Resolução nº 61/2017
Atualizado em
RESOLUÇÃO Nº 61 DE 23 DE OUTUBRO DE 2017
Adequada pela Resolução Nº21/2020
Aprova a Política de Governança, Gestão de Riscos e Controles Internos do IFPR.
O CONSELHO SUPERIOR DO INSTITUTO FEDERAL DO PARANÁ, no uso de suas atribuições legais e estatutárias, considerando o Parecer do Conselho de Administração e Planejamento nº 08/2017 e tendo em vista o parecer exarado pela conselheira Belquis Oliveira Meireles no Processo 23411.003580/2017-15,
RESOLVE:
Art. 1º Aprovar a Política de Governança, Gestão de Riscos e Controles Internos do Instituto Federal do Paraná, nos termos do anexo desta Resolução.
Art. 2º Esta Resolução entra em vigor nesta data, com ampla publicação e divulgação na página eletrônica do IFPR.
ODACIR ANTONIO ZANATTA
PRESIDENTE
ANEXO DA RESOLUÇÃO Nº 61/2017 – CONSUP (alterado pelo anexo da Resolução 21/2020)
POLÍTICA DE GOVERNANÇA, GESTÃO DE RISCOS E CONTROLES INTERNOS DO IFPR
1. INTRODUÇÃO
O Instituto Federal do Paraná (IFPR) declara seus critérios de avaliação e gestão de risco, se comprometendo com o fortalecimento da Gestão, apoiando-se em um sistema de Controle Interno, manual ou automatizado, que gere garantias para o cumprimento de seus objetivos institucionais, e que permita que a Instituição opere com um nível aceitável de risco.
2. JUSTIFICATIVA
Esta Política visa atender a Instrução Normativa Conjunta nº 01, de 10 de maio de 2016, do MINISTÉRIO DE PLANEJAMENTO, ORÇAMENTO E GESTÃO e a CONTROLADORIA-GERAL DA UNIÃO.
3. CONCEITOS
Para fins desta Política de Governança, Gestão de Riscos e Controles Internos, considera-se:
I. accountability: conjunto de procedimentos adotados pelas organizações públicas e pelos indivíduos que as integram que evidenciam sua responsabilidade por decisões tomadas e ações implementadas, incluindo a salvaguarda de recursos públicos, a imparcialidade e o desempenho das organizações (responsabilização);
II. apetite a risco: nível de risco que uma organização está disposta a aceitar;
III. auditoria interna: atividade independente e objetiva de avaliação e de consultoria, desenhada para adicionar valor e melhorar as operações de uma organização. Ela auxilia a organização a realizar seus objetivos, a partir da aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gerenciamento de riscos, de controles internos, de integridade e de governança. As auditorias internas no âmbito da Administração Pública se constituem na terceira linha ou camada de defesa das organizações, uma vez que são responsáveis por proceder à avaliação da operacionalização dos controles internos da gestão (primeira linha ou camada de defesa, executada por todos os níveis de operação e de gestão específicas dentro da organização) e da supervisão dos controles internos (segunda linha ou camada de defesa, executada por níveis de gestão e instâncias específicas, como pró-reitores, diretores, comitês de risco e controles internos). Compete às auditorias internas oferecer avaliações e assessoramento às organizações públicas, destinadas ao aprimoramento dos controles internos, de forma que controles mais eficientes e eficazes mitiguem os principais riscos de que os órgãos e entidades não alcancem seus objetivos;
IV. cliente: Pessoa física e/ou jurídica (pública ou privada), que demanda ou utiliza diretamente serviços ou produtos fornecidos por organizações públicas. Também recebe a denominação de usuário. Pode ser externo, quando demanda ou utiliza serviços finalísticos da organização, ou interno, quando utiliza os resultados parciais de processos internos como insumo em outro processo de natureza interna;
V. componentes dos controles internos da gestão: são o ambiente de controle interno da entidade, a avaliação de risco, as atividades de controles internos, a informação e comunicação e o monitoramento (descritos no item 4.3);
VI. controles internos da gestão: conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e informações, entre outros, operacionalizados de forma integrada pela direção e pelo corpo de servidores das organizações, destinados a enfrentar os riscos e fornecer segurança razoável de que, na consecução da missão da entidade, os seguintes objetivos gerais serão alcançados:
execução ordenada, ética, econômica, eficiente e eficaz das operações;cumprimento das obrigações de accountability;cumprimento das leis e regulamentos aplicáveis; esalvaguarda dos recursos para evitar perdas, mau uso e danos.
O estabelecimento de controles internos no âmbito da gestão pública visa essencialmente aumentar a probabilidade de que os objetivos e metas estabelecidos sejam alcançados, de forma eficaz, eficiente, efetiva e econômica;
VII. fornecedor: É a pessoa física ou jurídica, interna ou externa à organização que fornece insumos (matéria-prima, informações, dados etc) para a execução dos processos;
VIII. fraude: quaisquer atos ilegais caracterizados por desonestidade, dissimulação ou quebra de confiança. Estes atos não implicam o uso de ameaça de violência ou de força física;
IX. gerenciamento de riscos: processo para identificar, avaliar, administrar e controlar potenciais eventos ou situações, para fornecer razoável certeza quanto ao alcance dos objetivos da organização;
X. governança: combinação de processos e estruturas implantadas pela alta administração, para informar, dirigir, administrar e monitorar as atividades da organização, com o intuito de alcançar os seus objetivos;
XI. governança no setor público: compreende essencialmente os mecanismos de liderança, estratégia e controle, postos em prática para avaliar, direcionar e monitorar a atuação da gestão, com vistas à condução de políticas públicas e à prestação de serviços de interesse da sociedade;
XII. incerteza: incapacidade de saber com antecedência a real probabilidade ou impacto de eventos futuros;
XIII. mensuração de risco: significa estimar a importância de um risco e calcular a probabilidade e o impacto de sua ocorrência;
XIV. política de gestão de riscos: declaração das intenções e diretrizes gerais de uma organização, relacionadas à gestão de riscos;
XV. risco: possibilidade de ocorrência de um evento que venha a ter impacto no cumprimento dos objetivos. O risco é medido em termos de consequência (impacto) e de probabilidade;
XVI. risco inerente: risco a que uma organização está exposta sem considerar quaisquer ações gerenciais que possam reduzir a probabilidade de sua ocorrência ou seu impacto;
XVII. risco residual: risco a que uma organização está exposta após a implementação de ações gerenciais para o tratamento do risco;
XVIII. sistema de Controle Interno do Poder Executivo Federal: compreende as atividades de avaliação do cumprimento das metas previstas no plano plurianual, da execução dos programas de governo e dos orçamentos da União e de avaliação da gestão dos administradores públicos federais, utilizando como instrumentos a auditoria e a fiscalização, e tendo como órgão central a Controladoria-Geral da União. Não se confunde com os controles internos da gestão, de responsabilidade de cada órgão e entidade do Poder Executivo Federal;
XIX. ética: se refere aos princípios morais, sendo pré-requisito e suporte para a confiança pública;
XX. economicidade: as operações de um órgão ou entidade serão econômicas quando a aquisição dos insumos necessários se der na quantidade e qualidade adequadas, forem entregues no lugar certo e no momento preciso, ao custo mais baixo;
XXI. eficiência: as operações de um órgão ou entidade serão eficientes quando consumirem o mínimo de recursos para alcançar uma dada quantidade e qualidade de resultados, ou alcançarem o máximo de resultado com uma dada qualidade e quantidade de recursos empregados.
