Comisso de Elaborao do Plano Institucional de MODELO
Comissão de Elaboração do Plano Institucional de MODELO COSO - CONTROLES INTERNOS
Controles Internos Comissão de Elaboração do Plano Institucional de (Adaptado de LOGOS Inteligência e Planejamento Estratégico) http: //www. cnmp. gov. br/portal/images/stories/congressogestao/2012/Palestras/Mini Curso_Riscos_CNMP. pdf www. ifam. edu. br
Controles Internos Agenda: • • • • Conceitos Modelo de Referência COSO; Tipos de Risco Exemplos de Causas de Risco Aplicação de Gestão de Riscos; Processo de gestão de riscos; Estabelecimento do contexto; Definição dos critérios de risco; Identificação de riscos; Análise de riscos Avaliação de riscos Tratamento de riscos Atividades de Controle Informação e comunicação Monitoramento e análise crítica de riscos www. ifam. edu. br
Conceitos Objetivos Riscos Controles www. ifam. edu. br 01
Conceitos Objetivos O que se estabelece para ser alcançado. www. ifam. edu. br 02
O que faz com que o objetivo alcançado seja diferente do pretendido? Objetivo Pretendido Objetivo Alcançado www. ifam. edu. br 03
Riscos Qualquer evento em potencial que possa impedir ou desvirtuar o cumprimento de objetivos. www. ifam. edu. br 04
Controles Estruturas, normas, processos e outros mecanismos adotados para minimizar os riscos. www. ifam. edu. br 05
Controle Interno Conjunto de atividades, planos, métodos, indicadores e procedimentos interligados, utilizado com vistas a assegurar a conformidade dos atos de gestão e a concorrer para que os objetivos e metas estabelecidos para as unidades jurisdicionadas sejam alcançados. (IN TCU 63/2010, Art. 1. inciso X) www. ifam. edu. br 06
Controle Interno – Exemplo 1 www. ifam. edu. br 07
Controle Interno – Exemplo 2 www. ifam. edu. br 08
Importância dos Controles A Fraude no Brasil www. ifam. edu. br 09
Importância dos Controles Medidas para evitar fraudes www. ifam. edu. br 10
Modelo de Referência - COSO II www. ifam. edu. br 11
O CUBO do Modelo COSO os sd ria e iv jet b o o Es tru tu ra or ga niz a cio na l Componetentes g te Ca • Modelo COSO I www. ifam. edu. br 12
Modelo de Referência - COSO Princípios do componente Ambiente de Controle 1. A organização demonstra ter comprometimento com a integridade e os valores éticos. 2. A estrutura de governança demonstra independência em relação aos seus executivos e supervisiona o desenvolvimento e o desempenho do controle interno. 3. A administração estabelece, com a estrutura de governança, as estruturas, os níveis de subordinação e as autoridades e responsabilidades adequadas na busca dos objetivos. 4. A organização demonstra comprometimento para atrair, desenvolver e reter talentos competentes, alinhados com seus objetivos. 5. A organização faz com que as pessoas assumam responsabilidade por suas funções de controle interno na busca pelos objetivos. www. ifam. edu. br 13
Modelo de Referência - COSO II Princípios do componente Avaliação de riscos 6. A organização especifica os objetivos com clareza suficiente, a fim de permitir a identificação e a avaliação dos riscos associados aos objetivos. 7. A organização identifica os riscos à realização de seus objetivos por toda a entidade e analisa os riscos como uma base para determinar a forma como devem ser gerenciados. 8. A organização considera o potencial para fraude na avaliação dos riscos à realização dos objetivos. 9. A organização identifica e avalia as mudanças que poderiam afetar, de forma significativa, o sistema de controle interno www. ifam. edu. br 14
Modelo de Referência - COSO II Para cada objetivo, identificar os eventos de risco (o que pode acontecer) . . . seus impactos (consequências) e suas causas www. ifam. edu. br 15
COSO – Controles Internos Tipos de risco: RISCOS FINANCEIROS www. ifam. edu. br 16
COSO – Controles Internos Tipos de risco: RISCOS EM SEGURANÇA DO TRABALHO www. ifam. edu. br 17
