Controles internos e gestão de riscos

GESTÃO DE RISCOS CORPORATIVOS – Mestrado Em Gestão Empresarial
Tema 2 Controles Internos Como Parte Integrante da Gestão Estratégica e da Gestão de Riscos
Pg 1 / 37
FACULDADE DE ECONOMIA
Mestrado em Gestão Empresarial
GESTÃO DE RISCOS CORPORATIVOS
Tema 2 Controles Internos Como Parte Integrante da Gestão
Estratégica e da Gestão de Riscos
1 Conceito do Controle ou controlo1
A palavra “controle” signifíca o acto ou poder de controlar, verificar, averiguar. O
objectivo do controle interno é possuir acção preventiva antes que acções ilícitas,
incorrectas ou impróprias possam atentar contra os princípios da organização.
Segundo Morais e Martins (2007:27), o controlo é qualquer acção empreendida pelo
Conselho de Administração - CA, pela gestão sénior e outros membros de uma organização
ou entidade para aperfeiçoar a gestão do risco e melhorar a possibilidade do alcance dos
objectivos e metas organizacionais pré-estabelecidos ou perspectivadas.
Caiado e Caiado (2006:411), definem controlo o processo através do qual se criam os meios
suficientes para assegurar que as acções planeadas pelas organizações são realmente
realizadas dentro dos prazos estabelecidos.
1
Controlo ou controle? As duas formas estão correctas. Têm origem na palavra
francesa contrôle. A mais usada é controlo, com a terminação regular dos nomes masculinos
em português.

Pg 2 / 37
(Pinto et al 2006:24) afirma que o controlo é uma das funções instrumentais da gestão e visa
verificar se as actividades estão a decorrer conforme o planeado ou, pelo contrário, se há
desvios significativos, neste último caso, há que perceber a razão de tais desvios e procurar
corrigi-los
O estabelecimento de um mecanismo de controlo permite pois o ajustamento ou a correcção
dos rumos do negócio para o alcance das metas e programas aprovados e subsidia novos
planeamentos. A ausência de controlo traz como consequência a não-correcção dos desvios
ou erros ocorridos, gerando desperdícios e mau uso de recursos, facilitando deste modo
actividades ilícitas tais como a corrupção, uso indevido de recursos, fraude, conluio entre
funcionários da organização, ou entre estes e os externos a mesma. Daí a necessidade das
instituições implementarem o controlo interno.
2 Controle interno versus gestão de riscos
Não existe organização que não seja afectada por factores internos e externos que acabam
interferindo no cumprimento de seus objectivos – sejam eles estratégicos, operacionais ou
financeiros. O efeito desses factores pode resultar em um risco positivo (caso seja uma
oportunidade) ou um risco negativo (se representar uma ameaça).
Existem riscos que são comuns a todos os tipos de negócios, tais como os: estratégicos,
operacionais, financeiros, de saúde e segurança, regulatórios, ambientais, de governação,
comerciais, de crédito, de mercado, de liquidez e de capital. No entanto, a probabilidade de
ocorrerem e o impacto que terão varia de empresa para empresa.
A gestão de riscos concentra-se na identificação de ameaças e oportunidades, e o controle
interno ajuda a combater as ameaças e aproveitar as oportunidades identificadas.
A relação entre controle interno e gestão de riscos é vista na seguinte ordem:
1. Definição de objectivos organizacionais (lembrando que eles devem ser claros e bem
entendidos por todos);
2. Mapeamento e estabelecimento de prioridades dos riscos que podem interferir o
cumprimento dos objectivos; e
3. Estabelecimento de procedimentos e métodos para garantir que os riscos não
prejudiquem o negócio.

Pg 3 / 37
2.1 o que é controle interno?
Em linhas gerais, refere-se ao conjunto de procedimentos e métodos adoptados em toda a
organização para garantir:
 Eficácia e eficiência das operações;
 Precisão dos registos;
 Promoção da eficiência operacional;
 Confiabilidade de relatórios financeiros;
 Proteção dos activos; e
 Cumprimento das políticas, regras, leis e regulamentos aplicáveis.
2.2 Como definir os sistemas de controles internos compatíveis com os riscos de um
negócio?
o sistema de controle interno possui cinco etapas:
1. Ambiente de controle: concentra-se principalmente na atitude, conscientização e
acções dos responsáveis por planear, implementar e monitorar os controles internos. É a
base para outros componentes do sistema de controle interno. Os valores morais, a
habilidade de gestão, a honestidade dos funcionários, a direcção etc. estão incluídos no
ambiente de controle.
2. Avaliação de risco: após a criação do objectivo do negócio, os riscos externos e
internos devem ser avaliados. A administração determina os meios de controle de risco
após examinar os riscos relacionados a cada objectivo.
3. Actividades de controle: a gestão estabelece um sistema de actividades de controle
para evitar riscos associados a cada objectivo. Aqui estão incluídas todas as medidas que
devem ser seguidas pelos funcionários, como por exemplo: atribuir cada tarefa a apenas
uma pessoa; não responsabilizar um funcionário por todas as partes de um processo;

Pg 4 / 37
restringir acesso a informações, processos e documentos; criar políticas e
procedimentos; estabelecer manutenção de registro, entre outras.
4. Sistema de informação: informações relevantes para tomada de decisão devem ser
colectadas e relatadas em tempo hábil. A comunicação é muito importante para alcançar
objectivos de gestão e os eventos que geram dados podem se originar de fontes internas
ou externas.
5. Monitoramento: processo de avaliar a eficácia dos controles ao longo do tempo e
tomar as medidas correctivas necessárias. Esse monitoramento pode ser realizado
continuamente ou para fins de avaliação. Seja como for, ele precisa ser eficaz para que o
sistema de controle interno funcione. O monitoramento geralmente é o principal papel
dos auditores internos.
2.3 Controle interno segundo normas internacionais
A norma COSO define o controlo interno como um processo levado a cabo pelo CA, direcção
e outros membros da entidade com o objectivo de criar um grau de confiança razoável na
concretização dos seguintes objectivos: (i) Eficiência e eficácia dos recursos, (ii) Fiabilidade
e integridade da informação financeira, e (iii) cumprimento das leis e normas estabelecidas.
A Norma Internacional de Auditoria IAS 315, define controlo interno como um processo
concebido e posto em vigor pelos responsáveis pela governação interna (governance), gestão
e outro pessoal, para proporcionar segurança razoável que permita atingir os objectivos da
entidade relativamente à (i) credibilidade do relato financeiro, (ii) eficiência e eficácia das
operações e (iii) cumprimento das leis e regulamentos aplicáveis (IFAC 2004:355).
2.3.1 Objectivos do Controlo Interno
Segundo a norma internacional, o objectivo do controlo interno é cobrir riscos do negócio
identificados que ameaçam a realização de obcjectivos da empresa.