XXII. eficácia: as operações de um órgão ou entidade serão eficazes quando cumprirem objetivos imediatos, traduzidos em metas de produção ou de atendimento, de acordo com o estabelecido no planejamento das ações; e
XXIII. efetividade: as operações de um órgão ou entidade serão efetivas quando alcançarem os resultados pretendidos em longo prazo, produzindo impacto positivo e resultando no cumprimento dos objetivos das organizações.
4. CONTROLES INTERNOS DA GESTÃO
O IFPR se compromete em manter, monitorar e revisar os controles internos da gestão, tendo por base a identificação, a avaliação e o gerenciamento de riscos que possam impactar a consecução dos objetivos estabelecidos pelo Poder Público. Os controles internos da gestão se constituem na primeira linha (ou camada) de defesa para propiciar o alcance de seus objetivos. Esses controles são operados por todos os servidores responsáveis pela condução de atividades e tarefas, no âmbito dos macroprocessos finalísticos e de apoio do IFPR. A definição e a operacionalização dos controles internos devem levar em conta os riscos que se pretende mitigar, tendo em vista os objetivos estratégicos do IFPR.
Assim, tendo em vista os objetivos estabelecidos pelo IFPR, e os riscos decorrentes de eventos internos ou externos que possam obstaculizar (impedir ou dificultar) o alcance desses objetivos, os controles internos mais adequados devem ser posicionados para mitigar a probabilidade de ocorrência dos riscos, ou o seu impacto sobre os objetivos organizacionais.
Os controles internos devem ser efetivos e consistentes considerando a natureza, complexidade e risco das operações realizadas. Estes baseiam-se no gerenciamento de riscos e integram o processo de gestão. Os componentes dos controles internos da gestão e do gerenciamento de riscos aplicam-se a todos os níveis, unidades e dependências do IFPR.
Os dirigentes máximos do IFPR Reitoria e dos Campi devem assegurar que procedimentos efetivos de implementação de controles internos da gestão façam parte de suas práticas de gerenciamento de riscos, devendo considerar todos os componentes definidos no item 3 os quais devem ser integrados ao processo de gestão, dimensionados e desenvolvidos na proporção requerida pelos riscos, de acordo com a natureza, complexidade, estrutura e missão do IFPR.
Os controles internos devem integrar as atividades, planos, ações, políticas, sistemas, recursos e esforços de todos que trabalhem na organização, sendo projetados para fornecer segurança razoável de que a organização atingirá seus objetivos e missão, bem como não devem ser implementados de forma circunstancial, mas como uma série de ações que permeiam as atividades da organização. Essas ações se dão em todas as operações da organização de modo contínuo, inerentes à maneira pela qual o gestor administra a organização.
Além dos controles internos, o IFPR estabelecerá instâncias de segunda linha (ou camada) de defesa, para supervisão e monitoramento desses controles internos. Assim, comitês, diretorias ou assessorias específicas para tratar de riscos, controles internos, integridade e compliance (conformidade), por exemplo, podem se constituir em instâncias de supervisão de controles internos.
Os controles internos da gestão tratados nesta Política não devem ser confundidos com as atividades do Sistema de Controle Interno, relacionadas no artigo 74 da Constituição Federal de 1988, nem com as atribuições da auditoria interna, cuja finalidade específica é a medição e avaliação da eficácia e eficiência dos controles internos da gestão da organização.
4.1. Princípios de Controle Interno
Os controles internos da gestão do IFPR devem ser desenhados e implementados em consonância com os seguintes princípios:
I. aderência à integridade e a valores éticos;
II. competência da alta administração em exercer a supervisão do desenvolvimento e do desempenho dos controles internos da gestão;
III. coerência e harmonização da estrutura de competências e responsabilidades dos diversos níveis de gestão do órgão ou entidade;
IV. compromisso da alta administração em atrair, desenvolver e reter pessoas com competências técnicas, em alinhamento com os objetivos da organização;
V. clara definição dos responsáveis pelos diversos controles internos da gestão no âmbito da organização;
VI. clara definição de objetivos que possibilitem o eficaz gerenciamento de riscos;
VII. mapeamento das vulnerabilidades que impactam os objetivos, de forma que sejam adequadamente identificados os riscos a serem geridos;
VIII. identificação e avaliação das mudanças internas e externas ao órgão ou entidade que possam afetar significativamente os controles internos da gestão;
IX. desenvolvimento e implementação de atividades de controle que contribuam para a obtenção de níveis aceitáveis de riscos;
X. adequado suporte de tecnologia da informação para apoiar a implementação dos controles internos da gestão;
XI. definição de políticas e normas que suportem as atividades de controles internos da gestão;
XII. utilização de informações relevantes e de qualidade para apoiar o funcionamento dos controles internos da gestão;
XIII. disseminação de informações necessárias ao fortalecimento da cultura e da valorização dos controles internos da gestão;
XIV. realização de avaliações periódicas para verificar a eficácia do funcionamento dos controles internos da gestão; e
XV. comunicação do resultado da avaliação dos controles internos da gestão aos responsáveis pela adoção de ações corretivas, incluindo a alta administração.
4.2. Objetivos dos Controles Internos
Os controles internos do IFPR devem ser estruturados para oferecer segurança razoável de que os objetivos institucionais serão alcançados. A existência de objetivos claros é pré-requisito para a eficácia do funcionamento dos controles internos da gestão.
