CONTROLES INTERNOS, GESTÃO DE RISCOS E …fonai-mec.com.br/uploads/documentos/arq1522864266.pdf ·...

Aplicação no âmbito do Ministério da Educação - MEC

CONTROLES INTERNOS, GESTÃO DE RISCOS E

GOVERNANÇA NO ÂMBITO DO PODER EXECUTIVO FEDERAL -

GIRC

CONTROLES INTERNOS, GESTÃO DE RISCOS E GOVERNANÇA NO ÂMBITO

DO PODER EXECUTIVO FEDERAL - GIRC

MINISTÉRIO DA EDUCAÇÃO

Gabinete do Ministério da Educação

Assessoria Especial de Controle Interno

Ministro da Educação

Mendonça Filho

Chefe de Gabinete

Raphael Callou

Secretária Executiva

Maria Helena Guimarães de Castro

Chefe da Assessoria Especial de Controle Interno – AECI

Frederico Bernardes Vasconcelos

Elaboração

Sergio Arnor Vieira

Colaboradores

Alina Pinheiro Fialho

Mariza Goes Pinheiro

Ruth Mariana Lima Cordeiro



SUMÁRIO

1. CONSIDERAÇÕES PRELIMINARES 1

1.1 Amplitude da norma 1

1.2 Responsabilidade 1

1.3 Planejamento estratégico 2

1.4 Tecnologia 3

1.5 Entidades nacionais e internacionais 4

2. CONTROLES INTERNOS 11

2.1 Controles internos da gestão 12

2.2 Metodologia de implantação 14

2.3

Linhas de defesa aplicáveis aos controle interno e regulação

externa 16

3. PRINCÍPIOS DA GESTÃO INTEGRADA DE RISCOS E CONTROLES

– GIRC 24

4. DEMAIS CONCEITOS 31

4.1 Economicidade 31

4.2 Eficiência 31

4.3 Eficácia 31

4.4 Efetividade 31

5. AMBIENTE DE CONTROLE 33

5.1 Componentes 33

5.2 Informação e comunicação 34

6. GESTÃO E GERENCIAMENTO DE RISCOS 35

6.1 Princípios de gestão de riscos 36



6.2 Objetivos da gestão de riscos 37

6.3 Estrutura do modelo de gestão de riscos 37

7. POLÍTICA DE GESTÃO DE RISCO 43

7.1 Especificação mínima 43

7.2 Tipologia dos riscos 43

7.3 Responsabilidade do gestor dos riscos 45

8. PRINCÍPIOS DE GOVERNANÇA 46

9. COMITÊ DE GOVERNANÇA, RISCOS E CONTROLE 48

9.1 COMPOSIÇÃO DO COMITÊ 49

10 COMPETÊNCIA DA CGU 50

11 MATRIZ DE NÍVEIS RISCOS 52

FIGURAS

1 Matriz tridimensional de riscos 6

2 Relacionamentos entre princípios da gestão de riscos, estrutura

e processos 9

3 Esquema de implantação dos controles internos da gestão 14

4 Sistemas de controles internos deficientes 16

5 Sistemas de controles internos eficientes 16

6 Esquemas de três linhas de defesa 23

7 Distinção entre os conceitos 32

8 Esquema de avaliação de risco 39

9 Causas e consequências na gestão de riscos 40

10 Matriz impacto/probabilidade 52



TABELA

1 Componentes da matriz tridimensional de riscos 7/8

2 Escala de peso dos impactos 53

3 Escala da ocorrência das probabilidades 53



1

1. CONSIDERAÇÕES PRELIMINARES

Segundo as diretrizes estabelecidas pela Instrução Normativa Conjunta CGU/MP Nº

01, de 10 de maio de 2016, os órgãos e entidades do Poder Executivo Federal

deverão adotar medidas para a sistematização de práticas relacionadas aos

controles internos, à gestão de riscos, e à governança.

Através da utilização desses instrumentos gerenciais, a finalidade do Normativo

Conjunto é, portanto, fortalecer a gestão, aperfeiçoar os processos e o alcance dos

objetivos organizacionais, por meio da criação e aprimoramento dos controles

internos da gestão, da governança e sistematização da gestão de riscos.

1.1 Amplitude da norma

A norma tem uma grande amplitude, por ser aplicável a, praticamente, todos os

órgãos e entidades do Poder Executivo Federal, incluindo a administração direta e

indireta. Desta forma, a aplicação do normativo deverá ser observada pelas

autarquias, empresas públicas, sociedades de economia mista e fundações públicas.

Não há referência explícita à aplicação pelas entidades paraestatais e pelos

conselhos profissionais. Contudo, levando-se em conta a particularidade dessas

entidades no sentido de colaborar com o Estado no desempenho das atividades de

interesse público, a fim de fortalecer as práticas de gestão e o alcance de seus

objetivos organizacionais, é recomendável que essas entidades também observem

as diretrizes dispostas no normativo.

1.2 Responsabilidade

O dirigente máximo da organização é o principal responsável pelo estabelecimento

da estratégia da organização e da estrutura de gerenciamento de riscos. Tais

responsabilidades, incluem o estabelecimento, a manutenção, o monitoramento e o

aperfeiçoamento dos controles internos da gestão.

Na iniciativa privada, normalmente, respondem por essa atribuição o conselho de

administração ou, na hipótese de não existir formalmente, a diretoria da

organização é a responsável. No que concerne aos órgãos da administração direta,

devem responder os titulares das respectivas pastas (ministros de estado).



2

Cabe aos demais funcionários e servidores a responsabilidade pela

operacionalização dos controles internos da gestão e pela identificação e

comunicação de eventuais deficiências às instâncias superiores, sem prejuízo das

responsabilidades atribuídas aos gestores dos processos organizacionais e de

programas de governos nos seus respectivos âmbitos de atuação.

Portanto, em vista de tudo até agora exposto, não há dúvida que,

independentemente da posição hierárquica, do grau de relevância e da

complexidade dos trabalhos, todos os agentes internos à Unidade são responsáveis

diretos pela efetividade da implementação dos controles internos da gestão e da

política de gestão de riscos e, consequentemente, pelo cumprimento da IN

Conjunta MP/CGU nº 01/2016.

Na hipótese de existirem, no órgão ou na entidade, áreas que tenham a

responsabilidade de apoiar e instrumentalizar a gestão de riscos e a implementação

de controles, como o caso das Assessoria Especiais de Controle Interno (AECI). Tais

áreas deverão atuar na facilitação e monitoramento do processo de gerenciamento

de riscos e no acompanhamento da implementação dos controles mitigadores dos

riscos identificados.

Sem que sejam eximidas as responsabilidades de todos os agentes do órgão ou

entidade em relação ao monitoramento e tratamento dos controles internos e

gerenciamento de riscos específicos, a atuação do órgão de auditoria interna,

conduzia pelo Ministério da Transparência e Controladoria-Geral da União (CGU)

deve guardar perfeita harmonia e estar em permanente consonância as AECI dos

Ministérios.

1.3 Planejamento estratégico

Como documento formal que estabelece os objetivos organizacionais essenciais de

médio e longo prazo, o planejamento estratégico é mais do que um documento de

significativa importância. Constitui-se um material de fundamental importância, por

estar centrado, principalmente, na comunicação, a todas as partes interessadas

internos e externos, dos objetivos, valores, missão e visão da unidade.

O fato é que as organizações necessitam de estruturas, políticas e diretrizes

organizacionais que as capacitem a identificar as novas oportunidades ou vislumbre

possíveis riscos e, assim, promovam as mudanças necessárias à adaptação a essas

mudanças.



3

No atual cenário de incertezas e vicissitudes, o planejamento estratégico adquire

uma importância central. Deve ser implementado em um processo contínuo e

maleável, capaz de suportar eventuais mudanças. Acontece que ao longo de sua

implantação podem ser encontrados diversidade de cenários que irão requerer

reavaliação e modificações para a adequação o cumprimento dos objetivos

propostos.

Não obstante sua importância e a estreita ligação com a gestão de riscos e os

controles internos da gestão, o Normativo não faz menção à sua necessidade e

imprescindibilidade de elaboração.

Todavia, em função das razões expostas, bem como eventuais mudanças

tecnológicas, culturais e legais, é conveniente que os administradores públicos

envidem os melhores esforços para a implementação do planejamento estratégico

em toda estrutura gerencial sob sua área de gestão.

1.4 Tecnologia

As disposições trazidas pela Norma definem ferramenta de suporte tecnológico na

implementação da gestão de riscos. Assim, a tecnologia empregada pode ser em

uma única, mais que uma metodologia. Por iniciativa e respeitadas as

especificidades de cada órgão em relação à disponibilidade de sua política e

metodologia, cada órgão poderá optar pela melhor ferramenta de tecnologia que

atenda a plenitude de suas necessidades. Obviamente, desde que seja considerada

a alternativa ideal para dar suporte à gestão de riscos e auxiliar e reduzir os custos

das organizações públicas na implementação da gestão de riscos.

Por exemplo, o Ministério do Planejamento, Desenvolvimento e Gestão - MP

publicou MANUAL DE GESTÃO DE INTEGRIDADE, RISCOS E CONTROLES INTERNOS

DA GESTÃO, com as instruções imprescindíveis e indispensáveis à implantação do

programa instituído pela Norma Conjunta. Para controle e gerenciamento dos

riscos, sugeriu uma planilha, em cujo conteúdo são descritos, passo a passo, os

procedimentos para identificação dos objetivos, tratamento, classificação e

monitoramento dos riscos.

Trata-se de uma ferramenta bastante completa e que pode se mostrar aplicável a

uma grande dimensão de usuários. Porém, no caso de outros órgãos, em função da

complexidade e especificidade, provavelmente o aplicativo se torne inviável.



4

Malgrado a viabilidade de utilização de ferramentas disponíveis, como o caso de

planilhas e sistemas, caso a organização já possua aplicativos e metodologias

próprias ou mesmo já adquiridas, não se justificaria a aquisição de software

específico. Entretanto, desde que os princípios e as diretrizes trazidos pelo

referencial normativo sejam atendidos, ou que as excepcionalidades sejam

adequadamente justificadas pelos gestores, poderá haver casos de aquisição de

aplicativos específicos. Neste caso, vale repetir, deve ser observado, caso a caso, e

confrontados o critério de custo versus benefícios trazidos.

Vale citar, a esse propósito, a abrangência, o tamanho e as dimensões de cada

órgão. No caso vertente do Ministério da Educação, existem não menos que 121

órgãos ligados diretamente (órgãos subordinados, como as secretarias) ou

indiretamente (órgãos apenas vinculados, como universidades, institutos e outros).

