AVALIAO DOS CONTROLES INTERNOS E MAPA DE RISCOS Em 2002, aps a avalanche de informaes sobre companhias que manipularam suas

informaes contbeis (Enron, Tyco, WorldCom e outras), o Congresso Americano, pressionado pela Sociedade e pela mdia, resolveu aprovar a Lei Sarbanes-Oxley, elaborada pelos congressistas, Paul S. Sarbanes e Michael Oxley, a qual reforma a regulamentao sobre o mercado de capitais, em vigor naquele pas, desde a dcada de 30. Estes escndalos abalaram, fortemente, a confiana dos investidores e reforaram a necessidade de maior transparncia e confiabilidade na confeco e divulgao das informaes contbeis e financeiras. Teve como mudana bsica nas regras de governana corporativa: - o aumento da responsabilidade dos diretores perante a emisso e divulgao de relatrios financeiros, bem como nfase no uso de controles internos mais rgidos (avaliao pela administrao da estrutura e eficincia dos controles internos) como forma de erradicar a manipulao indevida de informaes financeiras. Os seus efeitos estendem-se, inclusive, s empresas no americanas que possuem cotao secundria em Bolsas de Valores norte-americanas. Como decorrncia dos fatos apontados, vrios estudos foram realizados, procurando identificar as principais falhas nos controles dessas instituies. Entre esses estudos, destaca-se, internacionalmente, o trabalho realizado pelo Committee of Sponsoring Organizations of the Treadway Commission (COSO), em setembro de 1992, intitulado Internal Control Integrated Framework Controles Internos Um modelo integrado. Esta publicao tornou-se referncia mundial para o estudo e avaliao dos controles internos. Os integrantes do Comit das Organizaes Patrocinadoras (COSO) so representantes da indstria, dos contadores, das sociedades de investimento e da Bolsa de Valores de Nova Iorque. Baseando-se no modelo COSO, direcionaremos a nossa preocupao para o planejamento das atividades e avaliao dos controles internos de uma organizao.

I) Definio de Controle Interno: um processo desenvolvido para garantir, com razovel certeza, que sejam atingidos os objetivos da empresa, nas seguintes categorias: Eficincia e efetividade operacional - relaciona-se ao atingimento ou no dos objetivos bsicos da entidade, no que se refere s metas de desempenho e rentabilidade;

Confiana nos registros contbeis/financeiros os registros devem refletir transaes reais, consignadas pelos valores e enquadramentos corretos; Conformidade aes e documentos gerados pelos processos internos devem estar em conformidade com a legislao e normas pertinentes.

II) Processo de Controles Internos: Este processo constitudo de 5 elementos, inter-relacionados entre si e presentes em todos os controles internos. So eles: Ambiente de Controle Avaliao e Gerenciamento de Riscos Atividades de Controle Informao e Comunicao Monitoramento Ambiente de Controle

Em resumo, ambiente de controle a conscincia de controle da entidade, sua cultura de controle, seu modus operandi. Ambiente de controle envolve competncia tcnica e compromisso tico: um fator intangvel e essencial efetividade dos controles internos. A postura da alta administrao (padro tico/integridade e compromisso) desempenha um papel fundamental para os subordinados d o tom real e efetivo de controle existente na entidade.

Modelo de Questionrio de Avaliao do Ambiente de Controle: com colunas para

avaliaes da natureza do risco operacional/informao/conformidade e/ou por critrios de materialidade/relevncia/desempenho/criticidade, bem como do impacto daquela atividade (baixo/mdio/alto) nos resultados da organizao (modelo conhecido

tambm como matriz de risco).

Atividade
1)As pessoas se sentem controladas? 2) As delegaes de autoridade esto acompanhadas de claras definies de responsabilidade? 3)Existem procedimentos e/ou instrues de trabalho padronizados? 4) H planejamento para o treinamento?

Sim

No

Natureza do Risco* (*)Ver item a seguir.

