Aguarde por favor...

DEFENSORIA PÚBLICA DO ESTADO DE MATO GROSSO

INSTRUÇÃO NORMATIVA SCI-01/2019

Versão: 01

Publicação: D.O.E nº27.633 em 19.10.2019.

Unidade Responsável: Unidade de Controle Interno (UCI)

PARTE 1:               INFORMAÇÕES GERAIS SOBRE ESTA INSTRUÇÃO NORMATIVA

I - FINALIDADE

Este documento, identificado como “Norma das Normas”, dispõe sobre a produção e atualização das instruções normativas do SCI a que se refere o art. 8º. da Portaria nº 0718/2019/DPG, destinadas à especificação das regras gerais e dos procedimentos de controle a serem observados pelas diversas unidades que compõem a estrutura organizacional da Defensoria Pública do Estado de Mato Grosso.

Tem por principais objetivos apresentar:

a)            um padrão para a estrutura das instruções normativas do SCI e orientações gerais para a sua elaboração.

b)            a metodologia a ser observada por todos os órgãos centrais de sistemas administrativos para a identificação e avaliação dos riscos associados aos respectivos processos de trabalho e definição dos correspondentes procedimentos de controle.

II - ABRANGÊNCIA

Abrange todas as unidades da estrutura organizacional da Defensoria Pública do Estado de Mato Grosso, em especial os órgãos centrais de sistemas administrativos, quando da elaboração ou atualização de instruções normativas do SCI, e a Unidade de Apoio à Gestão Estratégica (UAGE) quanto à interação do Sistema de Controle Interno (SCI) com o gerenciamento por processos.  

III - CONCEITOS

Esta parte destina-se à especificação dos conceitos atinentes à atividade ou processo de trabalho a que se refere a instrução normativa do SCI, para fins de divulgação e uniformização de entendimento em toda a organização.

No que tange ao Sistema de Controle Interno, aplicam-se os seguintes conceitos:

1. Controle

Qualquer atividade de verificação sistemática de um registro, exercida de forma permanente ou periódica, consubstanciada em documento ou outro meio, que expresse uma ação, uma situação, um resultado, etc., com o objetivo de verificar se existe conformidade com o padrão estabelecido, ou com o resultado esperado, ou, ainda, com o que determinam a legislação e as normas.

2. Controle Interno

2.1. Segundo o Guia aprovado pela Resolução nº 01/2007 do TCE-MT:

“O controle interno compreende o plano de organização e todos os métodos e medidas adotadas pela administração para salvaguardar seus ativos, desenvolver a eficiência nas operações, avaliar o cumprimento dos programas, objetivos, metas dos orçamentos e das políticas administrativas prescritas, verificar a exatidão e fidelidade das informações e assegurar o cumprimento da lei”.

2.2. Segundo o Committee of Sponsoring Organizations of the Treadway Commission (COSO), conforme tradução publicada pelo IIA-Brasil - Instituto dos Auditores Internos do Brasil:

“Controle interno é um processo conduzido pela estrutura de governança, administração e outros profissionais da entidade, e desenvolvido para proporcionar segurança razoável com respeito à realização dos objetivos relacionados a operações, divulgação e conformidade”.

3. Controles Internos Administrativos

Conforme as Diretrizes de Controle Interno Atricon - Associação dos Membros dos Tribunais de Contas do Brasil:

“São atividades e procedimentos de controle incidentes sobre os processos de trabalho da organização com o objetivo de diminuir os riscos e alcançar os objetivos da entidade, presentes em todos os níveis e em todas as funções e executados por todo o corpo funcional da organização”.

São também identificados como controles primários ou controles da gestão.

4. Sistema

Conjunto de ações coordenadas, que concorrem para um determinado fim.

5. Sistema de Controle Interno (SCI)

5.1. Conforme as Diretrizes de Controle Externo da Atricon a respeito do controle interno nos órgãos jurisdicionados dos Tribunais de Contas:

“Sistema de Controle Interno é o processo conduzido pela estrutura de governança e executado pela administração e por todo o corpo funcional da entidade, integrado ao processo de gestão em todas as áreas e em todos os níveis de órgãos da entidade e estruturado para enfrentar riscos e fornecer razoável segurança de que; na consecução da missão, dos objetivos e das metas institucionais, os princípios constitucionais da administração pública serão obedecidos e os seguintes objetivos gerais de controle serão atendidos:

I - eficiência, eficácia e efetividade operacional, mediante execução ordenada, ética e econômica das operações;

II - integridade e confiabilidade da informação produzida e sua disponibilidade para a tomada de decisões e para o cumprimento de obrigações de accountability;

III - conformidade com leis e regulamentos aplicáveis, incluindo normas, políticas, programas, planos e procedimentos de governo e da própria instituição;

IV - adequada salvaguarda e proteção de bens, ativos e recursos públicos contra desperdício, perda, mau uso, dano, utilização não autorizada ou apropriação indevida.

5.2. Com uma abordagem mais técnica, adequada ao modelo de funcionamento do SCI a que se refere esta instrução normativa, também pode ser entendido como:

Conjunto de procedimentos de controle inseridos nos processos de trabalho agrupados em sistemas administrativos e especificados nas instruções normativas do SCI, executados no dia-a-dia ao longo da estrutura organizacional, visando a salvaguarda dos ativos, a busca da eficiência operacional, o cumprimento das normas legais e regulamentares e a exatidão e fidelidade dos dados e informações.

6. Instrução Normativa do SCI

Documento destinado à especificação das regras gerais e dos procedimentos de controle inseridos nos processos de trabalho, agrupados em sistemas administrativos. Não se confundem com as demais instruções normativas a que se refere o art. 5º, IV, b do Regimento Interno e demais disposições correlatas.

7. Manual de Rotinas Internas e Procedimentos de Controle

Arquivo em meio digital com a coletânea das instruções normativas do SCI catalogadas por sistemas administrativos, disponibilizado no portal da transparência da DPEMT.

8. Órgão Central do SCI

Unidade formalmente constituída na legislação da instituição, detentora da competência para coordenação, supervisão e orientação técnica relacionada ao SCI. No caso da DPEMT é a Unidade de Controle Interno - UCI.

9. Unidades Executoras do SCI

São todas as unidades componentes da estrutura organizacional da Defensoria Pública do Estado de Mato Grosso, quando da observância das regras gerais e da execução dos procedimentos de controle especificados nas instruções normativas do SCI a que estão sujeitas.

10. Sistema Administrativo

Conjunto de atividades e processos de trabalho afins, relacionados às funções finalísticas ou de apoio, objetivando um resultado de interesse público, distribuídas em diversas unidades da estrutura organizacional e executadas sob a orientação técnica da unidade que lhe for responsável.

Os sistemas administrativos da Defensoria Pública do Estado de Mato Grosso e respectivos órgãos centrais estão definidos no Anexo Único da Portaria nº 0718/2019/DPG.

11. Órgão Central de Sistema Administrativo

Unidade que responde pelo gerenciamento e supervisão das atividades afetas a determinado sistema administrativo, na qual se concentra o maior volume de atividades atinentes à função. É a unidade que, de acordo com a terminologia adotada no gerenciamento por processos é identificada como Gestora do Processo.

12. Unidades Executoras de Sistema Administrativo

Unidades que têm participação em processo relativo a determinado sistema administrativo e, assim, se sujeitam à observância das regras gerais e dos procedimentos de controle especificados na correspondente instrução normativa do SCI. 

13. Gerenciamento de processos

É um conjunto de boas práticas que permite identificar, documentar, avaliar, redesenhar, monitorar e aperfeiçoar continuamente os processos de trabalho, com foco no atendimento às necessidades e expectativas dos clientes e no alcance dos objetivos estratégicos da organização. É mobilizar pessoas para gerar ganhos em uma organização, a partir de melhorias e inovações em seu dia-a-dia de trabalho.

14. Gerenciamento por processos

Aparato metodológico para a modelagem organizacional, qual permite que decisões sejam tomadas a partir do entendimento dos processos, buscando eficiência e eficácia nas atividades, utilizando dados e informações de forma a agregar valor para a organização.

15. Processos de trabalho

Também identificado como processos organizacionais, compreendem um conjunto ordenado de atividades de trabalho, no tempo e espaço, com início e fim, além de entradas e saídas bem definidas. Têm como objetivo gerar resultados para a organização, abrangendo as áreas finalísticas e de suporte, podendo ser retratados em diferentes níveis de detalhamento.

16. Mapa do Processo

Descrição gráfica do processo de trabalho, também denominado fluxograma.

17. Mapeamento de Processos de Trabalho

Levantamento de informações sobre processos de trabalho e descrição gráfica de seu funcionamento por meio de fluxos, auxiliando a visualização do processo e do seu relacionamento com outros participantes, eventos e resultados.

18. Pontos de Controle

Aspectos relevantes ou etapas de um processo de trabalho sobre os quais, em função de sua importância, grau de risco ou efeitos, deva haver algum procedimento de controle.

19. Procedimentos de Controle

Procedimentos inseridos nos processos de trabalho, com objetivo pré-determinado, para mitigar riscos associados às operações inerentes a cada ponto de controle, visando:

a)            restringir o cometimento de irregularidades ou ilegalidades (compliance);

b)            preservar o patrimônio público;

c)              assegurar fidedignidade e qualidade da informação;

d)            avaliar a obtenção de resultados; ou

e)            outros objetivos específicos.

O estabelecimento de um procedimento de controle somente se justifica quando, através do processo de gerenciamento de riscos, constata-se um risco com nível de gravidade que, em função da probabilidade de ocorrência e de suas consequências, enseja a adoção de procedimentos para mitigá-lo.

20. Matriz de Riscos e Controles

É o documento no qual são identificados e avaliados os riscos inerentes aos processos de trabalho, cujos procedimentos de controle serão especificados nas instruções normativas do SCI.

21. Riscos

São eventos inesperados, ocorridos na prática da operação das organizações e que impactam seus objetivos ou a expõe a situações indesejadas. São eventos incertos, porém mensuráveis, que merecem tratamento.

Segundo a Instrução Normativa nº 63/2010, do TCU: “Risco é a possibilidade de algo acontecer e ter impacto nos objetivos, sendo medido em termos de consequências e probabilidades”. Já a Instrução Normativa Conjunta MP/CGU nº 01/2016 conceitua risco como “possibilidade de ocorrência de um evento que venha a ter impacto no cumprimento dos objetivos”.

22. Gestão de Riscos

De acordo com a Norma ISO 31000, é a terminologia utilizada para definir um conjunto de ações estratégicas, como identificação, administração, condução e prevenção dos riscos ligados a uma determinada organização. Também é vista como a adoção de um conjunto de medidas e políticas em relação a riscos.

23. Gerenciamento de Riscos

Conjunto das ações adotadas pelos gestores para o cumprimento de uma Política de Gestão de Riscos, mesmo que não formalmente institucionalizada, em cada unidade, atividade, processo, projeto ou situação específica.

24. Nível de Risco

É a conjugação da probabilidade (chance de um risco ocorrer) e do impacto (intensidade/gravidade das consequências) de um evento de risco.

