Introducing
Your new presentation assistant.
Refine, enhance, and tailor your content, source relevant images, and edit visuals quicker than ever before.
Trending searches
• Suscitar a gestão de riscos no processo administrativo dos órgãos e entidades jurisdicionadas;
• explicar as atividades de auditoria interna relacionadas ao risco;
• possibilitar a condução de uma auditoria baseada em risco e auditoria financeira (certificar as contas de gestão);
• apresentar as normas vigentes;
- Sensibilizar os jurisdicionados sobre a importância da Governança e da gestão de riscos;
- Apresentar as principais estruturas de gerenciamento de riscos;
- Introduzir os conceitos básicos de gestão e avaliação de riscos;
- Apresentar o sistema AGATHA/TCE/RN;
• conceituar riscos;
• diferenciar controle interno de auditoria interna;
• classificar as três estruturas conceituais de gerenciamento de risco;
• diferenciar os conceitos básicos de gestão e avaliação de risco;
• acessar o sistema AGATHA/TCE/RN;
“Controle interno administrativo é o conjunto de atividades, planos, rotinas, métodos e procedimentos interligados, estabelecidos com vistas a assegurar que os objetivos das unidades e entidades da administração pública sejam alcançados, de forma confiável e concreta, evidenciando eventuais desvios ao longo da gestão, ......” (Instrução Normativa SFC 1/2001 (BRASIL, 2001, p. 67)
CGU (p.67) declara que “um dos objetivos fundamentais do Sistema de Controle Interno do Poder Executivo Federal é a avaliação dos controles internos administrativos das unidades ou entidades sob exame.”
“Controles internos: conjunto de atividades, planos, métodos, indicadores e procedimentos interligados, utilizado com vistas a assegurar a conformidade dos atos de gestão e a concorrer para que os objetivos e metas estabelecidos para as unidades jurisdicionadas sejam alcançados.” (TCU)
Muito embora essas definições permitam obter uma clara compreensão do que consistem as atividades de controle (isto é, os controles internos) e do sistema que elas formam quando vistas em seu conjunto,
o escopo do controle interno foi ampliado, a partir de 1992, com a nova conceituação introduzida pelo modelo “Coso I”
Controle interno é um processo realizado pela diretoria, por todos os níveis de gerência e por outras pessoas da entidade, projetado para fornecer segurança razoável quanto à consecução de objetivos nas seguintes categorias:
a. eficácia e eficiência das operações;
b. confiabilidade de relatórios financeiros;
c. cumprimento de leis e regulamentações aplicáveis.
Controle interno é um processo integrado efetuado pela direção e corpo de funcionários, estruturado para enfrentar os riscos e fornecer razoável segurança de que na consecução da missão da entidade os seguintes objetivos gerais serão alcançados:
• execução ordenada, ética, econômica, eficiente e eficaz das operações;
• cumprimento das obrigações de accountability;
• cumprimento das leis e regulamentos aplicáveis;
• salvaguarda dos recursos para evitar perdas, mau uso e dano.
Processo efetuado pela administração e por todo o corpo funcional, integrado ao processo de gestão em todas as áreas e todos os níveis de órgãos e entidades públicos, estruturado para enfrentar riscos e fornecer razoável segurança de que, na consecução da missão, dos objetivos e das metas institucionais, os princípios constitucionais da administração pública serão obedecidos e os objetivos gerais de controle serão atendidos:
I. eficiência, eficácia e efetividade operacional, mediante execução ordenada, ética e econômica das operações;
II. integridade e confiabilidade da informação produzida e sua disponibilidade para a tomada de decisões e para o cumprimento de obrigações de accountability;
III. conformidade com leis e regulamentos aplicáveis, incluindo normas, políticas, programas, planos e procedimentos de governo e da própria instituição;
IV. adequada salvaguarda e proteção de bens, ativos e recursos públicos contra desperdício, perda, mau uso, dano, utilização não autorizada ou apropriação indevida.
1. O papel do controle interno é ampliado. Ele é estruturado para enfrentar riscos em todas as áreas e todos os níveis da organização.
2. Controle interno é um processo organizacional de responsabilidade da própria gestão e é efetuado com o intuito de assegurar uma razoável segurança de que os objetivos da entidade sejam alcançados de modo a dar cumprimento à sua missão.
3. Os objetivos gerais de controle, categorias comuns a todas elas, riscos devem ser identificados, analisados e avaliados quanto à necessidade de serem modificados por algum tipo de controle.
