Módulo 3 - Controle Interno Estrutura Integrada

Prévia do material em texto

Auditoria e Controle
para Estatais
Controle interno – Estrutura 
integrada3
M
ód
ul
o
2Enap Fundação Escola Nacional de Administração Pública
Enap, 2020
Enap Escola Nacional de Administração Pública
Diretoria de Educação Continuada
SAIS - Área 2-A - 70610-900 — Brasília, DF
Fundação Escola Nacional de Administração Pública
Presidente 
Diogo Godinho Ramos Costa
Diretor de Educação Continuada
Paulo Marques
Coordenador-Geral de Educação a Distância 
Carlos Eduardo dos Santos
Conteudistas 
Fabio Silva Vasconcelos (Conteudista, 2018) / Giane Gomes Nascimento Nakano (Conteudista, 2018) Gustavo 
de Queiroz Chaves (Conteudista, 2018) Tiago Chaves Oliveira (Conteudista, 2018)
Coordenadora Enap
Priscilla Campos Pereira (Coordenadora Enap, 2019)
Desenvolvimento do curso realizado no âmbito do acordo de Cooperação Técnica FUB / CDT / Laboratório 
Latitude e Enap.
Curso produzido em Brasília 2020.
3Enap Fundação Escola Nacional de Administração Pública
1. Introdução ................................................................................... 5
1.1 Objetivos, componentes e princípios ............................................. 7
2. Componente: Ambiente de Controle ............................................ 9
2.1 Princípios relacionados ao componente ambiente de controle ..... 9
3. Avaliação de riscos ..................................................................... 16
3.1 Princípios e Pontos de Foco .......................................................... 16
4. Atividades de Controle ............................................................... 23
4.1 Princípios e pontos de foco relacionados ...................................... 26
5. Informação e Comunicação, Princípios e Pontos de foco ............. 28
5.1 Princípios e pontos de foco relacionados ...................................... 29
6. Atividades de Monitoramento ................................................... 31
6.1 Princípios e pontos de foco relacionados ...................................... 34
7. Referências bibliográficas ........................................................... 36 
Sumário
4Enap Fundação Escola Nacional de Administração Pública
5Enap Fundação Escola Nacional de Administração Pública
1. Introdução
Um sistema de controle interno eficaz proporciona garantia razoável à realização dos objetivos 
da entidade, por meio da manutenção dos riscos em um nível aceitável. A presença de um 
controle interno eficaz juntamente com uma supervisão de gestão de riscos madura permite que 
a organização defina objetivos estratégicos que considerem os riscos desde sua escolha, ao invés 
de apenas definir objetivos e se sujeitar aos riscos associados.
A organização passa a adotar uma postura ativa, permitindo, assim, explorar de forma mais 
eficiente a relação de risco versus retorno compatível com o apetite a risco definido pela estrutura 
de governança. Tanto a gestão de riscos quanto o controle interno suportam o exercício de uma 
adequada governança corporativa dentro da organização permitindo evidente definição de 
papéis e responsabilidades.
Em 1992, como resposta à crise financeira de 1987, conhecida como a Segunda-Feira Negra, 
que afetou a credibilidade dos agentes do mercado financeiro, o Committee of Sponsoring 
Organizations of the Treadway Commission (COSO) publicou o referencial Internal Control – 
Integrated Framework, em português Controle Interno – Estrutura Integrada, buscando atacar 
as falhas identificadas que propiciaram a crise nas corporações e contaminaram o mercado.
Após o surgimento desse referencial, muita coisa mudou nos ambientes corporativos, operacionais 
e mesmo político. Outras crises ocorreram, levando a um processo de desenvolvimento de 
um novo referencial para o controle interno pelo COSO em 2013, com o intuito de responder 
adequadamente às exigências crescentes de maior transparência e responsabilidade pela 
integridade dos sistemas de controle interno pelas partes interessadas.
E qual o entendimento sobre o que é o sistema de controle interno? Segundo a definição trazida 
pelo COSO no referencial de 2013, o “controle interno é um processo conduzido pela estrutura de 
governança, administração e outros profissionais da entidade, e desenvolvido para proporcionar 
segurança razoável com respeito à realização dos objetivos relacionados a operações, divulgação 
e conformidade.”
A definição engloba que controle interno é:
• Conduzido para atingir objetivos em uma ou mais categorias – operacional, 
divulgação e conformidade.
M
ód
ul
o Controle interno – Estrutura 
integrada3
6Enap Fundação Escola Nacional de Administração Pública
• Um processo que consiste em tarefas e atividades contínuas – um meio para 
um fim, não um fim em si mesmo.
• Realizado por pessoas [...].
• Capaz de proporcionar segurança razoável – mas não absoluta, para a 
estrutura de governança e a alta administração de uma entidade.
• Adaptável à estrutura da entidade – flexível na aplicação para toda a entidade 
ou para uma subsidiária, divisão, unidade operacional ou processo de negócio 
em particular.
O controle interno não se confunde com o processo de gestão, pois em que pese o controle interno 
ser de responsabilidade geral da administração, nem toda ação realizada pela administração faz 
parte do controle interno, tais como a tomada de decisões estratégicas que possam impactar os 
objetivos da organização e o estabelecimento do nível geral de apetite a risco.
Considerando os limites desenhados para o conceito de controle interno, o referencial não 
recomenda a implementação de um sistema de controle interno antes que os objetivos da 
entidade estejam estabelecidos e fixados para a organização. Trazendo para o nosso cotidiano, 
como poderíamos avaliar se estamos indo no rumo certo e pela melhor rota se não sabemos 
para onde desejamos ir? Perceba que é difícil identificar riscos, estabelecer respostas e controles 
para processos ou atividades para qual não sabemos se contribuem para objetivos, inclusive os 
organizacionais.
Por outro lado, a abrangência da definição é proposital de forma a permitir que todas as 
organizações em diferentes estruturas de entidade, indústrias e regiões geográficas possam 
aplicá-la, permitindo flexibilidade para uma implementação de forma integrada ou mesmo em 
silos: uma subsidiária, divisão, unidade operacional ou área funcional.
O referencial Controle Interno - Estrutura Integrada auxilia a compreensão sobre os requisitos 
para se ter um controle interno eficaz. Está estruturado em cinco componentes (ambiente de 
controle, avaliação de risco, atividades de controle, informação e comunicação e monitoramento) 
e em 17 princípios que representam os conceitos fundamentais relacionados aos componentes 
aplicáveis aos objetivos e seus desdobramentos. Além disso, o referencial é composto de um 
Sumário Executivo que proporciona um panorama de alto nível para as estruturas de governança 
e a alta administração, uma Estrutura que detalha os componentes e princípios para um controle 
interno eficaz voltado para todos os níveis da administração e os Anexos que são uma referência. 
Há ainda outras publicações do COSO, como “Ferramentas Ilustrativas para Avaliar a Eficácia de 
um Sistema de Controle Interno”, que podem ser úteis no aprofundamento do assunto.
O COSO argumenta que, para alcançar um controle interno eficaz, todos os cinco componentes e 
os 17 princípios devem estar presentes e operando em conjunto. Por esse motivo, a administração 
deve fazer essa avaliação ao verificar a eficácia de um sistema de controle interno.
Para facilitar tal avaliação, os pontos de foco são descritos como características importantes dos 
princípios e auxiliam na implementação dos controles internos e análise do funcionamento dos 
princípios.
7Enap Fundação Escola Nacional de Administração Pública
Destaque h, h, h, h, 
A administração, normalmente por meio de sua auditoria interna, pode 
concluir que alguns dos pontos de foco não são adequadosou relevantes para 
o seu contexto e pode identificar ou considerar outros pontos com base em 
circunstâncias específicas da entidade.
https://www.youtube.com/watch?v=8h8EMJel04g
1.1 Objetivos, componentes e princípios
As organizações, por meio de seu planejamento estratégico, adotam uma missão e uma visão, 
fixando objetivos a serem perseguidos pela execução de planos. Esses objetivos podem estar 
em nível de entidade como um todo, desdobrando-se em objetivos específicos para os níveis 
inferiores da estrutura, ou podem ser específicos para determinada área ou setor.
O referencial organiza os objetivos nas categorias operacional, divulgação e conformidade. 
Os recursos da organização devem buscar atingi-los por meio da estruturação do sistema de 
controle interno, desdobrando-se nos cinco componentes: ambiente de controle, avaliação 
de riscos, atividades de controle, informação e comunicação e atividades de monitoramento. 
Esses componentes devem ser tratados tanto no nível de toda a entidade, como num nível de 
subsidiária, divisões ou qualquer subconjunto da entidade. A forma gráfica encontrada pelo 
COSO para relacionar os objetivos, componentes e nível de entidade foi por meio do cubo 
representado na figura 1.
Figura 1 - Estrutura do cubo do COSO ICIF 2013, adaptado
8Enap Fundação Escola Nacional de Administração Pública
Ainda que a figura do cubo, com suas partes ou fatias, possam transmitir uma segregação ou 
estanqueidade, não é isso que o referencial comunica e pelo qual preconiza o funcionamento de 
um controle interno eficaz em uma organização. Este deverá ser dinâmico, renovado e integrado, 
ocorrendo um inter-relacionamento pleno entre objetivos, componentes e os diferentes níveis 
da entidade.
