decisões melhores: onde colocar energia, onde criar controles, onde simplificar.

           E por que o setor público precisa tanto dessa conversa? Porque aqui a gente lida com recursos que não são “de alguém” — são coletivos. Além disso, muitos processos têm formalidades obrigatórias, e qualquer deslize pode virar problema administrativo, jurídico ou político. E tem um fator muito real: a gestão pública vive cheia de urgências. Quando tudo é urgente, a tendência é “fazer logo”. E “fazer logo” sem enxergar riscos é como dirigir rápido na chuva sem perceber que o pneu está careca. Pode dar certo por um tempo… até o dia em que não dá.

           Para ficar mais concreto, pense em tipos de risco que aparecem o tempo todo na administração pública. O risco operacional é o risco do cotidiano: falha de registro, erro humano, perda de documento, prazo estourado, trabalho feito “pela metade”. Ele é comum e, justamente por isso, perigoso — porque vira rotina. O risco de conformidade é o risco de descumprir normas e regras (internas e externas): fazer uma etapa fora de ordem, deixar faltar um documento essencial, não cumprir exigências legais.

O risco financeiro envolve perda de recurso, pagamento indevido, desperdício, compras desnecessárias. O risco de integridade é quando entram chances de fraude, favorecimento, conflito de interesse ou manipulação — nem sempre explícita, às vezes disfarçada de “jeitinho”. E existe o risco reputacional, que é a perda de confiança: mesmo quando o dano financeiro não é tão grande, a imagem do órgão pode sofrer, a credibilidade cai e o trabalho fica mais difícil.

           Perceba uma coisa importante: esses riscos se misturam. Um processo desorganizado (operacional) facilita descumprimento de norma (conformidade), que pode gerar pagamento errado (financeiro), e, se virar notícia, abala a confiança (reputacional). Por isso, mapear riscos não é um luxo; é um jeito de quebrar a cadeia antes que ela fique grande.

           Uma pergunta que ajuda muito é: “Onde este processo costuma doer?” Se você já trabalhou em setor público, provavelmente lembra de dores recorrentes: devolução de processo por falta de documento, compras emergenciais demais, fiscalizações fracas, pagamentos com inconsistência, prestação de contas atrasada. Essas dores são pistas de risco. Gestão de riscos começa, muitas vezes, não com teoria, mas com honestidade: “aqui dá problema com frequência; por quê?” Quando a equipe consegue conversar sobre isso sem culpa

Quando a equipe consegue conversar sobre isso sem culpa e sem acusações, ela dá um salto.

           E como estimar probabilidade e impacto sem virar estatístico? Com bom senso estruturado. Você pode usar escalas simples: baixa, média, alta. Probabilidade baixa é algo raro; média é algo que acontece às vezes; alta é algo que acontece direto. Impacto baixo é algo que dá retrabalho, mas é contornável; impacto médio é algo que compromete prazo, orçamento ou qualidade; impacto alto é algo que pode gerar dano grande, irregularidade séria, prejuízo relevante ou violação de direitos. O importante não é “acertar matematicamente”; é criar um padrão de conversa que ajude a equipe a priorizar.

           Nesta aula, vale também entender que risco tem causas. Nem sempre o risco existe porque “as pessoas não querem fazer”. Muitas vezes, ele existe porque o processo está mal desenhado, porque falta treinamento, porque o sistema é ruim, porque a equipe é pequena, porque há rotatividade alta, porque não existe padrão, porque a pressão é constante. Identificar a causa é essencial, porque a causa aponta o remédio. Se o risco de pagamento indevido está ligado a falta de conferência e evidência, o remédio pode ser um checklist obrigatório e uma etapa de validação. Se o risco de compra emergencial demais está ligado a falta de planejamento anual, o remédio é calendário e gestão de estoque. Se o risco de falha na fiscalização está ligado a sobrecarga do fiscal, o remédio pode ser redistribuição de tarefas e modelo de relatório simples.