Pg 5 / 37
Segundo a norma COSO, os objectivos do controlo interno de uma maneira geral são, (i)
assegurar a confiabilidade e integridade de informação; (ii) o cumprimento das políticas,
planos, procedimentos, leis e regulamentos aplicáveis; (iii) a salvaguarda dos activos; (iv) a
utilização eficaz e eficiente dos recursos; e (v) a realização dos objectivos e metas fixadas
para as operações e programas de uma determinada organização.
2.4 Controles Internos Como Parte Integrante da Gestão Estratégica e da Gestão de
Riscos
As funções principiais do controle interno estão relacionadas ao cumprimento dos objectivos
estratégicos da organização.
Pelo que, a existência de objectivos estratégicos e metas é condição “sine qua non” para a
existência dos controles internos. Se a entidade não tem objectivos e metas claros, não há
necessidade de controles internos.
Os objectivos da organização permitem identificar riscos que podem ameaçar o seu
cumprimento; e adoptar as acções necessárias para a gestão dos riscos identificados.
A gestão de riscos inclui a identificação e a avaliação dos riscos e o tratamento aos mesmos.
Segundo IRM et al (2002:2) a gestão de riscos é uma parte central da gestão estratégica de
toda a organização. É o processo por meio do qual a organização gere metodicamente os
riscos que cercam suas actividades com o objectivo de conseguir o benefício sustentado
dentro de cada actividade e através da carteira de todas actividades. O foco da boa gestão de
riscos é a identificação e o tratamento desses riscos. Seu objectivo é: (i) adicionar o máximo
valor sustentável a todas as actividades da organização; (ii) aumentar a probabilidade de
sucesso, e (iii) reduzir a probabilidade de falhas e incertezas de conseguir os objectivos totais
da organização.

Pg 6 / 37
As três fontes de orientação mais usadas sobre os elementos de uma gestão de risco e
estrutura de controle interno são:
1. Norma Austrália / Nova Zelândia sobre gestão de Risco (AS / NZS 4360) e
manuais de acompanhamento
2. Enterprise Risk Management Conceptual Framework (publicado pela
Committee of Sponsoring Organizations of the Treadway Commission
(COSO)).
3. Internal Control - Integrated Framework (também publicado pelo COSO).

Pg 7 / 37
3 Trabalho em grupo
Apresentação de procedimentos para elaboração do Sistema/Palno de Gestão de Risco e
Controlo Interno utilizando AS/NZS 4360, COSO e ISO 31000,
3.1 Introdução
a) O processo de gestão de risco visa identificar e analisar os principais riscos da
empresa na base de objectivos estratégicos. A gestão de risco pode incluir controle
interno para garantir o funcionamento adequado da gestão de risco. Existem normas
que orientam o processo de elaboração da Gestão de Risco.
b) O processo de controlo interno depende do processo de gestão de risco para
identificar os principais riscos que precisam ser controlados. Existem normas que
orientam o processo de elaboração do Controlo Interno.
3.2 Questão
Pretende-se que em grupos de 2 ou 3 elementos arrolem e apresentem em power point os
procedimentos de elaboração da Gestão de Risco e Controlo Interno constantes das seguintes
normas.
 AS/NZS 4360:1999 Risk management, 20150309_3-NZ-AUST-2004, em anexo
 ISO - ISO 31000_2009, Risk management - Principles and guidelines (2009,
Multiple. Distributed through American National Standards Institute (ANSI)), em
anexo
 COSO-ERM-Executive-Summary-Portuguese, em anexo
 COSO-CROWE-COSO-Internal-Control-Integrated-Framework, em anexo
 Internal Control — Integrated Framework, em anexo

Pg 8 / 37
4 Normas ou modelos para elaboração do plano de gestão do risco e controlo
interno
4.1 Modelos para elaboração do plano Gestão de Riscos
Actualmente existem vários modelos de gestão de risco, entre as quais se destaca:
1. Norma de Gestão de Riscos da FERMA: Risk Management Standard emitida em 2002
pela Federation of European Risk Management Associations;
2. Norma de Gestão de Riscos Australiana AS/NZS 4360 (2004) - Risk Management
Guidelines;
3. Gestão de Risco Empresarial: ERM – Enterprise Risk Management Framework,
emitido pelo COSO;e
4. ISO 31000 da International Organization for Standardization.
Para este curso, vamos aprender três modelos:
 COSO Enterprise Risk Management — Integrated Framework
 AS/NZS 4360 (2004) - Risk Management
 ISO 31000 RISK MANAGEMENT
4.1.1 Modelo COSO Enterprise Risk Management - Integrated Framework
COSO ERM é um guia prático de fácil aplicação e é desenhado de modo a
 a perceber o que é o risco,
 de que modo é que ele está presente na empresa e
 de que forma ele pode afectar adversamente os objectivos estratégicos da organização
e a criação de valor.
4.1.1.1 O processo de gestão de risco empresarial segundo COSO ERM
O processo de gestão de risco empresarial é constituído por oito2
componentes inter-
relacionados e integrados com o processo de gestão em geral da empresa, ver a Figura 1. As
componentes são: (1) ambiente interno, (2) definição de objectivos, (3) identificação de
2
https://www.coso.org/Documents/COSO-ERM-Executive-Summary-Portuguese.pdf