Impacto

5) Se positivos, esses planos atendem s expectativas e necessidades do trabalho e dos servidores de cada Unidade? 6) Existe cdigo formalizado de tica/conduta? 7) Se o funcionrio agir em desrespeito ao cdigo de conduta, so tomadas medidas disciplinares e/ou punitivas? 8) H mecanismos de participao dos servidores na elaborao das regras de conduta? 9)Existe adequada segregao de funes nas Unidades da organizao? 10) Existe um ambiente de comunicao adequado e eficiente? Avaliao e Gerenciamento dos Riscos Metas e objetivos so condies necessrias para a existncia de controles internos. Gerencia-se o atingimento ou no das metas/objetivos organizacionais. Uma vez estabelecido o objetivo, devem-se identificar os riscos que ameaam o seu cumprimento e tomar as aes oportunas para o gerenciamento dos riscos identificados (mitigao dos riscos).

Os administradores (gestores) devem definir as naturezas e os nveis de riscos operacionais*, de informao* e de conformidade* que esto dispostos a assumir. A identificao e gerenciamento dos riscos uma ao pro-ativa que permite evitar surpresas desagradveis.
Neste novo paradigma, as vrias partes do processo de auditoria esto ligadas s metas/objetivos da organizao atravs do risco na consecuo desses objetivos e das estratgias que a gesto adotou para mitigar os riscos. Os riscos podem ser classificados em: operacional, de informao e de conformidade, com as seguintes abrangncias: 1) operacional = riscos de falha humana, produtos & servios, regulamentao, catstrofe, sinistros, patrimonial, contrato e fraudes/desvios; 2) de informao = falhas em sistemas gerenciais de informao, integridade, confidencialidade, gesto de dados, sistemas de validao de informaes e sistema de segurana informacional; 3) de conformidade = risco legal, risco de no cumprimento s legislaes e regulamentos aplicveis.

Brasiliano (2004) nos descreve como identificar riscos estratgicos dentro do planejamento da gesto de riscos corporativos. Considera ideal antes, de iniciar o levantamento de riscos, a realizao do benckmarking comparao com padres de excelncia/melhores prticas referenciadas - de processos e recursos internos. O roteiro a seguir um conjunto de atividades sugerido: 1) Identificao de processos e recursos crticos: entrevistas com os responsveis pelos setores/desmembramento de macroprocessos em processoschave/identificao de fatores crticos/informaes em outras organizaes congneres; 2) Descrio de processos e recursos crticos formular as seguintes questes: Qual o papel deste processo dentro da organizao? O processo crtico ( relevante/tem impacto na sociedade/o seu custo alto, baixo ou imaterial/qual a natureza do risco associado/ possvel ter monitoramento ou percepo do seu grau de efetividade)? Que recursos necessito para colocar o processo em andamento? De quais e de quantas pessoas eu preciso? Que informaes so cruciais para o seu planejamento? 3) Identificando Riscos: quais os riscos que podem afetar o desempenho dos respectivos processos? Da a decomposio do risco em fatores causas que podem estar dentro do controle da empresa e so monitorveis. Existem vrias tcnicas para elucidao das causas (origem) de cada risco. A mais comum e funcional entre elas a espinha de peixe (tambm conhecido como Diagrama de Ishikawa), utilizada para dissecar o fluxo de cada processo e separar os fatores de risco (causas).

Numa seqncia grfica cada causa representada por uma seta que se comunica com outra causa mais prxima da espinha, at chegarmos identificao do problema (evento) que corresponde ao risco eventual que tentamos compreender e analisar. Ex.: para o evento (roubo de mercadorias), podemos vislumbrar os seguintes fatores de risco (causas): Falhas no controle de recebiment o das mercadoria s Desprepar o da equipe de segurana Controle de acesso/circula o de funcionrios no apropriado/seg uro

Roubo de mercadorias

No existncia de inventrio s peridicos

Falta de controle de rodzio de funcionrio s/conluio praticado

Controles deficientes na sada das mercadoria s do estoque

Modelo de Questionrio de Avaliao e Gerenciamento dos Riscos:

Atividade
1) Os objetivos e metas da organizao se encontram formalizados? 2) Foram identificados os processos mais crticos? 3) Foram levantados e diagnosticados os pontos de falha dos processos? 4) Foram estimadas as probabilidades de ocorrncia e/ou impactos dos riscos? 5) Existem ativos com risco potencial? 6) Existem histricos de perdas/fraudes internas? 7) Em caso positivo, houve instaurao de sindicncia e/ou ressarcimento?

