Livro - Gestão de Riscos no SP - Renor

Prévia do material em texto

G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
1 
 
 
 
 
 
 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
2 
 
 
 
 
 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
3 
 
 
Gestão de Riscos no 
Setor Público 
 
 
 
 
 
 
 
 
 
 
 
 
 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
4 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
5 
 
 
 
Gestão de Riscos no 
Setor Público 
 
Normas e padrões internacionais, análise das legislações 
nacionais de Portugal e do Brasil e aplicação na base 
normativa do setor público 
 
 
Renor Ribeiro 
 
 
 
 
 
2020 
 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
6 
 
© 2020, Athenas Editora 
 
Todos os direitos reservados e protegidos pela Lei no 9.610, de 
19/02/1998. Nenhuma parte dessa publicação poderá ser reproduzida 
ou transmitida de qualquer modo ou por qualquer outro meio, 
eletrônico ou mecânico, incluindo fotocópia, gravação ou qualquer 
outro tipo de sistema de armazenamento e transmissão de informação, 
sem prévia autorização do autor, por escrito. 
 
Formatação ABNT: Jéssica David de Castro 
Diagramação e Capa: Torres Editorial 
Coordenação: Renata Tavares dos Santos 
 
ISBN n° 978-65-991409-0-7 
ISBN (versão digital) n° 978-65-991409-1-4 
 
 
Athenas Editora é um selo editorial do Centro de Ensino em Gestão 
Pública – CEGESP. Endereço: Setor Hoteleiro Norte, Quadra 01, SN, 
Conjunto A, Bloco A, Entrada A, Sala 1414, Parte IB Ed. Le Quartier 
Hotel & Bureau - Brasília/DF CEP 70.701-010. 
Telefone: (61) 3255-1208 
Sítio eletrônico: https://www.cegesp.com.br 
 
 
Nota: Muito zelo e técnica foram empregados na edição desta obra. No 
entanto, podem ocorrer erros de digitação, impressão ou dúvida 
conceitual. Em qualquer das hipóteses, solicitamos a comunicação, 
para que possamos esclarecer ou encaminhar a questão. Nem a editora 
nem o autor assumem qualquer responsabilidade por eventuais danos 
ou perdas a pessoas ou bens, originados do uso desta publicação. 
 
https://www.cegesp.com.br/?utm_source=copy&utm_medium=paste&utm_campaign=copypaste&utm_content=https%3A%2F%2Fwww.cegesp.com.br%2F
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
7 
 
 
Rir é arriscado 
Rir é correr o risco de parecer tolo 
Chorar é arriscar parecer sentimental 
Expor sentimentos é arriscar expor o seu verdadeiro eu 
 
Encontrar o outro é arriscar o envolvimento 
Para colocar suas ideias, seus sonhos diante de uma multidão é 
arriscar-se a perdê-los 
 
Amar é arriscar não ser amado em troca 
Viver é arriscar morrer 
Esperar é arriscar o desespero 
Tentar é arriscar falhar... 
 
Mas os riscos devem ser tomados 
Porque o maior risco da vida é não arriscar nada 
A pessoa que não arrisca nada, não faz nada, não tem nada e é 
nada 
 
Eles podem evitar o sofrimento e a tristeza, 
mas eles não podem aprender, sentir, mudar, crescer, amar, 
viver... 
 
Acorrentados por suas atitudes, são escravos, 
eles perderam sua liberdade. 
Somente a pessoa que corre riscos é livre. 
 
(Anônimo) 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
8 
 
 
 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
9 
 
AGRADECIMENTOS 
 Agradeço em primeiro lugar a Deus, por me dado essa 
oportunidade de concluir mais uma etapa, me 
aperfeiçoando como servidor público e como cidadão, de 
modo a atender, da melhor forma possível, aos novos 
desafios do serviço público. 
 À Professora Doutora Lúcia Lima Rodrigues, pelo 
incentivo e auxílio, além da presteza sempre demonstrada, 
o que muito auxiliou no desenvolvimento deste livro e na 
pesquisa acadêmica na área de auditoria interna e gestão 
de riscos. 
 À Renata, minha esposa; à Maria, minha mãe e à minha 
família, pelo apoio, carinho e compreensão em todos os 
momentos. 
 Aos meus professores, em especial ao Professor Dr. 
Pedro Camões, pela partilha de conhecimentos e por serem 
exemplos de vida para o desenvolvimento do ensino e da 
pesquisa, com profundidade, método e responsabilidade. 
 Meus sinceros agradecimentos: à Controladoria Geral da 
União – CGU; ao Ministro da Controladoria Geral da 
União, Wagner Rosário; aos servidores da Coordenação de 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
10 
 
Capacitação; aos Membros do Comitê de Capacitação; aos 
colegas da Diretoria de Auditoria de Estatais – 
DAE/SFC/CGU; e ao Diretor da DAE, Tiago Lucas, pela 
oportunidade e no suporte para a superação dos obstáculos 
ao longo da realização deste trabalho, bem como a todos 
aqueles que, de uma forma direta ou indireta, ajudaram-me 
a ser um melhor profissional, dando-me condições de 
contribuir para o aperfeiçoamento da gestão pública. 
 Com profundo carinho por todos, 
Renor 
 
 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
11 
 
PREFÁCIO 
 Os novos desafios enfrentados por um mundo em 
constante evolução impuseram a necessidade de mudanças 
de paradigma da auditoria interna, acarretando mudanças 
do perfil do auditor interno em várias partes do mundo, 
notadamente nos Estados Unidos da América - EUA e 
União Europeia - UE. No Brasil, os ventos das mudanças 
aqui chegaram décadas depois de sua implantação no 
âmbito dos EUA e da UE, trazendo desafios urgentes, que 
os profissionais dos órgãos de controle interno do Brasil 
precisarão enfrentar de forma efetiva e aprofundada, para 
recuperar o “tempo perdido” em relação aos países mais 
desenvolvidos na área. 
 Esses novos desafios, que exigem novas competências do 
auditor, precisarão ser enfrentados com profundidade e 
responsabilidade, por meio da educação especializada. 
 Como ferramenta de auxílio à gestão do conhecimento 
dos órgãos de auditoria interna, os auditores podem 
adquirir conhecimentos por meio da experiência de outras 
instituições nacionais e estrangeiras que já utilizam o 
modelo, constituindo-se em um aprofundamento na 
prática do que foi estudado na teoria. Mesmo exigindo mais 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
12 
 
tempo e esforço, esses investimentos poderão identificar as 
melhores práticas, resultando em ganhos de tempo e de 
qualidade, na formação e aperfeiçoamento de profissionais 
de excelência. Assim, o chamado Benchmarking é 
extremamente válido, pela oportunidade de aprender, 
observar e melhorar o que já se utiliza em outras 
organizações. 
 O que se espera também com essa apropriação de 
experiências práticas é evitar cometer os mesmos erros (e 
em muitos casos erros primários) que outras organizações 
já incorreram, de modo a não desperdiçar tempo e esforço. 
É com base na experiência de outras organizações que 
entidades com pouca ou nenhuma experiência em 
determinada área de conhecimento podem, de forma mais 
rápida e efetiva, adotar práticas, métodos, experiências e 
modelos já consagrados em instituições mais 
experimentadas. 
 Entendemos que o melhor caminho para o enfrentamento 
dos novos desafios que se impõem aos auditores 
governamentais dar-se-á por intermédio de intenso e 
aprofundado processo de formação dos quadros dos 
órgãos de controle interno. Cabe aqui ressaltar que as novas 
atribuições dos Auditores Internos (notadamente os 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
13 
 
AuditoresFederais da Controladoria Geral da União – 
CGU) exigem dos profissionais da área alto nível de 
excelência, para que esses possam bem exercer seus novos 
papéis de auditores, consultores e especialistas em gestão 
de riscos, dominando temas como gestão de riscos, 
auditoria interna com base em riscos, governança, 
compliance e controles internos, dentre outras 
competências. 
 Diante das recentes inovações normativas e legais na área 
de gestão de riscos, os Auditores do CGU serão 
constantemente demandados por órgãos e entidades da 
administração pública para orientar os demais órgãos e 
entidades por meio de reuniões, encontros, cursos, 
seminários, oficinas e workshops nas áreas relacionadas a 
essas novas exigências. E para que a CGU possa cumprir 
seu papel de órgão de auditoria interna – papel 
reconhecido nacional e internacionalmente - essas 
demandas deverão ser atendidas por profissionais 
altamente qualificados, com sólidos conhecimentos nos 
temas em questão, tanto na parte teórica quanto na parte 
prática. 
 Cabe ressaltar que a adoção de práticas de gestão de 
riscos no âmbito dos órgãos e entidades da administração 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
14 
 
pública federal brasileira está ocorrendo por meio de leis, 
normas internacionais de auditoria e outros normativos 
legais, conforme veremos ao longo deste trabalho. 
Podemos citar como exemplos as recentes publicações do 
Tribunal de Contas da União - TCU, além das normas e 
relatórios da Organização para a Cooperação e 
Desenvolvimento Econômico - OCDE, do Instituto dos 
Auditores Internos - IIA, do COSO (Committee of 
Sponsoring Organizations of the Treadway Commission), 
dentre outros. 
 Em virtude do exposto, este é o momento em que uma 
janela de oportunidade se abre para o fortalecimento 
institucional da CGU, de maneira que este órgão 
efetivamente exerça seu papel de protagonismo nos temas 
de auditoria e gestão de riscos junto aos órgãos da 
administração pública e aos demais órgãos do Sistema de 
Controle Interno do Poder Executivo Federal. 
 Esse papel de liderança será exercido tanto diretamente, 
a nível federal quanto de forma indireta, junto aos demais 
poderes e esferas da administração pública brasileira, 
podendo influenciar, inclusive, governos e instituições de 
outros países. Portanto, para que esse papel possa ser 
exercido de forma efetiva, as ações de controle deverão ter 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
15 
 
suporte na qualificação dos seus servidores, sendo de 
fundamental importância a formação dos auditores 
internos no tema de auditoria e gestão com base em riscos, 
e em outros relacionados, em base teórico-prática, 
possibilitando assim a posterior transmissão dos 
conhecimentos adquiridos, a consultoria e a orientação aos 
gestores e às auditorias internas, que são os objetivos deste 
trabalho. 
 