COSO – Controles Internos TIPOS DE RISCO: RISCOS CORPORATIVOS www. ifam. edu. br 18
COSO – Controles Internos TIPOS DE RISCO: RISCOS EM PROJETOS www. ifam. edu. br 19
COSO – Controles Internos TIPOS DE RISCO: RISCOS JURÍDICOS • Contratação de serviços • Contratos de forma geral • Aquisição de equipamentos de alto custo • Causas tributárias • Admissão de novos funcionários • Patentes e propriedade intelectual www. ifam. edu. br 20
COSO – Controles Internos Tipos de risco: RISCOS EM SEGUROS www. ifam. edu. br 21
COSO – Controles Internos Tipos de risco: RISCOS EM TECNOLOGIA DA INFORMAÇÃO www. ifam. edu. br 22
COSO – Controles Internos Tipos de risco: RISCOS EM SEGURANÇA INSTITUCIONAL www. ifam. edu. br 23
COSO – Controles Internos Exemplos de Causa Fonte : Pessoas Vulnerabilidades • Em número insuficiente; • Sem capacitação; • Perfil inadequado; • Desmotivadas… www. ifam. edu. br 24
COSO – Controles Internos Exemplos de Causa Fonte : Processos Vulnerabilidades • Sem manuais ou instruções formalizadas • Sem segregação de funções. • Mal concebidos (Fluxo, desenho) www. ifam. edu. br 25
COSO – Controles Internos Exemplos de Causa Fonte : Sistemas Vulnerabilidades • Obsoletos • Sem manuais de operação • Sem integração com outros sistemas • Inexistência de controle de acesso www. ifam. edu. br 26
COSO – Controles Internos Exemplos de Causa Fonte : Infraestrutura Física Vulnerabilidades • Localização Inadequada • Instalações precárias • Sem controle de acesso www. ifam. edu. br 27
COSO – Controles Internos Exemplos de Causa Fonte : Estrutura Organizacional Vulnerabilidades • Falta de clareza das funções • Centralização excessiva e delegações exorbitantes. www. ifam. edu. br 28
COSO – Controles Internos Exemplos de Causa Fonte : Tecnologia Vulnerabilidades • Técnica ultrapassada • Sem proteção espionagem contra www. ifam. edu. br 29
COSO – Controles Internos Exemplos de Causa Fonte : Eventos Externos Vulnerabilidades • Mudança climática brusca • Eventos não gerenciáveis www. ifam. edu. br 30
COSO – Controles Internos Aplicação de gestão de riscos • • • A qualquer segmento; Aos vários níveis de planejamento; A diferentes funções; As atividades de governança; A projetos específicos. www. ifam. edu. br 31
COSO – Controles Internos Processo de gestão de riscos COMUNICAÇÃO E CONSULTA MONITORAMENTO E ANÁLISE CRÍTICA www. ifam. edu. br 32
COSO – Controles Internos PRINCÍPIOS DA GESTÃO DE RISCOS • • • Cria e protege valor. É parte integrante de todos os processos organizacionais. É parte da tomada de decisões. Aborda explicitamente a incerteza. É sistemática, estruturada e oportuna. Se baseia nas melhores informações disponíveis. É feita sob medida. Considera fatores humanos e culturais. Transparente e inclusiva. Dinâmica, interativa e capaz de reagir a mudanças. Facilita a melhoria contínua da organização. www. ifam. edu. br 33
COSO – Controles Internos ESTABELECIMENTO DO CONTEXTO Consiste em entender o evento conhecendo os contexto interno e externo , assim como estabelecer os critérios de risco. A GESTÃO DE RISCOS OCORRE NO CONTEXTO DA ORGANIZAÇÃO. www. ifam. edu. br 34
COSO – Controles Internos Definição dos critérios de risco ASPECTOS A SEREM CONSIDERADOS NA DEFINIÇÃO DOS CRITÉRIOS DE RISCO • • Natureza e tipos de causas de riscos. Consequências que podem ocorrer e como serão medidas. Como a probabilidade será definida. Evolução no tempo da probabilidade e/ou consequência. Como o nível de risco será determinado. Pontos de vista das partes interessadas. Definição do nível em que o risco se torna aceitável. Como e quais combinações de riscos serão consideradas. www. ifam. edu. br 35
COSO – Controles Internos Identificação de riscos A identificação de riscos refere-se a assinalar de forma ampla os riscos que podem afetar a segurança. Determina-se: • as fontes de riscos (ameaças) • áreas de impactos (locais/vítimas/ativos) • eventos (acontecimentos/mudanças de circunstâncias) • causas (motivações) • consequências (impactos) • deficiências/fragilidades dos controles existentes www. ifam. edu. br 36