           Outro ponto importante: gerir riscos não é “inventar problema”. Pelo contrário: é reconhecer o que já existe, só que de forma organizada. Quando você não fala de risco, ele não desaparece; ele só fica oculto. E risco oculto costuma ser o tipo de risco que explode em crise. Já quando você fala de risco com clareza, você consegue construir controles proporcionais e, muitas vezes, simplificar a vida. Parece contraditório, mas é real: quando você define o que é crítico, você libera o resto para fluir melhor.

           Para fechar esta aula com uma ideia bem prática: imagine que você precisa escolher onde colocar sua energia na semana. Você pode gastar tempo conferindo detalhes pequenos de um processo de baixo impacto — e deixar passar batido um ponto crítico em um contrato grande. Ou você pode mapear riscos e pensar: “o que aqui tem mais chance de dar problema e mais chance de causar estrago?” Esse olhar muda a gestão. Não porque

você precisa escolher onde colocar sua energia na semana. Você pode gastar tempo conferindo detalhes pequenos de um processo de baixo impacto — e deixar passar batido um ponto crítico em um contrato grande. Ou você pode mapear riscos e pensar: “o que aqui tem mais chance de dar problema e mais chance de causar estrago?” Esse olhar muda a gestão. Não porque você vira “mais exigente”, mas porque você vira mais estratégico. E controle interno, quando bem-feito, é exatamente isso: estratégia para proteger a entrega pública.

           Na próxima aula, a gente vai dar o passo seguinte: transformar essa conversa sobre riscos em controles (preventivos, detectivos e corretivos) e entender por que alguns controles funcionam e outros viram apenas “formalidade que ninguém respeita”. Mas, por enquanto, se esta aula cumpriu seu papel, você já deve estar com uma nova lente: em vez de enxergar um processo só como uma sequência de tarefas, você começa a enxergar onde ele pode falhar, por que falha e o que é mais crítico proteger. Esse é o começo de uma gestão pública mais segura e mais inteligente.

Referências bibliográficas

• BRASIL. Constituição da República Federativa do Brasil de 1988.
• BRASIL. Lei Complementar nº 101, de 4 de maio de 2000 (Lei de Responsabilidade Fiscal).
• BRASIL. Lei nº 14.133, de 1º de abril de 2021 (Lei de Licitações e Contratos Administrativos).
• COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO). Enterprise Risk Management – Integrating with Strategy and Performance. New York: AICPA/COSO, 2017.
• COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO). Internal Control – Integrated Framework. New York: AICPA/COSO, 2013.
• INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO). ISO 31000: Risk management — Guidelines. Geneva: ISO, edições vigentes.
• INTOSAI. Guidelines for Internal Control Standards for the Public Sector. International Organization of Supreme Audit Institutions, 2004 (e atualizações correlatas).
• TRIBUNAL DE CONTAS DA UNIÃO (TCU). Referencial Básico de Governança Aplicável a Órgãos e Entidades da Administração Pública. Brasília: TCU, edições vigentes.

Aula 2. Controles: o que evita, detecta e corrige

           Quando a gente fala em controle, muita gente imagina uma barreira: algo que “trava”, “atrapalha”, “cria etapa” e faz o processo demorar mais. Só que, no mundo real da gestão pública, controle

muita gente imagina uma barreira: algo que “trava”, “atrapalha”, “cria etapa” e faz o processo demorar mais. Só que, no mundo real da gestão pública, controle bom é exatamente o contrário: é o que evita que o trabalho volte, é o que protege a equipe quando alguém questiona, e é o que reduz o custo invisível do improviso. Nesta Aula 2 do Módulo 2, o foco é bem direto: depois de identificar riscos (Aula 1), a pergunta passa a ser “o que eu faço, na prática, para prevenir, detectar e corrigir esses riscos?” E a resposta vem em forma de controles.

           Uma maneira bem humana de entender isso é pensar na saúde. Você não vai ao médico só quando está “desmaiando”; você faz prevenção (alimentação, vacina, hábito), faz detecção (exames periódicos) e faz correção (tratamento quando encontra algo). Em controles internos é parecido. Controle preventivo é o que tenta impedir o problema de nascer. Controle detectivo é o que ajuda a perceber o problema cedo, antes de virar desastre. Controle corretivo é o que ajusta o rumo depois que algo foi encontrado — porque ninguém tem processo perfeito o tempo todo. Essa tríade é simples, mas muda a mentalidade: controle não é uma coisa só; é um conjunto de medidas com objetivos diferentes.