Óbvio que para estabelecer controles mínimos suficientes, podem ser admitidos

processos mais amplos e de variada e tecnologias de maiores complexidades.

1.5 Entidades nacionais e internacionais

Na esteira de diversos escândalos financeiros ocorridos no início dos anos 20001, as

entidades internacionais de monitoramento e acompanhamento dos mercados

financeiro e de capitais manifestaram interesse em melhorar os processos de

governança corporativa e gerenciamento de riscos.

COSO - Gerenciamento de Riscos Corporativos – Estrutura Integrada

Por meio de novas leis, regulamentos e de padrões a serem seguidos, restou

explícita a necessidade de uma estrutura de gerenciamento de riscos, capaz de

fornecer os princípios e conceitos fundamentais sobre o assunto. Contendo diversos

direcionamentos e orientações, foi editado o COSO Gerenciamento de Riscos

1 Segundo a revista Forbes, na classificação dos maiores escândalos financeiros recentes,

destacam-se as fraudes contábeis de 2001, totalizando US$ 78 bilhões, perpetradas pela

EROM, até então maior empresa de energia do Texas (EUA). Fraudes contábeis, em 2001,

na empresa de telecomunicações norte americana WorldCom, ocasionando perdas de US$

103,9 bilhões em ativos. Desvios financeiros ocorridos na empresa Parmalat, no valor de

14 bilhões de euros. Operações em pirâmide, que resultou em uma fraude de US$ 65

bilhões, comandada pelo gerente financeiro Bernard Madoff, de Nova York. Vale citar,

também, a falência do Banco Lehman Brothers, em 2008, em decorrência de realização de

operações ilusórias, considerada a maior falência da história, ao atingir a cifra de US$ 600

bilhões.



5

Corporativos – Estrutura Integrada2. O COSO foi concebido com intuito de

preencher essa lacuna, até então incipiente, não somente em empresas como por

outras organizações públicas e privadas e partes interessadas.

No Brasil, o COSO foi editado pela Instituto dos Auditores Internos do Brasil -

AUDIBRA, ligada à Federação Latino-Americana de Auditores Internos - FLAI. Estes

órgãos, juntamente com a empresa de auditoria PricewaterhouseCoopers

prepararam a publicação destinada aos profissionais de auditoria interna, auditoria

externa, gerenciamento de riscos, controles internos, órgãos reguladores,

conselheiros e administradores em geral, visando difundir os conceitos de riscos

corporativos definidos pelo Comitê Consultivo do COSO.

O relatório COSO atualmente é considerado o framework mais utilizado pelas

companhias norte-americanas que possuem ações em bolsa, haja vista o

atendimento da lei Sarbanes-Oxley. Particularmente no que diz respeito à seção

404 da Lei, visa assegurar a efetividade dos controles internos sobre relatórios

financeiros3.

Apesar de inicialmente ser destinado aos segmentos especializados do mercado

financeiro e de capitais, visto que o enfoque foi direcionado para os relatórios

financeiros, posteriormente o modelo ganhou uma nova dimensão em seu escopo,

podendo, a partir de então, ser aplicados a relatórios de gestão.

Portanto, dentro desses recentes avanços, o COSO passou muito apropriadamente

ser aplicado também na avaliação dos controles internos relacionados com às

operações, conformidade legal regulatória e outros objetivos, como foi o caso

presente na edição da Portaria Conjunta.

2 O COSO - Committee of Sponsoring Organizations da National Comission on Fraudlent

Financial Reporting. - Comitê das Organizações Patrocinadoras de Relatórios Financeiros é

uma entidade privada sem fins lucrativos criada em 1985. Patrocinado pelo The Institute of

Internal Auditors – IIA Instituto Norte Americano de Auditores Internos. O estudo é voltado para o

aperfeiçoamento da qualidade de relatórios financeiros, implementação de controles internos e

governança corporativa.

3 Também conhecida como simplesmente SOX, a Lei Sarbanes-Oxley foi sancionada em

2002 pelo Congresso dos Estados Unidos para proteger investidores e demais stakeholders

dos escândalos contábeis e práticas fraudulentas no início dos anos 2000, como já

mencionados.



6

A matriz tridimensional de riscos, apresentada a seguir, representada por um cubo,

ilustra a possibilidade da organização em manter o enfoque na totalidade do

gerenciamento de riscos, conjugadamente com a categoria dos componentes e, por

último, nas unidades da organização,

Figura 1 – Matriz tridimensional de riscos

A parte superior especifica as diversas formas de riscos mais comumente tratados:

riscos estratégicos, operacionais de comunicação e conformidade. Na parte

direita, estão evidenciados o âmbito de aplicação do modelo. Refere-se à

abrangência da aplicação da matriz de riscos, ou seja, subsidiárias, unidades de

negócios, divisão e nível de organização da entidade.

Entretanto, a face de maior importância que demanda maior compreensão é a parte

central e mais visível do cubo, devidamente apresentada a comentada na tabela a

seguir.



7

Tabela 1 – Componentes da matriz tridimensional de riscos

Ambiente

Interno

O ambiente interno compreende o tom de uma organização e

fornece a base pela qual os riscos são identificados e abordados

pelo seu pessoal, inclusive a filosofia de gerenciamento de riscos,

o apetite a risco, a integridade e os valores éticos, além do

ambiente em que estes estão localizados.

Fixação de

Objetivos

Os objetivos devem existir antes que a administração possa

identificar os eventos em potencial que poderão afetar a sua

realização. O gerenciamento de riscos corporativos assegura que

a administração disponha de um processo implementado para

estabelecer os objetivos que propiciem suporte e estejam

alinhados com a missão da organização e sejam compatíveis com

o seu apetite a riscos.

Identificação

de Eventos

Os eventos internos e externos que influenciam o cumprimento

dos objetivos de uma organização devem ser identificados e

classificados entre riscos e oportunidades. Essas oportunidades

são canalizadas para os processos de estabelecimento de

estratégias da administração ou de seus objetivos.

Avaliação de

Riscos

Os riscos são analisados, considerando-se a sua probabilidade e o

impacto como base para determinar o modo pelo qual deverão

ser administrados. Esses riscos são avaliados quanto à sua

condição de inerentes e residuais.

Resposta a

Risco

A administração escolhe as respostas aos riscos - evitando,

aceitando, reduzindo ou compartilhando - desenvolvendo uma

série de medidas para alinhar os riscos com a tolerância e com o

apetite a risco.



8

Atividades de

Controle

Políticas e procedimentos são estabelecidos e implementados

para assegurar que as respostas aos riscos sejam executadas

com eficácia.

Informações e

Comunicações

As informações relevantes são identificadas, colhidas e

comunicadas de forma e no prazo que permitam que cumpram

suas responsabilidades. A comunicação eficaz também ocorre em

um sentido mais amplo, fluindo em todos níveis da organização.

Monitoramento

A integridade da gestão de riscos corporativos é monitorada e

são feitas as modificações necessárias. O monitoramento é

realizado através de atividades gerenciais contínuas ou

avaliações independentes ou de ambas as formas.



9

ABNT NBR ISSO 31000:2009

Por último, vale citar a edição da norma técnica ISO 31000:2009, resultante de

esforço da International Organization for Standardization (ISO), no sentido de criar

um padrão internacional para a gestão de riscos corporativos. A norma foi

publicada no Brasil sob a denominação ABNT NBR ISO 31000:2009 Gestão de

riscos – Princípios e diretrizes.

A concepção do estudo ABNT NBR ISO 31000;2009, está representada na figura a

seguir em que estão segregadas três seções específicas:

Figura 2 – Relacionamentos entre princípios da gestão de riscos, estrutura

e processos



10

Seção 3 – PRINCÍPIOS – São as diretrizes que embasam os princípios o escopo,

função e funcionamento e os benefícios obtidos pela norma.

Seção 4 – ESTRUTURA - Indica que, a partir dos princípios, são demonstradas as

formas e metodologias em que são aplicadas na gestão de riscos.

Seção 5 – PROCESSO – Diz respeito às etapas da análise de riscos, desde o

estabelecimento do contexto até a forma do tratamento do risco.

Cabe enfatizar, ainda, que no contexto dessa norma, foram aprimorados os

conceitos, as diretrizes e as práticas recomendadas até então existentes. Embora

menos conhecida e utilizada no Brasil, o objetivo central da ABNT NBR ISO

31000:2009 é oferecer recomendações avançadas para o planejamento,

implantação e execução de um processo de gestão de riscos abrangendo toda a

organização.



11

2. CONTROLES INTERNOS

Em uma conotação mais ampla, define-se controles internos como o conjunto de

regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados,

conferências e trâmites de documentos e informações, operacionalizados de forma

integrada pela direção e pelo corpo de servidores das organizações. Destina-se a

enfrentar os riscos e fornecer segurança razoável de que, na consecução da missão

da entidade, os objetivos gerais serão alcançados.

Segundo a definição do COSO controles internos são um processo conduzido pela

estrutura de governança, administração e outros profissionais da entidade, e

desenvolvido para proporcionar segurança razoável com respeito à realização dos

objetivos relacionados divulgação e conformidade das operações.

A Norma Conjunta é explícita ao dizer que cabe aos órgãos e entidades do Poder

Executivo Federal a missão de implementar, manter, monitorar e revisar os

controles internos. O processo tem por base a identificação, a avaliação e o

gerenciamento de riscos que possam impactar a consecução dos objetivos

estabelecidos pelo Poder Público. A definição e a operacionalização dos controles

internos devem levar em conta os riscos que se pretende mitigar, mercê dos

objetivos das organizações públicas.

Assim, tendo em vista os objetivos estabelecidos pelos órgãos e entidades da

administração pública, e os riscos decorrentes de eventos internos ou externos que

possam obstaculizar o alcance desses objetivos, os controles internos mais

adequados à circunstância devem ser posicionados com o objetivo de mitigar,

abrandar, suavizar e aliviar a probabilidade de ocorrência dos riscos, bem como o

cálculo e a avaliação do impacto sobre os objetivos organizacionais. O sistema de

controle interno é reconhecidamente de tal importância que os constitucionalistas

optaram por incluir na constituição artigo 744.

4 Art. 74. Os Poderes Legislativo, Executivo e Judiciário manterão, de forma integrada, sistema de

controle interno com a finalidade de: avaliar o cumprimento das metas previstas no plano plurianual,

a execução dos programas de governo e dos orçamentos da União; execução dos programas de

governo e dos orçamentos da União; comprovar a legalidade e avaliar os resultados, quanto à

eficácia e eficiência, da gestão orçamentária, financeira e patrimonial; exercer o controle das

operações de crédito, avais e garantias, bem como dos direitos e haveres da União; apoiar o

controle externo no exercício de sua missão institucional.