COSO – Controles Internos Identificação de riscos PROCESSO PARA IDENTIFICAR OS RISCOS • Identificar os fatores chave. • Em cada fator chave relacionar as fontes de riscos (ameaça/perigo). • Detalhar as fontes de risco (ação, ator, capacidade). • Descrever as deficiências (fragilidades) ou os fatores críticos relacionados. DEVEM SER CONSIDERADOS: • Fatores que podem influenciar a realização dos objetivos propostos • Mudanças na situação • Alterações nas circunstâncias • Causas e consequências. www. ifam. edu. br 37
COSO – Controles Internos Identificação de riscos ELEMENTOS INTEGRANTES DO RISCO • Fonte de risco/ameaça/perigo • Evento • Causa/motivação • Impacto/consequência • Deficiências/ fragilidades/fatores críticos • Horizonte temporal e espacial da ocorrência • Controles www. ifam. edu. br 38
COSO – Controles Internos IDENTIFICAÇÃO DE RISCOS TÉCNICAS PARA A IDENTIFICAÇÃO • Brainstorming. • Discussões dirigidas. • What-if • Entrevista com especialistas • Relatórios de eventos anteriores. • Listas de verificação www. ifam. edu. br 39
COSO – Controles Internos Análise de riscos É a compreensão dos riscos, que fornecerá subsídios para a avalição de riscos e as decisões de tratamento. “A análise de risco envolve a apreciação das causas e as fontes de risco, suas consequências positivas e negativas, e a probabilidade de que estas consequências possam ocorrer. ” Para cada evento de risco: 1. estimar a probabilidade (com que frequência pode ocorrer) 2. classificar os impactos (consequências) pela sua gravidade 3. determinar o nível do risco com base na combinação entre probabilidade e impactos www. ifam. edu. br 40
COSO – Controles Internos Análise de riscos FATORES QUE INFLUENCIAM A ANÁLISE • • • Disponibilidade de dados a respeito do risco (quantidade). Existência de dados que podem ser mensurados. Registros de estatística histórica. Experiência dos analistas. Estabelecimento do contexto (detalhamento e foco). Tempo disponível para levantamento de dados. www. ifam. edu. br 41
COSO – Controles Internos Análise de riscos TIPOS DE ANÁLISE PODE SER QUALITATIVA, QUANTITATIVA E SEMIQUANTITATIVA. O que define: • • Tipos de dados; Existência de estatísticas de históricos de ocorrências; Estatísticas atualizadas; Dados numéricos; www. ifam. edu. br 42
COSO – Controles Internos Análise de riscos ANÁLISE QUALITATIVA Utiliza a descrição ou escalas explicativas para definir uma grau de probabilidade ou impacto. É realizada com base nos componentes do risco. Envolve relação imagem e reputação e dados intangíveis. Pode utilizar análises de Inteligência. Utilizada: • Na análise inicial do risco. • Quando não se dispõe de dados numéricos. • Quando os dados numéricos são inadequados ou insuficientes. • Situações complexas. www. ifam. edu. br 43
COSO – Controles Internos Análise de riscos ANÁLISE QUANTITATIVA • Utilização de uma unidade de medida conhecida (%, custos, tempos gasto) • Podem ser estatísticas, percentuais, valores de custo e lucro. • É a representação em dados numéricos da probabilidade e do • impacto. • Há necessidade de precisão na coleta de valores numéricos. • Relaciona custo ou % a um valor. ü ü Facilita o envolvimento de pessoas que não são especialistas. Riscos são avaliados de acordo com impactos numéricos. Resultados é expresso por valores ou percentuais. Coleta de registros históricos tendem a aumentar a precisão. www. ifam. edu. br 44
COSO – Controles Internos Análise de riscos ANÁLISE SEMI-QUANTITATIVA Consiste em atribuir valores a escala descritivas. Exemplo. ü Raramente ocorre – 1 ü Esporadicamente ocorre – 2 ü Normalmente ocorre – 3 ü Com frequência ocorre -4 ü Com muita frequência ocorre - 5 • Não há necessidade de grande exatidão. • Combinação de números e descrição pode ser de acordo com qualquer fórmula selecionada. www. ifam. edu. br 45