Pg 9 / 37
eventos, (4) avaliação de riscos, (5) tratamento de riscos, (6) actividades de controle, (7)
informações e comunicações, e (8) monitora.
 Ambiente Interno – o ambiente interno da organização fornece a base pela qual os
riscos são identificados e abordados, inclusive a filosofia de gestão de riscos, o
apetite a risco, a integridade e os valores éticos,
 Definição de objectivos – os objectivos devem existir antes que o conselho
administração possa identificar os eventos em potencial que poderão afectar a sua
realização. A gestão de riscos corporativos assegura que o conselho de administração
disponha de um processo implementado para estabelecer os objectivos que propiciem
suporte e estejam alinhados com a missão da organização e sejam compatíveis com o
seu apetite a riscos.
 Identificação de Eventos – os eventos internos e externos que influenciam o
cumprimento dos objectivos de uma organização devem ser identificados e
classificados entre riscos e oportunidades. Essas oportunidades são canalizadas para
os processos de estabelecimento de estratégias da administração ou de seus
objectivos.
 Avaliação de Riscos – os riscos são analisados, considerando-se a sua probabilidade e
o impacto como base para determinar o modo pelo qual deverão ser administrados.
Esses riscos são avaliados quanto à sua condição de inerentes e residuais.
 Tratamento de riscos – identificar e avaliar as possíveis respostas aos riscos: evitar,
aceitar, reduzir ou compartilhar. A administração deve seleccionar o conjunto de
acções destinadas a alinhar os riscos às respectivas tolerâncias e ao apetite a risco.
 Actividades de Controle – políticas e procedimentos são estabelecidos e
implementados para assegurar que as respostas aos riscos sejam executadas com
eficácia.

Pg 10 / 37
 Informações e Comunicações – as informações relevantes são identificadas, colhidas
e comunicadas de forma e no prazo que permitam que cumpram suas
responsabilidades. A comunicação eficaz também ocorre num sentido mais amplo,
fluindo em todos níveis da organização.
 Monitoria – a integridade da gestão de riscos corporativos é monitorada e são feitas as
modificações necessárias. O monitoramento é realizado através de actividades
gerenciais contínuas ou avaliações independentes ou de ambas as formas.
Figura 1 Elementos-chave de cada componente

Pg 11 / 37
4.1.1.2 Relação entre Objectivos e Componentes Cubo ou matriz tridimensional COSO –
ERM
Existe uma relação directa entre objectivos (estratégicos, operacionais, de comunicação e
conformidade) e componentes de gestão de risco conforme é exemplificado
na Figura 2.
Figura 2 Relação entre Objectivos e Componentes
As quatro categorias de objectivos (estratégicos, operacionais, de comunicação e
conformidade) estão representadas nas colunas verticais. Os oito componentes nas linhas
horizontais e as unidades de uma organização na terceira dimensão. Essa representação
ilustra a capacidade de manter o enfoque na totalidade da gestão de riscos de uma
organização, ou na categoria de objectivos, componentes, unidade da organização ou
qualquer um dos subconjunto.

Pg 12 / 37
4.1.1.3 Eventos – Riscos e Oportunidades segundo COSO
Um evento é um incidente ou uma ocorrência gerada com base em fontes internas ou externas, que
afecta a realização dos objectivos. Os eventos podem causar impacto negativo, positivo ou ambos.
Os eventos que geram impacto negativo representam riscos. Da mesma forma, o risco é definido
como segue:
O risco é representado pela possibilidade de que um evento ocorrerá e afectará negativamente a
realização dos objectivos.
Os eventos que causam impacto desfavorável são obstáculos à criação de valor ou desgastam o valor
existente. Os exemplos incluem paralisação nas máquinas da fábrica, incêndio e perdas de créditos.
Os eventos de impacto negativo podem originar-se a partir de condições aparentemente positivas,
como nos casos em que a procura de produto pelo consumidor é superior à capacidade de
produção, o que provoca o não atendimento da procura, o desgaste na fidelidade do cliente e o
declínio de pedidos futuros.
Os eventos cujo impacto é positivo podem contrabalançar os impactos negativos ou representar
oportunidades. A oportunidade é definida da seguinte forma:
Oportunidade é a possibilidade de que um evento ocorra e influencie favoravelmente a realização
dos objectivos.
As oportunidades favorecem a criação ou a preservação de valor. A direcção da organização canaliza
as oportunidades para seus processos de definição de estratégias ou objectivos, formulando planos
que visam ao seu aproveitamento.
4.1.2 Modelo AS/NZS 4360 - Risk Management 3
A norma AS / NZS 4360 Risk Management fornece orientação genérica em todas as etapas
do processo de gestão de risco, nomeadamente: estabelecimento do contexto, identificação de
risco, análise de risco, avaliação de risco e tratamento de risco, incluindo monitoramento e
revisão, comunicação e consulta e documentação.
3
https://apps.dtic.mil/sti/pdfs/ADA434592.pdf

Pg 13 / 37
A Figura 1 apresenta a sequência das etapas do processo de gestão de risco segundo a norma
AS / NZS 4360
Figura 1 Processo de gestão de risco segundo AS / NZS 4360
A norma AS/NZS 43604
pode ser aplicada em qualquer situação de gestão de riscos em
qualquer tipo de organização, sem se restringir a um segmento específico.
 Estabelecimento do Contexto - o processo de gestão de risco ocorre no quadro
estratégico da organização, contextos organizacionais e de gestão de risco.
o Estabelecer o contexto estratégico significa identificar o ambiente em que o
organização opera, seus pontos fortes, pontos fracos, oportunidades e ameaças.
Os aspectos financeiros, políticos, sociais, culturais, jurídicos, de relações
públicas e físicos dos negócios do dia-a-dia são muito importantes para a
organização, seus funcionários e clientes. Isto também inclui as partes
interessadas externas e internas, seus objectivos e riscos percepções. A gestão
4
http://www.abepro.org.br/biblioteca/enegep2009_TN_STP_098_663_13545.pdf