25. Mitigar Riscos

Medida adotada na fase de tratamento de riscos, do processo de gerenciamento de riscos, como resposta a um risco identificado e avaliado, tendo por finalidade reduzir a possibilidade da ocorrência de eventos potencialmente danosos.  As demais medidas que podem ser adotadas são: evitar, aceitar, transferir ou compartilhar o risco.

No âmbito do Sistema de Controle Interno as medidas adotadas para mitigar riscos são representadas pelo estabelecimento de regras gerais e/ou de procedimentos de controle.

26. Compliance

26.1. Segundo a Norma ISO 19600:2014:

Compliance, nos âmbitos institucional e corporativo, é o conjunto de disciplinas utilizadas para fazer cumprir as normas legais e regulamentares, as políticas e as diretrizes estabelecidas para o negócio e para as atividades da empresa, bem como evitar, detectar e tratar qualquer desvio ou inconformidade que possa ocorrer”.

26.2. Segundo o Guia do CADE (Conselho Administrativo de Defesa Econômica, do Ministério da Justiça) compliance é:

“Conjunto de medidas internas, adotadas por um determinado agente econômico, que permite a esse agente prevenir ou minimizar os riscos de violação às leis decorrentes de sua atividade - ou detectá-los mais rapidamente, caso se concretizem”.

27. Sistema de Compliance

Consoante a Norma ISO 19600:2014 é o conjunto de elementos inter-relacionados ou interativos, voltados para estabelecer políticas e objetivos, bem como, para atingi-los.

28. Programa de Compliance

Conjunto de mecanismos e procedimentos internos de integridade, auditoria e incentivo à denúncia de irregularidades e na aplicação efetiva de códigos de ética e de conduta, políticas e diretrizes, com objetivo de detectar e sanar desvios, fraudes, irregularidades e atos ilícitos praticados contra a administração pública, nacional ou estrangeira, conforme a Lei Anticorrupção nº 12.846/13.

29. Accountability

Termo que remete à obrigação, à transparência de membros de um órgão administrativo ou representativo, de prestar contas a instâncias controladoras ou a seus representantes.

IV - BASE LEGAL E NORMATIVA DO SISTEMA DE CONTROLE INTERNO

             Constituição Federal/88 em seus artigos 70 e 74;

             Constituição do Estado de Mato Grosso nos artigos 46 e 52;

             Lei Complementar nº 101/2000 (LRF), nos artigos 54 e 59;

             Lei (estadual) nº 10.773/2018 (estrutura orgânica da DPEMT);

             Regimento Interno da DPEMT;

             Portaria nº 0718/2019/DPG (que dispõe sobre o SCI da DPEMT);

             Lei nº 12.846/2013 (Lei Anti-Corrupção), como referência;

             Decreto (Federal) nº 9203 de 22.11.2017, como referência (principalmente art. 4º, VI; art. 5º, III e art. 17, III);

             Lei Complementar Estadual nº 295/2007;

             Lei Complementar nº 269/2007 (Lei Orgânica do TCE-MT - art.7º a 10);

             Resolução Normativa nº 01/2007, do Tribunal de Contas do Estado;

             Resolução Normativa nº 33/2012, do TCE;

             Resolução Normativa nº 26/2014, do TCE (em especial o art.13);

             Resolução Normativa nº 17/2017, do TCE (como referência);

             Resolução Atricon nº 05/2014 (como referência);

             Norma ISO 31000, como base de orientação.

V -           RESPONSABILIDADES EM RELAÇÃO AOS PROCEDIMENTOS DE CONTROLE

1. Dos órgãos centrais de sistemas administrativos:

             Estabelecer as regras gerais e definir os procedimentos de controle atinentes aos processos de trabalho que compõem o sistema administrativo, bem como, em consonância com as atividades do gerenciamento por processos, elaborar ou atualizar as instruções normativas do SCI com base na metodologia apresentada neste documento, submetendo à análise da Unidade de Controle Interno;

             Promover discussões técnicas com as unidades que participam dos processos de trabalho afetos ao sistema administrativo, visando assegurar que as Instruções normativas do SCI contenham sempre a correta e atualizada especificação das regras gerais e dos procedimentos de controle que se fazem necessários;

             Exercer o acompanhamento sobre a eficácia dos procedimentos de controle através dos Indicadores de Controle Interno que forem estabelecidos;

             Orientar as Unidades Executoras do SCI e supervisionar a observância às regras gerais e dos procedimentos de controle que foram estabelecidos.

2. Da Unidade de Controle Interno - UCI:

             Prestar orientação técnica aos órgãos centrais de sistemas administrativos quanto à aplicação da metodologia para identificação, avaliação e definição dos procedimentos de controle afetos aos pontos de controle atinentes aos processos de trabalho de seu âmbito, bem como na elaboração ou atualização das instruções normativas do SCI;

             Aferir a observância das regras, responsabilidades e procedimentos definidos nesta instrução normativa;

             Exercer o acompanhamento sobre a efetividade dos procedimentos de controle mediante análise dos Indicadores de Controle Interno;

             Através das atividades de auditoria interna e correlatas, avaliar a eficácia dos procedimentos de controle inerentes a cada sistema administrativo, propondo alterações necessárias para seu aprimoramento, inclusive, se for o caso, mediante atualização ou elaboração de novas instruções normativas do SCI;

             Informar a Unidade de Apoio à Gestão Estratégica sobre as atualizações nas instruções normativas do SCI, que forem apresentadas pelos órgãos centrais de sistemas administrativos;

             Manter atualizado o Manual de Rotinas e Procedimentos de Controle, de forma que contenha sempre a versão vigente de cada instrução normativa do SCI, disponibilizando-o em meio digital a todas as Unidades Executoras do SCI.

3.             Da Unidade de Apoio à Gestão Estratégica (UAGE), quanto às atividades relacionadas ao gerenciamento por processos:

             Disponibilizar informações aos órgãos centrais de sistemas administrativos e à Unidade de Controle Interno, quando solicitados, os produtos atinentes ao mapeamento de processos;

             Nas situações onde ainda não houve o completo mapeamento dos processos de trabalho, disponibilizar aos órgãos centrais de sistemas administrativos uma versão preliminar do mapa do processo, elaborada com base nas informações prestadas pelas unidades que interagem no processo.

             Contemplar nos mapas de processos as rotinas de trabalho inerentes aos procedimentos de controle que forem estabelecidos ou revisados, inclusive, quando aplicável, os relacionados à geração e monitoramento dos Indicadores de Controle Interno;

             Informar a UCI sobre as atualizações nas versões dos mapas dos processos. 

4. Das Unidades Executoras do SCI:

             Observar fielmente as regras gerais e executar os procedimentos de controle especificados nas instruções normativas do SCI, relacionados aos diversos sistemas administrativos afetos a sua área de atuação; no que tange às suas atividades finalísticas ou auxiliares, objetivando a observância das normas legais e regulamentares e o cumprimento dos demais objetivos do Sistema de Controle Interno;

             Atender às solicitações dos órgãos centrais de sistemas administrativos na fase de definição ou atualização de procedimentos de controle, quanto ao fornecimento de informações e à participação nos estudos;

             Alertar os respectivos órgãos centrais de sistemas administrativos quando identificar a necessidade ou conveniência de alterações nas rotinas de trabalho, objetivando o aprimoramento dos procedimentos de controle e o aumento da eficiência operacional;

             Manter os servidores orientados para a fiel observância das regras gerais e dos procedimentos de controle a que a unidade se sujeita, no cumprimento de suas funções finalísticas ou no tocante a atividades auxiliares.

PARTE 2: ORIENTAÇÕES QUANTO AO FORMATO E CONTEÚDO DAS INSTRUÇÕES NORMATIVAS DO SCI

1 - A elaboração da instrução normativa do SCI tomará por base o mapa do processo de trabalho e os dados constantes da Matriz de Riscos e Controles (Anexo III desta instrução normativa), observando as orientações que se seguem quanto ao padrão estrutural e formatação do conteúdo.

2 - As minutas apresentadas para a análise da Unidade de Controle Interno em desacordo com as regras dispostas nesta instrução normativa serão devolvidas ao respectivo órgão central de sistema administrativo, para as devidas adequações.

3 - O formato do presente documento serve como referência ao padrão das demais instruções normativas do SCI, as quais deverão conter os seguintes campos obrigatórios:

a)            Na identificação:

Número da Instrução Normativa do SCI

A numeração deverá ser única e sequencial para cada sistema administrativo, com a identificação da sigla do sistema antes do número e aposição do ano de sua expedição.

FORMATO: INSTRUÇÃO NORMATIVA (sigla do SISTEMA) número/ano:

INSTRUÇÃO NORMATIVA SXX-XX/20xx

Indicação da Versão

Indica o número da versão do documento, atualizado após alterações.

Considera-se nova versão somente o documento pronto, ou seja, aquele que, uma vez tendo tramitado na Unidade de Controle Interno para as ações de sua competência, será encaminhado à aprovação.

Data da Aprovação

Este campo deverá conter apenas a data da aprovação da instrução normativa ou de suas novas versões, no seguinte formato: 99/99/99.

Ato de Aprovação

Indica o número da edição e as datas de publicação da súmula no Diário Oficial do Estado - DOE.

Unidade Responsável

Informa o nome da unidade responsável pela instrução normativa, que atua como órgão central do sistema administrativo a que se refere a atividade ou processo de trabalho objeto do documento.

b)            No conteúdo:

I - FINALIDADE

Especificar de forma sucinta a finalidade da instrução normativa, que pode ser identificada mediante uma avaliação sobre quais os motivos que levaram à conclusão da necessidade de sua elaboração.

Quando aplicável, indicar onde inicia e onde termina o processo de trabalho ao qual serão especificados os procedimentos de controle.

Exemplo:

“Estabelecer procedimentos de controle para aditamento (valor e prazo) de contratos de aquisição de materiais e contratações de obras ou serviços, desde o pedido até a publicação do extrato do contrato”.

II - ABRANGÊNCIA

Especificar o nome das unidades executoras do sistema administrativo a que se refere a instrução normativa, ou seja, aquelas que estão sujeitas às normas estabelecidas no documento. Quando os procedimentos estabelecidos na instrução normativa devam ser observados, mesmo que parcialmente, por todas as unidades da estrutura organizacional, esta condição deve ser explicitada.

III - CONCEITOS

Tem por objetivo uniformizar o entendimento sobre as terminologias e aspectos mais relevantes inerentes ao assunto objeto da normatização. Especial atenção deverá ser dedicada a esta seção nos casos de a instrução normativa abranger todas as unidades da estrutura organizacional.

IV - BASE LEGAL E NORMATIVA

Indicar os instrumentos legais e regulamentares que interferem ou orientam as rotinas de trabalho e os procedimentos de controle a que se destina a instrução normativa.

V - RESPONSABILIDADES EM RELAÇÃO AOS PROCEDIMENTOS DE CONTROLE

1 - Esta parte destina-se à delimitação das responsabilidades específicas em relação aos procedimentos de controle que serão detalhados na instrução normativa do SCI a ser elaborada. Já as responsabilidades atinentes ao assunto objeto da norma poderão ser especificadas no Capítulo I - DISPOSIÇÕES INICIAIS, da Seção VI - PROCEDIMENTOS.

