Apostila de Gestão de Riscos e Controles Internos

Prévia do material em texto

Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 1 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Curso: Gestão de Riscos e Controles 
Internos no Setor Público 
Apostila 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 2 
SUMÁRIO 
1. Introdução .................................................................................................. 03 
2. Conceitos Básicos ....................................................................................... 04 
3. Evolução Histórica: Controle & Risco ......................................................... 05 
4. Objetivos da Organização .......................................................................... 20 
5. Gestão de Riscos ....................................................................................... 21 
6. Controles Internos .................................................................................... 33 
7. Quando o risco de materializa .................................................................. 51 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 3 
1. INTRODUÇÃO 
O ano de 2016 pode ser considerado um marco na Gestão Pública Federal com o 
advindo da Instrução Normativa Conjunta CGU/MPOG nº 1. A Controladoria-Geral da União e 
o Ministério do Planejamento, Orçamento e Gestão determinam, aos órgãos e entidades do 
Poder Executivo Federal, a adoção de uma série de medidas para a sistematização de práticas 
relacionadas a gestão de riscos, controles internos e governança. 
A partir de agora, o dirigente máximo de cada órgão ou entidade passa a ser o 
principal responsável pelo estabelecimento da estratégia de organização e da estrutura de 
gerenciamento de riscos. Dentro deste cenário, também será papel do dirigente máximo 
estabelecer, de forma continuada, o monitoramento e o aperfeiçoamento dos controles 
internos da gestão. 
Cada risco mapeado e avaliado deve estar associado a um agente responsável 
formalmente identificado. O agente responsável pelo risco deve ser um gestor com alçada 
suficiente para orientar e acompanhar as ações de mapeamento, avaliação e mitigação do 
risco. As tipologias de risco abrangem: riscos operacionais, de imagem/reputação do órgão, 
legais e financeiros/orçamentários. 
A norma também prevê a instituição de comitês de governança, riscos e controles em 
todos os órgãos federais. Cada comitê será formado pelo dirigente máximo do órgão ou 
entidade, pelos dirigentes das unidades a ele diretamente subordinadas e será apoiado pelo 
respectivo assessor especial de Controle Interno. 
Os comitês terão sob sua responsabilidade promover a adoção de práticas que 
institucionalizem a responsabilidade dos agentes públicos na prestação de contas, 
transparência, efetividade das informações e, dentro dessa finalidade, promover o 
desenvolvimento contínuo dos agentes públicos; garantir a aderência às regulamentações, leis, 
códigos, normas e padrões, com vistas a condução das políticas e à prestação de serviços de 
interesse público; bem como supervisionar o mapeamento e avaliação dos riscos-chaves que 
podem comprometer a prestação de serviços de interesse público; entre outras atribuições. 
Caberá à CGU avaliar cada procedimento em relação à aplicação das políticas de 
gestão de risco e a eficácia dos controles internos. 
De forma a capacitar os gestores para a implementação dessa norma, a CGU em 
parceria com a ENAP elaborou esse curso que tem como objetivo prover os gestores com as 
ferramentas e conhecimentos necessários para se adequarem ao cenário proposto. 
 
 
 
 
 
 
 
 
 
 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 4 
2. CONCEITOS BÁSICOS 
Para melhor compreender o assunto que será abordado nessa apostila, é necessário 
ter o entendimento de três conceitos básicos relativos à gestão de risco: objetivo, risco e 
controles internos. 
 
Objetivo 
O gerenciamento de riscos corporativos eficaz não dita os objetivos que a 
administração deve escolher, mas certifica-se que a referida administração dispõe de um 
processo que alinhe objetivos estratégicos com a sua missão e que esses objetivos e os 
correlatos selecionados estejam de acordo com o apetite a risco (Committee of Sponsoring 
Organizations of the Treadway Commission - COSO, 2007). 
Ainda segundo o COSO os controles internos asseguram o atingimento dos objetivos, 
de maneira correta e tempestiva, com a mínima utilização de recursos. 
Pelo exposto, fica evidente que para se implementar uma gestão de riscos eficaz, é 
necessário ao gestor saber primeiramente quais são seus objetivos. O termo objetivo diz 
respeito a um fim que se quer atingir. 
Se não sabes a que porto te diriges, nenhum vento te será favorável. 
Sêneca – filósofo 
Risco 
Superada a fase de definição dos objetivos, cabe ao gestor levantar os eventos que 
porventura possam vir a impactar futuramente o atingimento dos objetivos. Esses eventos 
denominamos de “riscos”. 
É comum na literatura associar riscos à eventos que impactam a gestão de forma 
negativa ou positiva, dificultando ou facilitando o gestor no atingimento dos objetivos. 
Por motivo de didática, adotaremos nesse curso apenas o sentido negativo da palavra, 
e quando se tratar de seu sentido positivo será utilizada a palavra oportunidade ao invés de 
riscos. 
 
Controle Interno 
De acordo com a IN conjunta 01, os controles internos da gestão se constituem na 
primeira linha (ou camada) de defesa das organizações públicas para propiciar o alcance de 
seus objetivos. 
Em outras palavras, são os instrumentos implementados pelo gestor para mitigar os 
riscos identificados. 
 
3. EVOLUÇÃO HISTÓRICA: CONTROLE & RISCO 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 5 
A palavra “risco” deriva do italiano antigo riscare, que significa “ousar”. Nesse sentido, 
o risco é uma opção, e não um destino. É das ações que ousamos tomar que depende nosso 
grau de liberdade de opção. 
O estudo sério do risco começou no Renascimento, quando as pessoas se libertaram 
das restrições do passado e desafiaram abertamente as crenças consagradas. Foi uma época 
em que grande parte do mundo seria descoberta e seus recursos, explorados. Uma época de 
turbulência religiosa, de capitalismo nascente e de uma abordagem vigorosa da ciência e do 
futuro. 
O núcleo matemático do conceito do risco surgiu em 1654 com a elaboração da teoria 
das probabilidades por Blaise Pascal e Pierre de Fermat. No século XVIII, Johann Bernoulli 
inventou a lei dos Grandes Números e a amostragem estatística, enquanto Abraham de Moivre 
expôs a estrutura da distribuição normal e descobriu o conceito de desvio padrão constituindo 
a base da lei das médias. 
 
Figura 1 - Curva Normal 
Apesar dos estudos matemáticos referentes a risco existirem há muitos anos, observa-
se que apenas recentemente tais teorias foram se integrando às boas práticas internacionais 
de gestão coorporativa. É mais curioso ainda o fato de que apesar dos controles internos 
existirem para mitigar os riscos identificados, os modelos de controle interno na gestão 
coorporativa se destacaram previamente aos modelos de gestão de risco. Como observa-se no 
framework de controles internos do COSO, publicado em 1992, que antecedeu o COSO-ERM, 
publicado somente em 2004. 
 
COSO Controles Internos – Estrutura Integrada 
Devido a políticas questionáveisno financiamento de campanhas políticas e 
identificação de práticas de corrupção em relações internacionais na década de 1970, o U.S 
Securities and Exchange Commission (SEC) e o Congresso dos EUA promulgaram uma reforma 
nas leis de financiamento de campanha, bem como o Foreign Corrupt Practices Act (FCPA) que 
criminalizou os subornos transnacionais e exigiu que as empresas implementassem programa 
de controle interno. Em resposta, uma comissão nacional em fraudes financeiras, a Treadway 
Commision, foi formada em 1985 para inspecionar, analisar e elaborar recomendações em 
fraudes financeiras corporativas. É importante ressaltar que essa comissão tratou-se de uma 
iniciativa do setor privado. 
O resultado do trabalho da Treadway Commision foi publicado em 1987 e como 
resultado desse relatório o COSO (The Committee of Sponsoring Organizations of the Treadway 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 6 
Commission) foi criado a partir de membros da Coopers & Lybrand, uma grande firma pública 
de contadores, para estudar as questões apontadas no relatório e elaborar um framework de 
controle interno. 
Em 1992, os quatro volumes intitulados Internal Control – Integrated Framework, foi 
lançado pelo COSO apresentando definições comuns de controle interno e provendo um 
framework no qual controles internos podiam ser avaliados e melhorados. 
 
