Programa Fortalecimento da Gestão Coordenação-Geral de Fomento ao Fortalecimento da Gestão e Controle Social Diretoria de Prevenção Secretaria de Prevenção

Programa Fortalecimento da Gestão

Coordenação-Geral de Fomento ao Fortalecimento da Gestão e Controle SocialDiretoria de Prevenção

Secretaria de Prevenção à Corrupção e Informações EstratégicasControladoria-Geral da União

Controle Interno e Gerenciamento de RiscosModelo COSO

• Com o crescimento dos municípios, de suas estruturas de gestão e das demandas dos cidadãos pelos serviços públicos, cresce também a necessidade dos dirigentes em obter informações fidedignas de cada área governamental.

• Em outras palavras, um sistema que promovesse o controle das ações governamentais, traria segurança ao gestor na tomada de decisões e garantiria a governança.

O que é e para que serve um controle interno?

• Governabilidade = dimensão estatal do exercício do poder• Governança = modus operandi das políticas governamentais

• A governança está ligada ao formato político-institucional do processo decisório, à definição do mix apropriado de financiamento de políticas e ao alcance geral dos programas, englobando a sociedade como um todo.


• A necessidade de garantia da governança e de estruturação de um sistema de controle também existe na iniciativa privada.

• Diante da pergunta de como estruturar esse sistema chegava-se a respostas diversas - gestores, auditores internos, servidores, funcionários das controladorias.

• Mas havia uma determinação legal para que o ente federativo implementasse seu controle interno.


• Em uma primeira fase houve o cumprimento da determinação legal, criando cada município uma estrutura própria de controle, seja um controlador, seja uma controladoria.

• Contudo, para garantir o funcionamento dessa estrutura havia

necessidade de um modelo e uma definição para controle interno.

• Semelhante situação existia na iniciativa privada.


• Em 1985, foi criada, nos Estados Unidos, a National Commission on Fraudulent Financial Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros), uma iniciativa independente, para estudar as causas da ocorrência de fraudes em relatórios financeiros/contábeis.

• Em 1992 publicaram o trabalho "Internal Control – Integrated Framework" (Controles Internos - Um Modelo Integrado). Esta publicação tornou-se referência mundial para o estudo e aplicação dos controles internos.

Histórico - COSO

• A Comissão transformou-se em Comitê, que passou a ser conhecido como COSO - The Comitee of Sponsoring Organizations (Comitê das Organizações Patrocinadoras).

• O COSO é uma entidade sem fins lucrativos, dedicada à melhoria dos relatórios financeiros através da ética, efetividade dos controles internos e governança corporativa.

Histórico - COSO

• É patrocinado por cinco das principais associações de classe de profissionais ligados à área financeira nos Estados Unidos:

• AICPA – American Institute of Certified Public Accounts (Instituto Americano de Contadores Públicos Certificados

• AAA - American Accounting Association (Associação Americana de Contadores)

• FEI - Financial Executives Internacional (Executivos Financeiros Internacional)

• IIA - The Insititute of Internal Auditors (Instituto dos Auditores Internos• IMA - Institute of Management Accountants (Instituto dos Contadores

Gerenciais)

Histórico - COSO

• "Controle Interno é um processo operado pela administração, desenhado para fornecer segurança razoável quanto ao atingimento dos objetivos relacionados à:

• Eficiência e eficácia (efetividade) operacional (objetivos de desempenho ou estratégia): esta categoria está relacionada com os objetivos básicos da entidade, inclusive com os objetivos e metas de desempenho e rentabilidade, bem como da segurança e qualidade dos ativos;

• Confiança nos registros contábeis/financeiros (objetivos de informação): todas as transações devem ser registradas, todos os registros devem refletir transações reais, consignadas pelos valores e enquadramentos corretos;

• Conformidade (objetivos de conformidade) com leis e normativos aplicáveis à entidade e sua área de atuação.

Definição Controle Interno - COSO

• Processo é constituído de 5 elementos, que estão inter-relacionados entre si, e presentes em todos o controle interno.

– Ambiente de Controle– Avaliação e Gerenciamento dos Riscos– Atividade de Controle– Informação e Comunicação– Monitoramento

Definição Controle Interno - COSO

• Reflete a consciência de controle da organização, sua “cultura” de controle.

