Respostas às perguntas realizadas durante o evento

Pergunta 1: Nas universidades há uma dificuldade de entendimento sobre quem tem a responsabilidade sobre o controle interno. Poderia indicar qual a área mais adequada?

Resposta: Cumpre destacar que o controle interno não é somente de responsabilidade da Auditoria Interna, mas por todos os integrantes da organização.

Nesse sentido, cumpre observar o conceito de controle interno da gestão (fonte: manual-de-orientacoes-tecnicas-1.pdf):

      “Controles internos da gestão: processo que envolve um conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e informações, entre outros, operacionalizados de forma integrada pela alta administração, pelos gestores e pelo corpo de servidores e empregados dos órgãos e entidades da Administração Pública Federal, destinados a enfrentar os riscos e fornecer segurança razoável de que, na consecução da missão da entidade, os seguintes objetivos gerais serão alcançados: a) execução ordenada, ética, econômica, eficiente e eficaz das operações; b) cumprimento das obrigações de accountability; c) cumprimento das leis e dos regulamentos aplicáveis; e d) salvaguarda dos recursos para evitar perdas, mau uso e danos. O estabelecimento de controles internos no âmbito da gestão pública visa a essencialmente aumentar a probabilidade de que os objetivos e metas estabelecidos sejam alcançados, de forma eficaz, eficiente, efetiva e econômica. Nesse Manual, pode também ser denominado apenas controle ou controle interno”.

Por sua vez, o mesmo Manual conceitua a Unidade de Auditoria Interna Governamental (UAIG): 

      ”unidade responsável pela prestação de serviços independentes e objetivos de avaliação e de consultoria, desenvolvidos para adicionar valor e melhorar as operações da organização e que reúna as prerrogativas de gerenciamento e de operacionalização da atividade de auditoria interna governamental no âmbito de um órgão ou entidade da Administração Pública Federal. Consideram-se UAIG as unidades integrantes do SCI e os órgãos auxiliares. As UAIG estão posicionadas na terceira linha de defesa do Poder Executivo Federal”. 

Portanto, há que se ter cuidado para não confundir controle interno, atividade em que todos têm responsabilidade, com a área responsável pela Auditoria Interna Governamental.  

Pergunta 2: Os riscos são somente “negativos”? Não há risco “positivo”? A metodologia contempla “risco positivo”? Ex.: Há restrições no orçamento, mas podemos “receber verbas” inesperadas. Não seria um risco positivo? Não seria ideal considerá-lo no mapeamento?

Resposta: Risco é a possibilidade de ocorrer um evento que venha a ter impacto no cumprimento dos objetivos.  Nesse sentido, não são somente riscos negativos, também existem riscos positivos (oportunidades). Os riscos positivos são mencionados na ISO 31000 e oportunidades no COSO. 

Infelizmente não tenho conhecimento sobre metodologias que adotem riscos positivos.  

Pergunta 3: Em instituições públicas de grande dimensão como a UFRJ, há uma dificuldade, particularmente por parte das instituições responsáveis pela governança e pelos controles, de sistematizar e padronizar os processos a nível institucional. Frequentemente até mesmo o fluxo de informações acaba sendo deficiente devido à dificuldade de articulação e direção. Há alguma sugestão para como operacionalizar os encaminhamentos da gestão de riscos em instituições deste perfil? Adicionalmente, como viabilizar uma abordagem bottom-up, que o Sr. indicou que é o mais efetivo, quando se tem uma estrutura e uma cultura organizacional que não favorece esse movimento?

Resposta: Uma boa prática para operacionalizar os encaminhamentos da gestão de riscos em instituições com o perfil da UFRJ é a designação de pontos focais, por exemplo, por área, por processos, de tal modo a fomentar o engajamento na temática.

Outra boa prática é promover encontros periódicos desses pontos focais, o que propicia um espaço para troca de experiências e amadurecimento da gestão de riscos. Também é interessante que os pontos focais promovam encontros com aqueles sob sua alçada, visando a sensibilização periódica de todos. 

Para viabilizar uma abordagem bottom-up em uma estrutura e cultura organizacional que não favorece esse movimento, recomenda-se a capacitar, manter ações perenes de sensibilização e engajamento dos servidores e colaboradores em nível operacional, sem que se espere um comando do tipo top-down.  Trata-se de formar nos servidores e colaboradores a visão de que o risco é algo a ser incorporado às suas práticas, que é preciso um processo de envolvimento, que haja o fortalecimento de uma cultura de que essa abordagem será útil nas demandas localizadas de cada setor, dentro das tarefas a eles impostas, com certo grau de autonomia.