2 - A critério do órgão central do sistema administrativo, pode-se optar pelo detalhamento destas responsabilidades apenas na primeira instrução normativa do respectivo sistema administrativo, substituindo-o nas demais pela expressão:

“As responsabilidades em relação aos procedimentos de controle são as mesmas que se encontram detalhadas na Instrução Normativa nº XXX-01/20xx”. 

3 - A delimitação das responsabilidades em relação aos procedimentos de controle atinentes à instrução normativa deve tomar por base a seguinte redação:

1.             Do(a) ...... (indicar o nome do órgão central do sistema administrativo):

             Especificar as regras gerais e os procedimentos de controle nas instruções normativas do SCI atinentes ao sistema administrativo, elaboradas ou atualizadas com base na metodologia apresentada na versão vigente da Instrução Normativa SCI-01/2019, submetendo a minuta da IN à análise da Unidade de Controle Interno;

             Promover discussões técnicas periódicas com as unidades que participam dos processos afetos ao sistema administrativo, visando assegurar que as instruções normativas contenham sempre a correta e atualizada especificação das regras gerais e dos procedimentos de controle que se fazem necessários;

             Monitorar a eficácia dos procedimentos de controle através dos Indicadores de Controle Interno que forem estabelecidos;

             Orientar as unidades executoras do sistema administrativo e supervisionar a observância às regras gerais e dos procedimentos de controle que foram estabelecidos.

2. Das Unidades Executoras do Sistema Administrativo (indicar o nome)

             Observar fielmente as regras gerais e executar os procedimentos de controle especificados nas instruções normativas do SCI, relacionados ao Sistema Administrativo... (INDICAR), objetivando a observância das normas legais e regulamentares e o cumprimento dos demais objetivos de cada processo;

             Atender às solicitações do(a) .... (órgão central do sistema administrativo) na fase de definição ou atualização de procedimentos de controle, quanto ao fornecimento de informações e à participação nos estudos;

             Alertar o(a) .... (órgão central do sistema administrativo) sobre alterações que se fizerem necessárias nas rotinas de trabalho, objetivando o aprimoramento dos procedimentos de controle e o aumento da eficiência operacional;

             Manter os servidores orientados para a fiel observância das regras gerais e dos procedimentos de controle a que a unidade se sujeita, no cumprimento de suas funções finalísticas ou no tocante a atividades auxiliares.

3.             Da Unidade de Apoio à Gestão Estratégica (UAGE), quanto às atividades relacionadas ao gerenciamento por processos.

             Disponibilizar informações ao(a) .... (órgão central do sistema administrativo) e à Unidade de Controle Interno, quando solicitadas, a respeito das atividades atinentes ao mapeamento de processos, para fins de alinhamento de ações;

             Contemplar nos mapas dos processos as rotinas de trabalho inerentes aos procedimentos de controle que forem estabelecidos ou revisados, inclusive, quando aplicável, os relacionados à geração e monitoramento dos Indicadores de Controle Interno;

             Prestar apoio técnico ao(a) .... (órgão central do sistema administrativo) na elaboração de mapas provisórios de processos, nas situações onde ainda não houve o mapeamento dos processos de trabalho.    

4. Da Unidade de Controle Interno - UCI:

             Prestar orientação técnica aos órgãos centrais de sistemas administrativos quanto à aplicação da metodologia para identificação, avaliação e definição dos procedimentos de controle afetos aos pontos de controle atinentes aos processos de trabalho de seu âmbito, bem como na elaboração ou atualização das Instruções normativas do SCI;

             Aferir a observância das regras, responsabilidades e procedimentos definidos nesta instrução normativa;

             Exercer o acompanhamento sobre a efetividade dos procedimentos de controle mediante análise dos Indicadores de Controle Interno;

             Através da atividade de auditoria interna e correlatas, avaliar a eficácia dos procedimentos de controle inerentes a cada sistema administrativo, propondo alterações necessárias para o aprimoramento dos controles, inclusive, se for o caso, mediante atualização ou elaboração de novas instruções normativas;

             Manter atualizado o Manual de Rotinas Internas e Procedimentos de Controle, de forma que contenha sempre a versão vigente de cada instrução normativa do SCI, disponibilizando-o em meio documental e/ou digital a todas as Unidades Executoras do SCI.

VI - PROCEDIMENTOS

Trata da descrição das regras gerais e dos procedimentos de controle, conforme orientações constantes da Parte 4 desta instrução normativa.

VII - DISPOSIÇÕES FINAIS

Esta parte é destinada à inclusão de orientações ou esclarecimentos adicionais, não especificados anteriormente, tais como:

a)            medidas que poderão ser adotadas e/ou consequências para os casos de inobservância ao  que está estabelecido na instrução normativa;

b)            situações ou operações que estão dispensadas da observância total ou parcial ao que está estabelecido;

c)            unidade autorizada a prestar esclarecimentos a respeito da aplicação da instrução normativa;

d)            especificação dos anexos à instrução normativa.

VIII - APROVAÇÃO

A instrução normativa do SCI ou suas alterações deverá conter a assinatura do(a) titular do órgão central do sistema administrativo e do(a) gestor(a) à qual está vinculado, e será aprovada pelo Defensor Público-Geral.

PARTE 3:               ORIENTAÇÕES PARA A DEFINIÇÃO (OU REVISÃO) DOS PROCEDIMENTOS DE CONTROLE.

CAPÍTULO I - REGRAS GERAIS

1 - A especificação organizada dos procedimentos de controle fundamenta-se na necessidade de prevenir contra riscos associados aos objetivos da atividade ou do processo de trabalho objeto da avaliação e dos objetivos de controle interno aplicáveis ao caso.

2 - Sob o enfoque de riscos, o estabelecimento de um procedimento de controle somente se justifica quando, com a utilização de técnicas de gerenciamento de riscos, constatou-se um risco com nível de gravidade que, em função da probabilidade de ocorrência e de suas consequências, enseja a adoção de procedimentos para mitigá-lo.

2.1 - Deve-se direcionar a ênfase a controles que aumentem a probabilidade de os riscos significativos serem efetivamente mitigados, evitando-se a proliferação de procedimentos desconectados a estes, situação que pode afetar a eficácia das rotinas e a relação custo x benefícios dos controles.

2.2 - Dentre os riscos a serem mitigados citam-se como exemplo:

a)            ocorrência de operações e gastos em desconformidade com as normas legais e regulamentares (risco de Compliance);

b)            possibilidade de conduta em desconformidade com a ética (idem);

c)            possibilidade de má utilização ou dano ao patrimônio público;

d)            acesso não autorizado a programas e recursos de tecnologia da informação e a informações;

e)            ocorrência de despesas sem finalidade pública;

f)             ações e gastos dissociados dos instrumentos de planejamento;

g)            possibilidade de não serem atingidos os objetivos do processo ou atividade sob análise;

h)            outros riscos segundo as peculiaridades da atividade a ser controlada.

2.3 - Segundo as peculiaridades da atividade ou processo de trabalho que estiver sob análise e os tipos de riscos identificados, poderão ser definidos, dentre outros, os seguintes procedimentos de controle, os quais serão especificados em detalhes na instrução normativa:

a)            revisão sistemática de documentos ou de registros de transações;

b)            verificação da conformidade do ato em relação à legislação e normas aplicáveis;

c)            conferência de cálculos (ou de dados e parâmetros utilizados para cálculos);

d)            verificação da adequação em relação a limites de valores ou quantitativos;

e)            verificação de cumprimento de prazos estabelecidos;

f)             verificação de competências para autorizações e aprovações;

g)            confrontação com outros registros (cadastros - parâmetros, etc.);

h)            inspeção física e/ou contagem física;

i)             verificação da conformidade contábil.

3 - A identificação de riscos e a definição dos procedimentos competem aos órgãos centrais dos sistemas administrativos; mas também pode decorrer de constatações da Unidade de Controle Interno no exercício de suas competências, em especial quando das atividades de auditoria interna.

4 - Na definição dos procedimentos de controle, especial atenção deve ser dispensada àqueles necessários a assegurar a conformidade (Compliance) com a legislação e normas aplicáveis ao processo de trabalho ou atividade.

5 - Dentro do possível e, gradativamente, recomenda-se que seja avaliada a oportunidade para se estabelecer procedimentos de controle preventivo visando assegurar que os princípios do COSO ICIF aplicáveis ao processo ou atividade estejam presentes e atuantes em cada um dos cinco componentes desse modelo de referência para o controle interno.

6 - Os trabalhos a serem desenvolvidos pelos órgãos centrais de sistemas administrativos na elaboração ou atualização de instruções normativas do SCI  poderão ser facilitados com a observação das orientações constantes do Anexo IV, o qual indica o  passo a passo para a aplicação da metodologia, sendo fundamental, no entanto, a leitura prévia das regras gerais especificadas neste Capítulo.

CAPÍTULO II - ATIVIDADES INICIAIS

1 - Na primeira etapa do trabalho, o órgão central do sistema administrativo deverá:

a)            Ter claro os objetivos da atividade ou processo de trabalho a ser analisado, definidos em consonância com a UAGE;

b)            Efetuar levantamento e analisar as disposições legais e regulamentares vigentes às quais o assunto está sujeito;

c)            Verificar se existem aspectos externos e internos que devem ser levados em consideração na identificação dos riscos associados ao assunto;

d)            Identificar junto à UAGE o mapa do processo e eventuais subprocessos com as rotinas a serem analisadas como condição para a elaboração ou atualização da instrução normativa do SCI.

1.2 - O mapa do processo servirá de base para a visualização de toda a rotina e definição dos pontos de controle onde os procedimentos de controle serão estabelecidos (ou revisados), para serem especificados na instrução normativa.

CAPÍTULO III - IDENTIFICAÇÃO E AVALIAÇÃO DOS RISCOS

A - ASPECTOS A SEREM CONSIDERADOS NA IDENTIFICAÇÃO DE RISCOS

1 - De acordo com a Norma ISO 31000, a identificação dos riscos consiste na busca, reconhecimento e descrição de riscos, mediante a identificação das fontes de risco, eventos, suas causas e suas consequências potenciais. Já a análise dos riscos refere-se à compreensão da natureza do risco e à determinação do respectivo nível de risco mediante a combinação da probabilidade de sua ocorrência e dos impactos possíveis.

2 - A identificação e análise dos riscos tomarão por base os produtos decorrentes do mapeamento dos processos ou, se não totalmente concluído em relação ao assunto objeto da análise, o fluxograma preliminar elaborado especificamente para fins da elaboração ou atualização da instrução normativa.

3 - A identificação e análise dos riscos devem ser balizadas pela conjugação dos objetivos da atividade ou do processo de trabalho dos objetivos do Sistema de Controle Interno, ou seja, deve-se buscar identificar os eventos que podem impedir ou dificultar o alcance desses objetivos, a partir de uma reflexão sobre o que pode dar errado e que possa impactar a:

• eficiência, eficácia e efetividade operacional (execução ordenada, ética e econômica das operações);

• integridade e confiabilidade das informações produzidas e sua disponibilidade para a tomada de decisões e para o cumprimento das obrigações de accountability;

• conformidade com leis e regulamentos aplicáveis, incluindo normas, políticas, programas, planos e procedimentos de governo e da própria instituição;

• adequada salvaguarda e proteção de bens, ativos e recursos públicos contra desperdício, perda, mau uso, dano, utilização não autorizada ou apropriação indevida.