12

Foi nesse contexto que o Instituto dos Contadores dos Estados Unidos da América5,

com um olhar mais voltado para os aspectos contábeis, definiu com maior

amplitude o controles interno como o plano da organização, todos os métodos e

medidas coordenadas adotados para salvaguardar os ativos, verificar a adequação

e confiabilidade de seus dados contábeis, promover a eficiência operacional e

estimular o respeito e obediência às políticas administrativas fixadas pela gestão.

O AICPA fornece os seguintes exemplos de atividades de controles internos:

a) Procedimentos de autorização e aprovação;

b) Segregação de funções (autorização, execução, registro, controle);

c) Controles de acesso a recursos e registros;

d) Verificações;

e) Conciliações;

f) Avaliação de desempenho operacional;

g) Avaliação das operações, dos processos e das atividades; e

h) Supervisão.

2.1 Controles internos da gestão

Em uma conotação mais específica, o controle interno da gestão caracteriza-se

como o conjunto de regras, procedimentos e trâmites de documentos e

informações, operacionalizados de forma integrada pela direção e pelo corpo de

servidores das organizações, destinados a enfrentar os riscos e fornecer segurança

razoável de que, na consecução da missão da entidade.

A metodologia de estruturação do sistema de controle interno da gestão é

fundamental para o bom desenvolvimento das atividades de controle inerentes. Isto

posto, uma estrutura de controle interno da gestão somente será eficiente se os

objetivos dos controles já mencionados e a correção de eventuais irregularidades,

falhas ou desvios forem prontamente detectáveis, tempestivamente cobertos e

perfeitamente corrigíveis.

5 American Institute of Certified Accountants (AICPA).



13

Os seguintes objetivos gerais devem ser alcançados:

a) Execução ordenada, ética, econômica, eficiente e eficaz das operações.

b) Cumprimento das obrigações de accountability6.

c) Cumprimento das leis e regulamentos aplicáveis; e

d) Salvaguardar os recursos para evitar perdas, mau uso e danos.

Os controles internos da gestão devem ser estruturados para oferecer segurança

razoável de que os objetivos da organização serão alcançados. A existência de

objetivos claros é pré-requisito para a eficácia do funcionamento dos controles

internos da gestão, segundo os seguintes objetivos:

> Dar suporte à missão, à continuidade e à sustentabilidade institucional, pela

garantia razoável de atingimento dos objetivos estratégicos do órgão ou

entidade.

> Proporcionar a eficiência, a eficácia e a efetividade operacional, mediante

execução ordenada, ética e econômica das operações. Ética se refere aos

princípios morais, sendo pré-requisito e suporte para a confiança pública.

> Assegurar que as informações produzidas sejam íntegras e confiáveis à tomada

de decisões, ao cumprimento de obrigações de transparência e à prestação de

contas.

> Assegurar a conformidade com as leis e regulamentos aplicáveis, incluindo

normas, políticas, programas, planos e procedimentos de governo e da própria

organização; e

> Salvaguardar e proteger bens, ativos e recursos públicos contra desperdício,

perda, mau uso, dano, utilização não autorizada ou apropriação indevida.

Independentemente do porte da organização, os controles internos da gestão

baseiam-se no gerenciamento de riscos e integram o processo de gestão de

6 Accountability é um termo da língua inglesa que pode ser traduzido como

responsabilidade com ética que remete à obrigação, à transparência, de membros de um

órgão administrativo ou representativo de prestar contas a instâncias controladoras ou a

seus representados.



14

maneira abrangente, devendo ser efetivos e consistentes com a natureza,

complexidade e risco das operações realizadas.

2.2 Metodologia de implantação

Figura 3 – Esquema de implantação dos controles internos da gestão

Fatores negativos que podem contribuir para fragilizar o controle interno da gestão:

> Pessoas

Falta de capacitação ou desmotivação.

> Processos

Falta de mapeamento dos processos que impede de visualização de riscos como

a necessidade de segregação de funções.

Conhecer,

descrever e

definir o

ambiente de

controle

Definir os

objetivos que

se deseja

alcançar em

função do

controle

Identificar e

avaliar os riscos

inerentes ao

controle interno

que se deseja

controlar

Selecionar as

respostas aos

riscos

identificados

e avaliados

Mapear o

controle interno

utilizando uma

ferramenta

adequada de

fluxograma

Informar aos

interessados e

descrever a

função e o

funcionamento

do controle

Acompanhar e

monitorar

rotineiramente.

Rever sempre

quando houver a

edição de normas

que altere as rotinas



15

> Estrutura organizacional

Para melhor desempenhar suas funções, as pessoas devem receber as

informações na organização de maneira clara, precisa e a tempo. Para isso,

devem ter claras as funções dentro da estrutura organizacional.

> Sistemas

Obsoletos e sem clara definição em manuais.

> Infraestrutura

Instalações ou leiaute inadequados, ocasionando perda com equipamentos e

demais

> Tecnologia

Sistema de proteção ineficiente ou mal dimensionada, capazes de não

proporcionar sem proteção contra fraudes, cópias ou espionagem.

> Eventos externos

Mudanças de normas e leis que afetam negativamente as atividades

desenvolvidas.

Os controles internos da gestão devem ser integrados aos processos já

devidamente mapeados, dimensionados e desenvolvidos na proporção requerida

pelos riscos, de acordo com a natureza, complexidade, estrutura e missão do órgão

ou da entidade pública.

Também devem integrar as atividades, planos, ações, políticas, sistemas, recursos

e esforços de todos que trabalhem na organização, sendo projetados para fornecer

segurança razoável de que a organização atingirá seus objetivos e missão.

Enfim, tanto o controle interno da gestão, assim como o gerenciamento de risco

não devem ser implementados de forma circunstancial, mas como uma série de

ações que permeiam as atividades da organização. Essas ações se dá em todas as

operações da organização de modo contínuo, inerentes à maneira pela qual o

gestor administra a organização.



16

Figura 4 - Sistemas de controles internos deficientes

Figura 5 - sistemas de controles internos eficientes

2.3 Linhas de defesa aplicáveis aos controle interno e regulação externa

Tendo como como meta a melhoria dos processos internos, além dos controles

internos da gestão, os órgãos e entidades do Poder Executivo Federal devem

estabelecer instâncias ou linhas de defesa para garantia do gerenciamento eficaz de

riscos e controles.

Pelo fato de os órgãos de governança e a alta administração serem as principais

partes interessadas atendidas por essas linhas de defesa, estão em melhor posição

para ajudar a garantir que o modelo de linhas de defesa seja aplicado aos

Ameaças

Falta de

prevenção

Ameaças

Falta de

detecção

Ameaças

Falta de

proteção

Perda ou

dano

Ameaças

Conhecimento

prévio

Incidente

Controles

adequados

Ações

corretivas

Perda ou

dano

Iminente

Risco

conhecido

detectado e

coberto



17

processos de gerenciamento de riscos e controle da organização. Esse modelo é

conhecido como as três linhas de defesa. Cada uma dessas três linhas de defesa

desempenha papeis distintos dentro da estrutura mais ampla de governança da

organização.

As partes mais interessadas em implantar o modelo das três linhas de defesa são,

em primeiro lugar, a alta administração, seguida dos órgãos de governança aos

quais estão vinculados. Todos detêm, coletivamente, a responsabilidade e o dever

de prestação de contas sobre os objetivos da organização. São também

responsáveis pela definição de estratégias para alcançar esses objetivos e o

estabelecimento de estruturas e processos de governança para melhor gerenciar os

riscos durante a realização desses objetivos.

O modelo de três linhas de defesa é uma forma simples, porém muito eficaz de

melhorar a comunicação do gerenciamento de riscos e controle por meio do

esclarecimento dos papéis e responsabilidades essenciais. Tem um papel

fundamental, com vistas a estabelecer as responsabilidades de cada agente

envolvido nos mecanismos de controle.

O modelo apresenta um importante ponto de vista sobre as operações, de forma a

contribuir para a garantia do sucesso contínuo das iniciativas de gerenciamento de

riscos. É aplicável a qualquer organização - não importando seu tamanho ou

complexidade. Mesmo em empresas em que não existam uma estrutura ou sistema

formal de gerenciamento de riscos, o modelo de três linhas de defesa pode

melhorar a clareza dos riscos e controles e ajudar a aumentar a eficácia dos

sistemas de gerenciamento de riscos.

> 1ª linha de defesa: responsabilidade pela gestão

A primeira linha de defesa para supervisão e monitoramento são os controles

internos da gestão. Constituem-se em instâncias de supervisão de controles

internos, comitês, diretorias ou assessorias específicas para tratar de riscos,

controles internos, integridade e compliance7.

7 O termo compliance tem origem no verbo em inglês to comply, que significa agir de acordo

com regras, uma instrução interna, dispositivos legais e regulamentares ou simplesmente

um comando ou um pedido, ou seja, estar em “compliance” é estar em conformidade com

leis e regulamentos externos e internos que permeia toda a organização.



18

Esses controles são operados por todos os agentes públicos responsáveis pela

condução de atividades e tarefas, no âmbito dos macroprocessos finalísticos e de

apoio dos órgãos e entidades do poder público.

A gerência responsável pelas áreas operacionais de frente, portanto diretamente

envolvido com os riscos, é a estrutura mais apta ao gerenciamento, por ser os

legítimos proprietários dos riscos. Também são os responsáveis por implementar as

ações corretivas para resolver deficiências em processos e controles. Portanto, o

controle estabelecido pela gerência operacional é a primeira linha de defesa no

gerenciamento de riscos.

Em suma, a gerência operacional tem, naturalmente, a incumbência de primeira

linha de defesa, porque os controles são desenvolvidos como sistemas e processos

sob sua direta orientação e gestão operacional. Deve existir controles de gestão e

de supervisão adequados postos em prática, para garantir a conformidade e para

evitar eventuais falhas nos controle, processos inadequados e eventos inesperados.

> 2ª linha de defesa: os controles internos e gestão de riscos

A segunda linha de defesa é caracterizada pelas diversas funções de controle de

riscos e supervisão e de conformidade estabelecidas pela gerência. Neste estágio, a

gerência estabelece diversas funções de gerenciamento de riscos e conformidade

com o intuito de melhor desenvolver ou monitorar os controles da primeira linha de

defesa.

As funções específicas vão variar entre organizações que visam lucro ou sem fins

lucrativos, empresas de prestação de serviços, comércio e indústrias. Porém,

independentemente do ramo de atividade, porte ou tipo de instituição, as funções

típicas dessa segunda linha de defesa incluem ou devem incluir:

Gerenciamento de riscos

Implantação de um comitê de gerenciamento de riscos com o objetivo de facilitar e

monitorar a implementação de práticas eficazes de gerenciamento de riscos. Nesta

via, as gerências operacionais, autênticos proprietários dos riscos, são compelidos a

definir a meta de exposição ao risco e a reportar adequadamente informações

relacionadas para toda a organização.