A respeito do assunto também tem-se o artigo disponível em: Vista do Risco Bottom Up: Uma reflexão sobre o desafio da implementação da gestão de riscos no setor público brasileiro

Pergunta 4: Aproveitando a oportunidade, se me permite expandir a discussão sobre a primeira pergunta, também gostaria de compartilhar uma dúvida relacionada ao tema. Considerando a estrutura da UFRJ, como você entende que seria a instância mais adequada para alocar um setor ou divisão de Controles Internos, com o objetivo de atuar na 2ª linha de defesa?

Resposta: O posicionamento da segunda linha é algo mais flexível, lembrando que a ela compete supervisionar a primeira linha – que são os controles internos administrativos a cargo do gestor.

Por sua vez, a terceira linha- a auditoria interna- tem que ser sempre posicionada junto a autoridade máxima do órgão/entidade.

Não conheço profundamente a estrutura da UFRJ para informar onde seria o mais adequado para posicionar a segunda linha. Mas a título de exemplo, informo que as estatais costumam criar um diretoria de compliance/conformidade para a segunda linha.

Reitero, novamente, que o posicionamento da segunda linha é mais flexível, e que a essa compete supervisionar a primeira linha – os controles internos administrativos a cargo do gestor.

Pergunta 1: Nas universidades há uma dificuldade de entendimento sobre quem tem a responsabilidade sobre o controle interno. Poderia indicar qual a área mais adequada?

Resposta: O controle interno possui um conceito bastante amplo. Em termos de COSO e instrução normativa nº1 da CGU de 2016, acredito ser de responsabilidade da alta administração da UFRJ. As melhores práticas de controles internos adotadas pela instrução normativa nº1 da CGU de 2016, apontam que a alta administração deve assegurar procedimentos efetivos para implementação de controles internos e os controles internos se constituem na primeira linha das organizações públicas. Nesse caso, se observarmos o modelo de governança da UFRJ, ao mesmo tempo que alguns membros da alta administração devem assegurar a implementação efetiva, eles também fazem parte da primeira linha em suas atuações, assim sendo responsáveis por suas próprias atividades de controles a partir de suas atividades rotineiras. Ressalto que os controles internos da gestão não devem ser confundidos com atividades de controle. Por fim, os controles internos da gestão são operacionalizados de forma integrada pela direção e pelos servidores.

Pergunta 2: Os riscos são somente “negativos”? Não há risco “positivo”? A metodologia contempla “risco positivo”? Ex.: Há restrições no orçamento, mas podemos “receber verbas” inesperadas. Não seria um risco positivo? Não seria ideal considerá-lo no mapeamento?

Resposta: O risco em seu conceito abarca a incerteza na execução, e essa incerteza pode gerar consequências positivas ou negativas. Normalmente nos atentamos aos exemplos negativos para que foquemos em melhorias no processo, mas também existem consequências positivas. Por exemplo, a ferramenta SWOT, que pode auxiliar na identificação dos riscos, possui em um dos quadrantes as “oportunidades” que podem e devem ser identificadas.

Pergunta 3: Em instituições públicas de grande dimensão como a UFRJ, há uma dificuldade, particularmente por parte das instituições responsáveis pela governança e pelos controles, de sistematizar e padronizar os processos a nível institucional. Frequentemente até mesmo o fluxo de informações acaba sendo deficiente devido à dificuldade de articulação e direção. Há alguma sugestão para como operacionalizar os encaminhamentos da gestão de riscos em instituições deste perfil? Adicionalmente, como viabilizar uma abordagem bottom-up, que o Sr indicou que é o mais efetivo, quando se tem uma estrutura e uma cultura organizacional que não favorece esse movimento?

Resposta: Acredito que a resposta seja “recursos”. Para as instituições que enxergam a importância da governança, gestão de riscos e dos controles internos, há a necessidade de disponibilizar recursos para essa finalidade, recursos humanos e financeiros. Além desse desafio, há outro primordial: mudar a cultura da organização. Nesse sentido, a UFRJ, por meio de algumas PRs como a de Gestão e Governança juntamente com a de Pessoal, vêm adotando diversas ações para alcance desse objetivo. A abordagem é do topo para baixo, o tom deve vir do topo. É um processo longo e que demanda ação de muitas pessoas.