentemente no nível
hierárquico em que se encontram.
Os componentes de controles internos da gestão definem o enfoque recomendável

para a estrutura de controles internos nos órgãos e entidades do setor público e
fornecem bases para sua avaliação. Esses componentes se aplicam a todos os
aspectos operacionais de cada organização.
34
6. GESTÃO E GERENCIAMENTO DE RISCOS
O gerenciamento de riscos pode ser definido com o processo de planejar, organizar,

dirigir e controlar os recursos humanos e materiais de uma organização, no sentido
de minimizar ou aproveitar os riscos e incertezas sobre essa organização.
A gestão e risco, por sua vez, é um processo aplicado na organização. Deve ser
conduzido pelo conselho de administração, diretoria e demais empregados. Na área
pública, é aplicado pela cúpula da organização. No caso dos órgãos da
administração pública direta, são representados pela cúpula da administração
(ministérios).
Consiste de estratégias, formuladas para identificar em toda a organização eventos

em potencial, capazes de afetá-la, e administrar os riscos de modo a mantê-los
compatíveis com o apetite a risco da organização e possibilitar garantia razoável do
cumprimento de seus objetivos.
Significado do risco segundo o COSO:
> Um processo contínuo e que flui pela organização.
> Conduzido pelos profissionais em todos os níveis.
> Definição das estratégias de identificação e tratamento dos riscos.
> Aplicado em toda a organização, em todos os níveis e unidades, e inclui a

formação de uma visão de portfólio de todos os riscos a que ela está exposta.
> Formulado de modo que identifique eventos em potencial, cuja ocorrência

poderá afetar a organização, e que administre os riscos de acordo com o seu
apetite a risco.
> Capaz de propiciar garantia razoável para os gestores e para o a cúpula de uma
organização.
> Orientado para à realização de objetivos em uma ou mais categorias distintas,

mas dependentes.
O objetivo da IN Conjunta cinge-se em disseminar o entendimento segundo o qual

a gestão de riscos deve ser capaz de identificar os eventos de riscos em potencial,
35
capazes de afetar a organização, permitir o gerenciamento dos riscos de modo

compatível com o tamanho e complexidade da organização. Deve, ainda,
possibilitar um nível razoável de garantia em relação ao cumprimento dos seus
objetivos.
Principalmente no caso do setor público, a gestão de risco deve contribuir para o

aumento dos benefícios e reduzir o custo do valor a ser entregue à sociedade,
protegendo os direitos públicos, criando condições para a prosperidade econômica,
melhorando a prestação dos serviços governamentais, entre outros.
Os órgãos e entidades do Poder Executivo Federal deverão implementar, manter,

monitorar e revisar o processo de gestão de riscos, compatível com sua missão e
seus objetivos estratégicos.
6.1 Princípios da gestão de riscos
> Forma sistemática, estruturada e oportuna, subordinada aos interesses em

geral. No tocante à iniciativa privada os interessados são os stakeholders14. Na
área pública, os stakeholders são toda a sociedade em geral, eis que todo o
componente existe exatamente para servir o público em geral;
> Estabelecimento de níveis adequados de exposição a riscos;
> Estabelecimento de procedimentos de controle interno proporcionais ao risco,

observada a relação custo-benefício, e destinados a agregar valor à
organização;
> Utilização do mapeamento de riscos para apoio à tomada de decisão e à

elaboração do planejamento estratégico; e
> Utilização da gestão de riscos para apoio à melhoria contínua dos processos
organizacionais.
14
Stakeholder significa parte interessada ou interveniente. É uma palavra em inglês muito
utilizada nas áreas de comunicação, administração e tecnologia da informação, cujo
objetivo é designar as pessoas e grupos mais importantes para um planejamento
estratégico ou plano de negócios, ou seja, as partes interessadas.
36
6.2 Objetivos da Gestão de Riscos
> Assegurar que os responsáveis pela tomada de decisão, em todos os níveis do

