UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
INSTITUTO A VEZ DO MESTRE
O PAPEL DA ÁREA DE CONTROLES INTERNOS NA GESTÃO
DE RISCO
Por: Alexandre da Conceição Hermenegildo
Orientador
Prof. Luciano Gerard
Rio de Janeiro
2010
2
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
INSTITUTO A VEZ DO MESTRE
O PAPEL DA ÁREA DE CONTROLES INTERNOS NA GESTÃO
DE RISCO
Apresentação
Candido
de
Mendes
monografia
como
à
requisito
Universidade
parcial
para
obtenção do grau de especialista em Auditoria e
Controladoria
Por: Alexandre da Conceição Hermenegildo
3
AGRADECIMENTOS
Primeiro a Deus, aos amigos Marcelo e
Kelli que me apoiaram quando mais
precisei, aos professores.
4
DEDICATÓRIA
Dedica-se a minha mãe Eliana quem
acreditou que seria possível, a minha
esposa Girlene e meu filho Alexandre
Henrique, a minhas irmãs Elaine e Beth e
meu tio Rosalvo.
5
RESUMO
O Risco inerente a qualquer atividade de negocio nas organizações, na
qual a consciência do risco e a capacidade de administrá-lo aliados a
disposição de correr risco e tomar decisões são elementos chaves. Portanto,
mapear e administrar riscos em processos tornou-se sinônimo de desafio e
oportunidade. O Controle Interno tem mostrado que o resultado das iniciativas
de negocio que o risco pode ser administrado a fim de subsidiar os gestores na
tomada de decisão, visando a alcançar objetivos e metas dentro do prazo, do
custo e das condições pré-estabelecidas de maneira eficiente para evitar
desvios ou restringi-los a um nível tolerável. Refletir sobre esta área pouco
conhecida no mercado , mas que cresceu após as series de escaldá-los
financeiros , Crises nas bolsas e queda das diversas economias do mundo
que acarretaram desconfiança do mercado investidor .
6
METODOLOGIA
Os procedimentos metodológicos utilizados pautaram-se na pesquisa
bibliográfica em assuntos que influenciam objeto do trabalho, quer sejam
através de livros editados artigos e apostilas trabalhadas durante o curso. Lei
Sarbanes Oxley Coso, PMBOOK 2000 e ISO 17799 que são diferentes
sistemas
controles estruturados com base em elementos de gestão que
permitem o gerenciamento dos riscos .
7
SUMÁRIO
INTRODUÇÃO
08
CAPÍTULO I - Lei Sarbanes-Oxley
12
CAPÍTULO II - Coso
17
CAPÍTULO III – Auditoria Interna
25
CAPITULO IV – Gestão de risco
31
CAPITULO V- Controles Internos
37
CONCLUSÃO
39
BIBLIOGRAFIA CONSULTADA
40
8
INTRODUÇÃO
A tarefa administrativa nas próximas décadas será incerta e
desafiadora, pois deverá ser atingida por uma infinidade de variáveis,
mudanças e transformações carregadas de ambigüidades e incertezas. O
administrador verá problemas diversificados e cada vez mais complexos do
que os anteriores e sua atenção será disputada por eventos e por grupos
situados dentro da organização ou Controles Internos que proporcionaram
informações para diagnostico perceptivo e visão dos problemas a resolver ou
das situações a enfrentar para mitigar os riscos de afetar profundamente a
empresa, como as exigências da sociedade, dos clientes, fornecedores,
agências regulamentadoras, os desafios dos concorrentes, as expectativas da
alta administração, dos subordinados, dos acionistas e catástrofes ambientais.
Porém essas exigências tendem a aumentar, em face da inclusão de novas
variáveis à medida que o processo se desenvolver criando uma turbulência
que complica a função administrativa de planejar, organizar, dirigir e controlar
uma empresa eficiente e eficaz. O futuro parece complicar cada vez mais essa
realidade e o papel fundamental do controle interno como ferramenta de
gestão de risco adequado à empresa e bem estruturado pela alta
administração, pode propiciar uma razoável margem de garantia de que os
objetivos e metas serão atingidos de maneira eficiente e estabelecer medidas
para evitar desvios ou restringi-los a um nível tolerável. Alguns fatores
influenciam grandes impactos nas organizações:
O mercado cada vez mais globalizado e a internacionalização dos
negócios, as empresas não enfrentam mais uma concorrência local, regional
ou setorial, e sim uma a nível mundial; por isso todo esforço desprendido
eficazmente, cada economia realizada no processo produtivo fará fardo cada
vez maior e difícil de suportar.
A
visibilidade
maior
das
Empresas,
enquanto
crescem
as
organizações, tornam-se competitivas, mais sofisticadas, internacionalizam - se
mais, e com isso aumentam sua influência ambiental, ou seja, as organizações
9
chamam mais atenção do ambiente e do publico e passam a ser mais
percebidas pela opinião publica.
Todos esses desafios trarão uma conseqüência para administração
das organizações e empresas é a Gestão de Risco, as mudanças rápidas e
bruscas,
o
crescimento
organizacional,
a
concorrência
das
demais
organizações, o desenvolvimento tecnológico, os fenômenos econômicos da
inflação a internacionalização das atividades a visibilidade e interferência da
opinião publica farão com que as organizações do novo milênio passam a lidar
não mais com a previsibilidade, continuidade e estabilidade em todos os
setores de atividade, mas com a imprevisibilidade, descontinuidade e
instabilidade.
A Gestão de Riscos, já vem sendo observada pelas agências de rating
(Standard&poors, Fitch etc) para avaliar o rating das empresas e mostrar para
o investidor quais são menos arriscados para se investir.
O risco inerente a qualquer atividade de negocio nas organizações, na
qual a consciência do risco e a capacidade de administrá-lo, aliados a
disposição de correr riscos e tomar decisões, são elementos chaves. Portanto,
mapear e administrar riscos em processos tornou-se sinônimo de desafio e
oportunidade. O resultado das iniciativas de negocio revela que o risco pode
ser administrado, a fim de subsidiar os gestores na tomada de decisão,
visando a alcançar objetivos e metas dentro do prazo, do custo e das
condições pré-estabelecidas. A implantação do gerenciamento de riscos em
processos traz vários benefícios para organização:
Melhora os padrões de governança, mediante a explicitação do perfil
de risco adotado, alem de introduzir uma uniformidade conceitual em todos os
níveis da organização operacional, estratégico, financeiro, divulgação e
compliance.
Desenho de processos claro para identificar, monitorar e mitigar os
riscos relevantes.
Aprimoramento das ferramentas de controles internos para medir,
monitorar e gerir riscos.
10
Dentro de um contexto histórico as falhas tem sido a maior
preocupação de Auditoria Interna o que para muitos conserva a conotação de
policiamento e regressiva, atuando a auditoria como uma atividade de
verificação de cumprimento de normas.
Auditoria Interna é uma atividade independente de fornecimento de
segurança objetiva e de consultoria, que visa acrescentar valor a uma
organização, uma abordagem sistêmica e disciplinada para avaliação e
melhora de eficácia de seus produtos de gerenciamento de risco, controle e
governança, ajuda a atingir seus objetivos” ( IAA –Institute of internal auditors )
Essa abordagem sistêmica e disciplinada implica que o auditor interno
segue normas profissionais que orientam a realização dos trabalhos. As
normas usuais de auditoria representam os requisitos básicos a serem
observados no desempenho do trabalho; a finalidade é a disseminação do
conhecimento sobre o papel e as responsabilidades dos auditores internos a
todos os interessados, assim como estabelecer uma base para orientação e
avaliação do desempenho da auditoria interna.
