Intosai Diretrizes p Controle Interno

INTOSAI

Diretrizes para as Normasde Controle Interno

do Setor Público

Tribunal de Contas do Estado da Bahia – BrasilSérie Traduções – N. 13o

1

Diretrizes paraas Normas de Controle Interno

do Setor Público

2

Comitê de Normas de Controle Interno

Fr. VANSTAPELPrimeiro Presidente do

Tribunal de Contas da Bélgica

Regentschapsstraat 2B-1000 BRUXELAS

BÉLGICA

Tel: ++32 (2) 551 81 11Fax: ++32 (2) 551 86 22

E-mail: [email protected]

3

Diretrizes paraas Normas de Controle Interno

do Setor Público

5

Intosai

Secretaria Geral da INTOSAI — RECHNUNGSHOF(Tribunal de Contas da Áustria)

DAMPFSCHIFFSTRASSE 2A-1033 VIENA

ÁUSTRIA

Tel.: ++43 (1) 711 71 • Fax: ++43 (1) 718 09 69E-MAIL: [email protected]

http://www.intosai.org

6

Autorização para tradução ao idioma português concedida pelaOrganização Internacional de Entidades FiscalizadorasSuperiores em 25 de maio 2007.

EQUIPE DE PRODUÇÃO

Tradução: Cristina Maria Cunha Guerreiro Delanise Costa Soraia de Oliveira Ruther

Revisão Técnica: Inaldo da Paixão Santos AraújoRevisão Gramatical: Clarissa Carneiro da RochaNormalização: Denilze Alencar SacramentoEditoração: Cristiano Pereira Rodrigues

0 65 Organização Internacional de Entidades Fiscalizadoras Superiores Diretrizes para as normas de controle interno do setor

público./.— Organización Internacional de EntidadesFiscalizadoras Superiores; Tradução de Cristina Maria CunhaGuerreiro, Delanise Costa e Soraia de Oliveira Ruther. Salvador:Tribunal de Contas do Estado da Bahia, 2007.

99 p.

Tradução de: Guía para las normas de control interno del sectorpúblico

1. Controle Interno: Normas. 2. Administração Pública: Áustria.3. Tribunal de Contas da Áustria. I. Título

CDU 657.6

Intosai

7

Sumário

Apresentação da Versão em Português ................................... 09

Prefácio à Versão em Português .............................................. 11

Prefácio ..................................................... ............................ 13

Introdução.......... ...................................................................... 15

1 Controle Interno ................................................................................ 19

1.1 Definição ......................................................................................... 191.2 Limitações para a eficácia do controle inteno .............................. 262 Componentes do Controle Interno ................................................ 292.1 Ambiente de controle ....................................................................... 332.2 Avaliação de risco .............................................................................. 382.3 Procedimentos de controle .............................................................. 442.3.1 Procedimentos de controle da tecnologia da informação ..... 482.4 Informação e comunicação ............................................................. 542.5 Monitoramento .................................................................................. 583 Funções e Responsabilidades ................................................ 63

Anexo 1: Exemplos................................................................... 69

Anexo 2: Glossário .................................................................... 79

9

Apresentação da Versão em Português

No momento em que o Tribunal de Contas do Estado da Bahia seencontra engajado no Projeto Multiplicando Experiências, que tem comoobjetivo fortalecer o sistema de controle externo do Brasil mediante arealização de auditorias governamentais integradas em projetos co-financiados pelo Banco Internacional para a Reconstrução e oDesenvolvimento (BIRD), temos a imensa satisfação em apresentar aversão em língua portuguesa das Diretrizes para as Normas de ControleInterno do Setor Público, da Organização Internacional de EntidadesFiscalizadoras Superiores (INTOSAI).

Esta publicação vem dar continuidade à Série de Traduções do Tribunalde Contas do Estado da Bahia, iniciada em 1995, e a sua escolha retrataa importância dada pelos órgãos de controle externo ao aperfeiçoamentodo sistema de controle interno, que sabidamente é um dos maioresdesafios da administração pública brasileira na atualidade.

Com efeito, de nada adiantaria o fortalecimento dos órgãos de controleexterno brasileiros, se, em paralelo, não fossem adotadas medidas efetivaspara a institucionalização de um sólido sistema de controle interno emtodas as esferas de governo.

Não obstante a Constituição Federal brasileira de 1988 ter estabelecidoa necessidade de manter sistema de controle interno, de forma integrada,nos Poderes Legislativo, Executivo e Judiciário, que, além dos aspectosde legalidade, deve, também, avaliar os resultados da gestão quanto àeficiência e eficácia, incluindo as metas e os resultados dos programasgovernamentais, e apoiar o controle externo no exercício de sua missãoinstitucional, temos conhecimento das deficiências de controles internos,principalmente nos pequenos municípios brasileiros.

Nesse sentido, esta publicação pretende contribuir para a implantaçãode um sólido sistema de controle interno em todas as esferas de governo,muito embora com a consciência de que não basta apenas a edição detrabalhos sobre esse tema, mas, sim, a sua adaptação à nossa realidade,divulgação e aplicação pela administração pública no desempenho desua missão, de modo que possa, cada vez mais, atender aos anseios da

10

sociedade, que espera – sempre – que seus escassos recursos sejam gastosde forma econômica, justa, eficiente e sábia.

Cientes da importância da divulgação de documentos técnicos comoeste, relacionados à atividade de controle da administração pública,cumpre-nos registrar que exemplares dessas diretrizes serão distribuídosa órgãos e entidades governamentais, aos auditores do Tribunal de Contasdo Estado da Bahia, a instituições de controle governamental brasileirase de países de língua portuguesa, universidades, centros de estudo e outrosinteressados.

Por fim, gostaríamos de agradecer à INTOSAI, na pessoa do Dr. JosefMoser, que autorizou, de pronto, a tradução para o idioma portuguêsdessas diretrizes, em perfeita sintonia com o lema da INTOSAI:experiência mútua em beneficio de todos; ao Banco Mundial, na pessoado seu Diretor para o Brasil, Dr. Jonh Briscoe, que apoiou a realizaçãodessa iniciativa; à Conselheira Presidente do Tribunal de Contas do Estadodo Tocantins, Drª Doris de Miranda Coutinho e ao Conselheiro Presidentedo Tribunal de Contas do Estado do Piauí, Dr. Anfrísio Neto LobãoCastelo Branco, que se prontificaram a colaborar com a distribuiçãodeste guia; à equipe técnica deste Tribunal de Contas, responsável pelaprodução deste documento; e aos meus pares, Conselheiros do Tribunalde Contas do Estado da Bahia, que apoiaram integralmente este projeto.É, sem dúvida, mais um desafio que se conquista.

Salvador, Bahia, Brasil, junho de 2007.

Antonio Honorato de Castro NetoConselheiro Presidente do Tribunal de Contas do Estado da Bahia

11

Prefácio à Versão em Português

A Organização Internacional de Entidades Fiscalizadoras Superiores(INTOSAI) é uma organização não-governamental, autônoma eindependente. Fundada em 1953, por iniciativa do então Presidente daEntidade Fiscalizadora de Cuba, Emilio Fernandez Camus, a organizaçãoreúne atualmente mais de 186 membros e tem por objetivo oferecerum marco institucional para a transferência e aprimoramento deconhecimentos sobre a atividade de fiscalização pública, através dointercâmbio de experiências entre os seus membros.

Para tanto, a INTOSAI conta com uma estrutura que prevê a existênciade Grupos Regionais de Trabalho que oferecem fóruns para acooperação profissional e específica em nível regional, e constitui ComitêsTécnicos para tratar de assuntos de interesse comum a todos os seusmembros. Esses comitês e grupos de trabalho, compostos por umarepresentação equilibrada dos membros da organização, são formadoscomo resultado dos temas e das recomendações finais obtidas durantea realização dos congressos trianuais do Comitê Diretivo da INTOSAI(INCOSAI), e buscam elaborar normas e diretrizes para o setor defiscalização pública, que possam ser aplicadas por todos os seusmembros. Esses comitês atuam por um período de tempo determinado,ao final do qual apresentam os resultados do seu trabalho.

A 17ª reunião do Congresso Internacional das Entidades FiscalizadorasSuperiores, realizada em Seul, em 2001, reconheceu a necessidade de seatualizarem as diretrizes e o marco referencial para o controle interno.Essas diretrizes incorporaram avanços na sua formulação conceitual, apreocupação com os valores éticos, além de fornecer princípios geraispara os procedimentos de controle pertinentes ao processamento dainformação. Em 2004, durante a realização do XVIII INCOSAI, emBudapeste, as Diretrizes para as Normas de Controle Interno do SetorPúblico foram aprovadas pelos seus membros.

Em 2007, o Tribunal de Contas do Estado da Bahia (TCE-BA), dandocontinuidade ao trabalho de divulgação de documentos técnicosrelevantes para o aprimoramento dos trabalhos auditoriais, apresenta a

12

versão traduzida para a língua portuguesa das Diretrizes para as Normasde Controle Interno do Setor Público, 13º título da Série Traduções doTribunal de Contas do Estado da Bahia.

Neste trabalho, as diretrizes da INTOSAI de 1992 são atualizadas e,também, incorporam algumas inovações conceituais, as quais refletemos avanços mais recentes e significativos para o controle interno, taiscomo a concepção de que o controle não é um fato ou circunstância,mas uma série de ações que permeiam todas as atividades da entidade.Recomenda, ainda, que o Controle Interno deve ser interligado àsatividades dos organismos e concebido dentro da estruturaorganizacional, o que o tornaria não apenas mais efetivo, mas, também,integrante da essência mesma da organização.

É por esse motivo que atualmente nos utilizamos do conceito deambiente de controle para identificarmos uma situação permanente econtínua, existente em todos os setores da organização, visando àredução dos riscos e ao aumento da eficiência dos processos.

Estruturado em três partes (Controle Interno – definição e limitações;Componentes do Controle Interno; e Funções e Responsabilidades), apublicação enriquece a abordagem do tema através de exemplos e doglossário de termos técnicos, objetivando fornecer uma compreensãocomum dos conceitos mais importantes utilizados nessas diretrizes. Porisso, temos convicção de que esta publicação cumprirá sua finalidade, namedida em que venha a contribuir, de modo significativo, para oaperfeiçoamento da administração pública e a efetividade das ações dosistema de controle interno.

Salvador, Bahia, Brasil, junho de 2007.

Manoel Figueiredo CastroConselheiro Corregedor do Tribunal de Contas do Estado da Bahia

13

Diretrizes paraas Normas de Controle Internodo Setor PúblicoPrefácio

As diretrizes da Organização Internacional de Entidades FiscalizadorasSuperiores (INTOSAI), de 1992, para as normas de controle interno,foram concebidas como um documento vivo, que refletisse a visão deque se devem promover normas para o planejamento, implantação eavaliação do controle interno. Essa visão envolve um esforço contínuode atualização dessas diretrizes.

Na 17ª reunião do Congresso Internacional das Entidades FiscalizadorasSuperiores (INCOSAI - Seul, 2001) foi reconhecida uma forte necessidadede se atualizar as diretrizes de 1992 e estabelecido que, para essa tarefa,deveria ser considerado o trabalho do Committee on Sponsoring Organizationsof the Treadway Commission's (COSO), como o marco referencial sobrecontrole interno. Avanços subseqüentes resultaram em recomendaçõesadicionais, cujas diretrizes se reportam a valores éticos e fornecem maisinformações sobre os princípios gerais dos procedimentos de controlerelacionados ao processamento da informação. As diretrizes revisadasconsideram tais recomendações e devem facilitar a compreensão denovos conceitos relacionados com o controle interno.

Essas diretrizes revisadas também devem ser consideradas como umdocumento vivo, o qual, ao longo do tempo, deverá ser atualizado eaprimorado adequadamente, de modo a absorver o impacto dos novosavanços, tais como a nova posição adotada pelo COSO, Gestão de Riscoda Empresa: um modelo integrado1.

Esta atualização é o resultado do esforço conjunto dos membros doComitê de Normas de Controle Interno da INTOSAI. As atividadesforam coordenadas por um grupo de trabalho formado pelos membrosdo Comitê e pelos representantes das instituições fiscalizadoras superiores

1 COSO. Enterprise Risk Management Integrated Framework, www.coso.org, 2004.

14

da Bolívia, França, Hungria, Lituânia, Holanda, Romênia, Grã-Bretanha,Estados Unidos e Bélgica (presidência).

Um plano de ação para a atualização das diretrizes foi submetido àavaliação e aprovação pelo Comitê Diretivo, durante sua 50ª reunião(Viena, outubro de 2002). O Comitê Diretivo foi informado doprogresso dos trabalhos na sua 51ª reunião (Budapeste, outubro de 2003).A minuta foi discutida e aceita, em suas linhas gerais, durante a reuniãodo Comitê em Bruxelas, em fevereiro de 2004. Após a reunião doComitê, a referida minuta foi encaminhada a todos os membros daINTOSAI para os comentários finais.

Os comentários recebidos foram analisados e as mudanças consideradasapropriadas foram devidamente incorporadas.

Gostaria de agradecer a todos os membros do Comitê de Normas deControle Interno da INTOSAI, pela sua dedicação e cooperação pararealizar este projeto. Agradeço especialmente aos membros do grupo detrabalho.

As Diretrizes para as Normas de Controle Interno do Setor Públicoserão submetidas à aprovação do XVIII INCOSAI, em Budapeste, 2004.

Franki VANSTAPELPrimeiro Presidente do Tribunal de Contas da BélgicaPresidente do Comitê de Normas de Controle Interno da INTOSAI

15

Introdução

Em 2001, o INCOSAI decidiu atualizar as diretrizes da INTOSAI, de1992, sobre as normas de controle interno, para levar em consideraçãotodos os avanços recentes e mais significativos em controle interno e,também, para incorporar, no documento da INTOSAI, o conceitoemitido no relatório COSO intitulado Controle interno: um modelointegrado.

Ao incorporar o modelo COSO às diretrizes, o Comitê objetivou, nãoapenas atualizar o conceito de controle interno, mas, também, contribuirpara uma compreensão unificada de controle interno entre as EntidadesFiscalizadoras Superiores (EFSs). Fica claro que este documento leva emconsideração as características do setor público. Isso motivou o Comitêa incorporar algumas mudanças e a incluir temas adicionais.

Comparado o documento atual com a definição do relatório COSO ecom as diretrizes de 1992, verifica-se que foi incorporado o aspectoético das operações. Sua inclusão nos objetivos do controle interno estájustificada, da mesma maneira que a importância da conduta ética e aprevenção e detecção da fraude e da corrupção no setor público tiverammaior ênfase a partir dos anos noventa2. A expectativa geral é que osservidores públicos devem servir aos interesses públicos com zelo eadministrar os recursos públicos apropriadamente. Os cidadãos devemreceber tratamento imparcial, baseado nos princípios de legalidade ejustiça. Desse modo, a ética pública é um pré-requisito e um suportepara a confiança pública e a chave para um bom governo.

Uma vez que os recursos no setor público geralmente envolvem dinheiropúblico e sua utilização em prol do interesse coletivo geralmente requerum cuidado especial, a importância da salvaguarda desses recursosnecessita ser fortalecida.

Além disso, a contabilização do orçamento com base na execuçãofinanceira continua sendo uma prática comum no setor público, mas nãooferece a segurança suficiente em relação à aquisição, ao uso e à distribuiçãodos recursos. Conseqüentemente, muitas organizações do setor públiconem sempre possuem inventário atualizado de seus bens, o que as tornamais vulneráveis. Por esse motivo, a salvaguarda dos recursos tem sidoconsiderada como um objetivo importante do controle interno.

2 XVI INCOSAI, Montevidéu, Uruguai, 1998.

16

Assim como a concepção do controle interno, em 1992, não se limitavaà visão tradicional de controle administrativo-financeiro e incorporavaum conceito mais amplo do controle da administração, também estedocumento ressalta a importância das informações não-financeiras.

Dado o intensivo uso dos sistemas de informação em todas asorganizações públicas, os controles da tecnologia da informação (TI)vêm alcançando cada vez mais importância, o que justifica a criação deum tópico específico nestas diretrizes. Os controles da TI se reportam acada um dos componentes do processo de controle interno da entidade,incluindo o ambiente de controle, a avaliação de risco e os procedimentosde controle, a informação e a comunicação, e também o monitoramento.Porém, para efeito de apresentação, esses temas são tratados na seçãointitulada "Procedimentos de Controle".

O objetivo do Comitê é desenvolver orientações para estabelecer e manterum controle interno eficaz no setor público. A administraçãogovernamental é, portanto, um importante destinatário dessas diretrizes.A administração governamental pode utilizar essas diretrizes como basepara a implantação e execução do controle interno em suas organizações.

Dado que a avaliação do controle interno é geralmente aceita como umanorma de execução dos trabalhos de campo na auditoria pública3, osauditores podem utilizar as diretrizes como uma ferramenta de auditoria.As Diretrizes para as Normas de Controle Interno, as quais incorporamo modelo COSO, podem, portanto, ser utilizadas tanto pela administraçãogovernamental4, como exemplo de um referencial de controle internosólido para as organizações, quanto pelos auditores, como uma ferramentapara avaliar o controle interno. Porém, essas diretrizes não têm a intençãode substituir as Normas de Auditoria da INTOSAI ou qualquer outranorma relevante de auditoria.

Este documento define um arcabouço recomendado para o controleinterno do setor público e oferece uma base para que o controle internopossa ser avaliado. Essa abordagem pode ser aplicada a todos os aspectosoperacionais de uma organização. Contudo, não se tem a pretensão delimitar ou interferir no trabalho das autoridades responsáveis pelodesenvolvimento da legislação, pela elaboração de regulamentos ou

3 Normas de Auditoria da INTOSAI. (N. do T.) Traduzidas para o português pelo Tribunal de Contas do Estadoda Bahia - TCE/BA, em 2005.

4 O g rupo operacional não é mencionado como público-alvo. Embora sejam afetados pelo controle interno edesempenhem um importante papel na implementação do controle, eles não são responsáveis por todas asatividades da organização relacionadas com o sistema de controle interno. O Capítulo 3 destas diretrizes descreveos papéis e responsabilidades individuais.

17

daqueles que têm a discricionariedade de estabelecer políticas em umaorganização.

O controle interno nas organizações do setor público deve ser entendidodentro do contexto das características específicas dessas organizações, ouseja, seu enfoque para alcançar os objetivos sociais ou políticos; a utilizaçãodos recursos públicos; a importância do ciclo orçamentário; acomplexidade de seu desempenho (a demanda pelo equilíbrio entre osvalores tradicionais de legalidade, moralidade e transparência, e osmodernos valores gerenciais como eficiência e eficácia) e o amplo escopodecorrente da sua accountability5 pública.

Em conclusão, deve ter ficado claro que este documento apresentadiretrizes para as normas. Essas diretrizes não fornecem políticasdetalhadas, procedimentos ou práticas para implementar o controleinterno, mas fornecem o arcabouço dentro do qual as entidades podemdesenvolver controles detalhados. O Comitê, obviamente, não está emposição de impor normas.

Como está estruturado este documento?

