AVALIAO DOS CONTROLES INTERNOS E MAPA DE RISCOS

Em 2002, aps a avalanche de informaes sobre companhias que

manipularam suas informaes contbeis (Enron, Tyco, WorldCom e outras), o
Congresso Americano, pressionado pela Sociedade e pela mdia, resolveu aprovar
a Lei Sarbanes-Oxley, elaborada pelos congressistas, Paul S. Sarbanes e
Michael Oxley, a qual reforma a regulamentao sobre o mercado de capitais, em
vigor naquele pas, desde a dcada de 30.
Estes escndalos abalaram, fortemente, a confiana dos investidores e
reforaram a necessidade de maior transparncia e confiabilidade na confeco
e divulgao das informaes contbeis e financeiras.
Teve como mudana bsica nas regras de governana corporativa: - o
aumento da responsabilidade dos diretores perante a emisso e divulgao de
relatrios financeiros, bem como nfase no uso de controles internos mais
rgidos (avaliao pela administrao da estrutura e eficincia dos controles
internos) como forma de erradicar a manipulao indevida de informaes
financeiras. Os seus efeitos estendem-se, inclusive, s empresas no americanas
que possuem cotao secundria em Bolsas de Valores norte-americanas.
Como decorrncia dos fatos apontados, vrios estudos foram realizados,
procurando identificar as principais falhas nos controles dessas instituies. Entre
esses estudos, destaca-se, internacionalmente, o trabalho realizado pelo
Committee of Sponsoring Organizations of the Treadway Commission (COSO),
em setembro de 1992, intitulado Internal Control Integrated Framework
Controles Internos Um modelo integrado. Esta publicao tornou-se referncia
mundial para o estudo e avaliao dos controles internos. Os integrantes do
Comit das Organizaes Patrocinadoras (COSO) so representantes da
indstria, dos contadores, das sociedades de investimento e da Bolsa de Valores
de Nova Iorque.
Baseando-se no modelo COSO, direcionaremos a nossa preocupao para
o planejamento das atividades e avaliao dos controles internos de uma
organizao.

I) Definio de Controle Interno:

um processo desenvolvido para garantir, com razovel certeza, que
sejam atingidos os objetivos da empresa, nas seguintes categorias:
Eficincia e efetividade operacional - relaciona-se ao atingimento
ou no dos objetivos bsicos da entidade, no que se refere s metas de
desempenho e rentabilidade;

Confiana nos registros contbeis/financeiros os registros

devem refletir transaes reais, consignadas pelos valores e
enquadramentos corretos;
Conformidade aes e documentos gerados pelos processos
internos devem estar em conformidade com a legislao e normas
pertinentes.

II) Processo de Controles Internos:

Este processo constitudo de 5 elementos, inter-relacionados entre si e
presentes em todos os controles internos.
So eles:
Ambiente de Controle
Avaliao e Gerenciamento de Riscos
Atividades de Controle
Informao e Comunicao
Monitoramento
Ambiente de Controle

Em resumo, ambiente de controle a conscincia de controle da entidade, sua

cultura de controle, seu modus operandi.
Ambiente de controle envolve competncia tcnica e compromisso tico: um
fator intangvel e essencial efetividade dos controles internos. A postura da alta
administrao (padro tico/integridade e compromisso) desempenha um papel
fundamental para os subordinados d o tom real e efetivo de controle existente
na entidade.

Modelo de Questionrio de Avaliao do Ambiente de Controle: com colunas para

avaliaes da natureza do risco operacional/informao/conformidade e/ou por
critrios de materialidade/relevncia/desempenho/criticidade, bem como do impacto
daquela atividade (baixo/mdio/alto) nos resultados da organizao (modelo conhecido

tambm como matriz de risco).

Atividade

Sim

No

1)As pessoas se sentem

controladas?
2)
As
delegaes
de
autoridade
esto
acompanhadas de claras
definies
de
responsabilidade?
3)Existem
procedimentos
e/ou instrues de trabalho
padronizados?
4) H planejamento para o
treinamento?

Natureza
do
Risco*
(*)Ver item a
seguir.