4 - Dentre as principais categorias destacam-se os riscos: estratégicos, operacionais, organizacionais, financeiros, de compliance, de pessoal, de liquidez, de crédito, de mercado, de negócios, de imagem, ambiental, etc. Embora todas sejam objeto de análise e preocupação, no caso da Defensoria Pública as seguintes categorias merecem atenção especial: os riscos operacionais, os riscos organizacionais e os riscos de compliance. 

4.1 - Os riscos operacionais podem comprometer as atividades da instituição e são entendidos como possibilidade de ocorrência de perdas resultantes de falhas, deficiência ou inadequação de processos internos, pessoas, infraestrutura, sistemas, ou de eventos externos. Inclui-se neste contexto o risco de indenizações por danos a terceiros decorrentes das atividades desenvolvidas pela instituição.

4.2 - O risco organizacional existe nas situações onde a estrutura organizacional é mal definida ou deficiente, a administração não possui perfil ou capacitação adequada e os objetivos não são bem estabelecidos. Dentre outras, algumas questões que podem possibilitar riscos desse tipo são: fluxo de informações internas e externas deficientes, com falhas de comunicação - responsabilidades dos funcionários e prestadores de serviço não definidas e formalizadas - facilidade para acessos indevidos a informações, com vazamento de informações para pessoas não autorizadas.

4.3 - Os riscos de compliance possuem duas vertentes: a da conformidade, onde também podem ser identificados como riscos legais e a da ética e integridade, sendo que a Subseção A.1 contém orientações mais detalhadas a respeito da identificação desses riscos.

5 - O risco não pode ser entendido como a ausência ou ineficácia de controles, pois o risco é inerente ao processo, independentemente dos controles implementados. Considerar que controles inexistentes ou falhos apenas aumentam a probabilidade de materialização dos riscos já existentes. Em regra, risco deve representar o problema e controle a solução.

6 - A identificação dos riscos pode ser auxiliada quando se busca respostas a perguntas (aplicáveis à atividade ou processo de trabalho sob análise) tais como:

a)            Onde somos vulneráveis?

b)            O que pode dar errado?

c)            Como e onde podemos falhar?

d)            Como estamos sujeitos a ações de mal intencionados?

e)            Quais as possibilidades de fraude?

f)             Como saber se estamos atingindo os objetivos?

g)            Onde gastamos mais dinheiro?

h)            Quais as etapas do processo são mais complexas?

i)             Quais situações seriam ruins para nossa imagem?

j)             Quais decisões exigem mais análise?

7 - Na identificação de riscos, empregar também, no que for aplicável, a técnica de análise de fontes e vulnerabilidades como causas de riscos, as quais são relacionadas a[1]:

a.             Pessoas: em número insuficiente, sem capacitação, perfil inadequado, desmotivadas;

b.             Processos: mal concebidos, com ausência de um fluxograma real, sem manuais ou instruções formalizadas (procedimentos, documentos padronizados), sem segregação de funções;

c.             Sistemas de T.I.: obsoletos, sem manuais de operação, sem integração com outros sistemas, com inexistência de controles de acesso lógico e de procedimentos de backup;

d.            Infraestrutura Física: localização inadequada, instalações ou leiaute inadequados, inexistência de controles de acesso físico;

e.             Estrutura Organizacional: falta de clareza quanto às funções e responsabilidades, deficiências nos fluxos de informação e comunicação, centralização excessiva de responsabilidades, delegações exorbitantes;

f.              Tecnologia: técnica ultrapassada/produto obsoleto, falta de investimento em TI, tecnologia sem proteção de patentes, processo produtivo sem proteção contra espionagem;

g.            Eventos externos: eventos não gerenciáveis.

8 - Outro aspecto a ser levado em consideração está na constatação de que mais de 90% das inconformidades que são constatadas em qualquer tipo de organização estão relacionadas a procedimentos e registros.

8.1 - Segundo a Norma ISO 9000/2015, um “documento” se refere ao meio onde a informação está contida, podendo ser: papel, meio magnético, fotografia, amostra-padrão (produto gerado ao final do processo de produção).

8.2 - Diante da tendência de eliminação de documentos em meio físico, deve-se procurar identificar eventuais riscos inerentes à sua ausência, para as situações onde a unidade concluiu não haver mais necessidade de reter informações de forma documental e detalhada.

A.1 - Aspectos específicos dos riscos de compliance.

1 - Diante da relevância do compliance nas organizações públicas, em especial em órgãos da natureza da Defensoria Pública, esta parte da instrução normativa insere alguns pontos de alerta a serem considerados quando da identificação de riscos, que podem existir em maior ou menor gravidade em função das características e relevância da atividade ou processo de trabalho sob análise.

1.1           - Para a obtenção de mais detalhes sobre a matéria deve-se consultar o ato do Defensor Público-Geral estabelecendo políticas de diretrizes de compliance e a instrução normativa do SCI correspondente a este assunto, sendo que a Norma ISO 19600:2014 trata da implementação de um padrão global para o Gerenciamento da Conformidade.

1.2 - Outra fonte de consulta é a Lei Anticorrupção nº 12.846/2013, que dispõe sobre a responsabilização administrativa e civil de pessoas jurídicas pela prática de atos contra a administração pública, nacional ou estrangeira, e do respectivo Decreto de regulamentação nº 8.420/2015. Embora dirigida à iniciativa privada, esta Lei pode e deve influenciar no comportamento dos servidores públicos, pois nenhum ato desta natureza pode ser praticado sem a sua conivência.

2 - Do conceito de compliance depreende-se que, numa primeira vertente, o objetivo é assegurar que a Defensoria Pública esteja absolutamente em linha com a legislação e normas, além de todas as políticas e diretrizes estabelecidas, cumprindo à risca todas as imposições dos órgãos de regulamentação, dentro de todos os padrões exigidos de sua área de atuação. Assim, abrange as esferas trabalhista, fiscal, contábil, financeira, ambiental, jurídica, previdenciária, ética, governança, etc.

2.1 - Para identificar as situações que possam ser consideradas ou mapeadas como riscos, levar em consideração que as obrigações de conformidade não se aplicam somente à legislação e regulamentos internos e externos que atingem suas atividades especificas e de seus respectivos segmentos, mas a todas as normas de órgãos de controle externo, órgãos reguladores de funções, etc.

2.2 - Sob esta ótica, os riscos podem ser entendidos como a possibilidade de perdas decorrentes de sanções como multas, penalidades ou indenizações resultantes de ações de órgãos de supervisão e controle; em razão de descumprimento de dispositivos legais, normas e regulamentos, bem como, perdas decorrentes de decisão desfavorável em processos judiciais ou administrativos. Pode-se incluir o risco associado à inadequação ou deficiência em contratos firmados pela instituição.

3 - Deve-se levar em consideração que o estabelecimento de adequados procedimentos de controle em pontos chave dos processos não resolve totalmente o problema, pois, pela sua natureza, estabelecem nas pessoas o senso de cumprimento de normas/leis, mas a integridade demanda outro tipo de cultura, que é: fazer o certo, independentemente das normas/leis - fazer o certo mesmo que ninguém esteja controlando.

3.1           - A situação ideal é procurar atrelar a implementação dos controles ao fortalecimento da cultura da integridade na instituição, sendo este um papel do órgão central de cada sistema administrativo tomando como ato do Defensor Público-Geral estabelecendo políticas de diretrizes de compliance e a instrução normativa do SCI correspondente a este assunto.

3.2           - Sob a ótica da ética e integridade, o processo de identificação dos riscos também deve tentar identificar se o processo de trabalho insere situações que podem se traduzir em potenciais problemas de corrupção, conflitos de interesse, fraude e de má conduta, entre outros, em especial nas operações que ensejam a interação público-privada.

3.3 - Nessas situações, quando aplicável, deve-se procurar estabelecer controles para aferir o cumprimento das regras estabelecidas na instrução normativa do SCI relacionadas ao combate a qualquer forma de suborno, corrupção e propina, incluindo procedimento de condutas quanto a recebimento de presentes, gratificações, etc.

3.4 - Da mesma forma, os controles devem contemplar a verificação da observância ao conjunto de mecanismos e procedimentos internos que forem estabelecidos para incentivo à denúncia de irregularidades e na aplicação efetiva de códigos de ética e de conduta, políticas e diretrizes com objetivo de detectar e sanar desvios, fraudes, irregularidades e atos ilícitos.

A.2 - Aspectos relacionados às orientações do Modelo COSO ICIF.

1 - O modelo de referência COSO ICIF tem por principal objetivo auxiliar as organizações para que desenvolvam e mantenham, de forma eficiente e eficaz, sistemas de controle interno que possibilitem aumentar as chances de alcançar seus objetivos e adaptar-se às mudanças nos ambientes operacionais e corporativos. Já o COSO ERM, apresenta uma estrutura integrada para gerenciamento de riscos corporativos.

1.1           - Embora sejam instrumentos normalmente utilizados para avaliação de riscos e controles internos em nível de entidade, atividade de competência da UCI, para os fins desta instrução normativa servem de referência também para, gradativamente e no que for aplicável, orientar o estabelecimento de procedimentos de controle de caráter preventivo em nível de processos de trabalho mais críticos e abrangentes.

2 - Esse instrumento é marcantemente voltado a organizações empresariais. Desta forma, considerando os objetivos/funções da Defensoria Pública, está sendo considerado nesta instrução normativa apenas a título de orientação técnica, para auxiliar na identificação de eventuais riscos em nível de processos de trabalho.   

3 - No modelo de referência COSO ICIF, em sua versão de maio de 2013, as orientações são estruturadas através da figura de um cubo, onde as colunas representam as três categorias de objetivos do controle interno (operacional, divulgação e conformidade); as linhas representam os cinco componentes (ambiente de controle, avaliação de riscos, atividades de controle, informação e comunicação e atividades de monitoramento), sendo a estrutura organizacional representada pela terceira dimensão.

3.1 - Conforme o modelo, os controles internos devem ser conduzidos para atingir objetivos em uma ou mais categorias: operacional, comunicação e conformidade, podendo ser objetivos fixados para toda a organização ou estabelecidos para atividades, processos de trabalho ou operações específicas, sendo assim uma questão que já pode estar presente já na fase de identificação dos riscos.

3.1.1 - Nesse modelo, os objetivos de controle são:

             Operacional - está relacionado com a eficiência e eficácia dos processos operacionais, incluindo o desempenho quanto ao alcance das metas financeiras e/ou operacionais, e também a salvaguarda dos ativos contra a ameaça de perdas.

             Comunicação - refere-se ao processo de comunicação externa e interna, principalmente quanto à integridade, totalidade, transparência e tempestividade das informações.

             Conformidade - diz respeito à aderência as normas, leis e regulamentos em que a organização tem obrigação.