• Envolve competência técnica e compromisso ético.• Definido pela postura da alta administração (padrão

ético/integridade e compromisso), que desempenha papel fundamental para os funcionários (exemplo de conduta).

• Dá o tom real e efetivo do controle existente na organização.

Ambiente de Controle

• É a identificação dos riscos que podem afetar os principais processos, operações e atividades da organização.

• Uma vez estabelecidos os objetivos e metas, são identificados os riscos que ameaçam o seu cumprimento e são tomadas as ações necessárias para o gerenciamento dos riscos identificados.

Avaliação de Riscos

• São políticas e procedimentos estabelecidos pela administração para mitigar as ameaças à gestão e promover o alcance dos objetivos da organização.

Atividades ou Práticas de Controle

- Revisões de desempenho.- Processamento de informações (controles de aplicativos e controles gerais de TI).- Controle físico (segurança física dos ativos e registros, limitação de acesso a programas e arquivos de dados, contagem periódica de elementos físicos e comparação com os valores registrados).- Segregação de funções (com a definição de alçadas progressivas).

• A qualidade das informações afeta a capacidade da administração de tomar decisões.

• o controle deve se preocupar cada vez mais com a avaliação de risco e segurança em ambientes eletrônicos e com as técnicas de controle aplicadas a sistemas informatizados.

• Funções e responsabilidades devem ser comunicadas sob a forma de manuais de políticas e procedimentos internos.

Sistema de Informação e Comunicação

• É a avaliação permanente da efetividade dos controles internos.

• Sua finalidade é verificar se os controles estão operando conforme o pretendido e se são modificados para atender a mudanças de condições.

• O monitoramento também assegura que os controles continuem a operar efetivamente ao longo do tempo.

Monitoramento de Controles

• O acompanhamento das atividades é contínuo, devendo-se estimular ainda mecanismos de autoavaliação, revisões internas e auditorias internas programadas.

• Auditores internos ou funcionários que exerçam funções similares fornecem informações com regularidade a respeito do funcionamento do controle interno, concentrando atenção na avaliação da efetividade dos controles, e comunicam à administração os pontos fortes e as deficiências encontradas, apresentando recomendações para o seu aprimoramento.

Monitoramento de Controles

• Mudanças significativas nas regras de governança corporativa:– Aumento da responsabilidade (civil e penal) dos administradores

perante a divulgação das informações contábeis e financeiras.– Ênfase no uso de controles internos mais rígidos.– Avaliação, pela administração, da estrutura e da eficiência dos

controles internos como forma de eliminar a manipulação indevida de informações.

– Gerenciamento de riscos para evitar a ocorrência de fraudes (além de mitigar outros riscos), promovendo a transparência da gestão.

Lei Sarbanes-Oxley (EUA 2002)

Gerenciamento de RiscosCOSO II (2004)

1985 1992 2002 2004

Comissão Nacional sobre Fraudes em

Relatórios Financeiros - EUA

Controles Internos - Um Modelo

IntegradoCOSO I

Lei Sarbanes-Oxley Gerenciamento de Riscos

Corporativos - Estrutura IntegradaCOSO II

19881964

Lei 4.320Controles Internos

Artigos 75 a 80

Constituição Federal

Fiscalização dos Municípios pelo

sistema de Controle Interno

Artigo 31

• Alinhar o apetite a risco e a estratégia• Otimizar as decisões de resposta a risco• Reduzir surpresas e prejuízos operacionais• Identificar e administrar os riscos inerentes aos empreendimentos• Fornecer respostas integradas aos diversos riscos• Aproveitar as oportunidades• Melhorar a alocação de capital

Gerenciamento de Riscos Corporativos - Estrutura Integrada

• Ajuda os administradores a atingir as metas de desempenho e de lucratividade da organização, e evitam a perda de recursos. O gerenciamento de riscos corporativos contribui para assegurar comunicação eficaz e o cumprimento de leis e regulamentos, bem como evitar danos à reputação da organização e suas conseqüências.


• um processo contínuo e que flui através da organização;• conduzido pelos profissionais em todos os níveis da organização;• aplicado à definição das estratégias;• aplicado em toda a organização, em todos os níveis e unidades, e

inclui a formação de uma visão de portfólio de todos os riscos a que ela está exposta;


• formulado para identificar eventos em potencial, cuja ocorrência poderá afetar a organização, e para administrar os riscos de acordo com seu apetite a risco;

• capaz de propiciar garantia razoável para o conselho de administração e a diretoria executiva de uma organização;

• orientado para a realização de objetivos em uma ou mais categorias distintas, mas dependentes.