Controle interno é um processo integrado, concebido segundo um modelo conceitual (como o Coso), que interliga diversos elementos da gestão organizacional para compor o sistema de controle interno da organização, afastando-se a ideia de procedimento ou circunstância isolada.
As expressões “controle interno” e “sistema de controle interno” TAMBÉM são utilizadas para se referir, respectivamente, às unidades e ao conjunto de unidades que compõem a auditoria interna governamental de Poderes e órgãos.
Contudo, não se devem confundir essas unidades ou o conjunto delas com o controle interno ou sistema de controle interno da própria organização.
Para diferenciação é que a CGU utiliza a expressão “controle interno administrativo”.
É comum certa confusão a respeito do significado de ‘controle interno’.
A confusão está na tradição normativa e doutrinária brasileira que denomina como órgãos de controle interno as instituições ou unidades administrativas que desempenham o papel de auditoria interna governamental, assim como de órgãos de controle externo aquelas instituições que desempenham o papel de auditoria externa.
• Art. 70: A fiscalização contábil, financeira, orçamentária, operacional e patrimonial, [...] será exercida pelo Congresso Nacional, mediante controle externo, e pelo sistema de controle interno de cada Poder.
• Art. 74: Os Poderes Legislativo, Executivo e Judiciário manterão, de forma integrada, sistema de controle interno com a finalidade de:...
• Art. 74, § 1º: Os responsáveis pelo controle interno, ao tomarem conhecimento de qualquer irregularidade ou ilegalidade, dela darão ciência ao Tribunal de Contas da União, sob pena de responsabilidade solidária.
Essa terminologia causa confusão aos gestores e aos próprios auditores governamentais,
=> pois leva à errônea interpretação de que os
=>responsáveis pelo sistema de controle da gestão organizacional, ou seja, pelos controles internos administrativos, são os
=> órgãos de controle interno ou até mesmo externo.
Os órgãos ou unidades de controle interno e de auditoria interna NÃO são e NÃO devem ser responsáveis pelos controles administrativos.
Suas responsabilidades restringem-se a avaliar a adequação e a eficácia do controle interno estabelecido, implantado e mantido pela administração organizacional, bem como a realizar auditorias sobre a sua gestão.
O controle interno avaliativo,
a cargo dos órgãos de controle interno, E
controle interno administrativo (SCI ou CI), de responsabilidade dos gestores (Unidades).
Auditoria interna das unidades é avaliativa.
Convém ter claro que as unidades de controle interno de órgãos públicos e de auditoria interna de entidades da administração indireta, não são o próprio controle interno (sistema de controle interno) das organizações em que estão inseridas, embora dele sejam parte.
COSO ERM - Committee of Sponsoring Organizations (COSO) é o Comitê das Organizações Patrocinadoras da Comissão Nacional sobre Fraudes em Relatórios Financeiros.
Criada em 1985, é uma entidade privada, sem fins lucrativos, voltada para o aperfeiçoamento da qualidade de relatórios financeiros.
Origem: Grande número de escândalos financeiros 1970 nos Estados Unidos, que colocaram em dúvida a confiabilidade dos relatórios.
Em 2004, o COSO divulgou o trabalho “Gerenciamento de Riscos Corporativos – Estrutura Integrada (COSO ERM) ”, com um foco mais voltado para o gerenciamento de riscos corporativos, que definiu gerenciamento de riscos corporativos da seguinte forma:
É um processo conduzido em uma organização pelo conselho de administração, diretoria e demais empregados, aplicado no estabelecimento de estratégias formuladas para identificar, em toda a organização, eventos em potencial, capazes de afetá-la, e administrar os riscos de modo a mantê-los compatíveis com o apetite a risco da organização e possibilitar garantia razoável do cumprimento dos seus objetivos. (COSO ERM, 2004)
A ABNT NBR ISO 31000 foi elaborada pela Comissão de Estudo Especial de Gestão de Riscos (CEE - 63), sendo uma adoção idêntica, em conteúdo técnico, estrutura e redação, à ISO.