 
 
 
 
 
 
 
 
 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
16 
 
 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
17 
 
SUMÁRIO 
Introdução ........................................................................................ 27 
 
Capítulo I – Conceituando os riscos e suas implicações ......... 35 
 As crises financeiras de 2002 e 2008 nos EUA e as falha nos 
controles internos e no gerenciamento de riscos ......................... 40 
 Incerteza e risco ..................................................................... 50 
 
Capítulo II – O gerenciamento dos riscos .................................. 59 
▪ O conceito de risco ....................................................... 59 
 Riscos de corrupção e de fraude ......................................... 63 
 O triângulo da fraude ........................................................... 70 
 
Capítulo III – Os modelos de gestão de riscos aplicáveis ao 
setor público .................................................................................... 79 
 Componentes do gerenciamento de riscos corporativos, 
segundo o COSO ............................................................................ 83 
 A gestão de riscos conforme o ISO 31000 ................................ 88 
 Componentes do gerenciamento de riscos corporativos segundo 
a FERMA ........................................................................................ 93 
 O modelo de gestão de riscos do Reino Unido ........................ 95 
 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
18 
 
Capítulo IV – Estabelecimento do contexto e identificação dos 
riscos ................................................................................................ 101 
 Conhecimento do contexto organizacional .......................... 102 
 Mapeamento dos processos da organização .......................... 106 
▪ Etapas do mapeamento dos processos .................... 106 
 Estudos dos objetivos institucionais (fixação dos objetivos).. 117 
 Identificação dos eventos e dos riscos .................................... 119 
 Técnicas para identificação de riscos ...................................... 122 
 Técnicas que podem auxiliar na identificação de riscos ......... 124 
 
Capítulo V – O processo de análise dos riscos ........................ 133 
 Técnicas de análise de riscos ................................................... 135 
 
Capítulo VI – Avaliação e resposta aos riscos ......................... 153 
▪ Avaliação qualitativa do nível de risco ..................... 154 
▪ Percepção do risco .................................................... 156 
▪ Avaliação quantitativa do nível de risco ................... 159 
▪ Apetite ao risco ......................................................... 160 
 Categorização dos riscos.......................................................... 166 
 Avaliação dos controles internos ............................................ 170 
 Risco de controle ..................................................................... 172 
 Riscos de controle inerente e residual .................................... 174 
 Tratamento do risco residual .................................................. 178 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
19 
 
 Registrando e categorizando os riscos residuais ..................... 181 
 Decisões quanto ao risco ......................................................... 183 
 Informação e comunicação ..................................................... 186 
 Monitoramento dos riscos ...................................................... 188 
 
Capítulo VII – Controles da administração pública .............. 195 
▪ Controles internos ....................................................... 195 
 Avaliação do custo X benefício dos controles internos ........... 205 
 O modelo das três linhas de defesa ........................................ 209 
 O controle no âmbito do setor público ................................... 215 
▪ A quem cabe o controle da gestão pública ................. 215 
 Formas de controle ................................................................ 219 
▪ Controle quanto ao posicionamento do órgão 
controlador em relação ao órgão controlado ............. 219 
▪ O controle quanto ao momento de sua realização .... 221 
▪ Controle quanto à sua natureza.................................. 222 
▪ Controle quanto ao seu objeto ................................... 223 
 Base normativa do setor público ............................................ 226 
▪ O sistema do controle interno do Poder Executivo 
Federal Brasileiro..................................................... 227 
 O sistema do controle interno da administração pública de 
Portugal ....................................................................................... 241 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
20 
 
 Controle externo da administração pública brasileira ............ 245 
 Controle externo da administração pública portuguesa ......... 249 
 Auditoria interna X auditoria externa...................................... 252 
 As auditorias externas governamentais nos setores públicos de 
Brasil e de Portugal ..................................................................... 256 
 
Capítulo VIII – Evolução do paradigma da auditoria interna 
no contexto de gestão de riscos .................................................. 265 
 Evolução do paradigma da auditoria interna .......................... 265 
 Relação entre auditoria com base em riscos e o gerenciamento 
de riscos ....................................................................................... 275 
 Atribuições do auditor interno no contexto da auditoria com base 
em riscos ..................................................................................... 280 
 Enfim, qual o papel do auditor interno: policial, avaliador de risco 
ou consultor?............................................................................... 296 
 
Referências ..................................................................................... 299 
 
 
 
 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
21 
 
ÍNDICE DE ILUSTRAÇÕES 
FIGURAS 
Figura 01: Relação entre incerteza e risco .................................... 51 
Figura 02: O triângulo da fraude ................................................... 70 
Figura 03: Estrutura conceitual do COSO ...................................... 86 
Figura 04: Componente do gerenciamento de riscos, segundo o 
COSO 2017..................................................................................... 87 
Figura 05: Relacionamento entre os princípios de gestão de riscos, 
estrutura, segundo a ISO 31000 ................................................... 89 
Figura 06: Processo de gerenciamento de riscos da ISO 31000 e do 
COSO.............................................................................................. 91 
Figura 07: Processos de gestão de riscos segundo a FERMA ........ 94 
Figura 08: Modelo de gerenciamento de riscos do HM Treasury . 97 
Figura 09: Modelo EFQM .............................................................. 98 
Figura 10: Exemplo de processo AS IS (Atendimento médico) ... 114 
Figura 11: Exemplo de processo AS IS (Atendimento telefônico) 
 ..................................................................................................... 115 
Figura 12: Processo TO BE (atendimento médico e telefônico) . 116 
Figura 13: Análise SWOT ............................................................. 126 
Figura 14: Diagrama de Pareto.................................................... 128 
Figura 15: Técnica 5W2H ............................................................. 136 
Figura 16: Exemplo do diagrama “espinha do peixe” ................. 139 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
22 
 
Figura 17: Exemplo da AAF .......................................................... 142 
Figura 18: Esquema de análise MORT ......................................... 144 
Figura 19: Técnica “BOW TIE” (gravata borboleta) ..................... 148 
Figura 20: Percepções quanto ao risco ....................................... 158 
Figura 21: O lado positivo e negativo dos riscos ......................... 162 
Figura 22: Nível de retorno/perda em relação ao apetite ao risco
 ..................................................................................................... 164 
Figura 23: Matriz de categorização do risco ............................... 166 
Figura 24: Diagrama de calor para os riscos inerentes ............... 169 
Figura 25: Risco inerente e risco residual ................................... 175 
Figura 26: Matriz de riscos residuais ........................................... 177 
Figura 27: Risco residual e risco tolerável ................................... 179 
Figura 28: Processo de gestão de riscos e controles internos .... 200 
Figura 29: O valor dos controles internos no alcance dos objetivos
 ..................................................................................................... 202 
Figura 30: A intensidade dos controles em relação aos riscos ... 207 
Figura 31: Modelo de três linhas de defesa ................................ 212 
Figura 32: Quem pode exercer o controle na administração pública
 ..................................................................................................... 216 
Figura 33: Conceito de eficiência, efetividade e economicidade, 
segundo o TCU ............................................................................ 224 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
23 
 
Figura 34: Sistema de controle interno no setor público brasileiro
 ..................................................................................................... 236 
Figura 35: Evolução da auditoria interna .................................... 268 
Figura 36: As funções de auditoria e gestão de riscos ............... 276 
Figura 37: Relacionamento entre auditoria e gestão do risco .... 277 
Figura 38: Defasagem de “especialização” entre auditoria interna e 
gestão de entidade ...................................................................... 278 
Figura 39: Essência de auditoria e da gestão de riscos ............... 285 
 