COSO ERM 
Em 2001, o COSO - Controles Internos iniciou um projeto com a finalidade de 
desenvolver estratégia para gerenciar riscos corporativos e solicitou à PricewaterhouseCoopers 
que desenvolvesse uma estratégia de fácil utilização pelas organizações. 
Foi criado o documento chamado Enterprise Risk Management – Integrated 
Framework, como uma estrutura de gerenciamento de riscos corporativos, capaz de fornecer 
os princípios e conceitos fundamentais, em uma linguagem simples, com direcionamento e 
orientação, publicado em 2004. 
Em 2007, foi traduzido para o português pela AUDIBRA (Instituto dos Auditores 
Internos do Brasil) e publicado com o título “Gerenciamento de Riscos Corporativos – Estrutura 
Integrada” 
O período de desenvolvimento do COSO - ERM foi marcado por uma série de 
escândalos e quebras de negócios de grande repercussão, que geraram prejuízos de grande 
monta a investidores, empregados e outras partes interessadas, como o caso da Eron 
Corporation e Arthur Andersen que efetuaram fraudes contábeis e fiscais, omitindo prejuízos 
por dois anos consecutivos de US$ 25 bilhões. 
Trata-se de um modelo predominante no cenário corporativo internacional, utilizado 
sobretudo nos Estados Unidos. Também foi recepcionado pela INTOSAI (Órgão internacional 
fiscalizatório do setor governamental – tendo como representante o Tribunal de Contas da 
União - TCU): INTOSAI GOV 9130. Também é utilizado pelo Government Accountability Office 
(GAO) – Escritório de Accountability dos Estados Unidos; Banco Interamericano de 
Desenvolvimento (BID); Banco Mundial e Controladoria-Geral da União (CGU). 
Ressalta-se que o COSO – Controles Internos ainda é uma referência quando se trata 
das melhores práticas de controles internos corporativos, indo além dos controles contábeis e 
financeiros e auxiliando as organizações a avaliarem e aperfeiçoarem seus sistemas de 
controle interno, considerando inclusive o gerenciamento de riscos. 
Embora a estrutura de gerenciamento de riscos corporativos (COSO-ERM) não tenha 
por meta substituir a estrutura de controles internos das organizações, incorpora estrutura de 
controle interno em seu conteúdo e poderá ser utilizada, tanto para atender às necessidades 
de controle interno quanto para adotar um processo completo de gerenciamento de riscos. 
Para o COSO ERM, o gerenciamento de riscos consiste em: 
Um processo conduzido em uma organização pelo conselho de administração, 
diretoria e demais empregados, aplicado no estabelecimento de estratégias, formuladas para 
identificar em toda a organização eventos em potencial, capazes de afetá-la, e administrar os 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 7 
riscos de modo a mantê-los compatível com o apetite a risco da organização e possibilitar 
garantia razoável do cumprimento dos seus objetivos (COSO, 2007). 
Quanto à estrutura de composição do COSO ERM, existe um relacionamento direto 
entre os objetivos, que uma organização se empenha em alcançar, com os componentes do 
gerenciamento de riscos corporativos, que representam aquilo que é necessário para o alcance 
desses objetivos, e a estrutura da organização para realização dessas ações. Esse 
relacionamento é apresentado em uma matriz tridimensional em forma de cubo: 
 
 
 
 
 
 
 
 
 
 
 
 
 
As quatro categorias de objetivos (estratégicos, operacionais, de comunicação e 
conformidade) estão representadas nas colunas verticais. Os oito componentes nas linhas 
horizontais e as unidades de uma organização na terceira dimensão. Essa representação ilustra 
a capacidade de manter o enfoque na totalidade do gerenciamento de riscos de uma 
organização, ou na categoria de objetivos, componentes, unidade da organização ou qualquer 
um dos subconjuntos (COSO, 2007). 
 
Orange Book 
O Reino Unido também tem adotado gestão de riscos no seu setor público há alguns 
anos. Já no ano 2000, o Auditor Geral do Reino Unido publicou relatório de auditoria sobre o 
tema intitulado Supporting innovation: Managing risk in government departments, 
fortalecendo a agenda sobre gestão de riscos. 
Em 2001, o Tesouro britânico produziu documento chamado Management of Risk - 
Principles and Concepts, conhecido como Orange Book, trazendo princípios e conceitos gerais 
sobre riscos. Foi atualizado em 2004. 
Posteriormente, em 2009, o Tesouro britânico publicou ferramenta voltada para a 
avaliação da gestão de risco nos diversos setores do governo - Risk Management assessment 
Estru
tura 
da 
Entid
ade 
Objetivos 
Componentes 
Fonte: COSO, 2007. 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 8 
framework: a tool for departments, consolidando assim o uso dessa abordagem na sua 
administração pública (TCU, 2013). 
Ressalta-se que Orange Book foi referencial para o Guia de orientação para o 
gerenciamento de riscos, do Ministério do Planejamento, em 2013, mas que não foi 
homologado. O Guia justificou a adoção desse modelo da seguinte forma: 
O Orange Book tem como vantagens, além de ser compatível com padrões 
internacionais de gerenciamento de riscos, apresentar uma introdução ao tema 
gerenciamento de riscos, tratando de uma forma abrangente e simples, um tema 
complexo como o gerenciamento de riscos nas organizações. 
Isto é essencial na introdução de um processo de gerenciamento de riscos em 
uma organização, uma vez que, dentro de qualquer organização existem diversos 
níveis de maturidade com relação ao gerenciamento de riscos (SEGEP, 2013). 
O modelo é composto por um conjunto de quatro elementos inter-relacionados: 
1- Processo de gerenciamento de riscos: aplicação de princípios e processos 
para identificação de riscos, planejamento, implementação e controle das respostas 
aos riscos. Considera também a governança, políticas, objetivos, estrutura 
organizacional, recursos, sistemas de informação, normas, modelos e diretrizes da 
organização; 
2- Organização Estendida: nenhuma organização opera de forma 
independente. Tem interdependências com outras organizações dentro e fora do 
governo. 
3- Macro Ambiente de riscos: Outros fatores que contribuem para o ambiente 
ou cenários nos quais os riscos devem ser gerenciados, como ambiente político, social,tecnológico, ambiental, econômico. 
4- Comunicação e Aprendizado Contínuo: fornecer, obter e compartilhar 
informações necessárias para dialogar com as partes interessadas, bem como 
aprender com o gerenciamento de riscos e permear toda a gestão. 
Esses elementos também foram apresentados graficamente: 
 
 
 
 
 
 
 
 
 
 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 9 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Fonte: Gespública, 2013. 
Isto é essencial na introdução de um processo de gerenciamento de riscos em uma 
organização, uma vez que, dentro de qualquer organização existem diversos níveis de 
maturidade com relação ao gerenciamento de riscos (SEGEP, 2013). 
Quanto ao Risk Management Assessment framework: a tool for departaments, 
elaborado pelo Tesouro Britânico, o modelo tem foco na organização e está estruturado em 
sete componentes: 
1- liderança; 
2- pessoas; 
3- política e estratégias para riscos; 
4- parcerias; 
5- processo de gestão de riscos; 
Macro Ambiente 
Legisl
ação 
Nacio
nal 
e 
Intern
aciona
l 
Gove
rnos 
Estra
ngeir
os 
Economi
a e 
Política 
Nacional 
e 
Internaci
onal 
Expectativas de 
Cidadãos e 
Sociedade 
Órgã
os de 
Audit
oria 
Organização 
Estendida Outras 
unidades 
e 
Ministério
s 
Orga
nism
os 
Finan
ciado
res 
Fornecedores 
Pa
rce
iro
s 
Organização 
Identificar 
 o Contexto 
e os Riscos 
Planejar 
Respostas 
Implementar 
Monitorar e 
Controlar 
Analisar e 
Avaliar 
 os riscos 
Estratégia 
Programas 
Projetos e Atividades 
Comunicação 
e Aprendizado 
Comunicação 
e Aprendizado 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 10 
6- eficácia da gestão de riscos; 
7- resultados. 
Com base nesse modelo o Tribunal de Contas da União desenvolveu a seguinte 
estrutura para avaliar a maturidade 
em gestão de riscos da Unidades da 
Administração Indireta: 
 
 
 
 
 
 
 
 
 
Fonte: TCU, 2013. 
O TCU dispõe em seu relatório TC 011.745/2012-6 a justificativa para escolha desse 
modelo: 
Trata-se de ferramenta desenvolvida para a mesma finalidade ora pretendida (avaliar 
a gestão de riscos); trata explicitamente a gestão dos riscos que envolvem parcerias no 
setor público, aspecto não enfocado em outros modelos; baseia-se em modelo 
consagrado de excelência de gestão; foi desenvolvido especificamente para o setor 
público (TCU, 2013). 
 
Modelo de Gestão de riscos do Governo Canadense 
O Treasury Board Secretariat (Secretaria do Tesouro) do Canadá adotou oficialmente 
modelo de gestão de riscos em 2001 (Integrated Risk Management Framework), criado para 
auxiliar a alta administração pública quanto à identificação dos diferentes tipos de riscos e às 
decisões a serem tomadas para mitigá-los. 
 Em 2010, promoveu revisão ampla do tema e editou novos documentos de referência 
(Framework for the Management of Risk), mas mantendo a continuidade da adoção da gestão 
de riscos no setor público canadense. Também existem outros grupos federais envolvidos com 
questões relacionadas à gestão de riscos, conforme figura abaixo: 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 11 
 
 
 
 
 
 
 