Pg 14 / 37
de risco deve estar alinhada com a missão e objectivos estratégicos da
organização.
o Estabelecer o contexto organizacional significa compreender a organização,
sua estrutura, seus valores, suas políticas e seus objectivos e estratégias para o
seu alcançar. Também significa certificar-se de que os gestores entendem o
seu papel no processo de tomada de decisão com relação aos critérios de
aceitação de risco e opções de tratamento de risco.
o Estabelecer o contexto de gestão de risco significa considerar o escopo e a
profundidade da investigação de risco. Isso determina se o processo de gestão
de risco incluirá questões de toda a organização ou limitar-se-á a unidades
específicas ou projecto (s) e suas interacções. As etapas necessárias (incluindo
estudos, ferramentas, recursos) no processo de gestão de risco devem ser
identificados dentro de um sistema equilibrado de custos, benefícios e
oportunidades.
Esta fase envolve o desenvolvimento de critérios contra os quais o risco deve ser avaliado. Os
critérios geralmente dependem dos interesses das partes interessadas e dos objectivos da
organização. A natureza dos critérios pode ser operacional, técnica, financeira, social,
ambiental, jurídica, humanitária, etc.
A fase do estabelecimento do contexto termina com a definição da estrutura para o resto do
processo. Isso envolve a subdivisão da actividade, processo, projecto ou etapas, a fim de
fornecer um quadro lógico que ajuda a garantir que riscos significativos não sejam
esquecidos. A estrutura escolhida depende da natureza dos riscos e o escopo do projecto,
processo ou actividade.
 Identificação de riscos - nesta etapa do processo de gestão de riscos, deve-se aplicar
uma abordagem bem estruturada e sistemática e tentar identificar todos os riscos que
possam surgir. Não fazer isso pode representar um grande impacto negativo para as
actividades da empresa. Além disso, qualquer risco não identificado naturalmente
nem sequer é incluído no plano de gestão de risco. Existem vários métodos possíveis
de identificação de riscos, por exemplo entrevistas, auditorias, pesquisas, discussões
em grupo, brainstorming, análise de cenário, análise de sistemas, etc.

Pg 15 / 37
A identificação de risco deve dar respostas às seguintes perguntas:
 O que pode acontecer?
 Como e por que isso pode acontecer?
A questão “O que pode acontecer?” visa gerar uma lista abrangente das fontes de
risco e as áreas de impacto do risco. Essa lista pode ser longa, daí a necessidade de
um lista genérica. O Apêndice D2 de AS / NZS 4360: 1999 fornece uma lista genérica
de fontes de risco incluindo relações comerciais e jurídicas, circunstâncias
económicas, comportamento humano, eventos naturais, circunstâncias políticas,
questões tecnológicas e técnicas, etc. Apêndice D3 contém uma lista genérica de
possíveis áreas de impacto de risco, por exemplo, activo e recurso base, receita e
direitos, pessoal, custos, desempenho, comunidade, cronograma de actividades, etc.
A questão "Como e por que isso pode acontecer?" visa considerar possíveis causas e
cenários previstos na lista de fontes de risco e as áreas de impacto.
 Análise de risco - nesta etapa, são consideradas as consequências do risco (impacto
ou magnitude do efeito) e probabilidade (medida pela frequência ou probabilidade) de
ocorrência de risco para combiná-los em o nível de risco e os riscos aceitáveis muito
baixos são separados dos riscos principais e excluídos de uma avaliação posterior.
A análise de risco é para evitar subjectivismo e, portanto, deve ser baseada nas
melhores fontes disponíveis de técnicas de gestão de informações e dados. A norma
AS / NZS 4360 contem uma lista registos anteriores, literatura publicada, pesquisa de
mercado, prática e experiência individual e da indústria, vários modelos e opiniões de
especialistas.
As técnicas podem incluir entrevistas, questionários, discussões em grupos de
especialistas, modelagem computacional, análise estatística e ferramentas de tomada
de decisão.

Pg 16 / 37
Existem três tipos de métodos aplicáveis na análise de risco (em ordem de
complexidade): qualitativo, semiquantitativo e quantitativo. Normalmente, começa-se
com a análise qualitativa para obter uma estimativa aproximada do nível de risco e,
em seguida, prossegue-se com a análise quantitativa.
A análise qualitativa determina as consequências e a probabilidade de forma verbal com base
em escalas descritivas. É aplicado para determinar o nível de risco onde tempo e dinheiro não
justifica uma análise mais detalhada. Sua adequação é bastante evidente em situações de risco
com partes interessadas de várias origens, interesses e matemática / estatística competência.
A análise qualitativa é uma ferramenta mais eficiente quando os dados numéricos são
inadequada para análise quantitativa. O Apêndice E do AS / NZS 4360 dá exemplos de
escalas descritivas para probabilidade e consequências e o nível de risco resultante matriz.
Eles são reproduzidos na Tabela 1, Tabela 2 e Tabela 3.
Tabela 1 Medidas Qualitativas de Consequência ou Impacto
ou no caso de reconhecimento e exploração de oportunidades:

Pg 17 / 37
Tabela 2 Medidas qualitativas de probabilidade
Tabela 3 Matriz de análise qualitativa de risco
 A análise semiquantitativa substitui as escalas descritivas qualitativas por número
consequências. O que conta é a consistência na abordagem de priorização. Esse
tipo de análise é suposto ir um grau de detalhe mais longe, mas sem alcançar um
avaliação totalmente realista dos níveis de risco. Os números são usados apenas
para comparação e quaisquer cálculos não fazem sentido.
• A análise quantitativa é aplicada quando a probabilidade e as consequências
podem ser quantificado. A qualidade dos dados numéricos e a sofisticação dos
métodos usados para determinar a precisão da análise. As consequências são
formuladas em termos de critérios monetários, técnicos ou humanos, enquanto a
probabilidade é apresentada como frequência ou probabilidade. Além disso, eles
são combinados para formar o nível de risco e o resultado depende essencialmente
no tipo de risco e no contexto. Apêndice F de AS / NZS 4360: 1999 fornece
exemplos de expressões de risco quantitativas, ou seja, risco de fatalidade, risco
de saúde, risco de perda ou ganho financeiro, etc.
Na análise semiquantitativa e quantitativa, a probabilidade é algumas vezes descrita como a
combinação de probabilidade e frequência de exposição. Frequência das medidas de
exposição a força da associação com a fonte de risco, enquanto a probabilidade mede o