Sim

No

Natureza do Risco

Impacto

8) H controles adequados em reas crticas como estoques/ compras/numerrio? 9) So feitas contagens fsicas de estoques? 10) As atividades de guarda, estoque e inventrio so regulamentadas ou normatizadas na Unidade? 11) Existem riscos de incndio, desgaste, obsolescncia, perdas previstos e monitorados? 12) Existem processos que podem ser melhorados e/ou priorizados?

Atividades de Controle So aquelas atividades que, quando executadas dentro do seu tempo e de maneira adequada, permitem a minimizao e gesto dos riscos. Constituem-se em atividades de preveno ou de deteco. Citam-se as seguintes como principais: 1) Aladas (preveno): estabelecimento de valor mximo para um funcionrio aprovar valores ou assumir posies em nome da entidade - limites de aladas operacionais/estabelecimento de tetos de valores para tomada de decises gerenciais; 2) Autorizaes (preveno): aprovao de uma atividade ou operao por uma superviso/chefia/gerncia para que seja efetivada. A aprovao pode ser mecnica ou eletrnica. Implica validao da transao e assegura que ela est em conformidade com as polticas, procedimentos e legislao. O uso de senhas/autorizao de acesso fsico/criptografia/certificao digital/assinatura digital/autenticao e outros mecanismos de segurana lgica imprescindvel. A confirmao da veracidade dos atos e fatos inseridos em sistemas informatizados vista dos devidos suportes documentais realiza-se por meio dos mecanismos de certificao/validao de conformidade ou consistncia documental (V. Decreto n43.149/03 do Municpio de So Paulo que dispe sobre a conformidade, instituda no Sistema NovoSeo); 3) Conciliao (deteco): a confrontao da mesma informao com dados vindos de bases diferentes, adotando-se as medidas corretivas, quando necessrio;

4) Revises de desempenho (deteco): acompanhamento de uma atividade/processo para avaliao de sua adequao e/ou desempenho, em relao s metas/objetivos pr-estabelecidos e aos benchmarks (referncia/padres/custo-padro/custo meta etc.), de forma a antecipar mudanas que possam afetar negativamente a Entidade. Aqui se insere um sistema de acompanhamento, controle, anlise, avaliao e realimentao da execuo do programa de trabalho do Governo avaliao por meio de indicadores de desempenho (para eficincia/eficcia/efetividade). 5) Segurana fsica (preveno e deteco): incluem-se nela controle sobre os processos de inventrio/proteo de ativos/controle de acessos/controles de entrada e sada de funcionrios/senhas para acesso aos sistemas informatizados/recursos de criptografia etc; 6) Segregao de funes (preveno): essencial para a efetividade dos controles internos e, via de regra, a atividade de maior risco numa organizao. Separar adequadamente entre os funcionrios as atividades de: contabilidade e conciliao, informao e autorizao, custdia e inventrio, contratao e pagamento, administrao de recursos prprios e de terceiros, normalizao e fiscalizao;

7) Sistemas Informatizados (preveno e deteco): organizao e manuteno de arquivos de segurana back ups, arquivos de log do sistema, plano de contingncia para falhas ou quebra de segurana invaso de hackers, sistema de validao de informaes com registros armazenados em banco de dados etc.; 8) Normatizao interna (preveno): definio das regras internas/funcionamento/fluxos operacionais/funes/ responsabilidades e nveis de autoridade e aladas/manuais de treinamento/instrues tcnicas e procedimentos de trabalho. Sem pretender esgotar as possibilidades, bem como dependendo da complexidade e natureza das operaes e nvel de eficcia dos controles existentes, podemos construir um modelo de questionrio para avaliao das atividades de controle, de modo a abranger as funes/processos mais crticos da organizao implicando em maiores responsabilidades e/ou fatores de risco para a organizao. O foco nos problemas e situaes reais que a organizao, num certo momento, enfrenta, constitui-se no primeiro passo para identificar/diagnosticar os riscos potenciais e oferecer, tempestivamente, aes/medidas corretivas quando os controles se mostrarem insuficientes e/ou inadequados.