 
Fonte: Enap, 2003. 
O Modelo canadense também apresenta obstáculos e possíveis soluções à 
implementação da gestão de riscos: 
Processo de gestão de 
riscos 
Obstáculos à 
implementação do 
sistema ideal 
Possíveis Soluções 
Identificação do 
problema ou risco 
Ignorar riscos 
importantes 
- Planejamento de cenários/prospecção; 
- Abordagem sistêmica à identificação de riscos; 
- Abordagem integrada à gestão de riscos; 
- Equipes interfuncionais e interministeriais. 
Avaliação das áreas-
chave de risco 
Qualidade e 
oportunidade das 
informações 
- Competência profissional e conhecimento dos 
métodos de avaliação de riscos. 
Lidar com incertezas 
nas informações 
- Reconhecimento, aceitação e comunicação das 
incertezas; 
- Criação de uma cultura organizacional 
caracterizada pela experimentação e pela gestão 
adaptativa; 
- Permissão às pessoas para aprenderem com seus 
erros; 
- Adoção do princípio preventivo quando 
necessário; 
- Monitoramento e auditoria, melhoria contínua. 
Falta de compreensão 
e confiança entre as 
partes interessadas 
- Integridade, competência, empatia, 
transparência, diálogo e comunicação dos riscos; 
- Processo decisório consistente e bem 
compreendido. 
Resposta ao 
desenvolvendo dos 
objetivos, estratégias e 
opções 
Priorizar a atenção 
- Diálogo e comunicação dos riscos. 
Diálogo e comunicação 
dos riscos 
- Facilitação das negociações com partes 
interessadas; 
- Inclusão, envolvimento e consultas. 
Minimizar os riscos 
- Especialização e competência profissional no 
desenvolvimento e análise de políticas para 
determinar os instrumentos mais eficazes, como 
regulamentação, instrumentos econômicos, 
acordos voluntários. 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 12 
Implementação das 
estratégias 
Sistemas e cultura 
organizacionais 
- Educação e treinamento no serviço público; 
- Criação de uma cultura de gestão de riscos no 
serviço público; 
- Estabelecimento de atribuições e 
responsabilidades claras; 
- Desenvolvimento de sistemas, procedimentos 
claros e bem documentados. 
Monitoramento e 
aprendizagem 
Monitorar tanto o 
processo como o 
resultado 
- Criação de objetivos específicos tanto para 
processo como para substância da gestão da riscos; 
- Desenvolvimento de indicadores baseados nesses 
objetivos. 
Fonte: ENAP, 2003. 
 
ABNT NBR ISO 31000 
A ABNT NBR ISSO 31000 foi elaborada pela Comissão de Estudo Especial de Gestão de 
Riscos (CEE-63), sendo uma adoção idêntica, em conteúdo técnico, estrutura e redação, à ISO 
31000:2009, que foi elaborada pelo International Organization for Standardization Technical 
Management Board Working Group on risk management (ISO/TMB/WG), conforme ISO/IEC 
Guide 21-1:2005. 
A norma fornece princípios e diretrizes genéricas para a gestão de riscos, podendo ser 
utilizada por qualquer empresa pública, privada, associação, grupo ou indivíduo. 
É usualmente conhecida como uma norma “guarda-chuva” por pretender harmonizar 
os processos de gestão de riscos, tanto em normas atuais como em futuras, fornecendo uma 
abordagem comum para apoiar Normas que tratem de riscos e/ou setores específicos. 
A ISO 31000 é composta por três normas: 
 ISO 31000 – Informações básicas, princípios e diretrizes para a implementação 
de gestão de riscos. 
 ISO/IEC 31010 – Técnicas de avaliação e gestão de riscos. 
 ISO Guia 73 – Vocabulário relacionado à gestão de riscos. 
A norma apresenta os seguintes princípios aos quais uma organização deve atender 
em todos os níveis para que a gestão de risco seja eficaz: 
 A gestão de riscos cria e protege valor. 
 A gestão de riscos é parte integrante de todos os processos organizacionais. 
 A gestão de riscos é parte da tomada de decisões. 
 A gestão de riscos aborda explicitamente a incerteza. 
 A gestão de riscos é sistemática, estruturada e oportuna. 
 A gestão de riscos baseia-se nas melhores informações disponíveis. 
 A gestão de riscos é feita sob medida. 
 A gestão de riscos considera fatores humanos e culturais. 
 A gestão de riscos é transparente e inclusiva. 
 A gestão de riscos é dinâmica, iterativa e capaz de reagir a mudanças. 
 A gestão de riscos facilitaa melhoria contínua da organização. 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 13 
De acordo com a ISO, o sucesso da gestão de riscos irá depender da eficácia da 
estrutura de gestão que fornece os fundamentos e os arranjos que irão incorporá-la através de 
toda a organização em todos os níveis. A estrutura auxilia a gerenciar riscos eficazmente 
através da aplicação do processo de gestão de riscos em diferentes níveis e dentro de 
contextos específicos da organização. A estrutura assegura que a informação sobre riscos 
provenientes desse processo seja adequadamente reportada e utilizada como base para a 
tomada de decisões e a responsabilização em todos os níveis organizacionais aplicáveis. A 
figura a seguir apresenta o relacionamento entre os princípios apresentados com a estrutura e 
processo: 
 
Fonte: ISO, 2009 
Instrução Normativa Conjunta Nº 01, de 10 de maio de 2016 
A Instrução Normativa Conjunta Nº 01, de 10 de maio de 2016, dispões sobre 
controles internos, gestão de riscos e governança no âmbito do Poder Executivo Federal. Os 
órgãos e entidades do Poder Executivo Federal deverão implementar, manter, monitorar e 
revisar o processo de gestão de riscos, compatível com sua missão e seus objetivos 
estratégicos, observadas as diretrizes estabelecidas na IN. 
De acordo com a IN, são objetivos da gestão de riscos: 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 14 
 Assegurar que os responsáveis pela tomada de decisão, em todos os níveis do 
órgão ou entidade, tenham acesso tempestivo a informações suficientes 
quanto aos riscos aos quais está exposta a organização. 
 Aumentar a probabilidade de alcance dos objetivos da organização, reduzindo 
os riscos a níveis aceitáveis. 
 Agregar valor à organização por meio da melhoria dos processos de tomada de 
decisão e do tratamento adequado dos riscos e dos impactos negativos 
decorrentes de sua materialização. 
A gestão de riscos do órgão ou entidade observará os seguintes princípios: 
 Gestão de riscos de forma sistemática, estruturada e oportuna, subordinada 
ao interesse público; 
 Estabelecimento de níveis de exposição a riscos adequados; 
 Estabelecimento de procedimentos de controle interno proporcionais ao risco, 
observada a relação custo-benefício, e destinados a agregar valor à 
organização; 
 Utilização do mapeamento de riscos para apoio à tomada de decisão e à 
elaboração do planejamento estratégico; e 
 Utilização da gestão de riscos para apoio à melhoria contínua dos processos 
organizacionais. 
A IN também definiu um prazo de doze meses a contar da sua publicação para a 
instituição de uma Política de Gestão de Riscos pelos órgãos e entidades do Poder Executivo 
Federal. Nessa política devem ser especificadas pelo menos: 
 Princípios e objetivos organizacionais. 
 Diretrizes sobre: 
o Como a gestão de risco será integrada ao planejamento estratégico, 
aos processos e às políticas da organização. 
o Como e com qual periodicidade serão identificados, avaliados, 
tratados e monitorados os riscos. 
o Como será medido o desempenho da gestão de riscos. 
o Como serão integradas as instâncias do órgão ou entidade 
responsáveis pela gestão de riscos. 
o A utilização de metodologia e ferramentas para o apoio à gestão de 
riscos. 
 Competências e responsabilidades para a efetivação da gestão de riscos no 
âmbito do órgão ou entidade. 
 De acordo com a IN, a responsabilidade será do dirigente máximo da organização no 
estabelecimento da estratégia da organização e da estrutura de gerenciamento de riscos, 
incluindo o estabelecimento, a manutenção, o monitoramento e o aperfeiçoamento dos 
controles internos da gestão. 
Cada risco mapeado e avaliado deverá estar associado a um agente responsável 
formalmente identificado. Caberá ao gestor de risco: 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 15 
 Assegurar que o risco seja gerenciado de acordo com a política de gestão de 
riscos da organização. 
 Monitorar o risco ao longo do tempo, de modo a garantir que as respostas 
adotadas resultem na manutenção do risco em níveis adequados, de acordo 
com a política de gestão de riscos. 
 Garantir que as informações adequadas sobre o risco estejam disponíveis em 
todos os níveis da organização. 
A IN define também os princípios da boa governança, a saber: liderança, integridade, 
responsabilidade, compromisso, transparência e accountability. 
Por último a IN determina que os órgãos e entidades do Poder Executivo federal 
deverão instituir, pelos seus dirigentes máximos, Comitê de Governança, Riscos e Controles. O 
Comitê deverá ser composto pelo dirigente máximo e pelos dirigentes das unidades a ele 
diretamente subordinados e será apoiado pelo respectivo Assessor Especial de Controle 
Interno. 
 