3.2 - Existe uma relação direta entre os objetivos, que são o que a Instituição deve buscar alcançar em termos de controles internos, os componentes, que representam o que é necessário para atingir os objetivos, e a estrutura organizacional.

3.2.1 - Os componentes do controle interno do modelo COSO ICIF são instrumentos mais voltados a orientar a avaliação dos controles internos, mas são especificados nesta instrução normativa para fins de conhecimento por parte das Unidades Executoras do SCI:

             Ambiente de controle - Fornece a base para os controles internos em toda a organização. Define os padrões de gestão como também os valores éticos que norteiam as boas práticas adotadas.

             Avaliação de riscos - Este componente define que a gestão deve conhecer todos os riscos que podem afetar a possibilidade da organização alcançar os objetivos definidos para a operação, comunicação e conformidade.

             Atividades de controle - Compreende políticas e procedimentos adotados pela organização para minimizar a ocorrência e/ou impacto dos riscos inerentes à operação.

             Comunicação e informação - Diz respeito às informações necessárias para a gestão conduzir suas responsabilidades sobre os controles internos no alcance dos objetivos previamente definidos.

             Monitoramento - São avaliações realizadas pelo sistema ou independente a ele para certificar a administração se os controles internos estão presentes e efetivos.

4 - O modelo COSO ICIF estabelece também 17 princípios, que representam os conceitos fundamentais associados a cada componente. Como esses princípios são originados diretamente dos componentes, a eficácia do controle interno pode ser medida através da observância ou não de todos os princípios que têm relação com o processo de trabalho, sendo que todos os princípios aplicam-se aos objetivos operacionais, de divulgação e de conformidade.

4.1 - Os princípios que apoiam os componentes do controle interno igualmente são utilizados como base para a avaliação dos controles internos, mas também são transcritos nesta instrução normativa como fonte de alerta para a identificação de eventuais riscos a que se sujeitam a atividade ou processo de trabalho sob análise, em função de suas características e objetivos:

a)            Quanto ao ambiente de controle:

1. A organização demonstra ter comprometimento com a integridade e os valores éticos.

2. A estrutura de governança demonstra independência em relação aos seus executivos e supervisiona o desenvolvimento e o desempenho do controle interno.

3. A administração estabelece, com a suspensão da estrutura de governança, as estruturas, os níveis de subordinação e as autoridades e responsabilidades adequadas na busca dos objetivos.

4. A organização demonstra comprometimento para atrair, desenvolver e reter talentos competentes, em linha com seus objetivos.

5. A organização faz com que as pessoas assumam responsabilidade por suas funções de controle interno na busca pelos objetivos.

b)            Quanto à avaliação de riscos:

6. A organização especifica os objetivos com clareza suficiente, a fim de permitir a identificação e a avaliação dos riscos associados aos objetivos.

7. A organização identifica os riscos à realização de seus objetivos por toda a entidade e analisa os riscos como uma base para determinar a forma como devem ser gerenciados.

8. A organização considera o potencial para fraude na avaliação dos riscos à realização dos objetivos.

9. A organização identifica e avalia as mudanças que poderiam afetar, de forma significativa, o sistema de controle interno.

c)            Quanto à atividades de controle:

10. A organização seleciona e desenvolve atividades de controle que contribuem para a redução, a níveis aceitáveis, dos riscos à realização dos objetivos.

11. A organização seleciona e desenvolve atividades gerais de controle sobre a tecnologia para apoiar a realização dos objetivos.

12. A organização estabelece atividades de controle por meio de políticas que estabelecem o que é esperado e os procedimentos que colocam em prática essas políticas.

d)            Quanto à informação e comunicação:

13. A organização obtém ou gera e utiliza informações significativas e de qualidade para apoiar o funcionamento do controle interno.

14. A organização transmite internamente as informações necessárias para apoiar o funcionamento do controle interno, inclusive os objetivos e responsabilidades pelo controle.

15. A organização comunica-se com os públicos externos sobre assuntos que afetam o funcionamento do controle interno.

e)            Quanto às atividades de monitoramento:

16. A organização seleciona, desenvolve e realiza avaliações contínuas e/ou independentes para se certificar da presença e do funcionamento dos componentes do controle interno.

17. A organização avalia e comunica deficiências no controle interno em tempo hábil aos responsáveis por tomar ações corretivas, inclusive a estrutura de governança e alta administração, conforme aplicável.

5 - O cenário ideal para o Sistema de Controle Interno da Defensoria Pública do Estado de Mato Grosso é no sentido de que, gradativamente, se busque incorporar a cada processo de trabalho os procedimentos de controle que são pertinentes com essas orientações do COSO ICIF. A meta é que todos os princípios aplicáveis se tornem presentes e operantes em todos os componentes do modelo.

5.1 - Neste sentido, pode-se considerar os controles internos são mais eficazes na medida em que reduzem, a um nível aceitável, o risco de não se atingir a uma, duas ou todas as três categorias de objetivos, requerendo a presença e o funcionamento de cada um dos cinco componentes e princípios relacionados.

5.1.1 - Considerar “presença” como a determinação da existência dos componentes e princípios relacionados na definição e especificação dos procedimentos de controle para atingir objetivos especificados.

5.1.2 - “Funcionamento” refere-se à determinação de que os componentes e princípios relacionados continuem a existir na operacionalização dos procedimentos de controle.

5.1.3 - Os cinco componentes não devem ser considerados de forma separada; eles devem operar em conjunto, como um sistema integrado, pois são interdependentes e contam com uma profusão de inter-relacionamentos e ligações entre si, especialmente a maneira como os princípios interagem dentro e entre todos os componentes.

5.2 - Para aferir a aplicação dessas regras, o ideal é que, no processo de identificação de riscos, quando da elaboração ou revisão de uma instrução normativa do SCI, sejam procedidas as seguintes avaliações, considerando o que for aplicável à atividade ou processo de trabalho sob análise:

a)            Avaliar a aplicabilidade de cada princípio e de cada componente e verificar se princípios relevantes por componentes relevantes estão presentes e funcionando.

b)            Verificar se os componentes estão operando de forma integrada.

c)            Verificar se existem pontos fracos que impactem os princípios relevantes, os componentes e o próprio controle interno.

d)            Verificar se deficiências identificadas isoladamente reforçam deficiências em outro componente, de forma que um conjunto se caracterize como uma grave deficiência. 

6 - Para os fins da identificação de riscos e definição de procedimentos de controle em nível de atividade ou processo de trabalho, considerar que a relevância dos princípios e componentes deve ser determinada em função das características e objetivos do processo, considerando também os objetivos de controle que lhe são predominantes.

6.2 - Conforme o modelo COSO ICIF, os objetivos de controle estão relacionados à busca de razoável certeza de que sejam atingidos os objetivos da instituição e do processo no que se refere à eficiência e efetividade operacional, à confiança nos registros contábeis/financeiros (informação) e à conformidade com leis e normativos vigentes (compliance).

6.3 - No que se refere aos componentes do modelo COSO ICIF, a identificação de riscos e estabelecimento de procedimentos de controle pode ser auxiliada pela aplicação do roteiro que se segue, o qual está adequado para aplicação em nível de processo de trabalho:

6.3.1 - Quanto ao Ambiente de Controle, que neste caso está relacionado ao nível de consciência de controle no órgão central do sistema administrativo responsável pelo processo de trabalho, onde seus integrantes devem saber quais são suas responsabilidades, ter consciência e comprometimento de fazer o que é correto, envolvendo competência técnica e compromisso ético, verificar se:

a)            Existe uma percepção de que os controles internos são essenciais à consecução dos objetivos do processo de trabalho e se há suporte adequado ao seu funcionamento.

b)            Existe incentivo à participação dos funcionários e servidores dos diversos níveis na identificação de necessidades de controles.

c)            As delegações de autoridade e competência são acompanhadas de definições claras das responsabilidades.

d)            Existe adequada segregação de funções entre as unidades que interagem no processo de trabalho.

6.3.2 - Quanto à Avaliação de Riscos, a qual, sob a ótica do COSO ICIF, é a identificação e análise dos riscos associados ao não cumprimento das metas e objetivos operacionais, de informação e de conformidade, verificar se:

a)            Os objetivos e metas do órgão central do sistema administrativo são formalizados e divulgados.

b)            Há clara identificação dos processos críticos para a consecução dos objetivos e metas da unidade.

c)            É prática da unidade o diagnóstico dos riscos, de origem interna ou externa, envolvidos nos seus processos mais relevantes e a consequente adoção de medidas para mitigá-los. Se essa avaliação de riscos é feita de forma contínua, de modo a identificar mudanças no perfil de risco ocasionadas por transformações nos ambientes interno e externo.

d)            Já houve ocorrência de fraudes e perdas que sejam decorrentes de fragilidades nos processos internos da unidade.

e)            Há norma ou regulamento para as atividades de guarda, estoque e inventário de bens e valores de responsabilidade da unidade.

6.3.3 - Quanto aos Procedimentos ou Atividades de Controle, avaliar se são abrangentes e razoáveis e estão diretamente relacionados com os objetivos do processo de trabalho, considerando as seguintes naturezas de controle:

a) Alçadas (prevenção): relacionada a limites determinados a gestores e servidores quanto à possibilidade de este aprovar valores ou assumir posições em nome da instituição.

b) Autorizações (prevenção): quando a administração determina as atividades e transações que necessitam de aprovação de um supervisor para que sejam efetivadas.

c) Conciliação (detecção): é a confrontação da mesma informação com dados vindos de bases diferentes, adotando as ações corretivas, quando necessário.

d) Revisões de Desempenho (detecção): Acompanhamento de um processo de trabalho para avaliação de sua adequação e/ou desempenho, em relação às metas, aos objetivos traçados.

e) Segurança Física (prevenção e detecção): compreende controle de acessos, controle da entrada e saída de funcionários e materiais, senhas para arquivos eletrônicos, ‘call-back’ para acessos remotos, criptografia e outros.

f) Segregação de Funções (prevenção): a segregação é essencial para a efetividade dos controles internos. Ela reduz tanto o risco de erros humanos quanto o risco de ações indesejadas. Algumas situações de segregação a serem avaliadas: contabilidade e conciliação, informação e autorização, custódia e inventário, contratação e pagamento, administração de recursos próprios e de terceiros.

g) Sistemas de Tecnologia da Informação (prevenção e detecção): controles feitos por meio de sistemas de T.I., dividindo em controles gerais e controles de aplicativos.

h) Normatização Interna (prevenção): é a definição, de maneira formal, das regras internas necessárias ao funcionamento da entidade. Inclui a abrangência das instruções normativas, sua atualização e grau de aderência.