A auditoria busca verificar a existência, suficiência e qualidade dos
controles, como minimizar os riscos de forma a inserir na vida empresarial,
assessorando a alta administração, modernizando-se e participando mais
ativamente do planejamento estratégico, no estabelecimento de pontos de
controle a partir de identificação, mensuração e avaliação dos riscos, inerentes
a atividade do negocio
A premissa principal do gerenciamento de riscos empresariais é de que
toda organização exista para gerar valor para seus participantes e
interessados. Todas as organizações enfrentam incertezas, e o desafio para
gerenciar e determinar o quanto aceita de incerteza na busca do aumento do
valor para seus participantes e interessados.
As incertezas apresentam tanto risco quanto oportunidade, com
potencial para destruir ou criar valor. O gerenciamento de risco empresarial
permite a gerencia lidar efetivamente com a incerteza e com aos riscos
associados, aumentando a capacidade de construir valor.
11
Com o crescimento das empresas seus riscos quanto aos controles
também crescem, criando menos confiabilidade nos dão e informes, facilitando
erros e exercícios das fraudes casam o sistema da organização não se
ajustem a essa nova realidade. Compreender o novo universo e adptar-se a
ele constituem - se os maiores desafios dos auditores internos, principalmente,
pela falta de visão sistêmica. Cabe a auditoria interna apresentar de forma
estruturada, abrangente e periódica o resultado de avaliação do sistema de
controles internos da instituição, quanto a sua adequação e eficácia de forma a
subsidiar a administração em suas ações e atender as necessidades de
informação dos órgãos reguladores e de controle.
A finalidade deste trabalho consiste em identificar compreender
assuntos que dizem interesse a avaliação de risco e auditoria interna. A
amplitude maior será demonstrar de que maneira auditoria interna pode, ao
planejar seus trabalhos com base na avaliação desempenhar as suas
atribuições , seja verificando as ações propostas para minimizar ou mitigar os
riscos foram executados para mensurar a eficiência dessas ações, alem de
avaliar o ambiente de Controle. Veremos a seguir:
No capitulo 1 : Lei Sarbanes-Oxley –Relata as normas com a visão te
tornar a supervisão eficaz .
No capitulo 2 : Coso
No capitulo 3 : Auditoria interna
No capitulo 4 : Gestão de Risco :Apresenta uma visão sobre os riscos
e gestão, encontram formas eficazes de alcançar os objetivos organizacionais
administrando a variável risco
No capitulo 5 : Controles Internos:Expõe conceito,objetivos métodos de
avaliação e outro aspectos .
12
CAPÍTULO I
LEI SARBANES OXLEY
No mundo administrativo, a transparência nas relações entre executivos,
investidores e sociedade ganha cada vez mais importância. Uma gestão
financeira competente seguida de um rigoroso controle nos processos e
relatórios elaborados periodicamente, aliados a um código de ética e um
programa de responsabilidade social, assegura atualmente à qualquer
empresa um grau de confiabilidade muito alto, a seus investidores. Esses prérequisitos que praticamente garantem o sucesso de uma organização
ganharam maior importância no mundo corporativo, principalmente após a
implantação da Lei Sarbanes-Oxley, que obriga todas as empresas norteamericanas e as estrangeiras com atividades nesse país a seguir algumas
regras impostas pelo governo local.
A Lei Sarbanes-Oxley, basicamente determina que dentro de sua
administração, a empresa garanta controle em seus processos, transparência
em suas relações de mercado e evidencie em auditoria através de
amostragem aleatória que seus processos estão sendo executados conforme
planejado anteriormente. Através de uma política de governança corporativa
eficaz, uma organização tentará transformar a insegurança que um mercado
de renda variável provoca em seus investidores, em um ambiente mais
chamativo para captar recursos e prosperar em seus negócios.
Quando uma fraude é descoberta a principal alegação do Presidente e
seus diretores é sempre a mesma: “não tínhamos conhecimento sobre estes
fatos”, sendo assim destacamos as seções de números 302 e 404 referentes
às certificações e divulgações respectivamente, por controle interno da mesma.
Essas determinam que o Presidente e Diretores estejam conscientes do
controle interno, o que e está estruturada em 11 títulos e 69 seções, sendo que
cada um desses títulos é composto em média por 6 seções que abordam
temas específicos. A seguir serão apresentados alguns títulos da Lei Sox com
13
destaque para algumas seções que são relevantes para as empresas
brasileiras.
TítuloI: “Public Company Accounting Oversight Board”
Constitui-se de 9 seções que relatam sobre a formação do Comitê de
Auditoria; seus deveres; o exame da qualidade; o controle e a independência dos
padrões e das regras; o registro obrigatório com o conselho e as empresas de
auditoria estrangeiras.
A Lei determina que deva ser constituído um Comitê de Auditoria ou órgão
semelhante como o Conselho Fiscal (no caso brasileiro), para fiscalizar a auditoria
das companhias abertas, que estão submetidas às leis de segurança, protegendo
dessa forma os interesses dos investidores e a precisão na preparação das
informações contábeis das empresas.
O comitê de auditoria deve ser um corpo corporativo, constituído de 5
membros apontados entre indivíduos proeminentes de integridade e reputação, o
qual representará o interesse dos investidores e do público. Dos cinco integrantes
apenas dois membros precisa possuir o “certified public accountants” (semelhante
ao registro no Conselho Federal de Contabilidade no caso do Brasil), e se um
desses dois for o presidente, este não pode ter prestado serviço de contabilidade
por 5 anos antes de entrar no comitê. Cada um dos membros deve dedicar-se
exclusivamente ao comitê, e não poderão ter nenhuma outra atividade profissional
e nem receber pagamentos de uma firma de contabilidade. O mandato dos
membros do comitê é de cinco anos. É considerado ilegal a qualquer pessoa que
não seja registrada em uma empresa de auditoria preparar e emitir qualquer
relatório de auditoria.
O comitê deve, através de regras estabelecidas, adotarem os padrões
propostos por um ou mais grupos de profissionais de contabilidade. Além disso,
ele deve conduzir a continuidade do programa de inspeção e avaliar o grau de
complacência de cada empresa de auditoria e das pessoas associadas a cada
uma dessas empresas de acordo com a Lei Sarbanes-Oxley, com as regras do
comitê, da SEC ou os padrões profissionais, juntamente com o desempenho das
auditorias e a emissão de relatórios auditados.
Com relação às empresas de auditoria estrangeiras, qualquer uma delas
que prepara ou fornece um relatório auditado com respeito a qualquer conjunto de
demonstração também está sujeito ao cumprimento da Lei Sarbanes-Oxley, às
14
regras do comitê e também as regras estabelecidas para as firmas de auditoria
dos EUA.
A Lei Sarbanes Oxley foi criada após escândalos e fraudes envolvendo
empresas americanas, no Brasil, as empresas se esforçam para implementá-la
, pois propicia a segurança de que os principais riscos podem ser minimizados
a níveis aceitáveis e para isso devem existir Controles internos adequados
.Promovendo uma ampla reforma dos relatórios financeiros e de Governança
corporativa das empresas Norte Americanas e também dos emissores
estrangeiros. Nela foram exigidos procedimentos e controles que intensificam e
aumenta a responsabilidade dos executivos, regulamentado pela Securities
and Exchange Commission SEC, instituição equivalente a Comissão de
Valores Mobiliários CVM no Brasil. A lei é dividida em seções equivalentes a
artigos no Brasil.
Com o intuito de ajudar a controlar a criação, edição e versão dos
documentos em um a ambiente foi criada uma ISO 17799 e que se tornou
base para desenvolvimento de normas e praticas de segurança.