Conformidade e o monitoramento

Não somente desejáveis como inteiramente imprescindíveis é a manutenção de

permanente conformidade e monitoramento dos eventos, com vistas a evitar riscos



19

específicos ainda não conhecidos. Os riscos e os fatores negativos podem aparecer

em qualquer hipótese devido a não observância com as leis e regulamentos8. Nesse

quesito, a função separada de conformidade e monitoramento deve-se reportar

diretamente à alta administração, em alguns setores específicos do negócio,

diretamente a um órgão específico de governança ou mesmo uma diretoria

específica com essa atribuição9.

Em suma, em uma organização complexa, existem múltiplas funções que

frequentemente exigem conformidade em variadas linhas hierárquicas, com o

propósito de fazer com que o monitoramento seja permanente e proporcione a

segurança nas diversas atividades.

> 3ª linha de defesa: auditoria interna

A terceira linha de defesa é a auditoria interna. Caracteriza-se como uma atividade

independente que reúne funções diversas como a avaliação e consultoria,

desenhada para adicionar valor e melhorar as operações de uma organização.

Contribui para que as diversas unidades realizem seus objetivos, a partir da

aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a

eficácia dos processos de gerenciamento de riscos, de controles internos, de

integridade e de governança.

No âmbito da administração pública, a auditoria interna se constitui na terceira

linha ou camada de defesa das organizações. A auditoria interna é responsável pela

avaliação dos controles internos da gestão (primeira linha ou camada de defesa,

executada por todos os níveis da organização) e da supervisão dos controles

internos (segunda linha ou camada de defesa, executada por instâncias específicas,

como comitês de risco e controles internos).

Compete à auditoria interna supervisionar e realizar avaliações assim como prestar

assessoramento às organizações, destinadas ao aprimoramento dos controles

8 No caso vertente, diz-se, habitualmente, com a organização não está em compliance.

9 Na Petrobras, face os riscos e os desmandos que imperaram sobre a empresa, obrigou o

Conselho de Administração a instituir em estrutura uma diretoria específica para

governança, risco e conformidade. O objetivo da Diretoria é assegurar a conformidade de

processos e mitigar riscos - dentre eles o de fraudes, corrupção e desvios da ética.



20

internos para que sejam mais eficientes e eficazes e possam conhecer e mitigar os

principais riscos.

No âmbito da Administração Pública Federal, compete ao Ministério da

Transparência e Controladoria-Geral da União (CGU) realizar as ações relacionadas

ao controle interno, auditoria pública, correição, prevenção e combate à corrupção

e ouvidoria, bem como as atividades relacionadas à defesa do patrimônio público e

ao incremento da transparência da gestão.

Como Órgão Central, a CGU também exerce a supervisão técnica dos órgãos que

compõem o Sistema de Controle Interno e o Sistema de Correição e das unidades

de ouvidoria do Poder Executivo Federal, prestando a orientação normativa

necessária.

Avaliações

No contexto da organização, os auditores internos fornecem ao órgão de

governança e à alta administração avaliações abrangentes baseadas no maior nível

de independência e objetividade possível. Esse alto nível não está disponível nas

demais linhas de defesa.

Revisões

Também integra o escopo da auditoria interna efetuar revisões sobre a eficácia da

governança, do gerenciamento de riscos e dos controles internos, incluindo a forma

como a primeira e a segunda linhas de defesa alcançam os objetivos de

gerenciamento de riscos e controle. Também nesse caso vertente, na área pública

essa atividade é exercida pela CGU.

O escopo da avaliação da auditoria, deve ser reportada à alta administração e ao

órgão de governança. Normalmente essa atividade deve ser constituída dos

seguintes quesitos:

a) Variedade de objetivos, incluindo a eficiência e a eficácia das operações.

b) Salvaguarda de ativos.

c) Confiabilidade e a integridade dos processos e de reporte.

d) Conformidade com leis, regulamentos, políticas, procedimentos e contratos.



21

A auditoria interna deve revisar, preponderantemente, todos os elementos da

estrutura de gerenciamento de riscos e controle interno, que inclui:

a) O ambiente de controle interno.

b) Os elementos da estrutura de gerenciamento de riscos consistindo de

identificação de riscos, avaliação de riscos e resposta ao risco.

c) Informação e comunicação.

d) Monitoramento.

Na medida em que atuam com independência e profissionalismo, a auditoria interna

contribui ativamente para o alcance da governança eficaz. Para desenvolvimento de

melhor prática, além de ser independente, a equipe deve ser muito bem preparada

e demonstrar plena competência para o desenvolvimento dos trabalhos10.

Devem ser incluídas no escopo da auditoria interna a organização como um todo,

incluindo todas as funções auditáveis, como divisões, subsidiárias, unidades de

operação e funções. Também os negócios e processos, como vendas, produção,

marketing, segurança, funções voltadas para o cliente e operações - assim como

funções de suporte, como contabilidade, recursos humanos, compras, folha de

pagamento, orçamentos, gestão de infraestrutura e ativos, inventário e tecnologia

da informação.

Estabelecer uma atividade profissional de auditoria interna deve ser um requisito de

governança para todas as organizações. Não é importante apenas para empresas

de grande e médio porte, mas também pode ser igualmente importante para

negócios de menor porte, já que podem enfrentar ambientes igualmente complexos

com uma estrutura organizacional menos formal e robusta para garantir a eficácia

de seus processos de governança e gerenciamento de riscos.

10 No âmbito do desenvolvimento profissional, o Conselho Federal de Contabilidade (CFC)

instituiu o Programa de Educação Profissional Continuada (EPC). Trata-se de uma

atividade destinada a manter, atualizar e expandir os conhecimentos e competências

técnicas e profissionais, as habilidades multidisciplinares e a elevação do comportamento

social, moral e ético dos profissionais da contabilidade presente na norma NBC PG 12

(R1) – EDUCAÇÃO PROFISSIONAL CONTINUADA.



22

Por último, cabe mencionar que, de acordo com as normas internacionais

reconhecidas11 a auditoria interna deve-se reportar a um nível suficientemente alto

na organização, de modo a cumprir com suas responsabilidades de forma

independente, bem como ter uma linha de reporte ativa e eficaz ao órgão de

governança. Poderá ficar fora do âmbito da auditoria apenas as atividades de

menor expressão no âmbito da organização em que, comprovadamente, o custo

versus benefícios não se justifica.

> Regulação externa

Os auditores externos, reguladores e demais órgãos externos fora estrutura

organizacional, devem desempenhar um importante papel na governança e

controle. A regulação externa no contexto da iniciativa vale principalmente para

atividades regulamentadas, como a de instituições financeiras, seguros,

capitalização e previdência complementar.

Com o intuito de manter forte e saudável o segmento que a organização opera e

contribuir para o fortalecimento dos controles interno, os reguladores, acabam por

estabelecer requisitos para avaliação de todo ambiente da organização, incluindo a

primeira, segunda ou terceira linhas de defesa12.

Os auditores externos, por sua vez, também prestam relevantes serviços, devido à

necessidade de observar normas internacionais de contabilidade e auditoria13. Em

11 Normas Internacionais para a Prática Profissional de Auditoria Interna (Normas

Internacionais de Auditoria). Disponível em:

http://www.iiabrasil.org.br/new/2016/downs/IPPF_standards2015_portuguese.pdf

12 Como exemplos vale citar a atuação dos órgãos reguladores, como o Banco Central do

Brasil, na condição de fiscalizador, normatizador e regulador do mercado financeiro. A

Comissão de Valores Mobiliários no âmbito do mercado de capitais. A Superintendência

de Seguros Privados no segmento segurador e a PREVIC - Superintendência Nacional de

Previdência Complementar, no que concerne às entidades fechadas de previdência

complementar.

13 É obrigatória a auditoria externa ou independente para as empresas de capital aberto e

as instituições que atuam no âmbito do Sistema Financeiro Nacional, exceto cooperativas

de crédito. Com o advento da Lei 11.638/2001, a atuação auditoria externa ou

independente teve se escopo ampliado ao instituir a obrigatoriedade nas seguintes

circunstâncias: sociedades de grande porte, ainda que não constituídas sob a forma de

sociedades por ações. Considera-se de grande porte a sociedade ou conjunto de

sociedades sob controle comum que tiver, no exercício social anterior, ativo total superior

a R$ 240 milhões ou receita bruta anual superior a R$ 300 milhões.



23

função disso, esses reguladores externos de supervisão e acompanhamento, podem

ser considerados importantes auxiliares de linhas de defesa adicionais. Ao final,

fornecem avaliações às partes interessadas da organização, incluindo o órgão de

governança e a alta administração.

Figura 6 - Esquema das três linhas de defesa



24

3. PRINCÍPIOS DA GESTÃO INTEGRADA DE RISCOS E CONTROLES -

GIRC

A IN Conjunta enumerou quatorze princípios com o objetivo de dar sustentáculo às

políticas de governança, integridade riscos e controle (GIRC).

1º princípio - Aderência à integridade e a valores éticos. A integridade nas

organizações envolve variados temas como conduta ética, orientações e exemplos

das lideranças, processos e divisões de trabalho, políticas de incentivo a

determinados comportamentos, sistemas de prestação de contas, processos de

monitoramento e uso de recursos e as interações com a sociedade em geral.

Devido à complexidade e do potencial danoso à sociedade, a corrupção exige por

parte do Estado, além de uma atuação repressiva, também uma ação preventiva.

Portanto, sob esse prisma que é preciso estimular permanentemente a integridade

não somente no contexto do serviço público, como do privado para que os agentes

sempre atuem em prol do interesse público.

A esse propósito, para estimular a integridade muito contribui a promulgação da Lei

nº. 12.846/2013, conhecida simplesmente como Lei Anticorrupção que instituiu

regras mais severas de combate a corrupção. A Lei estabeleceu sanções rígidas às

pessoas jurídicas que praticarem atos contra a administração pública, nacional ou

estrangeira. Mais que a promulgação de uma lei, é um disseminador eficaz de

frontal combate à corrupção.

Como antecedentes à promulgação da Lei Anticorrupção, a exemplo dos demais

países signatários, visando combater a corrupção, o Brasil ratificou a Convenção

das Nações Unidas contra corrupção (ONU), a Convenção Interamericana de

Combate à Corrupção (OEA) e a Convenção sobre o Combate à Corrupção de

Funcionários Públicos Estrangeiros em Transações Comerciais Internacionais da

Organização para a Cooperação e Desenvolvimento Econômico (OCDE).