Impacto

5) Se positivos, esses
planos
atendem
s
expectativas
e
necessidades do trabalho
e dos servidores de cada
Unidade?
6)
Existe
cdigo
formalizado
de
tica/conduta?
7) Se o funcionrio agir
em desrespeito ao cdigo
de conduta, so tomadas
medidas disciplinares e/ou
punitivas?
8) H mecanismos de
participao
dos
servidores na elaborao
das regras de conduta?
9)Existe
adequada
segregao de funes
nas
Unidades
da
organizao?
10) Existe um ambiente de
comunicao adequado e
eficiente?
Avaliao e Gerenciamento dos Riscos
Metas e objetivos so condies necessrias para a existncia de
controles internos. Gerencia-se o atingimento ou no das metas/objetivos
organizacionais. Uma vez estabelecido o objetivo, devem-se identificar os riscos
que ameaam o seu cumprimento e tomar as aes oportunas para o
gerenciamento dos riscos identificados (mitigao dos riscos).

Os administradores (gestores) devem definir as naturezas e os nveis de

riscos operacionais*, de informao* e de conformidade* que esto dispostos a
assumir. A identificao e gerenciamento dos riscos uma ao pro-ativa que
permite evitar surpresas desagradveis.
Neste novo paradigma, as vrias partes do processo de auditoria esto ligadas s
metas/objetivos da organizao atravs do risco na consecuo desses objetivos e das
estratgias que a gesto adotou para mitigar os riscos. Os riscos podem ser classificados
em: operacional, de informao e de conformidade, com as seguintes abrangncias:
1) operacional = riscos de falha humana, produtos & servios, regulamentao,
catstrofe, sinistros, patrimonial, contrato e fraudes/desvios;
2) de informao = falhas em sistemas gerenciais de informao, integridade,
confidencialidade, gesto de dados, sistemas de validao de informaes e sistema de
segurana informacional;
3) de conformidade = risco legal, risco de no cumprimento s legislaes e
regulamentos aplicveis.

Brasiliano (2004) nos descreve como identificar riscos estratgicos dentro do

planejamento da gesto de riscos corporativos. Considera ideal antes, de iniciar o
levantamento de riscos, a realizao do benckmarking comparao com
padres de excelncia/melhores prticas referenciadas - de processos e recursos
internos. O roteiro a seguir um conjunto de atividades sugerido:
1) Identificao de processos e recursos crticos: entrevistas com os
responsveis pelos setores/desmembramento de macroprocessos em processoschave/identificao de fatores crticos/informaes em outras organizaes
congneres;
2) Descrio de processos e recursos crticos formular as seguintes
questes:
Qual o papel deste processo dentro da organizao?
O processo crtico ( relevante/tem impacto na sociedade/o seu custo
alto, baixo ou imaterial/qual a natureza do risco associado/ possvel ter
monitoramento ou percepo do seu grau de efetividade)?
Que recursos necessito para colocar o processo em andamento?
De quais e de quantas pessoas eu preciso?
Que informaes so cruciais para o seu planejamento?
3) Identificando Riscos: quais os riscos que podem afetar o desempenho dos
respectivos processos? Da a decomposio do risco em fatores causas que
podem estar dentro do controle da empresa e so monitorveis. Existem vrias
tcnicas para elucidao das causas (origem) de cada risco. A mais comum e
funcional entre elas a espinha de peixe (tambm conhecido como Diagrama de
Ishikawa), utilizada para dissecar o fluxo de cada processo e separar os fatores
de risco (causas).

Numa seqncia grfica cada causa representada por uma seta que se
comunica com outra causa mais prxima da espinha, at chegarmos
identificao do problema (evento) que corresponde ao risco eventual que
tentamos compreender e analisar. Ex.: para o evento (roubo de mercadorias),
podemos vislumbrar os seguintes fatores de risco (causas):
Falhas no
controle de
recebiment
o das
mercadoria
s

No
existncia
de
inventrio
s
peridicos

Desprepar
o da
equipe de
segurana

Controle de
acesso/circula
o de
funcionrios
no
apropriado/seg
uro

Roubo de
mercadorias

Controles
deficientes
na sada
das
mercadoria
s do
estoque

Falta de
controle de
rodzio de
funcionrio
s/conluio
praticado

Modelo de Questionrio de Avaliao e Gerenciamento dos Riscos:

Atividade
1) Os objetivos e metas da
organizao se encontram
formalizados?
2) Foram identificados os
processos mais crticos?
3) Foram levantados e
diagnosticados os pontos
de falha dos processos?
4) Foram estimadas as
probabilidades
de
ocorrncia e/ou impactos
dos riscos?
5) Existem ativos com risco
potencial?
6) Existem histricos de
perdas/fraudes internas?
7) Em caso positivo, houve
instaurao de sindicncia
e/ou ressarcimento?