Pg 18 / 37
chance de experimentar as consequências, dada a origem do risco. Tem que ser cuidado se
houver uma forte relação entre a frequência de exposição e a probabilidade
 Avaliação de risco - nesta etapa do processo elaboração do plano de gestão de risco,
o nível de risco é comparado com os critérios de risco pré-estabelecidos. A avaliação
de riscos produz uma lista classificada de riscos. Os riscos são classificados como
aceitáveis ou inaceitáveis. Os riscos aceitáveis devem ser monitorados e seus status
aceitável revisto periodicamente. Riscos inaceitáveis devem ser priorizados para
tratamento. A avaliação de risco deve considerar o quadro geral, incluindo os
objectivos das partes interessadas e a tolerabilidade ao risco, o grau de controle
sobre cada risco, o custo, os benefícios e as oportunidades potenciais.
O nível de risco, produzido na etapa de análise de risco, e os critérios de risco,
geralmente estabelecidas na etapa de contexto, devem ser considerados na mesma
base. Por exemplo, níveis qualitativos de risco devem ser comparados com critérios
qualitativos e, alternativamente, níveis quantitativos com critérios quantitativos. Um
risco aceitável, que não vai ser tratado, não é necessariamente um risco insignificante.
Existe varias razões para aceitar riscos, incluindo
• a indisponibilidade de tratamento dentro de determinados recursos, ou
• indisponibilidade de tratamento totalmente, ou
• custos proibitivo de seguros.
Às vezes, as vantagens podem superar as desvantagens, tornando o risco mais justificável.
Os riscos inaceitáveis são priorizados para a consideração dos gestores e devem ser
incluídos nos planos de tratamento de riscos da organização incluindo alocação de
responsabilidades no processo de tratamento de risco com relação ao nível de risco.

Pg 19 / 37
 Tratamento de Risco - esta etapa do processo de elaboração do plano de gestão de
risco começa com a aceitação, monitoramento e revisão dos riscos de menor
prioridade. Para todos os outros riscos não aceitáveis, é necessário identificar opções
de tratamento, avaliar essas opções de tratamento, preparar planos de tratamento e
implementá-los. Um fluxograma detalhado do processo de tratamento de risco é
mostrado na

Pg 20 / 37
 Figura 2 a seguir.

Pg 21 / 37
Figura 2 Processo de Tratamento de Risco
Todas as actividades devem atender às metas e objectivos da organização e ser realizadas
dentro de limites de financiamento estabelecidos. Além disso, os recursos de tratamento de
risco são em principio determinados e estabelecidos na etapa de contexto do processo de
gestão de risco.
Para os riscos inaceitáveis e já priorizados, várias opções de tratamento devem ser
identificados e considerados, incluindo:

Pg 22 / 37
• Evitar o risco ao não prosseguir com a actividade que o contém. Se a prevenção
de risco for adoptada inadequadamente devido a uma atitude de aversão ao risco,
pode causar um aumento da níveis de outros riscos. A aversão ao risco pode levar
à má tomada de decisão, atrasos no processo de tratamento do risco e, em última
análise, falha no tratamento do risco. Na verdade, evitar riscos significa recusar
aceitar o risco. Escolher um componente alternativo menos arriscado dentro da
actividade, ou escolher uma actividade diferente, mas mais aceitável, não é
necessariamente evitar o risco, é antes um tratamento de risco que visa a redução
da probabilidade ou consequências.
• Reduzir a probabilidade de ocorrência ou as consequências do risco, ou ambos.
Apêndice G da AS / NZS 4360 fornece uma lista de acções para reduzir a
probabilidade de risco ocorrência e uma lista de procedimentos para reduzir as
consequências.
• Transferir o risco total ou parcialmente, significa envolver outra organização em
assumir risco como um todo ou na partilha de alguma parte do risco. Desta forma,
a organização original irá reduzir o risco para si mesmo, mas pode não cancelá-lo
completamente.
• Reter o risco, geralmente residual, após a conclusão da redução de risco ou
procedimentos de transferência de risco. O risco pode ser retido por padrão
quando não é tratado pela organização. Redução da probabilidade de ocorrência e
redução das consequências são às vezes chamado de controle de risco.
Avaliar as opções de tratamento é considerar a sua viabilidade, benefícios e custos, para
recomendar estratégias de tratamento e para seleccionar uma estratégia de tratamento. Avaliar
as opções de tratamento de risco é um processo que deve ser conduzido no que diz respeito à
extensão da redução do nível de risco, de o número de oportunidades recém-criadas, do
tamanho dos benefícios adicionais e com respeito aos critérios de avaliação de risco,
incluindo restrições orçamentárias.
Avaliar as opções de tratamento de risco pode incluir priorização de implementação devido a
limitação de recursos financeiros. Às vezes, o custo cumulativo das opções excede o
orçamento. Assim, várias pesquisas operacionais e outras técnicas devem ser aplicadas

Pg 23 / 37
estritamente para determinar a ordem de prioridade sob a qual as opções de tratamento de
risco entrarão no plano de tratamento.
Planos de tratamento mostram como as estratégias de tratamento seleccionadas devem ser
Implementadas, delegam responsabilidades, fornecer cronogramas, descrever os efeitos
esperados do tratamento, garantem recursos adequados, determinam medidas de desempenho
e estabelecem um processo de revisão rigoroso. Os planos devem incluir critérios de
desempenho contra os quais a implementação das opções de tratamento de risco deve ser
testado.
Os planos de tratamento geralmente contêm marcos críticos necessários no monitoramento da
implementação. A implementação de planos de tratamento requer a existência de um sistema
de gestão capaz de identificar as técnicas a serem utilizadas, atribuindo as responsabilidades a
nível individual e monitorando o processo em relação aos critérios especificados.
 Monitorar e rever - monitorar e rever não é apenas uma etapa, mas um processo
contínuo embutido no processo de gestão de risco. Os riscos mudam com o tempo e
as circunstâncias. Daí a necessidade de monitorizar os mesmos e os seus ambientes,
a implementação dos planos de tratamento dos riscos, o sistema de controlo dos
riscos criado e os contextos e prioridades de risco estabelecidos. A revisão é um
processo contínuo e parte integrante do plano de gestão de riscos. Isso garante que o
plano permaneça relevante e actualizado. Ele apresenta todas as mudanças no
processo de gestão de risco. A inevitável repetição regular do ciclo de gestão de
risco é baseada no processo de revisão.