Os objetivos dos controles internos da gestão são:
I. dar suporte à missão, à continuidade e à sustentabilidade institucional, pela garantia razoável de atingimento dos objetivos estratégicos do órgão ou entidade;
II. proporcionar a eficiência, a eficácia e a efetividade operacional, mediante execução ordenada, ética e econômica das operações;
III. assegurar que as informações produzidas sejam íntegras e confiáveis à tomada de decisões, ao cumprimento de obrigações de transparência e à prestação de contas;
IV. assegurar a conformidade com as leis e regulamentos aplicáveis, incluindo normas, políticas, programas, planos e procedimentos de governo e da própria organização; e
V. salvaguardar e proteger bens, ativos e recursos públicos contra desperdício, perda, mau uso, dano, utilização não autorizada ou apropriação indevida.
4.3. Estrutura dos Controles Internos da Gestão
A alta administração, bem como os servidores do IFPR e seus Campi, deverá observar os componentes da estrutura de controles internos, a seguir descritos:
I. ambiente de controle: é a base de todos os controles internos da gestão, sendo formado pelo conjunto de regras e estrutura que determinam a qualidade dos controles internos da gestão. O ambiente de controle deve influenciar a forma pela qual se estabelecem as estratégias e os objetivos e, na maneira como os procedimentos de controle interno são estruturados. Alguns dos elementos do ambiente de controle são:
integridade pessoal e profissional e valores éticos assumidos pela direção e pelo quadro de servidores, incluindo inequívoca atitude de apoio à manutenção de adequados controles internos da gestão, durante todo o tempo e por toda a organização;comprometimento para reunir, desenvolver e manter colaboradores competentes;filosofia da direção e estilo gerencial, com clara assunção da responsabilidade de supervisionar os controles internos da gestão;estrutura organizacional na qual estejam claramente atribuídas responsabilidades e delegação de autoridade, para que sejam alcançados os objetivos da organização ou das políticas públicas; epolíticas e práticas de recursos humanos, especialmente a avaliação do desempenho e prestação de contas dos colaboradores pelas suas responsabilidades pelos controles internos da gestão da organização ou política pública.
II. avaliação de risco: é o processo permanente de identificação e análise dos riscos relevantes que impactam o alcance dos objetivos da organização e determina a resposta apropriada ao risco. Envolve identificação, avaliação e resposta aos riscos, devendo ser um processo permanente.
III. atividades de controles internos: são atividades materiais e formais, como políticas, procedimentos, técnicas e ferramentas, implementadas pela gestão para diminuir os riscos e assegurar o alcance de objetivos organizacionais e de políticas públicas. Essas atividades podem ser preventivas (reduzem a ocorrência de eventos de risco) ou detectivas (possibilitam a identificação de ocorrência dos eventos de risco), implementadas de forma manual ou automatizada. As atividades de controles internos devem ser apropriadas, funcionar consistentemente de acordo com um plano de longo prazo, ter custo adequado, serem abrangentes, razoáveis e diretamente relacionadas aos objetivos de controle. São exemplos de atividades de controles internos:
procedimentos de autorização e aprovação;segregação de funções (autorização, execução, registro, controle);controles de acesso a recursos e registros;verificações;conciliações;avaliação de desempenho operacional;avaliação das operações, dos processos e das atividades; esupervisão.
IV. informação e comunicação: as informações produzidas pelo IFPR devem ser apropriadas, tempestivas, atuais, precisas e acessíveis, devendo ser identificadas, armazenadas e comunicadas de forma que, em determinado prazo, permitam que os funcionários e servidores cumpram suas responsabilidades, inclusive a de execução dos procedimentos de controle interno. A comunicação eficaz deve fluir através da organização, por todos seus componentes e pela estrutura inteira. Todos os servidores/funcionários devem receber mensagem clara da alta administração sobre as responsabilidades de cada agente no que concerne aos controles internos da gestão. A organização deve comunicar as informações necessárias ao alcance dos seus objetivos para todas as partes interessadas, independentemente do nível hierárquico em que se encontram.
V. monitoramento: é obtido por meio de revisões específicas ou monitoramento contínuo, independente ou não, realizados sobre todos os componentes de controles internos, com o fim de aferir sua eficácia, eficiência, efetividade, excelência ou execução na implementação dos seus componentes e corrigir tempestivamente as deficiências dos controles internos.
monitoramento contínuo: é realizado nas operações normais e de natureza contínua do IFPR. Inclui a administração e as atividades de supervisão e outras ações que os servidores executam ao cumprir suas responsabilidades. Abrange cada um dos componentes da estrutura do controle interno, fortalecendo os controles internos da gestão contra ações irregulares, antiéticas, antieconômicas, ineficientes e ineficazes. Pode ser realizado pela própria Administração por intermédio de instâncias de conformidade; como por agentes específicos, que atuam como segunda linha (ou camada) de defesa da organização; eavaliações específicas: são realizadas com base em métodos e procedimentos predefinidos, cuja abrangência e frequência dependerão da avaliação de risco e da eficácia dos procedimentos de monitoramento contínuo. Abrangem, também, a avaliação realizada pelas unidades de auditoria interna dos órgãos e entidades e pelos órgãos do Sistema de Controle Interno (SCI) do Poder Executivo Federal para aferição da eficácia dos controles internos da gestão quanto ao alcance dos resultados desejados.
Os componentes de controles internos da gestão definem o enfoque recomendável para a estrutura de controles internos do IFPR e fornecem bases para sua avaliação. Esses componentes se aplicam a todos os aspectos operacionais de cada Campi.
4.4. Responsabilidades
O dirigente máximo da organização é o principal responsável pelo estabelecimento da estratégia da organização e da estrutura de gerenciamento de riscos, incluindo o estabelecimento, a manutenção, o monitoramento e o aperfeiçoamento dos controles internos da gestão. Cada risco mapeado e avaliado deve estar associado a um agente responsável formalmente identificado. O agente responsável pelo gerenciamento de determinado risco deve ser o gestor com alçada suficiente para orientar e acompanhar as ações de mapeamento, avaliação e mitigação do risco.
A responsabilidade por estabelecer, manter, monitorar e aperfeiçoar os controles internos no IFPR é da alta administração, sem prejuízo das responsabilidades dos gestores dos processos organizacionais.