Dessa forma, os sistemas de controle interno de duas entidades diferentes não são iguais devido 
a características externas, como tipo de indústria, características do setor, diferenças regulatórias; 
e internas, como porte, cultura organizacional, modelo de gestão, entre outros fatores que 
possam impactar e exigir adequações para sua efetividade.
Objetivos operacionais
Os objetivos operacionais são aqueles estabelecidos pela administração para o cumprimento 
de sua missão e avanço em direção à visão estabelecidos pela estrutura de governança da 
organização. Esses objetivos normalmente se relacionam às perspectivas de eficácia e eficiência, 
como melhoria do desempenho financeiro, inovação, qualidade, satisfação de partes relacionadas 
internas (funcionários) e externas (clientes), produtividade, entre outras. Alguns objetivos 
podem ser mais preponderantes do que outros, dependendo do tipo de organização (pública, 
privada, filantrópica) e setor no qual atua frente aos seus concorrentes. Os objetivos associados 
à proteção e preservação dos ativos da organização, bem como a adequada comunicação de 
perdas, normalmente são classificados dentro de objetivos operacionais com o termo usual de 
salvaguarda de ativos, de acordo com o referencial.
Objetivos de divulgação
Os objetivos de divulgação relacionam-se a qualquer preparação de comunicação, seja para 
uso interno ou para partes interessadas externas, independentemente do tipo de informação, 
financeiras ou não financeiras. Possuem fundamental importância na busca de alinhamento e 
mobilização dos esforços e insumos organizacionais, tomadas de decisão, além de alinhamento 
de expectativas de seus colaboradores tanto para as partes internas como para as partes externas, 
clientes, fornecedores, instituições de crédito e eventuais shareholders (acionistas individuais ou 
fundos de investimentos nos casos de companhias abertas). Exemplos de divulgação interna são 
os planos operacionais e métricas de avaliação, enquanto demonstrações contábeis e financeiras 
exemplificam comunicações para público externo. A depender do tipo de informação e público 
interessado, os objetivos de divulgação podem se desdobrar em: objetivos de divulgação 
financeira e não financeira externa e objetivos de divulgação financeira e não financeira interna.
Objetivos de conformidade
Quanto aos objetivos de conformidade é importante notar que o referencial separa o atendimento 
a leis e regulamentos do cumprimento de políticas e procedimentos internos, estando estes 
associados aos objetivos operacionais. Na condução de seus negócios e dependendo dos locais 
onde as operações são realizadas, a organização precisa atender a diversas legislações associadas 
a recursos humanos, meio ambiente, tributos, entre outros que buscam traduzir as expectativas 
de condutas esperadas pelo Estado. Portanto, quase sempre os objetivos de conformidade 
9Enap Fundação Escola Nacional de Administração Pública
estão associados à não discricionariedade da organização e a riscos de sanções pelo seu não 
atingimento.
2. Componente: ambiente de controle
O ambiente de controle sedimenta a base para implementação do controle interno de uma 
organização. O controle interno pode ser entendido como estruturas, processos e normas que, 
em conjunto, orientam quanto a valores éticos e à integridade que guiam a administração e 
partes interessadas para o atingimento da visão organizacional estabelecida. As estruturas 
de governança e a alta administração devem sempre demonstrar as expectativas quanto à 
obediência de normas de conduta e ao controle interno desenhado para a organização, o que 
normalmente denomina-se como o tom do controle que se deseja.
O ambiente de controle de uma organização sofre influência de diversos fatores internos e 
externos, tais como a atuação de concorrência, o nível regulatório, a cultura organizacional, a 
história de entidade. Como expresso na edição do COSO ICIF (2013), o ambiente de controle:
“Cria a disciplina que fundamenta a avaliação dos riscos relacionados à 
realização dos objetivos da entidade, a execução das atividades de controle, o 
uso dos sistemas de informação e a comunicação e a condução das atividades 
de monitoramento.”
2.1 Princípios relacionados ao componente ambiente de 
controle
Dentre os 17 princípios estabelecidos no COSO ICIF 2013, cinco estão relacionados ao ambiente 
de controle. São eles:
1. Comprometimento com integridade e valores éticos
Este princípio possui fundamental importância para que a empresa não seja punida por 
cometimento de atos de desvio de integridade nos mercados em que atua. Atende a cobrança de 
leis anticorrupção de diversos países, como o Foreign Corruption Practice Act (FCPA), dos Estados 
Unidos, The Bribery Act, do Reino Unido, e a Lei Anticorrupção ou da Empresa Limpa, do Brasil.
Ao longo dos últimos anos, empresas globais e locais vêm recebendo severas 
punições devido a atos de corrupção cometidos, gerando grandes perdas 
10Enap Fundação Escola Nacional de Administração Pública
financeiras e de reputação. Para saber mais, você pode acessar o site da 
Securities and Exchange Commission (SEC)1 e o da CGU.
Para verificar se este princípio está presente e funcionando na empresa, é necessário que a 
estrutura de governança e administração demonstrem, por meio de ações, orientações e 
comportamento, a relevância dos valores éticos e da integridade, liderando pelo exemplo e 
ampliando essa adesão para os demais agentes colaboradores internos e externos, mediante 
estabelecimento de normas de conduta. É necessário existir não apenas a obrigatoriedade de 
seu cumprimento, mas processos que meçam o desempenho das pessoas em relação a essas 
normas, bem como promovam correções aos desvios encontrados.
Declarações de missão e valores, políticas, códigos de conduta, diretrizes, orientações e 
comunicações informais das lideranças são exemplos de formas de expressar o comprometimento 
com a integridade e valores éticos, bem como atender às expectativas das diversas partes 
interessadas, ou seja, funcionários, fornecedores, clientes, investidores e comunidade, sinalizando 
o grau em que serão aplicados nas decisões tomadas por todos os níveis da organização.
Diversos casos de falhas de integridadeem corporações e as consequentes apurações realizadas 
sobre o comportamento dos fraudadores mostram o quão importante é o exemplo dado pelas 
lideranças e a tolerância ao cometimento de falhas de integridade e de condutas inapropriadas. 
É bem provável que os empregados venham a ter as mesmas atitudes que as demonstradas pela 
administração em relação ao que é certo e errado e, consequentemente, sobre riscos e controles 
associados.
No caso de empresas globais, é importante ressaltar que determinados valores éticos e normas 
de conduta podem variar de acordo com o local e seus costumes, exigindo da organização uma 
atenção especial ao adaptar diretrizes elaboradas em sua matriz. Essas normas servem para 
guiar o comportamento, as atividades e as decisões da organização na busca de consecução 
de seus objetivos, mostrando o que é certo ou errado de acordo com os valores e crenças 
aceitos pela organização. Em tempos de fortes discussões sobre o papel das corporações, e 
não somente do Estado, acerca de suas responsabilidades com as comunidades próximas e o 
meio ambiente, os códigos de conduta comunicam sobre a reponsabilidade social corporativa. 
As boas práticas internacionais recomendam que as normas de conduta sejam periodicamente 
informadas em todos os níveis da organização, inclusive para os prestadores de serviços devido à 
responsabilidade final pelas atividades que a eles são delegadas, delineadas por meio de contrato 
ou outro dispositivo legal.
O referencial do COSO de 2013 lista diversas causas que podem suscitar o não cumprimento de 
normas de conduta, como o estabelecimento de metas de desempenho irrazoáveis que criam 
pressões para seu atingimento; processos de alta descentralização sem adequada supervisão, 
coação de superiores ou colegas para simplificar procedimentos; processo inadequado para 
investigar e solucionar condutas inapropriadas; auditoria interna deficiente, entre outros. 
Importante também reforçar que os desvios em relação às normas de conduta devem ser tratados 
de forma tempestiva e coerente, podendo, a depender da gravidade do desvio da legislação, 
gerar desde advertência ou orientações até uma demissão.
1 https://www.sec.gov/spotlight/fcpa/fcpa-cases.shtml
11Enap Fundação Escola Nacional de Administração Pública
2. Responsabilidades de supervisão
A estrutura de governança demonstra independência em relação aos seus executivos; 
supervisiona o desenvolvimento e o desempenho do controle interno; deve garantir a presença 
e o funcionamento deste princípio verificando a presença de membros independentes da 
administração, a fim de manter a objetividade das avaliações e decisões; aceita e executa suas 
responsabilidades de supervisão sobre a administração fazendo os questionamentos certos; e 
fiscaliza a administração no desenho, na implementação e na aplicação do controle interno.
A responsabilidade pelo desenvolvimento e implementação do sistema de controle interno é 
do diretor/presidente e alta administração, cabendo a responsabilidade de supervisão desse 
processo às estruturas de governança. A depender do setor, estratégia, estrutura e objetivos, 
as diversas unidades operacionais podem operar dentro de um modelo de controle interno 
padrão ou possuírem maior autonomia para desenhar e adaptar estruturas e processos às suas 
necessidades locais, cabendo à supervisão impedir que valores essenciais e limites intoleráveis 
sejam ignorados ou ultrapassados. É comum que as estruturas de governança criem, por 
necessidade ou obrigação legal, comitês de suporte ao papel de supervisão para atuarem sob 
temas específicos. Exemplos são os comitês de auditoria, de elegibilidade ou sucessão, de riscos 
e de remuneração.
