Aula 00

Aula 00
Auditoria Governamental para Auditor de Controle Interno
CGE
CEARÁ
PETRO
AUDITORIA GOVERNAMENTAL
C o py r i g ht © 2 0 1 8 p o r P r ol u n o AUDITOR DE CONTROLE INTERNO
T o d o s os di r e i t os r e s e r v a d os
PROF. TONYVAN
1 CARVALHO
Aula 00
Auditoria Governamental para Auditor de Controle Intern o
Apresentação
Amados concursantes,
Sou o Tonyvan Carvalho, atualmente Auditor de

Controle Externo do TCE PI , aprovado no concurso de
2014. Possuo graduação em Matemática (Bacharelado e
Licenciatura), Administração e Computação. Pós -
graduado em Auditoria e Contabilidade Governamental,
Contabilidade e Controles na Administração Públi ca,
Matemática e Estatística. U fa! Todos esses anos de
estudo me possibilitam hoje ter “bagagem” para facilitar
o seu aprendizado e ajudá -lo a conseguir a tão
sonhada apr ovação.
Meu primeiro contato com concurso público foi aos
21 anos de idade (1996), logo após minha formação no curso técnico em
Eletrônica pela Escola Técnica Federal do Piauí, ocasião em que fui aprovado
em três concursos (6º lugar em Técnico em Telecomun icações - Telepisa, 1º
lugar em Técnico Industrial - Correios e 7º lugar em Técnico em
Telecomunicações - Embratel). Assumi o primeiro e trabalhei por
aproximadamente dois anos. Posteriormente, trabalhei numa multinacional e, em
seguida, por conta própria, nunca deixando de estudar para concursos, ainda
que sem tanto foco e/ou planejamento.
Em 2009, fui aprovado em: Assistente Técnico Administrativo MF e Auditor
Interno do TJ-PI. Em 2010, continuei meus estudos de forma planejada e fui
aprovado para Auditor Fiscal do ISS RJ. Sem dúvida essa foi uma grande vitória.
Posteriormente, em 2013, fui aprovado para o cargo de Analista de Planejamento
da SEPLAN/PI.
Finalmente em 2014 (ano da REDENÇÃO), fui aprovado e nomeado para
Auditor de Controle Externo do TCE PI (atualmente) na minha cidade natal,
Teresina - Piauí. Tenho muito orgulho por trabalhar em um dos melhores climas
organizacionais do Brasil! Mesmo ano que ganhei mais uma estrela chamada
Khr ystal (caçula do papai). Dessa forma, completei o meu trio de filh as:
Kímberll y – Kathleen – Khystal.
Minha grande alegria é ajudar concursantes (como você, que me ler agora)
a realizar-se pessoalmente e profissionalmente, assim como alcancei. Ministro
aulas presenciais em cursos de pós -graduação e preparatórios para con cursos
públicos nas disciplinas de Exatas e Auditoria (privada e governamental),
Comento questões de Auditoria no TEC Concursos (aproximadamente 3 mil
questões comentada s e publicadas). Isso me dar uma base consolidada para
traçar o perfil de cada banca no que tange à cobrança dos assuntos de
Auditoria.
Em 2016/2017, fui aprovado para Auditor Fiscal da SEFAZ MA e Auditor
Fiscal da Receita Municipal de Teresina. Procuro manter o exercício de realizar
C o py r i g ht © 2 0 1 8 p o r P r ol u n o
2
Aula 00
provas para ficar atualizado e ter o “feeling ” que vocês concurseiros precisam ter
na hora da prova.
1
Segundo o professor Dr. W andercy de Carvalho, com tese em Estudos
Linguísticos pela Universidade Federal Fluminense, RJ, a pa lavra concurseiro é
formada por um sufixo sem muito prestígio social. Por isso, não deveria ser
usada para referir -se a pessoas que dedicam tantas horas de estudos e tanto
esforço na esperança de preparar -se para fazer concursos. Veja outros exemplos
de palavras que estão no mesmo campo semântico de concurseiro: aventureiro,
fanqueiro, olheiro, bicheiro, barbeiro (aquele que dirige mal) etc. Por outro lado,
existe outro sufixo com valor semântico de grande prestígio social, já que ele
tem origem no latim. E xemplos: amante (aquele que ama), estudante (aquele que
estuda), acompanhante (aquele que acompanha), socializante (aquele que
socializa), CONCURS ANTE (aquele que faz concurso, aquele que tem
perspectivas de vida melhor).
O sufixo –ANTE, forma o particípio presente ativo dos verbos e indica um
processo em ação.
Concursante é um neologismo mais atraente, principalmente porque o
individuo que se prepara para fazer o concurso se sentirá mais prestigiado social
e psicologicamente. Outra vantagem: esta palavra não tem desinência de gênero,
ou seja, pode ser usada tanto para o masculino, quanto para o feminino. E por
estarmos de acordo com ele, resolvemos adotar esta palavra para esquentar
ainda mais os ânimos dos nossos futuros colegas de profissão!
Bons estudos!
Tonyvan Carvalho
Siga-nos no Facebook e Instagram
3
Aula 00
Metodologia
A nossa proposta é fornecer um material com Teoria Resumida comp osta
de esquemas que lhe ajudará na sua aprendizagem. A parte teórica do curso é
uma compilação de Normas de Auditoria que são as principais fontes exploradas
pelas diversas bancas de concursos públicos, além de aspectos doutrinários
mais relevantes.
Utilizamos um método fácil, direto e objetivo , com técnicas que ensinam