órgão ou entidade, tenham acesso tempestivo a informações suficientes quanto
aos riscos aos quais está exposta a organização, inclusive para determinar
questões relativas à delegação, se for o caso;
> Aumentar a probabilidade de alcance dos objetivos da organização, reduzindo os

riscos a níveis aceitáveis; e
> Agregar valor à organização por meio da melhoria dos processos de tomada de
decisão e do tratamento adequado dos riscos e dos impactos negativos
decorrentes de sua materialização.
6.3 Estrutura do modelo de gestão de riscos
Na implementação e atualização do modelo de gestão de riscos, a alta

administração, bem como seus servidores ou funcionários, deverão observar os
seguintes componentes da estrutura de gestão de riscos:
> Fixação de objetivos
Todos os níveis da organização (departamentos, divisões, processos e atividades)

devem ter objetivos fixados e comunicados. A explicitação de objetivos, alinhados à
missão e à visão da organização, é necessária para permitir a identificação de
eventos que potencialmente impeçam sua consecução.
> Identificação de eventos
Devem ser identificados e relacionados os riscos inerentes à própria atividade da

organização, em seus diversos níveis.
> Avaliação de riscos
Os eventos devem ser avaliados sob a perspectiva de probabilidade e impacto de

sua ocorrência. A avaliação de riscos deve ser feita por análises qualitativas,
quantitativas ou a combinação de ambas. Os riscos devem ser avaliados quando à
sua condição de inerentes e residuais.
A avaliação de riscos é o processo permanente de identificação e análise dos riscos
37
relevantes que impactam o alcance dos objetivos da organização e determina a

resposta apropriada ao risco. Envolve identificação, avaliação e resposta aos riscos,
devendo ser um processo permanente.
São as políticas e os procedimentos estabelecidos e executados para mitigar os

riscos a ser tratados. Também denominadas de procedimentos de controle, devem
estar distribuídas por toda a organização, em todos os níveis e em todas as
funções.
Incluem uma gama de controles internos da gestão preventivos e detectivos, bem

como a preparação prévia de planos de contingência e resposta à materialização
dos riscos.
a) Identificação do risco.
b) Mensuração do risco.
c) Avaliação da tolerância da organização ao risco.
d) Desenvolvimento das respostas.
38
Figura 8 – Esquema de avaliação de risco
39
Figura 9 – Causas e consequências na gestão de riscos
No desenvolvimento da resposta aos riscos, deve-se levar em conta os seguintes

quesitos:
> Reduzir (mitigar) o risco.
Mitigar significa diminuir a intensidade de algo, fazer com que fique mais brando,
calmo ou relaxado. A mitigação é como é chamado o processo de mitigar. Mitigar o
risco, portanto, significar a redução ou moderação dos efeitos excessivos do risco.
> Evitar o risco
O risco pode eventualmente ser evitado quando seu nível se encontra em uma zona
crítica de alta probabilidade e alto impacto, comprometendo totalmente os
objetivos da organização. Como exemplo, vale citar determinada operação que
ocorra em uma área de risco que possa trazer prejuízo.
Normalmente, nesses casos, a implementação de controles apresenta um custo

muito elevado, inviabilizando sua mitigação, bem como não há entidades dispostas
40
a compartilhar o risco com a organização.
Nesse caso, pode ser recomendável até a descontinuidade das atividades. A esse
propósito, as principais empresas transportadoras resolveram não operar na
baixada fluminense, devido ao roubo de cargas.
> Compartilhar o risco
Atividades que visam reduzir o impacto ou a probabilidade de ocorrência do risco

através da transferência ou, em alguns casos, do compartilhamento de uma parte
do risco.
A forma mais tradicional de compartilhar o risco é trocar a posição financeira,