Segundo a ISO 17799, que se trata de normas e praticas de segurança
os controles são mais bem divididos de acordo com sua natureza;
Política de segurança – propõe prover a direção orientação e apoio
para uma maior segurança.
Segurança Organizacional – propõe gerenciar a segurança na
organização monitorando a exposição às ameaças, analisando os incidentes
de segurança, implementando programas de conscientização.
Classificação e controle de ativos: Sugere manter proteção adequada
de ativos como, por exemplo, a proteção de software, de equipamentos físicos,
do aquecimento do ar, da iluminação entre outros, inventariando e definindo
responsáveis.
Segurança em pessoas – objetivo desse item procura reduzir os riscos
de erro humano, roubo e fraude ou uso indevido as instalações, selecionando
as pessoas, treinando-as e aprendendo com os incidentes.
Segurança física e do ambiente – propõem a prevenção contra
acessos não autorizados, danos e interferências as informações e instalações
15
da organização estabelecendo áreas de segurança controles de entrada e
saída, instalação e proteção dos equipamentos, fornecimento de energia.
Gerenciamento das operações e comunicações – nesse caso, as
atenções estão voltadas para garantir uma operação segura e correta dos
recursos de processamento, documentando os procedimentos de operação.
Segregando funções planejamento e aceitação de sistemas por parte dos
usuários entre outros.
Controle de acesso – propõem controlar o acesso prevenido danos e
interferências as informações e instalações determinado áreas de segurança.
Protegendo a informação, conscientização os funcionários da importância de
manter a mesa e a tela limpa, com documentos importantes guardados nos
devidos lugares e fora da tela do computador para evitar acessos não
autorizados a esses documentos. Trabalhadores tendo sempre supervisão
principalmente os terceirizados.
Desenvolvimento de manutenção de sistemas – torna-se importante
para
garantir
a
segurança
dos
sistemas.
Esse
controle
propõe
o
acompanhamento da auditoria durante o desenvolvimento e controle dos perfis
para efetuar operações, tendo pessoas diferentes para cada etapa de
desenvolvimento, testes e utilização.
Gestão de continuidade do negocio – Esse controle tem atenção
voltada a evitar a interrupção das atividades do negocio e proteger os
processos críticos contra defeitos e falhas ou desastres.
Conforme vemos através desse controle, uma preocupação em evitar a
violação de qualquer lei estatutos, regulamentações ou obrigações contratuais
de qualquer requisito de segurança.
Embora existam outras estruturas de controle interno espera se qual a
do COSO torne-se o modelo prevalecente para atendimento da seção 404, por
ter sido adotado pela maioria das em presas e será o próximo capitulo.
Algumas das crises envolvendo as companhias americanas ocorreram,
principalmente, devido à falta de um controle interno eficaz, o que possibilitou
que os relatórios contábeis fossem manipulados apresentando uma situação
irreal, com falsos resultados, o que comprometeu a clara evidência da situação
16
da empresa pelos usuários das informações. Dessa forma, a Sarbanes-Oxley
passou a determinar que as empresas adotem um controle interno mais rígido
com o objetivo de garantir exatidão, confiabilidade e transparência na
divulgação das informações financeiras e dos atos da administração.
Além de ser uma exigência da lei o controle interno, proporciona
benefícios para a empresa, destacando entre eles a permissão para que esta
obtenha informações mais pontuais e tome melhores decisões operacionais;
conquiste a confiança dos investidores, evite a perda de recursos, obtenha
vantagens competitivas através de operações dinâmicas.
Exercendo seu poder de enforcement, as empresas que não
implantam um controle interno estão sujeitas às penalidades impostas pela
SEC, e ainda, à ações judiciais realizadas pelos acionistas.
Quando
os
executivos
foram
questionados
sobre
as
‘falsas’
demonstrações contábeis emitidas pelas empresas muitos têm alegado a falta
de conhecimento acerca das práticas contábeis adotadas pelas companhias.
Baseando-se neste cenário a seção 302 invalida a justificativa até então
utilizada pelos mesmos, responsabilizando o presidente (CEO- Chief Executive
Officer – executivo principal) e o diretor financeiro (CFO – Chief Financial
Officer-
8
executivo
financeiro)
na
“certificação”
das
demonstrações
financeiras. Por isso, estes executivos deverão emitir certificações trimestrais
atestando o seguinte:
Realmente são responsáveis pelo estabelecimento e a manutenção
dos controles internos;
Que projetaram esses controles (ou supervisionaram seu projeto para
assegurar que as informações materiais cheguem ao conhecimento de todos;
Que avaliaram a eficácia desses controles a cada trimestre,
apresentaram em relatório as conclusões acerca da eficácia dos controles
internos;
Que divulgaram tanto ao Comitê de Auditoria quanto aos auditores
independentes todas as deficiências relevantes identificadas no controle, e
ainda qualquer fraude envolvendo funcionários da administração ou qualquer
outro que atua significativamente nos controles internos da companhia, e
17
ainda, que revelaram nos documentos destinados à SEC todas as alterações
realizadas no controle interno para suprir as deficiências identificadas.
CAPÍTULO Il
ESTRUTURA DO COSO
O COSO surgiu através de uma comissão formada por representantes
das principais associações de classe de profissionais ligados à área financeira,
conhecida como National Commisson on Fraudulent Financial Reporting
(Comissão Nacional sobre Fraudes em Relatórios Financeiros).
Essa comissão acabou se convertendo em Comitê após a publicação em 1992
do trabalho “Internal Control – Integrated Fremework”(Controles Internos – Um
modelo Integrado).
O objetivo desse trabalho foi apresentar um conceito conciliador de
Controles Internos em razão da disparidade de interpretações sobre o assunto
e estabelecer uma matriz para gerenciamento dos riscos corporativos das
organizações, não só no aspecto financeiro, mas também em outras áreas
sensíveis ao negócio da empresa.
Segundo o relatório do Coso:
“Controle Interno é um processo, desenvolvido para garantir, com razoável
certeza, que sejam atingidos os objetivos da empresa, nas seguintes
categorias:
- Objetivos de desempenho e Estratégia
- Eficiência Operacional
- Confiabilidade das informações financeiras
- “Conformidade com as legislações e regulamentos”
De acordo com a definição acima, podemos conceituar também o
Controle Interno como sendo os mecanismos internos da empresa que se
transacionam e se interligam de acordo com sua responsabilidade e propósito
de atingimento dos objetivos estabelecidos pelos acionistas.
A matriz apresentada pelo COSO, definiu de forma ampla, a atuação
dos gestores da empresa no gerenciamento dos riscos com foco a atingir os
18
objetivos básicos. Esses objetivos tiveram as seguintes abrangências, já
citados na conceituação de Controle Interno:
- Definição e Alinhamento da Estratégia
Esse objetivo está relacionado à ligação dos Controles Internos e Riscos
com os objetivos principais da empresa, inclusive com os objetivos e metas de
desempenho e rentabilidade.
- Eficiência Operacional
Também ligado aos objetivos básicos da empresa, porém focando os
meios para garantir esses objetivos com base nos processos da empresa,
inclusive com relação a segurança das informações e salvaguarda dos
recursos e ativos.
- Confiabilidade das informações financeiras
Diz respeito ao registro e confiança das informações financeiras, quanto
a origem, publicações, consolidações, refletindo a realidade em aderência as
movimentações financeiras e contábeis da empresa.
- Conformidade / Compliance
Objetivo ligado ao cumprimento das leis, regulamentos e resoluções
aplicáveis a entidade.