Riscos e controles internos devem ser geridos de forma integrada, objetivando o estabelecimento de um ambiente de controle e gestão de riscos que respeite os valores, interesses e expectativas da organização e dos agentes que a compõem e, também, o de todas as partes interessadas, tendo o cidadão e a sociedade como principais vetores.
O IFPR deve institucionalizar o Comitê de Governança, Riscos e Controles, que será composto pelo dirigente máximo e pelos dirigentes das unidades a ele diretamente subordinadas e será apoiado pelo respectivo Assessor Especial de Controle Interno.
Assim descreve-se abaixo a estrutura do Sistema de Controle Interno adotado pelo IFPR:
Responsáveis
CONSUP e demais Conselhos (Supervisão e Governança)
Comitê de Governança, Riscos e Controles
Reitor(a)
Pró-Reitores(as)
Diretores (as) Sistêmicos
Diretores(as) Gerais dos Campi
Diretores(as) de Campi Avançados
São competências do Comitê de Governança, Riscos e Controles:
I – promover práticas e princípios de conduta e padrões de comportamentos;
II – institucionalizar estruturas adequadas de governança, gestão de riscos e controles internos;
III – promover o desenvolvimento contínuo dos agentes públicos e incentivar a adoção de boas práticas de governança, de gestão de riscos e de controles internos;
IV – garantir a aderência às regulamentações, leis, códigos, normas e padrões, com vistas à condução das políticas e à prestação de serviços de interesse público;
V – promover a integração dos agentes responsáveis pela governança, pela gestão de riscos e pelos controles internos;
VI – promover a adoção de práticas que institucionalizem a responsabilidade dos agentes públicos na prestação de contas, na transparência e na efetividade das informações;
VII – aprovar política, diretrizes, metodologias e mecanismos para comunicação e institucionalização da gestão de riscos e dos controles internos;
VIII – supervisionar o mapeamento e avaliação dos riscos-chave que podem comprometer a prestação de serviços de interesse público;
IX – liderar e supervisionar a institucionalização da gestão de riscos e dos controles internos, oferecendo suporte necessário para sua efetiva implementação no órgão ou entidade;
X – estabelecer limites de exposição a riscos globais do órgão, bem com os limites de alçada ao nível de unidade, política pública, ou atividade;
XI – aprovar e supervisionar método de priorização de temas e macroprocessos para gerenciamento de riscos e implementação dos controles internos da gestão;
XII – emitir recomendação para o aprimoramento da governança, da gestão de riscos e dos controles internos; e
XIII – monitorar as recomendações e orientações deliberadas pelo Comitê.
Cabe aos demais funcionários e servidores a responsabilidade pela operacionalização dos controles internos da gestão e pela identificação e comunicação de deficiências às instâncias superiores.
Diretor(a) Geral de Campi e Campi Avançado: É responsável pelo funcionamento do controle interno no âmbito do Campus. Deverá reportar à Reitoria os riscos ao cumprimento de seus objetivos institucionais e problemas não resolvidos, solicitando, quando necessário, apoio para promoção de soluções.
Principais atividades de Controle Interno – Coordenadores e demais níveis operacionais:
– Formalizar as rotinas (check-lists);
– Cumprir as rotinas formalizadas;
– Realizar conformidade de gestão;
– Realizar conformidade contábil;
– Resolver problemas no âmbito de sua operação e gerenciamento;
– Reportar à chefia imediata os riscos ao cumprimento de seus objetivos institucionais e problemas não resolvidos, solicitando apoio para promoção de soluções.
Principais atividades de Controle Interno – Diretores/TI e outros:
– Supervisionar a elaboração das rotinas de todo o setor;
– Supervisionar o cumprimento das rotinas de todo o setor;
– Elaborar em conjunto com sua equipe o fluxo e mapeamento de cada atividade e processo;
– Resolver problemas no âmbito de sua operação e gerenciamento;
– Reportar à chefia imediata os riscos ao cumprimento de seus objetivos institucionais e problemas não resolvidos, solicitando apoio para promoção de soluções.
Principais atividades de Controle Interno – Gabinete do Campus e da Reitoria
– Fornecer orientações e treinamento sobre processos de gerenciamento de riscos;
– Definir responsabilidades e papéis;
– Alertar a gestão operacional para questões emergentes e para as mudanças no cenário regulatório e de riscos;
– Monitorar a adequação e a eficácia do controle interno, a precisão e a integridade do reporte, a conformidade com leis e regulamentos e resolução oportuna de deficiências;
– Supervisionar a elaboração das rotinas de todo o Campus;
– Supervisionar o cumprimento das rotinas de todo o Campus;
– Estabelecer rotina de retroalimentação do sistema, por meio de reuniões periódicas para discutir os problemas e definir soluções;
– Resolver problemas no âmbito de sua gestão, com base em decisões devidamente fundamentadas;
– Reportar à Reitoria os riscos ao cumprimento de seus objetivos institucionais e problemas não resolvidos, solicitando apoio para promoção de soluções
5. GESTÃO DE RISCOS
O IFPR e seus Campi deverão implementar, manter, monitorar e revisar o processo de gestão de riscos, compatível com sua missão e seus objetivos estratégicos, observadas as diretrizes estabelecidas nesta Política.
5.1. Princípios da Gestão de Riscos
A gestão de riscos do IFPR observará os seguintes princípios:
I. gestão de riscos de forma sistemática, estruturada e oportuna, subordinada ao interesse público;
II. estabelecimento de níveis de exposição a riscos adequados;
III. estabelecimento de procedimentos de controle interno, proporcionais ao risco, observada a relação custo-benefício, e destinados a agregar valor à organização;
IV. utilização do mapeamento de riscos para apoio à tomada de decisão e à elaboração do planejamento estratégico; e
V. utilização da gestão de riscos para apoio à melhoria contínua dos processos organizacionais.
5.2. Objetivos da Gestão de Riscos
São objetivos da gestão de riscos do IFPR:
I. assegurar que os responsáveis pela tomada de decisão, em todos os níveis da instituição, tenham acesso tempestivo a informações suficientes quanto aos riscos aos quais está exposta a organização, inclusive para determinar questões relativas à delegação, se for o caso;
II. aumentar a probabilidade de alcance dos objetivos da organização, reduzindo os riscos a níveis aceitáveis; e
III. agregar valor à organização por meio da melhoria dos processos de tomada de decisão e do tratamento adequado dos riscos e dos impactos negativos decorrentes de sua materialização.