COSO – Controles Internos Análise de riscos CONSIDERAÇÕES A RESPEITO DE ANÁLISE DE RISCOS • Análise inicial: qualitativa. • Disponibilidade de dados mensuráveis: quantitativa. • Adequação da análise ao tipo mais indicado (quantitativa ou qualitativa). • Não forçar análises quantitativas quando não for possível mensurar com propriedade. • Influencia a seleção do método de análise: • tipo de aplicação da GR (empresa, grandes eventos, projetos). • objetivos. • As considerações devem ser realizadas com base em dados e informações e não em suposições. www. ifam. edu. br 46
COSO – Controles Internos Análise de riscos TABELAS DE PROBABILIDADE E CONSEQUÊNCIAS • Elaboradas para definir escalas de classificação de probabilidades e consequências. • Facilitam o entendimento dos graus de probabilidade e consequências. • Devem ser coerentes com o contexto. • Compostas por uma escala numérica, descrição e um descritor. www. ifam. edu. br 47
COSO – Controles Internos Análise de riscos CONSEQUÊNCIAS Índice relacionado ao impacto decorrente de um incidente de NÍVEL DESCRITOR DEFINIÇÃO segurança relacionado a um risco específico. 1 Irrelevante Impacto insignificante nos objetivos 2 Menor Efeitos menores que são facilmente remediados. 3 Moderado Alguns objetivos afetados. 4 Sério Alguns objetivos importantes não podem ser atingidos. 5 Crítico A maioria dos objetivos não pode ser atingidos. www. ifam. edu. br 48
COSO – Controles Internos ANÁLISE DE RISCOS Matriz de Avaliação de Risco IFAM (Atual) Probabilidade Impacto Improvável (1) Pouco provável (2) Provável (3) Muito provável (4) Altemente Provável (5) Crítico 5 05 10 15 20 25 Sério 4 04 08 12 16 20 Moderado 3 03 06 09 12 15 Menor 2 02 04 06 08 10 Irrelevante 1 01 02 03 04 05 Crítico Alto Médio Baixo www. ifam. edu. br 49
COSO – Controles Internos AVALIAÇÃO DE RISCOS Proporciona subsídios para a tomada de decisão com base na análise de riscos. DECISÕES A RESPEITO DE: • Riscos que precisam ser tratados. • Prioridade no tratamento destes riscos. www. ifam. edu. br 50
COSO – Controles Internos Avaliação de riscos PRIORIDADES IMPOSTAS EM FACE DE: • Grau de risco. • Recursos financeiros. • Recursos humanos capacitados. • Escassez de equipamentos. • Tempo disponível para execução. • Capacidade dos recursos humanos. www. ifam. edu. br 51
COSO – Controles Internos Tratamento de riscos • Seleção de uma ou mais opções de modificação do risco. • Implementação destas opções. www. ifam. edu. br 52
COSO – Controles Internos TRATAMENTO DE RISCOS • Descontinuar as atividades que geram o risco. www. ifam. edu. br 53
COSO – Controles Internos Tratamento de riscos • Seguro ou Terceirização www. ifam. edu. br 54
COSO – Controles Internos Tratamento de riscos O risco é aceito ou tolerado sem que nenhuma ação específica seja tomada. 1ª opção – Risco muito caro para tratar, mas retido com um plano de contingência (plano “B”), caso ocorram. 2ª opção - Risco inerente baixo, dentro das tolerâncias a risco da organização, bastando aceitar e monitorar. www. ifam. edu. br 55
COSO – Controles Internos Tratamento de riscos Resposta mais comum. Exemplo: Limitar o acesso à internet a apenas alguns sites confiáveis e necessários à execução das atividades laborais www. ifam. edu. br 56
COSO – Controles Internos Princípios do componente Atividades de controle 10. A organização seleciona e desenvolve atividades de controle que contribuem para a redução, a níveis aceitáveis, dos riscos à realização dos objetivos. 11. A organização seleciona e desenvolve atividades gerais de controle sobre a tecnologia para apoiar a realização dos objetivos. 12. A organização estabelece atividades de controle por meio de políticas que estabelecem o que é esperado e os procedimentos que colocam em prática essas políticas. www. ifam. edu. br 57
