AVALIAO DOS CONTROLES INTERNOS E MAPA DE RISCOS

Em 2002, aps a avalanche de informaes sobre companhias que

manipularam suas informaes contbeis (Enron, Tyco, WorldCom e outras), o
Congresso Americano, pressionado pela Sociedade e pela mdia, resolveu aprovar
a Lei Sarbanes-Oxley, elaborada pelos congressistas, Paul S. Sarbanes e
Michael Oxley, a qual reforma a regulamentao sobre o mercado de capitais, em
vigor naquele pas, desde a dcada de 30.

Estes escndalos abalaram, fortemente, a confiana dos investidores e

reforaram a necessidade de maior transparncia e confiabilidade na confeco
e divulgao das informaes contbeis e financeiras.

Teve como mudana bsica nas regras de governana corporativa: - o

aumento da responsabilidade dos diretores perante a emisso e divulgao de
relatrios financeiros, bem como nfase no uso de controles internos mais
rgidos (avaliao pela administrao da estrutura e eficincia dos controles
internos) como forma de erradicar a manipulao indevida de informaes
financeiras. Os seus efeitos estendem-se, inclusive, s empresas no americanas
que possuem cotao secundria em Bolsas de Valores norte-americanas.

Como decorrncia dos fatos apontados, vrios estudos foram realizados,

procurando identificar as principais falhas nos controles dessas instituies. Entre
esses estudos, destaca-se, internacionalmente, o trabalho realizado pelo
Committee of Sponsoring Organizations of the Treadway Commission (COSO),
em setembro de 1992, intitulado Internal Control Integrated Framework
Controles Internos Um modelo integrado. Esta publicao tornou-se referncia
mundial para o estudo e avaliao dos controles internos. Os integrantes do
Comit das Organizaes Patrocinadoras (COSO) so representantes da
indstria, dos contadores, das sociedades de investimento e da Bolsa de Valores
de Nova Iorque.

Baseando-se no modelo COSO, direcionaremos a nossa preocupao para

o planejamento das atividades e avaliao dos controles internos de uma
organizao.

I) Definio de Controle Interno:

um processo desenvolvido para garantir, com razovel certeza, que

sejam atingidos os objetivos da empresa, nas seguintes categorias:

Eficincia e efetividade operacional - relaciona-se ao atingimento

ou no dos objetivos bsicos da entidade, no que se refere s metas de
desempenho e rentabilidade;
 Confiana nos registros contbeis/financeiros os registros
devem refletir transaes reais, consignadas pelos valores e
enquadramentos corretos;

Conformidade aes e documentos gerados pelos processos

internos devem estar em conformidade com a legislao e normas
pertinentes.

II) Processo de Controles Internos:

Este processo constitudo de 5 elementos, inter-relacionados entre si e

presentes em todos os controles internos.

So eles:

Ambiente de Controle
Avaliao e Gerenciamento de Riscos
Atividades de Controle
Informao e Comunicao
Monitoramento

Ambiente de Controle

Em resumo, ambiente de controle a conscincia de controle da entidade, sua

cultura de controle, seu modus operandi.

Ambiente de controle envolve competncia tcnica e compromisso tico: um

fator intangvel e essencial efetividade dos controles internos. A postura da alta
administrao (padro tico/integridade e compromisso) desempenha um papel
fundamental para os subordinados d o tom real e efetivo de controle existente
na entidade.

Modelo de Questionrio de Avaliao do Ambiente de Controle: com colunas para

avaliaes da natureza do risco operacional/informao/conformidade e/ou por
critrios de materialidade/relevncia/desempenho/criticidade, bem como do impacto
daquela atividade (baixo/mdio/alto) nos resultados da organizao (modelo conhecido
tambm como matriz de risco).
 Atividade Sim No Natureza do Impacto
Risco*
1)As pessoas se sentem (*)Ver item a
controladas? seguir.
2) As delegaes de
autoridade esto
acompanhadas de claras
definies de
responsabilidade?
3)Existem procedimentos
e/ou instrues de trabalho
padronizados?
4) H planejamento para o
treinamento?
5) Se positivos, esses
planos atendem s
expectativas e
necessidades do trabalho
e dos servidores de cada
Unidade?
6) Existe cdigo
formalizado de
tica/conduta?
7) Se o funcionrio agir
em desrespeito ao cdigo
de conduta, so tomadas
medidas disciplinares e/ou
punitivas?
8) H mecanismos de
participao dos
servidores na elaborao
das regras de conduta?
9)Existe adequada
segregao de funes
nas Unidades da
organizao?
10) Existe um ambiente de
comunicao adequado e
eficiente?