5.3. Estrutura do Modelo de Gestão de Riscos
Na implementação e atualização do modelo de gestão de riscos, a alta administração, bem como seus servidores ou funcionários, deverá observar os seguintes componentes da estrutura de gestão de riscos:
I. ambiente interno: incluem, entre outros elementos, integridade, valores éticos e competência das pessoas, maneira pela qual a gestão delega autoridade e responsabilidades, estrutura de governança organizacional e políticas e práticas de recursos humanos. O ambiente interno é a base para todos os outros componentes da estrutura de gestão de riscos, provendo disciplina e prontidão para a gestão de riscos;
II. fixação de objetivos: todos os níveis da organização (diretorias, coordenadorias, seções, processos e atividades) devem ter objetivos fixados e comunicados. A explicitação de objetivos, alinhados à missão e à visão da organização, é necessária para permitir a identificação de eventos que potencialmente impeçam sua consecução;
III. identificação de eventos: devem ser identificados e relacionados os riscos inerentes à própria atividade da organização, em seus diversos níveis;
IV. avaliação de riscos: os eventos devem ser avaliados sob a perspectiva de probabilidade e impacto de sua ocorrência. A avaliação de riscos deve ser feita por meio de análises qualitativas, quantitativas ou da combinação de ambas. Os riscos devem ser avaliados quanto à sua condição de inerentes e residuais;
V. resposta a riscos: o órgão/entidade deve identificar qual estratégia seguir (evitar, transferir, aceitar ou tratar) em relação aos riscos mapeados e avaliados. A escolha da estratégia dependerá do nível de exposição a riscos previamente estabelecido pela organização em confronto com a avaliação que se fez do risco;
VI. atividades de controles internos: são as políticas e os procedimentos estabelecidos e executados para mitigar os riscos que a organização tenha optado por tratar. Também denominadas de procedimentos de controle, devem estar distribuídas por toda a organização, em todos os níveis e em todas as funções. Incluem uma gama de controles internos da gestão preventivos e detectivos, bem como a preparação prévia de planos de contingência e resposta à materialização dos riscos;
VII. informação e comunicação: informações relevantes devem ser identificadas, coletadas e comunicadas, a tempo de permitir que as pessoas cumpram suas responsabilidades, não apenas com dados produzidos internamente, mas, também, com informações sobre eventos, atividades e condições externas, que possibilitem o gerenciamento de riscos e a tomada de decisão. A comunicação das informações produzidas deve atingir todos os níveis, por meio de canais claros e abertos que permitam que a informação flua em todos os sentidos; e
VIII. monitoramento: tem como objetivo avaliar a qualidade da gestão de riscos e dos controles internos da gestão, por meio de atividades gerenciais contínuas e/ou avaliações independentes, buscando assegurar que estes funcionem como previsto e que sejam modificados apropriadamente, de acordo com mudanças nas condições que alterem o nível de exposição a riscos.
Os gestores são os responsáveis pela avaliação dos riscos no âmbito das unidades, processos e atividades que lhes são afetos. A alta administração deve avaliar os riscos no âmbito da organização, desenvolvendo uma visão de riscos de forma consolidada.
6. POLÍTICA DE GESTÃO DE RISCOS
Neste capítulo são apresentados as diretrizes organizacionais do IFPR, seus objetivos organizacionais presentes no Plano de Desenvolvimento Institucional (PDI) e como deverá ser feita a integração da gestão de riscos com o PDI, processos e políticas.
6.1. Diretrizes Organizacionais
Conforme o Plano de Desenvolvimento Institucional (PDI), as diretrizes organizacionais do IFPR decorrem da visão, da missão, dos valores e da análise dos ambientes interno e externo. Sintetizam o desejo maior da instituição e funcionam como mecanismos orientadores e canalizadores da formação dos objetivos estratégicos, das decisões e do desencadeamento das ações; e estão distribuídas em cinco (5) grandes eixos:
Ensino, Pesquisa, Extensão e Inovação;Relação com a Comunidade;Gestão e Infraestrutura;Gestão de Pessoas;Identidade Institucional.
São diretrizes organizacionais do IFPR:
Promover a cultura multi campi e pluricurricular com trabalho em rede, baseado nos princípios éticos;Promover a inclusão: acesso, permanência, êxito na inserção socioprofissional e formação de novos empregadores;Desenvolver a pesquisa, a extensão e inovação de forma articulada com o ensino para a promoção de processos educacionais de qualidade de educação profissional verticalizada;Formação e qualificação integral do cidadão, na perspectiva reflexiva, criativa, investigativa, cultural, social e ética;Indução à criação de áreas de referência para a oferta de cursos, pesquisa, extensão e inovação para cada Campi;Desenvolvimento de relações interinstitucionais;Ser uma instituição democrática e participativa, promovendo a integração com a comunidade;Consolidar a gestão e a infraestrutura baseada na sustentabilidade nos aspectos físicos e lógicos levando à excelência;Consolidar o modelo de gestão de pessoas; eDivulgar o ensino profissional como foco do IFPR.
