Programa Fortalecimento da Gestão
Coordenação-Geral de Fomento ao Fortalecimento da Gestão e Controle Social
Diretoria de Prevenção
Secretaria de Prevenção à Corrupção e Informações Estratégicas
Controladoria-Geral da União
Controle Interno e Gerenciamento de Riscos
Modelo COSO
O que é e para que serve um controle interno?
•
Com o crescimento dos municípios, de suas estruturas de gestão e
das demandas dos cidadãos pelos serviços públicos, cresce também a
necessidade dos dirigentes em obter informações fidedignas de cada
área governamental.
•
Em outras palavras, um sistema que promovesse o controle das ações
governamentais, traria segurança ao gestor na tomada de decisões e
garantiria a governança.
O que é e para que serve um controle interno?
•
•
Governabilidade = dimensão estatal do exercício do poder
Governança = modus operandi das políticas governamentais
•
A governança está ligada ao formato político-institucional do processo
decisório, à definição do mix apropriado de financiamento de políticas
e ao alcance geral dos programas, englobando a sociedade como um
todo.
O que é e para que serve um controle interno?
•
•
•
A necessidade de garantia da governança e de estruturação de um
sistema de controle também existe na iniciativa privada.
Diante da pergunta de como estruturar esse sistema chegava-se a
respostas diversas - gestores, auditores internos, servidores,
funcionários das controladorias.
Mas havia uma determinação legal para que o ente federativo
implementasse seu controle interno.
O que é e para que serve um controle interno?
•
Em uma primeira fase houve o cumprimento da determinação legal,
criando cada município uma estrutura própria de controle, seja um
controlador, seja uma controladoria.
•
Contudo, para garantir o funcionamento dessa estrutura havia
necessidade de um modelo e uma definição para controle interno.
•
Semelhante situação existia na iniciativa privada.
Histórico - COSO
•
•
Em 1985, foi criada, nos Estados Unidos, a National Commission on
Fraudulent Financial Reporting (Comissão Nacional sobre Fraudes em
Relatórios Financeiros), uma iniciativa independente, para estudar as
causas da ocorrência de fraudes em relatórios financeiros/contábeis.
Em 1992 publicaram o trabalho "Internal Control – Integrated
Framework" (Controles Internos - Um Modelo Integrado). Esta
publicação tornou-se referência mundial para o estudo e aplicação dos
controles internos.
Histórico - COSO
•
•
A Comissão transformou-se em Comitê, que passou a ser conhecido
como COSO - The Comitee of Sponsoring Organizations (Comitê das
Organizações Patrocinadoras).
O COSO é uma entidade sem fins lucrativos, dedicada à melhoria dos
relatórios financeiros através da ética, efetividade dos controles
internos e governança corporativa.
Histórico - COSO
•
•
•
•
•
•
É patrocinado por cinco das principais associações de classe de
profissionais ligados à área financeira nos Estados Unidos:
AICPA – American Institute of Certified Public Accounts (Instituto
Americano de Contadores Públicos Certificados
AAA - American Accounting Association (Associação Americana de
Contadores)
FEI - Financial Executives Internacional (Executivos Financeiros
Internacional)
IIA - The Insititute of Internal Auditors (Instituto dos Auditores Internos
IMA - Institute of Management Accountants (Instituto dos Contadores
Gerenciais)
Definição Controle Interno - COSO
•
•
•
•
"Controle Interno é um processo operado pela administração, desenhado para
fornecer segurança razoável quanto ao atingimento dos objetivos relacionados à:
Eficiência e eficácia (efetividade) operacional (objetivos de desempenho ou
estratégia): esta categoria está relacionada com os objetivos básicos da
entidade, inclusive com os objetivos e metas de desempenho e rentabilidade,
bem como da segurança e qualidade dos ativos;
Confiança nos registros contábeis/financeiros (objetivos de informação):
todas as transações devem ser registradas, todos os registros devem refletir
transações reais, consignadas pelos valores e enquadramentos corretos;
Conformidade (objetivos de conformidade) com leis e normativos aplicáveis à
entidade e sua área de atuação.
Definição Controle Interno - COSO
•
Processo é constituído de 5 elementos, que estão inter-relacionados entre si, e
presentes em todos o controle interno.
–
–
–
–
–
Ambiente de Controle
Avaliação e Gerenciamento dos Riscos
Atividade de Controle
Informação e Comunicação
Monitoramento
Ambiente de Controle
•
•
•
•
Reflete a consciência de controle da organização, sua
“cultura” de controle.
Envolve competência técnica e compromisso ético.