Sim

No

Natureza
do Risco

Impacto

8) H controles adequados
em reas crticas como
estoques/
compras/numerrio?
9) So feitas contagens
fsicas de estoques?
10) As atividades de
guarda,
estoque
e
inventrio
so
regulamentadas
ou
normatizadas na Unidade?
11) Existem riscos de
incndio,
desgaste,
obsolescncia,
perdas
previstos e monitorados?
12) Existem processos que
podem ser melhorados e/ou
priorizados?

Atividades de Controle
So aquelas atividades que, quando executadas dentro do seu tempo e de
maneira adequada, permitem a minimizao e gesto dos riscos. Constituem-se
em atividades de preveno ou de deteco. Citam-se as seguintes como
principais:
1) Aladas (preveno): estabelecimento de valor mximo para um
funcionrio aprovar valores ou assumir posies em nome da entidade - limites de
aladas operacionais/estabelecimento de tetos de valores para tomada de
decises gerenciais;
2) Autorizaes (preveno): aprovao de uma atividade ou operao por
uma superviso/chefia/gerncia para que seja efetivada. A aprovao pode ser
mecnica ou eletrnica. Implica validao da transao e assegura que ela est
em conformidade com as polticas, procedimentos e legislao. O uso de
senhas/autorizao de acesso fsico/criptografia/certificao digital/assinatura
digital/autenticao e outros mecanismos de segurana lgica imprescindvel.
A confirmao da veracidade dos atos e fatos inseridos em sistemas
informatizados vista dos devidos suportes documentais realiza-se por meio dos
mecanismos de certificao/validao de conformidade ou consistncia
documental (V. Decreto n43.149/03 do Municpio de So Paulo que dispe sobre a
conformidade, instituda no Sistema NovoSeo);
3) Conciliao (deteco): a confrontao da mesma informao com
dados vindos de bases diferentes, adotando-se as medidas corretivas, quando
necessrio;

4) Revises de desempenho (deteco): acompanhamento de uma

atividade/processo para avaliao de sua adequao e/ou desempenho, em
relao
s
metas/objetivos
pr-estabelecidos
e
aos
benchmarks
(referncia/padres/custo-padro/custo meta etc.), de forma a antecipar mudanas
que possam afetar negativamente a Entidade.
Aqui se insere um sistema de acompanhamento, controle, anlise, avaliao
e realimentao da execuo do programa de trabalho do Governo avaliao
por meio de indicadores de desempenho (para eficincia/eficcia/efetividade).
5) Segurana fsica (preveno e deteco): incluem-se nela controle sobre
os processos de inventrio/proteo de ativos/controle de acessos/controles de
entrada e sada de funcionrios/senhas para acesso aos sistemas
informatizados/recursos de criptografia etc;
6) Segregao de funes (preveno): essencial para a efetividade dos
controles internos e, via de regra, a atividade de maior risco numa organizao.
Separar adequadamente entre os funcionrios as atividades de: contabilidade e
conciliao, informao e autorizao, custdia e inventrio, contratao e
pagamento, administrao de recursos prprios e de terceiros, normalizao e
fiscalizao;

7) Sistemas Informatizados (preveno e deteco): organizao e

manuteno de arquivos de segurana back ups, arquivos de log do sistema,
plano de contingncia para falhas ou quebra de segurana invaso de hackers,
sistema de validao de informaes com registros armazenados em banco de
dados etc.;
8)
Normatizao
interna
(preveno):
definio
das
regras
internas/funcionamento/fluxos operacionais/funes/ responsabilidades e nveis de
autoridade e aladas/manuais de treinamento/instrues tcnicas e procedimentos
de trabalho.
Sem pretender esgotar as possibilidades, bem como dependendo da
complexidade e natureza das operaes e nvel de eficcia dos controles
existentes, podemos construir um modelo de questionrio para avaliao das
atividades de controle, de modo a abranger as funes/processos mais crticos
da organizao implicando em maiores responsabilidades e/ou fatores de risco
para a organizao.
O foco nos problemas e situaes reais que a organizao, num certo momento,
enfrenta, constitui-se no primeiro passo para identificar/diagnosticar os riscos
potenciais e oferecer, tempestivamente, aes/medidas corretivas quando os
controles se mostrarem insuficientes e/ou inadequados.

