Baixe o app para aproveitar ainda mais
Prévia do material em texto
Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 1 Curso: Gestão de Riscos e Controles Internos no Setor Público Apostila Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 2 SUMÁRIO 1. Introdução .................................................................................................. 03 2. Conceitos Básicos ....................................................................................... 04 3. Evolução Histórica: Controle & Risco ......................................................... 05 4. Objetivos da Organização .......................................................................... 20 5. Gestão de Riscos ....................................................................................... 21 6. Controles Internos .................................................................................... 33 7. Quando o risco de materializa .................................................................. 51 Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 3 1. INTRODUÇÃO O ano de 2016 pode ser considerado um marco na Gestão Pública Federal com o advindo da Instrução Normativa Conjunta CGU/MPOG nº 1. A Controladoria-Geral da União e o Ministério do Planejamento, Orçamento e Gestão determinam, aos órgãos e entidades do Poder Executivo Federal, a adoção de uma série de medidas para a sistematização de práticas relacionadas a gestão de riscos, controles internos e governança. A partir de agora, o dirigente máximo de cada órgão ou entidade passa a ser o principal responsável pelo estabelecimento da estratégia de organização e da estrutura de gerenciamento de riscos. Dentro deste cenário, também será papel do dirigente máximo estabelecer, de forma continuada, o monitoramento e o aperfeiçoamento dos controles internos da gestão. Cada risco mapeado e avaliado deve estar associado a um agente responsável formalmente identificado. O agente responsável pelo risco deve ser um gestor com alçada suficiente para orientar e acompanhar as ações de mapeamento, avaliação e mitigação do risco. As tipologias de risco abrangem: riscos operacionais, de imagem/reputação do órgão, legais e financeiros/orçamentários. A norma também prevê a instituição de comitês de governança, riscos e controles em todos os órgãos federais. Cada comitê será formado pelo dirigente máximo do órgão ou entidade, pelos dirigentes das unidades a ele diretamente subordinadas e será apoiado pelo respectivo assessor especial de Controle Interno. Os comitês terão sob sua responsabilidade promover a adoção de práticas que institucionalizem a responsabilidade dos agentes públicos na prestação de contas, transparência, efetividade das informações e, dentro dessa finalidade, promover o desenvolvimento contínuo dos agentes públicos; garantir a aderência às regulamentações, leis, códigos, normas e padrões, com vistas a condução das políticas e à prestação de serviços de interesse público; bem como supervisionar o mapeamento e avaliação dos riscos-chaves que podem comprometer a prestação de serviços de interesse público; entre outras atribuições. Caberá à CGU avaliar cada procedimento em relação à aplicação das políticas de gestão de risco e a eficácia dos controles internos. De forma a capacitar os gestores para a implementação dessa norma, a CGU em parceria com a ENAP elaborou esse curso que tem como objetivo prover os gestores com as ferramentas e conhecimentos necessários para se adequarem ao cenário proposto. Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 4 2. CONCEITOS BÁSICOS Para melhor compreender o assunto que será abordado nessa apostila, é necessário ter o entendimento de três conceitos básicos relativos à gestão de risco: objetivo, risco e controles internos. Objetivo O gerenciamento de riscos corporativos eficaz não dita os objetivos que a administração deve escolher, mas certifica-se que a referida administração dispõe de um processo que alinhe objetivos estratégicos com a sua missão e que esses objetivos e os correlatos selecionados estejam de acordo com o apetite a risco (Committee of Sponsoring Organizations of the Treadway Commission - COSO, 2007). Ainda segundo o COSO os controles internos asseguram o atingimento dos objetivos, de maneira correta e tempestiva, com a mínima utilização de recursos. Pelo exposto, fica evidente que para se implementar uma gestão de riscos eficaz, é necessário ao gestor saber primeiramente quais são seus objetivos. O termo objetivo diz respeito a um fim que se quer atingir. Se não sabes a que porto te diriges, nenhum vento te será favorável. Sêneca – filósofo Risco Superada a fase de definição dos objetivos, cabe ao gestor levantar os eventos que porventura possam vir a impactar futuramente o atingimento dos objetivos. Esses eventos denominamos de “riscos”. É comum na literatura associar riscos à eventos que impactam a gestão de forma negativa ou positiva, dificultando ou facilitando o gestor no atingimento dos objetivos. Por motivo de didática, adotaremos nesse curso apenas o sentido negativo da palavra, e quando se tratar de seu sentido positivo será utilizada a palavra oportunidade ao invés de riscos. Controle Interno De acordo com a IN conjunta 01, os controles internos da gestão se constituem na primeira linha (ou camada) de defesa das organizações públicas para propiciar o alcance de seus objetivos. Em outras palavras, são os instrumentos implementados pelo gestor para mitigar os riscos identificados. 3. EVOLUÇÃO HISTÓRICA: CONTROLE & RISCO Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 5 A palavra “risco” deriva do italiano antigo riscare, que significa “ousar”. Nesse sentido, o risco é uma opção, e não um destino. É das ações que ousamos tomar que depende nosso grau de liberdade de opção. O estudo sério do risco começou no Renascimento, quando as pessoas se libertaram das restrições do passado e desafiaram abertamente as crenças consagradas. Foi uma época em que grande parte do mundo seria descoberta e seus recursos, explorados. Uma época de turbulência religiosa, de capitalismo nascente e de uma abordagem vigorosa da ciência e do futuro. O núcleo matemático do conceito do risco surgiu em 1654 com a elaboração da teoria das probabilidades por Blaise Pascal e Pierre de Fermat. No século XVIII, Johann Bernoulli inventou a lei dos Grandes Números e a amostragem estatística, enquanto Abraham de Moivre expôs a estrutura da distribuição normal e descobriu o conceito de desvio padrão constituindo a base da lei das médias. Figura 1 - Curva Normal Apesar dos estudos matemáticos referentes a risco existirem há muitos anos, observa- se que apenas recentemente tais teorias foram se integrando às boas práticas internacionais de gestão coorporativa. É mais curioso ainda o fato de que apesar dos controles internos existirem para mitigar os riscos identificados, os modelos de controle interno na gestão coorporativa se destacaram previamente aos modelos de gestão de risco. Como observa-se no framework de controles internos do COSO, publicado em 1992, que antecedeu o COSO-ERM, publicado somente em 2004. COSO Controles Internos – Estrutura Integrada Devido a políticas questionáveisno financiamento de campanhas políticas e identificação de práticas de corrupção em relações internacionais na década de 1970, o U.S Securities and Exchange Commission (SEC) e o Congresso dos EUA promulgaram uma reforma nas leis de financiamento de campanha, bem como o Foreign Corrupt Practices Act (FCPA) que criminalizou os subornos transnacionais e exigiu que as empresas implementassem programa de controle interno. Em resposta, uma comissão nacional em fraudes financeiras, a Treadway Commision, foi formada em 1985 para inspecionar, analisar e elaborar recomendações em fraudes financeiras corporativas. É importante ressaltar que essa comissão tratou-se de uma iniciativa do setor privado. O resultado do trabalho da Treadway Commision foi publicado em 1987 e como resultado desse relatório o COSO (The Committee of Sponsoring Organizations of the Treadway Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 6 Commission) foi criado a partir de membros da Coopers & Lybrand, uma grande firma pública de contadores, para estudar as questões apontadas no relatório e elaborar um framework de controle interno. Em 1992, os quatro volumes intitulados Internal Control – Integrated Framework, foi lançado pelo COSO apresentando definições comuns de controle interno e provendo um framework no qual controles internos podiam ser avaliados e melhorados. COSO ERM Em 2001, o COSO - Controles Internos iniciou um projeto com a finalidade de desenvolver estratégia para gerenciar riscos corporativos e solicitou à PricewaterhouseCoopers que desenvolvesse uma estratégia de fácil utilização pelas organizações. Foi criado o documento chamado Enterprise Risk Management – Integrated Framework, como uma estrutura de gerenciamento de riscos corporativos, capaz de fornecer os princípios e conceitos fundamentais, em uma linguagem simples, com direcionamento e orientação, publicado em 2004. Em 2007, foi traduzido para o português pela