O matriz do COSO, além de alinhar os objetivos dos controles internos,
também definiu o processo para gerenciamento desses controles, composto
por 5 (cinco) elementos que se relacionam:
AMBIENTE DE CONTROLE
O ambiente de controle está alinhado com a cultura da empresa com
relação à efetividade de controles em toda a organização. A alta administração
tem papel fundamental para a existência de Políticas, Diretrizes, Normas,
Procedimentos, Códigos de Ética, assim como deve facilitar a divulgação à
todos os colaboradores para que todos tenham conhecimento de suas
responsabilidades, autoridades e competências na execução dos processos
internos.
19
A partir de um padrão de trabalho definido através das políticas e
colaboradores
treinados
de
acordo
com
suas
responsabilidades
nos
processos, o cenário torna-se favorável para a implementação de controles
que garantam o cumprimento dos objetivos da empresa.
AVALIAÇÃO E GERENCIAMENTO DE RISCO
Tendo a organização objetiva e metas estabelecidas, políticas e
diretrizes definidas e processos operacionais formalizados, o cenário possibilita
a análise de riscos que podem ameaçar o atingi mento dos objetivos, assim
como permite implantar ações para o gerenciamento destes riscos.
O processo de Avaliação consiste em identificar os riscos que afetem o
alcance dos objetivos e metas definidas quanto aos aspectos operacionais,
financeiros, informação e de conformidade.
Esse processo de avaliação cabe aos gestores de cada área e também
à Auditoria Interna em sua checagem particular e confronto com a avaliação
realizada pelos responsáveis.
Gerenciar os riscos é determinar os níveis de aceitação e/ou critérios
para sua mitigação. É estudar o nível de seu impacto e suas chances de
concretização. Deve-se levar em consideração todo o ambiente interno e
também o externo, pois fatores sócio-econômicos e políticos influenciam de
forma direta e indireta no rumo da empresa quanto aos seus objetivos e
resultados esperados.
ATIVIDADES DE CONTROLE
São as atividades executadas dentro da empresa com o propósito de
controle dos riscos e vulnerabilidades dos processos. Também conhecida
como Controles Internos, essas atividades estão relacionadas ao trabalho de
supervisão e controle executado pelos responsáveis cuja atividade é descrita
no fluxo do processo. Podemos citar como exemplo os níveis de alçada pa-ra
liberação de uma despesa.
20
INFORMAÇÃO E COMUNICAÇÃO
Para a busca da eficiência nos Controles Internos dentro de uma
empresa, é necessário a formalização de suas políticas, diretrizes, normas,
procedimentos e definição clara de suas metas e objetivos. Porém, para o
funcionamento desse sistema é necessário que essas informações estejam
disponíveis em todos os níveis organizacionais, principalmente no que se
refere a responsabilidades, onde o papel de cada colaborador deve ser claro
quanto aos objetivos estabelecidos.
Além do aspecto normativo, a comunicação é fundamental para o bom
funcionamento dos controles, gestão dos riscos e informações gerenciais no
âmbito operacional, contábil, compliance e financeiro que sustentam as
decisões e o rumo dos negócios
- Monitoramento
Fase onde se avalia se os Controles Internos estão em conformidade
com o planejamento e políticas vigentes. O resultado de um monitoramento
demonstra a adequação e eficiência dos controles quanto aos objetivos
estabelecidos pela alta administração.
O monitoramento é executado de forma contínua e ao longo tempo,
pode ser realizado além do rotineiro previsto na execução dos processos, de
outras duas formas:
O primeiro é o realizado pelo gestor nos processos de sua competência.
Com base na política de controles definida pela empresa, onde se determina à
extensão e periodicidade dos trabalhos, o gestor realiza uma auto avaliação
dos riscos de sua gestão, atribuindo notas e conceitos, possibilitando
correções e ajustes necessários nos processos para o alcance dos objetivos.
O segundo é executado através de controle externo. Pode ser realizado
pela área de Auditoria Interna da empresa ou por Auditores Independentes,
através da análise e revisão dos processos e Controles Internos.
O relatório do COSO assim define controles internos:
21
“Controles internos é um processo operado
pelo
conselho
de
administração,
pela
administração e outras pessoas, desenhado
para fornecer segurança razoável quanto à
consecução de objetivos nas seguintes
categorias: a) confiabilidade de informações
financeiras; b) obediência (compliance) às
leis e regulamentos aplicáveis; c) eficácia e
eficiência das operações”. (COSO, 1992, p.
1 apud BOYNTON, JOHNSON e KELL,
2002, p. 320).
“Controles
internos
representam
um
processo. São um meio para atingir um fim,
não um fim em si mesmo. Consistem em
uma séria de ações que permeiam a infraestrutura de uma entidade e a ela se
integram,
não
que
a
ela
se
adicionam”.(BOYNTON, p.321)
Controles internos são operados por pessoas. Não são meramente um
manual de políticas e um conjunto de formulários, mas o resultado da interação
de pessoas em todos os níveis da organização – inclusive o conselho de
administração, a administração e os membros do quadro de pessoal em geral.
Pode-se esperar que controles internos forneçam segurança razoável,
não segurança absoluta, à administração e ao conselho de administração de
uma
A sigla COSO é a abreviação de Comitee of Sponsoring Organization,
ou seja, Comitê das Organizações, uma organização voluntária privada, sem
fins lucrativos, existente nos Estados Unidos.
Em razão de suas limitações inerentes e da necessidade de
consideração dos custos e benefícios relativos de sua implantação.
22
· Controles internos vinculam-se à consecução de objetivos nas
categorias de elaboração e apresentação de relatórios financeiros, obediência
a leis e aos regulamentos (compliance) e operações.
Segundo o COSO, são três as categorias de objetivos: elaboração e
apresentação de relatórios financeiros (comunicação), obediência a leis e aos
regulamentos (conformidade) e eficácia e eficiência de operações (eficácia
operacional).
De particular importância são os controles que visam a fornecer
segurança razoável de que as demonstrações contábeis preparadas pela
administração
para
usuários
externos
encontram
se
adequadamente
apresentadas de acordo com princípios contábeis geralmente aceitos. A
categoria de objetivos de conformidade também é importante, pois as
organizações são obrigadas a cumprir muitas leis e regulamentos. Por fim, a
terceira categoria – eficácia e eficiência de operações – corresponde à
salvaguarda de ativos e decisões operacionais adequadas, que assegurem
resultado satisfatório e preservem a continuidade do funcionamento da
entidade.
O modelo do COSO é representado no formato de uma matriz
tridimensional, demonstrando a integração dos elementos que o compõem.
O
modelo
do
COSO
tornou-se
referência
mundial
para
as
organizações de uma geral, como metodologia de avaliação e aperfeiçoamento
dos seus sistemas de controle interno, sendo também incorporado pelas
entidades ligadas ao setor público. Carvalho Neto e Silva (2009, p. 10)
destacam que o Banco Interamericano de Desenvolvimento - BID, o Banco
Mundial, a Organização das Entidades Fiscalizadoras Superiores dos Países
membros da ONU- Intosai e o U.S. Governement Accountability Office – GAO
também reconheceu e adotou o modelo do COSO.
“Na linha do estudo do COSO, modelos
de
controles
internos
utilizando
o
gerenciamento de riscos em sua base
conceitual passaram a ser desenvolvidos
23
e utilizados por diversos países, como o
Cadbury no Reino Unido, o Coso no
Canadá, o Standard AZ/NZS 4360-1999
na Austrália e Nova Zelândia e o King
Report na África do Sul, e têm sido um
enorme marco no progresso da auditoria
interna e governança nesses países”.