No primeiro capítulo, está definido o conceito de controle interno edelimitado o seu alcance. Atenção especial é dada às limitações do controleinterno. No segundo capítulo, os componentes do controle interno sãoapresentados e discutidos. O documento termina com um terceiro capítulosobre as funções e responsabilidades.

Em cada seção, os princípios mais importantes são primeiramenteapresentados resumidamente em um quadro e acompanhados porinformações mais detalhadas. Também são feitas referências a exemplosconcretos, que podem ser encontrados nos anexos. Adicionalmente, aofinal do documento, há um glossário que contém os termos técnicosmais importantes.

5 (N. do T.) A INTOSAI sugeriu para o XIV INCOSAI a adoção da terminologia "obrigação de prestar contas"como tradução para o termo accountability.

19

1 Controle Interno

1.1 Definição

Controle interno é um processo integrado efetuado pela direção e cor-po de funcionários, e é estruturado para enfrentar os riscos e fornecerrazoável segurança de que na consecução da missão da entidade os se-guintes objetivos gerais serão alcançados:

• execução ordenada, ética, econômica, eficiente e eficaz das opera-ções;

• cumprimento das obrigações de accountability;• cumprimento das leis e regulamentos aplicáveis;• salvaguarda dos recursos para evitar perdas, mau uso e dano.

O controle interno é um processo integrado e dinâmico que se adaptacontinuamente às mudanças enfrentadas pela organização. A direção e ocorpo de funcionários, de todos os níveis, devem estar envolvidos nesseprocesso, para enfrentar os riscos e oferecer razoável segurança do al-cance da missão institucional e dos objetivos gerais.

Um processo integrado

O controle não é um fato ou circunstância, mas uma série de ações quepermeiam as atividades da entidade. Essas ações se dão em todas asoperações da entidade, de modo contínuo. São ações inerentes à manei-ra pela qual a gerência administra a organização. O controle interno é,portanto, diferente da perspectiva daqueles que o vêem como uma ativi-dade adicional da entidade ou como uma obrigação necessária. O siste-ma de controle interno deve ser interligado às atividades da entidade etorna-se mais efetivo quando é concebido dentro da estruturaorganizacional da entidade e é parte integrante da essência da organiza-ção.

O controle interno deve ser estruturado internamente e não superpostoàs atividades. O controle interno, ao ser estruturado internamente, torna-se parte integrante dos processos gerenciais de planejamento, execução emonitoramento.

20

Ademais, sua concepção de forma intrínseca às atividades apresenta im-portantes implicações para a contenção de custos, pois adicionar novosprocedimentos de controle, distintos dos procedimentos existentes,incrementa os custos. Uma organização pode evitar procedimentos ecustos desnecessários ao focalizar sua atenção na contribuição que as ati-vidades existentes podem dar para um controle interno eficaz e ao inte-grar os diferentes controles às operações básicas.

Efetuado pela gerência e o restante do pessoal

São as pessoas que realizam o trabalho de controle interno. O controle érealizado pelos indivíduos dentro de uma organização, pelo que eles fa-zem e dizem. Conseqüentemente, o controle interno é efetuado pelaspessoas. As pessoas devem conhecer seus papéis, suas responsabilidadese os limites de autoridade. Dada a importância desse conceito, um capí-tulo inteiro (3) foi dedicado ao tema.

As pessoas de uma organização incluem a gerência e os demais funcioná-rios. Embora o primeiro objetivo da gerência seja a supervisão, ela tam-bém estabelece os objetivos da entidade e tem a responsabilidade sobreo conjunto do sistema de controle interno. Uma vez que o controle inter-no oferece os mecanismos necessários para auxiliar a compreender orisco no contexto dos objetivos da entidade, a gerência deve implementarprocedimentos de controle e realizar seu monitoramento e avaliação. Aimplementação do controle interno requer muita iniciativa da gerência eintensa comunicação entre esta e os funcionários. Desse modo, o contro-le interno é uma ferramenta utilizada pela gerência e diretamente relacio-nada aos objetivos da entidade. Como tal, o gerenciamento é elementoimportante do controle interno. De qualquer forma, todo o corpo fun-cional desempenha um papel importante na execução do controle.

Do mesmo modo, o controle interno é afetado pela natureza humana.Essas diretrizes para o controle interno reconhecem que as pessoas nemsempre compreendem, comunicam e atuam de modo consistente. Cadaindivíduo traz para seu local de trabalho uma história pessoal e habilida-des técnicas próprias, possuindo necessidades e prioridades distintas. Es-sas realidades afetam e são afetadas pelo controle interno.

21

Na consecução da missão institucional

Qualquer organização está prioritariamente voltada para a consecuçãode sua missão. As instituições existem para um fim - o setor público égeralmente comprometido com a prestação de um serviço e com resul-tados benéficos para o interesse público.

Dar resposta aos riscos

Qualquer que seja a missão, sua consecução enfrentará toda sorte de ris-cos. O desafio da gerência é identificar e dar resposta a esses riscos, a fimde maximizar as possibilidades de a instituição alcançar a sua missão. Ocontrole interno pode ajudar a enfrentar esses riscos, embora somentepossa oferecer uma garantia razoável para o alcance da missão e dosobjetivos gerais.

Fornecer segurança razoável

Não importa quão bem planejado ou executado esteja, o controle inter-no não pode dar segurança absoluta à gerência, em relação ao alcancedos objetivos gerais. Em vez disso, as diretrizes reconhecem que apenasum nível "razoável" de segurança pode ser alcançado.

A segurança razoável equivale a um nível satisfatório de confiança sobcertas condições de custos, benefícios e riscos. Definir qual o grau desegurança que pode ser considerado razoável apenas é possível medianteavaliações. Ao exercitarem sua capacidade de avaliação, os executivosdevem identificar os riscos inerentes6 às operações e os níveis aceitáveisde risco sob circunstâncias distintas, além de avaliar os riscos, tanto quan-titativa como qualitativamente.

A segurança razoável reflete a noção sobre a incerteza e os riscos futurosque não podem ser previstos com segurança absoluta. Além disso, exis-tem fatores que estão fora do controle ou da influência da organização eque podem afetar sua capacidade de alcançar os objetivos. As limitaçõessão também decorrentes das seguintes realidades: o julgamento humano

6 (N. do T.) Risco inerente está conceituado no Capítulo 2, item 2.2 Avaliação de risco.

22

é passível de erro; as crises podem ser conseqüência de simples erros ouequívocos; controles podem ser suprimidos pela conivência de duas oumais pessoas, ou a gerência pode anular o sistema de controle interno.Adicionalmente, os compromissos no sistema de controle interno refle-tem o fato de que os controles têm um custo. Essas limitações impedemque a gerência tenha segurança absoluta sobre o alcance dos objetivos.

A segurança razoável reconhece que o custo do controle interno nãodeve exceder os benefícios que dele derivam. As decisões acerca da res-posta ao risco e da implantação de controles devem considerar os res-pectivos custos e benefícios. O custo se refere à quantidade de recursosfinanceiros consumidos para lograr um propósito específico e ao impac-to econômico de uma oportunidade perdida, tais como o atraso nasoperações, uma diminuição nos níveis de serviço ou na produtividadeou clima organizacional adverso. Um benefício é medido pelo grau emque o risco de não se alcançar um determinado objetivo é reduzido. Osexemplos incluem um incremento na probabilidade de detecção de frau-de, desperdício, abuso ou erro, prevenindo uma atividade imprópria, oufortalecendo o cumprimento dos regulamentos.

A estruturação dos controles internos que tenham benefícios superioresaos custos, em virtude de reduzir o risco até um nível aceitável, requerque os gerentes entendam claramente o conjunto dos objetivos a seremalcançados. Caso contrário, os gerentes governamentais podem conce-ber sistemas com controles excessivos em uma área operacional e quepodem afetar negativamente outras áreas. Por exemplo, os empregadospodem tentar burlar certos procedimentos incômodos, as operaçõesineficientes podem causar atrasos, o excesso de procedimentos podereprimir a criatividade dos funcionários ou a capacidade de solucionarproblemas e prejudicar a qualidade dos serviços prestados aosbeneficiários. Dessa forma, os benefícios derivados dos controles exces-sivos em uma área podem ser anulados pelo incremento de custos emoutras atividades.

Entretanto, também se devem fazer considerações qualitativas. Por exem-plo, pode ser importante ter os controles adequados sobre as transaçõescom alto risco/baixo valor monetário, tais como os salários, viagens egastos de representação. Os custos de adequados controles podem pare-cer excessivos em relação ao volume de recursos que se administra no

23

conjunto dos gastos governamentais, mas podem ser críticos para a ma-nutenção da confiança dos cidadãos nos governos e na sua administra-ção.

Alcance de objetivos

O controle interno é direcionado para o alcance de uma série de objeti-vos gerais, distintos, mas ao mesmo tempo integrados. Esses objetivosgerais são implementados através de numerosos objetivos específicos,funções, processos e atividades.

Os objetivos gerais são:

• Executar as operações de maneira ordenada, ética, econômica, eficiente e eficaz.

As operações de uma entidade devem ser ordenadas, éticas, econômicas,eficientes e eficazes. Devem ser consistentes com a missão da organiza-ção.

De maneira ordenada significa que as operações devem ser bem organi-zadas, isto é, estruturadas metodicamente.

A ética se refere aos princípios morais. A importância da conduta ética eda prevenção e detecção da fraude e da corrupção no setor público temsido cada vez mais enfatizada a partir dos anos noventa. A expectativageral é de que os servidores públicos sirvam aos interesses públicos comjustiça e que administrem adequadamente os recursos públicos. Os cida-dãos deverão receber tratamento imparcial, baseado na legalidade e najustiça. Por tal motivo, a ética pública é um pré-requisito e um suportepara a confiança pública e a chave para um bom governo.

Tratamento econômico sem desperdício nem extravagância significa ad-quirir a quantidade correta de recursos, na qualidade adequada, entregueno lugar certo e no momento preciso, ao custo mais baixo.

A eficiência se refere à relação entre os recursos utilizados e os resultadosproduzidos para alcançar os objetivos. Significa gastar o mínimo de re-cursos para alcançar uma dada quantidade e qualidade de resultados, oualcançar o máximo de resultado com uma dada qualidade e quantidadede recursos empregados.

24

A eficácia7 se refere ao alcance dos objetivos ou ao nível em que osresultados de uma atividade cumprem com o objetivo ou com os im-pactos pretendidos por aquela atividade.

• Cumprimento das obrigações de accountability

Accountability é o processo através do qual as organizações públicas e osindivíduos que as integram tornam-se responsáveis por suas decisões eações, incluindo a salvaguarda de recursos públicos, a imparcialidade etodos os aspectos de seu desempenho.

O processo será alcançado mediante o desenvolvimento, manutenção edisponibilização de informações financeiras e não-financeiras confiantese relevantes, e através da apresentação correta dessa informação em rela-tórios oportunos, destinados tanto ao público interno quanto ao públicoexterno.

A informação não-financeira pode estar relacionada com a economia,eficiência e eficácia das políticas e operações (informação sobre o de-sempenho operacional), e o controle interno e sua eficácia.

• Cumprimento das leis e regulamentos

As organizações são obrigadas a cumprir muitas leis e regulamentos. Nasorganizações públicas, as leis e regulamentos disciplinam a captação e aaplicação do dinheiro público e a forma de operação. Os exemplos in-cluem a lei orçamentária, tratados internacionais, leis para garantir a ad-ministração correta, lei ou princípios contábeis, lei de direito civil e deproteção ambiental, regulamentos sobre as receitas fiscais, além de açõesde combate à fraude e corrupção.

7 (N. do T.) Para algumas EFSs o conceito de eficácia está relacionado aos bens e serviços (produtos) gerados pelaação ou programa, enquanto os impactos deles resultantes estão relacionados ao aspecto da efetividade.

25

• Salvaguarda de recursos contra prejuízo por desperdício, abuso, má administração,erros, fraudes e irregularidades.

Ainda que o quarto objetivo possa ser visto como uma subcategoria doprimeiro (operações ordenadas, éticas, econômicas, eficientes e eficazes),a importância da salvaguarda dos recursos no setor público precisa serfortalecida. Isso se deve ao fato de que os recursos no setor públicogeralmente envolvem dinheiro público e sua utilização visa ao interessecoletivo, requerendo, desse modo, cuidado especial. Além disso, acontabilização do orçamento com base na execução financeira, práticaque continua sendo muito comum no setor público, não oferece segu-rança suficiente com relação à aquisição, utilização e disponibilização dosrecursos. Como resultado, as organizações no setor público nem sempretêm registros adequados de seus ativos, o que as torna mais vulneráveis.Por isso, devem-se adotar controles internos em cada uma das atividadesrelacionadas com a administração dos recursos da entidade, desde a aqui-sição até a sua disponibilização.

Outros meios, tais como a informação, fontes de documentação e regis-tros contábeis, são a chave para a obtenção da transparência das opera-ções governamentais e devem ser preservados. No entanto, eles tambémestão em risco de serem roubados, mal utilizados ou destruídos. A salva-guarda de certos recursos e arquivos tem se tornado cada vez mais im-portante desde a chegada dos sistemas informatizados. Informações re-levantes armazenadas em meios magnéticos podem ser destruídas oucopiadas, distribuídas ou mal utilizadas, caso não se tenha o cuidadonecessário com a sua proteção.

26

1.2 Limitações para a eficácia do controle interno8

O controle interno não pode, por si só, assegurar o alcance dos objetivosgerais previamente definidos.

Um sistema de controle interno eficaz, não importa quão bem concebi-do e administrado possa ser, pode oferecer à gerência apenas uma segu-rança razoável - não absoluta - sobre o alcance dos objetivos da entidadeou sobre a sua sobrevivência. Pode fornecer informação gerencial sobreos progressos da entidade ou sua ausência, tendo em vista o alcance dosobjetivos. Entretanto, o controle interno não pode transformar uma ad-ministração essencialmente ruim em boa administração. Além disso, asmudanças nas políticas ou programas governamentais, as condiçõesdemográficas ou econômicas estão além do controle da gerência e po-dem exigir uma reconfiguração dos controles ou ajustes para reduzir osriscos a níveis aceitáveis.

Um sistema de controle interno eficaz reduz a probabilidade de não sealcançar os objetivos. De qualquer modo, sempre haverá o risco de que ocontrole interno seja estruturado de forma deficiente ou que falhe naatuação esperada9.

Dado que o controle interno depende do fator humano, ele está sujeitoàs falhas no planejamento, erros de avaliação ou interpretação, má com-preensão, descuido, cansaço físico, distração, conluio, abuso ou excessos.

Outro fator limitante é que a estrutura do sistema de controle internoenfrente o contingenciamento de recursos. Os benefícios dos controlesdevem, portanto, ser considerados em relação a seu custo. Manter umsistema de controle interno que elimine os riscos de prejuízo não é realistae, provavelmente, custaria mais que os benefícios dele derivados. Ao de-terminar se um controle específico deve ou não ser implantado, a proba-bilidade de que exista um risco e o efeito potencial deste na entidadedevem ser considerados, juntamente com os custos relacionados à im-plantação do novo controle.

8 As limitações na eficácia do controle interno devem ser estabelecidas a fim de evitar expectativas exageradas,devido à má compreensão de seu efetivo alcance .

9 (N. do T.) É o que se denomina de risco de controle, pois o controle existe, mas em face de suas limitações podefalhar.

27

As mudanças organizacionais e a atitude gerencial podem ter um profun-do impacto na eficácia do controle interno e nos técnicos queoperacionalizam o sistema. Assim, a gerência deve revisar e atualizar con-tinuamente os controles, comunicar as alterações ao pessoal e dar o exem-plo através da adesão a esses controles.

29

2 Componentes do Controle Interno

O controle interno compreende cinco componentes inter-relacionados:

• ambiente de controle;• avaliação de risco;• procedimentos de controle;• informação e comunicação;• monitoramento.

O controle interno é estruturado para oferecer segurança razoável de queos objetivos gerais da entidade estão sendo alcançados. Por essa razão, aexistência de objetivos claros é um pré-requisito para a eficácia do pro-cesso de controle interno.

O ambiente de controle é a base de todo o sistema de controle interno.Ele fornece o conjunto de regras e a estrutura, além de criar um climaque influi na qualidade do controle interno em seu conjunto. O ambientede controle exerce uma influência geral na forma pela qual se estabele-cem as estratégias e os objetivos, e na maneira pela qual os procedimen-tos de controle são estruturados.

Tendo sido estabelecidos objetivos claros e um ambiente de controleeficaz, uma avaliação dos riscos a serem enfrentados pela entidade noalcance de sua missão e de seus objetivos determina a base para o desen-volvimento da resposta apropriada ao risco.

A melhor maneira de minimizar o risco é através de procedimentos decontrole. Os procedimentos de controle podem ser preventivos e/oudetectivos. As ações corretivas são necessárias para complementar osprocedimentos de controle interno, com a intenção de alcançar os obje-tivos. Os procedimentos de controle e as ações corretivas devem pro-mover a otimização dos recursos. Seu custo não deve exceder o benefí-cio que delas resulte (custo-eficácia).

30

Informação e comunicação eficazes são vitais para que uma entidadeconduza e controle suas operações. A gerência de uma entidade necessitade comunicação relevante, confiável, correta e oportuna, relacionada tan-to aos eventos internos, quanto aos eventos externos. Ademais, a infor-mação é necessária a toda a entidade para que ela alcance seus objetivos.

Finalmente, uma vez que o controle interno é uma atividade dinâmicaque deve ser aperfeiçoada continuamente, em função das mudanças edos riscos que a entidade enfrenta, o monitoramento do sistema de con-trole interno é necessário, de modo a assegurar que o controle internoesteja em sintonia com os objetivos, o ambiente, os recursos e os riscos.

Esses componentes definem um enfoque recomendável para o controleinterno no setor público e fornecem as bases a partir das quais ele podeser avaliado. Esses componentes se aplicam a todos os aspectosoperacionais de uma organização.

Estas diretrizes oferecem um marco geral. Ao implementá-las, a admi-nistração será responsável pelo desenvolvimento de políticas, práticas eprocedimentos detalhados, para satisfazer às operações da organização,de modo a assegurar que esses sejam parte integrante dessas operações.

Relação entre objetivos e componentes

Existe uma relação direta entre os objetivos gerais, os quais representamo que uma entidade está buscando alcançar, e os componentes do con-trole interno, os quais representam o que é necessário para se alcançaresses objetivos. Esta relação está configurada em uma matriz tridimensionalque possui a forma de um cubo.

Os quatro objetivos gerais - accountability (e informação), cumprimento(das leis e regulamentos), operações (ordenadas, éticas, econômicas, efici-entes e eficazes) e salvaguarda de recursos - estão representados pelascolunas verticais, os cinco componentes estão representados pelas linhashorizontais e a organização ou entidade e seus departamentos estão re-presentados pela terceira dimensão da matriz.

31

Do mesmo modo, se tomarmos os objetivos gerais, todos os cincocomponentes são relevantes para cada objetivo. Se tomarmos um obje-tivo, como a eficácia e a eficiência das operações, fica claro que todos oscinco componentes são aplicáveis e importantes para a consecução doobjetivo.