Para solidificar o entendimento, vale a pena também citar a manifestação da

Organização para a Cooperação e Desenvolvimento Econômico - OCDE, em cujo

teor a organização enfatiza que integridade é uma pedra fundamental da boa

governança, uma condição para que todas as outras atividades do governo não só

tenham confiança e legitimidade, mas também que sejam efetivas.



25

A definição da OCDE da boa governança é condição para que todas as outras

atividades do governo tenham confiança e legitimidade. Nessa linha, a OCDE cita

que é essencial promover a prevenção à corrupção no setor público não só para

preservar a credibilidade das instituições públicas em suas decisões, mas também

para assegurar um campo propício para os negócios privados.

Assim, pois, promover uma cultura de integridade no serviço público é requisito

essencial para o aumento da confiança da sociedade no Estado e em suas

instituições.

2º princípio - Competência da alta administração em exercer a supervisão do

desenvolvimento e do desempenho dos controles internos da gestão.

Segundo definição do TCU, o controle interno da gestão é o processo efetuado não

somente pela alta administração como por todo o corpo funcional, integrado ao

processo de gestão em todas as áreas e todos os níveis de órgãos e entidades

públicos, estruturado para enfrentar riscos e fornecer razoável segurança de que,

na consecução da missão, dos objetivos e das metas institucionais, os princípios

constitucionais da administração pública serão obedecidos e os objetivos gerais de

controle serão atendidos.

Esse princípio muito bem se coaduna com as três linhas de defesa já mencionadas.

Ao final, todos são responsáveis pelos controles internos.

3º princípio - Coerência e harmonização da estrutura de competências e

reponsabilidades dos diversos níveis de gestão do órgão ou entidade.

A coerência e a harmonização mencionada diz respeito à adequabilidade da

estrutura, conjugadamente com os princípios e objetivos organizacionais, diretrizes,

aliados à competência e responsabilidades delegadas às diversas pessoas

envolvidas no âmbito da organização.

Uma estrutura em excesso além de onerosa produz uma burocracia indesejável. Por

outro lado, uma estrutura excessivamente enxuta pode vulnerabilizar o expediente,

trazendo insegurança e riscos indesejáveis.



26

4º princípio - Compromisso da alta administração em atrair, desenvolver e reter

pessoas com competências técnicas, em alinhamento com os objetivos da

organização.

Guardando consistência com o terceiro princípio, este prescreve que as diversas

pessoas envolvidas devem ter claro os compromissos com a organização, mercê de

suas responsabilidades institucionais.

Há um consenso de que as organizações se constroem ou se destroem pelo

desempenho das pessoas que nelas trabalham. Tal crença tem levado muitas

organizações a investirem em programas de treinamento e capacitação para a

qualidade.

As organizações devem, sobretudo, considerar as variáveis de vital importância

para a melhoria do desempenho. Não há dúvida de que o preparo do corpo técnico

é um requisito fundamental para a melhoria do desempenho e para se obter a

melhoria da qualidade do trabalho. Nesse sentido, é necessário, sobretudo, a

dedicação, a procura de soluções para os problemas apresentados e o espírito de

colaboração deve estar permanentemente presente.

5º princípio - Clara definição dos responsáveis pelos diversos controles internos

da gestão no âmbito da organização e de objetivos que possibilitem o eficaz

gerenciamento de riscos.

Controlar os riscos não deve apenas ser compromissos impostos por dispositivos

legais e regulamentares. Deve ser caracterizada, sobretudo, por uma cultura

impregnada e enraizada nos compromissos com a organização.

No Brasil, o sistema de controles internos para gestão e prevenção de riscos foram

iniciados pela edição de normas pelo Conselho Monetário Nacional. No contexto das

instituições financeiras foram editadas as Resoluções CMN que trata do risco de

liquidez, de mercado, de crédito, além do gerenciamento de capital.

A Resolução CMN n° 2.554, de 24 de setembro de 1998, por exemplo, dispõe sobre

a implantação e implementação dos controles internos. Embora tenha sido

expedida no âmbito do Sistema Financeiro Nacional e, portanto, pelas instituições

integrantes do Sistema Financeiro Nacional, as demais empresas e instituições

públicas e privadas em geral, adotaram a Resolução como pilar de boa governança.



27

Em data mais pretérita, ainda com foco no aperfeiçoamento dos controles internos,

Banco Central do Brasil regulamentou os procedimentos de prevenção a lavagem

de dinheiro – PLD, relacionados com os crimes previstos na Lei n° 9.613/98 e que,

posteriormente, foi consolidada na Circular BCB nº 3.461/09.

6º princípio - Mapeamento das vulnerabilidades que impactam os objetivos, de

forma que sejam adequadamente identificados os riscos a serem geridos.

A implantação da gestão de riscos deve ser precedida de uma análise criteriosa do

mapeamento dos processos internos. Sem esse procedimento preliminar, torna-se

difícil, senão impossível, identificar e tratar os riscos.

O mapeamento de processos é uma ferramenta gerencial e de comunicação, que

tem o objetivo gerar instrumentos de melhoria dos processos internos, e explicitar

as metodologias das práticas que são utilizadas em suas atividades.

O mapeamento possui o papel de descobrir todos os detalhes sobre o

funcionamento do processo e materializá-lo em forma de documentação organizada

e coesa, que reúna todo o conhecimento coletado sobre os processos estudados.

Nesse contexto, o mapeamento de processos é uma ferramenta eficaz na hora de

identificar gargalos no processo produtivo. A análise mais detalhada e completa dos

processos facilita a identificação de pontos em que haja inconsistências que

atrapalhem o desempenho das atividades e permite que medidas sejam tomadas

com mais rapidez e precisão.

7º princípio - Identificação e avaliação das mudanças internas e externas ao órgão

ou entidade que possam afetar significativamente os controles internos da gestão.

Pode-se afirmar que a estrutura organizacional é o espelho da organização, pois

reflete a condição em que se sustenta. Trata-se de um instrumento essencial para o

desenvolvimento e para a implementação do plano organizacional. Está delineada

de acordo com os objetivos e estratégias estabelecidos, ou seja, a estrutura é uma

ferramenta básica para alcançar as situações existente e vislumbrar as almejadas.

Quaisquer mudanças podem afetar a estrutura da organização podem afetar o

modo de avaliação e monitoramento dos controles internos e, consequentemente,

variar a estrutura e análise de riscos. Cabe aos gestores, no contexto de suas



28

funções, acompanhar e manter permanentemente as informações sobre as

mudanças.

8º princípio - Desenvolvimento e implementação de atividades de controle que

contribuam para a obtenção de níveis aceitáveis de riscos.

Uma vez identificado, conhecido e mapeado o fluxo do processo, deve-se promover

a uniformização dos procedimentos, implementar manuais e metodologias de

acompanhamento, com vistas a promover a melhoria das atividades de controle

para a determinação dos fatores aceitáveis de riscos.

9º princípio - Adequado suporte de tecnologia da informação para apoiar a

implementação dos controles internos da gestão.

Uma vez delineados os mecanismos de implantação dos controles dos níveis de

riscos, é necessário o acompanhamento, visando corrigir, alterar, extinguir ou

incluir determinados procedimentos. Para isso, uma vez implantados, é

imprescindível um controle de riscos que possam, de pronto, fornecer as

informações aos gestores.

Com intuito de implantar controles eficientes e eficazes, conforme preconizado no

8º princípio, a forma adequada é instituir ferramentas de tecnologia adequada ao

caso. Como medida indispensável inicial é o mapeamento dos processos, para cuja

providências existem diversos software disponíveis e de fácil utilização.

Acontece que, em função das exigências, conhecer e tratar os riscos deixou de ser

uma necessidade técnica e transformou-se em uma questão estratégica para as

organizações governamentais. A automação da gestão da segurança da informação

com conteúdo tecnológico adequado fornece aos gestores níveis as informações

necessárias à tomada de decisão.

Para isso, é essencial um software de gestão de riscos que contenha uma

metodologia sólida e estruturada, alinhada às principais normas e padrões

internacionais, contemplando o ciclo de gestão de riscos, incluindo as atividades de

inventariar, analisar, avaliar e tratar os riscos.

É indispensável um software adequado que facilite e automatiza de todo o

processo, fornecendo suporte à tomada de decisões tempestivas e adequada,



29

facilitando o desenvolvimento de estratégias para controlar e minimizar os riscos a

níveis aceitáveis pela organização.

10º princípio - Definição de políticas e normas que suportem as atividades de

controles internos da gestão.

O compromisso de permanentemente acompanhar revisar os dispositivos de

controles internos devem se constituir uma rotina. Qualquer norma que se tornar

ineficaz devem ser prontamente eliminadas ou substituídas.

11º princípio - Utilização de informações relevantes e de qualidade para apoiar o

funcionamento dos controles internos da gestão.

Os sistemas de comunicação devem ser capazes de produzir e divulgar informações

de interesse, permitindo que as pessoas acessem e compartilhem tempestivamente

as informações necessárias para conduzir, gerenciar e controlar as operações da

organização.

Particularmente as informações relacionadas aos riscos e controles devem ser

dotadas de mecanismos de capturas e de divulgação para todos os envolvidos na

organização.

Além da divulgação, cabe à organização fomentar o interesse em acessar as

informações. Um dos mecanismos reconhecidamente como adequados é a

manutenção de canais internos de comunicação. São os meios utilizados para se

relacionar entre colaboradores. Os objetivos são diversos, como por exemplo

informar, alinhar, motivar e engajar.

A existência de informações de fontes externas, caso sejam importantes para a

análise de riscos, da mesma forma, devem existir mecanismos para coleta e

divulgação.

Por último, e não menos importantes, em relação às demais considerações, devem

ser constantemente avaliadas e disseminadas, as informações necessárias ao

fortalecimento da cultura e da valorização dos controles internos da gestão.



30

12º princípio - Realização de avaliações periódicas para verificar a eficácia do

funcionamento dos controles internos da gestão.

Este princípio está estreitamente relacionado ao décimo. Qualquer rotina ou

processo que for constatado a ineficácia deve ser prontamente reavaliado, revisto

ou promovida a substituição ou, se for o caso a extinção.

É por isso que, de tempos em tempos, as organizações precisam avaliar seus

controles internos da gestão para identificar vulnerabilidades inerentes a esses

sistemas. Mais uma vez, vale destacar a importância do mapeamento dos

processos. Uma vez identificados novas vulnerabilidades nos controles que

ocasionem riscos para os quais não haja controles relacionados ou que não se

mostram efetivos, devem ser apresentadas, imediatamente propostas de

melhorias.