QUADROS 
Quadro 01: Exemplo de consequências que representam riscos 52 
Quadro 02: Inventário de atividades .......................................... 108 
Quadro 03: Técnica para documentar o processo atual ............. 110 
Quadro 04: Formulário AS IS ....................................................... 113 
Quadro 05: Elementos do mapeamento de processos ............... 115 
Quadro 06: Exemplo de planilhas de identificação de riscos ..... 121 
Quadro 07: Diagrama de Pareto ................................................. 129 
Quadro 08: Matriz GUT ............................................................... 130 
Quadro 09: Aplicação do método 5W2H .................................... 136 
Quadro 10: Formulário APR ........................................................ 140 
Quadro 11: Modelo de aplicação AFME ..................................... 141 
Quadro 12: Desvios associados com palavras guias ................... 145 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
24 
 
Quadro 13: Exemplo da técnica Hazop na etapa de aprovação do 
convenente .................................................................................. 146 
Quadro 14: Exemplo de detalhamento usando a técnica Hazop.
 ..................................................................................................... 147 
Quadro 15: (Provável) visão das “velhas” e da “novsa” gerações 
 ..................................................................................................... 157 
Quadro 16: Escala de probabilidade de riscos inerentes ............ 168 
Quadro 17: Escala de consequências dos inerentes ................... 168 
Quadro 18: Escala para classificação de níveis de risco .............. 169 
Quadro 19: Escala para avaliação dos controles internos .......... 171 
Quadro 20: Cálculo do risco residual .......................................... 176 
Quadro 21: Critérios para priorização e tratamento dos riscos 
residuais ......................................................................................180 
Quadro 22: Registro dos riscos ................................................... 181 
Quadro 23: Comprando um carro ............................................... 182 
Quadro 24: Auditoria interna X auditoria externa ...................... 255 
Quadro 25: Mudança de paradigma da auditoria interna ......... 270 
 
 
 
 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
25 
 
ABREVIAÇÕES 
AIRMC – The Association of Insurance and Risk Managers 
ALARM – The National Forum for Risk Management in the 
Public Setor 
CGU – Controladoria Geral da União 
COSO – Committee of Sponsoring Organizations of the 
Treadway Comission 
CPC – Conselho de Prevenção da Corrupção 
ERM – Enterprise Risk Management 
FERMA – Federation of European Risk Management 
Associations 
IGF – Inspeção Geral de Finanças 
IIA – Instituto de Auditores Internos 
IN – Instrução Normativa 
INTOSAI – International Organization of Supreme Audit 
Institutions 
IPPF – Estrutura Internacional de Práticas Profissionais 
IRM – Institute of Risk Management 
ISO – International Organization for Standardization 
LCPA – Lei de Compromissos e Pagamentos em Atraso 
PAEL – Programa de Apoio à Economia Local 
SCI – Sistema de Controle Interno 
TCU – Tribunal de Contas da União 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
26 
 
 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
27 
 
 INTRODUÇÃO 
 A crescente internacionalização das empresas e 
globalização dos mercados expôs as organizações, sejam 
elas públicas ou privadas a novos riscos, em um ambiente 
competitivo e dinâmico. Em decorrência disso, controles, 
paradigmas e processos, antes considerados eficazes se 
tornaram obsoletos, na medida em que escândalos, 
catástrofes e crises globais se sucederam. 
 A crise financeira mundial provocada pelos escândalos 
envolvendo a Eron, a Wold.com e a conceituada empresa 
de auditoria Arthur Andersen, o que levou o Congresso e o 
Governo estadunidense, em 2002, a editar a lei Sarbanes-
Oxley (SOX), além da crise de crédito de 2008 a 2009 (cujos 
efeitos se fazem sentir até hoje), em conjunto com as 
recentes transformações no ambiente corporativo impostas 
pela internacionalização das empresas e do aumento da 
competitividade, geraram a necessidade de se aumentar a 
transparência e de se criar mecanismos para melhorar a 
gestão, de modo a salvaguardar seus bens e investimentos, 
diminuindo a possibilidade de perda de competitividade, 
desvalorização e deterioração de ativos, falências, 
endividamentos, fugas de capitais, perdas financeiras, 
materiais e humanas. 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
28 
 
 Por isso, o enfoque dado ao estudo dos riscos que podem 
afetar organizações de qualquer ramo ou natureza passou 
a ter um papel fundamental. Com efeito, tornou-se 
necessário antecipar-se aos prováveis acontecimentos que 
podem afetar ou até mesmo inviabilizar o alcance dos 
objetivos organizacionais. 
 Nesse sentido, as organizações públicas de todos os 
poderes e esferas do setor público prestam uma infinidade 
de serviços, tais como saúde, segurança, educação, 
regulação dos mercados, da indústria e dos serviços, de 
forma que todos esses serviços envolvem certo grau de 
risco (NAO, 2000) 1, tais como riscos financeiros, riscos de 
corrupção, de desperdício e de malversação dos recursos 
públicos. Em caso de não serem tratados, esses riscos 
podem se materializar resultando em prejuízos para os 
contribuintes e população em geral. Conforme o Ministério 
do Planejamento, Orçamento e Gestão – MPOG (BRASIL, 
2017a, p. 5), “as responsabilidades e deveres do governo em 
relação ao bem público exigem a adoção de práticas e 
estratégias eficazes de gestão”, tendo em vista que nem 
sempre é possível recuperar todos os recursos desviados ou 
reverter os prejuízos sociais e vidas humanas decorrentes 
de desvios e má aplicação dos recursos públicos. 
 
1National Audit Office. Disponível em: https://www.nao.org.uk/ 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
29 
 
 Assim, no âmbito das organizações públicas, tornou-se 
fundamental o papel dos controles internos, do 
gerenciamento dos riscos corporativos e da auditoria com 
base em riscos, como instrumentos que mitiguem a 
possibilidade de que a entidade pública não alcance seus 
objetivos institucionais. Como parte das ferramentas de 
gestão, a auditoria interna deve estar integrada na estrutura 
da gestão de riscos, atuando de forma a agregar valor à 
organização, fornecendo insumos à tomada de decisão pelo 
gestor e alta administração da entidade, pois de acordo com 
o Instituto dos Auditores Internos (IIA, 2009, p. 1), o papel 
fundamental do novo conceito de auditoria interna é 
agregar valor e melhorar as operações de uma organização. 
 Portanto, esses instrumentos de controle devem 
fornecer subsídios para a tomada de decisão dos gestores, 
tanto para mitigar os fatores que impedem ou dificultam o 
alcance da missão institucional, quanto para o 
aproveitamento de oportunidades e concretização de 
ganhos, de modo que as organizações possam sobreviver e 
prosperar num ambiente de incertezas. 
 Desse modo, diante de ambientes instáveis e 
competitivos, com o uso de tecnologias extremamente 
sofisticadas e com inovações de ciclos de vida cada vez 
mais breves, o risco nas organizações públicas tende a 
crescer. Nesse contexto, a auditoria interna deverá assumir 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
30 
 
um papel de protagonismo para auxiliar as organizações no 
sentido de que possam dispor de mecanismos de gestão de 
risco confiáveis capazes de detectar, mensurar, tratar e 
monitorar os riscos. Dependendo do grau de maturidade 
da organização, a auditoria interna poderá assumir 
diversos papéis, dentre eles a função de consultoria, em 
caso de baixa maturidade; ou sua função tradicional de 
“asseguração”, na medida em que a organização amplia 
seu nível de maturidade e consolida seus controles internos 
para lidar com o risco (IIA, 2009). 
 De acordo com Castanheira (2007), a tendência, tanto 
para empresas quanto para instituições públicas, é adotar 
uma abordagem integrada para agrupar os diferentes 
riscos da organização, de forma se obter uma estratégia 
comum para os riscos, numa estrutura integrada. Mesmo 
que todas as organizações lidem de uma forma ou de outra 
com os riscos, sendo que todas as atividades de qualquer 
organização envolvem risco conforme a ABNT NBR ISO 
31000 (2018), a abordagem de risco feita informalmente e 
de forma fragmentada, onde cada setor fica responsável 
pela gestão dos próprios riscos, torna-se cada vez menos 
adequada. Ainda segundo a ISO 31000/2018, a adoção de 
processos consistentes em uma estrutura que abranja toda 
a organização pode auxiliar na gestão de riscos eficaz, 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
31 
 
eficiente e coerentemente ao longo de uma organização 
(ABNT NBR ISO 31000: 2018). 
 A estrutura para a gestão de riscos de uma organização 
deverá levar em conta todos os departamentos, para 
administrar eficazmente todos os riscos significativos e 
prováveis. 
 Conforme Rudd (2003), o risco pode ser considerado 
tanto no nível macro, envolvendo gerenciamento de risco 
em todos os setores da organização, como em relação aos 
diversos níveis hierárquicos, abrangendo o nível micro ou 
departamental, do topo à base da hierarquia. Contudo, 
embora os riscos possam ser assumidos diretamente pelos 
responsáveis em cada setor ou departamento, a 
responsabilidade final para a gestão de riscospermanece 
com a alta administração e com o conselho. 
 Para subsidiar a organização no alcance de seus 
objetivos, a auditoria interna emerge como atividade 
estratégica para o estabelecimento e aperfeiçoamento da 
gestão de riscos. FÜLÖP (2017) preleciona que a auditoria 
interna possui importância estratégica nos processos de 
controle e gerenciamento das organizações. Por meio da 
aplicação dos seus procedimentos e técnicas de trabalho, a 
auditoria interna oferece diagnóstico completo da 
perseguição das metas da organização e de como os 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
32 
 
métodos de trabalho e controles internos estão sendo 
adequados e suficientes para a boa e regular gestão dos 
recursos. Nesse aspecto, a auditoria interna gera valor e 
oferece garantia sobre a estrutura e funcionamentos dos 
controles internos da entidade. Conforme o IIA (2014), a 
auditoria interna tem o papel de auxiliar a organização a 
atingir seus objetivos, por meio de uma abordagem 
sistemática e disciplinada para avaliar e melhorar a eficácia 
da gestão de riscos, controle e governança dos processos. 
 Nesse contexto, o papel da auditoria interna deixa de ser 
limitado somente à aferição da conformidade 
(CASTANHEIRA, 2007), e passa a ser executado como uma 
atividade de consultoria e apoio à gestão de riscos dos 
órgãos de governo. Conforme o NAO (2011), a ênfase na 
conformidade é aceitável se incentivar o comportamento 
certo, mas a conformidade por si só pode prejudicar a 
forma como o gerenciamento de risco é percebido no 
negócio. 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
33 
 