No Brasil, a Lei nº 13.303/2016, fruto da crise de confiança na utilização de estatais para fins 
políticos e de execução de atos de corrupção, estabeleceu a necessidade de alteração para os 
estatutos jurídicos das empresas públicas e de economia mista das quais o ente público federal, 
estadual ou municipal possua controle acionário para melhores padrões de direção e governança, 
a depender de seu porte. O artigo 6º dessa lei estabelece que:
O estatuto da empresa pública, da sociedade de economia mista e de suas 
subsidiárias deverá observar regras de governança corporativa, de transparência 
e de estruturas, práticas de gestão de riscos e de controle interno, composição 
da administração e, havendo acionistas, mecanismos para sua proteção, todos 
constantes desta Lei.
Essa mesma lei estabelece competências, regras para composição, perfis e vedações de 
elegibilidade de participação em estruturas de direção e governança para diretores, conselho de 
administração, comitê de auditoria e conselho fiscal, visando evitar a recorrência de escândalos 
de corrupção, como os descortinados pela Operação Lava Jato. Certamente, entre as causas que 
permitiram as fraudes perpetuadas estava a existência de estruturas de governança que não 
exerciam o seu papel, por não possuírem as competências necessárias para o adequado exercício 
de supervisão nem estarem voltados para defender os propósitos das partes interessadas.
12Enap Fundação Escola Nacional de Administração Pública
Caso queira se aprofundar acerca das exigências normativas às estruturas de 
governança das estatais, em especial no âmbito federal, você pode acessar os 
seguintes normativos:
• Lei nº 13.303, de 30 de junho de 20162
• Decreto nº 8.945, de 27 de dezembro de 20163
• Resoluções CGPAR4
As investigações e análises sobre as falências decorrentes das fraudes perpetuadas nas corporações 
do setor de energia e commodities Enron5, na do setor de telecomunicações WorldCom e em 
outros casos serviram para mostrar a grande relevância deste princípio no ambiente de controle, 
fortalecendo a governança corporativa e, com isso, aumentando as chances de alcance dos 
objetivos.
A objetividade de pensamento, atitude de aparência e fato são características manifestadas 
quando há independência da estrutura de governança em relação ao administrador, sendo 
comum em alguns países a exigência legal que as empresas de capital aberto possuam a maioria 
dos membros do conselho e seus comitês independentes e sem relacionamentos pessoal ou 
profissional, recente ou atual, com a entidade. Insere-se nesses relacionamentos até mesmo 
eventual participação em outras estruturas de empresas que possam gerar conflitos de interesse 
e, com isso, afetar o grau de objetividade e ceticismo para o desempenho da função.
Além dos conhecimentos técnicos necessários para exercer a adequada supervisão da condução 
do negócio pelo administrador, os membros das estruturas de governança devem ter integridade, 
pensamento crítico, padrões éticos e habilidades, permitindo debates e deliberações acerca de: 
controle interno; assuntos financeiros; questões legais, regulatórias, sociais e ambientais; sistemas 
e tecnologias importantes para o negócio. Tais membros devem se manter permanentemente 
capacitados e periodicamente avaliados quanto à sua aptidão com relação às necessidades da 
organização, pois executam diversas atividades de supervisão relacionadas aos componentes do 
controle interno, quer diretamente ou por meio de comitês.
3. Estrutura, autoridade e responsabilidades
 
Com a supervisão da estrutura de governança, a administração estabelece a ordenação, os níveis 
de subordinação, as autoridades e as responsabilidades adequadas na busca dos objetivos. Os 
pontos de foco importantes para este princípio são verificar se a estrutura de governança e a 
administração consideram as diversas partes da organização a fim de estabelecer e delegar 
2 http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2016/lei/l13303.htm
3 http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2016/Decreto/D8945.htm
4 http://www.planejamento.gov.br/assuntos/empresas-estatais/legislacao/resolucoes
5 Enron é uma empresa de energia americana e foi um dos pivôs da crise de credibilidade da governança corporativa e dos 
serviços de asseguração.13Enap Fundação Escola Nacional de Administração Pública
autoridade e responsabilidades necessárias para organizar os recursos de forma eficiente em 
prol do atingimento dos objetivos, empregando tecnologia e processos.
A existência de processos com o uso de tecnologia permite executar as atividades envolvendo os 
diversos setores necessários, controles adequados, prestação de contas e fluxo de informação 
por toda a organização. Ademais, as linhas de subordinação e estruturas organizacionais devem 
evoluir de acordo com a natureza do negócio e as exigências de mercado, permitindo um bom 
posicionamento competitivo da organização frente aos seus competidores. Cabe à administração 
estar alerta a essas necessidades, revisando e avaliando continuamente as estruturas quanto 
à eficácia, eficiência e suporte ao sistema de controle interno, garantindo o cumprimento das 
responsabilidades e a existência de um fluxo de informações adequado. Também deve estar 
atenta a potenciais conflitos de interesse relacionados à execução das responsabilidades em 
toda a organização e, eventualmente, nos prestadores de serviços terceirizados.
Algumas variáveis que devem ser consideradas no desenho e avaliação das estruturas 
organizacionais, segundo o referencial COSO ICIF:
• A natureza, o porte e a distribuição geográfica dos negócios da entidade;
• Os riscos relacionados aos objetivos da entidade e seus processos de negócio, 
que podem ser mantidos internamente ou terceirizados, assim como as 
interconexões com prestadores de serviços terceirizados e parceiros de 
negócios;
• A natureza da atribuição de autoridade e responsabilidade da alta 
administração e da administração de unidades operacionais, áreas funcionais 
e áreas geográficas;
• A definição de linhas de subordinação (por exemplo: subordinação direta/
linha cheia" versus subordinação secundária/"linha pontilhada") e canais de 
comunicação;
• Requisitos financeiros, tributários, regulatórios e outros requisitos de 
divulgação em jurisdições relevantes.”
O referencial cita o conceito das três linhas de defesa, de elaboração e divulgação pelo Global 
Institute of Internal Auditors (IIA Global), por meio da Declaração de Posicionamento: as três linhas 
de defesa no gerenciamento eficaz de riscos e controles6, como forma de demonstrar a alocação 
das responsabilidades para a realização dos objetivos organizacionais. O referencial ressalta 
também a grande relevância de que seja evidente o estabelecimento das responsabilidades, 
autoridade e canais de comunicação para prestação de contas pelas unidades operacionais e 
áreas funcionais.
Como num desdobramento em cascata, a responsabilidade delegada e atribuída à alta 
administração pela estrutura de governança pode se desdobrar para toda a entidade e suas 
estruturas. Conforme preceitua o referencial: “a estrutura de governança e/ou a alta administração 
definem o quanto as pessoas e equipes são autorizadas ou encorajadas (ou limitadas) a 
6 http://www.planejamento.gov.br/assuntos/empresas-estatais/palestras-e-apresentacoes/2-complemento-papeis-das-areas-
de-gestao-de-riscos-controles-internos-e-auditoria-interna.pdf
14Enap Fundação Escola Nacional de Administração Pública
perseguir os objetivos ou a cuidar dos problemas à medida que eles surgem”. Cabe ainda à alta 
administração estabelecer as diretrizes, orientações e controle que permitam a todos exercerem 
suas responsabilidades, dentro do apetite à risco da organização e os valores estabelecidos. A 
melhor estrutura para uma organização com maior ou menor grau de delegação dependerá de 
vários fatores, como o tipo de negócio, grau de competição do setor, nível de regulação do setor 
em que atua, pois o equilíbrio estará no ganho de maior agilidade com a delegação versus o 
aumento da complexidade e riscos assumidos pela alta administração. No estabelecimento da 
delegação de autoridade, portanto, é importante que haja adequada limitação desta visando 
que não sejam aceitos riscos indevidos, que se mantenha a segregação de funções e que quem 
presta serviços em nome da organização entenda suas atribuições e os limites de suas decisões, 
todas adequadamente dimensionadas para o melhor atingimento dos objetivos organizacionais.
4. Compromisso com a competência
A organização demonstra comprometimento para atrair, desenvolver e reter talentos 
competentes alinhados com seus objetivos. Em relação a este princípio, são pontos de atenção: 
o estabelecimento de políticas e práticas para guiar internamente os esforços no atingimento dos 
objetivos e atendimento das expectativas, a promoção de avaliação pela estrutura de governança 
e administração se a organização e os prestadores terceirizados possuem as competências 
necessárias estabelecidas pelas políticas e práticas, se a organização atrai, desenvolve e retém 
talentos, bem como planeja e prepara a sucessão para os responsáveis por atividades importantes 
do controle interno.
As políticas e práticas estabelecidas servem como base para a definição das competências 
necessárias, desdobramento em procedimentos mais detalhados para execução e avaliação de 
desempenho e a determinação de ações corretivas, proporcionando: requisitos e fundamentos, 
conduta e habilidades necessárias que apoiam o controle interno na realização dos objetivos, 
base de avaliação de deficiências, estabelecer correções e definir a responsabilidade pelo 
desempenho das principais áreas.
Comumente, nas organizações, é a área de recursos humanos (RH) que auxilia na definição das 
competências e no dimensionamento dos efetivos para determinada função, auxiliando no seu 
processo de avaliação e na busca de ações corretivas, levando em conta conhecimento, habilidades 
e grau de experiência necessários. Cabe à administração estar atenta e tomar as medidas 
corretivas que visem sanar lacunas de competência para suportar o alcance de determinado 
objetivo, quer seja de forma permanente ou temporária como num esforço momentâneo da 
organização para uma determinada estratégia. Também é o RH que gerencia processos de 
gestão relacionados com as estruturas e os processos desdobrados em diferentes níveis para 
atrair, treinar, aconselhar, avaliar e reter pessoas adequadas com as competências, habilidades e 
comportamento adequados às normas de conduta, políticas e práticas estabelecidas.