Modelos e regulamentações aplicáveis a determinados segmentos específicos – COBIT 
COBIT é um guia de boas práticas apresentado como framework, dirigido para a gestão 
de tecnologia de informação. Mantido pelo Information Systems Audit and Control Association 
- ISACA, possui uma série de recursos que podem servir como um modelo de referência para 
gestão da TI, incluindo um sumário executivo, um framework, objetivos de controle, mapas de 
auditoria, ferramentas para a sua implementação e principalmente, um guia com técnicas de 
gerenciamento. 
Especialistas em gestão e institutos independentes recomendam o uso do COBIT como 
meio para otimizar os investimentos de TI, melhorando o retorno sobre o investimento e 
fornecendo métricas para avaliação dos resultados. 
De acordo com o COBIT são objetivos genéricos de TI: 
 Responder aos requerimentos de negócio de maneira alinhada com a 
estratégia de negócio. 
 Responder aos requerimentos de governança em linha com a Alta Direção. 
 Assegurar a satisfação dos usuários. 
 Otimizar o uso da informação. 
 Criar agilidade para TI 
 Definir como funções de negócios e requerimentos 
 Definir como funções de negócios e requerimentos de controles são 
convertidos em soluções automatizadas efetivas e eficientes. 
 Adquirir e manter sistemas aplicativos integrados e padronizados. 
 Adquirir e manter uma infraestrutura de TI integrada e padronizada. 
 Adquirir e manter habilidades de TI que atendam as estratégias de TI. 
 Assegurar a satisfação mútua no relacionamento com terceiros. 
 Assegurar a integração dos aplicativos com os processos de negócios. 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 16 
 Assegurar a transparência e o entendimento dos custos, benefícios, estratégia, 
políticas e níveis de serviços de TI. 
 Assegurar apropriado uso e a performance das soluções de aplicativos e de 
tecnologia. 
 Responsabilizar e proteger todos os ativos de TI. 
 Otimizar a infraestrutura, recursos e capacidades de TI. 
 Reduzir os defeitos e retrabalhos na entrega de serviços e soluções. 
 Proteger os resultados alcançados pelos objetivos de TI. 
 Estabelecer claramente os impactos para os negócios resultantes de riscos de 
objetivos e recursos de TI. 
 Assegurar que informações confidenciais e críticas são protegidas daqueles 
que não deveriam ter acesso às mesmas. 
 Assegurar que transações automatizadas de negócios e trocas de informações 
podem ser confiáveis. 
 Assegurar que os serviços e infraestrutura de TI podem resistir e recuperar-se 
de falhas devido a erros, ataques deliberados ou desastres. 
 Assegurar o mínimo impacto para os negócios no caso de uma parada ou 
mudança nos serviços de TI. 
 Garantir que os serviços de TI fiquemdisponíveis de acordo com o requerido. 
 Assim como o COSO, é comum ver a estrutura do COBIT representada por um cubo: 
 
 
 
 
 
 
 
 
 
Fonte: COBIT, 2012 
O COBIT cobre quatro domínios, os quais possuem 34 processos, e estes processos 
possuem 210 objetivos de controle. Os quatro domínios são: 
 Planejar e Organizar 
 Adquirir e Implementar 
 Entregar e Suportar 
 Monitorar e Avaliar. 
O domínio de Planejamento e Organização cobre o uso de informação e tecnologia e 
como isso pode ser usado para que a empresa atinja seus objetivos e metas. Ele também 
salienta que a forma organizacional e a infraestrutura da TI devem ser consideradas para que 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 17 
se atinjam resultados ótimos e para que se gerem benefícios do seu uso. A tabela seguinte lista 
os processos de TI para o domínio do Planejamento e Organização. 
 
Fonte: COBIT, 2012 
O domínio Adquirir e Implementar cobre a identificação, o desenvolvimento ou 
aquisição, a implementação e integração das soluções de TI ao processo de negócios. Além 
disso, alterações e manutenções nos sistemas existentes são cobertas por esse domínio para 
assegurar que as soluções continuem a atender aos objetivos de negócios. Este domínio 
tipicamente trata das seguintes questões de gerenciamento. 
 
Fonte: COBIT, 2012 
O domínio Entregar e Suportar foca aspectos de entrega de tecnologia da informação. 
Cobre a execução de aplicações dentro do sistema de TI e seus resultados, assim como os 
processos de suporte que permitem a execução de forma eficiente e efetiva. Esses processos 
de suporte também incluem questões de segurança e treinamento. A seguir, a tabela com os 
processos de TI desse domínio. 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 18 
 
Fonte: COBIT, 2012 
O domínio de Monitorar e Avaliar lida com a estimativa estratégica das necessidades 
da companhia e avalia se o atual sistema de TI atinge os objetivos para os quais ele foi 
especificado e controla os requisitos para atender objetivos regulatórios. Ele também cobre as 
questões de estimativa, independentemente da efetividade do sistema de TI e sua capacidade 
de atingir os objetivos de negócio, controlando os processos internos da companhia através de 
auditores internos e externos. 
 
Fonte: COBIT, 2012 
 
Modelos e regulamentações aplicáveis a determinados segmentos específicos – Lei 
Sarbanes-Oxley 
A Lei Sarbanes-Oxley é uma lei estadunidense, assinada em 30 de julho de 2002 pelo 
senador Paul Sarbanes e pelo deputado Michael Oxley. 
Motivada por escândalos financeiros corporativos (dentre eles o da Enron, que acabou 
por afetar drasticamente a empresa de auditoria Arthur Andersen), essa lei foi redigida com o 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 19 
objetivo de evitar o esvaziamento dos investimentos financeiros e a fuga dos investidores 
causada pela aparente insegurança a respeito da governança adequada das empresas. 
A lei Sarbanes-Oxley, apelidada de Sarbox ou ainda de SOX, visa garantir a criação de 
mecanismos de auditoria e segurança confiáveis nas empresas, incluindo ainda regras para a 
criação de comitês encarregados de supervisionar suas atividades e operações, de modo a 
mitigar riscos aos negócios, evitar a ocorrência de fraudes ou assegurar que haja meios de 
identificá-las quando ocorrem, garantindo a transparência na gestão das empresas. 
A lei Sarbanes – Oxley praticamente redefiniu as regras para as empresas corporativas, 
em relação a divulgação e a emissão de relatórios financeiros. Devido aos recentes escândalos 
presenciados no atual mercado e declarações de executivos renomados nas quais dizem “não 
ter conhecimento” de atividades duvidosas desenvolvidas por suas entidades. Esta Lei tem por 
finalidade desencorajar essas declarações nas quais às conferências internas irão ser mais 
rígidas e os executivos irão ser responsabilizados. 
A Lei Sarbanes-Oxley tem por finalidade ressaltar o papel crítico do “controle interno”. 
O controle interno é desenvolvido pela Diretoria, Conselho de Administração ou por 
colaboradores da entidade que alavanca o sucesso dos negócios em três categorias: 
 Eficácia e eficiência das operações; 
 Confiabilidade nos relatórios financeiros; 
 Cumprimento de leis e regulamentos aplicáveis. 
 A Lei Sarbanes-Oxley esclarece que os diretores executivos e diretores financeiros 
serão responsáveis por estabelecer, analisar e controlar a eficácia dos controles internos sobre 
os relatórios financeiros e divulgações. 
Especialistas no assunto descrevem que esta nova lei é a peça mais significativa da 
legislação comercial nos últimos cinquenta anos. Ela muda o ambiente empresarial e 
regulador. A maior abrangência da Lei Sarbanes-Oxley concentra-se nas Seções 302 e 404. 
Seção 302 – de forma explícita demonstra que os diretores executivos e diretores 
financeiros devem declarar pessoalmente que são responsáveis pelos controles e 
procedimentos de divulgação de relatórios. A cada documento trimestral deverá conter a 
certificação de que eles desenvolveram e avaliaram com eficácia os controles internos. Os 
executivos certificados também devem declarar e divulgar todas e quaisquer relevâncias 
significativas do controle, como insuficiência materiais e atos de fraudes. 
Seção 404 – Expõe que deve ser feita uma avaliação anual de todos os controles e 
procedimentos internos para que sejam emitidos os relatórios financeiros. Além disso, o 
auditor externo deve emitir um relatório atestando a veracidade das informações do controle 
interno. 
O descumprimento dessa exigência tem um alto preço: multas de até US$ 5 milhões e 
até vinte anos de prisão podem ser as penas impostas para o descumprimento intencional, 
esta é uma medida que sustenta a engrenagem da lei. 
Enfim a Sarbanes-Oxley é um indicativo de uma das mudanças que afetam a forma 
como as empresas realizam seus controles internos e sua responsabilidade perante os 
mesmos. 
São requisitos da lei: 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 20 
 Controlar a criação, edição e versionamento dos documentos em um ambiente 
de acordo com os padrões ISO, para controle de todos os documentos 
relativos à seção 404. 
 Cadastrar os riscos associados aos processos de negócios e armazenar os 
desenhos de processo. 
 Utilizar ferramentas como editor de texto e planilha eletrônica para criação e 
alteração dos documentos da seção 404. 
 Publicar em múltiplos websites os conteúdos da seção 404. 
 Gerenciar todos os documentos controlando seus períodos de retenção e 
distribuição. 
 Digitalizar e armazenar todos os documentos que estejam em papel, ligados à 
seção 404. 
Você sabia que... 
Atualmente grandes empresas com operações financeiras no exterior seguem a lei 
Sarbanes-Oxley. A lei também afeta dezenas de empresas brasileiras que mantém ADRs - 
American Depositary Receipts negociadas na NYSE, como a Petrobras, Ambev, Bunge 
Brasil, a GOL Linhas Aéreas, a Sabesp, a CPFL (Companhia Paulista de Força e Luz), a TAM 
Linhas Aéreas, a Brasil Telecom, Ultrapar (Ultragaz), a Companhia Brasileira de 
Distribuição (Grupo Pão de Açúcar), Banco Bradesco, Banco Itaú, TIM, Vale S.A., Vivo S.A., 
Companhia Energética de Minas Gerais (CEMIG), Natura Cosméticos S.A., Claro e a 
Gerdau S.A. (Gerdau), Grupo Comercial Cencosud, CSN, Eletrobrás, Brasilagro. 
 