(DAVIS, BLASCHEK, p.11 apud Carvalho
Neto e Silva, p. 10).
Nos anos recentes, intensificou-se o foco e a preocupação com o
gerenciamento de riscos, e tornou-se cada vez mais clara a necessidade de
uma estratégia sólida, capaz de identificar, avaliar e administrar riscos. Em
2001, o COSO iniciou um projeto com essa finalidade e solicitou à Price
waterhouse Coopers que desenvolvesse uma estratégia de fácil utilização
pelas organizações para avaliar e melhorar o próprio gerenciamento de riscos.
O período de desenvolvimento dessa estrutura foi marcado por uma
série de escândalos e quebras de negócios de grande repercussão, que gerou
prejuízos de grande monta a investidores, empregados e outras partes
interessadas. Na esteira desses eventos, vieram solicitações de melhoria dos
processos de governança corporativa e gerenciamento de riscos, por meio de
novas leis, regulamentos e de padrões a serem seguidos.
O resultado foi à publicação, em 2004, do modelo Enterprise Risck
Management – Integrated Framework (Gerenciamento de Riscos Corporativos
– Estrutura Integrada), também conhecida como COSO ERM ou COSO II, que
amplia seu alcance em controles internos, oferecendo um enfoque mais
vigoroso e extensivo no tema, abrangendo o gerenciamento de riscos
corporativos. A estrutura de gerenciamento de riscos passou a compreender
oito componentes integrados e inter-relacionados, quais sejam: ambiente
interno; fixação de objetivos; identificação de eventos; avaliação de riscos;
resposta a riscos; atividades de controle; informação e comunicação;
monitoramento.
24
Na presente pesquisa, utiliza-se a estrutura integrada de controles
internos, como principal referência para o processo de avaliação de controles,
sem perder de vista a perspectiva de avaliação de riscos, como um dos
componentes fundamentais de controle interno.
Todavia, cabe ressaltar excelente trabalho de pesquisa desenvolvido
por LIOTTO7 (2004), em que analisa a aderência da metodologia do TCU, em
uso na época, para identificação de riscos em sua clientela, com a metodologia
do COSO, relativa ao gerenciamento de riscos, apresentando importantes
considerações ao comparar os métodos. Esse profissional aponta a seguinte
conclusão acerca do último estudo do COSO, quando comparado ao anterior:
De certa forma, a teoria apresentada pelo Coso modifica o
entendimento exposto na Revisão da Literatura, inclusive o entendimento do
próprio Coso expresso no documento Internal Control – Integrated Framework,
de 1992. Ao incluir o conceito de ação de resposta ao risco e relacionar a
atividade de controle diretamente a essas ações, criou-se uma nova dimensão,
certamente mais apropriada à realidade de gerenciamento de uma instituição.
Como discutido, não são as atividades de controle que reduzem o risco, mas
as ações de resposta ao risco. E os controles servem para garantir a
efetividade e oportunidade dessas ações. LIOTTO,
25
CAPÍTULO Ill
AUDITORIA INTERNA
A palavra controle, em sentido amplo, significa o ato ou o processo de
fiscalização exercido sobre determinadas atividades para que não se desviem
do que foi planejado ou das normas preestabelecidas. Portanto, o controle
existe para assegurar o alcance de um objetivo, eliminando ou reduzindo os
riscos2 de que esse objetivo não seja atingido.
“Estando perfeitamente incorporada ao
nosso idioma, a palavra controle pode
assumir
as
seguintes
acepções:
dominação; direção; limitação; vigilância;
verificação;
registro”.(BERGERON,p.22
apud ARAÚJO, p.28)
Controle, portanto, é de suma importância para as organizações, sejam
elas públicas ou privadas, pois constituem um processo organizado, conduzido
pelos seus administradores e demais empregados, com a finalidade de
assegurar que a atividade controlada está ou não alcançando os objetivos ou
os resultados desejados. Esse processo é denominado de controle interno ou
controle interno administrativo.
Ao tratar do tema, Carvalho Neto e Silva (2009, p. 4) apresentam
importante contribuição, mediante a seguinte definição:
Controle interno, controles internos e sistema ou estrutura de
controle(s) interno(s) são expressões sinônimas, utilizadas para referir-se ao
processo composto pelas regras de estrutura organizacional e pelo conjunto de
políticas e procedimentos adotados por uma organização para a vigilância,
fiscalização e verificação, que permite prever, observar, dirigir ou governar os
eventos que possam impactar na consecução de seus objetivos. É, pois, um
26
processo organizacional de responsabilidade da própria gestão, adotado com o
intuito de assegurar uma razoável margem de garantia de que os objetivos da
organização sejam atingidos.
A partir do surgimento de empresas formalmente constituídas, os
auditores deixam de ser públicos para atender às necessidades de suas
organizações.
Esses auditores internos tinham, inicialmente, a responsabilidade
quase exclusiva de revisar e conferir valores e documentos, como extensão da
função dos auditores públicos.
Com a evolução das práticas comerciais e da inter-relação entre as
entidades, a administração passa a necessitar de alguém que lhe afirme que
os controles e as rotinas de trabalho estão sendo habilmente executados e que
os dados contábeis merecem confiança, por espelharem a realidade
econômica e financeira da empresa.
Neste contexto a Auditoria Interna assume importância, para
desempenhar os papéis de revisar seu próprio trabalho, que nem sempre é
tarefa simples e auxiliar a controladoria na conscientização das áreas quanto a
uma visão integrada de todo o processo empresarial.
OBJETIVO DA AUDITORIA INTERNA
A Auditoria Interna tem como objetivo macro prestar ajuda à
Administração, possibilitando-lhe o conhecimento da forma como desenvolve
suas atividades, oferecendo condições para um desempenho adequado de
suas obrigações, proporcionando análise, apreciações, recomendações e
comentários objetivos e/ou convenientes acerca das atividades investigadas.
ALCANCE E ATIVIDADES DA AUDITORIA INTERNA
Qualquer fase das atividades da empresa que possa ser de utilidade à
administração. São atividades básicas da Auditoria Interna:
27
•
Revisar e avaliar a eficácia, suficiência e aplicação dos controles
contábeis, financeiros e operacionais;
•
Determinar o grau de confiança das informações contábeis e de outras
naturezas.
•
Observar normas internas e legislação pertinente.
•
Avaliar a qualidade alcançada na execução de tarefas determinadas
para o cumprimento das respectivas responsabilidades.
RESPONSABILIDADES DO AUDITOR INTERNO
São as seguintes as responsabilidades do auditor interno:
Observar com maior rigor do que qualquer outro empregado, os
regulamentos internos da empresa;
Manter alto padrão de comportamento moral e funcional;
Ser discreto, não se utilizando de fatos apurados para proveito próprio;
Reportar eventuais sugestões sobre possíveis melhorias de sistemas
de controle ou trabalho;
Só reportar fato que possam ser comprovados por documentos
verificados e que não possam ser contestados;
Manter sempre presente perante os setores que audita não tem função
de espião ou fiscal, mas sim de empregado categorizado, que tem funções
definidas dentro da organização.
ÉTICA DO AUDITOR INTERNO
O técnico no papel de Auditor Interno deverá ter no seu trabalho
constante atenção para os seguintes princípios éticos:
•
Respeitar sempre a hierarquia imposta;
•
Pedir em vez de exigir colaboração;
•
Manter sigilo sobre informações obtidas;
•
Portar-se conforme sua função e posição;
28
•
Observar usos e costumes geralmente aceitos.