AUDIBRA (Instituto dos Auditores Internos do Brasil) e publicado com o título “Gerenciamento de Riscos Corporativos – Estrutura Integrada” O período de desenvolvimento do COSO - ERM foi marcado por uma série de escândalos e quebras de negócios de grande repercussão, que geraram prejuízos de grande monta a investidores, empregados e outras partes interessadas, como o caso da Eron Corporation e Arthur Andersen que efetuaram fraudes contábeis e fiscais, omitindo prejuízos por dois anos consecutivos de US$ 25 bilhões. Trata-se de um modelo predominante no cenário corporativo internacional, utilizado sobretudo nos Estados Unidos. Também foi recepcionado pela INTOSAI (Órgão internacional fiscalizatório do setor governamental – tendo como representante o Tribunal de Contas da União - TCU): INTOSAI GOV 9130. Também é utilizado pelo Government Accountability Office (GAO) – Escritório de Accountability dos Estados Unidos; Banco Interamericano de Desenvolvimento (BID); Banco Mundial e Controladoria-Geral da União (CGU). Ressalta-se que o COSO – Controles Internos ainda é uma referência quando se trata das melhores práticas de controles internos corporativos, indo além dos controles contábeis e financeiros e auxiliando as organizações a avaliarem e aperfeiçoarem seus sistemas de controle interno, considerando inclusive o gerenciamento de riscos. Embora a estrutura de gerenciamento de riscos corporativos (COSO-ERM) não tenha por meta substituir a estrutura de controles internos das organizações, incorpora estrutura de controle interno em seu conteúdo e poderá ser utilizada, tanto para atender às necessidades de controle interno quanto para adotar um processo completo de gerenciamento de riscos. Para o COSO ERM, o gerenciamento de riscos consiste em: Um processo conduzido em uma organização pelo conselho de administração, diretoria e demais empregados, aplicado no estabelecimento de estratégias, formuladas para identificar em toda a organização eventos em potencial, capazes de afetá-la, e administrar os Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 7 riscos de modo a mantê-los compatível com o apetite a risco da organização e possibilitar garantia razoável do cumprimento dos seus objetivos (COSO, 2007). Quanto à estrutura de composição do COSO ERM, existe um relacionamento direto entre os objetivos, que uma organização se empenha em alcançar, com os componentes do gerenciamento de riscos corporativos, que representam aquilo que é necessário para o alcance desses objetivos, e a estrutura da organização para realização dessas ações. Esse relacionamento é apresentado em uma matriz tridimensional em forma de cubo: As quatro categorias de objetivos (estratégicos, operacionais, de comunicação e conformidade) estão representadas nas colunas verticais. Os oito componentes nas linhas horizontais e as unidades de uma organização na terceira dimensão. Essa representação ilustra a capacidade de manter o enfoque na totalidade do gerenciamento de riscos de uma organização, ou na categoria de objetivos, componentes, unidade da organização ou qualquer um dos subconjuntos (COSO, 2007). Orange Book O Reino Unido também tem adotado gestão de riscos no seu setor público há alguns anos. Já no ano 2000, o Auditor Geral do Reino Unido publicou relatório de auditoria sobre o tema intitulado Supporting innovation: Managing risk in government departments, fortalecendo a agenda sobre gestão de riscos. Em 2001, o Tesouro britânico produziu documento chamado Management of Risk - Principles and Concepts, conhecido como Orange Book, trazendo princípios e conceitos gerais sobre riscos. Foi atualizado em 2004. Posteriormente, em 2009, o Tesouro britânico publicou ferramenta voltada para a avaliação da gestão de risco nos diversos setores do governo - Risk Management assessment Estru tura da Entid ade Objetivos Componentes Fonte: COSO, 2007. Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 8 framework: a tool for departments, consolidando assim o uso dessa abordagem na sua administração pública (TCU, 2013). Ressalta-se que Orange Book foi referencial para o Guia de orientação para o gerenciamento de riscos, do Ministério do Planejamento, em 2013, mas que não foi homologado. O Guia justificou a adoção desse modelo da seguinte forma: O Orange Book tem como vantagens, além de ser compatível com padrões internacionais de gerenciamento de riscos, apresentar uma introdução ao tema gerenciamento de riscos, tratando de uma forma abrangente e simples, um tema complexo como o gerenciamento de riscos nas organizações. Isto é essencial na introdução de um processo de gerenciamento de riscos em uma organização, uma vez que, dentro de qualquer organização existem diversos níveis de maturidade com relação ao gerenciamento de riscos (SEGEP, 2013). O modelo é composto por um conjunto de quatro elementos inter-relacionados: 1- Processo de gerenciamento de riscos: aplicação de princípios e processos para identificação de riscos, planejamento, implementação e controle das respostas aos riscos. Considera também a governança, políticas, objetivos, estrutura organizacional, recursos, sistemas de informação, normas, modelos e diretrizes da organização; 2- Organização Estendida: nenhuma organização opera de forma independente. Tem interdependências com outras organizações dentro e fora do governo. 3- Macro Ambiente de riscos: Outros fatores que contribuem para o ambiente ou cenários nos quais os riscos devem ser gerenciados, como ambiente político, social,tecnológico, ambiental, econômico. 4- Comunicação e Aprendizado Contínuo: fornecer, obter e compartilhar informações necessárias para dialogar com as partes interessadas, bem como aprender com o gerenciamento de riscos e permear toda a gestão. Esses elementos também foram apresentados graficamente: Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 9 Fonte: Gespública, 2013. Isto é essencial na introdução de um processo de gerenciamento de riscos em uma organização, uma vez que, dentro de qualquer organização existem diversos níveis de maturidade com relação ao gerenciamento de riscos (SEGEP, 2013). Quanto ao Risk Management Assessment framework: a tool for departaments, elaborado pelo Tesouro Britânico, o modelo tem foco na organização e está estruturado em sete componentes: 1- liderança; 2- pessoas; 3- política e estratégias para riscos; 4- parcerias; 5- processo de gestão de riscos; Macro Ambiente Legisl ação Nacio nal e Intern aciona l Gove rnos Estra ngeir os Economi a e Política Nacional e Internaci onal Expectativas de Cidadãos e Sociedade Órgã os de Audit oria Organização Estendida Outras unidades e Ministério s Orga nism os Finan ciado res Fornecedores Pa rce iro s Organização Identificar o Contexto e os Riscos Planejar Respostas Implementar Monitorar e Controlar Analisar e Avaliar os riscos Estratégia Programas Projetos e Atividades Comunicação e Aprendizado Comunicação e Aprendizado Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 10 6- eficácia da gestão de riscos; 7- resultados. Com base nesse modelo o Tribunal de Contas da União desenvolveu a seguinte estrutura para avaliar a maturidade em gestão de riscos da Unidades da Administração Indireta: Fonte: TCU, 2013. O TCU dispõe em seu relatório TC 011.745/2012-6 a justificativa para escolha desse modelo: Trata-se de ferramenta desenvolvida para a mesma finalidade ora pretendida (avaliar a gestão de riscos); trata explicitamente a gestão dos riscos que envolvem parcerias no setor público, aspecto não enfocado em outros modelos; baseia-se em modelo consagrado de excelência de gestão; foi desenvolvido especificamente para o setor público (TCU, 2013). Modelo de Gestão de riscos do Governo Canadense O Treasury Board Secretariat (Secretaria do Tesouro) do Canadá adotou oficialmente modelo de gestão de riscos em 2001 (Integrated Risk Management Framework), criado para auxiliar a alta administração pública quanto à identificação dos diferentes tipos de riscos e às decisões a serem tomadas para mitigá-los. Em 2010, promoveu revisão ampla do tema e editou novos documentos de referência (Framework for the Management of Risk), mas mantendo a continuidade da adoção da gestão de riscos no setor público canadense. Também existem outros grupos federais envolvidos com questões relacionadas à gestão de riscos, conforme figura abaixo: Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 11 Fonte: Enap, 2003. O Modelo canadense também apresenta obstáculos e possíveis soluções à implementação da gestão de riscos: Processo de gestão de riscos Obstáculos à implementação do sistema ideal Possíveis Soluções Identificação do problema ou risco Ignorar riscos importantes - Planejamento de cenários/prospecção; - Abordagem sistêmica à identificação de riscos; - Abordagem integrada à gestão de riscos; - Equipes interfuncionais e interministeriais. Avaliação das áreas- chave de risco Qualidade e oportunidade das informações - Competência profissional e conhecimento dos métodos de avaliação de riscos. Lidar com incertezas nas informações - Reconhecimento, aceitação e comunicação das incertezas; - Criação de uma cultura organizacional caracterizada pela experimentação e pela gestão adaptativa; - Permissão às pessoas para aprenderem com seus erros; - Adoção do princípio preventivo quando necessário; - Monitoramento e auditoria, melhoria contínua. Falta de compreensão e confiança entre as partes interessadas - Integridade, competência, empatia, transparência, diálogo e comunicação dos riscos; - Processo decisório consistente e bem compreendido. Resposta ao desenvolvendo dos objetivos, estratégias e opções Priorizar a atenção - Diálogo e comunicação dos riscos. Diálogo e comunicação dos riscos - Facilitação das negociações com partes interessadas; - Inclusão, envolvimento e consultas. Minimizar os riscos - Especialização e competência profissional no desenvolvimento e análise de políticas para determinar os instrumentos mais eficazes, como regulamentação, instrumentos econômicos, acordos voluntários. Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 12 Implementação das estratégias Sistemas e cultura organizacionais - Educação e treinamento no serviço público; - Criação de uma cultura de gestão de riscos no serviço público; - Estabelecimento de atribuições e responsabilidades claras; - Desenvolvimento de sistemas, procedimentos claros e bem documentados. Monitoramento e aprendizagem Monitorar tanto o processo como o resultado - Criação de objetivos específicos tanto para processo como para substância da gestão da riscos; - Desenvolvimento de indicadores baseados nesses objetivos. Fonte: ENAP, 2003. ABNT NBR ISO 31000 A ABNT NBR ISSO 31000 foi elaborada pela Comissão de Estudo Especial de Gestão de Riscos (CEE-63), sendo uma adoção idêntica, em conteúdo técnico, estrutura e redação, à ISO 31000:2009, que foi elaborada pelo International Organization for Standardization Technical Management Board Working Group on risk management (ISO/TMB/WG), conforme ISO/IEC Guide 21-1:2005. A norma fornece princípios e diretrizes genéricas para a gestão de riscos, podendo ser utilizada por qualquer empresa pública, privada, associação, grupo ou indivíduo. É usualmente conhecida como uma norma “guarda-chuva” por pretender harmonizar os processos de gestão de riscos, tanto em normas atuais como em futuras, fornecendo uma abordagem comum para apoiar Normas que tratem de riscos e/ou setores específicos. A ISO 31000 é composta por três normas: ISO 31000 – Informações básicas, princípios e diretrizes para a implementação de gestão de riscos. ISO/IEC 31010 – Técnicas de avaliação e gestão de riscos. ISO Guia 73 – Vocabulário relacionado à gestão de riscos. A norma apresenta os seguintes princípios aos quais uma organização deve atender em todos os níveis para que a gestão de risco seja eficaz: A gestão de riscos cria e protege valor. A gestão de riscos é parte integrante de todos os processos organizacionais. A gestão de riscos é parte da tomada de decisões. A gestão de riscos aborda explicitamente a incerteza. A gestão de riscos é sistemática, estruturada e oportuna. A gestão de riscos baseia-se nas melhores informações disponíveis. A gestão de riscos é feita sob medida. A gestão de riscos considera fatores humanos e culturais. A gestão de riscos é transparente e inclusiva. A gestão de riscos é dinâmica, iterativa e capaz de reagir a mudanças. A gestão de riscos facilitaa melhoria contínua da organização. Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 13 De acordo com a ISO, o sucesso da gestão de riscos irá depender da eficácia da estrutura de gestão que fornece os fundamentos e os arranjos que irão incorporá-la através de toda a organização em todos os níveis. A estrutura auxilia a gerenciar riscos eficazmente através da aplicação do processo de gestão de riscos em diferentes níveis e dentro de contextos específicos da organização. A estrutura assegura que a informação sobre riscos provenientes desse processo seja adequadamente reportada e utilizada como base para a tomada de decisões e a responsabilização em todos os níveis organizacionais aplicáveis. A figura a seguir apresenta o relacionamento entre os princípios apresentados com a estrutura e processo: Fonte: ISO, 2009 Instrução Normativa Conjunta Nº 01, de 10 de maio de 2016 A Instrução Normativa Conjunta Nº 01, de 10 de maio de 2016, dispões sobre controles internos, gestão de riscos e governança no âmbito do Poder Executivo Federal. Os órgãos e entidades do Poder Executivo Federal deverão implementar, manter, monitorar e revisar o processo de gestão de riscos, compatível com sua missão e seus objetivos estratégicos, observadas as diretrizes estabelecidas na IN. De acordo com a IN, são objetivos da gestão de riscos: Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 14 Assegurar que os responsáveis pela tomada de decisão, em todos os níveis do órgão ou entidade, tenham acesso tempestivo a informações suficientes quanto aos riscos aos quais está exposta a organização. Aumentar a probabilidade de alcance dos objetivos da organização, reduzindo os riscos a níveis aceitáveis. Agregar valor à organização por meio da melhoria dos processos de tomada de decisão e do tratamento adequado dos riscos e dos impactos negativos decorrentes de sua materialização. A gestão de riscos do órgão ou entidade observará os seguintes princípios: Gestão de riscos de forma sistemática, estruturada e oportuna, subordinada ao interesse público; Estabelecimento de níveis de exposição a riscos adequados; Estabelecimento de procedimentos de controle interno proporcionais ao risco, observada a relação custo-benefício, e destinados a agregar valor à organização; Utilização do mapeamento de riscos para apoio à tomada de decisão e à elaboração do planejamento estratégico; e Utilização da gestão de riscos para apoio à melhoria contínua dos processos organizacionais. A IN também definiu um prazo de doze meses a contar da sua publicação para a instituição de uma Política de Gestão de Riscos pelos órgãos e entidades do Poder Executivo Federal. Nessa política devem ser especificadas pelo menos: Princípios e objetivos organizacionais. Diretrizes sobre: o Como a gestão de risco será integrada ao planejamento estratégico, aos processos e às políticas da organização. o Como e com qual periodicidade serão identificados, avaliados, tratados e monitorados os riscos. o Como será medido o desempenho da gestão de riscos. o Como serão integradas as instâncias do órgão ou entidade responsáveis pela gestão de riscos. o A utilização de metodologia e ferramentas para o apoio à gestão de riscos. Competências e responsabilidades para a efetivação da gestão de riscos no âmbito do órgão ou entidade. De acordo com a IN, a responsabilidade será do dirigente máximo da organização no estabelecimento da estratégia da organização e da estrutura de gerenciamento de riscos, incluindo o estabelecimento, a manutenção, o monitoramento e o aperfeiçoamento dos controles internos da gestão. Cada risco mapeado e avaliado deverá estar associado a um agente responsável formalmente identificado. Caberá ao gestor de risco: Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 15 Assegurar que o risco seja gerenciado de acordo com a política de gestão de riscos da organização. Monitorar o risco ao longo do tempo, de modo a garantir que as respostas adotadas resultem na manutenção do risco em níveis adequados, de acordo com a política de gestão de riscos. Garantir que as informações adequadas sobre o risco estejam disponíveis em todos os níveis da organização. A IN define também os princípios da boa governança, a saber: liderança, integridade, responsabilidade, compromisso, transparência e accountability. Por último a IN determina que os órgãos e entidades do Poder Executivo federal deverão instituir, pelos seus dirigentes máximos, Comitê de Governança, Riscos e Controles. O Comitê deverá ser composto pelo dirigente máximo e pelos dirigentes das unidades a ele diretamente subordinados e será apoiado pelo respectivo Assessor Especial de Controle Interno. Modelos e regulamentações aplicáveis a determinados segmentos específicos – COBIT COBIT é um guia de boas práticas apresentado como framework, dirigido para a gestão de tecnologia de informação. Mantido pelo Information Systems Audit and Control Association - ISACA, possui uma série de recursos que podem servir como um modelo de referência para gestão da TI, incluindo um sumário executivo, um framework, objetivos de controle, mapas de auditoria, ferramentas para a sua implementação e principalmente, um guia com técnicas de gerenciamento. Especialistas em gestão e institutos independentes recomendam o uso do COBIT como meio para otimizar os investimentos de TI, melhorando o retorno sobre o investimento e fornecendo métricas para avaliação dos resultados. De acordo com o COBIT são objetivos genéricos de TI: Responder aos requerimentos de negócio de maneira alinhada com a estratégia de negócio. Responder aos requerimentos de governança em linha com a Alta Direção. Assegurar a satisfação dos usuários. Otimizar o uso da informação. Criar agilidade para TI Definir como funções de negócios e requerimentos Definir como funções de negócios e requerimentos de controles são convertidos em soluções automatizadas efetivas e eficientes. Adquirir e manter sistemas aplicativos integrados e padronizados. Adquirir e manter uma infraestrutura de TI integrada e padronizada. Adquirir e manter habilidades de TI que atendam as estratégias de TI. Assegurar a satisfação mútua no relacionamento com terceiros. Assegurar a integração dos aplicativos com os processos de negócios. Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 16 Assegurar a transparência e o entendimento dos custos, benefícios, estratégia, políticas e níveis de serviços de TI. Assegurar apropriado uso e a performance das soluções de aplicativos e de tecnologia. Responsabilizar e proteger todos os ativos de TI. Otimizar a infraestrutura, recursos e capacidades de TI. Reduzir os defeitos e retrabalhos na entrega de serviços e soluções. Proteger os resultados alcançados pelos objetivos de TI. Estabelecer claramente os impactos para os negócios resultantes de riscos de objetivos e recursos de TI. Assegurar que informações confidenciais e críticas são protegidas daqueles que não deveriam ter acesso às mesmas. Assegurar que transações automatizadas de negócios e trocas de informações podem ser confiáveis. Assegurar que os serviços e infraestrutura de TI podem resistir e recuperar-se de falhas devido a erros, ataques deliberados ou desastres. Assegurar o mínimo impacto para os negócios no caso de uma parada ou mudança nos serviços de TI. Garantir que os serviços de TI fiquemdisponíveis de acordo com o requerido. Assim como o COSO, é comum ver a estrutura do COBIT representada por um cubo: Fonte: COBIT, 2012 O COBIT cobre quatro domínios, os quais possuem 34 processos, e estes processos possuem 210 objetivos de controle. Os quatro domínios são: Planejar e Organizar Adquirir e Implementar Entregar e Suportar Monitorar e Avaliar. O domínio de Planejamento e Organização cobre o uso de informação e tecnologia e como isso pode ser usado para que a empresa atinja seus objetivos e metas. Ele também salienta que a forma organizacional e a infraestrutura da TI devem ser consideradas para que Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 17 se atinjam resultados ótimos e para que se gerem benefícios do seu uso. A tabela seguinte lista os processos de TI para o domínio do Planejamento e Organização. Fonte: COBIT, 2012 O domínio Adquirir e Implementar cobre a identificação, o desenvolvimento ou aquisição, a implementação e integração das soluções de TI ao processo de negócios. Além disso, alterações e manutenções nos sistemas existentes são cobertas por esse domínio para assegurar que as soluções continuem a atender aos objetivos de negócios. Este domínio tipicamente trata das seguintes questões de gerenciamento. Fonte: COBIT, 2012 O domínio Entregar e Suportar foca aspectos de entrega de tecnologia da informação. Cobre a execução de aplicações dentro do sistema de TI e seus resultados, assim como os processos de suporte que permitem a execução de forma eficiente e efetiva. Esses processos de suporte também incluem questões de segurança e treinamento. A seguir, a tabela com os processos de TI desse domínio. Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 18 Fonte: COBIT, 2012 O domínio de Monitorar e Avaliar lida com a estimativa estratégica das necessidades da companhia e avalia se o atual sistema de TI atinge os objetivos para os quais ele foi especificado e controla os requisitos para atender objetivos regulatórios. Ele também cobre as questões de estimativa, independentemente da efetividade do sistema de TI e sua capacidade de atingir os objetivos de negócio, controlando os processos internos da companhia através de auditores internos e externos. Fonte: COBIT, 2012 Modelos e regulamentações aplicáveis a determinados segmentos específicos – Lei Sarbanes-Oxley A Lei Sarbanes-Oxley é uma lei estadunidense, assinada em 30 de julho de 2002 pelo senador Paul Sarbanes e pelo deputado Michael Oxley. Motivada por escândalos financeiros corporativos (dentre eles o da Enron, que acabou por afetar drasticamente a empresa de auditoria Arthur Andersen), essa lei foi redigida com o Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 19 objetivo de evitar o esvaziamento dos investimentos financeiros e a fuga dos investidores causada pela aparente insegurança a respeito da governança adequada das empresas. A lei Sarbanes-Oxley, apelidada de Sarbox ou ainda de SOX, visa garantir a criação de mecanismos de auditoria e segurança confiáveis nas empresas, incluindo ainda regras para a criação de comitês encarregados de supervisionar suas atividades e operações, de modo a mitigar riscos aos negócios, evitar a ocorrência de fraudes ou assegurar que haja meios de identificá-las quando ocorrem, garantindo a transparência na gestão das empresas. A lei Sarbanes – Oxley praticamente redefiniu as regras para as empresas corporativas, em relação a divulgação e a emissão de relatórios financeiros. Devido aos recentes escândalos presenciados no atual mercado e declarações de executivos renomados nas quais dizem “não ter conhecimento” de atividades duvidosas desenvolvidas por suas entidades. Esta Lei tem por finalidade desencorajar essas declarações nas quais às conferências internas irão ser mais rígidas e os executivos irão ser responsabilizados. A Lei Sarbanes-Oxley tem por finalidade ressaltar o papel crítico do “controle interno”. O controle interno é desenvolvido pela Diretoria, Conselho de Administração ou por colaboradores da entidade que alavanca o sucesso dos negócios em três categorias: Eficácia e eficiência das operações; Confiabilidade nos relatórios financeiros; Cumprimento de leis e regulamentos aplicáveis. A Lei Sarbanes-Oxley esclarece que os diretores executivos e diretores financeiros serão responsáveis por estabelecer, analisar e controlar a eficácia dos controles internos sobre os relatórios financeiros e divulgações. Especialistas no assunto descrevem que esta nova lei é a peça mais significativa da legislação comercial nos últimos cinquenta anos. Ela muda o ambiente empresarial e regulador. A maior abrangência da Lei Sarbanes-Oxley concentra-se nas Seções 302 e 404. Seção 302 – de forma explícita demonstra que os diretores executivos e diretores financeiros devem declarar pessoalmente que são responsáveis pelos controles e procedimentos de divulgação de relatórios. A cada documento trimestral deverá conter a certificação de que eles desenvolveram e avaliaram com eficácia os controles internos. Os executivos certificados também devem declarar e divulgar todas e quaisquer relevâncias significativas do controle, como insuficiência materiais e atos de fraudes. Seção 404 – Expõe que deve ser feita uma avaliação anual de todos os controles e procedimentos internos para que sejam emitidos os relatórios financeiros. Além disso, o auditor externo deve emitir um relatório atestando a veracidade das informações do controle interno. O descumprimento dessa exigência tem um alto preço: multas de até US$ 5 milhões e até vinte anos de prisão podem ser as penas impostas para o descumprimento intencional, esta é uma medida que sustenta a engrenagem da lei. Enfim a Sarbanes-Oxley é um indicativo de uma das mudanças que afetam a forma como as empresas realizam seus controles internos e sua responsabilidade perante os mesmos. São requisitos da lei: Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 20 Controlar a criação, edição e versionamento dos documentos em um ambiente de acordo com os padrões ISO, para controle de todos os documentos relativos à seção 404. Cadastrar os riscos associados aos processos de negócios e armazenar os desenhos de processo. Utilizar ferramentas como editor de texto e planilha eletrônica para criação e alteração dos documentos da seção 404. Publicar em múltiplos websites os conteúdos da seção 404. Gerenciar todos os documentos controlando seus períodos de retenção e distribuição. Digitalizar e armazenar todos os documentos que estejam em papel, ligados à seção 404. Você sabia que... Atualmente grandes empresas com operações financeiras no exterior seguem a lei Sarbanes-Oxley. A lei também afeta dezenas de empresas brasileiras que mantém ADRs - American Depositary Receipts negociadas na NYSE, como a Petrobras, Ambev, Bunge Brasil, a GOL Linhas Aéreas, a Sabesp, a CPFL (Companhia Paulista de Força e Luz), a TAM Linhas Aéreas, a Brasil Telecom, Ultrapar (Ultragaz), a Companhia Brasileira de Distribuição (Grupo Pão de Açúcar), Banco Bradesco, Banco Itaú, TIM, Vale S.A., Vivo S.A., Companhia Energética de Minas Gerais (CEMIG), Natura Cosméticos S.A., Claro e a Gerdau S.A. (Gerdau), Grupo Comercial Cencosud, CSN, Eletrobrás, Brasilagro. 