• Objetivos da organização são organizados em 4 categorias:– Estratégicos – metas gerais, alinhadas com sua missão.– Operações – utilização eficaz e eficiente dos recursos.– Comunicação – confiabilidade de relatórios.– Conformidade – cumprimento de leis e regulamentos

aplicáveis.


• É capaz de propiciar uma garantia razoável que a diretoria executiva e o conselho de administração, na função de supervisão, serão informados, no momento adequado, o quanto a organização está avançando na direção do atendimento dos objetivos.


• Ambiente Interno,• Fixação de Objetivos,• Identificação de Eventos,• Avaliação de Riscos• Resposta a Riscos,• Atividades de Controle,• Informação e Comunicação,• Monitoramento.

Componentes do Controle Interno

• Compreende o tom de uma organização.• Fornece a base pela qual os riscos são identificados e

abordados pelo seu pessoal, inclusive a filosofia de gerenciamento de riscos, o apetite a risco, a integridade e os valores éticos, além do ambiente em que estes estão.

Ambiente Interno

• A definição de objetivos, alinhados à missão e à visão das entidades, é necessária para permitir a identificação de eventos que potencialmente impeçam a sua realização.

• O modelo requer que todos os níveis da organização tenham objetivos fixados e comunicados (estratégicos, operacionais, comunicação e conformidade). E mais, como os objetivos devem ser atingidos e como mensurar esse atingimento.

• Definir os objetivos é pré-condição para a identificação dos eventos de risco e para a avaliação e a definição das estratégias para gerenciá-los (resposta a riscos).

Fixação de Objetivos

• Eventos são incidentes resultantes de fatores internos ou externos.

• O processo de identificação de eventos de risco pode abranger tanto riscos negativos (ameaças), cujas conseqüências serão perdas, como os riscos positivos (oportunidades), cujas conseqüências serão ganhos.

• O objetivo é determinar e catalogar os riscos que podem impedir o alcance dos objetivos estabelecidos nos diversos níveis da organização.

Identificação de Eventos

• Risco é a probabilidade de perda ou incerteza associada ao cumprimento de um objetivo. Para cada objetivo proposto deve ser feito um processo de identificação dos riscos.

Identificação de Eventos

• O que pode dar errado?• Como e onde podemos falhar?• O que deve dar certo ?• Onde somos vulneráveis?• Quais ativos devemos proteger?• Temos algum ativo líquido ou de uso

alternativo?• Como podemos ser roubados ou furtados?• Como poderiam interromper nossas

operações?

• Como sabemos se nossos objetivos foram (ou não) alcançados?

• Quais informações são as mais importantes ?• Onde gastamos mais dinheiro?• Como faturamos e cobramos nossas vendas?• Quais decisões requerem mais análise?• Quais atividades são mais complexas?• Quais atividades são mais regulamentadas?• Quais são nossas maiores exposição ao risco

legal?

• Os riscos podem ser– Operacionais (riscos de falha humana, produtos &

serviços, regulamentação, catástrofe, sinistros, patrimonial, contrato, fraudes/desvios);

– De informação (falhas em sistemas gerenciais de informação, integridade, confidencialidade, gestão de dados, sistemas de validação de informações e sistema de segurança informacional); e

– De conformidade (risco legal, risco de não cumprimento às legislações e regulamentos aplicáveis).


• Uma vez identificados os riscos, devemos avaliá-los, levando em conta os seguintes aspectos:

– qual a probabilidade (frequência) dos riscos ocorrerem?– em caso de ocorrer, qual seria o impacto nas operações,

considerando os aspectos quantitativos e qualitativos?– em sua opinião, quais ações seriam necessárias para

administrar os riscos identificados.


• A análise qualitativa faz a priorização dos riscos através de avaliação e combinação de sua probabilidade de ocorrência e impacto.

• Já a análise quantitativa faz a análise numérica do efeito dos riscos identificados nos objetivos gerais.


• É o processo de desenvolver e determinar estratégias para gerenciar os riscos identificados.