 
 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
34 
 
 
 
 
 
 
 
 
 
 
 
 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
35 
 
CONCEITUANDO OS RISCOS 
E SUAS IMPLICAÇÕES 
 Segundo Ulrick Beck em seu livro “Sociedade do 
Risco” (BECK, 2010), o risco está cada vez mais presente 
em nosso cotidiano. Em nossa vida cotidiana, temos uma 
falsa impressão de que esses fatos noticiados na 
imprensa não nos atingem. Entretanto, conflitos 
armados e epidemias que ocorrem de tempos em tempos 
voltam nossos olhos à realidade dos riscos que 
insistimos, muitas vezes, em negligenciar. Assim, todas 
as pessoas e organizações estão sujeitas a riscos, sendo 
que de uma forma ou de outra ou até mesmo 
intuitivamente, tratamos esses riscos. 
 Em muitos casos, costumamos transferir muitos desses 
riscos para outras entidades públicas ou privadas, tais 
como companhias de seguro, planos de saúde ou 
previdência privada. Por outras vezes, mesmo 
assumindo riscos, tomamos a atitude de ignorá-los 
completamente. Diante dessas situações em que os riscos 
são negligenciados, acabam por ocorrer inúmeras mortes 
por acidentes automobilísticos, desastres e tragédias que 
poderiam ter sido evitadas, caso esses riscos tivessem 
tido tratamento adequado. 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
36 
 
 Por um lado, se em âmbito individual temos a 
oportunidade de gerenciar os diversos riscos que 
corremos (pois, com o tratamento adequado, podemos 
mitigar a possibilidade de sofrer ataques cardíacos, 
acidentes vasculares, acidentes automobilísticos ou 
domésticos, afogamentos etc), por outro lado, muitas 
vezes não temos sequer o conhecimento dos riscos 
envolvidos quando estamos em locais ou em situações 
que envolvem as atividades de outras pessoas ou 
empresas. 
 Para a Organização para Cooperação do 
Desenvolvimento Econômico - OCDE (2014), as falhas de 
gestão de risco em grandes corporações têm estado nas 
manchetes por muitos anos, não apenas no setor 
financeiro, mas também em desastres naturais e nem 
sempre envolvem somente o risco financeiro. Se por um 
lado, catástrofes tais como o de Fukushima nos vem à 
mente, por outro lado foram amplamente noticiadas 
diversas fraudes contábeis (Olympus Enron, WorldCom, 
Satyam, Parmalat), além dos casos de denúncias do 
pagamento de propinas para o metrô de São Paulo 
(Siemens), para citar apenas alguns do setor não 
financeiro envolvendo empresas de outros países. Essas 
fraudes podem ter ocorrido por falhas de governança 
corporativa (em que não foram completamente 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
37 
 
considerados os riscos de negócios), por 
desconsideração dos riscos para obtenção de lucros e 
outras vantagens, bem como por sistemas de gestão de 
risco deficientes. 
 Com efeito, um adequado gerenciamento de riscos 
acompanhado de ações tempestivas de governos ou 
empresas, pode minimizar os riscos para a população em 
geral, tanto em termos de riscos naturais (tais como 
enchentes, desabamentos, guerras, furacões, terremotos 
ou erupções vulcânicas) como para fraudes ou prejuízos 
financeiros. O gerenciamento dos riscos inerentes às 
atividades de empresas, órgãos governamentais e 
empresas podem mitigar as consequências e salvar vidas 
humanas não apenas nos casos de desastres naturais, 
mas também em casos de acidentes causados por falhas 
humanas ou de equipamentos. Assim, tragédias tais 
como os que ocorreram em Mariana/MG, na Boate 
Kiss/RS, ou mesmo com o Avião da empresa Lamia, que 
transportava o time da Chapecoense/SC, provavelmente 
poderiam ter sido evitadas com um adequado 
gerenciamento dos riscos envolvidos naquelas 
atividades. 
 Normalmente, negligenciamos os riscos na saúde 
financeira e na segurança das instituições e empresas, e 
não consideramos a possibilidade de crises econômicas, 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
38 
 
financeiras e políticas, tais como a crise de crédito de 
2008 nos EUA e as crises que se seguiram em vários 
países da UE, bem e a crise mais recente que atingiu o 
Brasil, a partir de 2013. No decorrer da história recente, 
a negligência aos riscos gerou não só essas tragédias, mas 
também a quebra do mercado em nível global em 2008, 
acarretando prejuízos de bilhões e até trilhões de 
dólares, tendo como consequência a perda de postos de 
trabalho ao redor do mundo, o que ocasionou 
desemprego, aumento da miséria, superendividamento 
e sofrimento humano, sobretudo nas camadas da 
população mais vulneráveis. Essas crises tiveram 
consequências desastrosas e seus efeitos perduram até 
hoje, com os mercados em colapso e os empregos em 
situação de escassez ou precariedade. 
 Há ainda outras situações globais que se enquadram 
no âmbito do gerenciamento de risco, tais como a 
mutação no vírus da gripe H1N1, da Covid-19, da febre 
amarela, da gripe aviária e do vírus Ebola. Segundo 
Baranoff et al (2012), o efeito combinado dos vírus da 
gripe H1N1 (suína) e H5N1 (pássaro) poderia se 
transformar num híbrido com alta mortalidade devido à 
sua transmissão eficiente entre pessoas. Se 
considerarmos o fluxo generalizado de pessoas ao redor 
do mundo, tais doenças não são mais riscos ambientais 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
39 
 
localizados, representando os riscos a indivíduos, 
empresas e particularmente aos governos de vários 
países, principalmente considerando os impactos (vidas 
humanas e custos financeiros) decorrentes da entrada de 
algum desses tipos vírus no país, a exemplo da recente 
pandemia da nova corona vírus - considerando-se, por 
exemplo, o colapso no Sistema da Saúde brasileiro e nos 
sistemas de saúde dos países europeus atingidos pela 
pandemia, em época estagnação econômica e 
endividamento, além do rombo nas contas públicas. 
 Com estes riscos globais em mente e outrostipos de 
riscos, torna-se necessário que os indivíduos e 
organizações gerenciem e tratem riscos de forma eficaz. 
Além disso, é importante que as organizações tomem 
consciência de compreensão da importância do 
tratamento dos riscos em longo prazo. 
 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
40 
 
 AS CRISES FINANCEIRAS DE 2002 E DE 2008 NOS 
EUA E AS FALHAS NOS CONTROLES INTERNOS 
E NO GERENCIAMENTO DE RISCOS. 
 
 Em 2002, uma sucessão de escândalos financeiros 
praticados por empresas dos Estados Unidos da América 
atingiram a Enron, uma das maiores companhias no 
mundo em distribuição de energia, a Arthur Andersen, 
outrora considerada como uma das mais conceituadas 
empresas de auditoria, intimamente relacionada com a 
queda da Enron, uma vez que lhe prestava serviços de 
auditoria e consultoria e a World.Com, tida como a 
segunda maior empresa de telecomunicações dos EUA. 
Desde o Crash de 1929, que os mercados de capitais 
estadunidenses não viviam um cenário de tamanha 
fragilidade. 
 Após a ocorrência de todos estes escândalos 
financeiros, o que resultou num golpe profundo na 
confiança dos investidores e na credibilidade dos 
mercados financeiros e de capitais, no dia 30 de Julho de 
2002, o Congresso e o Governo dos Estados Unidos da 
América aprovam a implementação da lei Sarbanes-
Oxley (SOX).Também designada por Sarbanes-Oxley 
Act (SOA), fora elaborada pelos senadores Paul Sarbanes 
(Democrata de Maryland) e Michael Oxley (Republicano 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
41 
 
de Ohio), com o objetivo de estabelecer um conjunto de 
novas responsabilidades e sanções aos administradores 
relativamente à questão da confiabilidade e qualidade da 
informação financeira, bem como em relação ao 
monitoramento da eficácia da estrutura de controles 
internos. Por conseguinte, as informações prestadas pelo 
conjunto de empresas cotadas na bolsa estadunidense 
tornam-se um bem público, um dever de 
responsabilidade social, razão pela qual o auditor passa 
a desempenhar, cada vez mais, uma função 
indispensável no quotidiano das organizações. Assim, a 
Lei Sarbanes-Oxley veio facilitar o trabalho da auditoria, 
dado o aumento dos controles internos que ela exige. Por 
outro lado, essa lei vem reforçar a importância do 
auditor interno ao nível da implantação e 
acompanhamento desses mesmos controles. Segundo 
Santos (2009), “a obrigação estende a todas as empresas 
listadas na Bolsa de New York, inclusive as brasileiras, 
são obrigadas pela SOX a informar anualmente a quais 
riscos estão expostos e quais são as ferramentas de 
controle e gerenciamento utilizadas” (SANTOS: 2009, p. 
6). 
 Após a crise de 2002 e o advento da Lei Sarbanes-
Oxley, o mundo iria sentir os efeitos devastadores de 
outra crise financeira, desta vez uma crise de crédito, em 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
42 
 