6.2. Objetivos organizacionais
Conforme o PDI do IFPR, seus objetivos estratégicos surgem do desdobramento das diretrizes institucionais. Abaixo são listados os objetivos estratégicos do IFPR:
Integração entre conteúdos de disciplinas e a pesquisa em todos os níveis de ensino;Fomentar as práticas esportivas e culturais nos Campi;Proporcionar aos alunos a inserção ao mercado de trabalho através da oferta de estágio e emprego;Desenvolver mecanismos de acompanhamento de egressos;Implementar programas de empreendedorismo inovador;Promover a inclusão tecnológica nos Campi;Criar mecanismos para a redução da evasão;Criar ambientes multidisciplinares para o processo ensino-aprendizagem;Consolidar a assistência estudantil nos Campi;Manter e acompanhar o sistema de cotas;Fomentar a criação de programas de pós-graduação;Estruturar a equipe de professores e pesquisadores focados no tema de referência;Discutir de forma democrática nos Campi as áreas de referência;Mapear as competências e habilidades existentes no IFPR;Estruturar metodologia para a abertura de novos cursos;Consolidar e ampliar o sistema de parcerias em todos os níveis do IFPR;Criar espaços institucionais para a integração das comunidades interna e externa;Promover a participação das comunidades interna e externa nas tomadas de decisão;Promover parcerias com setor empresarial de referência no mercado;Criar ambientes especializados com alta tecnologia;Desenvolver o processo de transferência de conhecimento e tecnologia;Desenvolver a gestão administrativa e manutenção da infraestrutura;Articular planejamento e captação de recursos por meio de projetos;Promover desenvolvimento institucional com a utilização do aprimoramento de indicadores;Alinhar as ações institucionais com os objetivos estratégicos;Criar modelos, métodos e ferramentas para promover a gestão sustentável;Consolidar os mecanismos organizacionais de gestão integrada;Disponibilizar conhecimentos e tecnologias que permitam a análise de dados, gestão de informação e conhecimento;Promover a transparência e a divulgação dos atos institucionais;Disseminar a cultura de planejamento em todos os níveis da instituição;Implantar políticas de capacitação e educação continuada;Desenvolver mecanismos de motivação e comprometimento dos servidores;Criar critérios de distribuição de vagas de servidores;Aprimorar o processo de gestão de pessoas nas unidades;Promover eventos culturais e sociais;Promover a integração e o desenvolvimento de pessoas, criando um ambiente produtivo e humanizado;Estruturar o modelo de comunicação interna para servidores;Implementar programas de qualidade de vida;Promover a identidade institucional e a marca do IFPR;Diversificar o portfólio de material de divulgação; eSer referência na área de desenvolvimento de tecnologias educacionais, fortalecendo a identidade institucional.
Desdobramento dos Eixos Estratégicos
Quadro 1 – Desdobramentos – Eixo Estratégico / Diretrizes / Objetivos
6.3. Integração da Gestão de Riscos com o PDI, processos e políticas
O IFPR deverá rever a clareza de seus objetivos estratégicos e considerar em seu PDI os riscos associados ao cumprimento de cada objetivo. Todos os processos deverão considerar os riscos envolvidos e especificar as atividades de controle para evitá-los e prever tratamento para mitigá-los.
6.3.1. Identificação dos eventos
Dada a compreensão dos objetivos da organização, estratégia e planos, além da consideração de condições externas e internas atuais, a gestão do risco requer a identificação de todas as condições (ou eventos) importantes que podem ocorrer e que poderiam afetar adversamente à realização dos objetivos. A etapa de identificação é fundamental, porque possíveis eventos não identificados podem não ser tratados no planejamento das respostas e na aceitação do risco, levando a exposições não planejadas.
A identificação dos eventos é de responsabilidade da Alta Administração e ocorrerá oficialmente uma vez ao ano, podendo ser revisada a qualquer momento a medida que novos eventos são identificados. Este passo será formalizado em um documento.
6.3.2. Avaliação do Risco
O risco será avaliado em duas dimensões – a probabilidade que um determinado evento adverso ocorra, e a consequência (ou impacto) do evento sobre as operações, relatórios financeiros e estratégia. A avaliação de riscos requer uma combinação de metodologias qualitativas e quantitativas.
Os eventos identificados serão organizados de acordo com os fatores de risco estabelecidos a seguir:
Tabela 1 – Categoria de Riscos
Categoria de Risco | Definição |
Financeiros/Orçamentários | Eventos que podem comprometer a capacidade do órgão ou entidade de contar com os recursos orçamentários e financeiros necessários à realização de suas atividades, ou eventos que possam comprometer a própria execução orçamentária, como atrasos no cronograma de licitações. |
Legais | Eventos derivados de alterações legislativas ou normativas que podem comprometer as atividades do órgão ou entidade |
Imagem/reputação do órgão | Eventos que podem comprometer a confiança da sociedade (ou de parceiros, de clientes ou de fornecedores) em relação à capacidade do órgão ou da entidade em cumprir sua missão institucional |
Operacional | Eventos que podem comprometer as atividades do órgão ou entidade, normalmente associados a falhas, deficiência ou inadequação de processos internos, pessoas, infraestrutura e sistemas |
Risco ambiental | Eventos que podem comprometer a integridade física das pessoas, a preservação da fauna e da flora, bem como os bens patrimoniais. |
Risco externo | Eventos que podem comprometer a absorção de alunos para o IFPR (Alteração de Políticas Públicas, Sistema S, Escolas Estaduais, Escolas Particulares |
Para apuração da probabilidade de ocorrência do risco, será considerada uma pontuação baseada nas avaliações dos seguintes critérios, conforme demonstrado abaixo:
Tabela 2 – Situação das consequências (impactos)
Nível (pontos) | Consequência (Impacto) | Definição |
5 | Crítica | Um evento que, se ocorrer, pode causar a falha total de um processo. |
4 | Grande | Um evento que, se ocorrer, pode causar grande impacto em um processo. |
3 | Moderada | Um evento que, se ocorrer, pode causar impacto moderado em um processo, mas funções importantes ainda assim são executadas. |
2 | Pequena | Um evento que, se ocorrer, causa apenas um pequeno aumento de custo ou atraso operacional. |
1 | Desprezível | Um evento que, se ocorrer, não produz efeito na operação. |
Tabela 3 – Situação das probabilidades
Escala (Pontos) | Descrição |
Quase certo (5) | Histórico de ocorrência bastante frequente; Um evento ou mais com frequência definida em até 1 mês. |
Provável (4) | Histórico de ocorrência provável; Um evento com frequência definida acima de 1 mês e até 3 meses. |
Possível (3) | Histórico de ocorrência ocasional; Um evento com frequência definida acima de 3 meses e até 6 meses. |
Improvável (2) | Histórico de ocorrência baixo; Um evento com frequência definida acima de 6 meses e até 1 ano. |
Raro (1) | Histórico de ocorrência mínima; Um evento com frequência definida acima de 1 ano. |
Trata-se de uma avaliação preliminar que tem como função estabelecer estratégias e procedimentos, visando identificar, avaliar e priorizar em toda a organização os eventos que potencialmente podem comprometer o alcance dos seus principais objetivos estratégicos. Neste momento, uma grande gama de riscos será identificada e, mesmo que todos sejam importantes para a gestão de cada área de negócio, a lista requer priorização para que a Alta Administração possa focar nos riscos mais significativos.
O próximo passo é uma avaliação qualitativa sobre a relevância dos riscos identificados. A quantidade de risco ao qual o IFPR é capaz de ser exposto será calculada e definida em conjunto com a Alta Administração e classificados, de acordo com o Anexo I, considerando a sua criticidade.