INDEPENDÊNCIA DO AUDITOR INTERNO
Quanto ao seu modo de operação, o Auditor Interno deve fazê-lo com
tranqüilidade e segurança, consciente de que deve desenvolver suas
atividades com independência, fundamentado nos seguintes fatores:
Possuir liberdade para investigar, selecionar e executar suas atividades
(acesso irrestrito);
Exercer apenas o papel de assessor, cabendo aos gestores tomarem
decisões apropriadas;
Isolar-se das demais áreas operacionais, com um aspecto de atitude
mental.
SEMELHANÇAS ENTRE AUDITORIA INTERNA E EXTERNA
Procedendo-se uma análise comparativa entre a Auditoria Interna e a
Externa, chega-se a conclusão que elas têm muitas semelhanças, quais sejam:
Utilizam-se praticamente das mesmas técnicas:
•
Formulam sugestões de melhorias para deficiências encontradas
•
Modificam a extensão de seus trabalhos de acordo com as suas
observações e a eficiência dos sistemas contábeis e de controle interno
existentes.
A seguir uma visão significativa dessas semelhanças:
Auditoria Interna
1. Realizada por um funcionário da empresa.
2. A revisão das atividades da empresa é contínua.
29
3. O objetivo principal é atender as necessidades da administração no
cumprimento de políticas e normas, sem estar restrito aos assuntos
financeiros.
Auditoria Externa
1. Contratação de um profissional independente.
2. O
exame
das
informações
comprobatórias
das
demonstrações
financeiras é periódico, geralmente trimestral ou anual.
3. Atende às necessidades de terceiros quanto à fidedignidade das
informações financeiras e determina a extensão do exame.
É importante frisar que a existência de auditoria externa não elimina a
necessidade da auditoria interna e tampouco a recíproca é verdadeira, já que
suas funções e objetivos são diferentes. Entretanto, um trabalho conjugado
entre as auditorias pode ser por ambas utilizadas para se evitar a duplicidade
do trabalho.
Uma integração eficiente entre a Auditoria Interna e Externa
possibilitará ganhos significativos para a entidade, tais como:
1. Redução dos honorários
2. Intercâmbio de informações
3. Direcionamento de trabalhos
4. Maior segurança ao auditor externo pela extensão e qualidade
dos trabalhos realizados pelo auditor interno
5. Cumprimento de prazos
A auditoria interna constitui o conjunto de procedimentos técnicos que
tem por objetivo examinar a integridade, adequação e eficácia dos controles
internos e das informações físicas, contábeis, financeiras e operacionais da
entidade.
30
O auditor interno deve obter analisar, interpretar e documentar as
informações físicas, contábeis, financeiras e operacionais para dar suporte aos
resultados de seu trabalho.
Auditoria
interna
é
a
unidade
responsável
pela
análise
das
demonstrações contábeis e apreciação de atos e fatos administrativos da
empresa. Todo o controle orçamentário, financeiro e patrimonial sobre a
movimentação de bens e valores da empresa é realizado por esta unidade.
Os procedimentos de auditoria interna são os exames, incluindo testes
de observância e testes substantivos, que permitem ao auditor interno obter
provas suficientes para fundamentar suas conclusões e recomendações.
O planejamento do trabalho de auditoria interna compreende os exames
preliminares da PME, para definir a amplitude do trabalho a ser realizado de
acordo com as diretivas estabelecidas pela administração.
31
CAPITULO IV
GESTÃO DE RISCO
A administração é um fenômeno universal no mundo moderno.Cada
organização requer a tomada de decisões , a coordenação de múltiplas
atividades , a condução de pessoas ,a alocação de diferentes recursos ,etc.Ao
longo dos anos, diversas teorias, com diferentes abordagens surgiram com o
propósito
de
encontrar
formas
mais
eficazes
de
alcançar
objetivos
organizacionais , da teoria clássica de Taylor e Fayol, ate as mais atuais ,
teoria dos sistemas e teoria da contingência , aspectos como conceito da
organização, ênfase nas tarefas ,pessoas ,estrutura , no ambiente , na
tecnologia , comportamento organizacional do individuo tem recebido
diferentes interpretações.
Risco é uma realidade que faz parte do cotidiano humano, desde os
mais remotos tempos o homem tem tentou se defender dos riscos que o
cercavam. Nos tempos atuais, a idéia de risco é associada à possibilidade que
algo ruim aconteça. Porem segundo Bernstein (1997), a origem da palavra
risco vem do italiano antigo, “risicare”, que significa “ousar”, portanto uma
opção e não um destino. A maioria das decisões de uma pessoa envolve uma
escolha, uma opção entre algum tipo de risco e a recompensa a ele associada.
O risco é inerente a qualquer atividade de negócio nas organizações, na
qual a consciência do risco e a capacidade de administrá-lo, aliadas a
disposição de correr riscos e tomar decisões, são elementos chave. Portanto,
mapear e administrar riscos em processos tornou-se sinônimo de desafio e
oportunidade. O resultado das iniciativas de negócios revela que o risco pode
ser administrado a fim de subsidiar os gestores na tomada de decisão, visando
a alcançar objetivos e metas dentro do prazo, do custo e das condições préestabelecidas.
32
O modelo de mapeamento e gerenciamento de riscos em processos é
um instrumento de tomada de decisão que visa a melhorar o desempenho dos
processos pela identificação de oportunidades de ganhos e de redução de
probabilidade e/ou impactos de perdas, indo além do cumprimento de
demandas regulatórias.
A implantação do Gerenciamento de riscos em processos traz vários
benefícios para a organização, quais sejam:
a. Melhora os padrões de governança, mediante a explicitação do
perfil de riscos adotado, além de introduzir uma uniformidade conceitual em
todos os níveis da organização: operacional, estratégico, financeiro, divulgação
e compliance
b. Desenho de processos claro para identificar,monitorar e mitigar
os riscos relevantes;
c. Aprimoramento das ferramentas de controle interno para medir,
monitorar e gerir riscos
d. Definição de metodologia para mensurar, priorizar riscos e
definição de resposta ao risco, mitigando-os após uma análise custo-benefício.
A intenção não é mitigar todos os riscos identificados, mas obter uma resposta
ao risco que seja condizente com a exposição, estratégia e custos.
e. Identificação de riscos cross-function, ou seja, aquele risco que se
materializa ou potencializa quando uma determinada área ou outro processo
deixa de possuir controles eficazes.
f. Identificação dos controles diretos em nível de entidade (entity
level controls) que abrangem toda a organização e não somente os processos
operacionais.
O gerenciamento de risco é o meio pelo qual estas incertezas são
sistematicamente gerenciadas para garantir que os objetivos (prazo, custo e
qualidade) do projeto sejam alcançados. É importante ressaltar que os
objetivos do projeto não se limitam apenas a tríplice restrição, mas está é outra
discussão.
33
A ação sistemática de trabalhar nos riscos do projeto é o grande
diferencial, pois o enfoque e a continuidade aumentam a capacidade de
identificação, controle e redução dos riscos.
Os princípios de gerenciamento do risco podem ser aplicados a todos os
aspectos do negócio e a todos os ramos de atividade, não ficando limitado ao
mundo dos projetos ou mesmo da área de engenharia ou tecnologia. A gestão
de risco já está inserida há muito tempo no mundo dos negócios em setores
como Seguros, Energia Atômica, Petrolífera entre outros. Estas empresas
criaram ao longo do tempo uma cultura de gestão do risco, e praticam esta
cultura, pois entendem que este é fundamental para o seu negócio.
A importância do gerenciamento de risco agora é evidente no mundo
todo. Uma gestão mais eficiente dos riscos, por exemplo, poderia ter evitado
grandes prejuízos a acionistas e investidores nestes tempos de crise
financeira.