Modelo de Questionrio de Avaliao das Atividades de Controle: Atividade 1) Existem normas internas de procedimentos/processos de trabalho explicitamente definidos? 2) Essas normas so de conhecimento dos servidores? 3) As funes/atividades esto adequadamente segregadas nas Unidades? 4) As compras de mercadorias so centralizadas? 5) Existe uma cultura de planejamento junto s reas requisitantes de forma a otimizar a programao das aquisies? 6) As delegaes de autoridade esto acompanhadas de claras definies de responsabilidade? 7) O sistema de processamento de informaes seguro e confivel? 8) Existem normas/orientaes escritas para realizao de contrataes, subordinadas aos ditames legais? 9) Existe reviso independente nos processos de pagamento/autorizaes de despesa/emisso de empenhos? 10) Foram identificados casos de desvio/fraude/suborno/corrupo? 11) Em caso positivo, foram tomadas atitudes punitivas e/ou instaurao de sindicncia e/ou medidas disciplinares? 12) So estabelecidos critrios tcnicos (lei de Licitaes) para aquisio de equipamentos e bens de capital? 13) A Entidade apresenta planejamento gerencial com estabelecimento de metas e/ou diretrizes? Sim No Natureza do Risco Impacto

14) A administrao props o estabelecimento de padres de desempenho/atuao/aferio da qualidade dos servios prestados? 15) A Unidade tm Auditoria Interna (ou rgo especfico)? 16) Existem procedimentos de segurana para acesso de informaes e utilizao de aplicativos de conformidade? 17) Existe um centro de custos e/ou responsabilidade para levantamento de dados/avaliao de custos e dos resultados dos programas/servios e/ou bens oferecidos pela administrao?

Informao e Comunicao O fluxo de comunicao dentro de uma organizao deve ocorrer em todas as direes dos nveis hierrquicos superiores aos inferiores, vice-versa e dentro deles, contemplando a comunicao horizontal e vertical para um bom funcionamento dos controles. O processo de comunicao pode ser formal ou informal. Este ltimo, em especial, nas organizaes pblicas, , na maior parte das vezes, mais preocupante do que o processo formal, pois a informao chega antes de ser divulgada na mdia oficial. A maioria das organizaes pblicas hoje conquistaram procedimentos e sistemas informatizados; nesse sentido, o planejamento de auditoria deve se preocupar cada vez mais com a avaliao de risco e segurana em ambientes eletrnicos e com as tcnicas de controle em sistemas informatizados (auditoria de sistemas). Monitoramento O monitoramento a avaliao dos controles internos ao longo do tempo. O acompanhamento das atividades contnuo, devendo-se estimular, ainda, mecanismos de auto-avaliao, revises internas e auditorias internas programadas.

Em resumo: Controles so eficientes quando a alta administrao tem uma razovel certeza: Do grau de atingimento dos objetivos operacionais propostos; De que as informaes fornecidas pelos relatrios e sistemas corporativos so confiveis e tempestivas; De que Leis, regulamentos e normas pertinentes esto sendo cumpridos. A nossa experincia em cursos de treinamento sobre Controles Internos para servidores da Municipalidade e a troca de experincia surgida nesses eventos nos permitiu observar e registrar inmeras prticas administrativas que ou no so adequadas/suficientes ou esto sendo perpetradas em desconformidade com a legislao em vigor ou no atendem aos manuais/normas de procedimentos; constituindo, assim, riscos iminentes ou potenciais organizao. Para tanto, o quadro a seguir identifica algumas destas prticas e deficincias de controle interno correlacionadas, bem como sugestes para a implementao ou melhoria dos procedimentos de controle.

Prticas Administrativas no adequadas/insuficientes X Procedimentos de Controle Interno sugeridos:

Prticas administrativas: 1) Fragilidades nos controles e fiscalizao dos servios prestados, fazendo os contratos no serem executados conforme pactuados (ex.: varrio de ruas, coleta de lixo domiciliar, servios que extrapolam os quantitativos das Atas de Registros de Preos etc.); Procedimentos de CI sugeridos:
Normalizar procedimentos e instrues de trabalho; Determinar e dividir responsabilidades; Papel fundamental do gestor de contratos no acompanhamento e fiscalizao da execuo do objeto do contrato art.67 da LF 8.666/93; Realizar rodzio de funes; Conferir aes de forma independente para confirmar transaes/outros eventos relevantes; Desenvolver, implantar e manter sistemas de superviso e acompanhamento dos controles (ex.: cadastro de fornecedores/elaborar e/ou atualizar manual de procedimentos de compras/instituir procedimentos de controle de qualidade etc.).