6.3.4 - Quanto às Informações e Comunicações, considerar que o processo formal acontece por meio dos sistemas internos de comunicação, que podem variar desde complexos sistemas de tecnologia da informação a simples reuniões de equipes de trabalho, sendo importantes para o acompanhamento dos objetivos operacionais, de informação e de conformidade, devendo ser verificado se:

a)            As informações pertinentes são identificadas, coletadas e comunicadas de forma coerente e no prazo, a fim de permitir que as pessoas cumpram as suas responsabilidades.

b)            A informação disponível para as unidades que interagem no processo de trabalho é apropriada, tempestiva, atual, precisa e acessível.

c)            Existem deficiências diagnosticadas ou falta de confiabilidade nas informações geradas por sistemas de T.I.

d)            A comunicação é eficaz, fluindo em todos os níveis da unidade, onde fique caracterizada a responsabilidade de cada um em relação às informações recebidas, onde cada um entende a sua própria função, assim como as atividades individuais que se relacionam com o trabalho dos demais.

e)            Existe uma forma de comunicar informações significativas dos escalões inferiores aos superiores.

f)             Existe uma comunicação eficaz com terceiros, como clientes, fornecedores, órgãos reguladores e acionistas.

g)            A forma de arquivamento, disponibilização e temporalidade é adequada às necessidades do processo de trabalho.

h)            As informações consideradas relevantes são dotadas de qualidade suficiente para permitir ao gestor tomar as decisões apropriadas.

6.3.5 - No contexto do Sistema de Controle Interno, o componente Monitoramento é efetuado primordialmente através dos Indicadores de Controle Interno, nos moldes da instrução normativa do SCI que dispõe sobre o assunto. Mas existem outras atividades que se prestam ao monitoramento da eficácia do gerenciamento de riscos, as quais podem incluir análises de variância, comparações das informações oriundas de fontes discrepantes e abordagem a ocorrências imprevistas. Na avaliação para subsidiar a identificação de riscos e o estabelecimento de procedimentos de controle, verificar se:

a)            Existem atividades de monitoramento contínuo conduzidas pelos gestores nos diversos níveis, com adoção de medidas corretivas em relação às inconsistências e em outras implicações relevantes.

b)            Os gestores analisam sistematicamente os relatórios correspondentes às operações que administram, onde possam identificar imprecisões ou exceções em resultados esperados.

c)            As comunicações de partes externas comprovam as informações geradas internamente ou indicam a existência de problemas.

d)            Existe um procedimento sistemático de análise periódica das situações identificadas, através de reuniões especificas dos gestores com a equipe.

7 - Para identificar o nível de gravidade de cada uma das situações consideradas negativas em relação aos componentes do modelo COSO ICIF, pode-se indicar um valor na escala de 1 a 5 para fins de posicionamento da opinião do analista, considerando os seguintes critérios:[1]

             Peso 5 - A afirmativa sobre a situação é totalmente válida, pois o quesito é integralmente não observado no órgão central do sistema administrativo responsável pelo processo de trabalho sob análise;

             Peso 4 - É parcialmente válida, pois o quesito é parcialmente observado, porém em sua minoria;

             Peso 3 - Não há como avaliar se o quesito é ou não observado;

             Peso 2 - A afirmativa sobre a situação é parcialmente inválida, pois o quesito é parcialmente observado, em sua maioria;

             Peso 1 - A afirmativa sobre a situação é totalmente inválida, pois o quesito é integralmente observado.

7.1 - Pode-se considerar que, quanto maior o nível de gravidade das situações consideradas negativas, maior é a probabilidade de eventos de riscos e, por consequência, a necessidade do estabelecimento de procedimentos de controle.  

B - ASPECTOS A SEREM CONSIDERADOS NA AVALIAÇÃO DOS RISCOS

1 - Na avaliação de cada risco identificado, três aspectos não podem deixar de ser considerados:

a)            Os controles existentes;

b)            As possíveis causas e probabilidade de ocorrência;

c)            As consequências.

2 - Para orientar a estimativa da probabilidade de ocorrência, a equipe de análise deve identificar e levar em consideração os mecanismos de controle já existentes, que podem contribuir para diminuir ou suprimir o risco.

2.1 - Dentre as fontes de pesquisa para avaliação dos controles existentes, pode ser considerado do roteiro que consta do item 6.3.3, da Subseção A.2, deste mesmo Capítulo III.

2.2 - Se houverem controles institucionalizados e sem indicativo de falhas na sua concepção, a probabilidade de ocorrência da situação caracterizada como um risco pode ser reduzida, mas mesmo nessa situação, se não forem praticados regularmente já haverá aumento da probabilidade.

2.3 - Uma situação que efetivamente proporciona grande probabilidade de ocorrência do risco é quando o controle é informal, depende da iniciativa das pessoas em praticá-lo ou, em pior situação, quando é totalmente inexistente. 

2.4 - É importante que esta análise dos controles existentes produza alguma conclusão, onde deverão ser enquadrados, a critério do analista, num dos seguintes níveis: forte, mediano, fraco, inexistente.

3 - Outro aspecto a ser analisado diz respeito à causa, entendida como situação ou evento que origina o risco, considerando que pode haver mais de uma causa e que, quanto maior número de possíveis origens de um risco for identificado, melhor será a sua avaliação.

4 - Como os efeitos são associados às causas, também devem ser identificadas as principais consequências das situações ou eventos de risco, de forma a possibilitar uma dimensão da sua gravidade.

C - PROCEDIMENTOS E TÉCNICAS A SEREM ADOTADOS (PRIMEIRA ETAPA DA METODOLOGIA)

1 - O procedimento para identificação e avaliação dos riscos deve iniciar com uma reunião de contextualização, programada em conjunto pelo órgão central do sistema administrativo pertinente ao processo de trabalho e a Unidade de Controle Interno, conforme plano de ação que foi estabelecido. Essa reunião deve contar com a participação de representantes das unidades que interagem no processo e de pessoas com distintas percepções sobre o assunto, mas que tenham conhecimento sobre o processo de trabalho e, assim, possam prestar sua contribuição.

1.1           - Inicialmente deve ser claramente definida a atividade ou processo de trabalho para o qual serão identificados e avaliados os riscos, assim como seus objetivos.

1.1.1 - A especificação do processo de trabalho objeto de análise deverá conter os elementos suficientes para a clara delimitação de sua abrangência e das possíveis unidades que interagem, sendo importante mencionar onde/quando inicia e termina.

1.2 - Na sequência, deve-se buscar o entendimento uniforme das orientações sobre os aspectos a serem considerados na identificação e avaliação dos riscos, conforme detalhados neste Capítulo.

1.3 - Os trabalhos podem iniciar com a aplicação da técnica de brainstorming, de forma que todos possam colocar à análise as suas percepções, com registro dos possíveis riscos, que ficarão sujeitos a avaliação na sequência dos trabalhos.

1.4 - Em seguida, deve ser definida a data da próxima reunião, com o estabelecimento de um prazo para que cada participante desenvolva as seguintes atividades:

a)            Identificação e análise da base legal e regulamentar atualizada sobre a matéria;

b)            realização de pesquisas, coleta de opiniões de pessoas com conhecimento do assunto e partes interessadas, análises teóricas, realização de reuniões específicas para esta finalidade, etc.;

c)            consulta a dados históricos sobre problemas e desconformidades constatadas;

d)            especificação dos possíveis eventos de riscos, segundo a visão do participante do grupo de análise, ocasião em que deverá considerar, adequar ou excluir os riscos que foram identificados pela técnica de brainstorming.

1.4.1 - Na atividade de identificação de possíveis eventos de risco, o analista deverá se valer do formulário virtual (Anexo I) destinado a auxiliar para que as principais orientações constantes desta instrução normativa sejam levadas em consideração e prover registro dos possíveis riscos detectados, segundo a sua avaliação.

2 - Na segunda reunião, analisados os possíveis riscos apresentados pelos componentes do grupo conforme registro nas planilhas (Anexo I), serão eleitos aqueles que, preliminarmente, serão objeto de avaliação, registrando-os na Guia para Avaliação de Riscos (Anexo II), considerando uma priorização em função do nível de enquadramento dos controles existentes. Parte-se, então, para a identificação das possíveis causas, que poderão auxiliar na determinação da probabilidade, e das principais consequências, ou seja, de qual a extensão dos problemas que poderão advir se o risco se concretizar.

2.1 - No mesmo Anexo II, para cada evento de risco serão registrados, na coluna correspondente a cada analista colaborador, os pesos atribuídos para a probabilidade, na forma de letras maiúsculas e a(s) consequência(s), na forma de letras minúsculas, com uma coluna para registro do consenso do grupo.

2.2 - A análise deve ser efetuada considerando a participação de, no mínimo 3 e no máximo 5 analistas colaboradores.

3 - Considerar que os riscos devem ser avaliados sob as perspectivas de probabilidade de ocorrência, levando-se em conta a possibilidade de que ocorram e a frequência, em conjugação com o impacto, representado pelas consequências, sendo aí consideradas sua intensidade e gravidade.

3.1 - A probabilidade está associada às chances de um risco ocorrer, enquanto o impacto está relacionado com a intensidade, a gravidade das consequências do risco ocorrido. Da conjugação desses dois fatores, é determinado o nível de risco.

3.2 - Para a indicação da probabilidade, devem ser adotados os seguintes critérios:

Quase certo (A)

Quando é altamente possível que o risco se concretize (evento se reproduz muitas vezes, se repete seguidamente, de maneira assídua, numerosa e não raro de modo acelerado). Interfere de modo claro no ritmo das atividades, sendo evidentes mesmo para os que conhecem pouco o processo.

Provável (B)

Quando existem boas chances de que aconteça (evento usual, corriqueiro - devido à sua ocorrência habitual, seu histórico é amplamente conhecido).

Possível (C)

Baixas ou módicas chances (evento esperado, de frequência reduzida, e com histórico de ocorrência parcialmente conhecido).

Improvável (D)

Pouca chance de acontecer (evento casual, inesperado. Muito embora raro, há histórico de ocorrência conhecido).

Raro (E)

Não se espera que o evento aconteça (evento extraordinário para os padrões conhecidos)

3.3 - Para a indicação da consequência ou impacto quanto ao alcance dos objetivos do processo de trabalho e/ou dos objetivos do controle interno, devem ser considerados os seguintes critérios:

Catastrófica (a)

Quando o evento de risco impede o alcance dos objetivos.

Maior (b)

Quando torna pouco provável que os objetivos sejam atingidos.

Moderada (c)

Quando torna incerto que sejam atingidos os objetivos.

Menor (d)

Quando há possibilidade, mas não certeza, de que os objetivos sejam atingidos.

Desprezível (e)

Quando não afeta os objetivos.

4 - O nível de risco, que auxiliará a definição sobre se deve ou não ser estabelecido um ou mais procedimentos de controle para mitigá-lo, será determinado pela aplicação da seguinte Matriz de Tolerabilidade:

Probab.

Conseq.

Desprezível

Menor

Moderada

Maior

Catastrófica

(e)

(d)

(c)

(b)

(a)

Quase certo (A)

5

10

15

20

25

Provável       (B)

4

8

12

16

20

Possível       (C)

3

6

9

12

15

Improvável   (D)

2

4

6

8

20

Raro             (E)

1

2

3

4

5

4.1 - A matriz estabelece quatro níveis de risco, que serão definidos, para cada evento de risco sob análise, em função da pontuação ou do grau de intensidade do sombreamento dos quadrantes, observando-se a seguinte ordem de prioridade:

Nível de Risco

Identificação na Matriz de Tolerabilidade

Extremo

Quando se enquadra no campo com sombreamento em preto: deve ser considerado absolutamente inaceitável.

Alto

Campo com sombreamento cinza escuro: deve ser considerado inaceitável.