Definido pela postura da alta administração (padrão
ético/integridade e compromisso), que desempenha papel
fundamental para os funcionários (exemplo de conduta).
Dá o tom real e efetivo do controle existente na organização.
Avaliação de Riscos
•
•
É a identificação dos riscos que podem afetar os principais
processos, operações e atividades da organização.
Uma vez estabelecidos os objetivos e metas, são identificados
os riscos que ameaçam o seu cumprimento e são tomadas as
ações necessárias para o gerenciamento dos riscos
identificados.
Atividades ou Práticas de Controle
•
São políticas e procedimentos estabelecidos pela
administração para mitigar as ameaças à gestão e promover o
alcance dos objetivos da organização.
- Revisões de desempenho.
- Processamento de informações (controles de aplicativos e controles gerais de TI).
- Controle físico (segurança física dos ativos e registros, limitação de acesso a
programas e arquivos de dados, contagem periódica de elementos físicos e comparação
com os valores registrados).
- Segregação de funções (com a definição de alçadas progressivas).
Sistema de Informação e Comunicação
•
•
•
A qualidade das informações afeta a capacidade da
administração de tomar decisões.
o controle deve se preocupar cada vez mais com a avaliação
de risco e segurança em ambientes eletrônicos e com as
técnicas de controle aplicadas a sistemas informatizados.
Funções e responsabilidades devem ser comunicadas sob a
forma de manuais de políticas e procedimentos internos.
Monitoramento de Controles
•
•
•
É a avaliação permanente da efetividade dos controles
internos.
Sua finalidade é verificar se os controles estão operando
conforme o pretendido e se são modificados para atender a
mudanças de condições.
O monitoramento também assegura que os controles
continuem a operar efetivamente ao longo do tempo.
Monitoramento de Controles
•
•
O acompanhamento das atividades é contínuo, devendo-se
estimular ainda mecanismos de autoavaliação, revisões
internas e auditorias internas programadas.
Auditores internos ou funcionários que exerçam funções
similares fornecem informações com regularidade a respeito
do funcionamento do controle interno, concentrando atenção
na avaliação da efetividade dos controles, e comunicam à
administração os pontos fortes e as deficiências encontradas,
apresentando recomendações para o seu aprimoramento.
Lei Sarbanes-Oxley (EUA 2002)
•
Mudanças significativas nas regras de governança corporativa:
– Aumento da responsabilidade (civil e penal) dos administradores
perante a divulgação das informações contábeis e financeiras.
– Ênfase no uso de controles internos mais rígidos.
– Avaliação, pela administração, da estrutura e da eficiência dos
controles internos como forma de eliminar a manipulação indevida
de informações.
– Gerenciamento de riscos para evitar a ocorrência de fraudes
(além de mitigar outros riscos), promovendo a transparência da
gestão.
Gerenciamento de Riscos
COSO II (2004)
Constituição
Federal
Fiscalização dos
Municípios pelo
sistema de
Controle Interno
Artigo 31
Lei 4.320
Controles
Internos
Artigos 75 a 80
1985
1964
1992
2002
2004
Controles Internos Um Modelo
Integrado
COSO I
Lei Sarbanes-Oxley
Gerenciamento
de Riscos
Corporativos Estrutura
Integrada
COSO II
1988
Comissão Nacional
sobre Fraudes em
Relatórios
Financeiros - EUA
Gerenciamento de Riscos Corporativos Estrutura Integrada
•
•
•
•
•
•
•
Alinhar o apetite a risco e a estratégia
Otimizar as decisões de resposta a risco
Reduzir surpresas e prejuízos operacionais
Identificar e administrar os riscos inerentes aos empreendimentos
Fornecer respostas integradas aos diversos riscos
Aproveitar as oportunidades
Melhorar a alocação de capital
Gerenciamento de Riscos Corporativos Estrutura Integrada
•
Ajuda os administradores a atingir as metas de desempenho e de
lucratividade da organização, e evitam a perda de recursos. O
gerenciamento de riscos corporativos contribui para assegurar
comunicação eficaz e o cumprimento de leis e regulamentos, bem
como evitar danos à reputação da organização e suas
conseqüências.
Gerenciamento de Riscos Corporativos Estrutura Integrada
•
•
•
•
um processo contínuo e que flui através da organização;
conduzido pelos profissionais em todos os níveis da organização;
aplicado à definição das estratégias;
aplicado em toda a organização, em todos os níveis e unidades, e
inclui a formação de uma visão de portfólio de todos os riscos a que
ela está exposta;
Gerenciamento de Riscos Corporativos Estrutura Integrada
•
•
•
formulado para identificar eventos em potencial, cuja ocorrência
poderá afetar a organização, e para administrar os riscos de acordo
com seu apetite a risco;
capaz de propiciar garantia razoável para o conselho de
administração e a diretoria executiva de uma organização;
orientado para a realização de objetivos em uma ou mais
categorias distintas, mas dependentes.