2008, provocada por empréstimos hipotecários 
“subprime” e pela desregulamentação do setor de 
crédito nos EUA. As consequências sem precedentes 
dessa crise, que para muitos foi considerada a pior crise 
financeira global de todos os tempos, atingiram um país 
após o outro, em um efeito dominó. Conforme Baranoff 
et al (2012), a crise financeira global atingiria os níveis 
mais alarmantes fora dos EUA e, ao contrário do 
pensamento inicial de que o problema seria mais 
concentrado naquele país norte americano e em 
decorrência de uma cultura de Wall Street de negligência 
a riscos, o problema passou a ser global, com grande 
influência de um país sobre os outros. Em vista de o 
mundo estar tão profundamente conectado, as 
catástrofes regionais do futuro não poderão mais serem 
contidas localmente, tal como ocorria no passado. Essa 
tendência se confirma no caso da Covid-19 (novo corona 
vírus), que se tornou uma emergência mundial. 
 Podemos definir o colapso de 2008 como 
consequência de um comportamento financeiramente 
arriscado, numa proporção especulativa nunca antes 
experimentada. 
 Suas implicações superam qualquer outro evento 
desastroso anterior. Em 2008, o mercado de crédito dos 
EUA atuava como um banco, com uma base defeituosa 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
43 
 
construída pelo comportamento antiético nos mercados 
como base nas seguintes premissas: 
1. Os bancos que emprestavam dinheiro pactuavam 
hipotecas domiciliares sem uma gestão de risco 
prudente e sem critérios mais rígidos para a sua 
concessão, para compradores de casas menos 
qualificados, sem as devidas garantias de pagamento, 
iniciando a chamada crise das hipotecas “subprime”; 
 
2. Essas hipotecas de alto risco foram aglutinadas em 
novos instrumentos, denominados de títulos 
garantidos por hipotecas, que por sua vez eram 
garantidos por agências governamentais dos EUA, 
como as grandes empresas de crédito imobiliário 
Fannie Mae e Freddie Mac, que foram estatizadas 
pelo governo; 
 
3. Estes novos instrumentos agrupados e 
“empacotados” foram negociados para instituições 
financeiras de todo o mundo; 
4. Essas hipotecas feitas com devedores sem garantias 
precisavam um seguro para ocaso de não 
adimplemento. Assim, essas garantias, denominadas 
“swaps” de inadimplência de crédito, foram feitas 
com essa finalidade. Porém, essas garantias foram 
projetadas para cuidar apenas de alguns 
inadimplentes de empréstimos, sendo negligenciado 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
44 
 
o risco de uma falha sistêmica de muitos 
empréstimos; 
 
5. Os devedores das hipotecas “subprime” tiveram que 
começar a deixar de pagar pagamentos mensais 
maiores, pois não conseguiam mais refinanciar suas 
hipotecas a taxas de juros mais baixas. Após os 
ataques de 11 de setembro as taxas começaram a 
subir, dificultando o acesso ao crédito e diminuindo 
a procura por imóveis. Consequentemente, os preços 
das casas começaram a diminuir; 
 
6. Em razão dos aumentos das prestações e da 
desvalorização imobiliária, os devedores das 
hipotecas de alto risco começaram a ficar 
inadimplentes, fato esse que aumentou 
drasticamente o número de execuções hipotecárias, 
diminuindo o desempenho de alguns títulos 
garantidos por hipotecas; 
 
7. Assim, as instituições financeiras que garantiram os 
empréstimos hipotecários não possuíam o lastro para 
sustentar o grande número de inadimplentes de 
forma simultânea, dentre elas uma das maiores 
seguradoras globais, AIG (American International 
Group); 
 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
45 
 
8. Muitas dessas grandes instituições financeiras 
globais tornaram-se insolventes, levando o mundo à 
margem do colapso e travando os mercados de 
crédito, pois os indivíduos e os bancos perderam a 
confiança mútua; 
 
9. Os governos tiveram que emprestar trilhões de 
dólares a juros baixos ou até mesmo negativos, por 
meio dos seus Bancos Centrais, para resgatar muitas 
dessas instituições como último recurso, de modo a 
garantir uma sobrevida econômica. Isso aumentou 
drasticamente a alavancagem financeira das 
empresas, mantendo artificialmente o crédito que 
mantém a economia funcionando e mascarando a 
ineficiência de grandes corporações, gerando riscos 
aos mercados e aos governos, no curto e no médio 
prazo. 
 Conforme o exposto, falhas no gerenciamento de 
riscos, bem como a inércia das autoridades em controlar 
essas falhas detectadas, estão no centro da crise de 
crédito global. Esta crise começou com a concessão 
excessiva de hipotecas de devedores sem garantias. É 
sabido ser necessário que as pessoas e empresas 
obtenham empréstimos elinhas de crédito para conduzir 
seus negócios e consolidar seu patrimônio, pois sem 
crédito, a produção diminui e a economia global entra 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
46 
 
em recessão, ou mesmo em depressão. Porém, o efeito 
dos empréstimos garantidos por hipoteca a compradores 
não qualificados no gerenciamento do risco foi 
profundo, sendo que até hoje o mundo está em uma crise 
global devido à ação predominante de empresas e 
reguladores que ignoraram os riscos associados aos 
requisitos para aprovação dos empréstimos com 
garantia de hipoteca. 
 Outro fator para esse colapso foram as garantias 
dessas hipotecas, fornecidas por meio de instrumentos 
financeiros adicionais, denominados derivativos de 
crédito. Em suma, um derivado de crédito é uma espécie 
de seguro emitido por outra empresa, o que garante o 
pagamento do contrato em caso de inadimplência. No 
entanto, quando as hipotecas ficaram inadimplentes, a 
seguradora não tinha dinheiro suficiente para pagar suas 
obrigações contratuais. Isso acarretou o inadimplemento 
de outras partes em outras obrigações, que contavam 
com esses seguros, ocasionando um efeito bola de neve, 
que fez com que outros se tornassem inadimplentes, e 
assim por diante, o que gerou um colapso de mercado 
financeiro global. O grande erro foi garantir o risco 
financeiro das hipotecas garantidas e agrupadas 
(contratos ruins com contratos bons) sem realmente ter 
uma verdadeira base de garantia e medidas para tratar 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
47 
 
esses riscos, que está subjacente a toda a gestão de riscos. 
Essa falha no gerenciamento de risco não pode ser 
atribuída somente à identificação adequada e tratamento 
dos riscos, mas, sobretudo a especulação financeira. 
Embora os órgãos reguladores e as empresas tivessem 
sido advertidos quanto aos procedimentos de 
gerenciamento de risco, tais advertências foram 
ignoradas em busca do lucro rápido sob o pretexto do 
livre mercado que tudo vê e tudo regula. Assim, 
conforme IstoÉ (2016), a quebra banco Lehman Brothers, 
que detinha esses fundos subprime em sua carteira, 
representou a maior falência na história, fazendo com 
que o governo dos EUA nacionalizasse os bancos e a 
gigante dos seguros AIG. 
 Conforme Baranoff et al (2012) até hoje, nenhum outro 
evento relacionado a falhas no gerenciamento de risco 
teve, e continuará tendo, um impacto tão profundo em 
todo o mundo como esse de 2008, e isso considerando os 
ataques terroristas de 11 de setembro, sendo que os 
efeitos dessa falha no gerenciamento de riscos ainda 
ecoarão por décadas. 
 Isso causou desemprego e afetou a vida dos eleitores 
em todo o mundo, modificando a própria estrutura do 
governo estadunidense, influenciando inclusive nas 
eleições daquele país. 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
48 
 