Avaliao e Gerenciamento dos Riscos

Metas e objetivos so condies necessrias para a existncia de

controles internos. Gerencia-se o atingimento ou no das metas/objetivos
organizacionais. Uma vez estabelecido o objetivo, devem-se identificar os riscos
que ameaam o seu cumprimento e tomar as aes oportunas para o
gerenciamento dos riscos identificados (mitigao dos riscos).
 Os administradores (gestores) devem definir as naturezas e os nveis de
riscos operacionais*, de informao* e de conformidade* que esto dispostos a
assumir. A identificao e gerenciamento dos riscos uma ao pro-ativa que
permite evitar surpresas desagradveis.

Neste novo paradigma, as vrias partes do processo de auditoria esto ligadas s

metas/objetivos da organizao atravs do risco na consecuo desses objetivos e
das estratgias que a gesto adotou para mitigar os riscos. Os riscos podem ser
classificados em: operacional, de informao e de conformidade, com as seguintes
abrangncias:

1) operacional = riscos de falha humana, produtos & servios, regulamentao,

catstrofe, sinistros, patrimonial, contrato e fraudes/desvios;
2) de informao = falhas em sistemas gerenciais de informao, integridade,
confidencialidade, gesto de dados, sistemas de validao de informaes e sistema de
segurana informacional;
3) de conformidade = risco legal, risco de no cumprimento s legislaes e
regulamentos aplicveis.

Brasiliano (2004) nos descreve como identificar riscos estratgicos dentro do

planejamento da gesto de riscos corporativos. Considera ideal antes, de iniciar o
levantamento de riscos, a realizao do benckmarking comparao com
padres de excelncia/melhores prticas referenciadas - de processos e recursos
internos. O roteiro a seguir um conjunto de atividades sugerido:

1) Identificao de processos e recursos crticos: entrevistas com os

responsveis pelos setores/desmembramento de macroprocessos em processos-
chave/identificao de fatores crticos/informaes em outras organizaes
congneres;

2) Descrio de processos e recursos crticos formular as seguintes

questes:

Qual o papel deste processo dentro da organizao?

O processo crtico ( relevante/tem impacto na sociedade/o seu custo
alto, baixo ou imaterial/qual a natureza do risco associado/ possvel ter
monitoramento ou percepo do seu grau de efetividade)?
Que recursos necessito para colocar o processo em andamento?
De quais e de quantas pessoas eu preciso?
Que informaes so cruciais para o seu planejamento?

3) Identificando Riscos: quais os riscos que podem afetar o desempenho dos

respectivos processos? Da a decomposio do risco em fatores causas que
podem estar dentro do controle da empresa e so monitorveis. Existem vrias
tcnicas para elucidao das causas (origem) de cada risco. A mais comum e
funcional entre elas a espinha de peixe (tambm conhecido como Diagrama de
Ishikawa), utilizada para dissecar o fluxo de cada processo e separar os fatores
de risco (causas).

Numa seqncia grfica cada causa representada por uma seta que se
comunica com outra causa mais prxima da espinha, at chegarmos
identificao do problema (evento) que corresponde ao risco eventual que
tentamos compreender e analisar. Ex.: para o evento (roubo de mercadorias),
podemos vislumbrar os seguintes fatores de risco (causas):

Falhas no Desprepar Controle de

controle de o da acesso/circula
recebiment equipe de o de
o das segurana funcionrios
no
Roubo de
mercadorias

No Falta de Controles
existncia controle de deficientes
de rodzio de na sada
inventrio funcionrio das
s/conluio mercadoria

Modelo de Questionrio de Avaliao e Gerenciamento dos Riscos:

Atividade Sim No Natureza Impacto

do Risco
1) Os objetivos e metas da
organizao se encontram
formalizados?
2) Foram identificados os
processos mais crticos?
3) Foram levantados e
diagnosticados os pontos
de falha dos processos?
4) Foram estimadas as
probabilidades de
ocorrncia e/ou impactos
dos riscos?
5) Existem ativos com risco
potencial?
6) Existem histricos de
perdas/fraudes internas?
7) Em caso positivo, houve
instaurao de sindicncia
e/ou ressarcimento?
8) H controles adequados
em reas crticas como
estoques/
compras/numerrio?
9) So feitas contagens
fsicas de estoques?
10) As atividades de
guarda, estoque e
inventrio so
regulamentadas ou
normatizadas na Unidade?
11) Existem riscos de
incndio, desgaste,
obsolescncia, perdas
previstos e monitorados?
12) Existem processos que
podem ser melhorados e/ou
priorizados?