• aumentar a probabilidade de atingir os objetivos;
• encorajar uma gestão proativa;
• estar atento para a necessidade de identificar e tratar os riscos através de toda a organização;
• melhorar a identificação de oportunidades e ameaças;
• atender às normas internacionais e requisitos legais e regulatórios pertinentes;
• melhorar o reporte das informações financeiras;
• melhorar a governança;
• melhorar a confiança das partes interessadas;
• estabelecer uma base confiável para a tomada de decisão e o planejamento;
• melhorar os controles;
• alocar e utilizar eficazmente os recursos para o tratamento de riscos;
• melhorar a eficácia e a eficiência operacional;
• melhorar o desempenho em saúde e segurança, bem como a proteção do meio ambiente;
• melhorar a prevenção de perdas e a gestão de incidentes;
• minimizar perdas;
• melhorar a aprendizagem organizacional; e
• aumentar a resiliência da organização.
A ISO 31000 fornece princípios e diretrizes genéricas para a gestão de riscos, podendo ser utilizada por qualquer empresa pública, privada ou comunitária, associação, grupo ou indivíduo.
a ISO 31000 não pretende promover a uniformidade da gestão de riscos entre organizações.
A concepção e a implementação de planos e estruturas para gestão de riscos precisarão levar em consideração as necessidades variadas de uma organização específica, seus objetivos, contexto, estrutura, operações, processos, funções, projetos, produtos, serviços ou ativos e práticas específicas empregadas.
Por fim, em relação ao processo de gestão de riscos, segundo a ISO 31000, convém que ele seja parte integrante da gestão, incorporado na cultura e nas práticas e adaptado aos processos de negócios da organização.
O documento “The Orange Book Management of Risk - Principles and Concepts“ (Gerenciamento de Riscos – Princípios e Conceitos) foi produzido e publicado pelo o Governo Britânico, sendo amplamente utilizado como a principal referência do Programa de Gerenciamento de Riscos do Governo do Reino Unido, iniciado em 2001, atualizado em 2009.
Segundo o Projeto de Desenvolvimento do Guia de Orientação para o Gerenciamento de Riscos desenvolvido pelo MP, Programa Gespública, o Orange Book tem como vantagens, além de ser compatível com padrões internacionais de gerenciamento de riscos, apresentar uma introdução ao tema gerenciamento de riscos, tratando de forma abrangente e simples um tema tão complexo.
-Desenvolvido especificamente para o setor público;
Ainda do ponto de vista do referido Projeto, riscos devem ser gerenciados em três níveis:
Estratégico, Programas e de projetos e atividades.
A organização deve ser capaz de gerenciar riscos nos três níveis.
Neste nível, acontece o contato político do Governo com a sociedade e é estabelecida a coerência do seu programa de Governo. As decisões aqui tomadas envolvem a formulação dos objetivos estratégicos e as prioridades para a alocação de recursos públicos em alinhamento com as políticas públicas.
Neste nível, encontram-se as decisões de implementação e gerenciamento de programas temáticos previstos no nível estratégico, através dos quais são executadas as políticas e as ações prioritárias de Governo.
Neste nível, encontram-se os projetos que contribuirão para o atingimento dos objetivos dos Programas, e as atividades relativas aos processos finalísticos. As lideranças em todos os níveis da organização devem estar conscientes, capacitadas e motivadas com relação à relevância do gerenciamento de riscos nos três níveis, que são interdependentes.
Difundido a partir da Declaração de Posicionamento do The Institute of Internal Auditors (IIA): o gerenciamento eficaz de riscos e controles é uma forma simples e eficaz de melhorar a comunicação do gerenciamento de riscos e controle por meio do esclarecimento dos papéis e responsabilidades essenciais.
o controle da gerência é a primeira linha de defesa no gerenciamento de riscos,
as diversas funções de controle de riscos e supervisão de conformidade estabelecidas pela gerência são a segunda linha de defesa,
e a avaliação independente é a terceira.
Cada uma dessas três “linhas” desempenha um papel distinto dentro da estrutura mais ampla de governança da organização.
A imagem abaixo apresenta a esquematização deste modelo
Embora os órgãos de governança e a alta administração não sejam considerados dentre as três “linhas” desse modelo, nenhuma discussão sobre sistemas de gerenciamento de riscos estaria completa sem considerar, em primeiro lugar, os papéis essenciais dos órgãos de governança e da alta administração.
Os órgãos de governança e a alta administração são as principais partes interessadas atendidas pelas “linhas” e são as partes em melhor posição para ajudar a garantir que o modelo de Três Linhas de Defesa seja aplicado aos processos de gerenciamento de riscos e controle da organização.