 Diante das consequências ocasionadas pelas falhas no 
gerenciamento de riscos, indagamos o seguinte: por que 
o risco dessa situação em potencial foi tão mal 
administrado? Uma crise financeira como esta, conforme 
sugerido pelo filme “A Grande Aposta” (2016), pode 
voltar a acontecer? O que as pessoas e organizações 
poderiam fazer para se proteger dos riscos que podem 
afetar o mercado, os governos e toda a sociedade? Como, 
por exemplo, o governo federal brasileiro pode medir 
esses riscos de forma antecipada para mitigá-los, regulá-
los e controlá-los? 
 Bernstein (1996) preleciona que, mesmo e tenhamos 
progredido com as ciências, em especial a matemática e 
estatística, para superar o desconhecido e a incerteza 
associada ao risco, essas ferramentas não estão sendo 
utilizadas plenamente para prever e tratar riscos. Os 
ataques terroristas de 11 de setembro de 2001, bem como 
os furacões Katrina, Wilma e Rita em 2005, o furacão Ike 
em 2008, além do colapso financeiro de setembro de 2008 
mostraram que o conhecimento da gestão de risco nunca 
foi, em nossa história, mais importante do que agora, em 
um mundo em transformação. 
 Caso a gestão de riscos tivesse sido adequadamente 
posta em prática, a estrutura de gerenciamento de riscos 
teria identificado essas hipotecas “subprime” de alto 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
49 
 
risco e sua inclusão em títulos garantidos por hipotecas. 
Consequentemente, as pessoas teriam evitado esses 
investimentos, o que não aconteceu. 
 Por tudo isso, o estudo do gerenciamento de riscos 
tornou-se, pela materialidade e extensão global das 
consequências, um dos tópicos mais críticos de estudo 
do século XXI. Portanto, a gestão de riscos será uma 
importante ferramenta da gestão de governos e das 
organizações e tomada de decisão no presente e no 
futuro, que envolverá questões financeiras e sociais. Esse 
campo de estudo, com metodologia própria, utilizará 
conhecimentos das áreas de administração pública, 
contabilidade, direito, engenharia, finanças públicas, 
economia, medicina, psicologia, matemática, estatística e 
de outras áreas do conhecimento, para criar cenários de 
tomada de decisão sustentável e de valor. 
 
 
 
 
 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
50 
 
INCERTEZA E RISCO 
 
 Conforme a AIRMIC (2010), as consequências de uma 
materialização dos riscos podem ser tanto negativas quanto 
positivas (oportunidade), podendo ainda resultar em uma 
maior incerteza. Todos nós temos uma intuição pessoal 
sobre o que queremos dizer com o termo “risco”, usando 
esse conceito diuturnamente. A cada evento novo, 
experimentamos a ansiedade e a antecipação ao enfrentar 
incertezas e ter que tomar uma decisão quanto aos riscos de 
uma situação a ser enfrentada. Assim, na verdade, dar uma 
única definição inequívoca do que queremos dizer com a 
noção de “risco”; revela-se uma decisão complexa, 
levando-se em conta que a palavra “risco” é usada em 
muitos contextos diferentes. 
 Além disso, a palavra leva muitas interpretações 
diferentes nesses contextos variados. 
 Em todos os casos, no entanto, a noção de risco está 
intrinsecamente ligada à noção de incerteza, sendo que 
para o nosso estudo classificaremos a incerteza como a 
possibilidade de dois resultados potenciais para cada 
evento ou situação. 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
51 
 
 Quando comparamos os dois conceitos, percebemos que 
o risco não o mesmo que incerteza. Uma pessoa com a gripe 
não é necessariamente a mesma coisa que o vírus que causa 
a gripe, pois o vírus da gripe é a causa ou da manifestação 
ou não de um quadro sintomático da gripe (consequência). 
 Assim o risco tem a ver com as consequências, tanto 
positivas quanto negativas e envolve ter mais de dois 
possíveis resultados (incerteza). E o risco ainda não pode 
ser confundido com a materialização dos ganhos e perdas, 
tendo em vista que o risco é uma situação potencial, 
provável de ocorrer. Por conseguinte, o risco decorre da 
incerteza, que pode ser definida como sendo decorrente de 
duas opções, ou seja, uma incerteza consiste em 
oportunidades de lucro e também potencial de perda. 
 
 
 
 
 
 
 Consequência 
3 
(Risco 3) 
Consequência 
2 
(Risco 2) 
Consequência 
1 
(Risco 2) 
Incerteza A 
Incerteza B 
Incerteza C 
Incerteza D 
Figura 1. Relação entre incerteza e risco: 
Fonte: Baranoff et al (2012) 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
52 
 
 O NAO (2004) define o risco como uma incerteza em 
relação ao resultado, seja a oportunidade positiva ou 
ameaça negativa, de ações e eventos. 
 O risco deve ser avaliado em relação à combinação daprobabilidade de algo acontecer e do impacto que ocorre se 
realmente acontecer. Para o COSO (2007, p. 3) as 
“incertezas representam riscos e oportunidades, com 
potencial para destruir ou agregar valor”. 
 
Incertezas Consequências- Riscos 
Dirigir sob a influência 
do álcool 
Multas; Perda de respeito por pares (não numéricos); 
aumento de seguro automóvel ou cancelamento do 
seguro. 
Variação nas taxas de 
juros ao longo do tempo. 
Variação numérica no retorno do investimento. 
Várias execuções 
imobiliárias simultâneas 
Perdas de instrumentos financeiros vinculados a padrões 
de hipoteca ou algum efeito de dominó, tais como as que 
abordamos anteriormente. 
Fumar vários cigarros 
por dia. 
Surgimento de doenças (como câncer e doenças cardíacas) 
bem como redução do tempo e da qualidade de vida. 
Impossibilidade de contratação de planos de saúde ou 
aquisição de planos de saúde mais caros. 
Produção de energia 
termoelétrica e emissão 
automotiva de gases de 
efeito estufa (CO2) 
Aquecimento global, derretimento de calotas de gelo, 
aumento do nível de oceanos, aumento da intensidade de 
eventos climáticos, deslocamento de populações; possível 
extinção ou deslocamento de contingentes populacionais, 
 
Quadro 1. Exemplos de consequências que representam riscos: 
Fonte: Baranoffet al (2012) 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
53 
 
 Segundo a OCDE (2013), os riscos são geralmente 
percebidos como negativos. 
 Portanto, algumas empresas preferem evitar uma 
avaliação formal de risco para evitar percepções ou 
especulações negativas. O COSO, conceitua os riscos como 
eventos negativos, sendo que os eventos podem gerar tanto 
riscos quanto oportunidades. No mesmo sentido, Griffiths 
(2005) ensina que o risco não afeta necessariamente os 
objetivos de forma negativa, pode ser positivo. 
 Para Baranoff et al (2012), o estudo e tratamento dos 
riscos associados aos negócios da organização e suas 
consequências são a base para a tomada de decisão pela alta 
administração, o que pode também ser utilizado nas 
tomadas de decisão das pessoas e das famílias. De fato, o 
risco e as decisões tomadas podem acarretar perdas ou 
oportunidades tanto no nível gerencial quanto em termos 
pessoais e mesmo que esses riscos sejam bem gerenciados, 
teremos que considerar os riscos residuais gerados pelas 
decisões. 
 É importante destacar também que o custo do controle do 
risco não deverá ser mais alto do que o próprio risco que se 
quer controlar ou mitigar. Devido à presença constante do 
risco tanto em termos profissionais quanto em nossa vida 
cotidiana, muitas vezes temos dificuldades com os aspectos 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
54 
 
positivos ou negativos dos eventos que podem representar 
riscos ou oportunidades. 
 Por exemplo, quando uma pessoa comum ou um 
empreendedor decidem por não investir em tal aplicação 
ou em um projeto, porque é muito arriscado, isso pode 
significar que o valor esperado da perda é alto ou que o 
lucro esperado é muito pequeno para justificar a 
consequente exposição ao risco e as perdas potenciais que 
podem resultar. Portanto, tal indagação envolve perdas e 
oportunidades, sendo que o termo risco (“risk”, tal como o 
usado na língua inglesa) é ambíguo a este respeito, 
podendo ser interpretado a partir de duas interpretações. 
Assim, os profissionais tentam usar palavras diferentes 
para delinear cada uma dessas interpretações diferentes. 
 Portanto, os riscos são eventos que podem gerar perdas 
ou impactos negativos na realização dos objetivos 
organizacionais, enquanto riscos positivos representam 
oportunidades, ou seja, eventos que podem contribuir 
favoravelmente com a realização dos objetivos. Assim, o 
gerenciamento de riscos corporativos é feito de modo a 
tratar os eventos negativos e aproveitar a ocorrência dos 
eventos positivos na geração de valor. 
 Desse modo, podemos concluir que o risco pode ser 
retratado como a possibilidade de um evento ocorrer e 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
55 
 
afetar negativamente a consecução dos objetivos traçados, 
tendo em mente que é preciso considerar também aqueles 
eventos que podem ser aproveitados pela organização, por 
afetarem positivamente a realização dos objetivos 
institucionais. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
56 
 
 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
57 
 
 
 
 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
58 
 
 
 
 
 
 
 
 
 
 
 
 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
59 
 
O GERENCIAMENTO DOS RISCOS 
 A essa altura, comecemos por conceituar o risco, objeto 
do gerenciamento de riscos e que serve de base para o novo 
paradigma de atuação do auditor. Como veremos adiante, 
o risco constitui uma componente importante da atividade 
das organizações, já que qualquer atividade organizacional 
envolve certo grau de risco, motivo pelo qual o risco 
assume importância fundamental na gestão. Neste capítulo 
conceituaremos o risco, quais implicações ocorreram pelo 
fato de instituições e governos negligenciarem a gestão de 
riscos e trataremos dos riscos de corrupção e de fraude. 
 