           Vamos começar pelos controles preventivos, que são os mais “amigos da paz”. Eles existem para diminuir a chance de erro e para reduzir espaço de decisão improvisada. Exemplo: um formulário padrão de solicitação de compra, com campos obrigatórios (justificativa, quantidade, estimativa de consumo, especificação mínima). Antes, cada pessoa pedia de um jeito. Depois, o processo ganha uma “moldura” que facilita fazer certo. Outro preventivo clássico é a autorização formal: não é o “carimbo por carimbo”, é a clareza de quem decidiu e por quê. Quando a decisão fica formalizada, a instituição ganha consistência e o gestor ganha proteção.

           Outro preventivo muito importante, principalmente em processos com dinheiro, é a segregação de funções: na medida do possível, quem solicita não é quem autoriza; quem recebe não é quem paga; quem fiscaliza não é quem executa. Isso não é desconfiança; é desenho inteligente para reduzir erro, pressão e tentação. E quando o órgão é pequeno e não dá para segregar tudo, a lógica é criar compensações: uma segunda conferência, um checklist assinado, uma amostragem periódica. O objetivo é tornar o processo menos vulnerável a “um ponto único de falha”.

           Já os controles detectivos entram

quando a gente aceita uma verdade da vida: mesmo com prevenção, problemas acontecem. Detectivo é o controle do “vamos conferir se está funcionando”. Um exemplo simples é a conciliação: comparar o que foi pedido, o que foi entregue, o que foi registrado no estoque e o que foi pago. Outro exemplo é a verificação por amostragem: todo mês, pegar 10 processos e checar se as evidências mínimas estão presentes. Parece básico, mas funciona muito, porque cria um padrão de cuidado e reduz aquela cultura do “faz e reza”. O detectivo também serve para apontar tendências: se a maioria dos processos volta por falta do mesmo documento, isso é um sinal de que o fluxo está mal explicado ou que falta um modelo padrão.

           E há um ponto interessante: controle detectivo bem-feito costuma ser mais leve do que as pessoas imaginam. Ele não precisa virar uma auditoria pesada. Pode ser um checklist de conferência mensal. Pode ser um relatório simples de pendências. Pode ser um painel com três indicadores. A grande diferença está na consistência: não é “fazer quando sobra tempo”, é fazer como rotina. Quando a instituição cria esse hábito, ela para de ser refém da sorte.

           Agora, os controles corretivos são os mais importantes para evitar repetição de erro. Corretivo é aquilo que você faz depois que detectou um problema, para que ele não volte. Um exemplo clássico: o controle interno ou a chefia percebe que muitos processos de contratação estão vindo com justificativa fraca. O corretivo não é só devolver e reclamar.

O corretivo inteligente é: criar um modelo de justificativa com exemplos, orientar em uma reunião rápida, ajustar o checklist e acompanhar por um mês se melhorou. Outro exemplo: se a fiscalização de contratos está falhando por falta de registro, o corretivo pode ser adotar um relatório padrão de fiscalização, com campos curtos e obrigatórios, e treinar o fiscal para preencher em 10 minutos — sem exigir um “relatório de tese”.

           Um dos grandes segredos do controle interno é entender que controle não é sinônimo de burocracia. Controle ruim, sim, vira burocracia: ele exige coisas sem sentido, cria etapas redundantes e gera assinaturas que ninguém entende. Controle bom é o que tem propósito claro: ou ele previne, ou ele detecta, ou ele corrige. Se não faz nenhuma dessas três coisas, provavelmente é só peso morto — e peso morto irrita as pessoas, que passam a burlar o sistema. Então, uma pergunta poderosa nesta aula é: “Este controle está

protegendo o quê, exatamente?” Se a equipe não consegue responder, vale redesenhar.