No âmbito da Administração Pública Federal, estadual e internacional, existe um conjunto de normas e regulamentações relacionadas à temática de gestão de integridade, riscos e controles, dentre elas destacamos as mais relevantes:
• Instrução Normativa Conjunta CGU/MP nº 1, de 10 de maio de 2016, dispõe sobre controles internos, gestão de riscos e governança no âmbito do Poder Executivo federal.
• Portaria nº 150, de 4 de maio de 2016, institui o Programa de Integridade e o Comitê de Gestão Estratégica do Ministério do Planejamento, Desenvolvimento e Gestão e Portaria nº 425, de 30 de dezembro de 2016, que altera a Portaria MP nº 150, de 4 de maio de 2016, que instituiu o programa de Integridade e o Comitê de Gestão Estratégica do Ministério do Planejamento, Desenvolvimento e Gestão.
• Política de Gestão de Integridade, Riscos e Controles Internos da Gestão, Portaria nº 426, de 30 de dezembro de 2016, dispõe sobre a instituição da Política de Gestão de Integridade, Riscos e Controles da Gestão do Ministério do Planejamento, Desenvolvimento e Gestão.
• DN-TCU 163/2017 - O órgão de controle interno DEVE utilizar-se de abordagem baseada em risco para definição do escopo da auditoria e da natureza e extensão dos procedimentos a serem aplicados.
• LEI COMPLEMENTAR ESTADUAL Nº 638, DE 28 DE JUNHO DE 2018 (Art 13, inciso V, realizar atividades de auditoria interna e fiscalização nos sistemas contábil, financeiro, orçamentário, de pessoal, de recursos externos e demais sistemas administrativos e operacionais de órgãos e entidades sob sua jurisdição e propor melhorias e aprimoramentos na gestão de riscos e nos controles internos da gestão);
• INSTRUÇÃO NORMATIVA Nº 007 - CONTROL, de 11 de fevereiro de 2019 (Irregularidades encontradas nas análises - Informar as irregularidades, constatações, riscos ou inconformidades encontradas e quando foram saneadas...,)
• INSTRUÇÃO NORMATIVA Nº 005 - CONTROL, de 01 de OUTUBRO de 2018 (Art. 1º As empresas públicas e as sociedades de economia mista e suas subsidiárias deverão observar regras de governança corporativa, de transparência e de estruturas, práticas de gestão de riscos e de controle interno); e
• DECRETO Nº 28.684, DE 31 DE DEZEMBRO DE 2018 (Art. 13. A atividade de auditoria interna governamental deve ser realizada de forma sistemática, disciplinada e preferencialmente baseada em risco...).
• Para IIA 2009 - Se o órgão não dispõe de um processo formal de gestão de riscos, a auditoria interna DEVE levar o fato à atenção dos órgãos de governança e da alta administração, recomendando o estabelecimento de TAL processo, podendo assumir um envolvimento direto nos primeiros estágios de sua implementação.
• OCDE - recomenda implantar uma abordagem de CI baseada em risco e a inclusão da gestão de riscos no programa de apoio ao desenvolvimento das competências dos gestores públicos.
Nesta etapa inicial do curso, você aprendeu muitas informações importantes sobre gestão de riscos. Revise-as com atenção nos tópicos abaixo.
Algumas das funções da gestão de riscos são assegurar o alcance dos objetivos, por meio da identificação antecipada dos possíveis eventos que poderiam ameaçar o atingimento dos objetivos, o cumprimento de prazos, leis e regulamentos etc., implementar uma estratégia evitando o consumo intenso de recursos para solução de problemas quando esses surgem inesperadamente, bem como melhorar continuamente os processos organizacionais.
• Neste módulo, vimos que existem diversas estruturas de gerenciamento de riscos mundialmente conhecidas e analisamos os principais pontos das três mais utilizadas, a saber: COSO ERM, ISO 31000 e Orange Book.
• No modelo de Três Linhas de Defesa, vimos que o controle da gerência é a primeira linha de defesa no gerenciamento de riscos, as diversas funções de controle de riscos e supervisão de conformidade estabelecidas pela gerência são a segunda linha de defesa, e a avaliação independente é a terceira.
Controles aumentam a previsibilidade do resultado ao atuarem sobre os riscos!
Objetivos, Riscos e Controles
• Objetivo
– O que se estabelece para ser alcançado.
• Risco
– Qualquer evento em potencial que possa impedir ou desvirtuar o cumprimento de objetivos.