O controle interno não apenas é relevante para toda a entidade, mastambém para seus departamentos. Essa relação é representada pela ter-ceira dimensão, a qual representa toda a organização com suas áreas,unidades e departamentos. Dessa forma, pode-se enfocar qualquer umadas células da matriz.

Enquanto o âmbito de trabalho do controle interno é relevante e aplicá-vel a todas as organizações, a maneira como a administração o aplica,variará substancialmente conforme a natureza da entidade, e depende de

Cada linha dos componentes "faz um corte transversal" e se projeta so-bre cada um dos quatro objetivos gerais. Por exemplo, as informaçõesfinanceira e não-financeira geradas de fontes internas e externas, que per-tencem ao componente informação e comunicação, são necessárias paraadministrar as operações, emitir relatórios e cumprir com os propósitosde accountability e para cumprir com a legislação aplicável.

accountabilit

y

conform

idade

opera

ções

ambiente de controle

salvag

uarda

de recu

rsos

avaliação de risco

procedimentos de controle

informação e comunicação

monitoramento

orga

niza

ção

entid

ade.

..de

parta

men

to

32

um certo número de fatores específicos. Esses fatores incluem a estruturaorganizacional, o perfil de risco, o ambiente operacional, o tamanho, acomplexidade, as atividades e o grau de regulamentação, dentre outros.Considerando a situação específica de cada entidade, a administraçãodeverá formular uma série de alternativas relacionadas com a complexi-dade dos processos e com as metodologias empregadas para aplicar oscomponentes que integram o controle interno.

Na seqüência, cada um dos componentes mencionados anteriormenteserá apresentado de modo conciso, com comentários adicionais.

33

accountab

ility

conform

idade

opera

ções


salvag

uarda

de recu

rsos




monitoramento

orga

niza

ção

en

tidad

e...

depa

rtam

ento

2.1 Ambiente de controle

O ambiente de controle estabelece o perfil de uma organização, influen-ciando na consciência das pessoas acerca do controle. O ambiente decontrole é o fundamento para todos os componentes do controle inter-no, fornecendo o conjunto de regras e a estrutura.

Os elementos do ambiente de controle são:

(1) a integridade pessoal e profissional e os valores éticos da direção edo quadro de pessoal, incluindo uma atitude de apoio ao controleinterno, durante todo o tempo e por toda a organização;

(2) competência;(3) o "perfil dos superiores" (ou seja, a filosofia da direção e o estilo

gerencial);(4) estrutura organizacional;(5) políticas e práticas de recursos humanos.

Integridade pessoal e profissional e valores éticos da direção e doquadro de pessoal

A integridade pessoal e profissional e os valores éticos da direção e doquadro de pessoal determinam suas preferências e seus juízos de valor,os quais se traduzem em normas de conduta. Eles devem demonstraruma atitude de apoio ao controle interno, a qualquer tempo, durantetoda a vida da organização.

Todas as pessoas envolvidas com a organização – entre gerentes e funci-onários – devem manter e demonstrar integridade pessoal e profissionale valores éticos, e devem cumprir com os códigos de conduta aplicáveis

34

durante todo o tempo. Isso poderia incluir, por exemplo, a declaraçãode rendimentos financeiros pessoais10, cargos externos ou prêmios (porexemplo, ser selecionado para exercer altos cargos ou como servidorpúblico de alta categoria), e relatar conflitos de interesses.

Ademais, as entidades públicas devem manter e demonstrar integridadee valores éticos e devem torná-los visíveis ao público em sua missão evalores centrais. Além disso, suas operações devem ser éticas, ordenadas,econômicas, eficientes e eficazes. Devem ser consistentes com a sua mis-são.

Competência

A competência envolve o nível de conhecimento e habilidades necessári-as para ajudar a assegurar uma atuação ordenada, ética, econômica, efi-caz e eficiente, assim como um bom entendimento das responsabilida-des individuais relacionadas com o controle interno.

Os gerentes e os funcionários devem manter um nível de competênciaque lhes permita compreender a importância do desenvolvimento, im-plantação e manutenção de um bom controle interno, e cumprir suasatribuições para poder alcançar os objetivos gerais do controle interno ea missão da entidade. Cada qual na organização está envolvido com ocontrole interno, com suas responsabilidades próprias e específicas.

Os gerentes e seu pessoal devem, portanto, manter e demonstrar umnível de habilidades necessário para avaliar os riscos, assegurar um de-sempenho eficaz e eficiente; e uma suficiente compreensão do controleinterno, para efetivamente desincumbirem-se de suas responsabilidades.

Proporcionar capacitação, por exemplo, pode aumentar a consciênciados servidores públicos sobre ações de controle interno e, em particular,de operações éticas, além de ajudá-los a compreender os objetivos docontrole interno e a desenvolver habilidades para saber lidar com dile-mas éticos.

10 (N. do T.) Também conhecida como declaração de bens.

35

O perfil dos superiores

O "perfil dos superiores" (ou seja, a filosofia da direção e seu estilogerencial) reflete:

• uma atitude de apoio permanente ao controle interno, a independên-cia, a competência e a liderança pelo exemplo;

• um código de conduta de iniciativa da gerência, orientação e avaliaçãode desempenho, que apóiem os objetivos do controle interno e, emparticular, as operações éticas.

A atitude estabelecida pela alta administração está refletida em todos osaspectos das ações gerenciais. A dedicação, o envolvimento e o apoiodos dirigentes estabelecem "o perfil dos superiores" que deve gerar umaatitude positiva, sendo decisivos para manter uma postura de apoio po-sitiva para o controle interno de uma organização.

Se a alta administração acredita que o controle interno é importante, osdemais membros da organização sentirão essa atitude e responderãoobservando conscientemente os controles estabelecidos. Por exemplo, acriação de uma unidade de controle interno como parte do sistema decontrole interno é um sinal importante por parte da gerência de que ocontrole interno é fundamental.

Por outro lado, se os membros da organização percebem que o controleinterno não é uma preocupação relevante para a alta administração e selhe é dada pouca atenção, em vez de outorgar-lhe um suporte adequado,é quase certo que os objetivos de controle da organização não serãoefetivamente alcançados.

Conseqüentemente, a demonstração e a insistência em uma conduta éticapelos dirigentes são de vital importância para os objetivos do controleinterno e, em particular, para o objetivo de "operações éticas". Ao assu-mir esse papel, a administração dará bom exemplo através de suas pró-prias ações, e sua conduta deverá refletir o que é adequado e o que não éaceitável. Em particular, as políticas gerenciais, os procedimentos e práti-cas devem promover a conduta ordenada, ética, econômica, eficiente eeficaz.

36

A integridade da gerência e de seu pessoal é, de qualquer modo, influen-ciada por muitos elementos. Por esse motivo, os funcionários deverãoser periodicamente relembrados das suas obrigações, segundo um códi-go de conduta definido pela alta administração. Orientação e avaliaçãode desempenho são muito importantes. Em geral, as avaliações de de-sempenho devem estar baseadas em uma avaliação de muitos fatorescríticos, incluindo o papel do servidor que realiza o controle interno.

Estrutura organizacional

A estrutura organizacional de uma entidade fornece:

• definição de autoridade e responsabilidade;• delegação de autoridade e obrigação de prestar contas (accountability);• formas apropriadas de prestação de contas.

A estrutura organizacional define as áreas-chave da entidade em relação àautoridade e à responsabilidade. A delegação de autoridade e a accountabilityse relacionam com a maneira pela qual a autoridade e a responsabilidadesão delegadas dentro da entidade. Não pode haver delegação de autori-dade ou accountability sem a formalização da informação. Por essa razão,devem ser definidas formas apropriadas de prestação de contas. Emcircunstâncias excepcionais, outras formas de prestação de contas têmque ser possíveis além das normais, como naqueles casos em que a ge-rência está envolvida em irregularidades.

A estrutura organizacional pode incluir uma unidade de controle inter-no11, que deve ser independente da gerência e que se reportará direta-mente à autoridade máxima da organização.

A estrutura organizacional também é tratada no Capítulo 3 - Funções eResponsabilidades.

Políticas e práticas de recursos humanos

As políticas e práticas de recursos humanos incluem contratação, orienta-ção, capacitação (formal e em serviço), assim como educação,assessoramento e avaliação, consultoria, promoção, remuneração e açõescorretivas.

11 (N. do T.) Normalmente denominada de auditoria interna.

37

O pessoal é um aspecto importante do controle interno. Pessoal compe-tente e confiável é necessário para um controle eficaz. Portanto, os méto-dos através dos quais as pessoas são contratadas, capacitadas, avaliadas,remuneradas e promovidas são aspectos importantes do ambiente decontrole. As decisões de contratação devem, portanto, assegurar que osindivíduos tenham a integridade, a formação e a experiência necessáriaspara realizar suas tarefas e que se promova a capacitação formal, emserviço e sobre a ética. Dirigentes e funcionários que possuam uma boacompreensão do controle interno e que estejam dispostos a assumir res-ponsabilidades são vitais para um controle efetivo.

A administração dos recursos humanos também possui um papel essen-cial na promoção de um ambiente ético, desenvolvendo oprofissionalismo e fortalecendo a transparência nas práticas diárias. Issose torna visível nos processos de recrutamento, avaliação e promoção, osquais devem estar baseados em méritos. Assegurar a transparência nosprocessos de seleção, publicando tanto as regras de recrutamento quantoas vagas disponíveis, também ajuda a ter uma administração ética dosrecursos humanos.

Exemplos

O leitor deverá buscar os anexos para exemplos relacionados a cada umdos objetivos e dos componentes do controle interno.

38

accountab

ility

conform

idade

opera

ções


salvag

uarda

de recu

rsos




monitoramento

orga

niza

ção

entid

ade.

..de

parta

men

to

2.2 Avaliação de risco

A avaliação de risco é o processo de identificação e análise dos riscosrelevantes para o alcance dos objetivos da entidade e para determinaruma resposta apropriada.

Envolve:(1) identificação do risco: • relacionado com os objetivos da entidade; • abrangente; • inclui riscos devidos a fatores externos e internos, tanto no nível da

entidade, quanto de suas atividades;

(2) mensuração do risco: • estimativa da importância do risco; • avaliação da probabilidade de ocorrência do risco;

(3) avaliação da tolerância da organização ao risco;

(4) desenvolvimento de respostas: • quatro tipos de resposta ao risco devem ser considerados: transferên-

cia, tolerância, tratamento ou eliminação. Entre eles, o tratamento dorisco é a mais relevante para essas diretrizes, porque um controle inter-no eficaz é o melhor mecanismo para tratar o risco;

• os controles adequados envolvidos podem ser detectivos ou preventi-vos.

39

Dado que as condições governamentais, econômicas, industriais,regulatórias e operacionais estão em constante transformação, a avalia-ção de risco deve ser um processo permanente. Isso envolve a identifica-ção e a análise das condições modificadas e de oportunidades e riscos(ciclo de avaliação de risco), assim como a adaptação do controle inter-no, no sentido de lidar com novos riscos.

Como se enfatizou na definição, o controle interno pode oferecer apenasuma segurança razoável de que os objetivos de uma organização sejamcumpridos. A avaliação do risco, enquanto componente do controle in-terno, exerce um papel essencial na seleção dos procedimentos apropri-ados de controle que devem ser realizados. É o processo de identificaçãoe análise dos riscos relevantes para a consecução dos objetivos da entida-de e determinação da resposta apropriada.

Conseqüentemente, estabelecer os objetivos institucionais é um pré-re-quisito para a avaliação do risco. Os objetivos devem ser definidos antesque a gerência identifique os riscos que poderiam afetar a sua consecuçãoe realize as ações necessárias para administrar esses riscos. Isso significamanter um processo permanente de avaliação e gestão de impactos derisco, de forma que o custo seja razoável, e possuir pessoal com as habi-lidades necessárias para identificar e mensurar os riscos potenciais. Osprocedimentos de controle interno são uma resposta ao risco na medidaem que estão planejados para limitar as incertezas do resultado que tenhasido definido.

As entidades governamentais devem gerenciar os riscos com maior pro-babilidade de impactar na prestação de serviços e no alcance dos resulta-dos desejados.

Identificação do risco

Um enfoque estratégico para a avaliação de risco depende da identifica-ção dos riscos que ameaçam os objetivos-chave da organização. Os ris-cos relevantes a esses objetivos devem ser considerados e avaliados, re-sultando em uma pequena quantidade de riscos-chave.

A identificação dos riscos-chave não é importante apenas para identificaras áreas mais relevantes para as quais se devem dirigir os esforços demensuração, como também para atribuir responsabilidades para a ges-tão desses riscos.

40

O desempenho de uma entidade pode estar em risco devido a fatoresinternos ou externos, tanto no nível organizacional quanto no nível desuas atividades. A avaliação de riscos deve considerar todos os riscos quepodem ocorrer (incluindo o risco de fraude e corrupção). Conseqüente-mente, é importante que a identificação do risco seja abrangente. A iden-tificação do risco deve ser um processo contínuo, repetitivo e muitasvezes integrado ao processo de planejamento. Muitas vezes, é útil consi-derar o risco sob a perspectiva de uma "folha de papel em branco", enem sempre relacioná-lo com o exame anterior. Esse tipo de enfoquefacilita a identificação de mudanças no perfil de risco12 de uma organiza-ção, que resultem de transformações no ambiente econômico e regulatório,de condições operacionais internas e externas e da introdução de objeti-vos novos ou modificados.

É necessário adotar ferramentas apropriadas para a identificação do ris-co. Duas das ferramentas mais comumente utilizadas são a promoção deuma revisão de riscos e uma auto-avaliação de riscos13.

Mensuração do risco

Para decidir como administrar o risco é essencial, não apenas identificarque um certo tipo de risco existe, a princípio, mas, também, avaliar suaimportância e mensurar a probabilidade de que ele venha a ocorrer. Ametodologia de análise de riscos pode variar, em grande parte, porquemuitos riscos são difíceis de quantificar (exemplo: riscos de imagem),enquanto outros se prestam a um diagnóstico numérico (especialmenteriscos financeiros). No primeiro caso, uma visão mais subjetiva é a únicapossibilidade e, nesse caso, a mensuração do risco se aproxima mais de

12 Uma visão geral ou matriz dos riscos-chave que uma entidade enfrenta, ou uma de suas unidades, que incluio nível de impacto (alto, médio, baixo) associado à probabilidade da ocorrência do fato.

13 Promoção de revisão de riscoEsse é um procedimento de cima para baixo. É estabelecida uma equipe para considerar todas as operações eatividades de uma organização em relação aos seus objetivos e a identificação dos riscos associados. A equipeconduz uma série de entrevistas com membros-chave em todos os níveis da organização para delinear um perfilde risco para a totalidade de atividades nas quais se identificam as áreas das políticas, ações e funções que podemser especialmente vulneráveis ao risco (incluindo o risco de fraude e corrupção).Auto-avaliação de riscoEste é um enfoque de baixo para cima. Cada nível e setor da organização é convidado a revisar suas atividadese alimentar um diagnóstico de riscos enfrentado pelos níveis superiores. Isso pode ser realizado mediante asolicitação de documentação (com um quadro diagnóstico estabelecido através de questionários) ou atravésde oficinas.Esses dois enfoques não são mutuamente excludentes e uma combinação de enfoques de cima para baixo e debaixo para cima é recomendável para o processo de mensuração de risco e é desejável para facilitar a identificaçãode riscos para a entidade e para suas atividades.

41

uma arte do que de uma ciência. No entanto, o uso sistemático de crité-rios de avaliação de riscos minimizará a subjetividade do processo, umavez que fornece uma base para que as avaliações sejam realizadas de ummodo coerente.

Um dos propósitos-chave da avaliação de risco é informar à administra-ção sobre as áreas de risco, onde é necessário adotar uma ação e seu graude prioridade. Por essa razão, normalmente, é necessário desenvolverum enquadramento para estabelecer categorias para todos os riscos, porexemplo, como alto, médio ou baixo. Geralmente, é melhor reduzir ascategorias, já que um refinamento exagerado pode levar a uma separa-ção desnecessária em níveis que, na verdade, não podem ser separadoscom clareza.

Através de tal avaliação, os riscos podem ser classificados de modo aestabelecer prioridades para a administração e apresentar informaçõespara as decisões gerenciais sobre quais os riscos que necessitam de maioratenção (por exemplo, aqueles com um maior potencial de impacto euma maior probabilidade de ocorrência).

Avaliação da “tolerância de risco” de uma organização

Um tema importante ao considerar a resposta ao risco é a identificaçãoda "tolerância de risco" de uma entidade. A tolerância de risco é a quan-tidade de riscos que uma entidade está preparada para assumir, antes dedeliberar sobre a necessidade de implementar uma ação. As decisõessobre as respostas ao risco devem ser tomadas em conjunto com a iden-tificação da quantidade de riscos que podem ser tolerados.

Tanto os riscos inerentes como os riscos residuais devem ser considera-dos para determinar a tolerância ao risco. O risco inerente é o risco parauma entidade na ausência de ações que a direção poderia adotar paraalterar a probabilidade ao risco ou o seu impacto. O risco residual é orisco que permanece mesmo após a resposta da administração ao risco.

A tolerância de uma organização ao risco variará de acordo com a suapercepção da importância dos riscos. Por exemplo, a tolerância ao preju-ízo financeiro pode variar conforme a classificação de fatores, incluindoo tamanho do orçamento, a origem do prejuízo ou outros riscos associ-ados, tais como a publicidade adversa. A identificação da tolerância aorisco é uma questão subjetiva, mas, de qualquer modo, é uma etapa im-portante na formulação da estratégia global de risco.

42

14 Para alguns riscos, a melhor resposta pode ser transferi-los. Isso pode ser feito por seguro convencional, atravésdo pagamento a um terceiro para que assuma o risco de forma diferente ou, ainda, pode fazer-se através decláusulas contratuais.A habilidade para fazer algo para evitar riscos pode ser limitada, ou o custo de tomar qualquer medida podeser desproporcional em relação ao benefício potencial. Nesses casos, a resposta pode ser tolerar os riscos.Alguns riscos somente serão tratados ou reduzidos a níveis aceitáveis, eliminando-se a atividade. No setorpúblico, a opção de eliminar atividades pode ser severamente limitada quando comparada ao setor privado.Certas atividades são realizadas pelo setor governamental porque os riscos associados são tão grandes, que nãoexiste outra maneira para que o resultado, necessário para o interesse público, seja alcançado.

Desenvolvimento das respostas

O resultado das ações mencionadas acima será um perfil de risco para aorganização. Tendo desenvolvido um perfil de risco, a organização podeentão considerar as respostas apropriadas.

Respostas ao risco podem ser divididas em quatro categorias. Em algunscasos, o risco pode ser transferido, tolerado ou eliminado14. De qualquermodo, na maior parte dos casos, o risco deverá ser tratado e a entidadenecessitará implementar e manter um efetivo sistema de controle interno,de modo a manter o risco em um nível aceitável.