           E redesenhar controles tem muito a ver com olhar para a realidade da equipe. Um erro comum é criar controles “bonitos no papel”, mas impossíveis no cotidiano. Por exemplo: exigir três aprovações presenciais para uma rotina simples, em um órgão que tem equipe reduzida e alta demanda. O resultado? O fluxo para, as pessoas correm por fora, e o controle vira ficção. Controle bom precisa ser viável, e viável significa: caber no tempo, caber no sistema disponível, caber na capacidade da equipe. Melhor um controle simples, feito sempre, do que um controle perfeito, feito nunca.

           Outro erro comum é o controle “de vitrine”: aquele que existe só para dizer que existe. Checklists que ninguém lê, assinaturas automáticas, documentos preenchidos por copiar e colar. Isso é perigoso porque cria uma ilusão de segurança. E, quando um problema aparece, o processo até tem “papéis”, mas não tem verdade. Um controle efetivo precisa ser vivido, não apenas arquivado. Às vezes, a diferença entre “controle de vitrine” e “controle de verdade” é uma mudança pequena: trocar um formulário enorme por um checklist curto, e treinar a equipe para usá-lo; exigir evidência mínima objetiva; e criar uma verificação por amostragem que mantém o padrão.

           Nesta aula, também vale perceber que controles podem ser manuais ou automatizados. Em muitos órgãos, a realidade ainda é muito manual: papel, assinatura, checklist. Não há problema nenhum nisso — desde que haja organização e rastreabilidade. Mas quando o órgão tem sistemas, dá para usar automações como controles preventivos: campos obrigatórios no sistema, bloqueio para avançar sem anexar documento, trilhas de auditoria do próprio software. Sistemas bem configurados reduzem risco humano, mas nunca eliminam a necessidade de cultura e responsabilidade. Um sistema pode obrigar anexar um arquivo; ele não garante que o arquivo é bom. Por isso, controle interno é sempre uma mistura de ferramenta com comportamento.

           Uma forma bem prática de consolidar esta aula é fazer um exercício mental: pegue um risco e aplique os três tipos de controle. Por exemplo, “risco de pagar por serviço não executado”. Um preventivo seria: designar formalmente fiscal e exigir cronograma de execução. Um detectivo seria: verificação por amostragem de medições e evidências (fotos, relatórios, atestos). Um corretivo seria: se houver falha, ajustar o

procedimento, capacitar fiscais, criar modelo de relatório e revisar responsabilidades. Perceba como os três se complementam: o preventivo reduz chance; o detectivo encontra cedo; o corretivo evita repetição.

           Para fechar, o ponto mais importante: controle é escolha inteligente de onde colocar cuidado. A gestão pública não tem tempo infinito, nem equipe infinita, nem paciência infinita — e tudo bem. A saída não é desistir do controle; é desenhar controles proporcionais ao risco, que funcionem com pessoas reais, em rotinas reais. Quando você faz isso, o controle interno deixa de ser o “freio de mão puxado” e vira o “volante firme”: ele não impede a gestão de andar, ele ajuda a gestão a não sair da pista.

Referências bibliográficas

• BRASIL. Constituição da República Federativa do Brasil de 1988.
• BRASIL. Lei Complementar nº 101, de 4 de maio de 2000 (Lei de Responsabilidade Fiscal).
• BRASIL. Lei nº 14.133, de 1º de abril de 2021 (Lei de Licitações e Contratos Administrativos).
• COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO). Internal Control – Integrated Framework. New York: AICPA/COSO, 2013.
• COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO). Enterprise Risk Management – Integrating with Strategy and Performance. New York: AICPA/COSO, 2017.
• INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO). ISO 31000: Risk management — Guidelines. Geneva: ISO, edições vigentes.
• INTOSAI. Guidelines for Internal Control Standards for the Public Sector. International Organization of Supreme Audit Institutions, 2004 (e atualizações correlatas).
• TRIBUNAL DE CONTAS DA UNIÃO (TCU). Referencial Básico de Governança Aplicável a Órgãos e Entidades da Administração Pública. Brasília: TCU, edições vigentes.