• Controle
– Estrutura, normas, processos e outros mecanismos adotados para mitigar riscos, assegurando, com certa razoabilidade, que objetivos sejam alcançados.
Objetivos, Riscos e Controles
Por que gestão de riscos?
•A atuação a posteriori, em atividades típicas de correição, pouco agrega valor para a sociedade.
•A recuperação dos prejuízos é mínima.
Por outro lado...
•Promover a adoção de controles mais efetivos para melhorar a gestão, coibir fraudes e desvios de recursos e assegurar a conformidade.
Implantação de controles internos:
•Para gerenciar riscos é necessário implantar controles internos;
• Há modelos de referência para orientar essa implantação, que inclusive podem ser combinados: COSO I e II, ISO 31000
1º - Crie o Ambiente:
•Filosofia de gestão e estilo gerencial apropriados
•gestão proativa, focada nos riscos e nos seus controles
•decisões e inovações: considerar riscos e medidas para tratá-los
•Valores éticos e integridade
•possíveis conflitos de interesse nos relacionamentos identificados
•regras de conduta e controles (código de ética, ouvidoria, canais de denúncias, sistema de consequências)
1º - Crie o ambiente:
• Estrutura adequada
• Segregação de funções e atividades incompatíveis; e
• Autoridade equivalente às responsabilidades, nem mais nem menos.
• Gestão de pessoas apropriada
• Treinamento, capacitação, avaliação de desempenho e feedback; e
• Medidas tempestivas para desvios do “tom do topo” estabelecido.
2º - Defina objetivos:
•Incentivo ao planejamento em todos os níveis:
=>Partição dos objetivos em metas, indicadores para monitorar o cumprimento, e desdobramento do plano pelos gestores setoriais;
•Identificação, avaliação e gestão dos riscos estratégicos: =>O gerenciamento de riscos começa na definição da estratégia;
•Objetivos da organização, de processos e projetos.
Causa = fonte + vulnerabilidade
•Fonte de risco: elemento que, individualmente ou combinado, pode dar origem ao risco (ISO 2.16):
•Pessoas;
•Processos;
•Sistemas;
•Infraestrutura física/organizacional;
•Tecnologia [de produto ou de produção] e
•eventos externos [não gerenciáveis]
•Vulnerabilidade: inexistências, inadequações ou deficiências em uma fonte de risco.
6º - Estabeleça Controles Internos
•Políticas (e.g. Política de Segurança da Informação)
•Procedimentos de autorização/aprovação
•Alçadas (atribuição de poder pela hierarquia)
•Segregação de funções ou atividades incompatíveis
•Controles de acesso a recursos e registros
7º - Informe & Comunique
8º - Monitore e melhore continuamente
8º - Monitore e melhore continuamente
Encaminhamentos:
• Resolução de gestão de riscos – TCE/RN;
• Publicação de portaria com designação dos responsáveis pela gestão de riscos.
• Acessar os sítios do TCU-ENAPE.
•Software público desenvolvido pelo MPOG;
•Baseado nas melhores práticas;
•Adaptado para o TCE/RN;
•Acesso único – Brasil Cidadão;
•Projeto piloto.
Perfis de acesso:
•Comitê e subcomitê:
•Acessam na modalidade consulta e emitem relatórios dos processos. (Secretário/diretores/TCE-RN)
•Núcleo:
•Acesso a todas as funcionalidades gerenciais, consulta e emissão de relatórios de todos os processos. (Servidores responsáveis pela gestão de riscos e controle interno)
Perfis de acesso:
•Unidade:
•Acesso aos seus processos. Inclusão, edição e exclusão. Consulta e emissão de relatórios. (técnicos de gestão de risco)
•Gestor:
•Mesmo do perfil Unidade. Responsável por aprovar os processos em que está como gestor. (técnicos de gestão de risco)
•Analista:
•Mesmo do perfil Unidade. Responsável pelo cadastramento do processo. (técnicos de gestão de risco)
Elementos:
•Macroprocesso;
•Processo;
•Evento de risco:
•Causas
•Consequências
•Avaliação:
•Risco inerente;
•Controles existentes:
•Desenho de controle;
•Operação de controle.
•Riscos residuais.
•Resposta ao risco;
•Plano de controle;
https://portal.brasilcidadao.gov.br/servicos-cidadao/acesso/#/primeiro-acesso
http://agatha.tce.rn.gov.br
Instrutores: marciolloiola@gmail.com
eduardolima@tce.rn.gov.br