4. OBJETIVOS DA ORGANIZAÇÃO 
Para Chiavenato, objetivos organizacionais são o fim desejado que a organização 
pretende atingire que orientam o seu comportamento em relação ao futuro e ao ambiente 
interno e externo. Neste sentido, os objetivos organizacionais são a razão de ser das 
organizações, que necessitam de um fim objetivo. 
Ainda, segundo Chiavenato, a motivação é o desejo de exercer altos níveis de esforço 
em direção a determinados objetivos organizacionais, condicionados pela capacidade de 
satisfazer algumas necessidades individuais. Neste sentido, defende o autor que o 
alinhamento entre os objetivos individuais e os objetivos organizacionais predispõem os 
sujeitos a exercerem elevados níveis de esforço para atender aos interesses organizacionais e, 
simultaneamente, atender aos seus próprios interesses. 
Dessa forma, percebe-se que existe uma relação entre a motivação e os objetivos 
organizacionais, ainda que os resultados sejam diferentes no que toca à motivação intrínseca e 
à motivação extrínseca. Ou seja, objetivos organizacionais bem definidos aumentam a 
motivação dos colaboradores. Por seu lado, os objetivos organizacionais devem sempre estar 
alinhados com os objetivos individuais, devendo estes últimos dar um contributo para a 
definição dos primeiros. 
Os objetivos devem ser: 
 Focalizados em um resultado; 
 Consistentes; 
 Mensuráveis; 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 21 
 Relacionados com um determinado período; 
 Alcançáveis. 
No contexto da administração pública, é comum existirem pelo menos 2 níveis 
distintos de objetivos organizacionais: objetivos estratégicos e objetivos operacionais. Além 
desses 2 níveis é comum os gestores também definirem objetivos relacionados à comunicação 
organizacional e objetivos relacionados à conformidade dos processos organizacionais à 
legislação. 
 
Objetivos Estratégicos 
São os objetivos globais e amplos da organização e definidos no longo prazo, isto é, 
entre dois a cinco ou mais anos pela frente. (Ex.: aumento do retorno sobre o investimento 
organizacional. 
 
Objetivos Operacionais 
São os objetivos específicos e de curto prazo voltados para a execução das operações 
cotidianas da organização referem-se geralmente a cada tarefa ou operação especificamente. 
(Ex.: Admitir dez pessoas deficientes ao ano e incentivar o consumo consciente) 
 
Objetivos de Comunicação 
 São os objetivos relacionados à integração de todas as áreas que compõem uma 
organização, como por exemplo, a Relações Públicas, a Assessoria de Comunicação, no caso 
das empresas públicas, temos também a Publicidade e Propaganda, o Marketing e etc. Elas 
têm que estar em harmonia e estabelecer um discurso único, pois tendo isso permite-se a 
construção de uma comunicação eficaz e eficiente diante seus públicos. 
 
Objetivo de Conformidade 
São os objetivos que visam manter a entidade em conformidade com leis, normativos 
e regulamentos externos e internos, e sempre que possível manter o respeito às normas e 
procedimentos da organização. 
 
5. GESTÃO DE RISCOS 
Definidos os objetivos institucionais, em todos seus níveis, é possível ao gestor iniciar o 
seu processo de Gestão de Riscos. Inicia-se esse processo pela identificação dos riscos que 
podem vir a impactar nos objetivos definidos previamente, identificando as causas possíveis 
desses riscos, bem como suas consequências. Após essa identificação, o gestor medirá o nível 
de risco de cada um dos riscos observando-os em seu Diagrama de Risco, possibilitando assim 
ter uma visão de quais serão as respostas adotadas para cada risco identificado. Segue abaixo 
o fluxo apresentado pelo COSO, 2012. 
 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 22 
 
 
 
 
 
 
Fonte: COSO, 2012. 
 
Identificação do Risco 
 De acordo com a ISO 31000, a finalidade da etapa de identificação de risco é gerar uma 
lista abrangente de riscos baseada em eventos que possam criar, aumentar, evitar, reduzir, 
acelerar ou atrasar a realização dos objetivos. Trata-se, portanto, de uma identificação 
abrangente, pois riscos que não forem identificados nesta fase não serão incluídos em análises 
futuros. 
 O responsável pela identificação dos riscos pode e deve utilizar-se de ferramentas e 
técnicas de identificação de riscos que sejam adequadas aos seus objetivos e capacidades e 
aos riscos enfrentados. Por esse motivo é importante que as pessoas envolvidas nesse 
processo tenham um conhecimento adequado sobre o negócio, bem como sejam incentivadas 
a não se restringirem aos acontecimentos do passado. 
 A seguir serão exemplificadas algumas técnicas utilizadas na identificação de riscos: 
1. Mapeamento de Processos 
A técnica de mapeamento de processos tem como objetivo prover uma representação 
gráfica do fluxo operacional e a inter-relação entre diferentes processos e unidades. O 
mapeamento de processo facilita a visualização das operações, permitindo que o gestor 
identifique pontos de monitoramento e controle, bem como fragilidades que podem vir a 
tornar-se causas de riscos. 
2. Brainstorming 
A técnica de brainstorming é uma atividade que tem como objetivo explorar o 
potencial criativo dos participantes. 
De forma resumida e simplificada, a técnica consiste em permitir que todos os 
participantes contribuam com ideias acerca de um determinado tema sem sofrer nenhum tipo 
de crítica. Os integrantes são incentivados a contribuir com o máximo possível de ideias que 
conseguirem. Tem-se então, como o próprio nome sugere, uma tempestade de ideias. 
Na gestão de riscos, essa técnica permite, principalmente, a identificação de riscos que 
não se materializaram no passado, aqueles com baixa probabilidade de ocorrência mas de 
significativos impactos, chamados de “Cisne Negro”. 
 
 
Identificar 
Riscos 
Definir 
Critérios 
de 
Avaliação 
Avaliar 
Riscos 
Avaliar a 
 Interação 
dos 
Riscos 
Priorizar 
Riscos 
Responder 
ao Risco 
Avaliação do 
Risco 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 23 
3. Método Delphi 
O método Delphi é reconhecido como um dos melhores instrumentos de previsão 
qualitativa. Sua área de aplicação original é a previsão tecnológica, mas atualmente tem sido 
aplicado frequentemente na gestão de riscos. 
O método baseia-se na elaboração de um questionário acerca do tema que deseja-se 
entender melhor, submetendo-o aos especialistas do tema/negócio para que seja respondido 
de forma anônima. Ao final é disponibilizado um relatório estatístico contendo as respostas 
dos questionários. 
O anonimato permite que barreiras hierárquicas e barreiras culturais tenham menor 
influência nas respostas, possibilitando que riscos relacionados a pessoas e cargos estratégicos 
sejam mais facilmente identificados. 
 
Causa e Fator de Risco 
Uma vez mapeado os riscos do negócio, é necessário identificar as causas desses 
riscos. Uma metodologia que ajuda nessa identificação é pensar na causa como a soma de dois 
fatores: fator de risco (ou fonte de risco) e fragilidade. 
Para a ISO 31000, fator de risco ou fonte de risco é um elemento, que individualmente 
ou combinado, tem o potencial intrínseco para dar origem ao risco, podendo ser tangível ou 
intangível. Os fatores de risco mais comuns são: pessoas, processos, sistemas, tecnologia, 
infraestrutura e eventos externos. 
A tabela a seguir apresenta uma lista desses fatores de risco associados às fragilidades 
mais comuns de serem identificadas: 
Fator de Risco Fragilidades 
Pessoa Baixa capacitação, desmotivada, estressada, negligente, corrupta, etc. 
Processo Ineficiente, mal estruturado,redundante, imaturo, etc. 
Sistema Obsoleto, incompatível, sem documentação, baixa segurança, etc. 
Tecnologia Ultrapassada, alto custo, baixa acessibilidade, alta complexidade, etc. 
Infraestrutura Inadequada, Inacessível, Ineficiente, Precária, etc. 
Evento Externo Desastre Ambiental, Crise Econômica, Influência Política, etc. 
Fonte: Elaboração própria 
Tome nota: 
CAUSA = FATOR DE RISCO + FRAGILIDADE 
 
Consequência 
Na gestão de riscos, entende-se por consequência, todos os eventos negativos 
resultantes da materialização de um risco. Normalmente, a consequência da materialização de 
um risco irá resultar nos seguintes aspectos: perda de recurso financeiro, danos à imagem da 
instituição ou danos à integridade física de funcionários. 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 24 
 