Atividades de Controle

So aquelas atividades que, quando executadas dentro do seu tempo e de

maneira adequada, permitem a minimizao e gesto dos riscos. Constituem-se
em atividades de preveno ou de deteco. Citam-se as seguintes como
principais:
1) Aladas (preveno): estabelecimento de valor mximo para um
funcionrio aprovar valores ou assumir posies em nome da entidade - limites de
aladas operacionais/estabelecimento de tetos de valores para tomada de
decises gerenciais;

2) Autorizaes (preveno): aprovao de uma atividade ou operao por

uma superviso/chefia/gerncia para que seja efetivada. A aprovao pode ser
mecnica ou eletrnica. Implica validao da transao e assegura que ela est
em conformidade com as polticas, procedimentos e legislao. O uso de
senhas/autorizao de acesso fsico/criptografia/certificao digital/assinatura
digital/autenticao e outros mecanismos de segurana lgica imprescindvel.

A confirmao da veracidade dos atos e fatos inseridos em sistemas

informatizados vista dos devidos suportes documentais realiza-se por meio dos
mecanismos de certificao/validao de conformidade ou consistncia
documental (V. Decreto n43.149/03 do Municpio de So Paulo que dispe sobre a
conformidade, instituda no Sistema NovoSeo);
 3) Conciliao (deteco): a confrontao da mesma informao com
dados vindos de bases diferentes, adotando-se as medidas corretivas, quando
necessrio;

4) Revises de desempenho (deteco): acompanhamento de uma

atividade/processo para avaliao de sua adequao e/ou desempenho, em
relao s metas/objetivos pr-estabelecidos e aos benchmarks
(referncia/padres/custo-padro/custo meta etc.), de forma a antecipar mudanas
que possam afetar negativamente a Entidade.

Aqui se insere um sistema de acompanhamento, controle, anlise, avaliao

e realimentao da execuo do programa de trabalho do Governo avaliao
por meio de indicadores de desempenho (para eficincia/eficcia/efetividade).

5) Segurana fsica (preveno e deteco): incluem-se nela controle sobre

os processos de inventrio/proteo de ativos/controle de acessos/controles de
entrada e sada de funcionrios/senhas para acesso aos sistemas
informatizados/recursos de criptografia etc;

6) Segregao de funes (preveno): essencial para a efetividade dos

controles internos e, via de regra, a atividade de maior risco numa organizao.
Separar adequadamente entre os funcionrios as atividades de: contabilidade e
conciliao, informao e autorizao, custdia e inventrio, contratao e
pagamento, administrao de recursos prprios e de terceiros, normalizao e
fiscalizao;

7) Sistemas Informatizados (preveno e deteco): organizao e

manuteno de arquivos de segurana back ups, arquivos de log do sistema,
plano de contingncia para falhas ou quebra de segurana invaso de hackers,
sistema de validao de informaes com registros armazenados em banco de
dados etc.;

8) Normatizao interna (preveno): definio das regras

internas/funcionamento/fluxos operacionais/funes/ responsabilidades e nveis de
autoridade e aladas/manuais de treinamento/instrues tcnicas e procedimentos
de trabalho.

Sem pretender esgotar as possibilidades, bem como dependendo da

complexidade e natureza das operaes e nvel de eficcia dos controles
existentes, podemos construir um modelo de questionrio para avaliao das
atividades de controle, de modo a abranger as funes/processos mais crticos
da organizao implicando em maiores responsabilidades e/ou fatores de risco
para a organizao.
O foco nos problemas e situaes reais que a organizao, num certo momento,
enfrenta, constitui-se no primeiro passo para identificar/diagnosticar os riscos
potenciais e oferecer, tempestivamente, aes/medidas corretivas quando os
controles se mostrarem insuficientes e/ou inadequados.