Muitos gerentes de projetos já chegaram a conclusão que a gestão de
risco é a ferramenta que lhe permite se sobressair perante outros, pois
proporciona capacidade de tomar ações sobre circunstâncias quais levariam o
projeto a comprometer seus objetivos.
Em uma visão mais abrangente poderíamos dizer que o papel principal
do gerente de projetos é gerenciar riscos. O gerente de projetos trabalha para
evitar o risco de o cronograma atrasar, risco do custo ficar além do esperado,
risco do produto ser entregue com falhas.
Mesmo com a responsabilidade maior sob gerente de projeto, o
gerenciamento do risco é uma atividade da equipe, pois permeia todo o outro
plano e ações do projeto, entretanto é de sua responsabilidade liderar e manter
a gestão de risco como cultura operacional do
projeto e levar à alta
administração a importância de se gerir riscos.
O gerenciamento de risco, mais do que estabelecer margens de risco,
deve influenciar as decisões e planejamento do projeto. Podemos entender
que metodologicamente os planos do projeto são as entradas para o processo
de gestão do risco, mas o gerenciamento do risco é bem mais complexo do
que isso.
34
Na gestão moderna de projetos, os gerentes de projeto tem tratado o
gerenciamento de risco de forma burocrática e procedimental, onde a gestão
de risco se reduz a (1) identificar o risco, (2) desenvolver respostas ao risco e
(3) controlar os riscos. O gerente de projeto deve entender que gerir risco é
estar além de uma lista de possíveis problemas com suas probabilidades e
impactos.
O gerenciamento dos riscos analisa os resultados do planejamento, as
pessoas e as condições do projeto e de forma crítica trabalha para encontrar
os pontos fracos que possam comprometer a entrega do projeto.
O processo de gerenciamento de riscos deve ser contínuo e recorrente
durante todo o projeto, tendo como resultado a atualização do plano de
gerenciamento de risco no final de cada fase. Assim será possível a avaliação
dos riscos de cada fase e as suas conseqüências no projeto, bem como
garantir que novos problemas sejam rapidamente identificados e avaliados.
Sempre que o planejamento do gerenciamento de riscos é iniciado é
importante ter em mente algumas questões e considerações que o tornarão
mais consistente e eficaz. Mais do que seguir a clássica abordada de gestão
de risco é importante pensar que apesar de existir um padrão mínimo, como
questões contratuais ou legais, o gerenciamento de risco deve ser
personalizado a cada projeto. O processo de gerenciamento do risco é cíclico é
repetível durante todo o projeto. Sempre que um novo ciclo do projeto for
iniciado o gerente de projetos deve considerar:
Todos os passos e processos estão presentes?
Os passos estão na ordem correta?
Os passos têm igual importância?
O processo está bem estruturado?
O processo é iterativo?
O processo é contínuo?
O processo começa logo na fase inicial do projeto?
O processo é atualizado a cada fase do projeto?
É incrível como muitas empresas, com suas metodologias próprias ou
não, deixam de contemplar todos os passos fundamentais na gestão de risco
35
ou quando estes existem são tratados de forma displicente ao ponto de não
serem tratados com a mesma importância e formalidade, assim deixam de ser
alternativas consistentes de mitigação e contingenciamento dos riscos. Por
exemplo, quando a gestão de risco é tratada como sendo a identificação do
risco propriamente dito.
O nome de cada etapa do processo de gerenciamento de risco não é
importante e são eventualmente diferentes de uma metodologia para outra,
mas o fundamental é que os passos elementares apresentados acima sejam
de fato executados.
A prática da gestão de risco tem demonstrado que a ausência de
alguma etapa no processo ou até mesmo a priorização de uma etapa em
detrimento de outra tem levado a uma menor eficácia, o que muitas vezes
induz a equipe e até mesmo os executivos da companhia a não dar o devido
valor a gestão de riscos.
Segundo o professor Edmund H. Conrow em seu livro Effective Risk
Manament: Some Keys to Success “Um processo bem estruturado inclui dados
iniciais, ferramentas e técnicas claramente definidos, assim como o resultado
de cada etapa. Também abrange um conjunto de procedimentos para cada
processo, documentação adequada e orientação para a comunicação de
resultados.”
Outro
ponto
que
tem
desvalorizado
a
gestão
de
risco
é
o
comprometimento da liderança do projeto com a gestão dos riscos. A
implementação tem que partir de cima no nível de diretoria onde á a tomada
decisão, assim toda a equipe se sentirá motivada e a cultura de gestão de
risco irá permear por todo o grupo de trabalho do projeto. Sem um
compromisso formal e efetivo da gestão do projeto, nos seus diversos níveis, a
equipe não sentirá A especial importância em uma prática diária a gestão de
risco. Em se falando de gestão de risco o exemplo do time de liderança do
projeto é fundamental.
Por último, a melhor e mais eficiente maneira de gerenciar os possíveis
riscos do projeto é através da experiência adquirida. Nenhuma metodologia ou
processo irá substituir a lições aprendidas em projetos anteriores. O
36
conhecimento adquirido com projetos anteriores encurta tem se demonstrado
uma excelente ferramenta de gestão de risco e deve ser aproveitada pelo
gerente de projetos e sua equipe.
A gestão dos riscos deve buscar a critica constante, considerar todas as
perspectivas possíveis, valer-se das lições aprendidas e, por mais pessimista
que possa parecer levar em conta que se algo pode dar errada, vai dar - A lei
de Murphy deve ser o mantra da gestão de risco.
Hoje, os gerentes de projetos possuem qualificação e ferramentas para
uma gestão de riscos efetiva. Eles têm uma visão mais ampla do projeto e
conseguem vislumbrar tanto questões de negócio quanto questão técnicas, e o
mais importante: A alta administração da organização tem dado poderes para
tal.
ATRIBUIÇÕES DO GESTOR DE RISCO
1. Controlar os indicadores de risco previamente definidos pelo gestor de
cada área.
2. Colocar em pratica planos de contingência nos casos em que o risco se
concretizar.
3. Formar equipes e times para o tratamento de risco.
4. Monitorar e projetar os atributos de risco no médio e longo prazo,
principalmente
os
atributos
probabilidade
de
ocorrência
e
impacto/conseqüência.
5. Programar mudanças que possam mitigar os riscos
6. Avaliar e comparar o desempenho de riscos, através de indicadores ou
através de observações dos eventos que podem ocasionar as perdas
mapeadas pelos riscos.
7. Identificar necessidade de mudanças, novas pratica de execução.
Não podemos deixar que a alta administração entenda a gestão de risco
como um custo adicional, mas sim com investimento na prevenção e no
sucesso do projeto.
37
Durante a execução de um projeto novos riscos, pequenos ou grande
aparecerão. O sucesso do projeto virá através através de gerenciamento
constante dos riscos deve ser feito durante toda a vida do projeto.
Então o que é um bom gerenciamento de riscos? Esta é uma pergunta
difícil de responder, mas tentaremos no próximo artigo. Por enquanto fica o
entendimento de que não gerenciar os riscos é o maior risco do projeto. Gerir
riscos é gestão de projeto de alto nível.
CAPITULO V
CONTROLES INTERNOS
Entende-se por controles internos, todos os instrumentos da empresa
que a isso são destinados á vigilância, fiscalização e verificação administrativa
que permitam observar, dirigir ou governar acontecimentos que são
observados na empresa e que produzem reflexos no patrimônio.