Aula 3. Ferramentas simples: matriz risco x controle + plano de ação

           Depois de entender o que é risco (Aula 1) e como os controles podem prevenir, detectar e corrigir problemas (Aula 2), chega a hora de dar um passo muito prático: organizar tudo isso num lugar só, de um jeito que ajude a equipe a enxergar prioridades e tomar decisões melhores. É aqui que entra a matriz de risco x controle. Muita gente se assusta com o nome, como se fosse uma planilha “complicada de auditor”. Mas a verdade é que a matriz é, antes de tudo, uma ferramenta de conversa e de clareza. Ela serve para responder, com simplicidade: “quais

são os riscos mais importantes deste processo e o que estamos fazendo, de verdade, para segurá-los?”

           Pense na matriz como um mapa. Quando você tem um mapa, você não precisa decorar cada rua; você consegue se localizar, escolher caminho e evitar áreas de risco. Sem mapa, a gestão costuma viver no modo “urgência eterna”: corre para apagar incêndio, resolve pelo atalho, e quando percebe, está repetindo os mesmos erros há meses. A matriz ajuda a quebrar esse ciclo porque ela transforma sensação em estrutura. Em vez de “acho que aqui dá problema”, você passa a dizer: “nesta etapa, este risco tem alta chance e alto impacto; precisamos cuidar dele primeiro.”

           Antes de montar qualquer matriz, a ideia é começar pelo processo, não pelo risco. Qual processo? Pode ser compra de materiais, diárias e passagens, almoxarifado, fiscalização de contratos, concessão de benefícios, manutenção predial… o importante é escolher algo que exista na rotina. A equipe desenha o caminho em etapas simples: solicitação, autorização, execução, conferência, registro, pagamento, prestação de contas (quando houver). Esse desenho já é meio caminho andado, porque muitos riscos aparecem naturalmente quando você olha para as etapas com calma. É como observar uma corrente: você começa a perceber onde costuma arrebentar.

           Com o processo na mesa, você começa a listar riscos por etapa. Aqui vale uma regra de ouro: risco bom é risco específico. “Erro no processo” é genérico demais. Melhor é algo como: “compra de item desnecessário”, “pesquisa de preços insuficiente”, “recebimento sem conferência”, “pagamento em duplicidade”, “fiscalização sem evidência”, “prazo estourado por falta de planejamento”. Quando o risco é específico, fica mais fácil pensar em controle. Quando ele é genérico, o controle vira genérico também — e controle genérico quase sempre vira burocracia vazia.

           Depois, vem a parte que dá prioridade: probabilidade e impacto. Lembra da escala simples? baixa/média/alta. Você não precisa de fórmula sofisticada para começar. Você só precisa de um acordo básico na equipe: o que é “alto impacto” aqui? O que é “alta probabilidade” aqui? Em muitos órgãos, alto impacto pode ser: prejuízo financeiro relevante, irregularidade grave, risco jurídico, paralisação do serviço ou violação de direitos. Alta probabilidade pode ser: algo que acontece com frequência, algo que já apareceu repetidamente, algo que tem “sinais” no dia a dia (muito retrabalho, muitas

devoluções, muitas reclamações). Essa avaliação não é para “punir”; é para decidir onde colocar energia.

           E aqui aparece um conceito útil: nível de risco. Sem complicar, dá para pensar assim: se probabilidade é alta e impacto é alto, o risco é crítico. Se um dos dois é alto, o risco é importante. Se os dois são baixos, o risco é menor. A matriz, no fundo, é um painel de prioridade. Ela evita aquele erro comum de gastar 80% do tempo discutindo detalhe pequeno e deixar passar o que realmente poderia virar um problema grande.

           Até aqui, tudo parece “análise”. Mas a matriz só vira ferramenta de gestão quando você entra na parte dos controles. E aqui é importante ser honesto: não adianta listar controles que “existem no papel”. O que interessa é: o controle acontece de verdade? “Tem um checklist?” Ok, mas ele é preenchido com atenção ou é só assinatura automática? “Existe fiscalização?” Ok, mas há relatório e evidência ou só “ateste por confiança”? “Tem pesquisa de preço?” Ok, mas ela está documentada e comparável ou está perdida em mensagens? Matriz boa é matriz que mostra a realidade, mesmo quando a realidade é imperfeita. Porque só assim dá para melhorar.