 O CONCEITO DE RISCO 
 Para a FERMA, a gestão de riscos “é o processo através 
do qual as organizações analisam metodicamente os riscos 
inerentes às respectivas atividades, com o objetivo de 
atingirem uma vantagem sustentada em cada atividade 
individual e no conjunto de todas as atividades” (FERMA, 
2002, p. 3) 2. 
 
2 Disponível em: https://www.ferma.eu/app/uploads/2011/11/a-risk-
management-standard-portuguese-version.pdf 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
60 
 
 Segundo o Tribunal de Contas de Portugal (2009) “evitar 
o risco é eliminar a sua causa. 
 “Preveni-lo é procurar minimizar a probabilidade da sua 
ocorrência ou do seu impacto negativo” (DGAJ: 2009, p. 
24). Por “risco” ter-se o acontecimento, situação ou 
circunstância suscetível de gerar corrupção ou uma 
infração conexa, como consagrado na Deliberação do CPC, 
de 4 de março de 2009 do Tribunal de Contas português. 
Conforme o IIA (2009), o risco é “a possibilidade da 
ocorrência de um evento que tenha um impacto sobre o 
alcance de objetivos. O risco é medido em termos de 
impacto e possibilidade de ocorrência” (IIA: 2009, p. 9). O 
risco está em todas as áreas de uma organização e assim 
eles têm potencial de impacto nos negócios, de modo que 
os gestores precisam lidar com todos esses riscos 
envolvidos (Pickett, 2005). Para a Secretaria Regional da 
Educação da Madeira (2016), a gestão do risco é “um 
processo de análise metódica dos riscos inerentes às 
atividades de persecução das atribuições e competências 
dos serviços” (2016, p. 14). 
 Segundo Drogalas (2014), o gerenciamento de riscos é a 
ferramenta a ser utilizada para diminuir os riscos do 
negócio. Para Ruud (2001) “uma abordagem disciplinada 
para a criação de valor exige que uma organização 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
61 
 
administre eficazmente todos os riscos significativos e 
prováveis” (RUUD: 2001 p. 2). Para tanto, o risco deverá ser 
considerado em todos os níveis da organização, ou seja, 
tanto no nível macro quanto no nível de micro ou 
departamental. 
 Para a ABNT (ISO 31000:2018), todas as atividades de 
uma organização envolvem risco. As organizações por 
meio da sua identificação e análise, para,em seguida, 
avaliar se o risco deve ou não ser modificado pelo seu 
tratamento. O gerenciamento dos riscos está diretamente 
relacionado aos objetivos da organização, ou seja, 
representa o controle sobre todos os fatores que podem 
afetar o alcance dos objetivos institucionais. De acordo com 
SANTOS (2009), “a premissa inerente ao gerenciamento de 
riscos corporativos é que toda organização existe para gerar 
valor às partes interessadas” 
 Por conseguinte, a gestão de risco deve ser um processo 
desenvolvido pela própria gestão da entidade, que deve 
considerar uma estratégica abrangendo todos os níveis da 
organização, projetado de modo a identificar e tratar 
adequadamente potenciais eventos que podem afetar a 
entidade, promovendo os riscos para níveis aceitáveis, de 
modo a fornecer garantia razoável de que os objetivos da 
organização serão alcançados. 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
62 
 
 Embora a gestão de riscos não forneça certeza absoluta 
de que desvios possam acontecer (COSO, 2007), havendo 
inclusive a possibilidade de falhas nos controles e riscos de 
corrupção por conluio e adulteração em sistemas de 
informática, o gerenciamento de riscos poderá minimizar a 
possibilidade de ocorrência dessas falhas. 
 À medida que o processo é posto em prática, o COSO 
(2007) também prevê a possibilidade de avaliação do 
sistema de gerenciamento de risco a ser feito pelo auditor 
interno. Assim, a gestão de risco deve ser entendida como 
um processo interativo e dinâmico, que permite a melhoria 
do desempenho da organização, com vistas à tomada de 
decisões pela alta administração da entidade. 
 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
63 
 
OS RISCOS DE CORRUPÇÃO E FRAUDE. 
 
 Quando conduzem suas auditorias em entidades 
públicas, os auditores internos estão particularmente 
preocupados com a ocorrência de fraudes (JOHNSTONE; 
GRAMLING; RITTEMBERG, 2014). Existem vários tipos de 
fraude e muitas motivações, oportunidades e 
racionalizações explicando porque pessoas se envolvem em 
atos de fraude e de corrupção. Neste tópico, iremos falar a 
respeito dos riscos de fraude e de corrupção, bem como 
definiremos os seus conceitos. 
 Para o COSO (2007), os riscos de fraude e de corrupção 
estão relacionados aos valores éticos da alta gerência, 
considerando que a alta administração, a começar pelo 
dirigente máximo, desempenha um papel fundamental na 
determinação da cultura corporativa. 
 Portanto, a partir da postura da gerência é que os demais 
colaboradores irão determinar aquilo que efetivamente 
deve ser feito e quais normas serão observadas, distorcidas 
ou ignoradas. 
 A título de exemplo, podemos elencar os planos de 
gestão de riscos de corrupção considerados para as 
entidades públicas do Governo de Portugal, usadas como 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
64 
 
instrumento de controle, transparência e combate à 
corrupção, podendo servir de parâmetro para 
compreender as atividades sujeitas a riscos que uma 
organização pode enfrentar, conforme também defendido 
pela OCDE (2013). Para Vona (2008), fraude é um ato 
intencional e deliberado pelo seu causador para esconder a 
verdadeira natureza de um negócio. Segundo COMBOIOS 
DE PORTUGAL (2016), “a corrupção constitui- se como um 
obstáculo fundamental ao normal funcionamento das 
instituições” (2016, p.8). Conforme o Ministério da Justiça 
de Portugal, “a corrupção normalmente envolve duas ou 
mais pessoas que entram numa espécie de acordo secreto” 
(DGAJ: 2009, p. 29). 
 A ENMC (2017, p.7) conceitua os riscos de corrupção 
como “a prática de qualquer ato ou omissão, seja lícito ou 
ilícito, contra o recebimento ou a promessa de qualquer 
compensação que não seja devida, para próprio ou para 
terceiro”. Para o IFD (2016, p.3), “o fenômeno da corrupção 
constitui uma violação clara dos princípios de interesse 
geral que todas as instituições e colaboradoras e 
colaboradores se devem pautar”. 
 Segundo a AICEP (2014), a gestão e administração do 
dinheiro público devem ser pautadas por “princípios de 
interesse geral, nomeadamente da persecução do interesse 
público, da igualdade, da transparência, da justiça, da 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
65 
 
imparcialidade e da boa administração”. (AICEP, 2014, p. 
3) 
 Segundo o World Bank (2010), a corrupção pode consiste 
mal uso de cargo público, influência ou prestígio para 
ganhos privados, por meio do uso de propina, extorsão, 
fraude, receptação, conluio ou lavagem de dinheiro. 
Segundo essa entidade, uma fraude não pode ser feita de 
forma isolada, pois para a sua ocorrência, é necessário que 
ganhos ocorram também para parentes, partidos políticos, 
ou instituições e empresas que tenham interesses nesses 
atos. O World Bank (2010) define corrupção em termos de 
práticas de corrupção, conluio, fraude, coerção e obstrução. 
 Fraude é um ato intencional, envolvendo o uso de 
subterfúgios que resulta em uma desconformidade nos 
registros financeiros. São dois os tipos de 
desconformidades que são relevantes para os auditores 
para efeitos de fraude: (a) desconformidades geradas por 
meio de ocultação ou desvio de bens e/ou valores 
(apropriação indébita); (b) desconformidades que surgem 
através de relatórios financeiros ou processos conduzidos 
de forma fraudulenta. Interessa neste ponto distinguir 
entre fraude e erros, sendo que erros são frequentemente 
encontrados por auditores e se referem a atos não 
intencionais (JOHNSTONE; GRAMLING; RITTEMBERG, 
2014, p. 34). 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
66 
 