O propósito do tratamento não é necessariamente obviar o risco, masmantê-lo sob controle. Os procedimentos que uma organização estabe-lece para tratar o risco são denominados procedimentos de controleinterno. A mensuração do risco deverá ocupar papel de destaque na sele-ção dos procedimentos de controle apropriados para seremimplementados. Mais uma vez, é importante repetir que não é possíveleliminar todos os riscos e que o controle interno pode apenas oferecersegurança razoável de que os objetivos da organização sejam alcançados.De qualquer modo, as entidades que ativamente identificam e gerenciamos riscos têm maiores probabilidades de estar bem preparadas para res-ponder rapidamente quando as coisas saem mal e a responder a qualquermudança em geral.

Ao planejar um sistema de controle interno, é importante que os proce-dimentos de controle estabelecidos sejam proporcionais ao risco. Inde-pendentemente do resultado extremo indesejável, normalmente é sufici-ente planejar um controle que ofereça uma segurança razoável de poderlimitar os prejuízos à tolerância de risco da organização. Cada controlepossui um custo associado e o procedimento de controle deve oferecervalor pelo seu custo considerando-se o risco ao qual está direcionado.

43

Uma vez que as condições governamentais, econômicas, industriais,regulatórias e operacionais estão continuamente mudando, o ambientede controle de qualquer organização também está em constante mudan-ça, e os objetivos prioritários e a conseqüente importância dos riscosserão transformados e modificados. O fundamental para a avaliação deriscos é a existência de um processo permanente para identificar a mu-dança de condições (ciclo de avaliação de risco) e adotar as medidasnecessárias. Os mapas de risco e os respectivos controles devem ser re-gularmente revisados e reconsiderados para assegurar que o perfil derisco continua a ser válido, que as respostas ao risco permanecem apro-priadamente escolhidas e proporcionais, e que os controles para mitigá-los continuam sendo efetivos à medida em que os riscos se modificamao longo do tempo.

Exemplos

O leitor deverá buscar os anexos para exemplos relacionados a cada umdos objetivos e dos componentes do controle interno.

44

accountabilit

y

conform

idade

opera

ções


salvag

uarda

de recu

rsos




monitoramento

orga

niza

ção

entid

ade.

..de

parta

men

to

2.3 Procedimentos de controle

Os procedimentos de controle são políticas e ações estabelecidas paradiminuir os riscos e alcançar os objetivos da entidade.

Para serem efetivos, os procedimentos de controle devem ser apropria-dos, funcionar consistentemente de acordo com um plano de longo pra-zo, e ter custo adequado, ser abrangentes, razoáveis e diretamente relaci-onados aos objetivos de controle.

Os procedimentos de controle devem existir em toda a organização, emtodos os níveis e em todas as funções. Eles incluem uma gama de proce-dimentos de controle de detecção e prevenção diversos como, por exem-plo:

(1) procedimentos de autorização e aprovação;(2) segregação de funções (autorização, execução, registro, controle);(3) controles de acesso a recursos e registros;(4) verificações;(5) conciliações;(6) avaliação de desempenho operacional;(7) avaliação das operações, processos e atividades;(8) supervisão (alocação, revisão e aprovação, orientação e capacitação).

As entidades devem alcançar um equilíbrio adequado entre a detecção ea prevenção, na adoção dos procedimentos de controle.

As ações corretivas são um complemento necessário para os procedi-mentos de controle na busca do alcance dos objetivos.

45

Os procedimentos de controle são as políticas e ações estabelecidas eexecutadas para atuar sobre os riscos, a fim de se alcançar os objetivos daentidade.

Para serem efetivos, os procedimentos de controle necessitam:

• ser apropriados (isso significa o controle correto, no local correto eproporcional ao risco envolvido);

• funcionar consistentemente de acordo com um plano de longo prazo(isso significa que devem ser criteriosamente obedecidos por todos osfuncionários envolvidos no processo e não apressadamente, quando opessoal-chave está ausente ou há uma sobrecarga de trabalho);

• apresentar um custo adequado (ou seja, o custo da implantação docontrole não deve exceder os benefícios que possam derivar da suaaplicação);

• ser abrangentes e razoáveis e estar diretamente relacionados com osobjetivos de controle.

Os procedimentos de controle incluem um leque de políticas e ações tãodiversas quanto:

1. Procedimentos de autorização e aprovação

A autorização e a execução de transações e eventos devem ser realizadassomente por pessoas que detenham essa autoridade. A autorização é oprincipal meio para assegurar que apenas as transações e eventos que aadministração tem a intenção de realizar sejam iniciados. Os procedi-mentos de autorização, que devem ser documentados e claramente co-municados aos gerentes e funcionários, devem incluir as condições espe-cíficas e os termos, segundo os quais eles devem ser realizados. Confor-midade com as condições de autorização significa que os funcionáriosagem de acordo com as diretrizes e dentro das limitações estabelecidaspela administração ou pela legislação.

2. Segregação de funções (autorização, execução, registro, con-trole)

Para reduzir o risco de erro, desperdício ou procedimentos incorretos eo risco de não detectar tais problemas, não deve haver apenas uma pes-soa ou equipe que controle todas as etapas-chave de uma transação ouevento. As obrigações e responsabilidades devem estar sistematicamente

46

atribuídas a um certo número de indivíduos, para assegurar a realizaçãode revisões e avaliações efetivas. As funções-chave incluem autorização eregistro de transações, execução e revisão ou auditoria das transações. Oconluio entre pessoas pode, no entanto, reduzir ou destruir a eficáciadesse procedimento de controle interno. Uma organização de pequenoporte pode ter poucos funcionários para implementar satisfatoriamenteesse controle. Em tais casos, a administração deve estar consciente dosriscos e compensá-los com outros procedimentos de controle. Arotatividade de funcionários pode auxiliar a assegurar que não apenasuma só pessoa seja responsável por todos os aspectos-chave das transa-ções ou eventos por um período de tempo excessivo. Também estimu-lando ou exigindo férias anuais se pode reduzir o risco, porque significauma rotatividade temporária de funções.

3. Controles de acesso a recursos e registros

O acesso a recursos ou registros deve ser limitado a indivíduos autoriza-dos que sejam responsáveis pela sua guarda e/ou utilização. A responsa-bilidade pela guarda se evidencia pela existência de recibos, inventáriosou outros registros, outorgando a guarda e registrando as transferênciasda mesma. A restrição de acesso aos recursos reduz o risco da utilizaçãonão autorizada ou de prejuízo, e ajuda a alcançar as diretrizes gerenciais.O grau de restrição depende da vulnerabilidade dos recursos e do riscoque se percebe de prejuízo ou uso incorreto, que devem ser periodica-mente avaliados. Quando se determina a vulnerabilidade de um bem,devem ser considerados o seu custo, portabilidade e possibilidade depermuta.

4. Verificações

As transações e os eventos significativos devem ser verificados antes edepois de ocorrerem, por exemplo: quando os produtos são entregues,o número de produtos entregues é conferido com o número de produ-tos solicitados. Depois, o número de produtos faturados é verificadocom o número de produtos recebidos. O inventário também é verifica-do quando se realizam os balanços no almoxarifado.

47

5. Conciliações

Os registros são conciliados com os documentos apropriados, de formaperiódica, por exemplo: os registros contábeis relacionados com as con-tas bancárias são conciliados com os extratos bancários correspondentes.

6. Avaliação de desempenho operacional

O desempenho operacional é analisado à luz das normas, de forma pe-riódica, mediante avaliação da eficácia e da eficiência. Se as avaliações dedesempenho indicam que os resultados obtidos não alcançam os objeti-vos ou os padrões estabelecidos, os processos e as atividades estabelecidaspara alcançar os objetivos devem ser objeto de revisão para determinarse são necessárias melhorias.

7. Avaliação das operações, processos e atividades

As operações, processos e atividades devem ser periodicamente avalia-dos, para assegurar que eles cumpram com os regulamentos, políticas,procedimentos em vigor ou outros requisitos. Esse tipo de revisão dasoperações existentes em uma organização deve ser claramente distintodo monitoramento do controle interno que será discutido, separadamente,na seção 2.5.

8. Supervisão (alocação, revisão e aprovação, orientação ecapacitação)

Uma supervisão competente ajuda a assegurar que os objetivos do con-trole interno sejam alcançados. A alocação, revisão e aprovação do traba-lho de um funcionário compreende:

• a comunicação clara das funções, responsabilidades e obrigação deprestar contas atribuídas a cada membro da equipe;

• a revisão sistemática, que se faça necessária, do trabalho de cada mem-bro;

• a aprovação do trabalho em seus momentos críticos, para assegurarque se desenvolve de acordo com o requerido.

A delegação de trabalho pelo supervisor não deve diminuir a responsa-bilidade por suas atribuições e funções. Os supervisores também forne-cem aos funcionários a orientação e capacitação necessárias para auxiliar

48

a assegurar que os erros, desperdícios e procedimentos incorretos sejamminimizados e que as diretrizes gerenciais sejam compreendidas e cum-pridas.

A relação mencionada não é exaustiva, mas enumera os procedimentosde controle preventivo e de detecção mais comuns. Os procedimentosde controle de 1 a 3 são preventivos, de 4 a 6 são de detecção, enquantoque 7 e 8 são tanto preventivos como de detecção. As entidades devemalcançar um equilíbrio adequado no uso dos procedimentos de controlede detecção e de prevenção; por esta razão, freqüentemente se utilizauma mescla desses controles para compensar as desvantagens particula-res de cada controle individualmente.

Uma vez que um procedimento de controle é implementado, é essencialque se obtenha segurança sobre a sua eficácia. Conseqüentemente, as açõescorretivas são um complemento necessário para os procedimentos decontrole. Além disso, deve ficar claro que os procedimentos de controleformam, apenas, um dos componentes do controle interno. Eles devemestar integrados aos outros quatro componentes (ambiente de controle;avaliação de risco; informação e comunicação; e monitoramento).

Exemplos

O leitor obterá nos anexos exemplos relacionados a cada um dos obje-tivos e dos componentes do controle interno.

2.3.1 Procedimentos de controle da tecnologia da informação

Os sistemas de informação envolvem procedimentos de controle espe-cíficos. Por esse motivo, os controles da tecnologia da informação (TI)consistem em dois grandes grupos:

(1) controles geraisControles gerais são a estrutura, as políticas e os procedimentos que seaplicam a todos ou a uma grande parcela dos sistemas de informaçãoda entidade e que ajudam a assegurar seu funcionamento correto. Elescriam o ambiente no qual operam os sistemas aplicativos e de contro-le.

49

As grandes categorias de controles gerais são: (1) programa institucionalde planejamento e gerenciamento de segurança; (2) controles de aces-so; (3) controles de desenvolvimento, manutenção e mudanças desoftwares aplicativos; (4) controles de sistema de software; (5) segregaçãode funções; e (6) continuidade no serviço.

2) controles de aplicativosOs controles de aplicativos são a estrutura, as políticas e os procedi-mentos utilizados, separadamente em sistemas aplicativos, e estão di-retamente relacionados às aplicações informatizadas individuais. Essescontroles são geralmente planejados para prevenir, detectar e corrigirerros e irregularidades enquanto a informação flui através dos siste-mas de informação.

Os controles gerais e de aplicação estão inter-relacionados e ambos sãonecessários para assegurar um processamento adequado e completo dainformação. Dado que a tecnologia da informação muda muito rapida-mente, os controles relacionados devem evoluir constantemente parapermanecerem eficazes.

Na medida em que a tecnologia da informação tem avançado, as organi-zações têm se tornado cada vez mais dependentes dos sistemas de infor-mação computadorizados para realizar suas operações e para processar,manter e comunicar informações essenciais. Como resultado, aconfiabilidade e segurança dos dados, assim como dos sistemas que pro-cessam, mantêm e comunicam essa informação, são uma preocupaçãomuito importante, tanto da gerência quanto dos auditores das organiza-ções. Embora os sistemas informatizados envolvam tipos específicos deprocedimentos de controle, a tecnologia da informação não é um temade controle autônomo e independente. É parte integrante da maioria dosprocedimentos de controle.

A utilização de sistemas automatizados para processar a informação in-troduz inúmeros riscos que necessitam ser considerados pela organiza-ção. Esses riscos, entre outros, vão desde a uniformização doprocessamento das transações; sistemas de informação que iniciem astransações automaticamente; incremento potencial de erros não detecta-dos; existência, integridade e quantidade de trilhas de auditoria; a naturezado hardware e software utilizados; e o registro de transações não usuais ounão rotineiras. Por exemplo, um risco inerente à uniformização doprocessamento de transações é que qualquer erro decorrente da progra-

50

mação do sistema ocorrerá regularmente em transações similares. Oscontroles eficazes da tecnologia da informação podem oferecer segu-rança razoável, à gerência, de que a informação processada pelo sistemacumpre com os objetivos de controle desejados, tais como assegurar quea informação seja completa, oportuna, válida e que a sua integridadeesteja preservada.

Os controles da tecnologia da informação consistem em dois grandesgrupos: controles gerais e controles de aplicativos.

Controles gerais

Os controles gerais são constituídos pela estrutura, políticas e procedi-mentos aplicáveis a todos ou a uma grande parte dos sistemas de infor-mação de uma entidade - tais como computador central/servidor (main-frame), microcomputador, rede, terminal de usuário final – e ajudam aassegurar a sua correta operação. Eles constituem o ambiente no qualoperam os sistemas de controle e de aplicação.

As categorias mais importantes dos controles gerais são:

(1) o programa institucional de planejamento e gerenciamento de segurança ofereceuma sistemática de trabalho e um ciclo contínuo de procedimentospara gerenciamento de risco, desenvolvimento de políticas de segu-rança, atribuição de responsabilidades e monitoramento da adequa-ção dos controles institucionais computadorizados;

(2) os controles de acesso limitam ou detectam o acesso aos recursoscomputadorizados (dados, programas, equipamentos e instalações),protegendo, assim, esses recursos contra mudanças não autorizadas,perda e exposição não desejada. Controles de acesso incluem contro-les físicos e lógicos;

(3) os controles de desenvolvimento, manutenção e mudança de softwares aplicativosprevinem a utilização de programas não autorizados e/ou modifica-ções nos programas existentes;

(4) os controles de sistema de software limitam e monitoram o acesso a progra-mas potentes e a arquivos sensíveis que controlam o hardware doscomputadores e as aplicações de segurança apoiados pelo sistema;

51

(5) a segregação de funções implica que as políticas, procedimentos e a estru-tura organizacional estão estabelecidos para prevenir que uma pessoacontrole todos os aspectos importantes relacionados às operaçõesinformatizadas e possa, desse modo, realizar ações não autorizadasou obter acesso não autorizado aos bens ou aos registros;

(6) a continuidade no serviço ajuda a assegurar que, quando ocorrem eventosinesperados, as operações essenciais continuem sem interrupção ousejam prontamente retomadas e a informação essencial e sensível sejaprotegida.

Controles de aplicativos

Os controles de aplicativos são a estrutura, políticas e procedimentosutilizados especificamente em sistemas aplicativos individuais - tais comocontas a pagar, inventários, folhas de pagamento, concessões ou emprés-timos - e são planejados para cobrir o processamento de dados dentrode aplicações de software específicas.

Esses controles são geralmente planejados para prevenir, detectar e cor-rigir erros e irregularidades, enquanto a informação flui através dos siste-mas de informação.

Os controles de aplicativos e a maneira através da qual a informação fluiatravés dos sistemas de informação podem ser classificados em três fa-ses do ciclo do processo:

• entradas: os dados são aprovados, convertidos a uma formaautomatizada e introduzidos na aplicação de maneira precisa, comple-ta e tempestiva;

• processamento: os dados são corretamente processados pelo compu-tador e os arquivos são atualizados corretamente; e

• saídas: os arquivos e relatórios gerados pela aplicação refletem fidedig-namente os resultados do processamento das transações ou eventosque realmente ocorreram, e os relatórios são controlados e distribuí-dos aos usuários autorizados.

Os controles de aplicativos também podem ser classificados segundo osobjetivos de controle aos quais eles estão relacionados, incluindo se astransações e a informação são autorizadas, completas, precisas, válidas etempestivas. Os controles de autorização relacionam-se à validade das

52

transações e ajudam a assegurar que as transações representam eventosque tenham efetivamente ocorrido em um determinado período. Oscontroles de integralidade estão relacionados ao registro e classificaçãoadequada de todas as transações válidas. Os controles de precisão sereportam ao registro correto das transações e à exatidão dos dados. Oscontroles sobre a integridade do processamento e dos registros de da-dos, quando são deficientes, podem anular cada um dos procedimentosde controle mencionados anteriormente e permitir a ocorrência de tran-sações não autorizadas, além de contribuir para que os dados sejam in-completos e imprecisos.

Os controles de aplicativos incluem procedimentos de controle progra-mados, tais como emissões automáticas e acompanhamento manual dasinformações geradas pelo computador, tais como análises de relatóriosque identifiquem itens rejeitados ou não usuais.

Os controles gerais e de aplicação sobre os sistemas de computa-ção estão inter-relacionados

A eficácia dos controles gerais é um fator significativo para determinar aeficácia dos controles de aplicação. Se os controles gerais são deficientes,eles diminuem acentuadamente a confiabilidade dos controles associa-dos às aplicações individuais. Sem controles gerais eficazes, os controlesde aplicação podem se tornar ineficazes, seja por anulação, engano oumodificação. Por exemplo, os cartões de ponto planejados para evitarque os funcionários registrem horas de trabalho em excesso na folha depagamento podem ser um controle eficaz. De qualquer modo, esse con-trole pode não ser confiável se os controles gerais permitirem que sejamfeitas modificações não autorizadas no programa, que permitiriam exce-ções no modo de registro de ponto.

Enquanto os objetivos básicos de controle não mudam, as mudançasrápidas na tecnologia da informação requerem que os controles evoluampara continuarem sendo eficazes. Mudanças tais como a crescenteconfiabilidade nas redes, computadores mais potentes que colocam aresponsabilidade do processamento dos dados nas mãos do usuário,comércio eletrônico e a Internet afetarão a natureza e a implementaçãode procedimentos específicos de controle.

53

Mais informação sobre os procedimentos de controle da tecnologia dainformação pode ser encontrada na Information Systems Audit and ControlAssociation (ISACA)15, especialmente no marco de referência ISACA ControlObjectives for Information and Related Technology (COBIT)16 e nos anais dasreuniões do IT – audit committee (Comitê para Auditoria de Sistemas deInformação) da INTOSAI.

Exemplos

O leitor obterá nos anexos os exemplos relacionados a cada um dosobjetivos e dos componentes do controle interno.

15 (N. do T.) Associação para o controle e auditoria de sistemas informatizados.16 (N. do T.) Objetivos de controle para a informação e tecnologias conexas da ISACA.

54

accountabilit

y

conformidade

opera

ções


salvag

uarda

de recu

rsos




monitoramento

orga

niza

ção

entid

ade.

..de

parta

men

to

2.4 Informação e comunicação

A informação e a comunicação são essenciais para a concretização detodos os objetivos do controle interno.