           E quando o controle existe, a matriz ajuda a enxergar um detalhe precioso: falha do controle. Às vezes o risco não acontece porque não existe controle; acontece porque o controle é fraco, mal desenhado ou inviável. Por exemplo: o órgão até exige três assinaturas, mas ninguém lê nada; então o controle é formal, porém ineficaz. Ou exige relatório enorme do fiscal, mas ninguém tem tempo de fazer; então o controle vira “controle de vitrine”. Identificar a falha do controle é maturidade: você para de culpar pessoas e começa a ajustar o processo.

           Daí nasce a parte mais útil da matriz: plano de ação. É aqui que você transforma diagnóstico em mudança. Ação boa é ação concreta, com responsável, prazo e evidência. Não é “melhorar o processo”. É “criar modelo padrão de justificativa até dia X”, “implementar checklist de recebimento a partir do próximo mês”, “fazer amostragem mensal de 10 processos”, “treinar fiscais com roteiro de relatório de 1 página”, “configurar campo obrigatório no sistema”. Quanto mais simples e aplicável, melhor. O objetivo é diminuir risco de forma real, não fazer um documento bonito.

           Uma boa prática é começar com o que eu chamo de controle mínimo viável. Em vez de tentar “consertar o mundo” de uma vez, você escolhe os riscos críticos e

Em vez de tentar “consertar o mundo” de uma vez, você escolhe os riscos críticos e implanta um pacote pequeno de controles que já trazem efeito rápido. Isso é especialmente importante na gestão pública, onde recursos são limitados e a rotina é pesada. Controles mínimos viáveis geralmente incluem coisas como: justificativa formal, autorização registrada, evidência de recebimento, segregação básica de funções (ou compensação), e verificação por amostragem. Só isso, bem-feito, já reduz muito a chance de dor de cabeça.

           E como priorizar ações? Uma maneira simples é olhar para riscos com alto impacto e controles fracos. Esse é o ponto em que a organização está mais vulnerável. Por exemplo: contrato com valores altos e fiscalização sem evidência. Ou pagamentos recorrentes com pouco cruzamento de informação. Ou uso frequente de emergência por falta de planejamento. Esses pontos costumam ser onde a matriz “grita”. E quando ela grita, ela está prestando um serviço: ela está dizendo “cuide aqui antes que vire manchete, processo, prejuízo ou interrupção de serviço”.

           Aqui também vale falar sobre o lado humano: montar uma matriz pode gerar resistência. Algumas pessoas sentem que “apontar risco” é apontar dedo. Por isso, a forma de conduzir a construção da matriz importa muito. A matriz não deve ser um tribunal; ela deve ser uma roda de melhoria. Uma frase que ajuda é: “vamos olhar para o processo, não para pessoas.” Outra é: “aqui a gente está prevenindo problemas, não procurando culpados.” Quando a equipe entende esse espírito, ela participa mais, e a matriz vira uma ferramenta viva.

           Para deixar bem claro como isso funciona, imagine um exemplo simples, de compra e recebimento. Etapa: recebimento. Risco: “material recebido em quantidade menor do que a nota fiscal”. Probabilidade: média (já aconteceu). Impacto: alto (paga errado e ainda falta material). Controle atual: “ateste do recebimento”. Falha do controle: ateste sem conferência e sem registro do que chegou. Ação: “implantar termo de recebimento com conferência de itens e assinatura de dois servidores quando possível; anexar foto das caixas e lista de conferência.” Evidência: termo assinado + checklist preenchido. Prazo: 30 dias. Responsável: almoxarifado / unidade demandante. Repare como isso é simples. E, ao mesmo tempo, poderoso.

           No fim, a matriz é um jeito de criar um “acordo coletivo” sobre o que é importante. Ela organiza a conversa, reduz improviso e ajuda a

instituição a aprender. E, quando bem usada, ela vira base para monitoramento e para evolução do controle interno — porque você consegue voltar nela depois e perguntar: “o risco diminuiu?”, “o controle está funcionando?”, “o que ainda precisa ajustar?”. A matriz não é um documento para arquivar; é uma ferramenta para revisitar.