Avaliação do Risco: Probabilidade x Impacto 
Os riscos são analisados, considerando a probabilidade e o impacto, com intuito de 
determinar o modo como serão administrados. Probabilidade representa a possibilidade de 
que um determinado evento ocorrerá. Enquanto o Impacto representa o seu efeito. Quanto à 
probabilidade, a literatura traz definições para uma abordagem qualitativa e quantitativa: 
Quanto à abordagem qualitativa e quantitativa, o COSO traz uma distinção entre os 
termos usados para probabilidade, sendo Likelihood: usado para indicar a possibilidade de que 
um evento ocorra em termos qualitativos, (elevada, média e reduzida ou outros critérios de 
escala - utilizada no Orange Book); e Probability: indica uma medida quantitativa, como 
porcentagem, frequência de ocorrência ou outra medida numérica. 
 Além disso, os riscos também são avaliados quanto à sua condição de inerentes e 
residuais, sendo risco inerente o que não considera o efeito dos controles e das respostas a 
riscos existentes e risco residual o que considera o efeito dos controles e das respostas a riscos 
existentes. É aquele que permanece após a resposta da administração. 
Em razão das estratégias e objetivos de muitas organizações considerarem horizontes 
de tempo de curta a média duração, a administração naturalmente concentra-se nos riscos 
associados a esses períodos de tempo. Contudo, alguns aspectos do direcionamento 
estratégico e dos objetivos estendem-se a prazo mais longo. Consequentemente, a 
administração precisa levar em conta os cenários de prazos mais longos para não ignorar riscos 
que possam estar mais adiante. 
Quanto às técnicas de avaliação de riscos, o modelo do COSO, inclui uma combinação 
de técnicas qualitativas e quantitativas. 
Geralmente, a administração emprega técnicas qualitativas de avaliação se os riscos 
não se prestam a quantificação, ou se não há dados confiáveis em quantidade suficiente para a 
realização das avaliações quantitativas, ou ainda, se a relação custo-benefício para obtenção e 
análise de dados não for viável. 
As técnicas quantitativas emprestam maior precisão e são utilizadas em atividades 
mais complexas e sofisticadas para suplementar as técnicas qualitativas. Dependem 
sobremaneira da qualidade dos dados e das premissas adotadas e são mais relevantes para 
exposições que apresentem um histórico conhecido, uma frequência de sua variabilidade e 
permitam uma previsão confiável. 
O quadro a seguir apresenta uma comparação entre as duas técnicas: 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 25 
 
Fonte: COSO, 2012. 
O produto resultante das funções impacto e probabilidade representa o nível de risco 
a que a organização está exposta. Esse nível de risco pode ser representado pelo seguinte 
diagrama: 
 
Fonte: CGU/SFC/CGFAZ, 2014. 
O diagrama acima representa a intensidade dos riscos e os nove quadrantes, nos quais 
os riscos são inseridos, representam uma categorização considerando a avaliação de impacto e 
probabilidade desses riscos. A intensidade desse nível também é refletida por cores, indo do 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 26 
azul, para um o “risco aceitável”, cuja probabilidade e impacto são baixos, para o vermelho, o 
“risco crítico”, cuja probabilidade e impactos são alto. 
Com intuito de ressaltar que não basta somente considerar o valor absoluto das 
intensidades, mas também a valoração do impacto e da probabilidade, serão comparados dois 
riscos que apresentam a mesma intensidade, mas que são completamente distintos: “Cisne 
Negro” e o ”Comedor de Recursos”, tendo o primeiro alto impacto e baixa probabilidade, 
enquanto o segundo, baixo impacto e alta probabilidade. 
O “Cisne Negro” é considerado pela literatura como evento raro, que deve cumprir 
três condições para obter essa classificação: imprevisibilidade, pois no campo das expectativas, 
nada no passado indicava a possibilidade da sua ocorrência; forte impacto e consequências 
econômicas, pessoais e sociais imprevisíveis; e, apesar da imprevisibilidade, quando analisados 
retrospectivamente, tem-se a impressão de que sua ocorrência era evidente e de que 
poderiam ter sido racionalmente avaliados ou previstos. Como exemplo deste tipo de risco, 
destacam-se ataques terroristas e destrates naturais. 
Já o “Comedor de Recursos” está relacionado às atividades cotidianas que ocorrem 
com frequência, por isso a probabilidade é alta e seu monitoramento deve ser constante. Os 
gestores costumam gastar recursos de forma contínua para mitigá-los. 
 
Critérios de Avaliação da Probabilidade e do Impacto 
O COSO em seu documento “Risk Assessment in Practice”, destaca a importância de se 
construir critérios de avaliação, sem os quais é impossível comparar e agregar riscos que 
perpassam por todas as áreas de uma determinada organização. 
Quanto mais descritiva é a escala, mais consistente será sua interpretação pelos 
responsáveis pela avaliação dos riscos. 
As escalas devem permitir uma diferenciação significativa que servirá de suporte à 
priorização dos riscos. Escalas com 5 pontos apresentam melhor dispersão do que uma escala 
com apenas 3 pontos, em contrapartida uma escala com 10 pontos apresenta uma precisão 
normalmente não desejada em uma análise qualitativa. 
Toda organização é diferente, e as escalas devem ser customizadas de forma a melhor 
se adaptarem ao tamanho, complexidade e cultura da organização. 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 27 
A imagem a seguir apresenta um exemplo de escala proposto pelo COSO: 
 
 
Fonte: COSO, 2012. 
 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 28 
 
Fonte: COSO, 2012. 
Avaliação de Risco: Outras visões do nível de risco. 
Além do nível de risco referente a produto de probabilidade e impacto, o COSO 
destaca a existência de outras formas de visualizar o nível de risco de uma entidade, sendo 
elas: 
 Vulnerabilidade x Impacto 
 Velocidade do Impacto 
 Persistência do Impacto 
Vulnerabilidade refere-se ao quanto uma determinada entidade está preparada para a 
materialização de um risco, levando em consideração sua agilidade de resposta e 
adaptabilidade para cenários distintos dos previstos. 
Entende-se que a probabilidade de um evento de risco ocorrer depende da correlação 
entre as vulnerabilidades e as ameaças em um determinado processo. Em outras palavras, a 
visão de vulnerabilidade foca nos controles implementados. 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 29 
Por ter o foco no controle, essa visão de vulnerabilidade é muito útil para a auditoria 
ou qualquer que seja a área responsável pela avaliação do custo-benefício dos controlesde 
gestão. Segue abaixo exemplo de critérios e escala de mensuração da vulnerabilidade: 
Fonte: COSO, 2012. 
As outras duas visões do nível de risco, focam no impacto. A velocidade do impacto 
mede o tempo que decorre após a materialização do risco até que os impactos sejam notados. 
A persistência do impacto, por outro lado, mede o tempo decorrido até que os efeitos do 
impacto não sejam mais notados. Para o COSO, adoção de velocidade e persistência do 
impacto pode ser utilizada também como critério para priorização dos riscos a serem tratados. 
 
Técnicas de Avaliação de Risco – ABNT NBR ISO/IEC 31010:2012 
 A ISO 31010:2012 destaca-se pela apresentação de uma variedade de técnicas 
utilizadas na identificação, análise e avaliação de risco. 
 A seleção das técnicas a serem utilizadas é uma escolha de cada organização que deve 
levar em consideração sua área de atuação, cultura organizacional e conhecimento do seu 
corpo técnico. 
 A tabela a seguir apresenta a totalidade das técnicas presentes na ISO 31010:2012, 
informando se a técnica é fortemente aplicável, aplicável ou não aplicável para cada etapa do 
processo de avaliação de risco. 
 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 30 
 Fonte: ISO, 2012. 
Respostas ao Risco 
Após avaliar e ranquear os riscos, o gestor é capaz de decidir como serão as respostas 
a esses riscos. 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 31 
 Existem 4 tipos de respostas que podem ser atribuídas a um determinado risco. São 
elas: 
 
Aceitar 
 Um determinado risco normalmente é aceito quando seu nível encontra-se em uma 
zona confortável para o gestor, ou seja, o risco não está ameaçando os objetivos da 
organização. Nessa situação, nenhum controle será implementado para mitigar o risco, porém 
controles de monitoramento são recomendáveis para esse tipo de risco, uma vez que, com o 
passar do tempo, o nível do risco pode sofrer alterações significantes e vir a ameaçar os 
objetivos em questão. 
Exemplo prático 
Uma determinada organização identificou em seus processos o risco de funcionários 
furtarem comida dos depósitos dos restaurantes. Na avaliação desse risco, notou-se que 
sua probabilidade era baixa, bem como o impacto financeiro desses pequenos furtos era 
praticamente insignificante perante a receita da organização. Os gestores solicitaram um 
orçamento de instalações de câmeras de segurança e raios-x e perceberam que o valor 
necessário para a instalação e manutenção desses controles era muito superior ao valor 
estimado das perdas devido a furtos de alimentos. Dessa forma, os gestores decidiram 
que controles não deveriam ser implementados, porém esse risco deverá ser reavaliado a 
cada dois anos de forma a verificar se seu nível continua baixo. 
 
 Mitigar 
 Um risco normalmente é mitigado quando seu nível encontra-se em uma zona que 
ameaça os objetivos da organização e a implementação de controles apresenta um 
custo/benefício adequado. Nessa situação, os controles podem ser implementados tanto para 
mitigar as causas do risco quanto o seu impacto. 
 Durante o processo de avaliação dos riscos, pode-se optar por avaliar o nível de risco 
sem levar em consideração os controles do processo, ou pode-se optar por avaliar o nível 
levando em consideração os controles implementados. Ambas abordagens apresentam 
informações importantes para o gestor. Entende-se que quando é feita a avaliação do risco 
sem os controles existentes, tem-se o risco inerente ao processo. Quando é feita a avaliação 
do risco considerando os controles existentes, tem-se o risco residual. 
 