Tendo em vista o objetivo comum das organizações de perenidade, a administração deve 
identificar e avaliar as funções essenciais para o atingimento dos objetivos, devendo haver 
planos de contingência e planos de sucessão para os principais candidatos à sucessão desses 
executivos-chave da organização.
15Enap Fundação Escola Nacional de Administração Pública
5. Prestação de contas
A organização faz com que as pessoas assumam responsabilidade por suas funções de controle 
interno na busca pelos objetivos. Os pontos de foco para este princípio se relacionam à exigência 
de que os indivíduos prestem contas pelas suas responsabilidades pelo controle interno, a 
estabelecer métricas, incentivos e recompensas pelo desempenho, sempre tendo em mente a 
contínua avaliação da relevância dessas métricas, o incentivo e a recompensa, evitando o risco 
de eventual pressão excessiva, sem que se esqueça de também aplicar, quando devido, ações 
disciplinares relacionadas ao não atendimento às normas de conduta e aos níveis de competência 
esperados. Nesse ínterim, devem ser consideradas as realizações de objetivos de curto e longo 
prazo para o desempenho esperado e de atendimento às normas de conduta.
Cabe à alta administração desenhar, implementar e avaliar periodicamente as estruturas, as 
autoridades e responsabilidades relacionadas ao sistema de controle interno para o alcance dos 
objetivos. Conforme se dá a delegação de responsabilidades, também decorre a necessidade 
de prestação de contas junto às instâncias de supervisão definidas. Prestar contas abrange não 
somente o atingimento de desempenho definidos, mas também a aderência às políticas, leis eregulamentos associados às atividades. Não restam dúvidas de que uma liderança ativa contribui 
para uma compreensão comum sobre a importância do controle interno, suas estruturas, 
processos e mecanismos para o alcance dos objetivos, por isso, não pode restar dúvidas sobre as 
expectativas da alta administração em relação ao que é certo ou errado, em especial no que diz 
respeito a integridade, ética, conflito de interesses ou atividades ilegais, fortalecendo o dever de 
todos quanto à prestação de contas.
No ambiente competitivo, faz-se necessário que as organizações tenham colaboradores motivados 
e fazendo o seu melhor em prol da instituição. Para isso, é fundamental o estabelecimento de 
objetivos nítidos, métricas de desempenho quantitativas e qualitativas adequadas em todos 
os níveis da organização para recompensar sucessos e aplicar sanções disciplinares, quando 
necessárias. Casos de falhas na governança corporativa, como a Enron, nos ensinam que o 
estabelecimento de metas a serem atingidas devem ser factíveis e bem supervisionadas, de 
forma a não gerar pressões inadequadas que propiciem a 
realização de fraudes pelos seus funcionários. Não há como 
ignorar que os incentivos afetam os comportamentos, 
por isso exige-se da administração e da estrutura de 
governança um grande cuidado com a temática visando 
evitar objetivos conflitantes, metas irrealistas ou apenas 
focadas nas recompensas financeiras de curto prazo.
As avaliações de desempenho, individuais e de 
equipes, devem ocorrer para todos os níveis da 
organização, de forma similar ao desdobramento que 
ocorre de objetivos, começando pela avaliação da alta 
administração realizada pela estrutura de governança. 
Formas comuns de recompensa variam de adicionais de 
remuneração, ações da empresa, progressão na carreira, 
reconhecimento frente aos seus pares, premiações com 
pacotes de viagens ou outros benefícios.
Figura 1 - Estrutura do cubo 
do COSO ICIF 2013, adaptado
16Enap Fundação Escola Nacional de Administração Pública
3. Avaliação de riscos
Toda organização possui objetivos institucionais que auxiliam o cumprimento da sua missão. 
No momento de elaboração dos objetivos, é necessário que a estrutura de governança tenha 
clareza para estabelecê-los, definindo quais são os estratégicos, de forma a priorizar os recursos 
disponíveis para sua consecução. Esses objetivos se desdobrarão em diversos outros, associados 
a projetos e atividades ao longo da estrutura organizacional, podendo todos serem associados a 
uma ou mais categorias do COSO: operações, divulgações e conformidade.
Os objetivos precisam ser especificados e detalhados, permitindo a identificação de ameaças à 
sua realização, o chamado risco.
Destaque h, h, h, h, 
Risco é a possibilidade de ocorrer um evento que venha a ter impacto no 
cumprimento dos objetivos organizacionais.
Nesse contexto, o referencial Internal Control – Integrated Framework, em português Controle 
Interno – Estrutura Integrada, trata a avaliação de riscos como um processo de identificação e 
de análise desses eventos, que podem advir do contexto interno ou externo da organização. A 
partir da valoração dos riscos, é possível analisá-los à luz da tolerância ao risco definida para a 
organização.
Destaque h, h, h, h, 
Tolerância ao risco é o nível aceitável de variação no desempenho quanto à 
realização dos objetivos.
Ou seja, a tolerância ao risco baliza a implementação de respostas aos riscos e atividades de 
controle decorrentes. É importante ressaltar que existem requisitos externos que influenciam na 
definição da tolerância ao risco, tais como regramentos constantes em leis e em instrumentos 
regulatórios.
Por esse motivo, durante a definição dos objetivos, podem ser identificados os primeiros riscos 
a eles associados. A partir dos riscos identificados, é possível que a organização defina tanto o 
nível de risco que pode aceitar, quanto a tolerância a exceder tal nível de risco, quando casos 
fortuitos ocorrerem. Como consequência desses primeiros passos, respostas aos riscos poderão 
ser adotadas, a fim de minimizar o efeito deles na realização dos objetivos.
3.1 Princípios e Pontos de Foco
A seguir, explicaremos os princípios e seus respectivos pontos de foco do referencial que estão 
relacionados ao componente avaliação de riscos.
17Enap Fundação Escola Nacional de Administração Pública
Princípio 6: “a organização especifica os objetivos com clareza suficiente, a fim de permitir a 
identificação e a avaliação dos riscos associados aos objetivos”.
A definição de estratégias e de objetivos deve contemplar todos os níveis da organização, além 
de ser precedida de reflexões sobre:
• Harmonização entre objetivos e estratégias.
• Definição da tolerância aos riscos dentro de cada objetivo.
• Harmonização dos objetivos com requisitos externos (leis, instrumentos regulatórios, normas) 
ou com circunstâncias específicas da organização.
• Definição de objetivos aderentes à realidade, mensuráveis, com prazo para realização.
• Desdobramento dos objetivos em todos os níveis da organização.
• Confirmação da adequação dos objetivos junto à alta administração antes de utilizá-los como 
referência para o processo de gerenciamento de riscos.
Os objetivos podem ser categorizados em: operacionais, de divulgação e de conformidade. Essa 
categorização auxilia na especificação deles e na identificação e avaliação dos riscos associados. 
Ao clicar em cada objetivo, você terá acesso a mais informações.
Categorização dos objetivos
Objetivos 
operacionais
Objetivos de 
divulgação
Objetivos de 
conformidade
Objetivos operacionais
Os objetivos operacionais devem refletir as escolhas da organização quanto ao seu negócio, 
envolvendo o contexto externo (econômico, do mercado onde está inserida) e o contexto interno 
(estrutura, desempenho esperado).
Tais objetivos são relacionados ao estabelecimento de metas financeiras e operacionais, portanto, 
se não forem definidos adequadamente, poderão causar perdas para a entidade. A partir da 
definição dos objetivos operacionais, é possível alocar recursos necessários para alcançar o 
desempenho desejado.
Outro foco importante é a definição da tolerância aos riscos, ou seja, a organização deve 
considerar o quão distante do alcance dos objetivos ela suportará ficar.
Objetivos de divulgação
Os objetivos de divulgação compreendem a preparação de relatórios e de outros instrumentos 
de divulgação definidos pela própria organização ou exigidos por agentes externos. O advento 
da Lei da Transparência, Lei nº 12.527, de 18 de novembro de 2011, reforçou na Administração 
18Enap Fundação Escola Nacional de Administração Pública
Pública direta e indireta a observância da publicidade como regra e do sigilo como exceção, 
incentivando a transparência ativa. Por outro lado, sempre existiram exigências de divulgações 
diversas na Administração Pública, emitidas por lei ou por normativos de órgãos reguladores, 
fiscalizadores, de controle, entre outros.
Esta categoria inclui divulgações financeiras externas, divulgações não financeiras externas e 
divulgações internas (financeiras e não financeiras), que serão detalhadas no quadro a seguir.
Objetivos de divulgação
Objetivos de divulgação 
financeira externa
Objetivos de divulgação 
não financeira externa
Objetivos de divulgação interna 
(financeira e não financeira)
As demonstrações financeiras 
e outras formas de divulgação 
de informações derivadas 
são elaboradas conforme as 
normas contábeis e financeiras 
vigentes para atender a uma 
exigência externa, podendo ser 
enviadas a um órgão regulador 
específico, publicadas no 
site da própria organização, 
impressas e enviadas a 
destinatários específicos.