A priorização dos riscos leva em consideração a combinação entre avaliação quantitativa, segundo critérios de consequência (impacto) e probabilidade (frequência), e avaliação qualitativa, de acordo com o entendimento sobre a relevância dos riscos identificados.
Tabela 4 – Matriz de Risco do IFPR
Probabilidade | Raro (1) | Improvável (2) | Possível (3) | Provável (4) | Quase certo (5) |
Consequência / Impacto | |||||
Crítica (5) | 05 | 10 | 15 | 20 | 25 |
Grande (4) | 04 | 08 | 12 | 16 | 20 |
Moderada (3) | 03 | 06 | 09 | 12 | 15 |
Pequena (2) | 02 | 04 | 06 | 08 | 10 |
Desprezível (1) | 01 | 02 | 03 | 04 | 05 |
Assim o risco será calculado através do produto de Probabilidade e Impacto, este risco será classificado em quatro níveis e a ameaça será ordenada de modo decrescente: baixo (valores de 1 até 2), moderado (valores de 3 até 6), alto (valores de 8 até 12) e extremo (valores de 15 até 25).
Os quadros a seguir demonstram os resultados possíveis dos cálculos a serem executados.
E – Risco Extremo – ação imediata – de 15 a 25
A – Risco Alto – ação alta gerência – de 8 a 12
M – Risco Moderado – definir responsabilidade gerencial – de 3 a 5
B – Risco Baixo – manter práticas e procedimentos – de 1 a 2
6.3.3.Resposta ao Risco
Resposta ao risco é o processo de desenvolvimento de opções estratégicas e definição de ações para aumentar as oportunidades e reduzir as ameaças aos objetivos da entidade. A Alta Administração será responsável por definir a resposta mais apropriada para cada risco. Desta forma, o IFPR deverá avaliar e monitorar os impactos positivos e negativos da ocorrência de eventos, considerando:
– Risco Inerente: risco natural, sem qualquer ação que possa ser realizada para alterar a probabilidade de ocorrência ou impacto.
– Risco Residual: resulta de um processo de tomada de ações e aplicação de melhores práticas de controles internos ou de resposta do IFPR ao risco.
Neste contexto a Alta Administração poderá:
Evitar o Risco: O IFPR decide não se envolver, agindo de forma a se retirar de uma situação de risco.Aceitar o Risco: Esse processo garante que cada risco que exige uma resposta tenha um “dono/responsável” para monitorá-las. Ações possíveis: Os riscos podem ser reduzidos pela prevenção – diminuição da probabilidade de ocorrência e/ou diminuição do impacto financeiro esperado, caso o evento ocorra – e/ou pela remediação – controle de danos após a ocorrência do evento, ou seja, reduzir a probabilidade, diminuir a consequência ou reduzir a probabilidade diminuindo a consequência.
Estratégias de resposta ao risco podem ser:
Tratado – A mitigação de riscos reduz a probabilidade e/ou o impacto de um evento de risco adverso para um limite aceitável. Agir cedo para reduzir a probabilidade e/ou o impacto de um risco é muitas vezes mais eficaz do que tentar reparar os danos depois de ocorrido. A mitigação do risco pode tomar a forma de implementação de um novo curso de ação que reduzirá o problema, por exemplo: adotando processos menos complexos, conduzindo mais testes ou escolhendo um fornecedor mais estável. Uma vez que a mitigação dos riscos pode exigir recursos ou tempo, deve apresentar um equilíbrio entre não fazer nada versus o custo de mitigar o risco.
Transferido – Transferência de risco envolve encontrar uma outra parte que esteja disposta a assumir a responsabilidade pela gestão e que arcará com a responsabilidade do risco, caso ocorra. Transferindo o risco simplesmente daremos a outra parte a responsabilidade para gerenciar; isto não o elimina. O objetivo é garantir que o risco é gerenciado pela parte capaz de lidar com ele da forma mais eficaz. Transferir risco quase sempre envolve pagamentos de um valor para que a terceira parte o assuma. Inclui o uso de seguros, títulos, garantias e evidências. Contratos para transferir a responsabilidade de riscos específicos podem ser usados e a relação custo/benefício deve ser considerada na decisão da adoção de uma estratégia de transferência.
Tolerado – Esta estratégia é adotada quando não é possível ou prático responder ao risco utilizando as outras estratégias, ou uma resposta não se justifica pela importância do risco. Quando a Alta Administração decide por aceitar o risco, significa que estão concordando em enfrentar o risco, se e quando ele ocorrer. Um plano de contingência, plano de solução e/ou reserva de contingência podem ser desenvolvidos para essa eventualidade
Eliminado – O risco pode ser evitado através da remoção da causa do risco ou ao executar a operação de uma forma diferente, porém ainda assim em linha com o alcance dos objetivos do IFPR. Nem todos os riscos podem ser evitados ou eliminados, e para outros, esta abordagem pode ser muito custosa ou demorada. No entanto, esta deve ser a primeira estratégia considerada.
Para acompanhar a implantação da gestão de riscos, o IFPR aplicará formulário para representar o nível de adoção dos princípios sugeridos pela metodologia COSO. As questões serão relacionadas as etapas previstas na metodologia visando estimular a prática em todas as unidades do IFPR. Os riscos devem ser levantados em relação aos objetivos estratégico do IFPR, sendo categorizados, classificados, levando em consideração a probabilidade e a consequência, possibilitando pensar em quais princípios podem auxiliar nas atividades de controle, na definição da resposta e no tratamento do risco. A integração será demonstrada pelas linhas de defesa definidas pelo IFPR conforme apresentado na Figura 01.
A primeira linha de defesa está sob a responsabilidade dos Departamentos, Coordenações, Seções e Agentes Operacionais que tem como incumbência implementar ações preventivas para resolver deficiências em processos e controles.
A segunda linha de defesa é composta pela Reitoria, Gabinete da Reitoria, Pró-Reitorias, Diretoria Gerais e Diretorias Sistêmicas que tem como atribuições determinar as direções e oferecer garantias para controles internos, compliance (conformidade), riscos institucionais e melhoria dos processos, apoiando a primeira linha de defesa.
A terceira linha de defesa é da competência da Auditoria Interna que deve promover avaliações independentes dos controles internos. O relatório da segunda linha deve ser encaminhado ao Comitê que por sua vez apresentará ao Conselho Superior. A Auditoria Interna envia seus relatórios ao Conselho Superior que é o Responsável da Alta Gestão pelo Controle Interno e Avaliação do Risco do IFPR, que pode ser assessorado não só pelo Comitê de Governança, Riscos e Controle como dos demais Comitês de Assessoramento.