4. OBJETIVOS DA ORGANIZAÇÃO Para Chiavenato, objetivos organizacionais são o fim desejado que a organização pretende atingire que orientam o seu comportamento em relação ao futuro e ao ambiente interno e externo. Neste sentido, os objetivos organizacionais são a razão de ser das organizações, que necessitam de um fim objetivo. Ainda, segundo Chiavenato, a motivação é o desejo de exercer altos níveis de esforço em direção a determinados objetivos organizacionais, condicionados pela capacidade de satisfazer algumas necessidades individuais. Neste sentido, defende o autor que o alinhamento entre os objetivos individuais e os objetivos organizacionais predispõem os sujeitos a exercerem elevados níveis de esforço para atender aos interesses organizacionais e, simultaneamente, atender aos seus próprios interesses. Dessa forma, percebe-se que existe uma relação entre a motivação e os objetivos organizacionais, ainda que os resultados sejam diferentes no que toca à motivação intrínseca e à motivação extrínseca. Ou seja, objetivos organizacionais bem definidos aumentam a motivação dos colaboradores. Por seu lado, os objetivos organizacionais devem sempre estar alinhados com os objetivos individuais, devendo estes últimos dar um contributo para a definição dos primeiros. Os objetivos devem ser: Focalizados em um resultado; Consistentes; Mensuráveis; Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 21 Relacionados com um determinado período; Alcançáveis. No contexto da administração pública, é comum existirem pelo menos 2 níveis distintos de objetivos organizacionais: objetivos estratégicos e objetivos operacionais. Além desses 2 níveis é comum os gestores também definirem objetivos relacionados à comunicação organizacional e objetivos relacionados à conformidade dos processos organizacionais à legislação. Objetivos Estratégicos São os objetivos globais e amplos da organização e definidos no longo prazo, isto é, entre dois a cinco ou mais anos pela frente. (Ex.: aumento do retorno sobre o investimento organizacional. Objetivos Operacionais São os objetivos específicos e de curto prazo voltados para a execução das operações cotidianas da organização referem-se geralmente a cada tarefa ou operação especificamente. (Ex.: Admitir dez pessoas deficientes ao ano e incentivar o consumo consciente) Objetivos de Comunicação São os objetivos relacionados à integração de todas as áreas que compõem uma organização, como por exemplo, a Relações Públicas, a Assessoria de Comunicação, no caso das empresas públicas, temos também a Publicidade e Propaganda, o Marketing e etc. Elas têm que estar em harmonia e estabelecer um discurso único, pois tendo isso permite-se a construção de uma comunicação eficaz e eficiente diante seus públicos. Objetivo de Conformidade São os objetivos que visam manter a entidade em conformidade com leis, normativos e regulamentos externos e internos, e sempre que possível manter o respeito às normas e procedimentos da organização. 5. GESTÃO DE RISCOS Definidos os objetivos institucionais, em todos seus níveis, é possível ao gestor iniciar o seu processo de Gestão de Riscos. Inicia-se esse processo pela identificação dos riscos que podem vir a impactar nos objetivos definidos previamente, identificando as causas possíveis desses riscos, bem como suas consequências. Após essa identificação, o gestor medirá o nível de risco de cada um dos riscos observando-os em seu Diagrama de Risco, possibilitando assim ter uma visão de quais serão as respostas adotadas para cada risco identificado. Segue abaixo o fluxo apresentado pelo COSO, 2012. Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 22 Fonte: COSO, 2012. Identificação do Risco De acordo com a ISO 31000, a finalidade da etapa de identificação de risco é gerar uma lista abrangente de riscos baseada em eventos que possam criar, aumentar, evitar, reduzir, acelerar ou atrasar a realização dos objetivos. Trata-se, portanto, de uma identificação abrangente, pois riscos que não forem identificados nesta fase não serão incluídos em análises futuros. O responsável pela identificação dos riscos pode e deve utilizar-se de ferramentas e técnicas de identificação de riscos que sejam adequadas aos seus objetivos e capacidades e aos riscos enfrentados. Por esse motivo é importante que as pessoas envolvidas nesse processo tenham um conhecimento adequado sobre o negócio, bem como sejam incentivadas a não se restringirem aos acontecimentos do passado. A seguir serão exemplificadas algumas técnicas utilizadas na identificação de riscos: 1. Mapeamento de Processos A técnica de mapeamento de processos tem como objetivo prover uma representação gráfica do fluxo operacional e a inter-relação entre diferentes processos e unidades. O mapeamento de processo facilita a visualização das operações, permitindo que o gestor identifique pontos de monitoramento e controle, bem como fragilidades que podem vir a tornar-se causas de riscos. 2. Brainstorming A técnica de brainstorming é uma atividade que tem como objetivo explorar o potencial criativo dos participantes. De forma resumida e simplificada, a técnica consiste em permitir que todos os participantes contribuam com ideias acerca de um determinado tema sem sofrer nenhum tipo de crítica. Os integrantes são incentivados a contribuir com o máximo possível de ideias que conseguirem. Tem-se então, como o próprio nome sugere, uma tempestade de ideias. Na gestão de riscos, essa técnica permite, principalmente, a identificação de riscos que não se materializaram no passado, aqueles com baixa probabilidade de ocorrência mas de significativos impactos, chamados de “Cisne Negro”. Identificar Riscos Definir Critérios de Avaliação Avaliar Riscos Avaliar a Interação dos Riscos Priorizar Riscos Responder ao Risco Avaliação do Risco Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 23 3. Método Delphi O método Delphi é reconhecido como um dos melhores instrumentos de previsão qualitativa. Sua área de aplicação original é a previsão tecnológica, mas atualmente tem sido aplicado frequentemente na gestão de riscos. O método baseia-se na elaboração de um questionário acerca do tema que deseja-se entender melhor, submetendo-o aos especialistas do tema/negócio para que seja respondido de forma anônima. Ao final é disponibilizado um relatório estatístico contendo as respostas dos questionários. O anonimato permite que barreiras hierárquicas e barreiras culturais tenham menor influência nas respostas, possibilitando que riscos relacionados a pessoas e cargos estratégicos sejam mais facilmente identificados. Causa e Fator de Risco Uma vez mapeado os riscos do negócio, é necessário identificar as causas desses riscos. Uma metodologia que ajuda nessa identificação é pensar na causa como a soma de dois fatores: fator de risco (ou fonte de risco) e fragilidade. Para a ISO 31000, fator de risco ou fonte de risco é um elemento, que individualmente ou combinado, tem o potencial intrínseco para dar origem ao risco, podendo ser tangível ou intangível. Os fatores de risco mais comuns são: pessoas, processos, sistemas, tecnologia, infraestrutura e eventos externos. A tabela a seguir apresenta uma lista desses fatores de risco associados às fragilidades mais comuns de serem identificadas: Fator de Risco Fragilidades Pessoa Baixa capacitação, desmotivada, estressada, negligente, corrupta, etc. Processo Ineficiente, mal estruturado,redundante, imaturo, etc. Sistema Obsoleto, incompatível, sem documentação, baixa segurança, etc. Tecnologia Ultrapassada, alto custo, baixa acessibilidade, alta complexidade, etc. Infraestrutura Inadequada, Inacessível, Ineficiente, Precária, etc. Evento Externo Desastre Ambiental, Crise Econômica, Influência Política, etc. Fonte: Elaboração própria Tome nota: CAUSA = FATOR DE RISCO + FRAGILIDADE Consequência Na gestão de riscos, entende-se por consequência, todos os eventos negativos resultantes da materialização de um risco. Normalmente, a consequência da materialização de um risco irá resultar nos seguintes aspectos: perda de recurso financeiro, danos à imagem da instituição ou danos à integridade física de funcionários. Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 24 Avaliação do Risco: Probabilidade x Impacto Os riscos são analisados, considerando a probabilidade e o impacto, com intuito de determinar o modo como serão administrados. Probabilidade representa a possibilidade de que um determinado evento ocorrerá. Enquanto o Impacto representa o seu efeito. Quanto à probabilidade, a literatura traz definições para uma abordagem qualitativa e quantitativa: Quanto à abordagem qualitativa e quantitativa, o COSO traz uma distinção entre os termos usados para probabilidade, sendo Likelihood: usado para indicar a possibilidade de que um evento ocorra em termos qualitativos, (elevada, média e reduzida ou outros critérios de escala - utilizada no Orange Book); e Probability: indica uma medida quantitativa, como porcentagem, frequência de ocorrência ou outra medida numérica. Além disso, os riscos também são avaliados quanto à sua condição de inerentes e residuais, sendo risco inerente o que não considera o efeito dos controles e das respostas a riscos existentes e risco residual o que considera o efeito dos controles e das respostas a riscos existentes. É aquele que permanece após a resposta da administração. Em razão das estratégias e objetivos de muitas organizações considerarem horizontes de tempo de curta a média duração, a administração naturalmente concentra-se nos riscos associados a esses períodos de tempo. Contudo, alguns aspectos do direcionamento estratégico e dos objetivos