Informação

Uma condição prévia para a informação confiável e relevante sobre astransações e eventos é o registro imediato e sua classificação adequada. Ainformação relevante deve ser identificada, armazenada e comunicadade uma forma e em determinado prazo, que permita que os funcionári-os realizem o controle interno e suas outras responsabilidades (comuni-cação tempestiva às pessoas adequadas). Por esse motivo, o sistema decontrole interno propriamente dito e todas as transações e eventos signi-ficativos devem ser completamente documentados.

Os sistemas de informação produzem relatórios que contêm informa-ção operacional, financeira, não-financeira e informação relacionada coma conformidade, e que tornam possível que as operações sejam realiza-das e controladas. Esses sistemas lidam não apenas com dados produzi-dos internamente, mas, também, com informação sobre eventos, ativi-dades e condições externas necessárias para a tomada de decisões e aemissão de relatórios.

A habilidade da administração de tomar decisões apropriadas é afetadapela qualidade da informação, o que implica que essa deva ser apropria-da, tempestiva, atual, precisa e acessível.

55

A informação e a comunicação são essenciais para a realização de todosos objetivos de controle interno. Por exemplo, um dos objetivos de con-trole interno é cumprir com as obrigações de prestar contas (accountability).Isso pode ser alcançado através do desenvolvimento e da manutençãode informação financeira e não-financeira confiável e relevante, transmi-tidas através de relatórios imparciais e oportunos. O acesso à informaçãoe a comunicação relacionadas à atuação da organização criará a possibi-lidade de se avaliar a regularidade, ética, economia, eficiência e eficáciadas operações. Em muitos casos, determinada informação deve serfornecida ou comunicada, de modo a cumprir com as leis e regulamen-tos.

A informação é necessária em todos os níveis da organização, para quese obtenha um controle interno eficaz e para que se alcancem os objeti-vos da entidade. Por esse motivo, um conjunto de informações pertinen-tes, confiáveis e relevantes deve ser identificado, armazenado e comuni-cado na forma e no prazo que permita que as pessoas realizem o contro-le interno e suas outras responsabilidades. Uma condição prévia para seter uma informação confiável e relevante é o seu registro imediato e aclassificação adequada das transações e eventos.

As transações e eventos devem ser registrados imediatamente quando dasua ocorrência, caso a informação seja relevante e valiosa para a adminis-tração e controle das operações, bem como para a tomada de decisões.Isso se aplica ao processo completo ou ao ciclo de vida de uma transa-ção ou evento, incluindo o começo e a autorização, todas as fases doprocesso e sua classificação final através de registros resumidos. Essecuidado também se aplica à atualização permanente de toda documenta-ção considerada relevante.

A correta classificação das transações e eventos é também necessária paraassegurar que a informação confiável esteja acessível à administração. Issosignifica organizar, classificar e formatar a informação a partir da qualsão elaborados relatórios, planos de trabalho e demonstrações financerias.

Os sistemas de informação geram relatórios que contêm informaçãooperacional, financeira e não-financeira, informação relacionada com aconformidade, e que tornam possível que se execute e controle umaoperação. Os sistemas lidam não apenas com dados qualitativos e quan-titativos gerados internamente, mas, também, com informação sobreeventos, atividades e condições externas necessárias para a tomada dedecisões e para emissão de relatório.

56

A habilidade da administração para tomar decisões apropriadas é afeta-da pela qualidade da informação, o que implica que ela seja:

• apropriada (a informação necessária existe?);• oportuna (ela está disponível quando se necessita?);• atualizada (é a última versão disponível?);• precisa (é correta?);• acessível (pode ser obtida facilmente pelos interessados?).

Para ajudar a assegurar a qualidade da informação e da prestação decontas, realizar os procedimentos de controle interno e as suas atribui-ções, fazer com que o acompanhamento seja mais eficaz e eficiente, osistema de controle interno, propriamente dito, e todas as transações eeventos significativos devem ser completos e claramente documentados(exemplo: fluxogramas e relatórios narrativos). Essa documentação deveestar pronta e disponível para ser examinada.

A documentação do sistema de controle interno deve incluir a identifica-ção da estrutura de uma organização, suas políticas, suas categoriasoperacionais e respectivos objetivos, além de seus procedimentos decontrole. Uma organização deve possuir registro escrito dos componen-tes do seu processo de controle interno, incluindo seus objetivos e proce-dimentos de controle.

A extensão da documentação do controle interno de uma entidade variade acordo com o tamanho da entidade, sua complexidade e fatores si-milares.

Comunicação

A comunicação eficaz deve fluir para baixo, para cima e através da orga-nização, por todos seus componentes e pela estrutura inteira.

Todo corpo funcional deve receber uma mensagem clara da alta admi-nistração, sobre a seriedade da responsabilidade do controle. É necessá-rio não apenas que eles entendam seu próprio papel no sistema de con-trole interno, mas também a maneira através da qual suas atividades indi-viduais se relacionam com o trabalho dos demais.

Também é necessário que haja comunicação eficaz com os entes exter-nos.

57

A informação é a base da comunicação, a qual deve atender às expecta-tivas de grupos e indivíduos, permitindo-lhes executar suas responsabili-dades de forma eficaz. A comunicação eficaz deve ocorrer em todas asdireções, fluir para baixo, para cima e através da organização, por todosseus componentes e pela estrutura inteira.

Um dos canais mais críticos de comunicação é aquele entre a administra-ção e o corpo técnico. A administração deve se manter bem informadasobre o desempenho, o desenvolvimento, os riscos e o funcionamentodo controle interno, além de outros temas e eventos relevantes. Do mes-mo modo, a administração deve manter seu corpo técnico bem infor-mado, fornecer feedback e orientações, quando necessárias. A administra-ção deve também fornecer toda comunicação específica e objetiva, rela-cionada às expectativas de conduta. Isso inclui orientações claras da filo-sofia e enfoque do controle interno da entidade e delegação de compe-tência.

A comunicação deve aumentar a consciência sobre a importância e arelevância de um controle interno eficaz, comunicar a tolerância e a mar-gem de risco da entidade e fazer com que os funcionários estejam cons-cientes de seu papel e de suas responsabilidades ao executar e apoiar oscomponentes do controle interno.

Além das comunicações internas, a administração deve assegurar queexistam meios adequados de se comunicar e de obter informações deentes externos, uma vez que as comunicações externas podem fornecerinsumos que tenham impacto significativo na extensão em que a organi-zação alcança seus objetivos.

Baseando-se nos insumos provenientes das comunicações internas e ex-ternas, a administração deve adotar as medidas necessárias e implementarações de monitoramento.

Exemplos


58

2.5 Monitoramento

Os sistemas de controle interno devem ser monitorados para avaliar aqualidade de sua atuação ao longo do tempo. O monitoramento é obti-do através de atividades rotineiras, avaliações específicas ou a combina-ção de ambas.

(1) Monitoramento contínuoO monitoramento contínuo do controle interno é realizado nas ope-rações normais e de natureza contínua da entidade. Ele inclui a admi-nistração e as atividades de supervisão e outras ações que o corpotécnico executa ao cumprir com suas obrigações.

As atividades de monitoramento contínuo abrangem cada um doscomponentes do controle interno e envolvem ações contra os siste-mas de controle interno irregulares, antiéticos, antieconômicos,ineficientes e ineficazes.

(2) Avaliações específicasA abrangência e a freqüência das avaliações específicas dependerão,em primeiro lugar, da avaliação de risco e da eficácia dos procedi-mentos permanentes de monitoramento.

As avaliações específicas abrangem a avaliação da eficácia do sistemade controle interno e asseguram que o controle interno alcance osresultados desejados, baseando-se em métodos e procedimentospredefinidos. As deficiências de controle interno devem ser relatadasao nível adequado da administração.

accountab

ility

conform

idade

opera

ções


salvag

uarda

de recu

rsos




monitoramento

orga

niza

ção

entid

ade.

..de

parta

men

to

59

O monitoramento deve assegurar que os achados de auditoria e as reco-mendações sejam adequada e oportunamente resolvidos.

O monitoramento do controle interno busca assegurar que os controlesfuncionem como o previsto e que sejam modificados apropriadamente,conforme mudanças nas condições. O monitoramento deve tambémavaliar se, no cumprimento da missão da entidade, os objetivos geraispropostos na definição de controle interno estão sendo alcançados. Issoé obtido através das atividades de monitoramento contínuo, avaliaçõesespecíficas, ou uma combinação de ambas, de modo a poder ajudar aassegurar que o controle interno continue sendo aplicável a todos osníveis e através de toda a entidade, e que o controle interno alcance osresultados desejados. O monitoramento dos procedimentos de controleinterno, propriamente ditos, deve distinguir-se claramente da avaliaçãodas operações da organização, que é um procedimento de controle inter-no como se descreveu na seção 2.3.

O monitomento contínuo do controle interno ocorre no curso normaldas operações rotineiras de uma organização. É executado continuamen-te e em tempo real, reage dinamicamente às mudanças nas condições e éparte integrante da engrenagem das operações de uma entidade. Comoresultado, é mais eficaz que as avaliações específicas e suas ações correti-vas são potencialmente menos onerosas. Dado que as avaliações especí-ficas ocorrem após os fatos ou acontecimentos, os problemas poderãoser mais rápida e facilmente identificados através das rotinas demonitoramento contínuo.

O escopo e a freqüência das avaliações específicas devem depender, emprimeiro lugar, da avaliação do risco e da eficácia dos procedimentos demonitoramento contínuo. Ao definir esse procedimento, a organizaçãodeve considerar a natureza e o grau das mudanças, tanto a partir dosfatos internos quanto a partir dos fatos externos e de seus respectivosriscos; a competência e a experiência do pessoal que implementa as me-didas de resposta aos riscos e os respectivos controles; e os resultados domonitoramento contínuo. As avaliações específicas do controle tambémpodem ser úteis por focar diretamente na eficácia dos controles em umdeterminado período. As avaliações específicas podem assumir a formade uma autoavaliação, tanto quanto de uma avaliação da concepção docontrole ou checagem direta dos controles internos. As avaliações especí-ficas podem também ser executadas pelas instituições fiscalizadoras su-periores ou por auditores externos ou internos.

60

Normalmente, uma combinação de monitoramento permanente e deavaliações específicas ajudará a assegurar que o controle interno mante-nha sua eficácia através do tempo.

Todas as deficiências encontradas durante o monitoramento contínuo ouatravés de avaliações específicas devem ser comunicadas às pessoas quepodem adotar as medidas necessárias. A expressão "deficiência" refere-se à condição que afeta a capacidade da entidade para alcançar seus ob-jetivos gerais. Uma deficiência, portanto, pode representar um defeitopercebido, potencial ou real, ou uma oportunidade para fortalecer o con-trole interno com o propósito de aumentar as probabilidades de alcancedos objetivos gerais da entidade.

Fornecer a informação necessária sobre as deficiências do controle inter-no à parte responsável é difícil. Por isso, devem ser estabelecidos proto-colos para identificar qual informação se faz necessária em um nível par-ticular para a tomada de decisões efetivas. Tais protocolos refletem aregra geral de que uma gerência deve receber a informação que afete asações ou as condutas do corpo técnico sob sua responsabilidade, damesma forma que deve receber a informação necessária para alcançarobjetivos específicos.

A informação gerada no curso das operações é usualmente comunicadaatravés de canais normais, para o indivíduo responsável pelo funciona-mento, como também, para um nível de gerência superior ao desse indi-víduo. No entanto, os canais alternativos de comunicação devem existirpara transmitir informação delicada, tais como atos ilegais ou incorretos.

O monitoramento do controle interno deve incluir políticas e procedi-mentos que busquem assegurar que os achados de auditoria e outrasavaliações sejam adequados e prontamente resolvidos. Os gerentes de-vem: (1) analisar oportunamente os achados de auditoria e outras avalia-ções, incluindo aquelas que evidenciam deficiências e recomendações apon-tadas pelos auditores e outros avaliadores das operações dos departa-mentos; (2) determinar as ações corretivas em resposta aos achados erecomendações das auditorias e avaliações; e (3) completar, dentro dosparâmetros estabelecidos, todas as ações que corrijam ou resolvam osproblemas trazidos ao seu conhecimento.

61

O processo de resolução começa quando os resultados da auditoria oude outra avaliação são comunicados à gerência e somente termina quan-do se adota uma ação que: (1) corrija as deficiências identificadas; (2)produza melhorias; ou (3) demonstre que os achados e as recomenda-ções não comprometem a ação gerencial.

Exemplos


63

3 Funções e Responsabilidades

Todos em uma organização têm alguma responsabilidade pelo controleinterno:

Entes externos também exercem um papel importante no processo decontrole interno. Eles podem contribuir para que a organização alcanceseus objetivos, ou podem fornecer informação útil para promover ocontrole interno. No entanto, não são os responsáveis pelo planejamento,implementação, funcionamento adequado, manutenção ou documenta-ção do sistema de controle interno das organizações.

Executivos: são os responsáveis diretos por todas as atividades deuma organização, incluindo o planejamento, a imple-mentação, a supervisão do funcionamento adequado, amanutenção e a documentação do sistema de controleinterno. Suas responsabilidades variam de acordo coma sua função na organização e as características daorganização.

Auditoresinternos:

examinam e contribuem para a contínua eficácia dosistema de controle interno através de suas avaliações erecomendações e, portanto, desempenham um papelimportante em um sistema de controle interno eficaz.No entanto, eles não têm a responsabilidade gerencialprimeira sobre o planejamento, implementação, ma-nutenção e documentação do controle interno.

Demaisfuncionários:

também contribui para o controle interno. O controleinterno é uma parte implícita ou explícita das funçõesde cada um. Todos os membros da equipe exercemum papel na execução do controle e devem ser res-ponsáveis por relatar problemas operacionais, de des-cumprimento do código de conduta ou de violações dapolítica.

64

O controle interno é primeiramente efetuado pelos stakeholders internosda entidade, incluindo o corpo gerencial, os auditores internos e demaisfuncionários. Contudo, as ações de stakeholders externos também impactamo sistema de controle interno.

Executivos

Todo o corpo de funcionários de uma organização desempenha papelimportante na realização do trabalho de controle interno. Entretanto, adireção tem a responsabilidade global do planejamento, implementação,supervisão do funcionamento adequado, manutenção e documentaçãodo sistema de controle interno. A estrutura da direção da organizaçãopode incluir diretorias e comitês de auditoria, os quais possuem compo-sições e missões diferentes e estão sujeitos a diferentes legislações emcada país.

EntidadesFiscalizadorasSuperiores (EFSs):

fortalecem e apóiam a implantação do controleinterno eficaz na administração pública. A avalia-ção do controle interno é essencial para as audi-torias de conformidade, contábeis e operacionaisdas EFSs. Elas transmitem seus achados e reco-mendações aos stakeholders interessados.

Auditoresexternos:

auditam determinadas organizações governa-mentais em alguns países. Eles e sua equipe deprofissionais devem fornecer orientações e re-comendações sobre o controle interno.

Legisladores ereguladores:

estabelecem regras e diretrizes relacionadas como controle interno. Eles devem contribuir para oentendimento comum do controle interno.

Outros parceiros: interagem com a organização (beneficiários,fornecedores, entre outros) e fornecem informa-ção relacionada com o alcance dos objetivos.

65

Auditores internos

A administração muitas vezes estabelece uma unidade de auditoria inter-na como parte do sistema de controle interno e a utiliza para auxiliar amonitorar a eficácia desse sistema. Os auditores internos fornecem regu-larmente informação sobre o funcionamento do controle interno, con-centrando atenção especial na avaliação do planejamento eoperacionalização do controle interno. Eles transmitem informações so-bre os pontos fortes e pontos fracos, além de recomendações para oaperfeiçoamento do controle interno. Todavia, sua independência17 e ob-jetividade devem ser asseguradas.

Portanto, a auditoria interna deve ser uma atividade independente, desegurança objetiva e de caráter consultivo, que agregue valor e melhore ofuncionamento da organização. Isso ajuda uma organização a cumprirseus objetivos mediante um enfoque sistemático e disciplinado para ava-liar e melhorar a eficácia do processo de gestão de risco, de controle e degovernança.

Ainda que os auditores internos possam ser uma fonte valiosa decapacitação e orientação sobre o controle interno, os mesmos não de-vem substituir um sólido sistema de controle interno.

Para que a função de auditoria interna seja eficaz, é essencial que o pessoalda auditoria interna seja independente da direção18, trabalhe de modoimparcial, correto e honesto, e que se reporte diretamente ao mais altonível de autoridade dentro da organização. Isso permite que os auditoresinternos apresentem opiniões imparciais em suas avaliações sobre o con-trole interno e apresentem propostas objetivas que busquem corrigir osobstáculos apontados. Como diretrizes profissionais, os auditores inter-nos podem utilizar o Guia de Práticas Profissionais19 (PPF) do Institutode Auditores Internos (IIA), que compreende a Definição, o CódigoÉtico, as Normas e as Orientações Práticas. Adicionalmente, os auditoresdevem seguir o Código de Ética da INTOSAI20.

17 (N. do T.) Independência dos auditores internos em relação às áreas auditadas.18 (N. do T.) Independência do pessoal da auditoria interna em relação à direção das áreas auditadas.19 (N. do T.) Professional Practices Framework - Institute of Internal Auditors.20 (N. do T.) Traduzido para o português pelo Tribunal de Contas do Estado da Bahia por ocasião das comemorações

do seu 90º aniversário. O Código traduzido pode ser encontrado em www.tce.ba.gov.br.

66

Além de cumprir o papel de monitoramento de controle interno, a ma-nutenção de pessoal técnico qualificado na auditoria interna pode contri-buir para a eficiência dos esforços da auditoria externa, dando assistênciadireta ao auditor externo. A natureza, o escopo ou os prazos dos proce-dimentos do auditor externo podem ser modificados se o auditor exter-no pode contar com o trabalho do auditor interno.

Demais funcionários

Os membros da equipe e todo o corpo funcional também realizam ocontrole interno. Com freqüência, são os indivíduos da linha de frenteque aplicam, revisam e corrigem os controles mal aplicados, assim comoidentificam problemas que podem ser melhor direcionados através doscontroles na condução do trabalho diário.

Entes externos

O segundo grupo mais importante de interessados no controle internosão os agentes externos, tais como auditores externos (incluindo as EFSs),legisladores, reguladores e outros entes. Eles podem contribuir para aconsecução dos objetivos da entidade ou podem fornecer informaçãoútil para a execução do controle interno. No entanto, não são os respon-sáveis pelo planejamento, implementação, funcionamento adequado,manutenção ou documentação do sistema de controle interno da organi-zação.

EFSs e auditores externos

As obrigações dos entes externos, em particular dos auditores externos edas EFSs, incluem a avaliação do funcionamento do sistema de controleinterno e a comunicação à gerência sobre seus achados. Entretanto, aconsideração dos entes externos sobre o sistema de controle interno éestabelecida em sua competência.