• Compete à administração, com base nos riscos avaliados, desenvolver um conjunto de ações concretas para manter o nível de “riscos residuais” alinhado aos níveis por ela estabelecidos de tolerância a riscos.

• As respostas incluem evitar, reduzir, compartilhar, transferir ou aceitar os riscos.

Resposta a Riscos

- Risco Inerente é o risco do negócio, do processo ou da atividade independentemente dos controles adotados.- Risco Residual é o risco remanescente após a mitigação por controles.

• O apetite a risco é a quantidade de riscos, no sentido mais amplo, que uma organização está disposta a aceitar em sua busca para agregar valor. O apetite a risco reflete toda a filosofia administrativa de uma organização e, por sua vez, influencia a cultura e o estilo operacional desta.

• É o equilíbrio aceitável entre crescimento, riscos e retorno.• O apetite a risco orienta a alocação de recursos entre as

unidades de negócios e as iniciativas, levando em consideração os riscos e o plano da unidade para gerar o retorno desejado dos recursos investidos.

Apetite e Tolerância a Riscos

• A tolerância a riscos representa o nível aceitável de variação em relação à meta para o cumprimento de um objetivo específico, e, via de regra, é mensurada nas mesmas unidades utilizadas para avaliar o objetivo a que está vinculada.

• Ao estabelecer a tolerância a riscos, a administração considera o grau de importância do objetivo relacionado e alinha essas tolerâncias ao apetite a risco global.

Apetite e Tolerância a Riscos

• As atividades de controle são as respostas aos riscos planejados e definidos nas políticas e procedimentos.

Atividades de Controle

• A organização deve estabelecer um plano de comunicações entre os níveis hierárquicos bem como um plano de comunicação com terceiros, clientes, fornecedores, órgãos reguladores e acionistas.

Informação e comunicação

• Os riscos corporativos são monitorados avaliando-se a presença e o funcionamento de seus componentes ao longo do tempo de forma contínua.

Monitoramento

• Quando se constata que o gerenciamento de riscos corporativos é eficaz em cada uma das quatro categorias de objetivos (estratégicos, operacionais, comunicação e conformidade), isso significa que o conselho de administração e a diretoria executiva terão garantia razoável de que entenderam até que ponto, os objetivos estratégicos e operacionais não estão realmente sendo alcançados, o sistema de comunicação da empresa é confiável, e todas as leis e regulamentos cabíveis estão sendo observados.

Eficácia

• Julgamento humano no processo decisório.• Custo-benefício dos controles e da resposta a riscos• Erro ou engano humano• Conluio• Administração tem o poder de recusar-se a aceitar as decisões

de gestão de riscos.

Limitações

• Chefe do executivo é o principal responsável e deve assumir a responsabilidade da iniciativa.

• Secretários e Diretores devem apoiar a filosofia de administração de riscos da organização, incentivar a observação de seu apetite a risco e administrar os riscos dentro de suas esferas de responsabilidade, conforme as tolerâncias a risco.

• Diretor de riscos, diretor-financeiro, auditor interno e outros, detém responsabilidades fundamentais de suporte.

• Cada um dos empregados de uma organização tem uma parcela de responsabilidade, devendo dar cumprimento às diretrizes e aos protocolos estabelecidos..

Funções e responsabilidades

• O planejamento estratégico oferecerá condições de definir o apetite e a tolerância a riscos que o município está disposto a assumir.

• O mapeamento de processos é fundamental para a análise dos eventos de riscos (visualização dos fluxos de processos).

• O processo de gerenciamento de riscos deve ser realizado por unidade administrativa específica.

• O estabelecimento de manuais operacionais dos principais processos realizados no município produz informação para que todos os agentes públicos possam se perceber dentro do processo.

Como fazer?

• Informações sobre o programa podem ser obtidas na unidade regional da CGU no seu Estado ou diretamente na Coordenação-Geral de Fomento ao Fortalecimento da Gestão e Controle Social, em Brasília.

email: [email protected]: 61-2020-6727

Programa Fortalecimento da Gestão

Dany Andrey SeccoCoordenador-Geral de Fomento ao Fortalecimento da Gestão e Controle SocialDPC/SPCI/CGU-PR

Obrigado!

Documents

Programa Fortalecimento da Gestão Coordenação-Geral de Fomento ao Fortalecimento da Gestão e Controle Social Diretoria de Prevenção Secretaria de Prevenção