estendem-se a prazo mais longo. Consequentemente, a administração precisa levar em conta os cenários de prazos mais longos para não ignorar riscos que possam estar mais adiante. Quanto às técnicas de avaliação de riscos, o modelo do COSO, inclui uma combinação de técnicas qualitativas e quantitativas. Geralmente, a administração emprega técnicas qualitativas de avaliação se os riscos não se prestam a quantificação, ou se não há dados confiáveis em quantidade suficiente para a realização das avaliações quantitativas, ou ainda, se a relação custo-benefício para obtenção e análise de dados não for viável. As técnicas quantitativas emprestam maior precisão e são utilizadas em atividades mais complexas e sofisticadas para suplementar as técnicas qualitativas. Dependem sobremaneira da qualidade dos dados e das premissas adotadas e são mais relevantes para exposições que apresentem um histórico conhecido, uma frequência de sua variabilidade e permitam uma previsão confiável. O quadro a seguir apresenta uma comparação entre as duas técnicas: Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 25 Fonte: COSO, 2012. O produto resultante das funções impacto e probabilidade representa o nível de risco a que a organização está exposta. Esse nível de risco pode ser representado pelo seguinte diagrama: Fonte: CGU/SFC/CGFAZ, 2014. O diagrama acima representa a intensidade dos riscos e os nove quadrantes, nos quais os riscos são inseridos, representam uma categorização considerando a avaliação de impacto e probabilidade desses riscos. A intensidade desse nível também é refletida por cores, indo do Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 26 azul, para um o “risco aceitável”, cuja probabilidade e impacto são baixos, para o vermelho, o “risco crítico”, cuja probabilidade e impactos são alto. Com intuito de ressaltar que não basta somente considerar o valor absoluto das intensidades, mas também a valoração do impacto e da probabilidade, serão comparados dois riscos que apresentam a mesma intensidade, mas que são completamente distintos: “Cisne Negro” e o ”Comedor de Recursos”, tendo o primeiro alto impacto e baixa probabilidade, enquanto o segundo, baixo impacto e alta probabilidade. O “Cisne Negro” é considerado pela literatura como evento raro, que deve cumprir três condições para obter essa classificação: imprevisibilidade, pois no campo das expectativas, nada no passado indicava a possibilidade da sua ocorrência; forte impacto e consequências econômicas, pessoais e sociais imprevisíveis; e, apesar da imprevisibilidade, quando analisados retrospectivamente, tem-se a impressão de que sua ocorrência era evidente e de que poderiam ter sido racionalmente avaliados ou previstos. Como exemplo deste tipo de risco, destacam-se ataques terroristas e destrates naturais. Já o “Comedor de Recursos” está relacionado às atividades cotidianas que ocorrem com frequência, por isso a probabilidade é alta e seu monitoramento deve ser constante. Os gestores costumam gastar recursos de forma contínua para mitigá-los. Critérios de Avaliação da Probabilidade e do Impacto O COSO em seu documento “Risk Assessment in Practice”, destaca a importância de se construir critérios de avaliação, sem os quais é impossível comparar e agregar riscos que perpassam por todas as áreas de uma determinada organização. Quanto mais descritiva é a escala, mais consistente será sua interpretação pelos responsáveis pela avaliação dos riscos. As escalas devem permitir uma diferenciação significativa que servirá de suporte à priorização dos riscos. Escalas com 5 pontos apresentam melhor dispersão do que uma escala com apenas 3 pontos, em contrapartida uma escala com 10 pontos apresenta uma precisão normalmente não desejada em uma análise qualitativa. Toda organização é diferente, e as escalas devem ser customizadas de forma a melhor se adaptarem ao tamanho, complexidade e cultura da organização. Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 27 A imagem a seguir apresenta um exemplo de escala proposto pelo COSO: Fonte: COSO, 2012. Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 28 Fonte: COSO, 2012. Avaliação de Risco: Outras visões do nível de risco. Além do nível de risco referente a produto de probabilidade e impacto, o COSO destaca a existência de outras formas de visualizar o nível de risco de uma entidade, sendo elas: Vulnerabilidade x Impacto Velocidade do Impacto Persistência do Impacto Vulnerabilidade refere-se ao quanto uma determinada entidade está preparada para a materialização de um risco, levando em consideração sua agilidade de resposta e adaptabilidade para cenários distintos dos previstos. Entende-se que a probabilidade de um evento de risco ocorrer depende da correlação entre as vulnerabilidades e as ameaças em um determinado processo. Em outras palavras, a visão de vulnerabilidade foca nos controles implementados. Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 29 Por ter o foco no controle, essa visão de vulnerabilidade é muito útil para a auditoria ou qualquer que seja a área responsável pela avaliação do custo-benefício dos controlesde gestão. Segue abaixo exemplo de critérios e escala de mensuração da vulnerabilidade: Fonte: COSO, 2012. As outras duas visões do nível de risco, focam no impacto. A velocidade do impacto mede o tempo que decorre após a materialização do risco até que os impactos sejam notados. A persistência do impacto, por outro lado, mede o tempo decorrido até que os efeitos do impacto não sejam mais notados. Para o COSO, adoção de velocidade e persistência do impacto pode ser utilizada também como critério para priorização dos riscos a serem tratados. Técnicas de Avaliação de Risco – ABNT NBR ISO/IEC 31010:2012 A ISO 31010:2012 destaca-se pela apresentação de uma variedade de técnicas utilizadas na identificação, análise e avaliação de risco. A seleção das técnicas a serem utilizadas é uma escolha de cada organização que deve levar em consideração sua área de atuação, cultura organizacional e conhecimento do seu corpo técnico. A tabela a seguir apresenta a totalidade das técnicas presentes na ISO 31010:2012, informando se a técnica é fortemente aplicável, aplicável ou não aplicável para cada etapa do processo de avaliação de risco. Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 30 Fonte: ISO, 2012. Respostas ao Risco Após avaliar e ranquear os riscos, o gestor é capaz de decidir como serão as respostas a esses riscos. Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 31 Existem 4 tipos de respostas que podem ser atribuídas a um determinado risco. São elas: Aceitar Um determinado risco normalmente é aceito quando seu nível encontra-se em uma zona confortável para o gestor, ou seja, o risco não está ameaçando os objetivos da organização. Nessa situação, nenhum controle será implementado para mitigar o risco, porém controles de monitoramento são recomendáveis para esse tipo de risco, uma vez que, com o passar do tempo, o nível do risco pode sofrer alterações significantes e vir a ameaçar os objetivos em questão. Exemplo prático Uma determinada organização identificou em seus processos o risco de funcionários furtarem comida dos depósitos dos restaurantes. Na avaliação desse risco, notou-se que sua probabilidade era baixa, bem como o impacto financeiro desses pequenos furtos era praticamente insignificante perante a receita da organização. Os gestores solicitaram um orçamento de instalações de câmeras de segurança e raios-x e perceberam que o valor necessário para a instalação e manutenção desses controles era muito superior ao valor estimado das perdas devido a furtos de alimentos. Dessa forma, os gestores decidiram que controles não deveriam ser implementados, porém esse risco deverá ser reavaliado a cada dois anos de forma a verificar se seu nível continua baixo. Mitigar Um risco normalmente é mitigado quando seu nível encontra-se em uma zona que ameaça os objetivos da organização e a implementação de controles apresenta um custo/benefício adequado. Nessa situação, os controles podem ser implementados tanto para mitigar as causas do risco quanto o seu impacto. Durante o processo de avaliação dos riscos, pode-se optar por avaliar o nível de risco sem levar em consideração os controles do processo, ou pode-se optar por avaliar o nível levando em consideração os controles implementados. Ambas abordagens apresentam informações importantes para o gestor. Entende-se que quando é feita a avaliação do risco sem os controles existentes, tem-se o risco inerente ao processo. Quando é feita a avaliação do risco considerando os controles existentes, tem-se o risco residual. Exemplo prático Uma determinada organização identificou em seus processos o risco de fraude em seus documentos contábeis. Na avaliação desse risco sua probabilidade foi avaliada como média e seu impacto como alto. Com o intuito de mitigar esse risco, os gestores optaram por dividir a área financeira em duas áreas distintas, sendo que uma ficaria responsável por fiscalizar as ações da outra área. Além disso, foi criada uma Comissão de Ética que terá a responsabilidade de conscientizar os funcionários sobre os padrões éticos exigidos pela empresa, bem como as consequências legais acerca de tais condutas criminosas. Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 32 Compartilhar Um risco normalmente é compartilhado quando seu nível encontra-se em uma zona que ameaça os objetivos da organização, porém a implementação de controles não apresenta um custo/benefício adequado. Exemplo prático Uma determinada organização identificou que a localização de uma de suas principais filiais encontra-se em um local vulnerável a tsunamis. A frequência desses eventos no local é de um tsunami a cada 5 anos, sendo que a cada 100 anos tem-se um grande tsunami de proporções devastadoras. Modificações no relevo de forma a mitigar os impactos de um tsunami necessitariam de um investimento muito elevado para os padrões da organização. De forma a evitar possíveis mortes, foram adquiridas lanchas rápidas para a evacuação do local. No entanto, os bens imóveis não podem ser transportados e em caso de tsunami serão completamente destruídos. Para os imóveis, a única opção foi a transferência desse risco por meio de uma apólice de seguro. Evitar Um risco normalmente é evitado quando seu nível encontra-se em uma zona crítica de alta probabilidade e alto impacto, comprometendo totalmente os objetivos da organização. Normalmente, nesses casos, a implementação de controles apresenta um custo muito elevado, inviabilizando sua mitigação, bem como não há entidades dispostas a compartilhar o risco com a organização. Nesses casos, a opção é evitar o risco, encerrando o processo em questão. Exemplo prático Uma empresa de correios identificou que existem áreas muito perigosas na cidade, onde o índice de criminalidade inviabiliza completamente a entrega de correspondência por comprometer a integridade física dos carteiros, bem como resultar em elevados furtos das correspondências. Após inúmeras solicitações, não correspondidas, para que a prefeitura aumentasse o efetivo policial nessas regiões, a empresa optou por encerrar temporariamente seus serviços nessas regiões até que houvesse uma melhora na segurança pública. Apetite ao Risco A escolha da resposta adequada para cada risco vai depender do apetite ao risco da organização. O apetite ao risco é um aspecto que deve, preferencialmente, ser decidido pelos responsáveis pela governança da organização. Ao definir seu apetite, a organização poderá definir em seu diagrama de risco qual a zona de aceitação ou não aos riscos. Na definição do apetite ao risco, deve ser levado em consideração as contribuições individuais de cada risco, bem como a visão dos riscos em conjunto. Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 33 As várias técnicas de avaliação de risco apresentadas anteriormente são muito importantes na definição do apetite ao risco, uma vez que elas apresentam visões distintas dos riscos da organização. Tolerância ao Risco Um conceito que, às vezes, confunde-se com o apetite ao risco é o da tolerância ao risco. O apetite ao risco define o processo normal de aceitação dos riscos, ou seja, as zonas de aceitação ou não aceitação de risco pela organização no seu dia a dia. A tolerância ao risco, por outro lado, trata da exceção, ou seja, do quanto tolera-se que o risco fuja de sua zona de aceitação esporadicamente. A tolerância está relacionada com a margem/variação de aceitação dorisco. Exemplo prático Uma determinada organização identificou em seus processos o risco de seus sistemas de informação ficarem indisponíveis para seus clientes. A organização definiu um apetite baixo para esse tipo de risco. Dessa forma, seus controles atuais visam que o serviço fique disponível pelo menos 99% do tempo. Apesar dessa definição, a organização entende que, de tempos em tempos, a infraestrutura de TI necessita de manutenções mais severas e que nesses casos o sistema poderá chegar a ficar 10% do tempo indisponível. Dessa forma, a organização definiu que, de acordo com seu apetite a risco, os sistemas deveriam ficar disponíveis 99% do tempo sendo tolerado que se utilize um fim de semana a cada 2 meses para realizar manutenções mais severas, podendo o serviço ficar disponível apenas 90% do tempo nesses finais de semana. 6. CONTROLE INTERNO Em linhas gerais, Controles Internos representam um sistema que envolve todos os integrantes da organização na implementação de ações que visem à proteção do patrimônio da entidade e o consequente atingimento de seus objetivos. Para o COSO, Controle Interno: É um processo realizado pela diretoria, por todos os níveis de gerência e por outras pessoas da entidade, projetado para fornecer segurança razoável quanto à consecução de objetivos nas seguintes categorias: a. eficácia e eficiência das operações; b. confiabilidade de relatórios; c. cumprimento de leis e regulamentações aplicáveis. (COSO, 2013) Ao apresentar essa definição, o COSO tinha como um dos objetivos integrar os diversos conceitos de controle interno, promovendo a uniformização das definições até então vigentes. A partir da divulgação dessa definição, várias organizações internacionais revisaram suas normas para incorporar o conceito de controle interno definido pelo modelo, o qual tornou-se uma referência mundial. Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 34 Em 2004, a INTOSAI (Organização Internacional de Entidades Fiscalizadoras Superiores) publicou a revisão das Diretrizes para as Normas de Controle Interno do Setor Público (INTOSAI, 2004), alinhando-as ao COSO, e adotou a seguinte definição: Controle interno é um processo integrado efetuado pela direção e corpo de funcionários, estruturado para enfrentar os riscos e fornecer razoável segurança de que na consecução da missão da entidade os seguintes objetivos gerais serão alcançados: • execução ordenada, ética, econômica, eficiente e eficaz das operações; • cumprimento das obrigações de accountability; • cumprimento das leis e regulamentos aplicáveis; • salvaguarda dos recursos para evitar perdas, mau uso e dano. (INTOSAI, 2004) O TCU, alinhando-se às Diretrizes para as Normas de Controle Interno do Setor Público, emitidas pela INTOSAI, e seguindo a tendência internacional, introduziu no Glossário de Termos do Controle Externo, a seguinte definição: Processo efetuado pela administração e por todo o corpo funcional, integrado ao processo de gestão em todas as áreas e todos os níveis de órgãos e entidades públicos, estruturado para enfrentar riscos e fornecer razoável segurança de que, na consecução da missão, dos objetivos e das metas institucionais, os princípios constitucionais da administração pública serão obedecidos e os seguintes objetivos gerais de controle serão atendidos: I. eficiência, eficácia e efetividade operacional, mediante execução ordenada, ética e econômica das operações; II. integridade e confiabilidade da informação produzida e sua disponibilidade para a tomada de decisões e para o cumprimento de obrigações de accountability; III. conformidade com leis e regulamentos aplicáveis, incluindo normas, políticas, programas, planos e procedimentos de governo e da própria instituição; IV. adequada salvaguarda e proteção de bens, ativos e recursos públicos contra desperdício, perda, mau uso, dano, utilização não autorizada ou apropriação indevida. (TCU, 2010) Em suma, essas novas definições de controle interno incorporaram as seguintes diretrizes: 1. O papel do controle interno é ampliado, sendo estruturado para enfrentar riscos em todas as áreas e todos os níveis da organização. 2. O controle interno é um processo organizacional de responsabilidade da própria gestão e é efetuado com o intuito de assegurar uma razoável segurança de que os objetivos da entidade sejam alcançados de modo a dar cumprimento à sua missão. 3. Controle interno é um processo integrado que interliga diversos elementos da gestão organizacional para compor o sistema de controle interno da organização, afastando-se a ideia de procedimento ou circunstância isolada. Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 35 Para a Instrução Normativa Conjunta nº 01/2016, os controles internos da gestão baseiam-se no gerenciamento de riscos e integram o processo de gestão, considerando as atividades, planos, ações, políticas, sistemas, recursos e esforços de todos que trabalhem na organização, sendo projetados para fornecer segurança razoável de que a organização atingirá seus objetivos e missão. A definição e a operacionalização dos controles internos devem levar em conta os riscos que pretende-se mitigar, tendo em vista os objetivos das organizações públicas. Assim, ao considerar os objetivos estabelecidos pelos órgãos e entidades da administração pública e os riscos decorrentes de eventos internos ou externos que possam afetar o alcance desses objetivos, devem ser posicionados os controles internos mais adequados para mitigar a probabilidade de ocorrência dos riscos ou o seu impacto sobre os objetivos organizacionais. Como apresentado inicialmente na apostila, os controles internos da gestão constituem-se na primeira linha (ou camada) de defesa das organizações públicas para propiciar o alcance de seus objetivos. Esses controles são operados por todos os agentes públicos responsáveis pela condução de atividades e tarefas, no âmbito dos macroprocessos finalísticos e de apoio dos órgãos e entidades do Poder Executivo federal. Além dos controles internos da gestão, os órgãos e entidades do Poder Executivo federal podem estabelecer instâncias de segunda linha (ou camada) de defesa, para supervisão e monitoramento desses controles internos. Assim, comitês, diretorias ou assessorias específicas para tratar de riscos, controles internos, integridade e compliance, por exemplo, podem se constituir em instâncias de supervisão de controles internos. Para a IN Conjunta, os controles internos da gestão do órgão ou entidade devem ser desenhados e implementados em consonância com os seguintes princípios: Aderência à integridade e a valores éticos; Competência da alta administração em exercer a supervisão do desenvolvimento e do desempenho dos controles internos da gestão; Coerência e harmonização da estrutura de competências e reponsabilidades dos diversos níveis de gestão do órgão ou entidade; Compromisso da alta administração em atrair, desenvolver e reter pessoas com competências técnicas, em alinhamento com os objetivos da organização; Clara definição dos responsáveis pelos diversos controles internos da gestão no âmbito da organização; Clara definição de objetivos que possibilitem o eficaz gerenciamento de riscos; Mapeamento das vulnerabilidades que impactam os objetivos, de forma que sejam adequadamente identificados os riscos a serem geridos; Identificação e avaliação das mudanças internas e externas ao órgão ou entidade que possam afetar significativamente os controles internos da gestão; Desenvolvimento e implementação de atividades de controle que contribuam para a obtenção de níveis aceitáveis de riscos; Adequado suporte de tecnologia da informação para apoiar a implementação dos controles internos da gestão; Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 36 Definição de políticas e normas que suportem as atividades de controles internos da gestão; Utilização de informações relevantes e de qualidade para apoiar o funcionamento dos controles internos da gestão; Disseminação de informações necessárias ao fortalecimento da cultura e da valorização dos controles internos da gestão; Realização de avaliações periódicas para verificar a eficácia do funcionamento dos controles internos da gestão; e Comunicação do resultado da avaliação dos controles internos da gestão aos responsáveis pela adoção de ações corretivas, incluindo a alta administração. A IN também apresenta os objetivos dos controles internos da gestão, os quais são: Dar suporte à missão, à continuidade e à sustentabilidade institucional, pela garantia razoável de atingimento dos objetivos estratégicos do órgão ou entidade; Proporcionar a eficiência, a eficácia e a efetividade operacional, mediante execução ordenada, ética e econômica das operações; Assegurar que as informações produzidas sejam íntegras e confiáveis à tomada de decisões, ao cumprimento de obrigações de transparência e à prestação de contas; Assegurar a conformidade com as leis e regulamentos aplicáveis, incluindo normas, políticas, programas, planos e procedimentos de governo e da própria organização; e Salvaguardar e proteger bens, ativos e recursos públicos contra desperdício, perda, mau uso, dano, utilização não autorizada ou apropriação indevida. O processo de Controle Interno e suas limitações Recordando as definições apresentadas anteriormente sobre controle interno, como um processo integrado efetuado pela direção e corpo de funcionários, em todas as áreas e todos os níveis da organização. Convém tecer um detalhamento sobre os elementos que embasam as definições: 1. Processo integrado Entende-se por processo integrado o fato de que os componentes do controle interno se relacionem entre si, não sendo possível a avaliação dos controles por meio da análise de cada componente isoladamente. 2. Processo executado por pessoas O controle interno é um processo que, em última instância, é executado por pessoas. Todos na organização executam controles internos, implicando que esses controles são afetados pela natureza humana. 3. Controle Interno auxilia o alcance de objetivos Sua principal função é auxiliar na consecução de objetivos. Sejam os objetivos estabelecidos para a entidade como um todo, sejam os fixados para atividades, processos ou Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 37 operações específicos. A finalidade do controle interno é prover as melhores condições para se atingirem objetivos. 4. Controle Interno oferece segurança razoável, não absoluta Tendo em vista a incerteza acerca de riscos futuros que não podem ser previstos com segurança absoluta, além do fato de existirem fatores que estão fora do controle ou da influência da organização e que podem afetar sua capacidade de alcançar objetivos, a implementação de controles internos não oferece segurança absoluta de que os objetivos da entidade serão atingidos. Limitações à eficácia do controle interno 1. Custo x Benefício O custo de se controlar um risco não deve ser superior aos benefícios esperados do controle. Isso quer dizer que nem todos os riscos precisam e/ou devem ser controlados. Por exemplo, quando o risco é baixo e o impacto na empresa causado pela ocorrência do risco também é baixo, pode-se aceitar o risco e não estabelecer controle interno algum. 2. Erros de julgamento A eficácia do controle interno sofre limitações das realidades da fraqueza humana durante a tomada de decisões de negócios, que exige, na maioria das vezes, uma boa dose de julgamento humano, nem sempre calcado em informações adequadas e suficientes para suportá-lo. Muitas vezes, decisões tomadas sob pressão de tempo e de outras decorrentes da condução dos negócios podem não refletir os benefícios desejados, necessitando ser mudadas. 3. Falhas e colapsos Até mesmo controles bem desenhados estão sujeitos a falhas e colapsos. Pessoas podem não entender instruções ou interpretá-las de forma equivocada ou podem, ainda, cometer erros por fadiga, distração ou falta de cuidado (erros de execução). 4. Conluio É a falha mais difícil de ser detectada e corrigida. Responsáveis pela gestão e pelos controles podem valer-se do seu conhecimento e competência para contorná-los com objetivos ilícitos, em conjunto com outros ou com terceiros. 5. Burla de gestores A ação intencional de gestores no sentido de descumprir procedimentos de controle estabelecidos a fim de obter benefícios pessoais é uma séria limitação ao controle interno. Classificações de Controles Internos Os controles internos podem ser classificados sob diversas perspectivas de análise. Serão apresentada, a seguir, as classificações mais usuais para os controles internos. 1. Classificação quanto à função Ministério da Transparência, Fiscalização e Controladoria-Geral da União Página | 38 Reflete a função do controle em relação ao risco, isto é, se o controle destina-se a prevenir ou a detectar a materialização de eventos, considerando o disposto no COSO. Preventivos: são os controles concebidos para reduzir a frequência de materialização eventos de risco. Um controle preventivo tende a agir sobre a probabilidade de ocorrência de um determinado evento, dificultando que esse aconteça. Detectivos: são os controles que detectam a materialização de eventos de risco, contudo não impedem a sua ocorrência. Alertam sobre a existência de problemas ou desvios do padrão, com o objetivo de provocar a gestão para adotar as ações corretivas pertinentes. Compensatórios: como o próprio nome sugere, são controles concebidos para compensar a não adoção de outros controles preventivos ou detectivos, ou para contrabalançar outras falhas na estrutura de controle da organização. A adoção desse tipo de controle normalmente acontece por razões de custo- benefício. 2. Classificação quanto ao momento da aplicação Prévio: anterior aos atos de gestão. Concomitante: o controle é realizado simultaneamente à execução dos atos. Posterior: a verificação dos fatos ocorre após a consumação. 3. Classificação quanto ao nível de abrangência Controles em nível de entidade São os controles mais abrangentes da organização, também mencionados na literatura especializada como Entity-Level Control (ELC). Desdobram-se em dois níveis: o Indiretos: são os controles típicos de “governança corporativa”. Consistem em procedimentos e instrumentos corporativos não ligados diretamente a operações específicas, mas que dão o escopo e evidenciam o tom das ações na organização, estabelecendo critérios e diretrizes de atuação, tais como políticas, regimentos, códigos de conduta, normas e manuais abrangentes, processo de planejamento estratégico, de gestão de riscos, conselhos de administração e fiscal, comitês de auditoria e outros, auditoria interna, ouvidoria (canal de denúncia) etc. Uma característica distintiva desse tipo de controle é o fato de serem, geralmente, preventivos. o Diretos: controles típicos de “controladoria” – consistem em monitoramentos exercidos pela alta administração com o objetivo de
Compartilhar