A avaliação do auditor sobre o controle interno envolve:

• determinar a importância e o grau de sensibilidade ao risco ao qual oscontroles estão sendo dirigidos;

• avaliar a suscetibilidade do mal uso de recursos, as deficiências no al-cance dos objetivos relacionados à ética, economia, eficiência e eficáciaou falhas na prestação de contas (accountability) e o descumprimento deleis e regulamentos;

67

• identificar e compreender os controles relevantes;• determinar o que já se conhece sobre a eficácia do controle;• avaliar a adequação do planejamento do controle;• determinar, através de provas, se os controles são eficazes;• relatar sobre as avaliações do controle interno e discutir as ações corre-

tivas necessárias.

As EFSs também têm interesse em assegurar que existam sólidas unida-des de auditoria interna onde seja necessário. Essas unidades de auditoriase constituem em um elemento importante de controle interno ao forne-cer métodos contínuos para o aprimoramento das operações de umaorganização. Em alguns países, no entanto, as unidades de auditoria inter-na podem não ter independência, ser deficientes, ou não existir. Nessescasos, a EFS deve, sempre que possível, oferecer assistência e orientaçãopara estabelecer e desenvolver essas capacidades e para assegurar a inde-pendência das atividades do auditor interno. Essa assistência pode incluirassessoramento ou empréstimo de pessoal, realização de conferências,compartilhamento de material de capacitação e desenvolvimento demetodologias e programas de trabalho. Isso deve ser feito sem ameaçara independência da EFS ou do auditor externo.

A EFS também necessita desenvolver uma boa relação de trabalho comas unidades de auditoria interna, para que a experiência e o conhecimentopossam ser compartilhados e o trabalho mútuo possa ser suplementadoe complementado. Incluir as observações da auditoria interna e reconhe-cer suas contribuições nos relatórios de auditoria externa, quando for ocaso, podem também fortalecer essa relação. A EFS também deve de-senvolver procedimentos de avaliação do trabalho da unidade de audi-toria interna, para determinar em que extensão essa pode ser confiável.Uma sólida unidade de auditoria interna pode reduzir o trabalho de au-ditoria da EFS e evitar uma desnecessária duplicidade de trabalho. AEFS deve assegurar seu acesso aos relatórios da auditoria interna, aosrespectivos papéis de trabalho e às informações de decisões da auditoria.

As EFSs devem também exercer um papel de liderança sobre o restantedo setor público, mediante o estabelecimento de seus próprios parâmetrospara o controle interno da organização, de uma forma coerente e conso-ante com os princípios expostos nestas diretrizes.

68

Não apenas as EFSs, mas também os auditores externos possuem umpapel relevante na contribuição para o alcance dos objetivos de controleinterno, em particular "no cumprimento de suas obrigações de prestarcontas" e "na salvaguarda de recursos". Isso porque a auditoria externadas informações e dos demonstrativos financeiros é parte integrante daaccountability e da boa administração. As auditorias externas ainda são omecanismo essencial, através do qual os entes externos avaliam o desem-penho em confronto com a informação não-financeira.

Legisladores e reguladores

A legislação pode fornecer um entendimento comum sobre a definiçãode controle interno e os objetivos a serem alcançados. Também podeprescrever as políticas que os interessados internos e externos devamseguir ao desempenhar seus respectivos papéis e responsabilidades paracom o controle interno.

69

Anexo 1: Exemplos

71

Cum

prim

ento

das

obr

igaç

ões

de a

ccou

ntab

ility

. Exe

mpl

o (1

): U

m d

epar

tam

ento

res

pons

ável

pel

a ad

min

istra

ção

dotr

ansp

orte

seg

uro

por

rio e

mar

foi

org

aniz

ado

pelo

s di

fere

ntes

dep

arta

men

tos

de s

ervi

ço r

espo

nsáv

eis

pela

pilo

tage

m,

baliz

amen

to, i

nspe

ção

da q

ualid

ade

da á

gua,

prom

oção

de

utili

zaçã

o de

mei

os d

e tra

nspo

rte

hidr

oviá

rios,

inve

stim

ento

em

anut

ençã

o da

infr

aest

rutu

ra (p

onte

s, di

ques

, can

ais e

eclu

sas)

.

Ambi

ente

de

cont

role

Aval

iaçã

o de

risc

oPr

oced

imen

tos d

eco

ntro

leIn

form

ação

eco

mun

icaç

ãoM

onito

ram

ento

Para

cad

a um

dos

depa

rtam

ento

s de

serv

iço é

des

igna

do u

mge

rent

e op

erac

iona

l que

deve

se re

porta

r ao

gere

nte

gera

l do

depa

rtam

ento

. Os

gere

ntes

ope

racio

nais

deve

m te

r as

habi

lidad

es n

eces

sária

se

a au

torid

ade

para

tom

ar d

eter

min

adas

decis

ões.

Todo

s ele

sta

mbé

m fi

rmam

com

prom

isso

com

um

códi

go d

e co

ndut

aad

equa

da.

Os p

ossív

eis ri

scos

são

choq

ue d

e ba

rcos

,de

rram

amen

to d

em

atér

ia tó

xica

ou

com

bust

ível

e e

xplo

são

de d

ique

s. Se

os

prob

lem

as e

stiv

erem

relac

iona

dos c

omne

glig

ência

por

par

te d

ode

parta

men

to d

ego

vern

o, e

ste

pode

ráso

frer

um

a se

vera

sanç

ão.

Os p

roce

dim

ento

s de

cont

role

que

pode

m se

rad

otad

os sã

o a

pilo

tage

m d

e ba

rcos

por c

oman

dant

esco

mpe

tent

es; c

oloc

ação

de b

óias

, far

óis e

sinali

zado

res;

insp

eção

visu

al aé

rea;

e co

leta

de

amos

tras d

e ág

ua.

A in

form

ação

eco

mun

icaçã

ore

lacio

nada

s com

est

asit

uaçã

o po

dem

ser o

relat

o de

col

isões

par

apr

even

ir ou

tros b

arco

s,in

form

ar a

os b

arco

sso

bre

as c

ondi

ções

clim

ática

s, pu

blica

r os

nom

es d

as su

bstâ

ncias

polu

ente

s, as

sanç

ões

que

os re

spon

sáve

ispo

dem

enf

rent

ar e

as

açõe

s cor

retiv

asad

otad

as.

Um

mon

itora

men

to d

onú

mer

o de

col

isões

,ag

ress

ões a

o m

eioam

bien

te, r

esul

tado

sda

s am

ostra

s e u

ma

com

para

ção

com

outro

s país

es e

com

dado

s hist

órico

s pod

emaju

dar a

mon

itora

r aef

icácia

e a

efic

iênc

ia da

pilo

tage

m d

e ba

rcos

, da

colo

caçã

o de

faró

is,bó

ias e

sina

lizad

ores

,da

s ins

peçõ

es e

das

amos

tras d

e ág

ua.

72

Cum

prim

ento

das

obr

igaç

ões d

e ac

coun

tabi

lity.

Exe

mpl

o (2

): O

ger

ente

do

depa

rtam

ento

de

espo

rtes

est

ipul

ou, n

o an

opa

ssad

o, o

obj

etiv

o se

gund

o o

qual

a pr

átic

a de

esp

orte

s aum

enta

ria e

m 1

5% n

os a

nos s

egui

ntes

.

Ambi

ente

de

cont

role

Aval

iaçã

o de

risc

oPr

oced

imen

tos d

eco

ntro

leIn

form

ação

eco

mun

icaç

ãoM

onito

ram

ento

Em

funç

ão d

a bo

are

puta

ção

do g

eren

te,

o co

mitê

exe

cutiv

oco

nfio

u ne

le e

não

reali

zou

as r

euni

ões

de m

onito

ram

ento

para

ava

liar o

prog

ress

o do

seu

traba

lho.

(A si

tuaç

ãom

encio

nada

acim

anã

o é

um e

xem

plo

debo

as p

rátic

as)

Ao

não

espe

cific

ar o

s obj

etiv

os,

surg

e o

risco

dele

s não

sere

malc

ança

dos.

Tam

bém

exi

ste

perig

ode

que

os r

elató

rios n

ão se

jamfe

itos a

tem

po, p

or q

ue o

ger

ente

quer

esp

erar

par

a em

itir o

relat

ório

quan

do p

uder

afir

mar

que

cum

priu

o ob

jetiv

o de

15%

de

cres

cim

ento

.A

lém

diss

o, n

ão fo

ram

espe

cifica

dos o

s ind

icado

res d

eav

aliaç

ão d

o cr

esci

men

to d

e 15

% e

,de

sse

mod

o, o

ger

ente

pod

eaf

irmar

que

o n

úmer

o de

pes

soas

que

prat

icam

esp

orte

aum

ento

u ou

que

o nú

mer

o de

hor

as d

e pr

átic

ases

porti

vas a

umen

tou,

ou

até

que

onú

mer

o de

cen

tros d

e es

porte

s ou

club

es a

umen

tou

em 1

5%.

Cons

eqüe

ntem

ente

, a q

ualid

ade

dain

form

ação

relat

ada

decr

esce

subs

tanc

ialm

ente

.

O ri

sco

pode

dim

inui

r def

inin

dodi

retri

zes a

prop

riada

spa

ra o

s rela

tório

s eum

mod

elo d

ere

latór

io q

ue d

efin

a a

info

rmaç

ão q

ue d

eve

ser t

rans

miti

da.

O re

latór

io d

eve

ser

envi

ado

tem

pest

ivam

ente

ede

acor

do c

om o

mod

elo

espe

cifica

do.

Dev

e es

pecif

icar o

sob

jetiv

os d

ocr

esci

men

to, o

sin

dica

dore

s ado

tado

se

just

ifica

r am

etod

olog

iaem

preg

ada.

Toda

ain

form

ação

de

supo

rte d

eve

esta

rac

essív

el.

A v

erifi

caçã

o da

adeq

uaçã

o ou

não

do

relat

ório

, de

quais

info

rmaç

ões s

ãofo

rnec

idas

ou

omiti

das p

odem

ser

uma

form

a de

mon

itora

men

to.

73

Exe

mpl

o do

cum

prim

ento

de

leis

e r

egul

amen

tos

aplic

ávei

s: o

Min

istér

io d

a D

efes

a qu

er c

ompr

ar n

ovos

avi

ões

deco

mba

te a

travé

s de

um c

ontra

to a

dmin

istra

tivo

e pu

blic

a to

das a

s con

diçõ

es e

pro

cedi

men

tos p

ara

essa

lici

taçã

o go

vern

amen

-ta

l. To

das a

s pro

post

as q

ue ch

egam

são

man

tidas

lacr

adas

até q

ue se

ence

rre o

pra

zo es

tabe

leci

do. Q

uand

o o

praz

o é e

ncer

rado

,to

das a

s pro

post

as sã

o ab

erta

s na

pres

ença

dos

ger

ente

s res

pons

ávei

s e d

e alg

uns f

unci

onár

ios.

Som

ente

ess

as p

ropo

stas

serã

oan

alisa

das

e co

mpa

rada

s pa

ra q

ue s

eja

deci

dida

qua

l den

tre e

las é

a m

ais a

dequ

ada.

Ambi

ente

de

cont

role

Aval

iaçã

o de

risc

oPr

oced

imen

tos

de c

ontro

leIn

form

ação

eco

mun

icaç

ãoM

onito

ram

ento

A e

quip

e qu

eex

ecut

ará

esta

trans

ação

é c

ompo

sta

por p

esso

asco

mpe

tent

es, q

ueas

sinam

um

docu

men

toas

segu

rand

o nã

opo

ssui

r rel

açõe

sfin

ance

iras o

u de

qualq

uer o

utra

natu

reza

, com

nenh

um d

os li

citan

tes.

Os g

eren

tes

resp

onsá

veis

e os

func

ioná

rios t

ambé

mas

sinam

o d

ocum

ento

.

Um

dos

risc

os re

lacio

nado

s com

as

licita

ções

gov

erna

men

tais

eco

ntra

tos a

dmin

istra

tivos

são

asre

laçõe

s int

erna

s. U

m d

os li

cita

ntes

pode

ter c

onhe

cimen

to p

révi

oso

bre

a of

erta

de

outro

s lic

itant

es e

pode

form

ular

um

a pr

opos

ta q

uere

sulte

ven

cedo

ra, u

tiliz

ando

ess

ain

form

ação

, mas

que

não

seja

am

elhor

opç

ão e

ntre

toda

s as

prop

osta

s. O

utro

risc

o co

nsist

e em

selec

iona

r a p

ropo

sta

erra

da, q

uepo

de re

sulta

r em

um

nov

o co

ntra

toad

min

istra

tivo,

por

que

o an

terio

rnã

o cu

mpr

iu c

om a

s exp

ecta

tivas

.A

lém

diss

o, o

utro

s lic

itant

es q

uete

nham

se se

ntid

o pr

ejudi

cado

spo

dem

ent

rar c

om re

curs

os.

Para

redu

zir o

sris

cos,

ospr

oced

imen

tos

deve

m se

rde

senv

olvi

dos e

aplic

ados

em

conc

ordâ

ncia

com

toda

s as l

eis

perti

nent

es e

regu

lamen

tos

conc

erne

ntes

aos

cont

rato

sad

min

istra

tivos

.

Os p

roce

dim

ento

sre

lacio

nado

s com

apu

blic

ação

das

cond

ições

par

a es

salic

itaçã

o pú

blic

a, a

avali

ação

das

pro

post

asre

cebi

das e

a d

ivul

gaçã

oda

pro

post

a se

lecio

nada

deve

m se

rdo

cum

enta

dos,

por

escr

ito, d

etalh

ando

toda

sas

med

idas

ado

tada

s. A

oav

aliar

as p

ropo

stas

,to

dos o

s mot

ivos

pel

osqu

ais u

ma

prop

osta

foi

ou n

ão e

scol

hida

dev

emse

r doc

umen

tado

s.

A a

udito

ria in

tern

a po

defa

zer e

xam

es d

ado

cum

enta

ção

eac

ompa

nham

ento

dos

recu

rsos

.

74

Ope

raçõ

es re

gula

res,

étic

as, e

conô

mic

as, e

ficie

ntes

e e

fetiv

as.

Exe

mpl

o (1

): O

dep

arta

men

to d

e cu

ltura

que

r au

men

tar

asvi

sitas

que

o p

úblic

o fa

z ao

mus

eu. P

ara

alcan

çar e

ssa

met

a, pr

opõe

con

stru

ir no

vos

mus

eus,

dar a

cad

a ci

dadã

o um

cheq

ue cu

ltura

le

dim

inui

r o

cust

o da

s en

trada

s. Pa

ra s

er e

conô

mic

a, ef

icie

nte

e ef

etiv

a, a

adm

inist

raçã

o de

ve c

onsid

erar

e a

valia

r se

os

obje

tivos

pode

m s

er a

lcan

çado

s da

for

ma

com

o fo

ram

con

cebi

dos

nas

prop

osta

s, e

quan

to c

ada

uma

dess

as p

ropo

stas

cus

tará

.

Ambi

ente

de

cont

role

Aval

iaçã

o de

risc

oPr

oced

imen

tos

de c

ontro

leIn

form

ação

eco

mun

icaç

ãoM

onito

ram

ento

O d

epar

tam

ento

de c

ultu

ra n

eces

sita

asse

gura

r-se

de q

uea

estru

tura

da

orga

niza

ção

éad

equa

da p

ara

apoi

ar e

supe

rvisi

onar

opl

aneja

men

to e

aco

nstru

ção

das

obra

s pro

post

as,

bem

com

o pa

ra o

plan

ejam

ento

efu

ncio

nam

ento

dos

novo

s mus

eus.

O fa

to d

e as

visi

tas a

o m

useu

não

aum

enta

rem

é u

m ri

sco

poss

ível.

Tam

bém

exi

ste

o ris

code

que

alg

umas

das

pro

post

asex

ceda

m se

u or

çam

ento

. Por

exem

plo,

se a

redu

ção

do p

reço

das e

ntra

das n

ão a

umen

tar o

núm

ero

de v

isita

s ao

mus

eu,

isso

redu

zirá

a r

ecei

tago

vern

amen

tal.

Além

diss

o,co

nstru

ir no

vos m

useu

s sem

opl

anej

amen

to n

eces

sário

e se

mle

var e

m c

onta

as

espe

cific

idad

es d

a ilu

min

ação

,te

mpe

ratu

ra e

segu

ranç

a po

dere

sulta

r em

aju

stes

mui

to c

aros

dura

nte

ou d

epoi

s da

cons

truçã

o.

Os p

roce

dim

ento

s de

cont

role

relac

iona

dos

aos r

iscos

men

ciona

dos

ante

riorm

ente

pod

emse

r um

con

trole

orça

men

tário

que

com

pare

o re

aliza

doco

m o

pre

vist

o,m

onito

ram

ento

do

prog

ress

o da

cons

truçã

o e

aso

licita

ção

deju

stifi

cativ

as p

ara

gast

os su

perio

res a

osdo

orç

amen

to.

A in

form

ação

eco

mun

icaçã

ore

lacio

nada

s a e

ste

exem

plo

pode

mco

nsist

ir na

docu

men

taçã

o da

sre

uniõ

es c

omar

quite

tos,

corp

o de

bom

beiro

s (pa

rano

rmas

de

segu

ranç

a),

artis

tas e

out

ros.

Pode

tam

bém

con

ter

dife

rent

es re

latór

ios

relac

iona

dos a

oac

ompa

nham

ento

do

orça

men

to e

àev

oluç

ão d

o tra

balh

ode

con

stru

ção.

A a

nális

e da

sju

stifi

cativ

as d

os g

asto

ssu

perio

res a

os o

rçad

ose

do v

alor d

e de

spes

asre

lacio

nada

s a a

traso

sno

s ser

viço

s ou

nos

paga

men

tos f

az p

arte

do m

onito

ram

ento

.

75

Ope

raçõ

es re

gula

res,

étic

as, e

conô

mic

as, e

ficie

ntes

e e

ficaz

es.

Exe

mpl

o (2

): O

gov

erno

que

r des

envo

lver

a a

gric

ultu

rae

mel

hora

r a q

ualid

ade

de v

ida

no c

ampo

. Ele

forn

ece

recu

rsos

par

a su

bsid

iar a

con

stru

ção

de p

oços

de

irrig

ação

e d

rena

gem

.

Ambi

ente

de

cont

role

Aval

iaçã

o de

risco

Proc

edim

ento

s de

cont

role

Info

rmaç

ão e

com

unic

ação

Mon

itora

men

to

O g

over

no d

eve

seas

segu

rar

de q

uedi

spõe

de

umde

parta

men

toap

ropr

iado

para

impl

emen

tar e

con

duzi

ra

oper

ação

de

conc

essã

o de

subs

ídio

ecr

iar o

s mec

anism

osap

ropr

iados

par

aco

nclu

ir o

proj

eto

nopr

azo

e de

man

eira

efici

ente

.

Os r

iscos

são

que

asso

ciaçõ

esin

escr

upul

osas

quali

fique

m-s

e pa

raob

ter o

em

prés

timo,

mas

não

util

izem

esse

recu

rso

para

oqu

e fo

i des

tinad

o.