buscando compensar possíveis perdas com eventuais ganhos e vice-versa. Por
exemplo, as despesas incorridas no pagamento de prêmios de seguro buscam
proteger determinado ativo de possíveis perdas não admitidas. Desta forma, o
contratante do seguro transfere o risco de uma possível perda considerada
inaceitável.
Obviamente que o custo do seguro contratado pode ser determinante no subsídio à

decisão. Caso o valor seja muito elevado, pode inviabilizar a tomada e decisão e
estimular a aceitação do risco. Além de identificar os riscos que deseja transferir, os
gestores precisam conhecer profundamente a dinâmica das operações.
Outro exemplo é a contratação de hedge. Com o intuito de evitar oscilações

inesperadas ou indesejadas nos preços, o detentor do ativo decide trocar sua
posição financeira, fazendo exatamente uma posição inversa. O detentor de moeda
estrangeira para se proteger de eventual queda na cotação pode adquirir uma
mesma de moeda no mercado futuro em quantidade capaz de minimizar a possível
perda da desvalorização.
> Reter o risco
Manter o risco no nível atual de impacto e probabilidade de ocorrer. Exemplo: a

diretoria da empresa decide nada investir em melhorias da área de informática,
assumindo que as perdas e erros atualmente sabidos e esperados de informações
internas para o processo de decisão e de gestão são riscos toleráveis.
> Aceitar o risco
41
Um determinado risco pode ser aceito quando seu nível de risco estiver em uma
zona confortável para o gestor. Em outras palavras, o risco não é suficientemente
grave que possa ameaçar os objetivos organizacionais.
Nessa situação, nenhum controle será implementado para mitigar o risco. Porém,
são recomendáveis controles e monitoramento, uma vez que, com o passar do
tempo, o nível do risco pode sofrer alterações significantes e vir a ameaçar os
objetivos em questão.
Como exemplo, vale citar determinados riscos, cuja implementação não valem a
pena, devido ao custo envolvido.
Informação e comunicação
A condição sine qua non para que a informação seja utilizável e, assim, proporcione
os resultados colimados é ser confiáveis, íntegras e tempestivas. Portanto, é
fundamental que a informação seja adequada e eficaz para o alcance dos objetivos
colimados pela administração.
A gestão de integridade, riscos e controles internos da gestão deve ser utilizada no

sentido de apresentar o fluxo das informações e permitir que fluam para todos os
interessados. As informações externas relevantes aos processos de trabalho, por
sua vez, devem ser consideradas e compartilhadas adequada e tempestivamente.
Portanto, a comunicação direcionada à sociedade deve ser objeto de controle

efetivo, com o intuito de reduzir riscos inadequações às reais necessidades da
população. O monitoramento de toda a estrutura permite que haja adequação da
estrutura aos seus objetivos estratégicos.
Monitoramento
Com base no monitoramento contínuo e eficaz, devem ser elaborados,

prontamente, as avaliações e a melhor metodologia do redirecionamento que deve
submetidas informações. Caso sejam detectados deficiências ou vulnerabilidades ou
mesmo informações dispensáveis, serão efetuadas as correções necessários pela
instância responsável para um aperfeiçoamento dos instrumentos de gestão de
integridade, riscos e controles.
42
7. POLÍTICA DE GESTÃO DE RISCOS
A política de gestão de riscos tem como objetivo avaliar a qualidade da gestão de

riscos e dos controles internos da gestão, por meio de atividades gerenciais
contínuas ou avaliações independentes, buscando assegurar que estes funcionem
como previsto e que sejam modificados apropriadamente, de acordo com mudanças
nas condições que alterem o nível de exposição a riscos.
A política adotada deve possuir as necessárias competências e responsabilidades

para a efetivação da gestão de riscos no âmbito do órgão ou entidade. Quanto ao
prazo, a IN Conjunta estabelece qua a política de gestão de riscos, deve ser
instituída em até doze meses a contar da publicação.
7.1 Especificação mínima
Os princípios e objetivos organizacionais devem estabelecer as diretrizes sobre:
a) Como a gestão de riscos será integrada ao planejamento estratégico, aos