 Um tipo de fraude que é mais comum em empresas ou 
organizações de pequeno porte, em que o agente é um 
funcionário dessa entidade, pode ser caracterizado como 
apropriação indébita, que ocorre quando o perpetrador da 
fraude rouba ou furta bens da organização. Esse tipo de 
fraude pode ser investigado de acordo com diversas 
técnicas de auditoria, incluindo conferência dos 
pagamentos ou extratos bancários, conferência dos 
estoques e registros de compra e de almoxarifado, de modo 
que se detectem os pagamentos de bens e serviços que não 
foram entregues. Esse tipo de apropriação de bens ou 
valores ocorre mais quando os funcionários da 
organização: 
➢ Têm acesso ao caixa ou estoques da entidade e 
podem manipular os registros contábeis para cobrir 
os furtos; 
➢ Manipulam os fluxos de caixa, bem como compras e 
aquisições, utilizando empresas de fachada; 
➢ Roubam ou extraviam os próprios registros e 
inventários para manipular os registros financeiros 
e contábeis da entidade para cobrir a fraude. 
 Destacam-se, a título de exemplo, as inúmeras 
ocorrências encontradas nos trabalhos da CGU no âmbito 
do sorteio de municípios, que corroboram o padrão de 
fraude perpetrado em pequenos municípios e também em 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
67 
 
pequenas organizações não governamentais, em que 
ocorrem desvios de bens e de recursos públicos. 
 Por outro lado, ocorrem tanto em pequenas quanto em 
grandes organizações um tipo de fraude moderna 
denominado esquema Ponzi, popularmente conhecido 
como pirâmide financeira, em que os depósitos dos 
investidores mais novos são usados para pagamentos dos 
investidores mais antigos, uma vez que os investimentos na 
organização em si não existem. O modelo do esquema 
Ponzi irá entrar em colapso se novos investidores pararem 
de ingressar no esquema, ou quando os seus depósitos 
forem tão baixos que não consigam financiar o retorno do 
investimento dos investidores mais antigos e no ápiceda 
pirâmide. 
 O esquema Ponzi é baseado em dois fundamentos: 
confiança e concordância. A confiança começa por meio da 
construção de um relacionamento entre os integrantes do 
esquema e de suas potenciais vítimas. Usualmente, no 
esquema Ponzi, o chefe da pirâmide comete a fraude e 
ganha confiança por meio das seguintes táticas: 
a) Diretamente, valendo-se do prestígio de outras pessoas 
ou empresas; 
b) Atuando como profissional ou afiliado; 
c) Por meio de prepostos ou outros agentes. 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
68 
 
 Tal convencimento se dá a partir da falsa impressão de 
lucros ou retornos vultosos, e por conta do ganho de 
confiança no esquema, as pessoas “baixam a guarda” e não 
tomam as providências e cautelas necessárias que deveriam 
ter em seus negócios cotidianos. 
 Podemos citar como exemplos mais conhecidos de 
esquemas Ponzi no Brasil os golpes realizados por meio das 
Fazendas “Boi Gordo” e da “Avestruz Master”, sendo que 
esses esquemas se reorganizam continuamente sob novas 
formas e roupagens, mas com o mesmo fundamento. 
 As manipulações intencionais e que afetam os relatórios 
contábeis e financeiros de uma organização são conhecidas 
como fraudes em relatórios financeiros. O perpetrador da 
fraude geralmente obtém o ganho indevido por meio de 
superfaturamento dos itens em estoque ou adquiridos, 
comprometendo a saúde financeira da entidade. 
 Muitas vezes o agente da fraude não obtém ganhos 
diretamente para si, e pode utilizar esses relatórios 
fraudulentos para salvar uma empresa da falência ou evitar 
negativas de empréstimos junto a bancos ou outros agentes 
financiadores governamentais ou privados. 
 Esses agentes também podem atuar em conluio com 
funcionários de bancos responsáveis pela liberação desses 
empréstimos, utilizando documentação fraudulenta, 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
69 
 
balanços alterados ou por meio da não aplicação de 
procedimentos de controle ou de listas de verificação para 
aprovar esses contratos. 
 Três formas comuns em que fraudes em relatórios 
contábeis e financeiros podem incluir: 
a) Manipulação, falsificação ou alteração de registros 
contábeis e/ou financeiros, ou falsificação de 
documentos de suporte; 
b) Mitigação, diminuição ou ocultação de eventos, 
transações, ou outra informação significativa; 
c) Não aplicação intencional de princípios de 
contabilidade ou de princípios da administração 
pública. 
 
 
 
 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
70 
 
O TRIÂNGULO DA FRAUDE. 
 
 Segundo Johnstone, Gramling e Rittemberg (2014), o 
termo “triângulo da fraude” foi introduzido pelo 
criminologista Don Crescey há mais de trinta anos atrás, 
pela identificação das causas de fraudes encontradas, 
sendo então identificados três fatores que frequentemente 
estavam presentes em todos esses casos. Posteriormente, 
outros pesquisadores reforçaram a validade do triângulo 
da fraude. 
 Portanto, são três elementos que incluem: 
a) Incentivo ao cometimento de fraudes; 
b) Oportunidade para o cometimento e aprovação da 
fraude; 
c) Racionalização – o “mindset” utilizado pelo fraudador 
para justificar o cometimento da fraude. 
 
 
 
 
 
 
 
 
 
Figura 2. O triângulo da fraude: 
O Triângulo da 
Fraude 
Oportunidade 
Incentivo Racionalização 
Fonte: Johnstone, Gramling e Rittemberg,(2014) 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
71 
 
 Em relação às oportunidades para cometimento de 
fraudes, não basta que essas ocorram, é necessário que haja 
deficiência ou falta de controles internos ou que a operação 
seja muito complexa, de modo a diminuir a possibilidade 
de ser apanhado no cometimento da fraude. 
 Abaixo elencamos algumas oportunidades que podem 
ser consideradas pela auditoria interna: 
➢ Transações significativas entre partes relacionadas ou 
entre entidades conveniadas ou parceiras; 
 
➢ Posição da organização ou companhia, tal como a 
habilidade de ditar as regras e termos contratuais com 
relação a fornecedores ou clientes, o que pode permitir 
transações fraudulentas por parte de indivíduos ou por 
meio da estrutura da organização; 
 
➢ Inconsistências da gestão, envolvendo julgamentos 
subjetivos e relação à avaliação de ativos ou estimativos 
contábeis; 
 
➢ Transações simples feitas por meio de processos 
complexos que por sua vez ocorrem através de 
processos de registros não usuais; 
 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
72 
 
➢ Complexidade ou dificuldade de se entender 
transações, tais como derivativos, seguros ou entidades 
seguradoras ou intervenientes; 
 
➢ Monitoramento executado sem efetividade ou 
deficiente, ocorrendo porque as diretrizes desse 
monitoramento não são independentes nem efetivas, 
ou porque existe uma centralização de funções na 
figura do gerente; 
 
➢ Estrutura organizacional complexa ou instável; 
 
➢ Fraqueza ou inexistência de controles internos. 
 
 Quanto aos incentivos ou pressões para o cometimento 
de fraudes no âmbito do ambiente da organização, 
“determinados indivíduos poderão cometer atos 
desonestos, ilegais ou antiéticos simplesmente porque a 
organização lhes propicia forte incentivo ou tentação para 
agir dessa forma” (COSO: 2007 p. 36). 
 Dentre os fatores mais prováveis de se cometerem 
fraudes, podemos citar os seguintes: 
 Ambiente propício para cometimento de fraudes por 
parte da gerência; 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
73 
 
 Pressões financeiras para ganhos ou relatórios 
financeiros favoráveis; 
 Necessidade de maquiar as contas para evitar uma 
quebra ou falência; 
 Aposentadorias ou férias pendentes ou mesmo a 
expiração de benefícios trabalhistas; 
 Pressão da família, dos amigos e da comunidade para 
ter um padrão de vida maior do que aquele que seria 
possível ganhando-se apenas os rendimentos do 
emprego ou função; 
 Influência de jogos de azar ou drogas; 
 Ganância. 
 Em relação aos atos da gerência, de modo a proporcionar 
um ambiente íntegro, o exemplo da alta gerência é 
fundamental. Assim, “o simples fato de que o Presidente 
tenha feito a coisa certa em termos de ética, quando 
confrontado com uma difícil decisão, envia uma mensagem 
poderosa por toda a organização” (COSO: 2007, p. 37). 
 Já em relação à racionalização da fraude, podemos dizer 
que é um componente fundamental de muitas fraudes. A 
racionalização envolve a justificação do comportamento 
pela própria pessoa para que ela possa estar bem consigo 
mesma diante de um comportamento incorreto, tais como 
ocorre com um assaltante, que acredita que tem decência e 
confiança, apesar de sua opção de “trabalho”. 
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 
 
74 
 
 Para fraudes contábeis, a racionalização pode incluir 
pensamentos tais como: 
 “Isso é apenas uma vez, feito apenas para sobreviver a 
uma crise e até que as coisas melhorem”; 
 “Todo mundo rouba pelo menos um pouco; estamos 
apenas jogando o mesmo jogo”; 
 “Vamos estar em maus lençóis com todos os nossos 
acionistas e clientes, a menos que possamos fazer uma 
contabilidade criativa para eliminar as dívidas de 
nossos balanços”; 
 “A fraude é necessária para salvar a família ou (o)a 
amante de um sufoco financeiro”; 
 “Podemos perder tudo (família, amigos, carro, casa, etc) 
se não pegarmos o dinheiro”; 
 “Nenhuma ajuda é oferecida do lado de fora da 
entidade”; 
 “Isso é só um “empréstimo” e será pago em algum 
momento no futuro”; 
 “Alguma coisa tem que ser paga por essa organização, 
as outras