Tais demonstrações devem 
considerar a materialidade do 
dado a ser divulgado, que indica 
se a omissão ou divulgação 
com distorção de um valor 
financeiro pode influenciar as 
decisões dos usuários que se 
baseiam nessas demonstrações. 
Ela deve considerar a exatidão 
exigida para atenderaos 
seus destinatários.
Devem ser uma representação 
fidedigna das transações 
realizadas e evidenciar de 
forma fiel, qualitativa e 
quantitativamente, as operações 
da organização naquele período.
As informações de natureza não 
financeira a serem divulgadas 
baseiam-se em leis, normas 
ou estruturas de organismos 
reconhecidos, ou seja, em 
critérios estabelecidos por 
agentes externos à organização.
De forma semelhante às 
demonstrações financeiras, 
as informações devem ser 
apresentadas no nível de 
detalhamento e de exatidão 
adequados para os destinatários 
e devem refletir as transações 
subjacentes da organização.
Informações internas 
confiáveis proporcionam à 
alta administração e demais 
administradores subsídios para 
a tomada de decisão e para o 
monitoramento do desempenho 
da organização. As informações 
devem ser sempre precisas 
e completas, atendendo o 
que for demandado pela alta 
administração (relatórios de 
operações, da contabilidade, 
de gerenciamento de 
riscos, de compliance) e, 
portanto, variando muito de 
entidade para entidade.
De forma semelhante às 
demonstrações financeiras e 
não financeiras, as informações 
devem ser apresentadas no nível 
de detalhamento e de exatidão 
adequados para os destinatários 
e devem refletir as transações 
subjacentes da organização.
Objetivos de conformidade
As informações divulgadas devem demonstrar o nível de aderência a leis, normas e regulamentos 
aplicáveis. A organização precisa conhecer todo o regramento que se aplica à sua área de negócio; 
19Enap Fundação Escola Nacional de Administração Pública
ao local em que atua, principalmente se tiver atuação internacional; às áreas não finalísticas, 
como tecnologia, contabilidade, governança. Atualmente, por diversos motivos, alguns setores 
exigem certificados de conformidade ou comprovantes da sua aderência a temáticas específicas, 
por exemplo: os que atuam na exportação de carnes, quanto às regulações fitossanitárias; 
em relação aos setores de petróleo e construção civil, quanto ao atendimento de políticas de 
integridade.
A organização estabelece sua tolerância ao risco, contudo, é provável que ela seja pequena 
para os objetivos de conformidade, admitindo pouca variação entre o realizado e os objetivos 
definidos, a fim de que a organização mantenha conformidade com o teor das normas.
Princípio 7: “a organização identifica os riscos à realização de seus objetivos por toda a entidade 
e analisa os riscos como uma base para determinar a forma como devem ser gerenciados”.
A identificação e a avaliação dos riscos baseiam-se nos objetivos definidos pela organização. 
Embora seja desejável o estabelecimento formal e adequado deles, é possível que haja objetivos 
não declarados ou implícitos, e os riscos a eles relacionados também devem ser identificados.
O gerenciamento de riscos inicia com as etapas de identificação e análise dos riscos, porém é 
um processo contínuo e frequente, que utiliza várias técnicas e ferramentas, além de considerar 
algumas dimensões do risco, como gravidade, velocidade, persistência, probabilidade e impacto. 
Deve levar em conta, ainda, o contexto interno e externo da organização.
Outro aspecto relevante do gerenciamento de riscos é a interação existente entre objetivos e 
riscos. Por exemplo: um risco associado primariamente a um objetivo de conformidade pode 
afetar o alcance de um objetivo operacional.
A análise dos riscos deve considerar os seguintes fatores: as entidades e subunidades da 
organização, os fatores internos e externos, a análise dos riscos e as respostas a esses riscos. Ao 
clicar em cada fator, você poderá conhecer o impacto de cada um na organização.
Entidade e
subunidades
Fatores internos
e externos Análise dos riscos
Resposta 
aos riscos
Entidade e subunidades
A identificação dos riscos necessita contemplar todos os níveis da organização. Devem ser 
consideradas: a própria organização, que seria o nível mais alto da estrutura organizacional; 
unidades; subunidades; e processos, em que se identificam os riscos associados às transações.
Fatores internos e externos
É preciso considerar os fatores internos e externos na identificação e no monitoramento dos riscos. 
Para tanto, a administração pode utilizar um índice de mudanças nos riscos relacionados à realização 
20Enap Fundação Escola Nacional de Administração Pública
dos objetivos, que, quando sobe, indica que é preciso avaliar os riscos com maior frequência ou 
em tempo real. Isso permite conjugar avaliações de riscos contínuas com avaliações periódicas.
Análise dos riscos
O processo de avaliação de riscos engloba a identificação e a análise dos riscos. Nesta segunda 
etapa são mensuradas, pelo menos, duas variáveis associadas a cada risco: probabilidade e 
impacto.
Probabilidade = possibilidade de que um evento possa ocorrer
Impacto = efeito gerado se um evento ocorrer
Podem ser acrescidas outras variáveis para mensuração do risco, como velocidade e persistência 
do impacto, quando ele se concretizar.
Ao mensurá-los, de forma qualitativa ou quantitativa, é possível compará-los e estabelecer quais 
riscos podem influenciar mais significativamente o alcance dos objetivos. A representação gráfica 
dos riscos auxilia no panorama da avaliação realizada, merecendo maior cuidado da organização 
os riscos que estão nas extremidades do gráfico, conforme o Mapa de Riscos abaixo.
Mapa de riscos
Riscos com baixa probabilidade e baixo impacto não exigem uma resposta sofisticada ou onerosa 
da administração.
Riscos com alta probabilidade e alto impacto emitem um alerta para a administração, indicando 
que ela deve atuar com as medidas adequadas.
21Enap Fundação Escola Nacional de Administração Pública
Riscos com alta probabilidade e baixo impacto são chamados de comedores de recursos, pois 
acabam obtendo uma resposta de custo alto para a administração, mesmo representando um 
impacto pequeno caso se concretizem.
Riscos com baixa probabilidade e alto impacto são chamados de cisne negro, devido à raridade 
com que podem ocorrer. Porém, quando ocorrem, tendem a ter um efeito relevante, sistêmico 
e abrangente na organização.
O conceito de risco apresentado até aqui corresponde ao risco inerente.
Destaque h, h, h, h, 
Risco inerente é aquele a que uma organização está exposta sem considerar 
quaisquer ações gerenciais para a redução da probabilidade de sua ocorrência 
ou seu impacto.
Resposta aos riscos
E o que acontece quando são tomadas medidas pela administração para dar tratamento a esses 
riscos?
A organização dá continuidade ao gerenciamento de riscos analisando a importância de cada 
risco avaliado; quais as possíveis respostas; se já existem procedimentos implementados capazes 
de tratá-los; o custo-benefício das possíveis respostas; o equilíbrio entre cada risco; e a tolerância 
ao risco estabelecida anteriormente.
As respostas aos riscos podem ser classificadas em quatro categorias:
Aceitar: não será implementada resposta para tratar a probabilidade e o impacto do risco.
Evitar: cancela a atividade em que foi identificado o risco.
Reduzir: resposta dada para reduzir a probabilidade ou o impacto do risco.
Compartilhar: transferir ou compartilhar a probabilidade ou o impacto do risco com um terceiro.
Após a administração estabelecer o tratamento adequado ao risco, por meio da implementação 
de medidas de controle que diminuam a probabilidade de sua ocorrência ou reduzam os possíveis 
impactos de sua ocorrência sobre os objetivos relacionados, passamos a referenciar o risco como 
residual e não mais como inerente.
Destaque h, h, h, h, 
Risco residual é aquele a que uma organização está exposta após a 
implementação de ações gerenciais para o tratamento do risco.
22Enap Fundação Escola Nacional de Administração Pública
Princípio 8: “a organização considera o potencial para fraude na avaliação dos riscos à realização 
dos objetivos”.
Os riscos de fraude estão associados à divulgação de informações falsas, à salvaguarda de ativose ao cometimento de atos de corrupção. A avaliação de riscos também se aplica a esse tipo, 
partindo do pressuposto de que pessoas ligadas à organização podem cometer atos fora do 
padrão de conduta esperado.
Nesse sentido, a própria administração pode burlar controles instituídos para auferir alguma 
vantagem junto ao mercado ou a um parceiro comercial, por exemplo. Cabe às estruturas 
de governança supervisionar o gerenciamento desses riscos, fazendo questionamentos à 
administração quando necessário.
Tipos de Fraude
A divulgação de informações pode conter fraudes quando há omissão ou distorção de registros, 
afetando a fidedignidade e a completude dos dados. Pode envolver a divulgação de informações 
financeiras ou não financeiras, a apropriação indevida de ativos ou atos ilegais.
Fatores que afetam o risco de fraude
A avaliação dos riscos de fraude deve considerar alguns fatores que podem ser indutores 
ou facilitadores do cometimento de atos ilegais. Os principais são o incentivo e pressões, a 
oportunidade e as atitudes e racionalizações, conforme mostra a imagem a seguir. Ao clicar em 
cada fator, você poderá conhecer de que maneira eles afetam o risco de fraude.
Bônus baseado nos resultados alcançados, assim como estabelecimento de metas inalcançáveis, 
pode contribuir para transgressão das regras tanto de conduta quanto legais, induzindo os 
colaboradores a falsificarem dados, por exemplo.