“Controle
ou
interno, controles internos e sistema
estrutura
expressões
de
controles
utilizadas
para
internos
são
referir-se
ao
processo composto pelas regras de estrutura
organizacional e pelo conjunto de políticas e
verificação, que permite prever, observar,
dirigir ou governar os eventos que possam
impactar na execução de seus objetivos. É,
pois,
um
processo
organizacional
de
responsabilidade da própria gestão, adotado
38
com o intuito de assegurar uma razoável
margem de garantia de que os objetivos da
organização sejam atendidos”. (CARVALHO
NETO E SILVA, p 4.)
A avaliação do controle interno é, pois, o processo auxiliar de auditoria
através do qual medimos capacidade dos meios utilizados por uma empresa
ou instituição para proteger seu patrimônio e os objetivos deste. Uma empresa
pode possuir excelentes normas de trabalho, todavia , se o seu pessoal não as
executa , haverá sempre deficiências. Ao longo do tempo, auditoria interna e
externa tem acentuado a necessidade de fortes sistemas de controle interno,
pois a ausência de controles adequados para as empresas de estrutura
complexa expõe á inúmeros riscos infundaveis de toda a espécie. Enfim os
controles internos compreendem o plano de organização e conjunto
coordenado de método e medidas adotadas pela empresa, a fim de proteger o
seu patrimônio, verificar a exatidão e o grau de seguranças por eles
proporcionados e com base nesses elementos, estabelecer a natureza,
extensão e a profundidade dos procedimentos de auditoria.
Como conseqüência natural de estudo e avaliação do sistema de
controles internos, o auditor independente deve oferecer á empresa sugestões
construtivas que resultem no aperfeiçoamento dos controles internos O
controle se relaciona com todas as outras funções da administração,
especialmente com o planejamento e é afetado e influenciado por elas.
Alguns aspectos contribuem para um bom sistema de controles internos
ressalta-se que existem limitações inerentes , que devem ser reconhecidas ao
se considerar a eficácia do meio de controle .Esses aspectos são:
-Relação custo-benefício.
-Definição de responsabilidade e autoridade.
-Segregação de funções.
-Estabelecimento de comparação e provas independentes.
-Pessoal.
39
O processo de controle interno continuo deve ser conduzido por todos
integrantes da instituição, a eficácia não significa atingir os objetivos sem risco,
mas sim fazê-lo de forma que o resultado esteja compreendido na faixa de
variação aceita.
Modelos de avaliação de controle interno:
Cobit (controls objectvs for information and related technology)
SAC (Sistems auditability and control)
COSO (Internal control)
CSA (control self assessment )
CONCLUSÃO
Este trabalho apresentou um comparativo entre três processos para
um gerenciamento de riscos, o PMBOK, o CMMI-SW e o RUP, com o objetivo
principal de chegar a um consenso sobre os pontos de convergência e
divergência entre cada um dos modelos.
A partir desta comparação ficou claro que nos três modelos
encontramos diversos pontos em comum, comprovando a importância do
tratamento das incertezas para os projetos de software, todavia notou-se que
somente o processo de Análise Quantitativa dos Riscos do PMBOK não é
descrito independentemente nos outros modelos. Alguns outros pontos que
devemos ressaltar é que o PMBOK não é elaborado visando especificamente o
desenvolvimento de software, o que faz que todos os processos sejam
descritos de uma forma extremamente minuciosa, isto devido ao fato deste
modelo ser utilizado por diversas áreas da indústria, além disso, também são
sugeridas pequenas descrições para eventualmente incorporar a lista de
riscos, o que também não ocorre em nenhum dos outros dois modelos.
40
Conclui-se então, sobre todos os fatos expostos, que qualquer que
seja o modelo escolhido para o gerenciamento de riscos, todos os três atingem
de uma maneira parecida o tratamento das incertezas e que este processo é
de vital importância quando estamos visando à qualidade dos serviços
prestados, contudo verificamos que ao utilizarmos o PMBOK não estamos
utilizando um modelo específico para o desenvolvimento de software, ou seja,
existe a falta de ligação explícita com as especificidades ao longo do
desenvolvimento de software.
A visão dos modernistas é implantar sistemas seguindo os modelos
norte americanos e os enquadrá-los, ao longo tempo a forma Nacional. A
gestão de risco é um ciclo, continuo de ações regidos por normas e
regulamentos, no intuito de mitigar os riscos, pois sabemos que eles existem e
podem impactar nas organizações , de forma que haja dispêndio de forças
elevadas para as empresas , com perdas , muito das vezes irreparáveis .
BIBLIOGRAFIA CONSULTADA
Apostila da prof:Luciana Madeira
Apostila do prof:Jônias Bueno
ATTIE, William. Auditoria: Conceito e Aplicações. 2ª ed., São Paulo: Atlas,
1984.
CHIAVENATO,Idalberto.Introdução a teoria geral da administração, Rio de
Janeiro:Campus,2000
,
SANTI, Paulo Adolpho. Introdução à Auditoria. 1ª ed., São Paulo: Atlas, 1988.
GIL, Antônio de Loureiro. Auditoria Operacional e de Gestão. 5ª ed. São Paulo:
Atlas, 2000.
CONROW, Edmund H.; Effective Risk Management: Some Keys to Sucess. 2ª
Edição. VA, Reston. American Institute of Aeronautics and Astronautics, 2003.
GUSMÃO, Cristine; MOURA, Hermano. Gerência de Risco em Processos de
Qualidade de Software: uma Análise Comparativa, In: V SIMPÓSIO
41
BRASILEIRO DE QUALIDADE DE SOFTWARE, Porto de Galinhas: UFPE,
2005.
KERZNER, Harold; Gestão de Projetos – As Melhores Práticas. 2ª Edição.
Porto Alegre: Bookman, 2006.
MARTINS, Leonardo. Gestão Profissional de Projetos, Disponível em:
http://www.ietec.com.br/ietec/techoje/materias_tec/gestaodeprojetos/dtml_mate
ria?id=http://www.ietec.com.br/ietec/techoje/techoje/gestaodeprojetos/2003/10/
10/2003_10_10_0003.2xt. Acesso em: 01 de fev. de 2008.
PROJECT MANAGEMENT INSTITUTE – PMI. A Guide to the Project
Management Body of Knowledge, PMI Publishing Division, 2000. Disponível
em: http://www.pmi.org. Acesso em: 01 de fev. de 2008
PROJECT MANAGEMENT INSTITUTE – PMI. A Guide to the Project
Management Body of Knowledge, PMI Publishing Division, 2004. Disponível
em: http://www.pmi.org. Acesso em: 03 de fev. de 2008
RATIONAL SOFTWARE CORPORATION. Rational Unified Process, Version
2003.06.00.65, Rational Software Corporation, Cupertino, California, 2003. 1
DVDROM.
ROCHA, Pascale; BELCHIOR, Arnaldo. Mapeamento do Gerenciamento de
Riscos no PMBOK, CMMI-SW e RUP, In: VI SIMPÓSIO INTERNACIONAL DE
MELHORIA DE PROCESSO DE SOFTWARE, Fortaleza: UNIFOR, 2004.
SOFTWARE
ENGINEERING
INSTITUTE
-
SEI.
CMMI
for
Systems
Engineering/Software Engineering, Version 1.1. Pittsburg: Carnegie Mellon
University, 2002.
SOMMERVILLE, Ian. Engenharia de Software. 6. Ed. São Paulo: Addison
Wesley, 2004.
WIDEMAN, Max R.; Project & Program Risk Management – A Guide to
Managing Project Risk & Opportunities. (The PMBOK handbook series: v.no.6).
Four Campus Boulevard, Pennsylvania, 1992.
www.iavm.edu.br : Monografia on-line.
42