Os p

roce

dim

ento

s de

cont

role

pode

m se

r:ve

rifica

r as q

ualif

icaçõ

es d

asas

socia

ções

que

sein

scre

vem

par

a re

cebe

r oem

prés

timo;

com

para

r, in

loco,

opr

ogre

sso

dos t

raba

lhos

de

cons

truçã

o e

os re

spec

tivos

relat

ório

s de

prog

ress

o;ve

rifica

r as d

espe

sas d

aas

socia

ção

atra

vés d

a an

álise

de su

as fa

tura

s, e

adiar

alib

eraç

ão d

o su

bsíd

io (o

upa

rte d

ele) a

té q

ue a

avali

ação

est

eja c

oncl

uída

.

Relat

ório

s de

prog

ress

o,de

talh

ando

os c

usto

se

o nú

mer

o de

poç

osqu

e fo

ram

dre

nado

s ea

área

que

foi i

rrig

ada

(núm

ero

de h

ecta

res)

.(C

ópia

de) f

atur

as sã

ore

quer

idas

par

aju

stifi

car a

s des

pesa

ssu

bsid

iadas

.

O m

onito

ram

ento

pod

eco

nsist

ir na

aná

lise

dadr

enag

em d

os p

oços

eda

con

stru

ção

dosis

tem

a de

irrig

ação

ena

com

para

ção

com

outro

s pro

jeto

ssim

ilare

s.O

mon

itora

men

to d

osre

sulta

dos o

btid

os n

aste

rras

irrig

adas

pod

e,ta

mbé

m, s

erco

nsid

erad

o.

76

Salv

agua

rda

de r

ecur

sos.

Exe

mpl

o (1

): O

Min

istér

io d

a D

efes

a te

m c

onst

ruíd

o de

pósit

os –

alm

oxar

ifado

s e

post

os d

eco

mbu

stív

el m

ilita

res.

O c

oman

do m

ilita

r tem

a p

olíti

ca d

e qu

e es

ses

supr

imen

tos

sejam

ape

nas

para

o u

so p

rofis

siona

l dos

mili

tare

s, e

não

para

seu

uso

pess

oal.

Ambi

ente

de

cont

role

Aval

iaçã

o de

risco

Proc

edim

ento

s de

cont

role

Info

rmaç

ão e

com

unic

ação

Mon

itora

men

to

Polít

icas a

dequ

adas

sobr

e o

capi

tal

hum

ano

seria

mef

etiv

as p

ara

recr

utar

em

ante

r o p

esso

alad

equa

do p

ara

dirig

ir e

colo

car e

mfu

ncio

nam

ento

tais

depó

sitos

.

Os r

iscos

exi

sten

tes

são

que

as p

esso

aspo

ssam

que

rer

roub

ar a

rmas

par

aus

á-las

inap

ropr

iadam

ente

ou v

endê

-las.

Out

ros

supr

imen

tos,

com

oo

com

bust

ível,

pode

m ta

mbé

m se

rvu

lner

ávei

s ao

roub

o.

Os p

roce

dim

ento

s de

cont

role

com

patív

eis c

om e

sses

risc

ospo

dem

ser a

con

stru

ção

de c

erca

se

mur

os e

m to

rno

dos d

epós

itos

e po

stos

, ou

a co

loca

ção

degu

arda

s arm

ados

com

cac

horr

osna

s ent

rada

s. Ch

ecar

regu

larm

ente

o in

vent

ário

com

om

ater

ial e

det

erm

inar

que

sees

tabe

leça

que

os su

prim

ento

sso

men

te p

ossa

m se

r ent

regu

esco

m a

apr

ovaç

ão d

e um

ofic

ialsu

perio

r tam

bém

aju

darã

o a

salv

agua

rdar

os b

ens.

Relat

ório

s sob

reda

nos n

as c

erca

s edi

fere

nças

enco

ntra

das n

aen

trega

dos

supr

imen

tos.

Proc

edim

ento

s eap

rova

ções

de

forn

ecim

ento

tam

bém

ofe

rece

min

form

ação

eco

mun

icaçã

ore

lacio

nada

s a e

sse

tem

a.

O m

onito

ram

ento

pod

ese

r um

a in

speç

ão d

asce

rcas

, das

ent

rega

s não

com

unica

das d

em

ater

ial, d

o m

ovim

ento

de e

ntra

da e

saíd

a de

esto

ques

ou,

até,

umte

ste

secr

eto

sobr

e a

segu

ranç

a.

77

Salv

agua

rda d

e rec

urso

s. E

xem

plo

(2):

Gra

ndes

qua

ntid

ades

de i

nfor

maç

ão se

nsív

el sã

o ar

maz

enad

as n

os si

stem

as in

form

atiz

ados

em u

ma

agên

cia

do M

inist

ério

da

Just

iça.

No

enta

nto,

a im

port

ânci

a do

s con

trole

s de

tecn

olog

ia da

info

rmaç

ão (T

I) é

neg

ligen

ciad

ae,

cons

eqüe

ntem

ente

, o c

ontro

le d

a TI

apr

esen

ta in

úmer

as d

efic

iênc

ias.

Ambi

ente

de

cont

role

Aval

iaçã

o de

risc

oPr

oced

imen

tos

de c

ontro

leIn

form

ação

eco

mun

icaç

ãoM

onito

ram

ento

A g

erên

cia

deve

com

prom

eter

-se

com

a co

mpe

tênc

ia e

com

boas

prá

ticas

envo

lven

do a

TI,

eof

erec

er c

apac

itaçã

oap

ropr

iada

ness

aár

ea. A

s pol

ítica

s de

capi

tal h

uman

ota

mbé

m e

xerc

em u

mpa

pel i

mpo

rtan

te n

oes

tabe

leci

men

to d

eum

am

bien

te d

eco

ntro

le p

ositi

vopa

ra a

s que

stõe

sre

laci

onad

as a

TI.

Ao

níve

l dos

con

trole

s ger

ais,

aag

ênci

a nã

o te

m:

limita

do o

ace

sso

do u

suár

io a

som

ente

àqu

elas

info

rmaç

ões

nece

ssár

ias a

o de

sem

penh

o da

ssu

as a

tivid

ades

;de

senv

olvi

do u

m si

stem

aad

equa

do d

e co

ntro

lein

form

atiz

ado

para

pro

tege

r os

prog

ram

as e

os d

ados

sens

ívei

s;do

cum

enta

do a

s mud

ança

s de

softw

ares;

segr

egad

o as

ativ

idad

esin

com

patív

eis;

busc

ado

a co

ntin

uida

de d

ose

rviç

o;pr

oteg

ido

a re

de c

ontra

uso

não

auto

rizad

o.A

o ní

vel d

e co

ntro

le d

aap

licaç

ão, a

agê

ncia

não

tem

man

tido

as a

utor

izaç

ões d

eac

esso

.(E

ste

não

é um

exe

mpl

o de

boas

prá

ticas

)

A a

gênc

ia p

ode:

impl

emen

tar a

cess

os ló

gico

s(e

xem

plo:

senh

as) e

con

trole

s de

aces

so fí

sico

(exe

mpl

o: tr

avas

,ca

rtões

de

iden

tific

ação

, ala

rmes

);ne

gar,

a al

guns

usu

ário

s, ac

esso

ao

siste

ma

oper

acio

nal;

limita

r o a

cess

o, a

o am

bien

te d

ede

senv

olvi

men

to d

e ap

licaç

ão, a

ope

ssoa

l aut

oriz

ado;

utili

zar “

rela

tório

s diá

rios d

eau

dito

ria”

para

regi

stra

r tod

os o

sac

esso

s (te

ntat

ivas

de

aces

so) e

tent

ativ

as d

e vi

olaç

ões à

segu

ranç

a;po

ssui

r um

plan

o de

cont

inge

nciam

ento

e d

ere

cupe

raçã

o pa

ra a

sseg

urar

aac

essib

ilida

de a

recu

rsos

crít

icos

efa

cilit

ar a

con

tinui

dade

das

oper

açõe

s em

cas

os c

rític

os;

poss

uir s

istem

as d

e se

gura

nça

inte

rno

(firew

all) e

mon

itora

r aat

ivid

ade

do se

rvid

or d

a pá

gina

web

para

ass

egur

ar o

tráf

ego

pela

rede

.

Os p

roce

dim

ento

s de

cont

role

em

TI d

evem

ser a

cess

ívei

s e a

sm

udan

ças d

evem

est

ardo

cum

enta

das a

ntes

que

o so

ftwar

e com

ece

a op

erar

.

Dev

em se

rde

senv

olvi

das a

spo

lític

as e

as

atrib

uiçõ

es q

ueob

edeç

am a

o pr

incí

pio

de se

greg

ação

de

funç

ões.

Os r

egist

ros d

eac

esso

s (te

ntat

ivas

) eco

man

dos (

não

auto

rizad

os) d

evem

ser

perio

dica

men

tere

vist

os e

com

unic

ados

.

Exe

cuta

r um

aau

dito

ria e

m T

I,sim

ulan

do u

mde

sast

re, e

mon

itora

ras

ativ

idad

es d

oam

bien

te w

eb p

odem

ser p

arte

do

mon

itora

men

to d

oam

bien

te d

e TI

.

79

Anexo 2: Glossário

81

Este glossário foi elaborado objetivando fornecer uma compreensãocomum dos termos mais importantes utilizados nessas diretrizes, acercadas definições e práticas do controle interno. Além das definições queintroduzimos nesse documento, também utilizamos definições existentes,tomadas das diversas fontes citadas:

• Código de ética e normas de auditoria, INTOSAI, 2001.(Normas de Auditoria INTOSAI).

• Controle Interno - Marco integrado, COSO, 1992. (COSO 1992).• Glossário, Escritório para as publicações oficiais das

comunidades européias, P. Everard e D. Wolter, 1989. (glossário).• Serviços de auditoria e segurança: uma abordagem integrada,

A. A. Arens, R. J. Elder e M. S. Beasley, Edição internacionalPrentice Hall, 9ª ed., 2003. (Arens, Elder & Beasley).

• Notas de apresentação COSO “Guia de administração de riscoem uma organização”, COSO, 2003. (COSO ERM).

• Manual de auditoria internacional, pronunciamentos sobre éticae segurança, IFAC, 2003. (IFAC).

• Livro Fonte da Transparência Internacional. (TransparênciaInternacional).

• XVI INCOSAI, Montevidéu, Uruguai, 1998, Comunicação doTema Principal 1 A (Prevenção e detecção de fraudes ecorrupção), Fevereiro 1997. (XVI INCOSAI, Uruguai, 1998).

• “Guia de práticas profissionais, Instituto de Auditores Internos.(IIA).

AAccountability (Obrigação de Prestar Contas)O processo no qual as organizações de serviço público e os indivíduosque as constituem são responsáveis por suas decisões e ações, incluindoa salvaguarda de recursos públicos e todos os aspectos do seudesempenho.Obrigação imposta, a uma pessoa ou entidade auditada, de demonstrarque administrou ou controlou os recursos que lhe foram confiados emconformidade com os termos segundo os quais lhe foram entregues.

82

Accountability Pública (Obrigação de Prestar Contas Públicas)A obrigação que têm as pessoas ou entidades às quais se tenham confiadorecursos, incluídas as empresas e corporações públicas, de assumir asresponsabilidades de ordem fiscal, gerencial e programática que lhes foramconferidas, e de informar a quem lhes delegou essas responsabilidades(Normas de Auditoria INTOSAI).

Acesso físicoNo controle de acesso, ter acesso a áreas físicas e entidades (ver acessológico).

Acesso lógicoO ato de ter acesso aos dados de um computador. O acesso pode estarlimitado apenas para consulta, porém direitos de acesso mais extensivosincluem a capacidade de alterar os dados, criar novos arquivos e apagararquivos existentes (ver acesso físico).

AdministraçãoCompreende os dirigentes e outros que também realizam funçõesgerenciais superiores. A administração ou gerência inclui diretores e ocomitê de auditoria somente nos casos em que esses cumprem tais funções(IFAC).

Ambiente de controleO ambiente de controle estabelece o perfil de uma organização,influenciando na consciência das pessoas acerca do controle. É ofundamento para todos os componentes do controle interno, fornecendoo conjunto de regras e a estrutura.

AplicativoPrograma de computador projetado para auxiliar as pessoas a realizardeterminado tipo de trabalho, incluindo funções especiais, tais comorelações de pagamento, controle de inventário, contabilidade e apoio.Dependendo da tarefa para a qual foi projetado, o aplicativo podemanipular textos, números, gráficos ou uma combinação desseselementos.

Auditores internosExaminam e contribuem para a eficácia do sistema de controle internoatravés de suas avaliações e recomendações, mas não possuemresponsabilidade primária pelo planejamento, implementação, manutençãoe documentação do processo.

83

AuditoriaRevisão das atividades e das operações de uma organização, para assegurarque essas estão sendo executadas ou estão funcionando de acordo comos objetivos, o orçamento, as regras e as normas. O objetivo dessa revisãoé identificar, em intervalos regulares, desvios que podem requerer umaação corretiva (glossário).

Auditoria externaAuditoria realizada por um corpo técnico externo e independente doauditado, com o propósito de emitir uma opinião ou um relatório sobrea prestação de contas e as demonstrações financeiras, a regularidade e alegalidade das operações e/ou da gestão financeira (glossário).

Auditoria interna• Meio funcional que permite aos dirigentes de uma entidade receber defontes internas a segurança de que os processos pelos quais sãoresponsáveis funcionam com as probabilidades de ocorrência de fraudes,erros ou práticas ineficientes e antieconômicas reduzidas ao mínimo. Aauditoria interna possui muitas das características da auditoria externa,porém pode, perfeitamente, atender a instruções dos dirigentes daentidade a que deve informar (Normas de auditoria da INTOSAI).• Uma atividade independente, de segurança objetiva e de caráterconsultivo, concebida para agregar valor e aprimorar as operações deuma organização. Auxilia uma organização a atingir seus objetivos,mediante um enfoque sistemático e disciplinado para avaliar e melhorara eficácia do processo de gestão de risco, de controle e de governança(IIA, IFAC).• A auditoria interna é uma atividade de avaliação estabelecida dentro deuma entidade como um serviço para a mesma. Suas funções incluem,dentre outras, examinar, avaliar e monitorar a adequação e eficácia dacontabilidade e dos sistemas de controle interno (IFAC).

Avaliação de riscoA avaliação de risco é o processo de identificação e análise dos riscosrelevantes para o alcance dos objetivos da entidade e a determinação deresposta apropriada.

84

C

Ciclo de avaliação de riscoÉ um processo contínuo e repetitivo para identificar e analisar as mudançasnas condições, oportunidades e riscos, e realizar as ações necessárias, emespecial as modificações no controle interno dirigidas às mudanças derisco. Os perfis de risco e os controles a eles associados devem serrevisados e repensados com regularidade, de modo a garantir que operfil de risco continua sendo válido, que as respostas ao risco continuamsendo adequadas e apropriadamente direcionadas, e que os controlespara mitigá-lo continuam sendo eficazes na medida em que os riscosmudam com o tempo.

Conformidade / CumprimentoRelaciona-se com a conformidade com as leis e regulamentos aplicáveisa uma entidade (COSO 1992).Conformidade e aderência a políticas, planos, procedimentos, leis,regulamentos, contratos ou outros requisitos (IIA).

Comitê de auditoriaÉ um comitê da Mesa Diretora, cuja função é tipicamente focada emaspectos de informação financeira e nos processos gerenciais da entidadepara administrar o risco do negócio e o risco financeiro, e para ocumprimento de significativos requisitos legais, éticos e regulamentares.O Comitê de Auditoria normalmente auxilia a Mesa com uma visãogeral sobre: (a) a integridade dos demonstrativos financeiros da entidade;(b) o cumprimento dos requisitos legais e regulamentares; (c) asqualificações e independência dos auditores; (d) o desempenho do auditorinterno da entidade e dos auditores independentes; e (e) as remuneraçõesdos dirigentes da entidade.

Componente do controle internoUm dos cinco elementos do controle interno. Os componentes docontrole interno são o ambiente de controle interno da entidade, aavaliação de risco, os procedimentos de controle, a informação ecomunicação, e o monitoramento (COSO 1992).

ConluioUm esforço corporativo entre funcionários para defraudar recursosfinanceiros, estoque ou outros bens de uma empresa (Arens, Elder &Beasley).

85

Controle• 1. Um substantivo, utilizado como sujeito, exemplo: existência decontrole – uma política ou procedimento que é parte do controle interno.Um controle pode existir dentro de qualquer dos cinco componentes. 2.Um substantivo, utilizado como objeto, exemplo: efetuar controle – oresultado de políticas e procedimentos planejados para controlar; esteresultado pode ou não ser um controle interno efetivo. 3. Um verbo,exemplo: controlar, regular, estabelecer ou implementar uma políticaque se destina ao controle (COSO 1992).• Qualquer ação tomada pela gerência, direção e outros setores paraadministrar o risco e aumentar as possibilidades de que os objetivos emetas sejam alcançados. A administração planeja, organiza e dirige a gestãocom as ações adequadas para proporcionar uma garantia razoável deque os objetivos e metas sejam alcançados (IIA).

Controle de acessoEm tecnologia da informação, os controles planejados para proteger osrecursos de modificações não autorizadas, perda ou exposição.

Controle de continuidade de serviçoEsse tipo de controle envolve assegurar que, quando ocorram eventosinesperados, as operações críticas continuem sem interrupção ou sejamrapidamente reassumidas, e a informação crítica e sensível seja protegida.

Controles de aplicativos• A estrutura, políticas e procedimentos que são aplicados em separadoaos sistemas individuais de aplicativos e que são projetados para cobrir oprocessamento de dados em softwares aplicativos específicos.• Procedimentos programados nos aplicativos e no respectivo manualde procedimentos, projetados para ajudar a assegurar a integridade eexatidão do processamento da informação. Os exemplos incluem revisõescomputadorizadas da entrada de dados, seqüência numérica de revisõese procedimentos manuais para monitorar os itens listados em relatóriosde exceção (COSO 1992).

Controle de detecçãoUm controle programado para descobrir um fato ou um resultadoimprevisto (em contraste com o controle preventivo) (COSO 1992).

86

Controle internoO controle interno é um processo integrado que está afeto à gerência eao corpo de funcionários da entidade e é estruturado para administraros riscos e para oferecer segurança razoável de que na busca de suamissão, os seguintes objetivos gerais estão sendo alcançados: executar asoperações de forma regular, ética, econômica, eficiente e eficaz,cumprindo com as obrigações de prestar contas (accountability) e comtodas as leis pertinentes, assim como os regulamentos e a salvaguardados recursos contra a perda, mau uso e danos.

Uma garantia independente e objetiva, e uma atividade de consultoriaprojetada para proporcionar valor agregado e melhorar aoperacionalidade da organização ajudam à organização a cumprir seusobjetivos, mediante o uso de um enfoque sistemático e disciplinado paraavaliar e melhorar a eficácia nos processos de gestão do risco, controle egovernança (IIA).

Controle orçamentárioControle mediante o qual uma autoridade que liberou um orçamentopara uma entidade assegura que o orçamento está sendo implementadode acordo com as estimativas, autorizações e regulamentos.

Controle preventivoUm controle definido para evitar ações ou resultados não previstos(comparar com controle de detecção) (COSO 1992).