Lacunas de controle, de supervisão, de monitoramento ou falhas no próprio desenho institucional 
possibilitam ambiente favorável para apropriação de ativos da organização, por exemplo.
23Enap Fundação Escola Nacional de Administração Pública
São subterfúgios utilizados pelos colaboradores que cometem atos ilegais para justificar sua 
conduta, por exemplo, apropriar-se de um ativo da empresa como forma de compensação pelo 
trabalho realizado.
Princípio 9: “a organização identifica e avalia as mudanças que poderiam afetar, de forma 
significativa, o sistema de controle interno”.
Na avaliação de riscos, a organização precisa identificar as mudanças que podem afetar o 
atingimento dos seus objetivos. Essa identificação pode constituir uma atividade apartada da 
avaliação de riscos, dependendo da sua relevância para a entidade.
As três fontes principais de mudanças que podem ocorrer e afetar significativamente os riscos, os 
controles e o atingimento dos objetivos da organização são: o ambiente, o modelo de negócios 
e o pessoal. Ao clicar nas fontes, você saberá exemplos de cada uma.
Ambiente Modelo de negócios Pessoal
O ambiente externo pode sofrer mudanças econômicas, regulatórias, legais, sociais, ambientais.
Negócios em transformação, aquisições e desinvestimentos, operações no exterior, novas 
tecnologias.
Troca de executivos, rotatividade de pessoal, demissão ou contratação em massa.
4. Atividades de controle
As atividades de controle são aplicadas para diminuir tanto a probabilidade de ocorrência de 
riscos quanto a amplitude das consequências, caso o risco ocorra. Nesse sentido, correspondem 
à execução prática das respostas planejadas aos riscos associados a uma organização. Por 
exemplo: atividades de controle não são necessárias quando uma entidade opta por aceitar um 
risco específico, entretanto, caso opte por mitigar a probabilidade de ocorrência de evento de 
risco, a organização deverá desenvolver uma atividade de controle para isso. A estratégia de 
resposta aos riscos serve como base para selecionar e desenvolver as atividades de controle.
Características das atividades de controle
As atividades de controle possuem as seguintes características:
• Devem possuir um propósito específico, necessariamente relacionado com um ou mais riscos.
• Podem servir para prevenir ou detectar a ocorrência de um evento.
• Podem ser atividades manuais ou automáticas.
• São desempenhadas em todos os níveis da organização.
24Enap Fundação Escola Nacional de Administração Pública
• Podem ser aplicadas em vários estágios dentro dos processos corporativos e no ambiente 
tecnológico.
• Devem ser desenvolvidas especificamente para cada ambiente, considerando suas 
complexidades e peculiaridades.
Considerando um processo de tomada de decisão, a administração deve se preocupar em ter 
o entendimento razoável sobre os fatores significativos relacionados com o tema da decisão a 
ser tomada. Nesse caso, devem ser estabelecidas atividades de controle para garantir que as 
informações utilizadas sejam exatas, completas e válidas. A adequada execução dessas atividades 
diminuirá a probabilidade de se tomar uma decisão equivocada.
Alguns tipos de atividades de controle incluem:
Autorizações e
aprovações Verificações Controles físicos Reconciliações Supervisão
• Autorizações e aprovações
Uma autorização afirma que uma transação é válida, isto é, representa um evento econômico real 
ou está dentro da política da entidade. Normalmente, uma autorização assume a forma de uma 
aprovação dada por um nível mais alto da administração ou de uma verificação e determinação 
de que a transação é válida. Por exemplo, um supervisor aprova um relatório de despesas após 
verificar que elas parecem razoáveis e em concordância com a política.
• Verificações
As verificações comparam dois ou mais itens entre si, ou comparam um item com uma política, 
e fazem checagens adicionais quando os dois itens não correspondem ou quando o item não é 
consistente com a política.
• Controles físicos
Equipamentos, estoques, valores mobiliários, numerário e outros ativos são mantidos sob 
segurança física, por exemplo: trancados ou guardados em áreas de armazenagem com o acesso 
físico restrito a pessoas autorizadas. São periodicamente contados e os saldos são comparados 
com os montantes mostrados nos registros de controle.
• Reconciliações
Comparam dois ou mais elementos de dados e, em caso de diferença, alguma medida é tomada 
para fazer os acertos. Por exemplo: realiza-se uma reconciliação em fluxos de caixa diários 
com as respectivas posições líquidas informadas de modo centralizado para transferência e 
investimento durante a noite. Em geral, as reconciliações abordam a completude e a exatidão do 
processamento das transações.
25Enap Fundação Escola Nacional de Administração Pública
• Supervisão
Avalia se outras atividades de controle de transações (verificações, reconciliações, autorizações 
e aprovações, controles sobre dados permanentes e atividades de controle físico) estão sendo 
realizadas de forma completa, exata e conforme políticas e procedimentos. Normalmente, a 
administração utiliza julgamento para selecionar e desenvolver controles de supervisão sobre as 
transações de risco mais elevado. Por exemplo: um supervisor pode verificar se um funcionário 
da contabilidade está realizando a reconciliação conforme as políticas.
Segregação de funções no desenvolvimento das atividades de controle
Ao selecionar e desenvolver atividades de controle, a administração deve considerar se 
determinadas funções estão separadas ou segregadas entre pessoas diferentes, a fim de reduzir 
o risco de erros ou ações inadequadas ou fraudulentas. Essa consideração deve incluir o ambiente 
legal, os requisitos regulatórios e as expectativas das partes interessadas.
A segregação de funções geralmente implica dividir as responsabilidades de registro, autorização 
e aprovação de transações, bem como de manuseio dos ativos relacionados. Por exemplo: um 
gerente que autoriza vendas a crédito não pode ser responsável pela manutenção dos registros 
de contas a receber ou pelo manuseio dos recebimentos de caixa. Caso realizasse todas essas 
atividades, ele poderia criar uma venda fictícia que não seria detectada. Da mesma forma, os 
vendedores não devem ter autorização para alterar arquivos de preços de produtos ou taxas de 
comissão.
A segregação de funções reduz, embora não evite totalmente, a possibilidade de uma pessoa 
atuar sozinha. Entretanto, algumas vezes pode não ser algo prático, eficaz em termos de custos ou 
mesmo viável.Por exemplo: empresas de pequeno porte talvez não tenham recursos suficientes 
para atingir uma segregação ideal e o custo de contratar mais pessoas pode ser proibitivo. Nessas 
situações, a administração deve instituir atividades de controle alternativas.
A administração necessita reavaliar periodicamente políticas e procedimentos, assim como 
as atividades de controle relacionadas, para assegurar sua relevância e eficácia permanentes, 
mesmo que isso não corresponda a mudanças significativas nos riscos ou objetivos da entidade.
Estudo de caso: Barings Bank
Usando o caso do Barings Bank como referência, vamos analisar quais controles 
internos foram negligenciados ou não implementados, oportunizando a 
realização da fraude relatada.
1. Segregação de funções
Leeson exercia tanto a chefia no pregão quanto no back office, permitindo que 
26Enap Fundação Escola Nacional de Administração Pública
efetuasse transações por conta do grupo e depois garantia que elas fossem 
ajustadas e registradas de acordo com suas próprias instruções.
2. Supervisão
O caso descreve que o supervisor direto de Leeson em Singapura não se 
interessava pela parte de futuros e opções, deixando de monitorar suas 
atividades. Com isso, e considerando que Leeson era reconhecido como um 
operador competente, seus pedidos de transferência de recursos eram feitos 
sem perguntas.
Além disso, o banco não dispunha de controles automáticos que emitissem 
alertas a respeito de transações realizadas em desacordo com as políticas 
institucionais.
Portanto, a negligência na execução de atividades de controle pode ser fatal 
para uma organização.
4.1 Princípios e pontos de foco relacionados
Para que o componente atividades de controle esteja presente e funcionando no sistema de 
controle interno de uma organização, três dos 17 princípios estabelecidos no referencial Controle 
Interno - Estrutura Integrada foram selecionados juntamente com seus pontos de foco.
Princípio 10: “a organização seleciona e desenvolve atividades de controle que contribuem 
para a redução, a níveis aceitáveis, dos riscos à realização dos objetivos”.
Os pontos de foco a seguir destacam as características importantes relacionadas a esse princípio:
• Integração com a avaliação de riscos: as atividades de controle ajudam a assegurar que as 
respostas que abordam e mitigam riscos sejam executadas.
• Considerar fatores específicos à entidade: a administração considera de que forma o ambiente, 
a complexidade, a natureza e o escopo de suas operações, bem como as características específicas 
à sua organização, afetam a seleção e o desenvolvimento das atividades de controle.
• Determinar os processos de negócio relevantes: a administração determina quais processos 
de negócios relevantes requerem atividades de controle.
• Avaliar a combinação de tipos de atividades de controle: as atividades de controle incluem 
uma vasta lista de tipos de controles e preveem uma ponderação de abordagens para mitigar 
riscos, considerando controles manuais e automatizados, assim como controles preventivos e de 
detecção.
• Considerar em quais níveis as atividades são realizadas: a administração considera as atividades 
e controles nos vários níveis da entidade.
27Enap Fundação Escola Nacional de Administração Pública
• Abordar a segregação de funções: a administração segrega as funções incompatíveis e, quando 
essa segregação não é viável, seleciona e desenvolve atividades alternativas de controle.