Médio

Campo com sombreamento cinza claro: pode ser aceitável com precauções e dependendo das características e relevância do processo de trabalho ao qual está associado.

Baixo

Campo sem sombreamento: pode ser desprezado.

4.2 - Exemplo de aplicação da Matriz de Tolerabilidade: se após a avaliação um determinado risco for considerado POSSÍVEL e tenha consequências vistas como MODERADAS, estaria enquadrado num NÍVEL ALTO (campo com sombreamento cinza escuro e 9 pontos), não podendo ser aceito, ensejando a definição de procedimentos de controle para mitigá-lo.

5 - Com base nos elementos produzidos na segunda reunião, será elaborada a Matriz de Riscos e Controles (Anexo III), destinada a subsidiar a definição dos procedimentos de controle como base para a elaboração ou atualização das instruções normativas do SCI.

5.1 - Serão transcritos para a matriz apenas os riscos que, na fase de avaliação, houve a definição de que devem ser mitigados. São os riscos que foram considerados de nível extremo e alto ou, no máximo, de nível médio.

CAPÍTULO IV - DEFINIÇÃO DOS PROCEDIMENTOS DE CONTROLE (SEGUNDA ETAPA DA METODOLOGIA)

1 - Esta etapa da metodologia equivale à fase de tratamento dos riscos de uma Política de Gestão de Risco, conforme a Norma ISO 31000 e consiste da seleção e implementação de ações de tratamento para modificar os riscos identificados.

1.1 - Para os fins desta instrução normativa, os trabalhos ficarão restritos à ação de mitigar os riscos, mediante a adoção de procedimentos de controle para mudar a sua probabilidade ou consequência, não abrangendo as demais alternativas: evitar - assumir - eliminar a fonte - compartilhar ou reter o risco.

2 - Todo o trabalho de definição dos procedimentos de controle deverá ser registrado na Matriz de Riscos e Controles, onde deverão ser direcionados prioritariamente aos pontos de controle para tratamento dos riscos qualificados no nível extremo e alto.

3 - Na formatação do procedimento de controle deve ficar muito clara a forma como deverá ser operacionalizado, especificando na Matriz de Riscos e Controles todos os detalhes que, posteriormente, serão transcritos para a instrução normativa do SCI, tais como:

             a ação a ser exercida;

             a periodicidade e abrangência do procedimento;

             os registros constantes em documentos físicos ou virtuais que dever ser  consultados, atualizados ou gerados;

             a indicação dos parâmetros de referência e/ou a base legal e regulamentar associada ao procedimento, etc..

3.1 - Este aspecto confirma a relevância do prévio levantamento e análise de todas as questões que envolvem o processo de trabalho sob análise, com ênfase na legislação e normas, especificadas no topo da Matriz de Riscos e Controles.

4 - Igualmente, devem ser identificados os sistemas aplicativos em tecnologia da informação que estão em uso na Instituição e que podem ou devem ser utilizados no procedimento de controle, assim como os demais registros em planilhas eletrônicas e outros meios.

5 - Além dos controles operacionais, caracterizados por atividades de controle exercidas na execução do processo, também devem ser avaliadas as situações em que cabe o estabelecimento de controles gerenciais, destinados a facilitar a administração de operações em exceção ao processo normal.

6 - Para cada procedimento de controle que for identificado, deve-se procurar analisar os aspectos de eficiência e eficácia relacionados ao mesmo. No que tange à eficiência, avaliar se tendem a produzir resultados positivos/concretos. Já a eficácia tem a ver com a relação custo x benefício do controle, ou seja, se os benefícios compensam os custos do controle e se não existem formas mais econômicas de se conseguir o mesmo nível de resultado.

6.1 - Considerar a importância de que os custos das medidas a serem adotadas em resposta aos riscos não sejam superiores aos benefícios que tais medidas possam proporcionar para o alcance dos objetivos correspondentes. Dependendo desta avaliação, ao invés de gerar novos controles, podem ser modificados e aperfeiçoados os controles existentes.

6.2 - Considerar também o nível de enquadramento dos controles existentes, ocorrido na fase de avaliação dos riscos (forte, mediano ou fraco).

PARTE 4:               ORIENTAÇÕES PARA A ESPECIFICAÇÃO DAS ROTINAS E PROCEDIMENTOS DE CONTROLE NAS INSTRUÇÕES NORMATIVAS DO SCI

1 - A especificação das rotinas e procedimentos de controle deverá ser estruturada da seguinte forma:

1.1           - A terminologia de códigos dos Mapas de Processos utilizadas pela UAGE segue o formato XXX-N.N, onde as letras remetem ao nome do macroprocesso de forma padronizada, já o primeiro algarismo identifica o processo de trabalho, o segundo algarismo identifica a versão do processo de trabalho e quando houver subprocesso, é identificado o prefixo “sub” acrescido de um algarismo como nos exemplos abaixo:

MACROPROCESSO

CÓDIGO

Gestão de Controle Interno

GCI-1.1 sub1

Gestão Estratégica

GE-1.1 sub1

Gestão de Comunicação Institucional

GCM-1

1.2 - A especificação deverá ser iniciada com a informação:

“As rotinas concernentes às atividades abrangidas ou parcialmente abrangidas por esta instrução normativa estão especificadas no mapa do processo código XXX-N.N. (havendo desdobramento do mapa, utilizar XXX-N.N sub N), que poderá ser acessado através do portal da transparência.

1.3 - A especificação dos procedimentos de controle será organizada em capítulos e seções, quando aplicáveis.

1.3.1 - Os capítulos serão identificados por algarismo romano e descritos em letras maiúsculas com negrito.

1.3.2 - As seções serão identificadas por letras maiúsculas e descritas em caixa alta sem negrito.

1.4 - O CAPÍTULO I, da parte de PROCEDIMENTOS, destina-se às REGRAS GERAIS onde, sempre que aplicável, poderão ser especificados destaques e alertas inerentes ao assunto objeto da norma e que podem afetar o controle interno, tais como: referência a disposições legais e regulamentares fundamentais, bem como a outros normativos de observância fundamental, indicação de responsabilidades em relação ao assunto, especificação de políticas, diretrizes, recomendações, proibições, etc.

1.4.1 - Estas especificações se tornam mais relevantes quando a instrução normativa for destinada a todas as unidades da estrutura organizacional, de forma a assegurar aumento da eficiência e eficácia do órgão central do sistema administrativo.

1.5 - Mesmo não havendo conteúdo a ser especificado, o Capítulo I deverá ser mantido com a inserção da expressão: “Não aplicável a esta instrução normativa”, para que não haja quebra do padrão em relação à estrutura das demais instruções normativas.

1.6 - Os capítulos seguintes deverão indicar, preferencialmente, as unidades executoras dos procedimentos de controle inerentes à instrução normativa e, em cada capítulo, as seções relacionadas a etapas do processo ou tipo de situação/operação onde os procedimentos são aplicados.

Por exemplo:

CAPÍTULO I - REGRAS GERAIS

1 - ...

2 - ...

CAPÍTULO II - PROCEDIMENTOS EM TODAS AS UNIDADES       (ou, conforme o assunto: “NAS UNIDADES REQUISITANTES” ou qualquer outra nome nomenclatura que indique a ação principal das unidades no contexto do assunto objeto da norma)

A - QUANDO DO .... (OU: NO CASO DE ... OU: QUANTO Á..., etc )

1 - ...

2 - --

B - QUANDO DO .... (idem acima)

1 - ...

2 - ...

CAPÍTULO III - PROCEDIMENTOS NA UNIDADE...    (Identificar o nome conforme a estrutura organizacional)...

A - QUANDO DO .... OU: NO CASO DE ... OU: QUANTO Á..., etc )

1 - ...

2 - ---

B - QUANDO DO .... (idem acima)

1 - ...

2 - ...

C - QUANDO DO... (idem acima)

1.5.1 - Com exceção ao Capítulo I, a nomenclatura citada no exemplo para os demais capítulos e respectivas seções pode ser adaptada em função do assunto objeto da norma. No entanto, deve ser preservado o padrão na estruturação dos assuntos, de forma que todas as unidades executoras da instrução normativa tenham facilidade para identificar os procedimentos de controle que lhes são pertinentes.

1.5.2 - A especificação dos procedimentos de controle, em qualquer etapa do processo, deverá ser apresentada em sequência numérica.

2 - A descrição das regras gerais, das rotinas e dos procedimentos de controle deverá ser feita de maneira objetiva e organizada, com o emprego de frases curtas e claras, de forma a não gerar dúvidas ou interpretações dúbias, com uma linguagem essencialmente didática e destituída de termos ou expressões técnicas, especificando o “como fazer” para a operacionalização das atividades.

2.1 - Deverá conter, porém, os detalhamentos necessários para a clara compreensão de tudo que deverá ser observado no dia a dia, no tocante aos procedimentos de controle, cuja especificação não consta do mapa do processo. Inclui-se neste caso, por exemplo:

a)            a especificação dos elementos obrigatórios a serem verificados em cada documento ou registro a ser examinado;

b)            a destinação das vias de documentos;

c)            o detalhamento das análises, confrontações e outros procedimentos de controle a serem executados em cada etapa do processo caracterizada como um ponto de controle;

d)            a relação de documentos obrigatórios para a validação da operação;

e)            os aspectos legais ou regulamentares a serem observados;

f)             os procedimentos de segurança em tecnologia da informação aplicáveis ao processo (controle de acesso lógico às rotinas e bases de dados dos sistemas aplicativos, crítica nos dados de entrada, geração de cópias backup, etc.).

2.2 - A especificação deverá ocorrer através de itens e subitens (quando necessários), adotando-se letras para os detalhamentos. Por exemplo.

1              - “Quando da verificação do ... (especificar a primeira regra ou o primeiro procedimento) ...”

1.2 “Um dos fatores a serem considerados  é ...”     .   

2 - “Procedida à .. , definir ..., considerando os seguintes aspectos:”:

a)            ...

b)            ...

c)            ...

2.3 - Quando aplicável, os procedimentos de controle poderão ser descritos à parte, na forma de checklist, que farão parte da instrução normativa como anexos. Neste caso, a norma deverá deixar claramente definida a unidade responsável pela sua aplicação e em que fase do processo deverá ser aplicado o checklist.

2.4 - No emprego de abreviaturas ou siglas deve-se identificar o seu significado, por extenso, na primeira vez que o termo for mencionado no documento e, a partir daí, pode ser utilizada apenas a abreviatura ou sigla, como por exemplo: Divisão de Patrimônio - DPA; Tribunal de Contas do Estado - TCE. 

2.5 - Nas situações onde foi identificada a conveniência da geração de Indicadores de Controle Interno, deverão ser detalhados os registros necessários para viabilizar a geração de tais indicadores.