Modelo de Questionrio de Avaliao das Atividades de Controle:

Atividade Sim No Natureza do Impacto

Risco
1) Existem normas internas de
procedimentos/processos de
trabalho explicitamente definidos?
2) Essas normas so de
conhecimento dos servidores?
3) As funes/atividades esto
adequadamente segregadas nas
Unidades?
4) As compras de mercadorias
so centralizadas?
5) Existe uma cultura de
planejamento junto s reas
requisitantes de forma a otimizar
a programao das aquisies?
6) As delegaes de autoridade
esto acompanhadas de claras
definies de responsabilidade?
7) O sistema de processamento
de informaes seguro e
confivel?
8) Existem normas/orientaes
escritas para realizao de
contrataes, subordinadas aos
ditames legais?
9) Existe reviso independente
nos processos de
pagamento/autorizaes de
despesa/emisso de empenhos?
10) Foram identificados casos de
desvio/fraude/suborno/corrupo?
11) Em caso positivo, foram
tomadas atitudes punitivas e/ou
instaurao de sindicncia e/ou
medidas disciplinares?
12) So estabelecidos critrios
tcnicos (lei de Licitaes) para
aquisio de equipamentos e
bens de capital?
13) A Entidade apresenta
planejamento gerencial com
estabelecimento de metas e/ou
diretrizes?
14) A administrao props o
estabelecimento de padres de
desempenho/atuao/aferio da
qualidade dos servios
prestados?
15) A Unidade tm Auditoria
Interna (ou rgo especfico)?
16) Existem procedimentos de
segurana para acesso de
informaes e utilizao de
aplicativos de conformidade?
17) Existe um centro de custos
e/ou responsabilidade para
levantamento de dados/avaliao
de custos e dos resultados dos
programas/servios e/ou bens
oferecidos pela administrao?

Informao e Comunicao

O fluxo de comunicao dentro de uma organizao deve ocorrer em todas

as direes dos nveis hierrquicos superiores aos inferiores, vice-versa e dentro
deles, contemplando a comunicao horizontal e vertical para um bom
funcionamento dos controles. O processo de comunicao pode ser formal ou
informal. Este ltimo, em especial, nas organizaes pblicas, , na maior parte
das vezes, mais preocupante do que o processo formal, pois a informao chega
antes de ser divulgada na mdia oficial.

A maioria das organizaes pblicas hoje conquistaram procedimentos e

sistemas informatizados; nesse sentido, o planejamento de auditoria deve se
preocupar cada vez mais com a avaliao de risco e segurana em ambientes
eletrnicos e com as tcnicas de controle em sistemas informatizados
(auditoria de sistemas).

Monitoramento

O monitoramento a avaliao dos controles internos ao longo do tempo.

O acompanhamento das atividades contnuo, devendo-se estimular, ainda,
mecanismos de auto-avaliao, revises internas e auditorias internas
programadas.

Em resumo:

Controles so eficientes quando a alta administrao tem uma razovel

certeza:

Do grau de atingimento dos objetivos operacionais propostos;

De que as informaes fornecidas pelos relatrios e sistemas corporativos

so confiveis e tempestivas;

De que Leis, regulamentos e normas pertinentes esto sendo cumpridos.

A nossa experincia em cursos de treinamento sobre Controles Internos

para servidores da Municipalidade e a troca de experincia surgida nesses
eventos nos permitiu observar e registrar inmeras prticas administrativas que
ou no so adequadas/suficientes ou esto sendo perpetradas em
desconformidade com a legislao em vigor ou no atendem aos manuais/normas
de procedimentos; constituindo, assim, riscos iminentes ou potenciais
organizao.

Para tanto, o quadro a seguir identifica algumas destas prticas e

deficincias de controle interno correlacionadas, bem como sugestes para a
implementao ou melhoria dos procedimentos de controle.

Prticas Administrativas no adequadas/insuficientes

X Procedimentos de Controle Interno sugeridos:

Prticas administrativas: Procedimentos de CI sugeridos:

1) Fragilidades nos controles e Normalizar procedimentos e
fiscalizao dos servios prestados, instrues de trabalho;
fazendo os contratos no serem Determinar e dividir
executados conforme pactuados (ex.: responsabilidades;
Papel fundamental do gestor de
varrio de ruas, coleta de lixo
contratos no acompanhamento e
domiciliar, servios que extrapolam os fiscalizao da execuo do objeto do
quantitativos das Atas de Registros de contrato art.67 da LF 8.666/93;
Preos etc.); Realizar rodzio de funes;
Conferir aes de forma
independente para confirmar
transaes/outros eventos relevantes;