Princípio 11: “a organização seleciona e desenvolve atividades gerais de controle sobre a 
tecnologia para apoiar a realização dos objetivos”.
Os seguintes pontos de foco destacam as características importantes relacionadas a esse 
princípio:
• Determinar a dependência entre o uso da tecnologia nos processos de negócios e os 
controles gerais de tecnologia: a administração entende e determina a dependência e a 
relação entre os processos de negócios, as atividades de controle automatizadas e os controles 
gerais de tecnologia.
• Estabelecer atividades de controle sobre a infraestrutura de tecnologia relevante: a 
administração seleciona e desenvolve atividades de controle sobre a infraestrutura de 
tecnologia, desenhadas e implementadas para auxiliar e assegurar a completude, a exatidão e a 
disponibilidade do processamento de tecnologia.
• Estabelecer atividades de controle sobre processos relevantes de gerenciamento: a 
administração seleciona e desenvolve atividades de controle desenhadas e implementadas para 
restringir direitos de acesso à tecnologia aos usuários autorizados e de forma condizente com 
as suas responsabilidades funcionais, bem como para proteger os ativos da entidade contra 
ameaças externas.
• Estabelecer atividades de controle sobre os processos relevantes da aquisição: a administração 
seleciona e desenvolve atividades de controle sobre a aquisição, o desenvolvimento e a 
manutenção de tecnologia e sobre sua infraestrutura, a fim de realizar os objetivos da 
administração.
Princípio 12: “a organização estabelece atividades de controle por meio de políticas que 
estabelecem o que é esperado e os procedimentos que colocam em prática essas políticas”.
Os pontos de foco a seguir destacam as características importantes relacionadas a esse princípio:
• Estabelecer políticas e procedimentos para apoiar a implementação das diretrizes da 
administração: a administração estabelece atividades de controle que são inseridas nos processos 
de negócios e nas atividades cotidianas dos funcionários, por meio de políticas que estabelecem 
o que é esperado e procedimentos relevantes que especificam as ações.
• Estabelecer responsabilidade e prestação de contas pela execução das políticas e 
procedimentos: a administração estabelece responsabilidade e prestação de contas pelas 
atividades de controle em relação à administração ou a outros funcionários designados da 
unidade de negócio ou da área funcional afetada pelos riscos relevantes.
• Realizar tempestivamente: a equipe responsável realiza as atividades de controle em tempo 
28Enap Fundação Escola Nacional de Administração Pública
hábil, conforme definido pelas políticas e pelos procedimentos.
• Tomar ações corretivas: a equipe responsável investiga questões identificadas pelas atividades 
de controle e atua para solucioná-las.
• Realizar recorrendo a pessoal competente: pessoal competente com suficiente autoridade 
realiza as atividades de controle com diligência e foco contínuo.
• Reavaliar políticas e procedimentos: a administração revisa periodicamente as atividades de 
controle para determinar sua contínua relevância e as atualiza quando necessário.
5. Informação e comunicação, princípios e pontos de foco
O componente de informação e comunicação tem contribuições importantes para todos os demais 
componentes da atividade de controle interno, pois é a partir da informação que as análises 
são construídas e as decisões são tomadas. O sistema de informação compreende os dados, 
processos, pessoas e tecnologias utilizados para a organização obter informações relevantes. 
Tal sistema é utilizado como apoio à tomada de decisão e obtém informações principalmente a 
partir dos controles internos utilizados para que elas sejam úteis, tempestivas e com qualidade.
A identificação da informação relevante é um desafio para todas as organizações. Muitas vezes, 
na definição da arquitetura da informação, ocorrem situações de confronto entre a relevância da 
informação e a burocratização do processo de trabalho para a coleta dos dados.
Por outro lado, o uso indiscriminado de dados pode atrapalhar ao invés de ajudar. Um conjunto 
muito grande de dados pode não significar nada se não for possível separar as informações 
irrelevantes das relevantes. Uma das técnicas para ocultar informações é disponibilizar uma 
enorme quantidade de dados, a fim de tornar extremamente árdua a busca da informação 
relevante.
A evolução da tecnologia viabiliza a comunicação de massas de dados com um mínimo de custo, 
porém, casoseja necessário um analista, o problema passa a ser a elaboração das análises com 
informações úteis. Cabe lembrar que quanto maior a quantidade de dados disponíveis, maior 
a necessidade de utilização de técnicas da ciência da computação para análise dos dados e 
produção das informações, tais como o data mining7.
Por isso, é preciso avaliar os elementos necessários para o sistema de informação de acordo 
com a natureza do negócio e com o apetite a risco, identificando quais controles internos são 
realmente necessários.
Podemos definir a comunicação como o processo interativo de obter e receber informações 
do ambiente interno e externo da organização. Ela permite que tanto as equipes de trabalho 
7 Data mining consiste em um processo analítico projetado para explorar grandes quantidades de dados na busca de padrões 
consistentes sistemáticos entre variáveis e, então, validá-los aplicando os padrões detectados a novos subconjuntos de dados.
29Enap Fundação Escola Nacional de Administração Pública
quanto a alta administração recebam mensagens nítidas sobre os controles internos e sua 
responsabilidade sobre eles.
A comunicação também é um processo de extrema relevância, pois dissemina as informações 
e alinha todos os componentes da organização. A partir dela, as informações necessárias para 
modelar os controles internos e compartilhar informações entres os níveis hierárquicos da 
organização são concebidas. No setor público, a comunicação externa tem especial relevância: 
questões relacionadas ao interesse público e à transparência das decisões exigem razoável 
garantia de que todos os componentes do controle interno estejam em funcionamento.
Vale destacar que o processo de comunicação também está sendo impactado com a evolução 
da tecnologia. A utilização de técnicas de inteligência artificial viabiliza a criação de serviços 
de comunicação artificiais que podem ser bem mais baratos que os serviços tradicionais, tais 
como chatbots8, que são “um serviço, alimentado por regras e às vezes inteligência artificial, 
que você interage com uma interface artificial de bate-papo concebido a partir de padrões de 
comportamentos em transações anteriores".
5.1 Princípios e pontos de foco relacionados
Os princípios e pontos de foco estabelecidos para o componente informação e comunicação são:
Princípio 13: “a organização obtém ou gera e utiliza informações significativas e de qualidade 
para apoiar o funcionamento do controle interno”.
Os seguintes pontos de foco destacam as características importantes relacionadas a esse 
princípio:
• Requisitos de informação: definir e identificar os requisitos de informação é um processo 
contínuo e permanente. A cada iteração realizada ou em cada aprimoramento dos processos de 
trabalho, os requisitos de informação podem ser atualizados. Os controles internos desenvolvidos 
pela administração para apoiar o funcionamento dos cinco componentes estabelecem os 
requisitos de informação. A partir dos requisitos, são identificadas as fontes de informação 
disponíveis e mais adequadas para suportar o correto funcionamento dos demais componentes.
• Fontes internas e externas de dados: capturar todas as fontes de dados que possam vir a se 
transformar em informações úteis para o atingimento dos objetivos organizacionais. Fontes de 
dados, independente de internas ou externas, devem ser utilizadas nos processos de tomada de 
decisão e monitoramento do ambiente interno e externo da organização.
• Processar dados relevantes em informações: os dados, obtidos de fontes internas e externas, 
devem ser processados e transformados em informações relevantes. Informação é poder, contudo, 
quanto maior o acesso à informação, maiores são os custos de processamento e de salvaguarda. 
8 Chatbot é um programa de computador que utiliza inteligência artificial para se comunicar e interagir com as pessoas por 
mensagens de texto e voz automatizadas, simulando conversas com usuários de plataformas e aplicativos.
30Enap Fundação Escola Nacional de Administração Pública
Problemas com queda de desempenho das aplicações devido à sobrecarga de dados e processos 
judiciais relacionados à exposição de dados pessoais são cada vez mais comuns. Dessa forma, os 
sistemas de informação devem ser desenhados para implementar controles internos de acordo 
com o volume e a criticidade dos dados que serão mantidos pela aplicação.
• Qualidade: a qualidade da informação é requisito-chave para o sucesso do sistema de controle 
interno. O uso de informação equivocada ou incompleta na tomada de decisão pode levar a 
organização ao fracasso. Para ter qualidade, as informações devem ter diversas características, 
tais como: acessíveis ou disponíveis, corretas, atualizadas de acordo com os requisitos de 
informação, suficientes, tempestivas e verificáveis ou passíveis de verificação.
• Custo-benefício: informação que custa mais para ser obtida ou mantida do que o valor agregado 
que proporciona à organização possivelmente deverá ser descartada. A mesma análise pode 
ser feita em relação ao risco de manter a informação armazenada em detrimento do descarte 
imediato da informação após o uso.
Princípio 14: “a organização transmite internamente as informações necessárias para apoiar o 
funcionamento do controle interno, inclusive os objetivos e responsabilidades pelo controle”.
Os pontos de foco a seguir destacam as características importantes relacionadas a esse princípio:
• Comunicar as informações de controle interno: comunicações eficazes são necessárias para 
identificar informações que poderiam mitigar problemas e fraudes. O monitoramento depende 
da comunicação eficaz e, a partir dela, as responsabilidades sobre as ações de controle interno 
são definidas e avaliadas.
• Comunicar-se com a estrutura de governança: para que as atividades de controle sejam eficazes, 
quaisquer situações relacionadas aos controles devem ser comunicadas aos responsáveis que 
tenham atribuições de gerenciamento e de governança.