Figura 1 – Integração das Linhas de Defesa
O IFPR utilizará como ferramenta de apoio o seu Sistema de Gestão, providenciando as adequações necessárias ao cumprimento das etapas previstas na metodologia COSO. Também incluirá em seu Plano de Capacitação a Gestão de Riscos para o desenvolvimento contínuo dos servidores que atuarão como agentes públicos neste tema.
7. GOVERNANÇA
A Governança diz respeito à forma como as decisões são tomadas. A governança refere-se ao desenvolvimento de políticas e procedimentos, à definição de responsabilidades e também à criação de diretrizes para orientar as pessoas e os processos da organização. A finalidade é garantir que ninguém se perca, ou seja, que todos atuem em prol de um objetivo em comum, e que haja transparência e igualdade em todas as áreas envolvidas.
O IFPR seguirá os seguintes princípios de boa governança:
I. liderança: deve ser desenvolvida em todos os níveis da administração. As competências e responsabilidades devem estar identificadas para todos os que gerem recursos públicos, de forma a se obter resultados adequados;
II. integridade: tem como base a honestidade e objetividade, elevando os padrões de decência e probidade na gestão dos recursos públicos e das atividades da organização, com reflexo tanto nos processos de tomada de decisão, quanto na qualidade de seus relatórios financeiros e de desempenho;
III. responsabilidade: diz respeito ao zelo que se espera dos agentes de governança na definição de estratégias e na execução de ações para a aplicação de recursos públicos, com vistas ao melhor atendimento dos interesses da sociedade;
IV. compromisso: dever de todo o agente público de se vincular, assumir, agir ou decidir pautado em valores éticos que norteiam a relação com os envolvidos na prestação de serviços à sociedade, prática indispensável à implementação da governança;
V. transparência: caracterizada pela possibilidade de acesso a todas as informações relativas à organização pública, sendo um dos requisitos de controle do Estado pela sociedade civil. As informações devem ser completas, precisas e claras para a adequada tomada de decisão das partes interessas na gestão das atividades; e
VI. accountability: obrigação dos agentes ou organizações que gerenciam recursos públicos de assumir responsabilidades por suas decisões e pela prestação de contas de sua atuação de forma voluntária, assumindo integralmente a consequência de seus atos e omissões.
7.1 Considerações sobre a efetiva governança e seus agentes
Para uma efetiva governança, os princípios serão aplicados de forma integrada, como um processo, e não apenas individualmente, sendo compreendidos por todos na organização.
Os agentes da governança no IFPR, devem contribuir para aumentar a confiança na forma como são geridos os recursos colocados à sua disposição, reduzindo a incerteza dos membros da sociedade sobre a forma como são geridos os recursos e as organizações públicas.
SOBRE A METODOLOGIA COSO
O Comitê de Organizações Patrocinadoras (COSO) é uma iniciativa conjunta das cinco organizações do setor privado listadas a seguir e dedica-se a incentivar o pensamento de liderança através do desenvolvimento de estruturas e orientações sobre gestão de risco empresarial, controlo interno e dissuasão da fraude, concebidos para melhorar o desempenho e supervisão e reduzir a extensão da fraude nas organizações. É patrocinado por cinco das principais associações de classe de profissionais ligados à área financeira nos Estados Unidos (American Institute of Certified Public Accounts, American Accounting Association, Financial Executives International, The Institute of Internal Auditors e Institute of Management Accountants).
Em 2013, o Coso, The Committee of Sponsoring Organizations of the Treadway Commission (Comitê das Organizações Patrocinadoras), publicou, o Internal Control – Integrated Framework, que define o controle interno como sendo “um processo, executado pelo Conselho de Administração de uma entidade, pela gerência e por outras pessoas, de forma a fornecer a garantia razoável para realização dos objetivos relativos às operações, ao relatório, e à conformidade”.
Essa definição reflete certos conceitos fundamentais. O controle interno é:
• Alinhado à consecução de objetivos em uma ou mais categorias – operações, relatórios e conformidade.
• Um processo consistindo em tarefas e atividades em andamento – um meio para um fim, não um fim em si mesmo.
• Efetuado por pessoas – não apenas sobre manuais de políticas e procedimentos, sistemas e formas, mas sobre as pessoas e as ações que elas tomam em todos os níveis de uma organização para afetar o controle interno
• Capaz de fornecer uma garantia razoável – mas não uma garantia absoluta, para a alta administração e o conselho de administração de uma entidade
• Adaptável à estrutura da entidade – flexível na aplicação para toda a entidade ou para uma determinada subsidiária, divisão, unidade operacional ou processo comercial
Esta definição é intencionalmente ampla. Ele captura conceitos importantes que são fundamentais para a forma como as organizações projetar, implementar e conduzir o controle interno, fornecendo uma base para a aplicação entre organizações que operam em diferentes estruturas de entidade, indústrias e regiões geográficas.
ObjetivosQuatro categorias de objetivos são consideradas e permitem às organizações centrarem-se nos diferentes aspectos do controle interno: • Objetivos Estratégicos – Estes se referem aos objetivos estabelecidos ao mais alto nível e relacionados com o estabelecimento da missão e visão da organização. • Objetivos Operacionais – Estes referem-se à eficácia e eficiência das operações da entidade, incluindo metas de desempenho operacional e financeiro e salvaguarda de ativos contra perda. • Objetivos de Relatórios – Estes dizem respeito a recursos financeiros e relatórios não financeiros e podem abranger a confiabilidade, a oportunidade, a transparência ou outros termos estabelecidos por reguladores, reguladores reconhecidos ou as políticas da entidade. • Objetivos de Conformidade – Estes dizem respeito à adesão às leis e regulamentos a que a entidade está sujeita.
O controle interno não é um processo em série, mas um processo dinâmico e integrado. A estrutura aplica-se a todas as entidades: grandes, médias, pequenas, com fins lucrativos e sem fins lucrativos, e a órgãos governamentais. No entanto, cada organização pode optar por implementar e controlar de forma diferente. Por exemplo, o sistema de controle interno de uma entidade menor pode ser menos formal e menos estruturada, mas ainda assim possuir controle interno eficaz. (Coso, 2017).