processos e às políticas da organização;
b) Como e com qual periodicidade serão identificados, avaliados, tratados e

monitorados os riscos;
c) Como será medido o desempenho da gestão de riscos;
d) Como serão integradas as instâncias do órgão ou entidade responsáveis pela

gestão de riscos;
e) A utilização de metodologia e ferramentas para o apoio à gestão de riscos; e
f) O desenvolvimento contínuo dos agentes públicos em gestão de riscos.
7.2 Tipologia dos riscos
> Riscos operacionais
Eventos que podem comprometer as atividades do órgão ou entidade, normalmente

associados a falhas, deficiência ou inadequação de processos internos, pessoas,
infraestrutura e sistemas. Caracteriza-se como riscos operacionais:
a) Fraudes internas.
43
b) Fraudes externas.
c) Demandas trabalhistas e segurança deficiente no local de trabalho.
d) Práticas inadequadas relativas a clientes, a produtos e a serviços.
e) Danos a ativos físicos próprios ou em uso pela instituição.
f) Aqueles que acarretem a interrupção das atividades da instituição.
g) Falhas em sistemas de tecnologia da informação.
h) Falhas na execução, cumprimento de prazos e gerenciamento das atividades da

instituição.
> Riscos de imagem ou reputação do órgão
Eventos que podem comprometer a confiança da sociedade (ou de parceiros, de

clientes ou de fornecedores) em relação à capacidade do órgão ou da entidade em
cumprir sua missão institucional, tais como:
a) Desgaste do nome ou razão social com as autoridades ou com o próprio pessoal

envolvido, em razão divulgação negativa, verdadeira. Exemplo: perdas
decorrentes de descumprimento de atribuições, como o atendimento a segmento
escolar.
b) Impacto adverso na imagem, em razão da má qualidade ou deficiência de

comunicação interna com o público-alvo.
c) Participação de dirigentes em situações não recomendáveis ou da falta de

participação destes em eventos que representem os interesses do órgão.
> Riscos legais
Eventos derivados de alterações legislativas ou normativas que podem

comprometer as atividades do órgão ou entidade.
a) Dispositivo legal ou regulamentar baixado que representa interesse contrário ao

órgão, como a alteração de legislação específica.
b) Má ou falta de interpretação de leis e regulamentos. Exemplo: a contratação de

produtos e serviços de maneira indevida.
c) Acumulação de passivo trabalhista, devido à falta de controle nas atividades de

contratação e demissão. Também pode ser decorrente da
44
> Riscos financeiros ou orçamentários
Eventos que podem comprometer a capacidade do órgão ou entidade de contar

com os recursos orçamentários e financeiros necessários à realização de suas
atividades, ou eventos que possam comprometer a própria execução
orçamentária, como atrasos no cronograma de licitações.
> Risco residual
É o risco a que uma organização está exposta após a implementação de ações

gerenciais para o tratamento do risco.
7.3 Responsabilidades do gestor do risco
O dirigente máximo da organização é o principal responsável pelo estabelecimento

da estratégia da organização e da estrutura de gerenciamento de riscos, incluindo o
estabelecimento, a manutenção, o monitoramento e o aperfeiçoamento dos
Cada risco mapeado e avaliado deve estar associado a um agente responsável

formalmente identificado. O agente responsável pelo gerenciamento de
determinado risco deve ser o gestor com alçada suficiente para orientar e
acompanhar as ações de mapeamento, avaliação e mitigação do risco.
Assegurar que o risco seja gerenciado de acordo com a política de gestão de riscos
da organização;
> Monitorar o risco ao longo do tempo, de modo a garantir que as respostas

adotadas resultem na manutenção do risco em níveis adequados, de acordo com
a política de gestão de riscos; e
> Garantir que as informações adequadas sobre o risco estejam disponíveis em