Controles computadorizados1. Controles executados por computador, exemplo: controlesprogramados no software do computador (em oposição aos controlesmanuais).2. Controles sobre o processamento da informação, consistindo decontroles gerais e controles de aplicativos (tanto programados comomanuais) (COSO 1992).

Controles do sistema de softwareControles sobre o elenco de programas de computadores e respectivasrotinas, projetadas para operar e controlar as atividades de processamentodos equipamentos computacionais.

87

Controles gerais• Os controles gerais são a estrutura, políticas e procedimentos que seaplicam a todos ou a uma grande parte dos sistemas de informação deuma entidade e ajudam a assegurar sua correta operação. Eles produzemo ambiente no qual operam os sistemas de aplicação e controles.• Políticas e procedimentos que ajudam a assegurar a continuidade e aoperação apropriada dos sistemas de informação. Incluem controlessobre gerenciamento da tecnologia da informação, infra-estrutura datecnologia da informação, gestão de segurança, aquisição,desenvolvimento e manutenção de software. Os controles gerais dão suporteao funcionamento dos controles de aplicativos programados. Outrostermos por vezes utilizados para descrever os controles gerais são:controles gerais de computação e controles de tecnologia da informação(COSO ERM).

Controles manuaisSão os controles executados manualmente, não através do computador(comparar com controles computadorizados) (COSO 1992).

Corrupção• Qualquer forma de utilização não ética da autoridade pública paraobtenção de vantagem pessoal ou particular (INTOSAI XVI, Uruguai,1998).• O mau uso do poder outorgado, para o benefício particular(Transparência Internacional).

COSOComitê de Organizações Patrocinadoras da Comissão Treadway, umgrupo de várias organizações de contabilidade. Em 1992 publicou umestudo relevante sobre o controle interno intitulado Controle Interno: marcointegrado. O estudo é muitas vezes chamado de Relatório COSO.

D

DadosFatos e informação que podem ser comunicados ou manipulados.

88

DeficiênciaUma falha percebida no controle interno, potencial ou real, ou umaoportunidade para fortalecer o controle interno, para oferecer uma maiorprobabilidade de que os objetivos da entidade sejam alcançados (COSO1992).

Diagramação de fluxoIlustra um fluxo de procedimentos, informação ou documentos. Essatécnica torna possível que se dê uma descrição sintética de procedimentosou circuitos complexos (glossário).

DocumentaçãoA documentação suporte do controle interno é a evidência material eescrita dos componentes do processo de controle interno, incluindo aidentificação das políticas e da estrutura de uma organização, suascategorias operacionais, seus procedimentos de controle e respectivosobjetivos. Esses devem estar evidenciados em documentos, tais comodiretrizes gerenciais, políticas administrativas, manuais de procedimentoe manuais de contabilidade.

O exame do auditor dos documentos do cliente e dos registros parafundamentar a informação que está ou deve estar incluída nasdemonstrações financeiras (Arens, Elder e Neasley).

E

Economia• Consiste em reduzir ao mínimo o custo dos recursos utilizados paradesempenhar uma atividade a um nível de qualidade apropriado (Normasde auditoria INTOSAI).• Aquisição dos recursos financeiros, humanos e materiais, no momentoadequado, ao menor custo, que sejam mais adequados em termos dequalidade e quantidade.

EconômicoSem desperdício nem extravagância. Significa adquirir a quantidadenecessária de recursos, na qualidade adequada, entregues no momento eno lugar correto, ao custo mais baixo.

89

Eficácia• A medida em que se alcançam os objetivos e a relação entre os resultadospretendidos e os resultados alcançados (Normas de auditoria INTOSAI).• O grau em que os objetivos estabelecidos são alcançados sob a óticado custo-eficácia (glossário).

EficazRefere-se ao cumprimento dos objetivos ou ao grau dos resultadosalcançados por uma atividade frente aos objetivos ou aos efeitospretendidos daquela atividade.

Eficiência• Relação entre o produto – expresso em bens, serviços e outros produtos- e os recursos utilizados para produzi-los (Normas de auditoriaINTOSAI).• Utilização dos recursos financeiros, humanos e materiais de modo amaximizar os produtos obtidos com uma determinada quantidade derecursos, ou a minimizar os insumos para obtenção de determinadaquantidade e qualidade de produtos (glossário).

EficienteRefere-se aos recursos utilizados e os produtos gerados para alcançar osobjetivos. Significa que o mínimo de insumos são utilizados para se obteruma determinada quantidade e qualidade de produtos, ou o máximo deprodutos com uma determinada quantidade e qualidade de insumos.

EntidadeUma organização de qualquer tamanho estabelecida com um propósitoparticular. Uma entidade, por exemplo, pode ser uma empresa denegócios, uma organização sem fins lucrativos, uma organizaçãogovernamental ou instituição acadêmica. Outros termos usados comosinônimos são organização ou departamento (COSO 1992).

Entidade Fiscalizadora Superior (EFS)Órgão público de um Estado que, qualquer que seja a sua denominaçãoou a forma em que seja constituído ou organizado, exerce, em virtudeda lei, a suprema função de auditoria pública desse Estado (Normas deauditoria INTOSAI & IFAC).

90

EntradaQualquer informação introduzida em um computador ou o processode inserir dados no computador.

ÉticoRelacionado com princípios morais.

F

FluxogramaUma representação gráfica dos documentos e arquivos do cliente, e aseqüência na qual eles são processados (Arens, Elder & Beasley).

FraudeInteração ilegal entre duas entidades, na qual uma das partesintencionalmente defrauda a outra, através de representações falsas paraobter vantagens ilícitas ou injustas. Envolve atos fraudulentos, ardis,omissões ou quebra de sigilo, utilizados para obter alguma vantageminjusta ou desonesta (INCOSAI XVI, Uruguai 1998).

I

IncertezaIncapacidde de saber com antecedência a real probabilidade ou impactode eventos futuros (COSO ERM).

Independência• A liberdade que se dá a uma instituição de auditoria e a seus auditorespara atuar em acordo com as atribuições de auditoria que lhes sãoconferidas, sem nenhuma interferência externa.• A liberdade da EFS, nas matérias que são objeto de auditoria, paraatuar conforme sua competência legal de auditoria, sem sujeição a diretrizesou interferências externas de nenhuma classe (Normas de auditoriaINTOSAI).• A liberdade das condições que ameacem a objetividade ou a aparênciade objetividade. Tais ameaças à objetividade devem ser administradasnos níveis individual com o auditor, de compromisso, funcional eorganizacional (IIA).• A habilidade de um auditor para manter um ponto de vista imparcialno desempenho de serviços profissionais (independência de fato) (Arens,Elder & Beasley).

91

• A habilidade de um auditor para manter um ponto de vista imparcialdiante dos olhos dos demais (aparência de independência) (Arens, Elder& Beasley).

Instituição de auditoriaOrganização pública que, qualquer que seja a sua denominação ou aforma em que seja constituída ou organizada, executa atividades deauditoria externa em conformidade com a lei (glossário).

Intervenção administrativaAções administrativas para anular políticas ou procedimentos destinadosa propósitos legítimos; a intervenção administrativa geralmente énecessária para lidar com transações ou eventos não-rotineiros e não-normatizados que de outra forma seriam tratados de modo inadequadopelo sistema (comparar esse termo com o de Sustação de atoadministrativo) (COSO 1992).

Instituto de Auditores Internos (Institute of Internal Auditors - IIA)O Instituto de Auditores Internos é uma organização que estabelecenormas éticas e de procedimentos, promove capacitação e fortalece oprofissionalismo entre seus membros.

L

Limitações inerentesAs limitações de todos os sistemas de controle interno. As limitações serelacionam aos limites do julgamento humano; restrições de recursos e anecessidade de considerar o custo dos controles em relação aos benefíciosesperados; a realidade é que podem ocorrer colapsos; e a possibilidadede sustar atos administrativos e conluios (COSO 1992).

M

Mapa de riscoUma visão conjunta ou matriz dos riscos-chave enfrentados por umaentidade ou uma unidade, que inclui o nível de impacto (exemplo: alto,médio, baixo), bem como a probabilidade de que o evento ocorra.

92

MainframeComputador de grande porte destinado às atividades de processamentode dados mais intensivas. Os computadores de grande porte ou servidoressão usualmente compartilhados por múltiplos usuários conectados atravésde terminais.

Mensuração de riscoSignifica estimar a importância de um risco e calcular a probabilidade desua ocorrência.

MonitoramentoMonitoramento é um componente do controle interno e é o processoque avalia a qualidade do sistema de controle interno ao longo do tempo.

Moralidade/IntegridadeA qualidade ou o estado de ser de um importante princípio moral; retidão,honestidade e sinceridade; o desejo de fazer as coisas corretamente,professar e viver de acordo com certos valores e expectativas (COSO1992).

O

ObjetividadeAtitude mental de imparcialidade que permite que as EFSs, auditoresexternos e internos realizem suas atribuições de tal maneira que emitamuma opinião honesta no resultado de seus trabalhos, e que não sejamfeitos comprometimentos de qualidade significativos. A objetividaderequer que os auditores não subordinem seu julgamento sobre questõesauditoriais à opinião de terceiros.

Operações• Essa palavra usada com “objetivos” ou “controles” tem a ver com aeficácia ou a eficiência das atividades de uma entidade, incluindo suasmetas de desempenho e rentabilidade e a salvaguarda de recursos (COSO1992).• As funções, processos e atividades através dos quais os objetivos deuma entidade são alcançados.

93

OrçamentoÉ a expressão financeira e quantitativa de uma programação de medidasplanejadas para um determinado período. O orçamento é projetadocom uma visão de planejamento de operações futuras e de revisões expost facto dos resultados obtidos.

OrdenadamenteSignifica de forma ordenada, ou metodicamente.

Organização Internacional de Entidades Fiscalizadoras Superiores(International Organisation of Supreme Audit Institutions -INTOSAI)INTOSAI é a organização profissional de Entidades FiscalizadorasSuperiores (EFSs) nos países que pertencem às Nações Unidas ou a suasagências especializadas. As EFSs exercem um papel central na auditoriade contas e das operações governamentais, e na promoção deadministrações financeiras sólidas e responsáveis por prestar contas dosseus governos. A INTOSAI foi fundada em 1953, vem crescendo dos34 países membros iniciais para mais de 170 membros no presente.

P

Partes interessadas (stakeholders)Entes que são afetados pela entidade, tais como os acionistas, ascomunidades nas quais a entidade opera, funcionários, clientes efornecedores (COSO ERM).

Poder LegislativoA autoridade que, em um país, elabora as leis; por exemplo: umParlamento (Normas de auditoria INTOSAI)

PolíticaInstrução gerencial sobre o que se deve fazer para efetuar um controle.Uma política serve como base para a implementação dos seusprocedimentos (COSO 1992).

ProcedimentoUma ação que implementa uma política.

94

Projeto (design)1.Intenção. Como utilizado na definição, o controle interno é destinadoa fornecer segurança razoável para o alcance dos objetivos; quando aintenção se torna realidade, o sistema pode ser considerado eficaz. 2.Plano. A forma através da qual um sistema é concebido para funcionar,comparada à maneira que ele efetivamente funciona (COSO 1992).

ProcessamentoEm tecnologia da informação, a execução das instruções de um programapela unidade central de processamento do computador.

Procedimento de controleOs procedimentos de controle são as políticas e os procedimentosestabelecidos para enfrentar os riscos e alcançar os objetivos da entidade.Os procedimentos que uma organização executa para tratar o risco sechamam procedimentos de controle interno. Os procedimentos decontrole interno são uma resposta ao risco, já que eles são projetadospara lidar com o nível de incerteza previamente identificado.

Procedimentos de usuário finalReferem-se à utilização de processamento de dados não centralizados(exemplo: que não sejam do departamento de TI), utilizandoprocedimentos automatizados desenvolvidos pelos usuários finais,geralmente com a ajuda de aplicativos (exemplo: planilha eletrônica ebase de dados). Os processos do usuário final podem ser sofisticados etransformarem-se em uma fonte extremamente importante degerenciamento de informação. Se eles estão documentados e testadosadequadamente podem ser questionados.

Processo gerencial ou administrativoA série de ações tomadas pela direção para administrar uma entidade. Ocontrole interno é uma parte integrante do processo gerencial (COSO1992).

Programa de segurançaPrograma de toda uma organização para o planejamento e gerenciamentoda segurança, que constitui o fundamento da estrutura de controle dasegurança de uma organização e que reflete o compromisso da altaadministração para lidar com os riscos de segurança. O programa deveriaestabelecer um referencial e uma periodicidade para a avaliação de risco,desenvolvendo e implementando procedimentos eficazes de segurança,e realizando o monitoramento da eficácia desses procedimentos.

95

R

RedeEm tecnologia da informação, um grupo de computadores eequipamentos conectados por instalações de comunicação. Uma redepode envolver conexões permanentes, tais como cabos, ou conexõestemporárias feitas através de telefone ou de outros meios de comunicação.Uma rede pode ser tão pequena como uma rede local composta porpoucos computadores, impressoras ou outros equipamentos, ou podeser composta por muitos computadores de grande e pequeno portedistribuídos em uma vasta área geográfica.

Revisões de ediçãoControles programados concebidos nas primeiras fases de alimentaçãode dados para identificar campos com dados incorretos. Por exemplo,os caracteres alfanuméricos, que são introduzidos nos campos numéricos,podem ser rejeitados por esse controle. Controles de edição programadatambém podem ser aplicados, por exemplo, quando os dados dastransações ingressam no ciclo de processamento de uma outra aplicação.

RiscoA possibilidade de que ocorra um evento adverso que afete o alcancedos objetivos (COSO ERM).

Risco aceitável• A quantidade de risco à qual a entidade está preparada para enfrentar

antes que se julgue necessária uma ação.• Uma base ampla de quantidade de risco que uma companhia ou

outra entidade está disposta a aceitar na busca de sua missão ou suavisão (COSO ERM).

Risco inerenteO risco para uma entidade na ausência de ações gerenciais que possamreduzir a probabilidade do risco ou seu impacto (COSO ERM).

Risco residualO risco que permanece depois que a gerência responde ao risco.

96

S

SaídaEm tecnologia da informação, os dados/informação produzidos peloprocessamento informatizado de um computador, tal como umainformação gráfica apresentada em um terminal ou uma cópia impressa.

Setor públicoO termo “setor público” refere-se aos governos nacionais, governosregionais (por exemplo: estadual, provincial, territorial), aos governoslocais (por exemplo: municípios, povoados) e respectivas entidadesgovernamentais (por exemplo: agências, diretorias, comissões e empresas)(IFAC).

Segurança razoável• Equivale a um nível satisfatório de confiança segundo determinadasconsiderações de custos, benefícios e riscos.• O conceito de que o controle interno, sem importar o quanto seja bemplanejado e executado, não pode garantir que os objetivos da entidadeserão alcançados. Isso se deve a limitações inerentes a todos os sistemasde controle interno (COSO 1992).

Sistema de controle interno (ou processo, ou arquitetura)Um sinônimo de Controle Interno aplicado em uma entidade (COSO1992).

Sistemas computadorizados de informaçãoUm ambiente de sistemas de informações computadorizados existequando um computador de qualquer tipo ou tamanho está envolvidono processamento de informação (financeira) da entidade que tenhasignificado para a auditoria, seja este computador operado pela entidadeou por uma terceira parte (IFAC).

Segregação (ou separação) de funçõesPara reduzir o risco de erro, desperdícios, ações equivocadas e o risco denão detectar estes problemas, nenhuma equipe ou indivíduo apenasdeveria controlar todas as fases-chave (autorização, processamento,documentação e controle) de uma transação ou evento.

97

Sistema softwareSoftware que trata fundamentalmente da coordenação e do controle dohardware e dos recursos de comunicação, acesso a pastas e arquivos, e docontrole e programação de aplicativos.

Sustação de ato administrativoDecisões administrativas de anular políticas ou procedimentos destinadosa propósitos ilegítimos, com a intenção de obter ganhos pessoais, oupermitir a apresentação errada das demonstrações financeiras de umaentidade ou de situações de descumprimento da lei (comparar este termocom o de intervenção administrativa) (COSO, 1992).

T

Tolerância ao riscoÉ a variação aceitável relativa à consecução dos objetivos (COSO ERM).

U

Unidade de auditoria interna• Departamento (ou atividade) dentro de uma entidade, à qual sãoconfiadas revisões e avaliações dos sistemas e procedimentos da entidadepara minimizar a probabilidade de fraude, erros e práticas ineficientes. Aauditoria interna deve ser independente dentro de uma organização ereportar-se diretamente à direção.• Um departamento, divisão ou equipe de consultores ou outrosprofissionais que oferece independência, segurança objetiva e serviçosde consultoria projetados para agregar valor e melhorar o funcionamentode uma organização. Os procedimentos de controle interno ajudam umaorganização a cumprir seus objetivos mediante o uso de um enfoquesistemático e disciplinado para avaliar e melhorar a eficácia nos processosde gestão de risco, controle e governança (IIA).

V

Valores éticosValores morais que permitem que aquele que decide determine um cursoapropriado de conduta. Esses valores devem estar baseados no que é“correto”, o que pode estar além daquilo que é legalmente exigido(COSO 1992).

Valor pelo dinheiroVer economia, eficácia e eficiência.

99

Cópias desta tradução podem ser adquiridas, semcusto, no Tribunal de Contas do Estado da Bahia,Centro Administrativo da Bahia, Plataforma 5.Salvador, Bahia (www.tce.ba.gov.br), no

Tribunal de Contas do Estado do Piauí, AvenidaPedro Freitas, 2100 - São Pedro, Teresina, Piauí e no

Tribunal de Contas do Estado do Tocantins,Avenida Teotônio Segurado 102 Norte - Conjunto1, lotes 1 e 2, Palmas, Tocantins, Brasil.

Série Traduções:

1. Um modelo para Auditorias de Otimização de Recursos ()

2. Ajudando a nação a gastar sabiamente: um guia para o EscritórioNacional de Auditoria

3. Normas de Auditoria do NAO4. Normas de Auditoria Governamental do GAO – Revisão 19945. Normas de Auditoria da INTOSAI6. Glossário de Termos de Auditoria do Manual de Auditoria

Integrada do OAG7. Auditoria Integrada: Conceitos, Componentes e Características8. , Contabilidade e Auditoria – Respondendo uma

década de experiência9. Auditoria de Eficiência: Guia de Auditoria do OAG – Partes I e II10. Diretrizes para Aplicação de Normas de Auditoria Operacional da

INTOSAI11. Código de Ética e Normas de Auditoria da INTOSAI12. Normas de Auditoria Governamental do GAO – Revisão 2003,

atualizada até setembro de 2005

Value forMoney Audits – VFM

Accountability

Tribunal de Contas do Estado da Bahia

Apoio:

TCE-TO

Colaboradores:ISBN 85 - 85524 - 28 - 6

9 7 8 8 5 8 5 5 2 4 2 8 9

Intosai Diretrizes p Controle Interno

Documents

Transcript of Intosai Diretrizes p Controle Interno