PARTE 5:               ROTINA PARA A ELABORAÇÃO OU ATUALIZAÇÃO DAS INSTRUÇÕES NORMATIVAS DO SCI

1. Para o atendimento ao disposto no art. 35 das Disposições Finais da Portaria nº 0718/2019 - DPG e nas demais situações em que um órgão central do sistema administrativo identificar a necessidade de elaboração de nova instrução normativa do SCI ou atualização que alguma vigente, após contato prévio com a UAGE para equacionar a situação do mapeamento do processo, deverá encaminhar à Unidade de Controle Interno as seguintes informações:

             Número da instrução normativa do SCI a ser desenvolvida ou atualizada;

             Assunto, no caso de nova instrução normativa;

             Resumo das alterações, no caso de nova versão;

             Motivo/justificativa;

             Grau de prioridade;

             Tempo máximo desejável para entrar em vigor.

1.1. É condição essencial para a elaboração de uma instrução normativa do SCI o contato prévio do correspondente órgão central do sistema administrativo com a UAGE, para identificar a situação do mapa do processo, quando será avaliada a necessidade de atualizações ou, se inexistente, elaboração de um fluxograma provisório do processo.

1.2 Nos casos de alteração de instrução normativa que impacte no processo de trabalho, o correspondente órgão central do sistema administrativo igualmente deverá manter contato prévio com a UAGE para verificar se a alteração poderá demandar alterações no mapa do processo.

2. Nas situações que não se enquadram nos tópicos acima, sempre que houver alteração de mapa de processo, a UCI deverá ser cientificada pela UAGE, para avaliar quanto à necessidade de alteração em alguma instrução normativa do SCI, ou mesmo da elaboração de uma nova.

3. Em qualquer situação relacionada à elaboração ou atualização de instrução normativa do SCI, de posse das informações referidas nos tópicos anteriores, a Unidade de Controle Interno, no prazo de 02 (dois) dias úteis, agendará com o respectivo órgão central de sistema administrativo, a data da reunião para o planejamento das ações conjuntas e início dos trabalhos.

4 - Uma vez concluída a minuta da instrução normativa do SCI ou de sua atualização, deve ser encaminhada à Unidade de Controle Interno, que aferirá a observância do padrão e demais orientações desta norma e analisará os procedimentos de controle que foram especificados, podendo propor alterações ou inclusões, quando cabível.

5 - Após apreciação e validação pela UCI, esta devolverá a minuta ao órgão central do respectivo sistema administrativo para consolidação, obtenção da aprovação e posterior publicação.

6 - A Instrução Normativa do SCI ou suas alterações será assinada pelo titular do órgão central do respectivo sistema administrativo e pelo seu superior hierárquico, sendo aprovada pelo Defensor Público-Geral.

PARTE 6: DISPOSIÇÕES FINAIS

1 - Os esclarecimentos a respeito deste documento poderão ser obtidos junto à UCI que, por sua vez, através do acompanhamento de Indicadores de Controle Interno e da atividade de auditoria interna e correlatas, aferirá a fiel observância de seus dispositivos por parte dos órgãos centrais de sistemas administrativos.

2 - Integram esta instrução normativa os seguintes anexos:

Anexo I - Guia para Registro do Trabalho Individual de Identificação de Possíveis Riscos.

Anexo II - Guia para Avaliação dos Riscos.

Anexo III - Matriz de Riscos e Controles.

Anexo IV - O Passo a Passo para a Aplicação da Metodologia

3 - Esta instrução entra em vigor a partir da data de sua publicação.  

Cuiabá-MT, 18 de novembro de 2019.

Dr. Clodoaldo Aparecido Gonçalves de Queiroz

Defensor Público-Geral do Estado de Mato Grosso

(original assinado)

Émory Lane Franco Marcena Silva

Coordenadora da Unidade de Controle Interno

(original assinado)

ANEXO I

GUIA PARA REGISTRO DO TRABALHO INDIVIDUAL DE IDENTIFICAÇÃO DE POSSÍVEIS RISCOS

COLABORADOR: ___________________________________________

SISTEMA ADMINISTRATIVO: __________________________________ NÚMERO DA IN A SER CRIADA/REVISADA: _______

Processo de trabalho:_______________________________________________________________________________________

________________________________________________________________________________________________________

Objetivos*:________________________________________________________________________________________________

________________________________________________________________________________________________________

Base legal e regulamentar associada: _________________________________________________________________________

* Definidos por consenso da equipe

Etapas das atividades individuais

Item da IN

SCI-01 (Parte 3)

S

N

N/A

Ref.

riscos

Leitura dos CAPÍTULOS I (Regras Gerais) e II (Atividades Iniciais)

Capítulos I e II

CAPÍTULO III / A - IDENTIFICAÇÃO DOS RISCOS

Reflexão sobre situações que possam dificultar o alcance dos objetivos do processo

A - 3

1

Análise sob a ótica das categorias de riscos, em especial operacionais

A - 4.1

1

Análise sob a ótica das categorias de riscos, em especial organizacionais

A - 4.2

Análise de questões-chaves para a identificação de riscos

A - 6

2

Análise de fontes de riscos e vulnerabilidades

A - 7

2

Avaliação da situação documental

A - 8.2

Análise das questões de compliance sob a ótica da conformidade

A.1 - 2

Análise das questões de compliance sob a ótica da ética e integridade

A.1 - 4

3

Análise e avaliação sobre a presença e operacionalização de todos os princípios aplicáveis à atividade ou processo de trabalho, em todos os componentes e nas 3 categorias de objetivos do modelo COSO ICIF. (Aplicação opcional)

A.2 - 5

Aplicação do roteiro para identificação de riscos por componentes do COSO ICIF(Aplicação opcional)

A.2 - 6

Identificação do nível de gravidade de cada uma das situações consideradas negativas em relação aos componentes. (Aplicação opcional)

A.2 - 7

Identificação possíveis riscos a partir de outras fontes de orientação ou visão pessoal

-

4

Idem

-

POSSIVEIS RISCOS DETECTADOS:

Nível de enquadramento dos controles existentes

(forte - mediano - fraco)

1 - ....

2 - ...

ANEXO II

GUIA PARA AVALIAÇÃO DOS RISCOS

SISTEMA ADMINISTRATIVO: __________________________________ NÚMERO DA IN A SER CRIADA/REVISADA: _______

Atividade ou processo de trabalho: ____________________________________________________________________________

________________________________________________________________________________________________________

Objetivos*:________________________________________________________________________________________________

________________________________________________________________________________________________________

Base legal e regulamentar associada: _________________________________________________________________________

* Definidos por consenso da equipe.

Especificação dos riscos identificados

(Definidos em consenso pelo grupo na segunda reunião a partir da análise dos trabalhos individuais - anexos I)

Atribuição das Probabilidades

(LETRAS MAIÚSCULAS)

Atribuição das Consequências

(letras minúsculas)

Nível de Risco

C1

C2

C3

C4

C5

Cons.

C1

C2

C3

C4

C5

Cons.

1 - ....

ANEXO III

MATRIZ DE RISCOS E CONTROLES

SISTEMA ADMINISTRATIVO: _____________________________________________________

Processo ou atividade: ______________________________________________________________________________________

________________________________________________________________________________________________________

Objetivos:________________________________________________________________________________________________

________________________________________________________________________________________________________

Base legal e regulamentar associada: __________________________________________________________________________

________________________________________________________________________________________________________

Riscos

Nível

Procedimentos de controle

Momento do processo (ponto de controle)

Descrever os eventos de risco a serem mitigados (por ordem de relevância)

Extremo

Alto

Médio

Descrever detalhadamente os procedimentos de controle necessários para mitigar os riscos

Indicar o momento do processo p/execução dos controles.

ANEXO IV

O PASSO A PASSO PARA A APLICAÇÃO DA METODOLOGIA

Na atualização ou elaboração de instruções normativas do SCI com aplicação da metodologia para a definição dos procedimentos de controle a partir da identificação e avaliação de riscos, os órgãos centrais de sistemas administrativos deverão observar a seguinte rotina, sendo fundamental a leitura prévia das regras gerais, especificadas no Capítulo I, da Parte 3 desta Instrução Normativa:

PRIMEIRA ETAPA - ATIVIDADES INICIAIS (Capitulo II da Parte 3):     

1 - Identificar junto à Unidade de Apoio à Gestão Estratégica (UAGE) a situação do mapeamento do processo de trabalho, como condição para a edição ou atualização da instrução normativa do SCI.

2 - Proceder à comunicação à UCI, nos termos do item 1, da PARTE 5, desta Instrução Normativa.

3 - Ter claro os objetivos da atividade ou processo de trabalho a que se refere a instrução normativa.

4 - Efetuar um minucioso levantamento e analisar as disposições legais e regulamentares vigentes às quais o assunto está sujeito.

5 - Verificar se existem aspectos externos e internos que devem ser levados em consideração na identificação dos riscos associados ao assunto.

SEGUNDA ETAPA - IDENTIFICAÇÃO DOS RISCOS:

1 - Realização da reunião de contextualização, nos termos o item 1, da Seção C, do Capítulo III, da Parte 3, com definição dos analistas colaboradores que irão participar das atividades subsequentes.

2              - No decorrer do período fixado na reunião, cada analista deverá analisar as orientações constantes da Seção A do mesmo Capítulo III e elaborar o Guia para Registro do Trabalho Individual de Identificação de Possíveis Riscos (Anexo I desta IN).

TERCEIRA ETAPA

REALIZAÇÃO DA REUNIÃO PARA AVALIAÇÂO DOS RISCOS IDENTIFICADOS PELOS ANALISTAS COLABORADORES.

1 - Leitura e análise conjunta das orientações constantes da Seção B, do Capítulo III, da Parte 3 da IN SCI-01.

2 - Análise dos riscos apresentados pelos colaboradores e registro, no Guia para Avaliação dos Riscos (Anexo II), daqueles que, preliminarmente, foram eleitos para serem avaliados, conforme item 2, da Seção C, do Capítulo III.

3 - Registro no Guia, para cada risco selecionado, dos pesos atribuídos à probabilidade e consequências segundo o entendimento de cada analista colaborador, com a determinação do nível de risco. Para esta atividade devem ser observadas as orientações constantes dos itens 3 e 4 da mesma Seção C.

QUARTA ETAPA: DEFINIÇÃO DOS PROCEDIMENTOS DE CONTROLE

1 - Com base nos elementos produzidos na segunda reunião, o coordenador dos trabalhos deverá elaborar a Matriz de Riscos e Controles (Anexo III), observando as orientações constantes do item 5, da Seção C, do Capítulo III.

2 - A critério do órgão central do sistema administrativo e, conforme a complexidade ou volume dos riscos a serem mitigados, a definição dos procedimentos de controle pode ocorrer na mesma reunião que foi destinada à avaliação dos riscos ou em eventos subsequentes, com estabelecimento de prazo para evitar a dispersão das ideias.

3 - Para a definição e especificação dos procedimentos de controle na Matriz deverão ser observadas as orientações constantes do Capitulo IV da Parte III, desta Instrução Normativa.

QUINTA ETAPA:

ESPECIFICAÇÃO DAS ROTINAS E PROCEDIMENTOS DE CONTROLE NA INSTRUÇÃO NORMATIVA DO SCI

Os procedimentos de controle serão transcritos da Matriz de Riscos e Controles, que poderá ficar anexada à Instrução Normativa, sendo que, para a sua estruturação e especificação na IN deverão ser observadas as orientações constantes da Parte 4 desta Instrução Normativa.