todos os níveis da organização.
45
8. PRINCÍPIOS DE GOVERNANÇA
Governança para a OCDE15 são os princípios reconhecidos internacionalmente e

visam garantir a integridade das corporações em seus processos de gestão, e de
relacionamento com as partes interessadas, também com o propósito de manter e
desenvolver a saúde das organizações e sua estabilidade.
Para uma efetiva governança, os princípios devem ser aplicados de forma

integrada, como um processo, e não apenas individualmente, sendo compreendidos
por todos na organização. Os agentes da governança institucional de órgãos e
entidades devem contribuir para aumentar a confiança na forma como são geridos
os recursos colocados à sua disposição, reduzindo a incerteza dos membros da
sociedade sobre a forma como são geridos os recursos e as organizações públicas.
A definição dos princípios de governança são:
> Liderança
Deve ser desenvolvida em todos os níveis da administração. As competências e

responsabilidades devem estar identificadas para todos os que gerem recursos
públicos, de forma a se obter resultados adequados.
> Integridade
Tem como base a honestidade e objetividade, elevando os padrões de decência e

probidade na gestão dos recursos públicos e das atividades da organização, com
reflexo tanto nos processos de tomada de decisão, quanto na qualidade de seus
relatórios financeiros e de desempenho.
> Responsabilidade
Diz respeito ao zelo que se espera dos agentes de governança na definição de

estratégias e na execução de ações para a aplicação de recursos públicos, com
15 A Organização para a Cooperação e Desenvolvimento Econômico – OCDE é uma organização

internacional de 35 países que aceitam os princípios da democracia representativa e da economia de
mercado. Procura fornecer uma plataforma para comparar políticas econômicas, solucionar
problemas comuns e coordenar políticas domésticas e internacionais. A maioria dos membros da
OCDE é composta por economias com um elevado PIB per capita e Índice de Desenvolvimento
Humano e são considerados países desenvolvidos.
46
vistas ao melhor atendimento dos interesses da sociedade.
> Compromisso
Dever de todo o agente público de se vincular, assumir, agir ou decidir pautado

em valores éticos que norteiam a relação com os envolvidos na prestação de
serviços à sociedade, prática indispensável à implementação da governança.
> Transparência
Caracterizada pela possibilidade de acesso a todas as informações relativas à

organização pública, sendo um dos requisitos de controle do Estado pela sociedade
civil. As informações devem ser completas, precisas e claras para a adequada
tomada de decisão das partes interessas na gestão das atividades.
> Accountability
Obrigação dos agentes ou organizações que gerenciam recursos públicos de

assumir responsabilidades por suas decisões e pela prestação de contas de sua
atuação de forma voluntária, assumindo integralmente a consequência de seus
atos e omissões.
Caracteriza-se como o conjunto de procedimentos adotados pelas organizações

públicas e pelos indivíduos que as integram que evidenciam sua responsabilidade
por decisões tomadas e ações implementadas, incluindo a salvaguarda de recursos
públicos, a imparcialidade e o desempenho das organizações.
47
9. COMITÊ DE GOVERNANÇA, RISCOS E CONTROLES
Riscos e controles internos devem ser geridos de forma integrada, objetivando o

estabelecimento de um ambiente de controle e gestão de riscos que respeite os
valores, interesses e expectativas da organização e dos agentes que a compõem.
Também deve respeitar todas as partes interessadas, tendo o cidadão e a

sociedade como principais vetores. Os órgãos e entidades do Poder Executivo
Federal deverão instituir, pelos seus dirigentes máximos, Comitê de Governança,
Riscos e Controles.
No âmbito de cada órgão ou entidade, o Comitê deverá ser composto pelo dirigente
máximo e pelos dirigentes das unidades a ele diretamente subordinadas e será
apoiado pelo respectivo Assessor Especial de Controle Interno.
São competências do Comitê de Governança, Riscos e Controles:
> Promover práticas e princípios de conduta e padrões de comportamentos.
> Institucionalizar estruturas adequadas de governança, gestão de riscos e