COSO – Controles Internos • Formalização de procedimentos; • Segregação de funções; • Controles gerais e de acompanhamento de atividades; • Controles físicos; • Controles preventivos de fraudes e conluios; • Revisões independentes www. ifam. edu. br 58
COSO – Controles Internos www. ifam. edu. br 59
COSO – Controles Internos 1) As informações são documentadas e de qualidade; 2) As informações são oportunas e precisas; 3) A comunicação ocorre em todos os níveis da organização www. ifam. edu. br 60
COSO – Controles Internos Princípios sobre o componente Informação e comunicação 13. A organização obtém ou gera e utiliza informações significativas e de qualidade para apoiar o funcionamento do controle interno. 14. A organização transmite internamente as informações necessárias para apoiar o funcionamento do controle interno, inclusive os objetivos e responsabilidades pelo controle. 15. A organização comunica-se com os públicos externos sobre assuntos que afetam o funcionamento do controle interno. www. ifam. edu. br 61
COSO – Controles Internos Manuais de normas e procedimentos, transmissão de e-mails, boletins corporativos, memorandos, quadros de avisos, videoconferências, redes sociais, páginas na internet e intranet, quadro de avisos dentre outros. www. ifam. edu. br 62
COSO – Controles Internos Informação e Comunicação Pontos de foco • Identificar os requisitos da informação; • Capturar fontes internas e externas de dados; • Processar dado relevantes em informações; • Manter a qualidade durante todo o processamento; • Considerar custos e benefícios. www. ifam. edu. br 63
COSO – Controles Internos Informação e Comunicação Modelo de solução ESTUDO DE CASO – MODELO DE SOLUÇÃO Princípio nº Controles presentes? (S/N) Controles funcionando? (S/N) Comentários 13 – Usa Informações Relevantes 14 – Comunica-se Internamente 15 – Comunica-se Externamente Conclusão Preliminar: www. ifam. edu. br 64
COSO – Controles Internos Monitoramento Princípios do componente Atividades de monitoramento 16. A organização seleciona, desenvolve e realiza avaliações contínuas e/ou independentes para se certificar da presença e do funcionamento dos componentes do controle interno. 17. A organização avalia e comunica deficiências no controle interno em tempo hábil aos responsáveis por tomar ações corretivas, inclusive a estrutura de governança e alta administração, conforme aplicável. www. ifam. edu. br 65
COSO – Controles Internos MONITORAMENTO Verificação, ao longo do tempo e de forma contínua, se os controles instituídos estão presentes e funcionando efetivamente como previsto. www. ifam. edu. br 66
COSO – Controles Internos Monitoramento – Estudo de Caso ESTUDO DE CASO Princípio nº Controles presentes? (S/N) Controles funcionando? (S/N) Comentários 16 – Conduz Avaliações Contínuas e/ou Separadas S N Pela avaliação de controle da gerência: revisões contínuas estão sendo conduzidas formalmente e uma atividade de AI foi estabelecida. Para funcionar com eficácia, os “proprietários” do controle precisam ter um melhor entendimento de seu “controle principal” e a atividade de AI precisa implementar o programa completamente. 17 – Avalia e Comunica Deficiências S N Pela avaliação de controle da gerência, eles fizeram um “esforço de boa fé” por meio de sua avaliação informal de deficiências e ações corretivas. Pela entrevista do Conselho: “precisamos ter um sistema eficaz de controle interno e uma atividade de auditoria interna, para que possamos desempenhar nosso papel – e gerenciar nosso pessoal e nossos riscos de responsabilidade” Conclusão Preliminar: Os controles foram estabelecidos para esses componentes, mas ações adicionais são necessárias para que sejam totalmente eficazes. As deficiências são descritas nos comentários. www. ifam. edu. br 67
COSO – Controles Internos Conexões fundamentais para o funcionamento do SCI www. ifam. edu. br 68
Obrigado pela atenção! www. ifam. edu. br 1
- Slides: 72