Gerenciamento de Riscos Corporativos Estrutura Integrada
•
Objetivos da organização são organizados em 4 categorias:
– Estratégicos – metas gerais, alinhadas com sua missão.
– Operações – utilização eficaz e eficiente dos recursos.
– Comunicação – confiabilidade de relatórios.
– Conformidade – cumprimento de leis e regulamentos
aplicáveis.
Gerenciamento de Riscos Corporativos Estrutura Integrada
•
É capaz de propiciar uma garantia razoável que a diretoria
executiva e o conselho de administração, na função de supervisão,
serão informados, no momento adequado, o quanto a organização
está avançando na direção do atendimento dos objetivos.
Componentes do Controle Interno
•
•
•
•
•
•
•
•
Ambiente Interno,
Fixação de Objetivos,
Identificação de Eventos,
Avaliação de Riscos
Resposta a Riscos,
Atividades de Controle,
Informação e Comunicação,
Monitoramento.
Ambiente Interno
•
•
Compreende o tom de uma organização.
Fornece a base pela qual os riscos são identificados e
abordados pelo seu pessoal, inclusive a filosofia de
gerenciamento de riscos, o apetite a risco, a integridade e os
valores éticos, além do ambiente em que estes estão.
Fixação de Objetivos
•
•
•
A definição de objetivos, alinhados à missão e à visão das
entidades, é necessária para permitir a identificação de
eventos que potencialmente impeçam a sua realização.
O modelo requer que todos os níveis da organização tenham
objetivos fixados e comunicados (estratégicos, operacionais,
comunicação e conformidade). E mais, como os objetivos
devem ser atingidos e como mensurar esse atingimento.
Definir os objetivos é pré-condição para a identificação dos
eventos de risco e para a avaliação e a definição das
estratégias para gerenciá-los (resposta a riscos).
Identificação de Eventos
•
•
•
Eventos são incidentes resultantes de fatores internos ou
externos.
O processo de identificação de eventos de risco pode
abranger tanto riscos negativos (ameaças), cujas
conseqüências serão perdas, como os riscos positivos
(oportunidades), cujas conseqüências serão ganhos.
O objetivo é determinar e catalogar os riscos que podem
impedir o alcance dos objetivos estabelecidos nos diversos
níveis da organização.
Identificação de Eventos
•
•
•
•
•
•
•
•
•
Risco é a probabilidade de perda ou incerteza associada ao
cumprimento de um objetivo. Para cada objetivo proposto deve
ser feito um processo de identificação dos riscos.
O que pode dar errado?
Como e onde podemos falhar?
O que deve dar certo ?
Onde somos vulneráveis?
Quais ativos devemos proteger?
Temos algum ativo líquido ou de uso
alternativo?
Como podemos ser roubados ou furtados?
Como poderiam interromper nossas
operações?
•
•
•
•
•
•
•
•
Como sabemos se nossos objetivos foram (ou
não) alcançados?
Quais informações são as mais importantes ?
Onde gastamos mais dinheiro?
Como faturamos e cobramos nossas vendas?
Quais decisões requerem mais análise?
Quais atividades são mais complexas?
Quais atividades são mais regulamentadas?
Quais são nossas maiores exposição ao risco
legal?
Avaliação de Riscos
•
Os riscos podem ser
– Operacionais (riscos de falha humana, produtos &
serviços, regulamentação, catástrofe, sinistros,
patrimonial, contrato, fraudes/desvios);
– De informação (falhas em sistemas gerenciais de
informação, integridade, confidencialidade, gestão de
dados, sistemas de validação de informações e sistema de
segurança informacional); e
– De conformidade (risco legal, risco de não cumprimento às
legislações e regulamentos aplicáveis).
Avaliação de Riscos
•
Uma vez identificados os riscos, devemos avaliá-los, levando
em conta os seguintes aspectos:
– qual a probabilidade (frequência) dos riscos ocorrerem?
– em caso de ocorrer, qual seria o impacto nas operações,
considerando os aspectos quantitativos e qualitativos?
– em sua opinião, quais ações seriam necessárias para
administrar os riscos identificados.
Avaliação de Riscos
•
•
A análise qualitativa faz a priorização dos riscos através de
avaliação e combinação de sua probabilidade de ocorrência e
impacto.