Exemplo prático 
Uma determinada organização identificou em seus processos o risco de fraude em seus 
documentos contábeis. Na avaliação desse risco sua probabilidade foi avaliada como 
média e seu impacto como alto. Com o intuito de mitigar esse risco, os gestores optaram 
por dividir a área financeira em duas áreas distintas, sendo que uma ficaria responsável 
por fiscalizar as ações da outra área. Além disso, foi criada uma Comissão de Ética que 
terá a responsabilidade de conscientizar os funcionários sobre os padrões éticos exigidos 
pela empresa, bem como as consequências legais acerca de tais condutas criminosas. 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 32 
 
 Compartilhar 
 Um risco normalmente é compartilhado quando seu nível encontra-se em uma zona 
que ameaça os objetivos da organização, porém a implementação de controles não apresenta 
um custo/benefício adequado. 
Exemplo prático 
Uma determinada organização identificou que a localização de uma de suas principais 
filiais encontra-se em um local vulnerável a tsunamis. A frequência desses eventos no 
local é de um tsunami a cada 5 anos, sendo que a cada 100 anos tem-se um grande 
tsunami de proporções devastadoras. Modificações no relevo de forma a mitigar os 
impactos de um tsunami necessitariam de um investimento muito elevado para os 
padrões da organização. De forma a evitar possíveis mortes, foram adquiridas lanchas 
rápidas para a evacuação do local. No entanto, os bens imóveis não podem ser 
transportados e em caso de tsunami serão completamente destruídos. Para os imóveis, a 
única opção foi a transferência desse risco por meio de uma apólice de seguro. 
 
 Evitar 
 Um risco normalmente é evitado quando seu nível encontra-se em uma zona crítica de 
alta probabilidade e alto impacto, comprometendo totalmente os objetivos da organização. 
Normalmente, nesses casos, a implementação de controles apresenta um custo muito 
elevado, inviabilizando sua mitigação, bem como não há entidades dispostas a compartilhar o 
risco com a organização. Nesses casos, a opção é evitar o risco, encerrando o processo em 
questão. 
Exemplo prático 
Uma empresa de correios identificou que existem áreas muito perigosas na cidade, onde 
o índice de criminalidade inviabiliza completamente a entrega de correspondência por 
comprometer a integridade física dos carteiros, bem como resultar em elevados furtos 
das correspondências. Após inúmeras solicitações, não correspondidas, para que a 
prefeitura aumentasse o efetivo policial nessas regiões, a empresa optou por encerrar 
temporariamente seus serviços nessas regiões até que houvesse uma melhora na 
segurança pública. 
 
Apetite ao Risco 
 A escolha da resposta adequada para cada risco vai depender do apetite ao risco da 
organização. O apetite ao risco é um aspecto que deve, preferencialmente, ser decidido pelos 
responsáveis pela governança da organização. Ao definir seu apetite, a organização poderá 
definir em seu diagrama de risco qual a zona de aceitação ou não aos riscos. Na definição do 
apetite ao risco, deve ser levado em consideração as contribuições individuais de cada risco, 
bem como a visão dos riscos em conjunto. 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 33 
 As várias técnicas de avaliação de risco apresentadas anteriormente são muito 
importantes na definição do apetite ao risco, uma vez que elas apresentam visões distintas dos 
riscos da organização. 
 
Tolerância ao Risco 
Um conceito que, às vezes, confunde-se com o apetite ao risco é o da tolerância ao 
risco. O apetite ao risco define o processo normal de aceitação dos riscos, ou seja, as zonas de 
aceitação ou não aceitação de risco pela organização no seu dia a dia. A tolerância ao risco, por 
outro lado, trata da exceção, ou seja, do quanto tolera-se que o risco fuja de sua zona de 
aceitação esporadicamente. A tolerância está relacionada com a margem/variação de 
aceitação dorisco. 
Exemplo prático 
Uma determinada organização identificou em seus processos o risco de seus sistemas de 
informação ficarem indisponíveis para seus clientes. A organização definiu um apetite 
baixo para esse tipo de risco. Dessa forma, seus controles atuais visam que o serviço 
fique disponível pelo menos 99% do tempo. Apesar dessa definição, a organização 
entende que, de tempos em tempos, a infraestrutura de TI necessita de manutenções 
mais severas e que nesses casos o sistema poderá chegar a ficar 10% do tempo 
indisponível. Dessa forma, a organização definiu que, de acordo com seu apetite a risco, 
os sistemas deveriam ficar disponíveis 99% do tempo sendo tolerado que se utilize um 
fim de semana a cada 2 meses para realizar manutenções mais severas, podendo o 
serviço ficar disponível apenas 90% do tempo nesses finais de semana. 
 
 
6. CONTROLE INTERNO 
Em linhas gerais, Controles Internos representam um sistema que envolve todos os 
integrantes da organização na implementação de ações que visem à proteção do patrimônio 
da entidade e o consequente atingimento de seus objetivos. 
Para o COSO, Controle Interno: 
É um processo realizado pela diretoria, por todos os níveis de gerência e por outras 
pessoas da entidade, projetado para fornecer segurança razoável quanto à consecução de 
objetivos nas seguintes categorias: 
a. eficácia e eficiência das operações; 
b. confiabilidade de relatórios; 
c. cumprimento de leis e regulamentações aplicáveis. (COSO, 2013) 
Ao apresentar essa definição, o COSO tinha como um dos objetivos integrar os 
diversos conceitos de controle interno, promovendo a uniformização das definições até então 
vigentes. A partir da divulgação dessa definição, várias organizações internacionais revisaram 
suas normas para incorporar o conceito de controle interno definido pelo modelo, o qual 
tornou-se uma referência mundial. 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 34 
Em 2004, a INTOSAI (Organização Internacional de Entidades Fiscalizadoras Superiores) 
publicou a revisão das Diretrizes para as Normas de Controle Interno do Setor Público 
(INTOSAI, 2004), alinhando-as ao COSO, e adotou a seguinte definição: 
Controle interno é um processo integrado efetuado pela direção e corpo de 
funcionários, estruturado para enfrentar os riscos e fornecer razoável segurança de que 
na consecução da missão da entidade os seguintes objetivos gerais serão alcançados: 
 • execução ordenada, ética, econômica, eficiente e eficaz das operações; 
 • cumprimento das obrigações de accountability; 
 • cumprimento das leis e regulamentos aplicáveis; 
 • salvaguarda dos recursos para evitar perdas, mau uso e dano. (INTOSAI, 2004) 
O TCU, alinhando-se às Diretrizes para as Normas de Controle Interno do Setor Público, 
emitidas pela INTOSAI, e seguindo a tendência internacional, introduziu no Glossário de 
Termos do Controle Externo, a seguinte definição: 
Processo efetuado pela administração e por todo o corpo funcional, integrado 
ao processo de gestão em todas as áreas e todos os níveis de órgãos e entidades 
públicos, estruturado para enfrentar riscos e fornecer razoável segurança de que, na 
consecução da missão, dos objetivos e das metas institucionais, os princípios 
constitucionais da administração pública serão obedecidos e os seguintes objetivos 
gerais de controle serão atendidos: 
 I. eficiência, eficácia e efetividade operacional, mediante execução ordenada, ética 
e econômica das operações; 
 II. integridade e confiabilidade da informação produzida e sua disponibilidade para 
a tomada de decisões e para o cumprimento de obrigações de accountability; 
 III. conformidade com leis e regulamentos aplicáveis, incluindo normas, políticas, 
programas, planos e procedimentos de governo e da própria instituição; 
 IV. adequada salvaguarda e proteção de bens, ativos e recursos públicos contra 
desperdício, perda, mau uso, dano, utilização não autorizada ou apropriação indevida. 
(TCU, 2010) 
Em suma, essas novas definições de controle interno incorporaram as seguintes 
diretrizes: 
1. O papel do controle interno é ampliado, sendo estruturado para enfrentar riscos em 
todas as áreas e todos os níveis da organização. 
2. O controle interno é um processo organizacional de responsabilidade da própria 
gestão e é efetuado com o intuito de assegurar uma razoável segurança de que os 
objetivos da entidade sejam alcançados de modo a dar cumprimento à sua missão. 
3. Controle interno é um processo integrado que interliga diversos elementos da 
gestão organizacional para compor o sistema de controle interno da organização, 
afastando-se a ideia de procedimento ou circunstância isolada. 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 35 
Para a Instrução Normativa Conjunta nº 01/2016, os controles internos da gestão 
baseiam-se no gerenciamento de riscos e integram o processo de gestão, considerando as 
atividades, planos, ações, políticas, sistemas, recursos e esforços de todos que trabalhem na 
organização, sendo projetados para fornecer segurança razoável de que a organização atingirá 
seus objetivos e missão. 
A definição e a operacionalização dos controles internos devem levar em conta os 
riscos que pretende-se mitigar, tendo em vista os objetivos das organizações públicas. Assim, 
ao considerar os objetivos estabelecidos pelos órgãos e entidades da administração pública e 
os riscos decorrentes de eventos internos ou externos que possam afetar o alcance desses 
objetivos, devem ser posicionados os controles internos mais adequados para mitigar a 
probabilidade de ocorrência dos riscos ou o seu impacto sobre os objetivos organizacionais. 
Como apresentado inicialmente na apostila, os controles internos da gestão 
constituem-se na primeira linha (ou camada) de defesa das organizações públicas para 
propiciar o alcance de seus objetivos. Esses controles são operados por todos os agentes 
públicos responsáveis pela condução de atividades e tarefas, no âmbito dos macroprocessos 
finalísticos e de apoio dos órgãos e entidades do Poder Executivo federal. 
Além dos controles internos da gestão, os órgãos e entidades do Poder Executivo 
federal podem estabelecer instâncias de segunda linha (ou camada) de defesa, para supervisão 
e monitoramento desses controles internos. Assim, comitês, diretorias ou assessorias 
específicas para tratar de riscos, controles internos, integridade e compliance, por exemplo, 
podem se constituir em instâncias de supervisão de controles internos. 
Para a IN Conjunta, os controles internos da gestão do órgão ou entidade devem ser 
desenhados e implementados em consonância com os seguintes princípios: 
 Aderência à integridade e a valores éticos; 
 Competência da alta administração em exercer a supervisão do 
desenvolvimento e do desempenho dos controles internos da gestão; 
 Coerência e harmonização da estrutura de competências e reponsabilidades 
dos diversos níveis de gestão do órgão ou entidade; 
 Compromisso da alta administração em atrair, desenvolver e reter pessoas 
com competências técnicas, em alinhamento com os objetivos da organização; 
 Clara definição dos responsáveis pelos diversos controles internos da gestão 
no âmbito da organização; 
 Clara definição de objetivos que possibilitem o eficaz gerenciamento de riscos; 
 Mapeamento das vulnerabilidades que impactam os objetivos, de forma que 
sejam adequadamente identificados os riscos a serem geridos; 
 Identificação e avaliação das mudanças internas e externas ao órgão ou 
entidade que possam afetar significativamente os controles internos da 
gestão; Desenvolvimento e implementação de atividades de controle que contribuam 
para a obtenção de níveis aceitáveis de riscos; 
 Adequado suporte de tecnologia da informação para apoiar a implementação 
dos controles internos da gestão; 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 36 
 Definição de políticas e normas que suportem as atividades de controles 
internos da gestão; 
 Utilização de informações relevantes e de qualidade para apoiar o 
funcionamento dos controles internos da gestão; 
 Disseminação de informações necessárias ao fortalecimento da cultura e da 
valorização dos controles internos da gestão; 
 Realização de avaliações periódicas para verificar a eficácia do funcionamento 
dos controles internos da gestão; e 
 Comunicação do resultado da avaliação dos controles internos da gestão aos 
responsáveis pela adoção de ações corretivas, incluindo a alta administração. 
A IN também apresenta os objetivos dos controles internos da gestão, os quais são: 
 Dar suporte à missão, à continuidade e à sustentabilidade institucional, pela 
garantia razoável de atingimento dos objetivos estratégicos do órgão ou 
entidade; 
 Proporcionar a eficiência, a eficácia e a efetividade operacional, mediante 
execução ordenada, ética e econômica das operações; 
 Assegurar que as informações produzidas sejam íntegras e confiáveis à tomada 
de decisões, ao cumprimento de obrigações de transparência e à prestação de 
contas; 
 Assegurar a conformidade com as leis e regulamentos aplicáveis, incluindo 
normas, políticas, programas, planos e procedimentos de governo e da própria 
organização; e 
 Salvaguardar e proteger bens, ativos e recursos públicos contra desperdício, 
perda, mau uso, dano, utilização não autorizada ou apropriação indevida. 
 