controles internos.
> Promover o desenvolvimento contínuo dos agentes públicos e incentivar a

adoção de boas práticas de governança, de gestão de riscos e de controles
internos.
> Garantir a aderência às regulamentações, leis, códigos, normas e padrões, com

vistas à condução das políticas e à prestação de serviços de interesse público.
> Promover a integração dos agentes responsáveis pela governança, pela gestão
de riscos e pelos controles internos.
> Promover a adoção de práticas que institucionalizem a responsabilidade dos

agentes públicos na prestação de contas, na transparência e na efetividade das
informações.
> Aprovar política, diretrizes, metodologias e mecanismos para comunicação e

institucionalização da gestão de riscos e dos controles internos.
48
> Supervisionar o mapeamento e avaliação dos riscos-chave que podem

comprometer a prestação de serviços de interesse público;
> Liderar e supervisionar a institucionalização da gestão de riscos e dos controles

internos, oferecendo suporte necessário para sua efetiva implementação no
órgão ou entidade;
> Estabelecer limites de exposição a riscos globais do órgão, bem com os limites
de alçada ao nível de unidade, política pública, ou atividade;
> Aprovar e supervisionar método de priorização de temas e macroprocessos para

gerenciamento de riscos e implementação dos controles internos da gestão;
> Emitir recomendação para o aprimoramento da governança, da gestão de riscos

e dos controles internos; e
> Monitorar as recomendações e orientações deliberadas pelo Comitê.
9.1 Composição do comitê
Composto pelo Ministro de Estado da Educação e pelos dirigentes titulares dos

órgãos de assistência direta e imediata do Ministro e dos órgãos específicos
singulares:
Subcomitê de Gestão de Integridade, Riscos e Controles Internos da Gestão –

SUBGIRC - composto por servidores dos órgãos de assistência direta e imediata do
Ministro de Estado da Educação e dos órgãos específicos e singulares do Ministro do
Estado da Educação, indicados por seus respectivos dirigentes titulares.
49
10. COMPETÊNCIA DA CGU
A dinâmica que envolvia as antigas organizações, lentas e introspectivas, perde

cada vez mais espaço para as administrações modernas, capazes de gerar
informações e de articular rapidamente sua estrutura para atender às demandas do
seu público-alvo. Trata-se de uma verdadeira redescoberta da função gestora da
administração pública, que passa a agir segundo os conceitos funcionais da
administração.
É fato que que na administração pública federal surgem termos e atividades

relativamente novas até não utilizados como o caso da gestão de riscos, controles
internos governança, integração de informações gerenciais, uso efetivo dos
recursos de TI, análise de ambiental, elaboração de projetos e parcerias. A
dimensão dessas mudanças de paradigma vem proporcionando uma mudança
cultural importante na administração pública.
Foi no contexto dessas mudanças que a IN Conjunta, atribui competência à CGU no

sentido de colaborar com os gestores, com o intuito de reforçar a necessidade de
estabelecimento da Política de Gestão de Riscos, bem como auxiliar em eventuais
dúvidas ou dificuldades. É cediço que o processo de elaboração e constituição de
uma Política de Riscos não é um assunto de fácil aplicação. Pelo contrário, é uma
matéria complexa, relativamente nova no contexto da administração pública
brasileira e por envolver diversas áreas e atores dentro das organizações.
Nesse passo, mercê da experiência e expertise adquirida no cumprimento de sua

missão, a CGU surge como uma importante unidade colaboradora, como veículo de
implementação de forma sistemática, gradual e contínua, os principais
instrumentos a serem utilizados no acompanhamento da implantação. Para isso,
poderão ser utilizadas ações como a capacitações, a prestação de serviços de
consultorias e as avaliações das auditorias.
Em resumo, a participação da CGU no processo deve envolver, dentre outros, os

seguintes passos:
> Avaliar a política de gestão de riscos dos órgãos e entidades do Poder Executivo
federal.
50
 Avaliar se os procedimentos de gestão de riscos estão de acordo com a

política de gestão de riscos; e
 Avaliar a eficácia dos controles internos da gestão implementados pelos