Modelo de Questionrio de Avaliao das Atividades de Controle:

Atividade
1) Existem normas internas de
procedimentos/processos
de
trabalho explicitamente definidos?
2) Essas normas so de
conhecimento dos servidores?
3) As funes/atividades esto
adequadamente segregadas nas
Unidades?
4) As compras de mercadorias
so centralizadas?
5) Existe uma cultura de
planejamento junto s reas
requisitantes de forma a otimizar
a programao das aquisies?
6) As delegaes de autoridade
esto acompanhadas de claras
definies de responsabilidade?
7) O sistema de processamento
de informaes seguro e
confivel?
8) Existem normas/orientaes
escritas para realizao de
contrataes, subordinadas aos
ditames legais?
9) Existe reviso independente
nos
processos
de
pagamento/autorizaes
de
despesa/emisso de empenhos?
10) Foram identificados casos de
desvio/fraude/suborno/corrupo?
11) Em caso positivo, foram
tomadas atitudes punitivas e/ou
instaurao de sindicncia e/ou
medidas disciplinares?
12) So estabelecidos critrios
tcnicos (lei de Licitaes) para
aquisio de equipamentos e
bens de capital?
13)
A
Entidade
apresenta
planejamento
gerencial
com
estabelecimento de metas e/ou
diretrizes?

Sim

No

Natureza do
Risco

Impacto

14) A administrao props o

estabelecimento de padres de
desempenho/atuao/aferio da
qualidade
dos
servios
prestados?
15) A Unidade tm Auditoria
Interna (ou rgo especfico)?
16) Existem procedimentos de
segurana para acesso de
informaes e utilizao de
aplicativos de conformidade?
17) Existe um centro de custos
e/ou
responsabilidade
para
levantamento de dados/avaliao
de custos e dos resultados dos
programas/servios e/ou bens
oferecidos pela administrao?

Informao e Comunicao
O fluxo de comunicao dentro de uma organizao deve ocorrer em todas
as direes dos nveis hierrquicos superiores aos inferiores, vice-versa e dentro
deles, contemplando a comunicao horizontal e vertical para um bom
funcionamento dos controles. O processo de comunicao pode ser formal ou
informal. Este ltimo, em especial, nas organizaes pblicas, , na maior parte
das vezes, mais preocupante do que o processo formal, pois a informao chega
antes de ser divulgada na mdia oficial.
A maioria das organizaes pblicas hoje conquistaram procedimentos e
sistemas informatizados; nesse sentido, o planejamento de auditoria deve se
preocupar cada vez mais com a avaliao de risco e segurana em ambientes
eletrnicos e com as tcnicas de controle em sistemas informatizados
(auditoria de sistemas).
Monitoramento
O monitoramento a avaliao dos controles internos ao longo do tempo.
O acompanhamento das atividades contnuo, devendo-se estimular, ainda,
mecanismos de auto-avaliao, revises internas e auditorias internas
programadas.

Em resumo:
Controles so eficientes quando a alta administrao tem uma razovel
certeza:
Do grau de atingimento dos objetivos operacionais propostos;
De que as informaes fornecidas pelos relatrios e sistemas corporativos
so confiveis e tempestivas;
De que Leis, regulamentos e normas pertinentes esto sendo cumpridos.
A nossa experincia em cursos de treinamento sobre Controles Internos
para servidores da Municipalidade e a troca de experincia surgida nesses
eventos nos permitiu observar e registrar inmeras prticas administrativas que
ou no so adequadas/suficientes ou esto sendo perpetradas em
desconformidade com a legislao em vigor ou no atendem aos manuais/normas
de procedimentos; constituindo, assim, riscos iminentes ou potenciais
organizao.
Para tanto, o quadro a seguir identifica algumas destas prticas e
deficincias de controle interno correlacionadas, bem como sugestes para a
implementao ou melhoria dos procedimentos de controle.

Prticas Administrativas no adequadas/insuficientes

X Procedimentos de Controle Interno sugeridos:
Prticas administrativas:
1) Fragilidades nos controles e
fiscalizao dos servios prestados,
fazendo os contratos no serem
executados conforme pactuados (ex.:
varrio de ruas, coleta de lixo
domiciliar, servios que extrapolam os
quantitativos das Atas de Registros de
Preos etc.);

Procedimentos de CI sugeridos:
Normalizar
procedimentos
e
instrues de trabalho;
Determinar
e
dividir
responsabilidades;
Papel fundamental do gestor de
contratos no acompanhamento e
fiscalizao da execuo do objeto do
contrato art.67 da LF 8.666/93;
Realizar rodzio de funes;
Conferir
aes
de
forma
independente
para
confirmar
transaes/outros eventos relevantes;
Desenvolver, implantar e manter
sistemas
de
superviso
e
acompanhamento dos controles (ex.:
cadastro de fornecedores/elaborar e/ou
atualizar manual de procedimentos de
compras/instituir
procedimentos
de
controle de qualidade etc.).