O processo de Controle Interno e suas limitações 
Recordando as definições apresentadas anteriormente sobre controle interno, como 
um processo integrado efetuado pela direção e corpo de funcionários, em todas as áreas e 
todos os níveis da organização. Convém tecer um detalhamento sobre os elementos que 
embasam as definições: 
1. Processo integrado 
Entende-se por processo integrado o fato de que os componentes do controle interno 
se relacionem entre si, não sendo possível a avaliação dos controles por meio da análise de 
cada componente isoladamente. 
2. Processo executado por pessoas 
O controle interno é um processo que, em última instância, é executado por pessoas. 
Todos na organização executam controles internos, implicando que esses controles são 
afetados pela natureza humana. 
3. Controle Interno auxilia o alcance de objetivos 
Sua principal função é auxiliar na consecução de objetivos. Sejam os objetivos 
estabelecidos para a entidade como um todo, sejam os fixados para atividades, processos ou 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 37 
operações específicos. A finalidade do controle interno é prover as melhores condições para se 
atingirem objetivos. 
4. Controle Interno oferece segurança razoável, não absoluta 
Tendo em vista a incerteza acerca de riscos futuros que não podem ser previstos com 
segurança absoluta, além do fato de existirem fatores que estão fora do controle ou da 
influência da organização e que podem afetar sua capacidade de alcançar objetivos, a 
implementação de controles internos não oferece segurança absoluta de que os objetivos da 
entidade serão atingidos. 
 
Limitações à eficácia do controle interno 
1. Custo x Benefício 
O custo de se controlar um risco não deve ser superior aos benefícios esperados do 
controle. Isso quer dizer que nem todos os riscos precisam e/ou devem ser controlados. Por 
exemplo, quando o risco é baixo e o impacto na empresa causado pela ocorrência do risco 
também é baixo, pode-se aceitar o risco e não estabelecer controle interno algum. 
2. Erros de julgamento 
A eficácia do controle interno sofre limitações das realidades da fraqueza humana 
durante a tomada de decisões de negócios, que exige, na maioria das vezes, uma boa dose de 
julgamento humano, nem sempre calcado em informações adequadas e suficientes para 
suportá-lo. Muitas vezes, decisões tomadas sob pressão de tempo e de outras decorrentes da 
condução dos negócios podem não refletir os benefícios desejados, necessitando ser mudadas. 
3. Falhas e colapsos 
Até mesmo controles bem desenhados estão sujeitos a falhas e colapsos. Pessoas 
podem não entender instruções ou interpretá-las de forma equivocada ou podem, ainda, 
cometer erros por fadiga, distração ou falta de cuidado (erros de execução). 
4. Conluio 
É a falha mais difícil de ser detectada e corrigida. Responsáveis pela gestão e pelos 
controles podem valer-se do seu conhecimento e competência para contorná-los com 
objetivos ilícitos, em conjunto com outros ou com terceiros. 
5. Burla de gestores 
A ação intencional de gestores no sentido de descumprir procedimentos de controle 
estabelecidos a fim de obter benefícios pessoais é uma séria limitação ao controle interno. 
 
Classificações de Controles Internos 
 Os controles internos podem ser classificados sob diversas perspectivas de análise. 
Serão apresentada, a seguir, as classificações mais usuais para os controles internos. 
1. Classificação quanto à função 
Ministério da Transparência, Fiscalização e Controladoria-Geral da União 
Página | 38 
Reflete a função do controle em relação ao risco, isto é, se o controle destina-se a 
prevenir ou a detectar a materialização de eventos, considerando o disposto no COSO. 
 Preventivos: são os controles concebidos para reduzir a frequência de 
materialização eventos de risco. Um controle preventivo tende a agir sobre a 
probabilidade de ocorrência de um determinado evento, dificultando que esse 
aconteça. 
 Detectivos: são os controles que detectam a materialização de eventos de 
risco, contudo não impedem a sua ocorrência. Alertam sobre a existência de 
problemas ou desvios do padrão, com o objetivo de provocar a gestão para 
adotar as ações corretivas pertinentes. 
 Compensatórios: como o próprio nome sugere, são controles concebidos para 
compensar a não adoção de outros controles preventivos ou detectivos, ou 
para contrabalançar outras falhas na estrutura de controle da organização. A 
adoção desse tipo de controle normalmente acontece por razões de custo-
benefício. 
 
2. Classificação quanto ao momento da aplicação 
 Prévio: anterior aos atos de gestão. 
 Concomitante: o controle é realizado simultaneamente à execução dos atos. 
 Posterior: a verificação dos fatos ocorre após a consumação. 
 
3. Classificação quanto ao nível de abrangência 
 Controles em nível de entidade 
São os controles mais abrangentes da organização, também mencionados na literatura 
especializada como Entity-Level Control (ELC). Desdobram-se em dois níveis: 
o Indiretos: são os controles típicos de “governança corporativa”. 
Consistem em procedimentos e instrumentos corporativos não ligados 
diretamente a operações específicas, mas que dão o escopo e 
evidenciam o tom das ações na organização, estabelecendo critérios e 
diretrizes de atuação, tais como políticas, regimentos, códigos de 
conduta, normas e manuais abrangentes, processo de planejamento 
estratégico, de gestão de riscos, conselhos de administração e fiscal, 
comitês de auditoria e outros, auditoria interna, ouvidoria (canal de 
denúncia) etc. Uma característica distintiva desse tipo de controle é o 
fato de serem, geralmente, preventivos. 
o Diretos: controles típicos de “controladoria” – consistem em 
monitoramentos exercidos pela alta administração com o objetivo de