órgãos e entidades para mitigar os riscos, bem como outras respostas aos
riscos avaliados.
51
11. MATRIZ DE NÍVEIS DE RISCOS
Figura 10 – Matriz de impacto/probabilidade
Fonte: Matriz de Riscos - Gestão de Integridade, Riscos e Controles

Internos da Gestão – Ministério do Planejamento
A matriz identificadora dos níveis de riscos pode ser representada pelos eixos
impacto versus probabilidade. Os eventos de riscos situados nos quadrantes
definidos como risco alto e risco crítico são indicativos de necessidade de
controles mais rígidos.
Por outro lado, os eventos situados nos quadrantes de risco pequeno e
moderado seriam um indicativo de controles mais moderados. Ressalta-se,
também, que em alguns casos não haveria necessidade de implementar controles
ou até retirar controles.
Os níveis de riscos são delimitados com base no resultado da combinação de pesos
da perspectiva impacto e da perspectiva probabilidade. Para cada perspectiva foram
definidos os pesos e as suas descrições.
Escala de Impacto
Nesta perspectiva, após o julgamento, o gestor poderá atribuir um dos pesos

abaixo considerando as respectivas definições:
52
Tabela 2 – Escala de peso dos impactos
PESO IMPACTO INTERPRETAÇÃO
O impacto ocasiona colapso às ações de

5 Catastrófico gestão, a viabilidade estratégica pode ser
comprometida.
O impacto compromete acentuadamente
às ações de gestão, os objetivos
4 Grande
estratégicos podem ser fortemente
comprometidos.
O impacto é significativo no alcance das
3 Moderado
ações de gestão.
O impacto é pouco relevante ao alcance
2 Pequeno
das ações de gestão.
O impacto é mínimo no alcance das ações
1 Insignificante
de gestão.

Tabela 3 – Escala da ocorrência das probabilidades
PESO PROBABILIDADE INTERPRETAÇÃO
O evento é esperado na maioria das

5 Muito alta
circunstâncias.
o evento provavelmente ocorre na maioria

4 Alta
das circunstâncias
3 Possível o evento deve ocorrer em algum momento
2 Baixa o evento pode ocorrer em algum momento
o evento pode ocorrer apenas em

1 Muito baixa
circunstâncias excepcionais.

53
REFERENCIAS
Brasiliano, Antônio C.R. Inteligência em Riscos. Gestão Integrada em Riscos
Corporativos. Ed. Sicurezza. São Paulo. 2016.
Committee of Sponsoring Organizations of the Treadway Commission (COSO) -

Internal Control – Integrated Framework COSO - Gerenciamento de Riscos
Corporativos – Estrutura Integrada. 2004.
Kleberson S. Franklin B. Como Gerenciar Riscos na Administração Pública. Ed.

Negócios Públicos do Brasil Ltda. Curitiba. 2017.
Decreto nº 9.203, de 22 de novembro de 2017. Dispõe sobre a política de
governança da administração pública federal direta, autárquica e fundacional.
Instrução Normativa CGP MP nº 001, de 10 DE maio de 2016. Dispõe sobre

controles internos, gestão de riscos e governança no âmbito do Poder Executivo
Federal.
Manual de Gestão Integridade, Riscos e Controles Internos da Gestão. Assessoria
Especial de Controles Internos do Ministério do Planejamento. 2017.
Gestão de Riscos – Princípios e diretrizes. ABNT NBR ISO 31000. 2009.