           Se você guardar uma frase desta aula, guarde esta: matriz de risco x controle é a ponte entre o que eu sei que pode dar errado e o que eu faço para evitar. Ela não precisa ser perfeita para ser útil. Precisa ser honesta, simples e aplicada. E, no contexto da gestão pública, isso já faz uma diferença enorme: menos retrabalho, menos desperdício, mais segurança para o gestor e mais qualidade para o cidadão.

Referências bibliográficas

• BRASIL. Constituição da República Federativa do Brasil de 1988.
• BRASIL. Lei Complementar nº 101, de 4 de maio de 2000 (Lei de Responsabilidade Fiscal).
• BRASIL. Lei nº 14.133, de 1º de abril de 2021 (Lei de Licitações e Contratos Administrativos).
• COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO). Internal Control – Integrated Framework. New York: AICPA/COSO, 2013.
• COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO). Enterprise Risk Management – Integrating with Strategy and Performance. New York: AICPA/COSO, 2017.
• INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO). ISO 31000: Risk management — Guidelines. Geneva: ISO, edições vigentes.
• INTOSAI. Guidelines for Internal Control Standards for the Public Sector. International Organization of Supreme Audit Institutions, 2004 (e atualizações correlatas).
• TRIBUNAL DE CONTAS DA UNIÃO (TCU). Referencial Básico de Governança Aplicável a Órgãos e Entidades da Administração Pública. Brasília: TCU, edições vigentes.

Estudo de Caso – Módulo 2

“Diárias, Passagens e o Efeito Dominó: quando o risco não é visto, ele vira rotina”

Cenário: Prefeitura de Vila Nova do Norte (fictícia), com secretarias pequenas, equipe enxuta e muitas demandas.
Personagens principais:

• Carla, secretária-adjunta (gestora, bem-intencionada, vive “apagando incêndio”)
• Rafael, servidor do financeiro (cuida de pagamentos e prestações de contas)
• Joana, do setor de compras/contratos (organizada, mas sobrecarregada)
• Marcos, coordenador de projetos (viaja bastante para capacitações e reuniões)
• Controle Interno,

• equipe de 2 pessoas (orienta, mas chega tarde em vários processos)

Parte 1 — O problema começa “do jeito que sempre foi”

No primeiro trimestre do ano, a prefeitura decidiu intensificar participação em eventos regionais para captar recursos e fazer parcerias. A intenção era boa: trazer melhoria para as políticas públicas. O efeito prático foi um aumento grande nos pedidos de diárias e passagens.

Como o volume cresceu rápido, Carla orientou a equipe:

“Gente, vamos agilizar. O importante é não perder prazos dos eventos. Depois a gente ajeita a papelada.”

Os pedidos passaram a chegar por e-mail com justificativas curtas:
“Reunião em capital”, “Capacitação”, “Evento institucional”.

Rafael, do financeiro, começou a perceber algo estranho: processos muito parecidos, com valores próximos e pouca documentação. Mas, como estava tudo “andando”, ele seguia pagando para não travar a rotina.

Erro comum 1 — Confundir urgência com prioridade

• A equipe tratou rapidez como objetivo principal, sem ajustar controles ao aumento de risco.

Como evitar (prevenção):

• Criar um fluxo mínimo: solicitação → autorização → compra/reserva → viagem → prestação de contas.
• Exigir justificativa com campos básicos (evento, objetivo público, agenda, resultados esperados).

Parte 2 — O risco “invisível” aparece: pagamentos duplicados

Num mês particularmente movimentado, Marcos viajou para uma capacitação em outra cidade. A passagem foi comprada com antecedência. No retorno, ele precisou remarcar o voo por causa de uma reunião estendida.

O fornecedor emitiu nova cobrança. A primeira cobrança também permaneceu no processo, porque ninguém conferiu detalhadamente. Resultado: pagamento duplicado, percebido só semanas depois, quando Rafael cruzou extratos.

Erro comum 2 — Falta de controle detectivo

• Não havia conciliação sistemática entre “o que foi comprado”, “o que foi usado” e “o que foi pago”.

Como evitar (detecção):

• Conciliação mensal: lista de viagens x notas fiscais x pagamentos.
• Amostragem: revisar 10 processos/mês, focando em passagens (maior risco de duplicidade e remarcação).