2) Controles deficientes na execuo dos contratos (ex.: ausncia de registros referentes situao de funcionrios/preenchimento incorreto de formulrios/controle deficiente nos almoxarifados/ausncia de normas para controle de custos e avaliao de programas etc.);

Fatos significantes e transaes devem estar claramente documentados e disponveis para exame; Segregar registros da execuo e reviso por pessoas que atuam dentro dos limites de sua autoridade; Normalizar procedimentos (polticas de compra/transferncias/emprstimos e tambm normas para controle de registro de pessoal); Normalizar procedimentos (gesto de estoques, implantar e manter sistema de avaliao de custos bem como registros de controle, expedio e consumo de materiais); Acompanhamento e monitoramento dos controles (revises nos registros permanentes de estoques e outros elementos de informao/proceder contagens fsicas de estoques); Conferir registros sintticos com analticos (proceder conciliaes peridicas).

3) Controles Deficientes nos aspectos de formalizao de despesas e contratos: falta de pesquisa prvia de preos de mercado/empenho extemporneo ou sem prvio empenho/dotao inadequada ou errnea/publicao fora de prazos legais/falta de justificativa de preos/ausncia de justificativas nas contrataes diretas.

Avaliao/Monitoramento de registros e dos sistemas de informaes gerenciais; Integrao dos rgos e setores envolvidos na operao; Adequao de procedimentos operacionais legislao/aplicao e atualizao de instrues operacionais; Identificao e correo de falhas e irregularidades no ciclo operacional; Observncia dos nveis de autorizao e aladas estabelecidos pelas normas internas e legislao; Observncia a contingenciamentos oramentrios e legais impostos operao; Avaliao de operaes e programas quanto aos custos e benefcios, com os padres de custos originalmente previstos e os resultados alcanados;

Relatar os resultados da avaliao global e propor aes corretivas quando necessrias. Em recente trabalho, Do Nascimento (2004, p.73-74), prope a utilizao de questionrio como instrumento de anlise para julgamento da eficincia dos controles internos. O autor apresenta, a seguir, um questionrio para avaliao dos controles internos para o item - arrecadao das receitas oramentrias, reproduzido abaixo, o qual acrescenta algumas novidades em relao aos propostos nesta seo, como as colunas de observaes e de natureza dos testes de auditoria:
ReceitasOramentrias 1. Existe mtodo de previso para cada modalidade de receita prpria? 2. H responsvel (eis) para identificar possveis causas pela no realizao das receitas nos moldes esperados? 3. So realizadas revises anuais da base de clculo das receitas? 4. efetuado algum tipo de desconto pelo pagamento antecipado das receitas? 4.1. Caso exista, o clculo do desconto elaborado diretamente pelo agente arrecadador ou possui sistema de autorizao prvio junto ao rgo da administrao? 5. O pagamento ocorre junto ao prprio rgo ou realizado mediante boleto bancrio? 6. realizada alguma verificao dos valores arrecadados, em contraposio aos valores lanados? 7. Existem procedimentos de cobrana administrativa para os valores no Respostas Sim No Observaes Testes O(*) S(*)

arrecadados, e eles ocorrem logo aps a no realizao do pagamento? 8. A instituio possui sistema de cobrana judicial prprio ou a cobrana feita por terceiros? 9. H controle dos dbitos prescritos e conhecimento das causas pela no efetivao da cobrana?

(*) Abrangem os procedimentos de auditoria testes de observncia (O) e testes substantivos (S), definidos pela Resoluo CFC n820/97, como: Testes de observncia visam obteno de razovel segurana de que os procedimentos de controle interno estabelecidos pela administrao esto em efetivo funcionamento e cumprimento; Testes substantivos visam obteno de evidncia quanto suficincia, exatido e validade dos dados produzidos pelo sistema contbil da entidade (transaes/saldos e reviso analtica).

Abro Blumen/2005