Gestão de Riscos – Técnicas para o processo de avaliação. ABNT NBR ISSO/IEC
31010. 2012.
Roteiro de Auditoria de Gestão de Riscos. Tribunal de Contas da União (TCU). 2017.
54

Controle Interno GIRC

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Controle Interno GIRC

Enviado por

Direitos autorais:

Formatos disponíveis

CONTROLES INTERNOS,

Aplicação no âmbito do Ministério da

Gabinete do Ministério da Educação

Assessoria Especial de Controle Interno

Maria Helena Guimarães de Castro

Chefe da Assessoria Especial de Controle Interno – AECI

Frederico Bernardes Vasconcelos

Sergio Arnor Vieira

Alina Pinheiro Fialho

Mariza Goes Pinheiro

Ruth Mariana Lima Cordeiro

1.1 Amplitude da norma 1

1.3 Planejamento estratégico 2

1.5 Entidades nacionais e internacionais 4

2.1 Controles internos da gestão 12

2.2 Metodologia de implantação 14

2.3 Linhas de defesa aplicáveis aos controle interno e regulação

PRINCÍPIOS DA GESTÃO INTEGRADA DE RISCOS E CONTROLES

5.2 Informação e comunicação 34

6. GESTÃO E GERENCIAMENTO DE RISCOS 35

6.1 Princípios de gestão de riscos 36

6.2 Objetivos da gestão de riscos 37

6.3 Estrutura do modelo de gestão de riscos 37

7. POLÍTICA DE GESTÃO DE RISCO 43

7.1 Especificação mínima 43

7.2 Tipologia dos riscos 43

7.3 Responsabilidade do gestor dos riscos 45

9. COMITÊ DE GOVERNANÇA, RISCOS E CONTROLE 48

9.1 COMPOSIÇÃO DO COMITÊ 49

11 MATRIZ DE NÍVEIS RISCOS 52

1 Matriz tridimensional de riscos 6

Relacionamentos entre princípios da gestão de riscos, estrutura

3 Esquema de implantação dos controles internos da gestão 14

4 Sistemas de controles internos deficientes 16

5 Sistemas de controles internos eficientes 16

6 Esquemas de três linhas de defesa 23

7 Distinção entre os conceitos 32

8 Esquema de avaliação de risco 39

9 Causas e consequências na gestão de riscos 40

1 Componentes da matriz tridimensional de riscos 7/8

2 Escala de peso dos impactos 53

3 Escala da ocorrência das probabilidades 53

Segundo as diretrizes estabelecidas pela Instrução Normativa Conjunta CGU/MP Nº

Através da utilização desses instrumentos gerenciais, a finalidade do Normativo

1.1 Amplitude da norma

Não há referência explícita à aplicação pelas entidades paraestatais e pelos

O dirigente máximo da organização é o principal responsável pelo estabelecimento

Na iniciativa privada, normalmente, respondem por essa atribuição o conselho de

Cabe aos demais funcionários e servidores a responsabilidade pela

Portanto, em vista de tudo até agora exposto, não há dúvida que,

Na hipótese de existirem, no órgão ou na entidade, áreas que tenham a

Sem que sejam eximidas as responsabilidades de todos os agentes do órgão ou

1.3 Planejamento estratégico

Como documento formal que estabelece os objetivos organizacionais essenciais de

O fato é que as organizações necessitam de estruturas, políticas e diretrizes

No atual cenário de incertezas e vicissitudes, o planejamento estratégico adquire

Não obstante sua importância e a estreita ligação com a gestão de riscos e os

Todavia, em função das razões expostas, bem como eventuais mudanças

As disposições trazidas pela Norma definem ferramenta de suporte tecnológico na

Por exemplo, o Ministério do Planejamento, Desenvolvimento e Gestão - MP

Trata-se de uma ferramenta bastante completa e que pode se mostrar aplicável a

Malgrado a viabilidade de utilização de ferramentas disponíveis, como o caso de

Vale citar, a esse propósito, a abrangência, o tamanho e as dimensões de cada