2) Controles deficientes na execuo
dos contratos (ex.: ausncia de
registros referentes situao de
funcionrios/preenchimento incorreto
de formulrios/controle deficiente nos
almoxarifados/ausncia de normas
para controle de custos e avaliao de
programas etc.);
3) Controles Deficientes nos aspectos
de formalizao de despesas e
contratos: falta de pesquisa prvia de
preos de mercado/empenho
extemporneo ou sem prvio
empenho/dotao inadequada
errnea/publicao fora de prazos
legais/falta de justificativa
preos/ausncia de justificativas nas
contrataes diretas.
Desenvolver, implantar e manter
sistemas de superviso e
acompanhamento dos controles (ex.:
cadastro de fornecedores/elaborar e/ou
atualizar manual de procedimentos de
compras/instituir procedimentos de
controle de qualidade etc.).
Fatos significantes e transaes
devem estar claramente documentados
e disponveis para exame;
Segregar registros da execuo e
reviso por pessoas que atuam dentro
dos limites de sua autoridade;
Normalizar procedimentos (polticas
de compra/transferncias/emprstimos
e tambm normas para controle de
registro de pessoal);
Normalizar procedimentos (gesto
de estoques, implantar e manter
sistema de avaliao de custos bem
como registros de controle, expedio e
consumo de materiais);
Acompanhamento e monitoramento
dos controles (revises nos registros
permanentes de estoques e outros
elementos de informao/proceder
contagens fsicas de estoques);
Conferir registros sintticos com
analticos (proceder conciliaes
peridicas).
Avaliao/Monitoramento de
registros e dos sistemas de
informaes gerenciais;
Integrao dos rgos e setores
envolvidos na operao;
ou Adequao de procedimentos
operacionais legislao/aplicao
de e atualizao de instrues
operacionais;
Identificao e correo de falhas
e irregularidades no ciclo
operacional;
Observncia dos nveis de
autorizao e aladas estabelecidos
pelas normas internas e legislao;
Observncia a
contingenciamentos oramentrios e
 legais impostos operao;
Avaliao de operaes e
programas quanto aos custos e
benefcios, com os padres de
custos originalmente previstos e os
resultados alcanados;
Relatar os resultados da
avaliao global e propor aes
corretivas quando necessrias.

Em recente trabalho, Do Nascimento (2004, p.73-74), prope a utilizao de

questionrio como instrumento de anlise para julgamento da eficincia dos
controles internos.

O autor apresenta, a seguir, um questionrio para avaliao dos controles

internos para o item - arrecadao das receitas oramentrias, reproduzido
abaixo, o qual acrescenta algumas novidades em relao aos propostos nesta
seo, como as colunas de observaes e de natureza dos testes de auditoria:

ReceitasOramentrias Respostas Observaes Testes

Sim No O(*) S(*)
1. Existe mtodo de
previso para cada
modalidade de receita
prpria?
2. H responsvel (eis)
para identificar possveis
causas pela no realizao
das receitas nos moldes
esperados?
3. So realizadas revises
anuais da base de clculo
das receitas?
4. efetuado algum tipo de
desconto pelo pagamento
antecipado das receitas?
4.1. Caso exista, o clculo
do desconto elaborado
diretamente pelo agente
arrecadador ou possui
sistema de autorizao
prvio junto ao rgo da
administrao?
5. O pagamento ocorre
junto ao prprio rgo ou
realizado mediante boleto
bancrio?
6. realizada alguma
verificao dos valores
arrecadados, em
contraposio aos valores
lanados?
7. Existem procedimentos
de cobrana administrativa
para os valores no
arrecadados, e eles
ocorrem logo aps a no
realizao do pagamento?
8. A instituio possui
sistema de cobrana
judicial prprio ou a
cobrana feita por
terceiros?
9. H controle dos dbitos
prescritos e conhecimento
das causas pela no
efetivao da cobrana?

(*) Abrangem os procedimentos de auditoria testes de observncia (O) e testes

substantivos (S), definidos pela Resoluo CFC n820/97, como:

Testes de observncia visam obteno de razovel segurana de que os

procedimentos de controle interno estabelecidos pela administrao esto em
efetivo funcionamento e cumprimento;
Testes substantivos visam obteno de evidncia quanto suficincia, exatido
e validade dos dados produzidos pelo sistema contbil da entidade
(transaes/saldos e reviso analtica).

Abro Blumen/2005