2) Controles deficientes na execuo

dos contratos (ex.: ausncia de
registros referentes situao de
funcionrios/preenchimento incorreto
de formulrios/controle deficiente nos
almoxarifados/ausncia de normas
para controle de custos e avaliao de
programas etc.);

3) Controles Deficientes nos aspectos

de formalizao de despesas e
contratos: falta de pesquisa prvia de
preos
de
mercado/empenho
extemporneo
ou
sem
prvio
empenho/dotao
inadequada
ou
errnea/publicao fora de prazos
legais/falta
de
justificativa
de
preos/ausncia de justificativas nas
contrataes diretas.

Fatos significantes e transaes

devem estar claramente documentados
e disponveis para exame;
Segregar registros da execuo e
reviso por pessoas que atuam dentro
dos limites de sua autoridade;
Normalizar procedimentos (polticas
de compra/transferncias/emprstimos
e tambm normas para controle de
registro de pessoal);
Normalizar procedimentos (gesto
de estoques, implantar e manter
sistema de avaliao de custos bem
como registros de controle, expedio e
consumo de materiais);
Acompanhamento e monitoramento
dos controles (revises nos registros
permanentes de estoques e outros
elementos
de
informao/proceder
contagens fsicas de estoques);
Conferir registros sintticos com
analticos
(proceder
conciliaes
peridicas).

Avaliao/Monitoramento
de
registros e dos sistemas de
informaes gerenciais;
Integrao dos rgos e setores
envolvidos na operao;
Adequao de procedimentos
operacionais legislao/aplicao e
atualizao
de
instrues
operacionais;
Identificao e correo de falhas
e
irregularidades
no
ciclo
operacional;
Observncia dos nveis de
autorizao e aladas estabelecidos
pelas normas internas e legislao;
Observncia
a
contingenciamentos oramentrios e
legais impostos operao;
Avaliao de operaes e
programas quanto aos custos e
benefcios, com os padres de
custos originalmente previstos e os
resultados alcanados;

Relatar
os
resultados
da
avaliao global e propor aes
corretivas quando necessrias.
Em recente trabalho, Do Nascimento (2004, p.73-74), prope a utilizao de
questionrio como instrumento de anlise para julgamento da eficincia dos
controles internos.
O autor apresenta, a seguir, um questionrio para avaliao dos controles
internos para o item - arrecadao das receitas oramentrias, reproduzido
abaixo, o qual acrescenta algumas novidades em relao aos propostos nesta
seo, como as colunas de observaes e de natureza dos testes de auditoria:
ReceitasOramentrias
1. Existe mtodo de
previso
para
cada
modalidade de receita
prpria?
2. H responsvel (eis)
para identificar possveis
causas pela no realizao
das receitas nos moldes
esperados?
3. So realizadas revises
anuais da base de clculo
das receitas?
4. efetuado algum tipo de
desconto pelo pagamento
antecipado das receitas?
4.1. Caso exista, o clculo
do desconto elaborado
diretamente pelo agente
arrecadador ou possui
sistema de autorizao
prvio junto ao rgo da
administrao?
5. O pagamento ocorre
junto ao prprio rgo ou
realizado mediante boleto
bancrio?
6. realizada alguma
verificao dos valores
arrecadados,
em
contraposio aos valores
lanados?
7. Existem procedimentos
de cobrana administrativa
para os valores no

Respostas
Sim
No

Observaes

Testes
O(*)
S(*)

arrecadados,
e
eles
ocorrem logo aps a no
realizao do pagamento?
8. A instituio possui
sistema
de
cobrana
judicial prprio ou a
cobrana feita por
terceiros?
9. H controle dos dbitos
prescritos e conhecimento
das causas pela no
efetivao da cobrana?

(*) Abrangem os procedimentos de auditoria testes de observncia (O) e testes

substantivos (S), definidos pela Resoluo CFC n820/97, como:
Testes de observncia visam obteno de razovel segurana de que os
procedimentos de controle interno estabelecidos pela administrao esto em
efetivo funcionamento e cumprimento;
Testes substantivos visam obteno de evidncia quanto suficincia, exatido
e validade dos dados produzidos pelo sistema contbil da entidade
(transaes/saldos e reviso analtica).

Abro Blumen/2005