A busca do controle interno eficiente traz mais confiabilidade e segurança, sendo

uma ferramenta de grande importância para manter a competitividade da

companhia no mercado.

13º princípio - Comunicação do resultado da avaliação dos controles internos da

gestão aos responsáveis pela adoção de ações corretivas, incluindo a alta

administração.

Como corolário, tem-se o fluxo das comunicações de modo a permitir uma perfeita

fluidez em todas as direções. Como boa medida, deve existir o direcionamento

estratégicos das informações a todos os interessados. Para a boa visibilidade do

fluxo de informações aos interessados, mais uma vez vale a pena recomendar a

implantação de fluxos de distribuição de informações através de software

especializados.



31

4. DEMAIS CONCEITOS

4.1 Economicidade

As operações são econômicas quando a aquisição dos insumos necessários se

der na quantidade e qualidade adequadas, forem entregues no lugar certo e no

momento preciso, ao custo mais baixo.

Economicidade é a característica de algo que é econômico, isto é, que pode ser

realizado com custos mais baixos.

Sob este contexto, o administrador público tem no princípio da economicidade um

limitador da sua discricionariedade no processo decisório, já que está obrigado a

adotar dentre as soluções tecnicamente a mais vantajosa economicamente.

4.2 Eficiência

As operações são eficientes quando consumirem o mínimo de recursos para

alcançar uma determinada quantidade e qualidade de resultados, ou

alcançarem o máximo de resultado com uma dada qualidade e quantidade de

recursos empregados.

A eficiência pode ser medida sob três aspectos básicos: velocidade, qualidade e

resultado. Qualquer ação só poderá ser considerada eficiente se for rápida,

perfeita e eficaz.

4.3 Eficácia

As operações são eficazes quando cumprirem objetivos imediatos, traduzidos

em metas de produção ou de atendimento, de acordo com o estabelecido no

planejamento das ações.

Determinado projeto ou operação é eficaz quando atinge o objetivo ou a meta,

sem levar em conta os fatores da eficiência.

4.4 Efetividade

As operações são efetivas quando alcançarem os resultados pretendidos a

médio e longo prazo, produzindo impacto positivo e resultando no cumprimento

dos objetivos das organizações.

A efetividade é vista como a capacidade de se cumprir uma determinada

missão com eficácia da melhor maneira possível, ou seja, com eficiência.



32

Figura 7 – Distinção entre os conceitos



33

5. AMBIENTE DE CONTROLE

Diz respeito à base em que se apoiam todos os sistemas controles internos da

gestão. É formado pelo conjunto de regras e estrutura que determinam a qualidade

dos controles internos da gestão.

5.1 Componentes

O ambiente de controle deve influenciar a forma pela qual se estabelecem as

estratégias e os objetivos e na maneira como os procedimentos de controle

interno são estruturados. Alguns dos elementos do ambiente de controle são:

a) Integridade pessoal e profissional e valores éticos assumidos pela direção e

pelo quadro de servidores, incluindo inequívoca atitude de apoio à manutenção

de adequados controles internos da gestão, durante todo o tempo e por toda a

organização;

b) Comprometimento para reunir, desenvolver e manter colaboradores

competentes;

c) Filosofia da direção e estilo gerencial, com clara assunção da responsabilidade

de supervisionar os controles internos da gestão;

d) Estrutura organizacional na qual estejam claramente atribuídas

responsabilidades e delegação de autoridade, para que sejam alcançados os

objetivos da organização ou das políticas públicas; e

e) Políticas e práticas de recursos humanos, especialmente a avaliação do

desempenho e prestação de contas e responsabilidades pelos controles internos

da gestão da organização ou política pública.

O ambiente de controle são atividades materiais e formais, como políticas,

procedimentos, técnicas e ferramentas, implementadas pela gestão para diminuir

os riscos e assegurar o alcance de objetivos organizacionais e de políticas públicas.

Essas atividades podem ser preventivas (reduzem a ocorrência de eventos de

risco) ou detectivas (possibilitam a identificação da ocorrência dos eventos de

risco), implementadas de forma manual ou automatizada.

As atividades de controles internos da gestão devem ser apropriadas, funcionar

consistentemente de acordo com um plano de longo prazo, ter custo adequado,



34

ser abrangentes, razoáveis e diretamente relacionadas aos objetivos de controle.

5.2 Informação e comunicação

As informações produzidas pelo órgão ou entidade devem ser apropriadas,

tempestivas, atuais, precisas e acessíveis, devendo ser identificadas, armazenadas

e comunicadas de forma que, em determinado prazo, permitam que os

funcionários e servidores cumpram suas responsabilidades, inclusive a de

execução dos procedimentos de controle interno.

A comunicação eficaz deve fluir para baixo, para cima e através da organização,

por todos seus componentes e pela estrutura inteira. Todos os servidores,

funcionários ou mesmos simples colaboradores devem receber mensagem clara da

alta administração sobre as responsabilidades de cada agente no que concerne aos


A organização deve comunicar as informações necessárias ao alcance dos seus

objetivos para todas as partes interessadas, independentemente no nível

hierárquico em que se encontram.

Os componentes de controles internos da gestão definem o enfoque recomendável

para a estrutura de controles internos nos órgãos e entidades do setor público e

fornecem bases para sua avaliação. Esses componentes se aplicam a todos os

aspectos operacionais de cada organização.



35

6. GESTÃO E GERENCIAMENTO DE RISCOS

O gerenciamento de riscos pode ser definido com o processo de planejar, organizar,

dirigir e controlar os recursos humanos e materiais de uma organização, no sentido

de minimizar ou aproveitar os riscos e incertezas sobre essa organização.

A gestão e risco, por sua vez, é um processo aplicado na organização. Deve ser

conduzido pelo conselho de administração, diretoria e demais empregados. Na área

pública, é aplicado pela cúpula da organização. No caso dos órgãos da

administração pública direta, são representados pela cúpula da administração

(ministérios).

Consiste de estratégias, formuladas para identificar em toda a organização eventos

em potencial, capazes de afetá-la, e administrar os riscos de modo a mantê-los

compatíveis com o apetite a risco da organização e possibilitar garantia razoável do

cumprimento de seus objetivos.

Significado do risco segundo o COSO:

> Um processo contínuo e que flui pela organização.

> Conduzido pelos profissionais em todos os níveis.

> Definição das estratégias de identificação e tratamento dos riscos.

> Aplicado em toda a organização, em todos os níveis e unidades, e inclui a

formação de uma visão de portfólio de todos os riscos a que ela está exposta.

> Formulado de modo que identifique eventos em potencial, cuja ocorrência

poderá afetar a organização, e que administre os riscos de acordo com o seu

apetite a risco.

> Capaz de propiciar garantia razoável para os gestores e para o a cúpula de uma

organização.

> Orientado para à realização de objetivos em uma ou mais categorias distintas,

mas dependentes.

O objetivo da IN Conjunta cinge-se em disseminar o entendimento segundo o qual

a gestão de riscos deve ser capaz de identificar os eventos de riscos em potencial,



36

capazes de afetar a organização, permitir o gerenciamento dos riscos de modo

compatível com o tamanho e complexidade da organização. Deve, ainda,

possibilitar um nível razoável de garantia em relação ao cumprimento dos seus

objetivos.

Principalmente no caso do setor público, a gestão de risco deve contribuir para o

aumento dos benefícios e reduzir o custo do valor a ser entregue à sociedade,

protegendo os direitos públicos, criando condições para a prosperidade econômica,

melhorando a prestação dos serviços governamentais, entre outros.

Os órgãos e entidades do Poder Executivo Federal deverão implementar, manter,

monitorar e revisar o processo de gestão de riscos, compatível com sua missão e

seus objetivos estratégicos.

6.1 Princípios da gestão de riscos

> Forma sistemática, estruturada e oportuna, subordinada aos interesses em

geral. No tocante à iniciativa privada os interessados são os stakeholders14. Na

área pública, os stakeholders são toda a sociedade em geral, eis que todo o

componente existe exatamente para servir o público em geral;

> Estabelecimento de níveis adequados de exposição a riscos;

> Estabelecimento de procedimentos de controle interno proporcionais ao risco,

observada a relação custo-benefício, e destinados a agregar valor à

organização;

> Utilização do mapeamento de riscos para apoio à tomada de decisão e à

elaboração do planejamento estratégico; e

> Utilização da gestão de riscos para apoio à melhoria contínua dos processos

organizacionais.

14 Stakeholder significa parte interessada ou interveniente. É uma palavra em inglês muito

utilizada nas áreas de comunicação, administração e tecnologia da informação, cujo

objetivo é designar as pessoas e grupos mais importantes para um planejamento

estratégico ou plano de negócios, ou seja, as partes interessadas.



37

6.2 Objetivos da Gestão de Riscos

> Assegurar que os responsáveis pela tomada de decisão, em todos os níveis do

órgão ou entidade, tenham acesso tempestivo a informações suficientes quanto

aos riscos aos quais está exposta a organização, inclusive para determinar

questões relativas à delegação, se for o caso;

> Aumentar a probabilidade de alcance dos objetivos da organização, reduzindo os

riscos a níveis aceitáveis; e

> Agregar valor à organização por meio da melhoria dos processos de tomada de

decisão e do tratamento adequado dos riscos e dos impactos negativos

decorrentes de sua materialização.

6.3 Estrutura do modelo de gestão de riscos

Na implementação e atualização do modelo de gestão de riscos, a alta

administração, bem como seus servidores ou funcionários, deverão observar os

seguintes componentes da estrutura de gestão de riscos:

> Fixação de objetivos

Todos os níveis da organização (departamentos, divisões, processos e atividades)

devem ter objetivos fixados e comunicados. A explicitação de objetivos, alinhados à

missão e à visão da organização, é necessária para permitir a identificação de

eventos que potencialmente impeçam sua consecução.

> Identificação de eventos

Devem ser identificados e relacionados os riscos inerentes à própria atividade da

organização, em seus diversos níveis.

> Avaliação de riscos

Os eventos devem ser avaliados sob a perspectiva de probabilidade e impacto de

sua ocorrência. A avaliação de riscos deve ser feita por análises qualitativas,

quantitativas ou a combinação de ambas. Os riscos devem ser avaliados quando à

sua condição de inerentes e residuais.

A avaliação de riscos é o processo permanente de identificação e análise dos riscos



38

relevantes que impactam o alcance dos objetivos da organização e determina a

resposta apropriada ao risco. Envolve identificação, avaliação e resposta aos riscos,

devendo ser um processo permanente.

São as políticas e os procedimentos estabelecidos e executados para mitigar os

riscos a ser tratados. Também denominadas de procedimentos de controle, devem

estar distribuídas por toda a organização, em todos os níveis e em todas as

funções.