Pg 24 / 37
 Comunicar e consultar - comunicar e consultar também fazem parte integrante do
processo de gestão de riscos. É contínuo e dura enquanto todo o processo de gestão
de riscos. A comunicação e a consulta são processos importantes e envolvem um
fluxo de informações bidirecional entre todas as partes interessadas. Recomenda-se
ter um plano de comunicação vinculando as partes interessadas externas e internas
desde o início e relacionado a cada etapa do processo de gestão de riscos. A consulta
deve ter prioridade em vez de simplesmente passar informações dos tomadores de
decisão para os outros participantes do processo. A comunicação eficaz é vital para
garantir que os gerentes de risco e todas as partes interessadas compreendam a base
para as decisões tomadas e as acções realizadas. A percepção de risco entre as partes
interessadas difere devido às diferenças de interesses, necessidades, suposições,
conceitos e experiências. As decisões relativas à aceitabilidade do risco são
geralmente feitas com base na percepção do risco. As partes interessadas têm um
papel significativo no processo de tomada de decisão. Portanto, é importante ter
todas essas percepções, e tudo o que delas flui, identificado e documentado.
4.1.3 Modelo ISO 31000 Risk management
Esta norma teve como base a norma AS/NZS 4360 (2004) e foi desenvolvida por uma
comissão composta por delegações de 35 países que se uniram para criar um grupo de
trabalho multidisciplinar designado ISO Technical Management Board on Risk Management
e que abrangeu especialistas em gestão de risco de diversas áreas, como a financeira,
segurança, qualidade, meio ambiente, tecnologia, saúde, defesa, seguros, entre outros. O
trabalho obtido não representa apenas as conclusões desta comissão mas as opiniões e
experiências de centenas de profissionais envolvidos em gestão de risco.
A necessidade de se criar uma norma internacional específica para a gestão de riscos resultou
do facto de a ISO ter constatado que existiam diversos grupos de trabalho que desenvolviam
normas e procedimentos sobre gestão de risco e que utilizavam conceitos, terminologias,
processos e pressupostos diferentes, criando muitas inconsistências e ambiguidades entre os
diferentes normativos. Com base nessa informação foi criada a ISO 31000 com o objectivo
de integrar e padronizar todos esses conceitos, terminologias, regulamentação e frameworks
anteriormente publicados, através de um processo consistente e uma estrutura abrangente, e

Pg 25 / 37
de estabelecer os princípios e orientações genéricas sobre a estrutura e a implementação de
um sistema de gestão de risco de forma a ajudar as organizações a gerir o risco de forma
eficaz, eficiente e coerentemente .
A ISO 31000 adoptou o processo de gestão de risco da AS / NZS 43605
, ilustrando na Figura
3, nomeadamente: estabelecimento do contexto, identificação de risco, análise de risco,
avaliação de risco e tratamento de risco, incluindo monitoramento e revisão, comunicação e
consulta e documentação.
Figura 3 O processo de gestão de risco
5
http://broadleaf.com.au/resource-material/a-simple-guide-to-risk-and-its-management/

Pg 26 / 37
 Estabelecer o contexto - o processo de gestão de risco deve começar por definir o
que queremos alcançar e entender os factores externos e internos que podem
influenciar o sucesso dos objectivos. Esta etapa, chamada de "estabelecer o
contexto", é um precursor essencial para a identificação de risco. Uma parte
importante para estabelecer o contexto é identificar os stakeholders e entender seus
os objectivos, para que possamos avaliar como envolvê-los e incluir os seus
objectivos em consideração na definição de critérios de risco. A análise das partes
interessadas é frequentemente vista como parte da etapa de ‘comunicar e consultar’,
uma actividade que continua ao longo do processo de gestão de risco.
 Avaliação de risco - os próximos três elementos do processo, (1) identificação de
risco, (2) análise de risco e (3) avaliação de risco, compreendem o que é geralmente
chamado de avaliação de risco.
(1) Identificação de risco - identificação de riscos envolve a aplicação de um
processo sistemático para entender uma série de exemplos do que pode
acontecer, como, quando e por quê. Compreender esses 'cenários' de exemplo é
vital para informar o tratamento de risco.
A falha em empregar um processo sistemático de identificação de riscos pode levar
as organizações a perder alguns riscos e concentrar sua atenção apenas nos riscos
'conhecidos' e, portanto, perder aqueles que são 'desconhecidos conhecidos' ou
'desconhecidos desconhecidos' que podem então nunca ser tratados adequadamente.
A identificação de riscos também deve identificar os controles existentes que visam
modificar as consequências ou sua probabilidade.

