Trending
Blog Verbo Jurídico
You are at:»»Operacionalizando o COSO (2013) em Entidades Públicas: avaliar e fortalecer o controle interno na prática da auditoria
Notícias

Operacionalizando o COSO (2013) em Entidades Públicas: avaliar e fortalecer o controle interno na prática da auditoria

By on 0 Comments

A aplicação do COSO (2013) no setor público exige traduzir seus cinco componentes e 17 princípios em práticas de controle aderentes aos objetivos institucionais e às exigências normativas. Este guia organiza uma abordagem de implementação e avaliação baseada na eficácia (presença e funcionamento), com integração às normas do IIA e atenção a riscos de fraude, tecnologia e racionalização de controles que geram morosidade.

Estrutura do COSO (2013) orientada ao setor público

  • Objetivos: operacional, relato (interno e externo) e conformidade. Em entidades públicas, considere metas de políticas públicas, salvaguarda de ativos, fidedignidade de informações orçamentárias/financeiras e aderência a exigências legais e de controle externo.
  • Cinco componentes interdependentes: ambiente de controle; avaliação de riscos; atividades de controle; informação e comunicação; atividades de monitoramento. A eficácia depende de cada componente e dos princípios relevantes estarem presentes e funcionando, operando em conjunto.
  • Princípios e pontos de foco: utilize os pontos de foco do COSO como critérios práticos para desenho, implementação e testes, sem tratar como checklist mecânico.

Do planejamento estratégico ao processo: linha de implementação

1) Clarificar objetivos por categoria e nível (institucional, processos-chave, atividades).

2) Mapear riscos a cada objetivo, com análise de probabilidade e impacto, incluindo risco de fraude e de tecnologia.

3) Selecionar/desenvolver atividades de controle (preventivas/detectivas, manuais/automatizadas, gerais de TI e de aplicação), mantendo segregação de funções e trilhas de auditoria.

4) Definir requisitos de informação de qualidade (relevância, tempestividade, completude) e fluxos de comunicação interna/externa.

5) Estabelecer monitoramento contínuo e avaliações independentes, com planos de ação e accountability.

Avaliação de eficácia: presença, funcionamento e operação conjunta

  • Presença: o desenho do controle/princípio existe e cobre o risco/objetivo relevante (ex.: política formal, matriz de segregação, regras de acesso lógico, trilhas de auditoria configuradas).
  • Funcionamento: o controle opera conforme o desenho, com evidência suficiente e adequada (ex.: logs, amostras de transações, relatórios de exceção, reconciliações assinadas).
  • Operação conjunta: os cinco componentes se reforçam mutuamente (ex.: cultura ética sustenta o cumprimento de políticas; relatórios confiáveis retroalimentam o monitoramento).
  • Critérios práticos: defina escalas de avaliação (por exemplo, eficaz, parcialmente eficaz, ineficaz) e níveis de materialidade e tolerância a risco para priorizar deficiências significativas.

Integração com normas do IIA e referências de administração pública

  • Normas do IIA: alinhe planejamento, execução e comunicação de resultados aos padrões profissionais, incluindo julgamento baseado em risco, evidência suficiente e adequada, e independência organizacional. O Modelo das Três Linhas auxilia na definição de papéis entre gestão, funções de controle e auditoria interna.
  • No âmbito federal brasileiro, a Instrução Normativa CGU nº 3/2017 disciplina a atividade de auditoria interna governamental e remete às normas profissionais do IIA. Utilize-a como referência para escopo, plano anual baseado em risco e comunicação com a alta administração, nos termos vigentes.
  • Convergência prática: traduza objetivos e riscos do setor público (orçamento, licitações, gestão de pessoas, transferências e convênios, integridade e transparência) em testes por princípio do COSO.

Tríade da fraude incorporada ao desenho de controles

  • Pressão, oportunidade e racionalização devem constar do registro de riscos. Controles-chave: due diligence de terceiros, segregação de funções em compras e folha, análise de conflitos de interesse, canais de denúncia, analytics para anomalias, revisões independentes e rotação de responsabilidades sensíveis.
  • Conecte tais controles ao princípio de avaliação de risco de fraude e às atividades de controle correspondentes, definindo indicadores de alerta precoce (ex.: fornecedores com CNPJ recente e alto volume; alterações manuais recorrentes; aprovações sequenciais por mesmos usuários).

Controles sobre tecnologia: gerais e de aplicação

  • Controles gerais de TI: gestão de acessos (provisão, revisão periódica, princípios de menor privilégio), gestão de mudanças (segregação entre desenvolvimento e produção, homologação), operações de TI (backups, continuidade, monitoração).
  • Controles de aplicação: validações de entrada, autorizações automáticas, consistência e integridade de processamento, trilhas de auditoria, reconciliações automatizadas.
  • Alocação no COSO: desenhe-os no componente “Atividades de Controle” e sustente sua qualidade pelos princípios de “Informação e Comunicação” (relevância e qualidade da informação) e “Monitoramento” (contínuo e independente), incluindo uso de data analytics e monitoração contínua de controles.

Racionalização de controles e combate à morosidade burocrática

  • Critério risco–benefício: elimine ou simplifique controles cujo custo (tempo, recursos, gargalos) supere o benefício de mitigação, mantendo o risco dentro do apetite aprovado pela governança.
  • Ferramentas: mapeamento de processos com tempos de ciclo, identificação de redundâncias (aprovações em série sem valor agregado), análise de duplicidades entre controles manuais e automatizados, e testes de desempenho (taxa de exceções reais versus falsos positivos).
  • Salvaguardas: preservar segregação de funções, trilhas de auditoria e controles compensatórios quando houver redução de etapas. Formalize mudanças em normativos internos, com comunicação e treinamento, registrando a avaliação de risco que fundamentou a decisão.

Programa de auditoria por princípio: exemplos práticos

  • Ambiente de controle: evidências de compromisso ético (código de conduta divulgado e treinado), estrutura de autoridade e responsabilidades claras, critérios de desempenho e integridade.
  • Avaliação de riscos: objetivos documentados por processo, matriz de riscos incluindo fraude e TI, critérios de apetite/tolerância e revisão periódica.
  • Atividades de controle: matriz SoD, parâmetros de sistemas e autorizações, reconciliações e revisões independentes, controles automatizados críticos testados por reexecutação/ITGC.
  • Informação e comunicação: definição de requisitos informacionais, qualidade de dados-chave (cadastros, base orçamentária), canais de comunicação interna e prestação de contas externa sobre o controle interno quando aplicável.
  • Monitoramento: indicadores-chave de controle (KCI), avaliações contínuas pela gestão, avaliações independentes e plano de ação com prazos, responsáveis e verificação de implementação.

Julgamento profissional e materialidade pública

Na administração pública, a avaliação deve ponderar não apenas impacto financeiro, mas também legalidade, continuidade de serviços essenciais e confiança pública. O julgamento profissional orientado por risco, sustentado por evidência e transparente quanto a premissas, é a âncora para concluir sobre a eficácia do sistema de controle interno à luz do COSO (2013).

Matricule-se na Pós-Graduação em Auditoria Interna e Controle Governamental

Share.

About Author

Related Posts

Comments are closed.