• Fornecer linhas de comunicação independentes: os canais de comunicação de duas e três 
vias entre gerenciamento, governança e as equipes de trabalho devem estar disponíveis para 
garantir a eficácia da comunicação. Canais de denúncias, estabelecimento de comissão de ética 
e de ouvidoria podem ser extremamente úteis quando os canais de comunicação hierárquicos 
não são eficazes.
• Selecionar métodos de comunicação relevantes: as informações necessárias para o 
monitoramento e para a governança precisam estar disponíveis às pessoas certas em tempo 
hábil e com qualidade. O processo de feedback sobre os problemas reportados e as soluções 
implantadas também é relevante para validar os métodos de comunicação.
Princípio 15: “a organização comunica-se com os públicos externos sobre assuntos que afetam 
o funcionamento do controle interno”.
Os seguintes pontos de foco destacam as características importantes relacionadas a esse 
princípio:
31Enap Fundação Escola Nacional de Administração Pública
• Comunicar-se com públicos externos: comunicações externas incluem relatórios financeiros, 
balanços e diversos outros tipos de divulgações. Da mesma forma que as comunicações internas, 
deve prever a avaliação de aspectos formais e informais para a realização das comunicações 
entre a organização e os clientes, fornecedores, reguladores, autoridades tributárias, acionistas 
e público em geral.
• Possibilitar o recebimento de comunicações: a organização deve obter informações sobre 
seu controle interno por meio de fontes externas, incluindo a realização de pesquisas. Canais 
externos de comunicação permitem o recebimento de informações que podem ser vitais à 
organização, relacionadas ou não aos controles internos existentes.
• Comunicar-se com a estrutura de governança: assim como nas comunicações internas, as 
comunicações externas com informações relevantes devem estar disponíveis aos responsáveis 
que tenham atribuições de gerenciamento e de governança.
• Fornecer linhas de comunicaçãoindependentes: canais de comunicação, tais como recebimento 
de denúncias, estabelecimento de comissão de ética e de ouvidoria, devem estar disponíveis 
para o ambiente externo.
• Selecionar métodos de comunicação relevantes: as informações necessárias para o 
monitoramento e para a governança precisam estar disponíveis às pessoas certas em tempo 
hábil e com qualidade. O processo de feedback sobre os problemas reportados e as soluções 
implantadas também é relevante para validar os métodos de comunicação.
Para saber um pouco mais sobre o tema, recomendamos que você conheça 
a publicação Gerenciamento de Riscos Corporativos – Estrutura Integrada9, 
emitida pelo COSO com a colaboração da PricewaterhouseCoopers.
A respeito do termo comunicação, recomendamos o vídeo A simples 
genialidade de um bom gráfico10. Nele, o designer de informação Tommy 
McCall traça a evolução secular de gráficos e diagramas e mostra como dados 
complexos podem ser esculpidos em belas formas, facilitando o processo 
de comunicação. "Gráficos que nos ajudam a pensar mais rápido, ou a ver o 
conteúdo das informações de um livro numa única página, são a chave para 
desvendar novas descobertas", diz McCall. 
6. Atividades de monitoramento
O componente atividades de monitoramento pode ser descrito como o conjunto de atividades 
9 https://www.coso.org/Documents/COSO-ERM-Executive-Summary-Portuguese.pdf
10 https://www.ted.com/talks/tommy_mccall_the_simple_genius_of_a_good_graphic?language=pt-br
32Enap Fundação Escola Nacional de Administração Pública
articuladas para o acompanhamento de uma determinada atividade, no intuito de auxiliar a 
tomada de decisões relacionadas ao gerenciamento de riscos e ao aprimoramento dos trabalhos.
O monitoramento envolve a avaliação do processo e a operação dos controles internos de maneira 
oportuna e periódica, bem como a adoção das ações corretivas. Ele pode ser realizado de forma 
rotineira, seguindo o fluxo normal de operacionalização das atividades e dos controles internos, 
ou de forma excepcional, por meio de auditorias independentes, contratadas a depender de 
situações específicas ou de obrigações legais.
A ideia central é subsidiar os gestores com informações mais simples e tempestivas sobre a 
operação e os efeitos dos processos de trabalho em termos de efetividade e de resultados. 
Geralmente, as informações são resumidas em painéis ou sistemas de indicadores de 
monitoramento. Nessa linha, podemos afirmar que supervisão e controle de qualidade podem 
ser classificados como atividades de monitoramento, podendo implantar controles internos.
Quando concebido adequadamente, o monitoramento pode encaminhar ações tempestivas e 
iniciar as atividades de compensação, visando adequar a operação dos processos de trabalho aos 
resultados esperados. Com a evolução da tecnologia, existe uma grande variedade de opções 
para operacionalização do monitoramento, tanto em atividades operacionais relacionadas à 
capacidade de detecção de eventos indesejados, quanto em atividades gerenciais relacionadas 
aos resultados esperados de toda organização.
As informações sobre o andamento das atividades também podem ser utilizadas como controle 
para ampliar a transparência das ações administrativas. No caso de organizações públicas, 
o processo de monitoramento é singular: obrigações legais e a necessidade de transparência 
na aplicação de recursos públicos reforçam a necessidade de investimento na divulgação e na 
publicidade dos trabalhos realizados. A seguir estão alguns exemplos de painéis de monitoramento 
utilizados na gestão pública federal.
http://paineldecompras.economia.gov.br/
33Enap Fundação Escola Nacional de Administração Pública
htpp://portaltransparencia.gov.br
http://paineldeobras.planejamento.gov.br
Como a tecnologia proporciona grandes avanços na linha de avaliação e de monitoramento em 
tempo real, atualmente, é viável a implementação de controles automáticos extremamente 
poderosos e sofisticados sem a necessidade de intervenção manual. É possível estruturar 
processos que identificam com facilidade comportamentos que se diferenciam demasiadamente 
dos demais (chamados de outliers), extremamente úteis no processo de detecção de fraudes. Os 
seguintes gráficos foram gerados automaticamente por meio do sistema.
34Enap Fundação Escola Nacional de Administração Pública
 Gráco de dispersão: tendência Gráco de dispersão: outlier
Ressalta-se que o processo de monitoramento é extremamente dependente do processo de coleta 
e disponibilização de informações. Quanto maior a quantidade e a qualidade das informações 
disponíveis, maior será a efetividade do sistema de monitoramento.
O monitoramento é responsável por avaliar se cada um dos cinco componentes dos controles 
internos está funcionando de forma adequada.
6.1 Princípios e pontos de foco relacionados
Os princípios e pontos de foco estabelecidos para o componente atividades de monitoramento 
são:
Princípio 16: “a organização seleciona, desenvolve e realiza avaliações contínuas e/ou 
independentes para se certificar da presença e do funcionamento dos componentes do 
controle interno”.
Os pontos de foco a seguir destacam as características importantes relacionadas a esse princípio:
• Considerar uma combinação de avaliações contínuas e independentes: o monitoramento de 
uma organização tem o objetivo de avaliar se os controles internos não estão apenas presentes, 
mas se também são efetivos. Esse objetivo pode ser alcançado combinando uma série de ações, 
tais como: atualizar atividades de monitoramento; definir uma linha de base, estabelecendo 
métricas, projetando e implementando painéis de monitoramento, conduzindo avaliações 
independentes, usando auditoria interna ou externa para acompanhar avaliações separadas e 
entendendo controles implementados.
• Considerar o ritmo das mudanças: deve fazer parte da rotina das organizações as mudanças 
ao longo do tempo. Elas são originadas de diversos fatores, tais como: evoluções tecnológicas, 
trocas no quadro de funcionários, modificações regulatórias e alterações no ambiente externo. 
À medida que as mudanças acontecem, as organizações devem responder adequadamente 
às alterações em seu ambiente, aos novos riscos e oportunidades. O monitoramento efetivo, 
por meio de avaliações contínuas e de auditorias, deve estar implementado para identificar e 
responder a essas mudanças.
35Enap Fundação Escola Nacional de Administração Pública
• Estabelecer o entendimento da base de referência: o processo de monitoramento das 
atividades deve ser acompanhado pelo uso de linhas de base para definir o estado atual e 
comparar a evolução das operações. Essa referência pode ser utilizada para identificar situações 
de erros ou fraudes e iniciar os processos de resposta aos incidentes.
• Utilizar pessoal com conhecimento: é fundamental que o processo de monitoramento seja 
elaborado por pessoal com experiência e conhecimento para tal.
• Integrar aos processos de negócios: a atividade de monitoramento deve observar toda 
a organização e integrar os diversos processos necessários para o alcance dos objetivos, 
independente da unidade ou estrutura em que o processo seja operacionalizado. Observar o 
ambiente externo também faz parte da atividade de monitoramento.
• Ajustar o escopo e a frequência: a periodicidade em que serão realizadas as medições ou 
avaliações deve ser ajustada de acordo com a dificuldade de obter as informações e a classificação 
dos riscos sob análise, respeitando a relação de custo-benefício do controle. Nesse contexto, 
também é necessário avaliar o próprio desenho do controle em face da natureza do processo. 
Processos com mudanças muito frequentes devem adotar controles que resistam a elas.
• Avaliar objetivamente: o processo de monitoramento deve ser objetivo em todas as suas 
etapas. Para que a eficácia e a eficiência do monitoramento sejam alcançadas, é fundamental 
que as ações