Pg 27 / 37
(2) Análise de risco - análise de risco está preocupada em desenvolver uma
compreensão de cada risco, suas consequências e a probabilidade dessas
consequências. Isso envolve muito mais do que a simples aplicação de uma
matriz, que é o máximo que algumas organizações fazem na classificação de
riscos. Por exemplo, compreender a eficácia dos controles existentes e quaisquer
lacunas de controle é uma parte vital da análise de risco e deve ser explorada
antes de tomar decisões sobre o tratamento de risco. Normalmente determinamos
o nível de risco actual, levando em consideração os controles existentes e seu
nível de eficácia.
(3) Avaliação de risco - a avaliação de risco envolve a tomada de decisão sobre o
nível ou prioridade de cada risco por meio da aplicação dos critérios
desenvolvidos quando o contexto foi estabelecido. Os riscos são priorizados para
atenção e a análise de custo-benefício é usada para determinar se o tratamento de
risco vale a pena.
 Tratamento de risco - o tratamento de risco normalmente envolve actividades que
visam alterar a probabilidade das consequências ou o tipo, magnitude ou momento
dessas consequências. O tratamento de risco pode envolver o aumento da exposição
da organização aos riscos que ela prefere e dos quais pode se beneficiar, bem como
limitar a exposição àqueles de que não gosta.
A visão tradicional do tratamento de risco envolvia a transferência de risco ou sua
retenção. A transferência de risco é agora mais geralmente conhecida como partilha
de risco, em reconhecimento ao facto de que um risco não pode ser completamente
transferido sem que outros riscos sejam incorridos. Por exemplo, a compra de seguro
é freqüentemente citada como uma forma de transferência de risco. No entanto, isso
envolve o segurado aceitar parte do risco (a franquia), bem como tolerar o risco
associado a redacções restritivas e uma relutância geral da seguradora em pagar os
sinistros. Os segurados também assumem o risco de que a seguradora falhe (como
aconteceu nas últimas décadas) e seus prêmios sejam perdidos e os sinistros não
sejam pagos. Considerações semelhantes se aplicam a partilha de riscos por meio de
outras formas de contrato.

Pg 28 / 37
As opções de tratamento de risco devem sempre ser consideradas, por meio da
aplicação da análise de custo-benefício, podem ser tomadas decisões sobre as mais
adequadas para a organização. Isso deve ser traduzido em acções ou tarefas
específicas que formam um plano de tratamento de risco,
 Monitoramento e revisão - novos riscos surgem e os riscos existentes mudam à
medida que o ambiente interno e externo de uma organização muda. Às vezes, essas
mudanças surgem por causa do que fazemos no tratamento de risco.
Frequentemente, descobrimos que os riscos mudaram porque os controles nos quais
podemos ter confiado por muitos anos se tornaram inadequados ou ineficazes. A
menos que uma organização monitore como seu contexto interno e externo muda e
analise se seus controles permanecem eficazes, então sua avaliação dos riscos que
enfrenta e os níveis desses riscos podem estar incorrectos.

Pg 29 / 37
4.2 Diferenças entre a ISO 31000 e o COSO ERM
Não há dúvidas que ISO 31000 e COSO são os dois principais padrões de gestão de risco
mais conhecidos6
. A seguir são apresentadas algumas semelhanças e diferenças entre os dois
principais padrões de gestão de risco do mundo.
4.2.1 ISO 31000 vs. COSO - Semelhanças
1. Ambos padrões expandem o escopo da gestão de risco.
Em vez de apenas limitar os riscos negativos, os dois padrões ajudam a orientar e encorajar a
assunção de riscos.
2. Ambas versões pretendem ser directrizes.
Nem a ISO 31000 nem o COSO são projectados para uma organização obter uma certificação
de conformidade. A ISO 31000 destina-se especialmente a fornecer orientação de alto nível
sobre os componentes de uma estrutura de gestão de risco e a gestão de riscos deve ser
adaptado em cada organização. É a responsabilidade da empresa adaptar o “padrão” às suas
necessidades e cultura.
3. Ambas versões são uma melhoria dramática.
A versão COSO actualizada foi lançada em 2017 e a ISO 31000 actualizada em 2018. A
versão de 2004 do COSO, por exemplo, usou um "cubo" tridimensional que muitos acharam
confuso para ilustrar os princípios da estrutura.
4. Ambos os padrões incorporam a gestão de risco nos processos de decisão.
Incorporar o risco no processo de tomada de decisão da organização é uma parte fundamental
para garantir que a organização possa assumir os riscos certos na quantidade certa. Tanto ISO
6
https://www.erminsightsbycarol.com/iso-31000-vs-coso/

Pg 30 / 37
31000 quanto o COSO mencionam a importância disso - a ISO 31000 menciona 17 vezes
enquanto o COSO discute a tomada de decisão, mas não com tanto destaque.
Embora cada padrão mencione a importância de incluir o risco no processo de tomada de
decisão, ambos ignoram completamente a ciência da tomada de decisão. Conforme explicado
por Alex Sidorenko, a ISO 31000 traça um processo de risco muito tradicional (identificação,
avaliação, etc.), quando na realidade existe uma “sequência diferente de eventos” na hora de
tomar decisões.
4.2.2 ISO 31000 vs. COSO – Diferenças
As diferenças entre ISO 31000 e COSO superam em muito as semelhanças. Esta é uma das razões
pelas quais muitas organizações dizem que usam uma combinação de ambos os padrões. Algumas
dessas diferenças incluem:
1. Estrutura
A versão mais recente da ISO 31000 é mais padronizada do que o COSO, provavelmente
porque foi desenvolvida por uma organização internacional de padrões. O padrão ISO é de
apenas 16 páginas e pode ser lido em menos de uma hora.
O COSO, por outro lado, tem mais de 100 páginas. Embora inclua mais recursos visuais, não
segue nenhum tipo de padrão “estrutural” comum.
2. Geografia
A ISO 31000 foi adoptada como o padrão oficial de gestão de risco por organizações de
padrões nacionais em aproximadamente 57 países no final de 2015. Ao desenvolver a versão
2018, a Organização Internacional de Padronização recebeu mais de 5.000 comentários de
mais de 70 países.