Incluem uma gama de controles internos da gestão preventivos e detectivos, bem

como a preparação prévia de planos de contingência e resposta à materialização

dos riscos.

a) Identificação do risco.

b) Mensuração do risco.

c) Avaliação da tolerância da organização ao risco.

d) Desenvolvimento das respostas.



39

Figura 8 – Esquema de avaliação de risco



40

Figura 9 – Causas e consequências na gestão de riscos

No desenvolvimento da resposta aos riscos, deve-se levar em conta os seguintes

quesitos:

> Reduzir (mitigar) o risco.

Mitigar significa diminuir a intensidade de algo, fazer com que fique mais brando,

calmo ou relaxado. A mitigação é como é chamado o processo de mitigar. Mitigar o

risco, portanto, significar a redução ou moderação dos efeitos excessivos do risco.

> Evitar o risco

O risco pode eventualmente ser evitado quando seu nível se encontra em uma zona

crítica de alta probabilidade e alto impacto, comprometendo totalmente os

objetivos da organização. Como exemplo, vale citar determinada operação que

ocorra em uma área de risco que possa trazer prejuízo.

Normalmente, nesses casos, a implementação de controles apresenta um custo

muito elevado, inviabilizando sua mitigação, bem como não há entidades dispostas



41

a compartilhar o risco com a organização.

Nesse caso, pode ser recomendável até a descontinuidade das atividades. A esse

propósito, as principais empresas transportadoras resolveram não operar na

baixada fluminense, devido ao roubo de cargas.

> Compartilhar o risco

Atividades que visam reduzir o impacto ou a probabilidade de ocorrência do risco

através da transferência ou, em alguns casos, do compartilhamento de uma parte

do risco.

A forma mais tradicional de compartilhar o risco é trocar a posição financeira,

buscando compensar possíveis perdas com eventuais ganhos e vice-versa. Por

exemplo, as despesas incorridas no pagamento de prêmios de seguro buscam

proteger determinado ativo de possíveis perdas não admitidas. Desta forma, o

contratante do seguro transfere o risco de uma possível perda considerada

inaceitável.

Obviamente que o custo do seguro contratado pode ser determinante no subsídio à

decisão. Caso o valor seja muito elevado, pode inviabilizar a tomada e decisão e

estimular a aceitação do risco. Além de identificar os riscos que deseja transferir, os

gestores precisam conhecer profundamente a dinâmica das operações.

Outro exemplo é a contratação de hedge. Com o intuito de evitar oscilações

inesperadas ou indesejadas nos preços, o detentor do ativo decide trocar sua

posição financeira, fazendo exatamente uma posição inversa. O detentor de moeda

estrangeira para se proteger de eventual queda na cotação pode adquirir uma

mesma de moeda no mercado futuro em quantidade capaz de minimizar a possível

perda da desvalorização.

> Reter o risco

Manter o risco no nível atual de impacto e probabilidade de ocorrer. Exemplo: a

diretoria da empresa decide nada investir em melhorias da área de informática,

assumindo que as perdas e erros atualmente sabidos e esperados de informações

internas para o processo de decisão e de gestão são riscos toleráveis.

> Aceitar o risco



42

Um determinado risco pode ser aceito quando seu nível de risco estiver em uma

zona confortável para o gestor. Em outras palavras, o risco não é suficientemente

grave que possa ameaçar os objetivos organizacionais.

Nessa situação, nenhum controle será implementado para mitigar o risco. Porém,

são recomendáveis controles e monitoramento, uma vez que, com o passar do

tempo, o nível do risco pode sofrer alterações significantes e vir a ameaçar os

objetivos em questão.

Como exemplo, vale citar determinados riscos, cuja implementação não valem a

pena, devido ao custo envolvido.

Informação e comunicação

A condição sine qua non para que a informação seja utilizável e, assim, proporcione

os resultados colimados é ser confiáveis, íntegras e tempestivas. Portanto, é

fundamental que a informação seja adequada e eficaz para o alcance dos objetivos

colimados pela administração.

A gestão de integridade, riscos e controles internos da gestão deve ser utilizada no

sentido de apresentar o fluxo das informações e permitir que fluam para todos os

interessados. As informações externas relevantes aos processos de trabalho, por

sua vez, devem ser consideradas e compartilhadas adequada e tempestivamente.

Portanto, a comunicação direcionada à sociedade deve ser objeto de controle

efetivo, com o intuito de reduzir riscos inadequações às reais necessidades da

população. O monitoramento de toda a estrutura permite que haja adequação da

estrutura aos seus objetivos estratégicos.

Monitoramento

Com base no monitoramento contínuo e eficaz, devem ser elaborados,

prontamente, as avaliações e a melhor metodologia do redirecionamento que deve

submetidas informações. Caso sejam detectados deficiências ou vulnerabilidades ou

mesmo informações dispensáveis, serão efetuadas as correções necessários pela

instância responsável para um aperfeiçoamento dos instrumentos de gestão de

integridade, riscos e controles.



43

7. POLÍTICA DE GESTÃO DE RISCOS

A política de gestão de riscos tem como objetivo avaliar a qualidade da gestão de

riscos e dos controles internos da gestão, por meio de atividades gerenciais

contínuas ou avaliações independentes, buscando assegurar que estes funcionem

como previsto e que sejam modificados apropriadamente, de acordo com mudanças

nas condições que alterem o nível de exposição a riscos.

A política adotada deve possuir as necessárias competências e responsabilidades

para a efetivação da gestão de riscos no âmbito do órgão ou entidade. Quanto ao

prazo, a IN Conjunta estabelece qua a política de gestão de riscos, deve ser

instituída em até doze meses a contar da publicação.

7.1 Especificação mínima

Os princípios e objetivos organizacionais devem estabelecer as diretrizes sobre:

a) Como a gestão de riscos será integrada ao planejamento estratégico, aos

processos e às políticas da organização;

b) Como e com qual periodicidade serão identificados, avaliados, tratados e

monitorados os riscos;

c) Como será medido o desempenho da gestão de riscos;

d) Como serão integradas as instâncias do órgão ou entidade responsáveis pela

gestão de riscos;

e) A utilização de metodologia e ferramentas para o apoio à gestão de riscos; e

f) O desenvolvimento contínuo dos agentes públicos em gestão de riscos.

7.2 Tipologia dos riscos

> Riscos operacionais

Eventos que podem comprometer as atividades do órgão ou entidade, normalmente

associados a falhas, deficiência ou inadequação de processos internos, pessoas,

infraestrutura e sistemas. Caracteriza-se como riscos operacionais:

a) Fraudes internas.



44

b) Fraudes externas.

c) Demandas trabalhistas e segurança deficiente no local de trabalho.

d) Práticas inadequadas relativas a clientes, a produtos e a serviços.

e) Danos a ativos físicos próprios ou em uso pela instituição.

f) Aqueles que acarretem a interrupção das atividades da instituição.

g) Falhas em sistemas de tecnologia da informação.

h) Falhas na execução, cumprimento de prazos e gerenciamento das atividades da

instituição.

> Riscos de imagem ou reputação do órgão

Eventos que podem comprometer a confiança da sociedade (ou de parceiros, de

clientes ou de fornecedores) em relação à capacidade do órgão ou da entidade em

cumprir sua missão institucional, tais como:

a) Desgaste do nome ou razão social com as autoridades ou com o próprio pessoal

envolvido, em razão divulgação negativa, verdadeira. Exemplo: perdas

decorrentes de descumprimento de atribuições, como o atendimento a segmento

escolar.

b) Impacto adverso na imagem, em razão da má qualidade ou deficiência de

comunicação interna com o público-alvo.

c) Participação de dirigentes em situações não recomendáveis ou da falta de

participação destes em eventos que representem os interesses do órgão.

> Riscos legais

Eventos derivados de alterações legislativas ou normativas que podem

comprometer as atividades do órgão ou entidade.

a) Dispositivo legal ou regulamentar baixado que representa interesse contrário ao

órgão, como a alteração de legislação específica.

b) Má ou falta de interpretação de leis e regulamentos. Exemplo: a contratação de

produtos e serviços de maneira indevida.

c) Acumulação de passivo trabalhista, devido à falta de controle nas atividades de

contratação e demissão. Também pode ser decorrente da



45

> Riscos financeiros ou orçamentários

Eventos que podem comprometer a capacidade do órgão ou entidade de contar

com os recursos orçamentários e financeiros necessários à realização de suas

atividades, ou eventos que possam comprometer a própria execução

orçamentária, como atrasos no cronograma de licitações.

> Risco residual

É o risco a que uma organização está exposta após a implementação de ações

gerenciais para o tratamento do risco.

7.3 Responsabilidades do gestor do risco

O dirigente máximo da organização é o principal responsável pelo estabelecimento

da estratégia da organização e da estrutura de gerenciamento de riscos, incluindo o

estabelecimento, a manutenção, o monitoramento e o aperfeiçoamento dos


Cada risco mapeado e avaliado deve estar associado a um agente responsável

formalmente identificado. O agente responsável pelo gerenciamento de

determinado risco deve ser o gestor com alçada suficiente para orientar e

acompanhar as ações de mapeamento, avaliação e mitigação do risco.

Assegurar que o risco seja gerenciado de acordo com a política de gestão de riscos

da organização;

> Monitorar o risco ao longo do tempo, de modo a garantir que as respostas

adotadas resultem na manutenção do risco em níveis adequados, de acordo com

a política de gestão de riscos; e

> Garantir que as informações adequadas sobre o risco estejam disponíveis em

todos os níveis da organização.



46

8. PRINCÍPIOS DE GOVERNANÇA

Governança para a OCDE15 são os princípios reconhecidos internacionalmente e

visam garantir a integridade das corporações em seus processos de gestão, e de

relacionamento com as partes interessadas, também com o propósito de manter e

desenvolver a saúde das organizações e sua estabilidade.

Para uma efetiva governança, os princípios devem ser aplicados de forma

integrada, como um processo, e não apenas individualmente, sendo compreendidos

por todos na organização. Os agentes da governança institucional de órgãos e

entidades devem contribuir para aumentar a confiança na forma como são geridos

os recursos colocados à sua disposição, reduzindo a incerteza dos membros da

sociedade sobre a forma como são geridos os recursos e as organizações públicas.

A definição dos princípios de governança são:

> Liderança

Deve ser desenvolvida em todos os níveis da administração. As competências e

responsabilidades devem estar identificadas para todos os que gerem recursos

públicos, de forma a se obter resultados adequados.

> Integridade

Tem como base a honestidade e objetividade, elevando os padrões de decência e

probidade na gestão dos recursos públicos e das atividades da organização, com

reflexo tanto nos processos de tomada de decisão, quanto na qualidade de seus

relatórios financeiros e de desempenho.