Parte 3 — Prestação de contas vira “anexo opcional”

Com o volume de viagens, a prestação de contas começou a se tornar um “detalhe”. Alguns servidores não entregavam relatório de viagem; outros faziam relatórios genéricos:

“Participei do evento e foram discutidos temas relevantes.”

A gestão aceitava porque “todo mundo está

trabalhando”. Só que, na hora de compilar informações, ninguém conseguia dizer o que, de fato, tinha sido alcançado com o gasto.

Erro comum 3 — Evidência fraca e rastreabilidade quebrada

• Sem comprovação mínima (agenda, presença, relatório, resultados), o gasto fica vulnerável a questionamentos.

Como evitar (prevenção + correção):

• Criar um modelo curto de relatório de viagem (1 página): objetivo, atividades, encaminhamentos, evidências (certificado, lista de presença, fotos/prints).
• Regra clara: sem prestação de contas, sem nova concessão de diária, salvo exceção formalizada.

Parte 4 — A “emergência” vira padrão e o risco sobe sem ninguém perceber

Como o calendário de eventos era divulgado em cima da hora, muitas passagens eram compradas tarde, mais caras. A justificativa era sempre a mesma:

“Não deu tempo de planejar.”

Com isso, os gastos aumentaram. Joana começou a registrar que as compras tardias estavam “comendo” parte do orçamento.

Erro comum 4 — Risco de planejamento não tratado

• Quando a organização não planeja, paga mais caro e aumenta o risco de erro.

Como evitar (prevenção):

• Calendário trimestral de viagens previstas, com revisão mensal.
• Controle de “compras urgentes” como indicador: se está subindo, algo precisa mudar.

Parte 5 — O alerta do Controle Interno

O Controle Interno recebeu um pedido de informação do Legislativo: queriam entender o aumento de diárias e passagens e a falta de relatórios consistentes.

Quando a equipe foi montar resposta, ficou claro que o problema não era um “caso isolado”. Era um padrão: documentos incompletos, justificativas fracas, prestação de contas inconsistente, conciliação ausente.

O que parecia apenas “correria” se revelou um risco institucional.

Diagnóstico do Módulo 2 (o que deu errado, na linguagem do curso)

1) Riscos não foram mapeados

Ninguém parou para perguntar:

• Qual o risco de aumentar viagens sem aumentar controles?
• Qual o risco de duplicidade, remarcação, justificativa fraca e ausência de prestação de contas?

2) Controles existentes eram “de vitrine”

• Autorização existia, mas não tinha conteúdo.
• Atesto existia, mas não tinha conferência.
• Prestação de contas existia, mas era irrelevante.

3) Não havia matriz de risco x controle

Sem matriz, a equipe não conseguia priorizar: o esforço estava no lugar errado.

Como o Módulo 2 evitaria o problema (solução prática)

Passo 1 — Mapear riscos

1 — Mapear riscos (Aula 1)

Lista de riscos críticos (exemplos):

• Pagamento duplicado de passagem
• Compra tardia e cara por falta de planejamento
• Diárias pagas sem prestação de contas
• Justificativa genérica (não demonstra interesse público)
• Viagens sem resultados mensuráveis
• Falha de registro (processo sem evidência)

Passo 2 — Criar controles bons (Aula 2)

Preventivos

• Formulário padrão com justificativa obrigatória e agenda
• Autorização formal com critério e responsável
• Regra: prestação de contas para liberar nova viagem (com exceção formal)

Detectivos

• Conciliação mensal das passagens e diárias pagas
• Amostragem de processos (10/mês) com checklist de evidências
• Indicador: % de viagens sem relatório no prazo

Corretivos

• Treinamento rápido (30 min) + modelo de relatório de 1 página
• Ajuste do fluxo no sistema ou checklist obrigatório
• Plano 30/60/90 dias para reduzir compras tardias

Passo 3 — Montar a matriz risco x controle (Aula 3)

Exemplo de priorização:

• Risco com alta probabilidade e alto impacto:
  pagamento duplicado + prestação de contas ausente
  → controles imediatos e monitoramento mensal

Parte superior do formulário

Parte inferior do formulário