Pg 31 / 37
O COSO, por sua vez, foi desenvolvido em parceria com a PwC, uma das “Big Four” de
contabilidade e consultoria. Quase todos os principais contribuintes da actualização de 2017
estão localizados em Washington, D.C. ou na cidade de Nova York.
3. Público-alvo
Como o COSO (a organização, não o padrão) tem sua origem focalizada no fornecimento de
uma estrutura de controle interno, o padrão COSO ERM é voltado mais para as pessoas em
contabilidade e auditoria. Hans Læssøe, ex-diretor sênior de gestão de risco estratégico da
LEGO e autor de Prepare to Dare, afirma que o COSO foi “... criado e focalizado nas
necessidades dos auditores”. Embora a versão actualizada de 2017 coloque maior ênfase na
estratégia, ela ainda está fortemente voltada para o lado auditável do ERM.
Por outro lado, a ISO 31000 foi escrita para qualquer pessoa interessada em gestão de risco.
Muitas organizações optam por confiar fortemente na ISO 31000 por causa de estarem a usar
outros padrões ISO.
4. Foco
Talvez mais uma vez devido às suas origens na auditoria e controle interno, o COSO se
concentra mais na governação corporativa geral. Alex Sidorenko explica que mais de 50%
dos materiais do COSO discutem coisas como como o conselho deve supervisionar toda a
organização, não necessariamente os riscos. Muitos acham que os conselhos de administração
terão dificuldade em ver como o risco pode e deve ser mais do que apenas um processo
complementar.
A ISO concentra-se quase exclusivamente no risco e na sua incorporação no processo de
planeamento estratégico. Também fornece informações mais específicas para ajudar os
conselhos a definir e cumprir melhor as suas responsabilidades de supervisão de riscos.

Pg 32 / 37
5. Estrutura e processos
ISO fornece uma distinção clara entre uma estrutura e um processo. Embora o processo que
ISO descreve ainda seja muito tradicional, ele fornece mais detalhes sobre a base real de
identificação de riscos, avaliação e muito mais.
COSO combina esses dois conceitos. No entanto, apenas um dos cinco componentes da
estrutura menciona o processo real de gestão de risco.
6. Apetite de risco
O padrão original de gestão de risco da ISO lançado em 2009 não mencionou o conceito de
apetite pelo risco. A versão 2018 menciona brevemente o tópico de “critérios” de risco, mas a
menção é mínima e usa uma terminologia diferente de outros recursos.
A versão de 2017 do COSO discute o apetite de risco com muito mais detalhe e fornece
muitos exemplos visuais dos conceitos de apetite de risco, tolerância e capacidade.
7. Centrado em Risco vs. Sucesso
Embora a actualização do COSO de 2017 se concentre mais em atingir os objectivos, muitos
acham que ainda incentiva a “caça” ao risco ou é centrada no risco. Como explica Hans
Læssøe, o objectivo da gestão de risco é “... criar e proteger valor, não minimizar a assunção
de riscos”.
Embora não esteja no nível que muitos gostariam, a ISO 31000 dá maior ênfase em ajudar a
organização a cumprir com os seus objectivos, em vez de simplesmente evitar consequências
negativas de risco (s).
As comparações acima não são uma lista exaustiva de características, apenas provavelmente
as mais importantes.

Pg 33 / 37
4.3 Portanto, a questão é ... qual escolher?
A escolha dependerá das necessidades e cultura da organização.
4.4 Mas será a escolha de um pode excluir o outro?
Tim Leech acredita que cada padrão contém “boas orientações”, mas nenhum deles pode ser
tomado e aplicado exclusivamente. E Norman Marks diz que ambos padrões são úteis para
ler e compreender e, apesar das melhorias em relação às versões originais, as melhores
práticas de gestão de risco são mais avançadas do que ISO 31000 e COSO.
Não tente usar um padrão força-lo à sua organização.. E não se esqueça de que todos (desde o
Conselho e executivos até gestores e funcionários de nível básico) serão capazes de notar a
escolha forçada, e seus esforços vão parar ou simplesmente falhar.

Pg 34 / 37
4.5 Modelos de Controlo Interno
COSO Internal Control – Integrated Framework 2013
COSO é um dos modelos de controlo interno mais conhecido e utilizado internacionalmente,
devido, sobretudo,
 à facilidade na sua implementação,
 à adequação a todo o tipo de organização,
 ao facto de destacar uma visão integrada da empresa,
 à ênfase nos objectivos definidos pela empresa e nos riscos associados,
 ao foco nos processos e no facto de o controlo dever ser parte integrante desses
processos.
Uma vez que o modelo COSO é universal e genérico deve ser adaptado à realidade e às
características da organização para que seja usado como metodologia de avaliação dos
controlos internos definidos pela organização.
O modelo COSO identifica cinco componentes de controlo inter-relacionados e que precisam
de estar integrados para assegurar o alcance dos objectivos definidos, oferecendo uma
estrutura eficaz para descrever e analisar o sistema de controlo interno implementado numa
organização. Os cinco componentes são:
1. Ambiente de controlo – é a base para todos os outros componentes do controlo interno
proporcionando disciplina e estrutura, incluindo factores como integridade, ética,
competência, autoridade e responsabilidade;
2. Avaliação dos riscos – envolve a identificação e análise pela gestão dos riscos
relevantes que influenciam a execução dos objectivos definidos pela organização
formando uma base para determinar como os riscos devem ser geridos;

Pg 35 / 37
3. Actividades de controlo – são as políticas/procedimentos implementados para
assegurar que as acções identificadas pela gestão como necessárias para mitigar os
riscos são efectivamente realizadas
4. Informação e comunicação – suportam os outros componentes através da captação e
5. comunicação oportuna da informação relevante por toda a organização; e
6. Monitorização ou supervisão – abrange a supervisão dos controlos internos pela
gestão ou outras entidades externas ao processo, as actividades da auditoria interna, a
avaliação contínua do desempenho do sistema de controlo, os questionários de auto-
avaliação e a constante adaptação do sistema à realidade.
Todos os componentes são relevantes para cada categoria de objectivos e devem estar
presentes e a funcionar eficazmente, pois só assim o controlo interno pode ser eficaz.

Pg 36 / 37
5 Lista consolidada de ferramentas e técnicas para identificação de riscos7
7
https://www.researchgate.net/profile/David_Hillson/publication/228633220_A_Comparative_Review_of_Risk
_Management_Standards/links/5425a0a10cf26120b7ad1ace/A-Comparative-Review-of-Risk-Management-
Standards.pdf

Pg 37 / 37
Presenças 13 07 2022

Controles internos e gestão de riscos

Recomendados

Recomendados

Mais conteúdo relacionado

Semelhante a Controles internos e gestão de riscos

Semelhante a Controles internos e gestão de riscos (20)

Último

Último (8)

Controles internos e gestão de riscos