> Responsabilidade

Diz respeito ao zelo que se espera dos agentes de governança na definição de

estratégias e na execução de ações para a aplicação de recursos públicos, com

15 A Organização para a Cooperação e Desenvolvimento Econômico – OCDE é uma organização

internacional de 35 países que aceitam os princípios da democracia representativa e da economia de

mercado. Procura fornecer uma plataforma para comparar políticas econômicas, solucionar

problemas comuns e coordenar políticas domésticas e internacionais. A maioria dos membros da

OCDE é composta por economias com um elevado PIB per capita e Índice de Desenvolvimento

Humano e são considerados países desenvolvidos.



47

vistas ao melhor atendimento dos interesses da sociedade.

> Compromisso

Dever de todo o agente público de se vincular, assumir, agir ou decidir pautado

em valores éticos que norteiam a relação com os envolvidos na prestação de

serviços à sociedade, prática indispensável à implementação da governança.

> Transparência

Caracterizada pela possibilidade de acesso a todas as informações relativas à

organização pública, sendo um dos requisitos de controle do Estado pela sociedade

civil. As informações devem ser completas, precisas e claras para a adequada

tomada de decisão das partes interessas na gestão das atividades.

> Accountability

Obrigação dos agentes ou organizações que gerenciam recursos públicos de

assumir responsabilidades por suas decisões e pela prestação de contas de sua

atuação de forma voluntária, assumindo integralmente a consequência de seus

atos e omissões.

Caracteriza-se como o conjunto de procedimentos adotados pelas organizações

públicas e pelos indivíduos que as integram que evidenciam sua responsabilidade

por decisões tomadas e ações implementadas, incluindo a salvaguarda de recursos

públicos, a imparcialidade e o desempenho das organizações.



48

9. COMITÊ DE GOVERNANÇA, RISCOS E CONTROLES

Riscos e controles internos devem ser geridos de forma integrada, objetivando o

estabelecimento de um ambiente de controle e gestão de riscos que respeite os

valores, interesses e expectativas da organização e dos agentes que a compõem.

Também deve respeitar todas as partes interessadas, tendo o cidadão e a

sociedade como principais vetores. Os órgãos e entidades do Poder Executivo

Federal deverão instituir, pelos seus dirigentes máximos, Comitê de Governança,

Riscos e Controles.

No âmbito de cada órgão ou entidade, o Comitê deverá ser composto pelo dirigente

máximo e pelos dirigentes das unidades a ele diretamente subordinadas e será

apoiado pelo respectivo Assessor Especial de Controle Interno.

São competências do Comitê de Governança, Riscos e Controles:

> Promover práticas e princípios de conduta e padrões de comportamentos.

> Institucionalizar estruturas adequadas de governança, gestão de riscos e

controles internos.

> Promover o desenvolvimento contínuo dos agentes públicos e incentivar a

adoção de boas práticas de governança, de gestão de riscos e de controles

internos.

> Garantir a aderência às regulamentações, leis, códigos, normas e padrões, com

vistas à condução das políticas e à prestação de serviços de interesse público.

> Promover a integração dos agentes responsáveis pela governança, pela gestão

de riscos e pelos controles internos.

> Promover a adoção de práticas que institucionalizem a responsabilidade dos

agentes públicos na prestação de contas, na transparência e na efetividade das

informações.

> Aprovar política, diretrizes, metodologias e mecanismos para comunicação e

institucionalização da gestão de riscos e dos controles internos.



49

> Supervisionar o mapeamento e avaliação dos riscos-chave que podem

comprometer a prestação de serviços de interesse público;

> Liderar e supervisionar a institucionalização da gestão de riscos e dos controles

internos, oferecendo suporte necessário para sua efetiva implementação no

órgão ou entidade;

> Estabelecer limites de exposição a riscos globais do órgão, bem com os limites

de alçada ao nível de unidade, política pública, ou atividade;

> Aprovar e supervisionar método de priorização de temas e macroprocessos para

gerenciamento de riscos e implementação dos controles internos da gestão;

> Emitir recomendação para o aprimoramento da governança, da gestão de riscos

e dos controles internos; e

> Monitorar as recomendações e orientações deliberadas pelo Comitê.

9.1 Composição do comitê

Composto pelo Ministro de Estado da Educação e pelos dirigentes titulares dos

órgãos de assistência direta e imediata do Ministro e dos órgãos específicos

singulares:

Subcomitê de Gestão de Integridade, Riscos e Controles Internos da Gestão –

SUBGIRC - composto por servidores dos órgãos de assistência direta e imediata do

Ministro de Estado da Educação e dos órgãos específicos e singulares do Ministro do

Estado da Educação, indicados por seus respectivos dirigentes titulares.



50

10. COMPETÊNCIA DA CGU

A dinâmica que envolvia as antigas organizações, lentas e introspectivas, perde

cada vez mais espaço para as administrações modernas, capazes de gerar

informações e de articular rapidamente sua estrutura para atender às demandas do

seu público-alvo. Trata-se de uma verdadeira redescoberta da função gestora da

administração pública, que passa a agir segundo os conceitos funcionais da

administração.

É fato que que na administração pública federal surgem termos e atividades

relativamente novas até não utilizados como o caso da gestão de riscos, controles

internos governança, integração de informações gerenciais, uso efetivo dos

recursos de TI, análise de ambiental, elaboração de projetos e parcerias. A

dimensão dessas mudanças de paradigma vem proporcionando uma mudança

cultural importante na administração pública.

Foi no contexto dessas mudanças que a IN Conjunta, atribui competência à CGU no

sentido de colaborar com os gestores, com o intuito de reforçar a necessidade de

estabelecimento da Política de Gestão de Riscos, bem como auxiliar em eventuais

dúvidas ou dificuldades. É cediço que o processo de elaboração e constituição de

uma Política de Riscos não é um assunto de fácil aplicação. Pelo contrário, é uma

matéria complexa, relativamente nova no contexto da administração pública

brasileira e por envolver diversas áreas e atores dentro das organizações.

Nesse passo, mercê da experiência e expertise adquirida no cumprimento de sua

missão, a CGU surge como uma importante unidade colaboradora, como veículo de

implementação de forma sistemática, gradual e contínua, os principais

instrumentos a serem utilizados no acompanhamento da implantação. Para isso,

poderão ser utilizadas ações como a capacitações, a prestação de serviços de

consultorias e as avaliações das auditorias.

Em resumo, a participação da CGU no processo deve envolver, dentre outros, os

seguintes passos:

> Avaliar a política de gestão de riscos dos órgãos e entidades do Poder Executivo

federal.



51

Avaliar se os procedimentos de gestão de riscos estão de acordo com a

política de gestão de riscos; e

Avaliar a eficácia dos controles internos da gestão implementados pelos

órgãos e entidades para mitigar os riscos, bem como outras respostas aos

riscos avaliados.



52

11. MATRIZ DE NÍVEIS DE RISCOS

Figura 10 – Matriz de impacto/probabilidade

Fonte: Matriz de Riscos - Gestão de Integridade, Riscos e Controles

Internos da Gestão – Ministério do Planejamento

A matriz identificadora dos níveis de riscos pode ser representada pelos eixos

impacto versus probabilidade. Os eventos de riscos situados nos quadrantes

definidos como risco alto e risco crítico são indicativos de necessidade de

controles mais rígidos.

Por outro lado, os eventos situados nos quadrantes de risco pequeno e

moderado seriam um indicativo de controles mais moderados. Ressalta-se,

também, que em alguns casos não haveria necessidade de implementar controles

ou até retirar controles.

Os níveis de riscos são delimitados com base no resultado da combinação de pesos

da perspectiva impacto e da perspectiva probabilidade. Para cada perspectiva foram

definidos os pesos e as suas descrições.

Escala de Impacto

Nesta perspectiva, após o julgamento, o gestor poderá atribuir um dos pesos

abaixo considerando as respectivas definições:



53

Tabela 2 – Escala de peso dos impactos

PESO IMPACTO INTERPRETAÇÃO

5 Catastrófico

O impacto ocasiona colapso às ações de

gestão, a viabilidade estratégica pode ser comprometida.

4 Grande

O impacto compromete acentuadamente às ações de gestão, os objetivos

estratégicos podem ser fortemente comprometidos.

3 Moderado O impacto é significativo no alcance das ações de gestão.

2 Pequeno O impacto é pouco relevante ao alcance

das ações de gestão.

1 Insignificante O impacto é mínimo no alcance das ações de gestão.



Tabela 3 – Escala da ocorrência das probabilidades

PESO PROBABILIDADE INTERPRETAÇÃO

5 Muito alta O evento é esperado na maioria das

circunstâncias.

4 Alta o evento provavelmente ocorre na maioria

das circunstâncias

3 Possível o evento deve ocorrer em algum momento

2 Baixa o evento pode ocorrer em algum momento

1 Muito baixa o evento pode ocorrer apenas em circunstâncias excepcionais.





54

REFERENCIAS

Brasiliano, Antônio C.R. Inteligência em Riscos. Gestão Integrada em Riscos

Corporativos. Ed. Sicurezza. São Paulo. 2016.

Committee of Sponsoring Organizations of the Treadway Commission (COSO) -

Internal Control – Integrated Framework COSO - Gerenciamento de Riscos

Corporativos – Estrutura Integrada. 2004.

Kleberson S. Franklin B. Como Gerenciar Riscos na Administração Pública. Ed.

Negócios Públicos do Brasil Ltda. Curitiba. 2017.

Decreto nº 9.203, de 22 de novembro de 2017. Dispõe sobre a política de

governança da administração pública federal direta, autárquica e fundacional.

Instrução Normativa CGP MP nº 001, de 10 DE maio de 2016. Dispõe sobre

controles internos, gestão de riscos e governança no âmbito do Poder Executivo

Federal.

Manual de Gestão Integridade, Riscos e Controles Internos da Gestão. Assessoria

Especial de Controles Internos do Ministério do Planejamento. 2017.

Gestão de Riscos – Princípios e diretrizes. ABNT NBR ISO 31000. 2009.

Gestão de Riscos – Técnicas para o processo de avaliação. ABNT NBR ISSO/IEC

31010. 2012.

Roteiro de Auditoria de Gestão de Riscos. Tribunal de Contas da União (TCU). 2017.

CONTROLES INTERNOS, GESTÃO DE RISCOS E …fonai-mec.com.br/uploads/documentos/arq1522864266.pdf ·...

Documents

Transcript of CONTROLES INTERNOS, GESTÃO DE RISCOS E …fonai-mec.com.br/uploads/documentos/arq1522864266.pdf ·...