Já a análise quantitativa faz a análise numérica do efeito dos
riscos identificados nos objetivos gerais.
Resposta a Riscos
•
É o processo de desenvolver e determinar estratégias para gerenciar
os riscos identificados.
• Compete à administração, com base nos riscos avaliados, desenvolver
um conjunto de ações concretas para manter o nível de “riscos
residuais” alinhado aos níveis por ela estabelecidos de tolerância a
riscos.
• As respostas incluem evitar, reduzir, compartilhar, transferir ou aceitar
os riscos.
- Risco Inerente é o risco do negócio, do processo ou da atividade independentemente dos
controles adotados.
- Risco Residual é o risco remanescente após a mitigação por controles.
Apetite e Tolerância a Riscos
•
•
•
O apetite a risco é a quantidade de riscos, no sentido mais
amplo, que uma organização está disposta a aceitar em sua
busca para agregar valor. O apetite a risco reflete toda a
filosofia administrativa de uma organização e, por sua vez,
influencia a cultura e o estilo operacional desta.
É o equilíbrio aceitável entre crescimento, riscos e retorno.
O apetite a risco orienta a alocação de recursos entre as
unidades de negócios e as iniciativas, levando em
consideração os riscos e o plano da unidade para gerar o
retorno desejado dos recursos investidos.
Apetite e Tolerância a Riscos
•
•
A tolerância a riscos representa o nível aceitável de variação
em relação à meta para o cumprimento de um objetivo
específico, e, via de regra, é mensurada nas mesmas
unidades utilizadas para avaliar o objetivo a que está
vinculada.
Ao estabelecer a tolerância a riscos, a administração
considera o grau de importância do objetivo relacionado e
alinha essas tolerâncias ao apetite a risco global.
Atividades de Controle
•
As atividades de controle são as respostas aos riscos
planejados e definidos nas políticas e procedimentos.
Informação e comunicação
•
A organização deve estabelecer um plano de comunicações
entre os níveis hierárquicos bem como um plano de
comunicação com terceiros, clientes, fornecedores, órgãos
reguladores e acionistas.
Monitoramento
•
Os riscos corporativos são monitorados avaliando-se a
presença e o funcionamento de seus componentes ao longo
do tempo de forma contínua.
Eficácia
•
Quando se constata que o gerenciamento de riscos
corporativos é eficaz em cada uma das quatro categorias de
objetivos (estratégicos, operacionais, comunicação e
conformidade), isso significa que o conselho de administração
e a diretoria executiva terão garantia razoável de que
entenderam até que ponto, os objetivos estratégicos e
operacionais não estão realmente sendo alcançados, o
sistema de comunicação da empresa é confiável, e todas as
leis e regulamentos cabíveis estão sendo observados.
Limitações
•
•
•
•
•
Julgamento humano no processo decisório.
Custo-benefício dos controles e da resposta a riscos
Erro ou engano humano
Conluio
Administração tem o poder de recusar-se a aceitar as decisões
de gestão de riscos.
Funções e responsabilidades
•
•
•
•
Chefe do executivo é o principal responsável e deve assumir a
responsabilidade da iniciativa.
Secretários e Diretores devem apoiar a filosofia de administração de
riscos da organização, incentivar a observação de seu apetite a risco e
administrar os riscos dentro de suas esferas de responsabilidade,
conforme as tolerâncias a risco.
Diretor de riscos, diretor-financeiro, auditor interno e outros, detém
responsabilidades fundamentais de suporte.
Cada um dos empregados de uma organização tem uma parcela de
responsabilidade, devendo dar cumprimento às diretrizes e aos
protocolos estabelecidos..
Como fazer?
•
•
•
•
O planejamento estratégico oferecerá condições de definir o apetite e
a tolerância a riscos que o município está disposto a assumir.
O mapeamento de processos é fundamental para a análise dos
eventos de riscos (visualização dos fluxos de processos).
O processo de gerenciamento de riscos deve ser realizado por
unidade administrativa específica.
O estabelecimento de manuais operacionais dos principais processos
realizados no município produz informação para que todos os agentes
públicos possam se perceber dentro do processo.
Programa Fortalecimento da Gestão
•
Informações sobre o programa podem ser obtidas na unidade regional
da CGU no seu Estado ou diretamente na Coordenação-Geral de
Fomento ao Fortalecimento da Gestão e Controle Social, em Brasília.
email: [email protected]
fone: 61-2020-6727
Obrigado!
Dany Andrey Secco
Coordenador-Geral de Fomento ao
Fortalecimento da Gestão e Controle Social
DPC/SPCI/CGU-PR