a marcar o “X” na alternativa correta nas questões de Auditoria. As informações
com maior incidência em provas, extraídas dessas normas, são destacadas com
cores diferentes ou esquematizadas por meio de Mapas Mentais, com o fim de
auxiliá-lo a otimizar o seu tempo e direcioná -los na memorização das partes mais
recorrentes, para que você G ABARITE a prova de Auditoria, ou minimize ao
máximo a perda de pontos nessa matéria de suma importância para quem almeja
ocupar um cargo nessa área!
Mapas Mentais em Auditoria? O que significam?

A utilização de Mapas Mentais em Auditoria será uma referência no país,
tratando dos pontos mais recorrentes em provas. Os mapas mentais procuram
representar, com o máximo de detalhes possível, o relacionamento conceitual
existente entre informações que normalmente estão fragmentadas, difusas e
pulverizadas. Trata -se de um recurso para ilustrar ideias e conceitos, dar -lhes
forma e contexto, traçar os relacionamento s de causa, efeito, simetria e/ou
similaridade que existem entre elas e 4orna-las mais palpáveis e mensuráveis,
sobre os quais é possível planejar ações e estratégias para alcançar objetivos
específicos. É um grande desafio para sua memorização que será vencido.
Segue exemplo a seguir.
Será um grande diferencial – resolver várias questões associadas aos mapas

mentais.
É FATO: você terá vantagem competitiva para a prova.
4
Aula 00
O nosso compromisso será o de expor as partes mais importantes das

principais normas de Auditoria com uma linguagem mais acessível, sem muito
rodeio, e, quase sempre, copiadas e coladas das normas (o “famoso” Control
C + Control V); uma vez que é, desse modo, o que as bancas costumam
proceder nas provas. Isso torna mais fácil a assimi lação do conteúdo e permitirá
o mapeamento da banca examinadora do seu concurso. Logicamente, as
explicações necessárias serão oportunamente fornecidas.
Note que o nosso curso prezará por um sequenciamento lógico e objetivo,
expondo as normas por meio de destaques e comentários de questões extraídas
das principais provas elaboradoras por diferentes bancas examinadoras, de
diferentes concursos públicos; isto se dá, porque sua leitura extremamente
necessária, para melhor entender o processo das perguntas e a lógica das
normas. Não deixe, portanto, de ler TODOS os comentários, mesmo que você
tenha acertado as questões.
Atenção: Objetivamente, forneceremos a você o conteúdo de Auditoria,

em especial das Normas Brasileiras de Contabilidade e aspectos
doutrinários relacionados à auditoria , bem como Normas de Auditoria
Governamenta l, segundo o EDITAL Nº 01/2018 – CONTROLADORIA
GERAL DO ESTADO DO CEARÁ , e inúmeras questões recentes e
comentadas, precipuamente, das principais bancas examinadoras de
concursos das áre as fiscal, controle e gestão. O foco do nosso material é a
CESPE, que é a banca responsável pelo concurso de Auditor de Controle
Interno.
Feita essa breve introdução, daremos início ao curso, seguindo roteiro abaixo:
Au la Tem a In í ci o em Pr o gr es so Por cen ta gem

Governança e análise de risco. Governança no
setor público. O papel da auditoria na
estrutura de governança. Estrutura conceitual
Au la 0 25/12 0%
de análise de risco (COSO). Elementos de
risco e controle. Aplicação da estrutur a
conceitual de análise de risco . (PARTE 01)
Governança e análise de risco. Governança no
setor público. O papel da auditoria na
estrutura de governança. Estrutura conceitual
Au la 1 25/12 8% 8%
de análise de risco (COSO). Elementos de
risco e controle. Aplicação da estrutur a
conceitual de análise de risco. (PARTE 02)
Nor mas da INTOSAI: Declaração de Li ma.
Códi go de ética e padrões de auditoria.
Au la 2 Auditoria no setor público estadual. 26/12 8% 17%
Operacionalidade. Nor mas relativas à
execução dos trabalhos. (PARTE 01)
Nor mas da INTOSAI: Declaração de
Li ma. Códi go de ética e padrões de auditoria.
Au la 3 Auditoria no setor público estadual. 27/12 8% 25%
Operacionalidade. Nor mas relativas à
execução dos trabalhos. (PARTE 02)
Nor mas do IIA: O papel das normas de
Au la 4 auditoria. Nor mas i nternacionais para o 02/01 8% 33%
exercício profissional da auditoria interna.
5
Aula 00
Au la Tem a In í ci o em Pr o gr es so Por cen ta gem

Definição de auditoria interna,
independência, pr oficiência e zelo
profissional, desenvolvi mento profissional
contínuo, programa de garantia de qualidade,
planej amento, execu ção do trabalho de
auditoria, comunicação de resultados,
monitoramento do pr ogresso, resolução da
aceitação dos riscos pela administração.
Nor mas vi gentes de auditoria independent e
das demonstrações contábeis emanadas pel o
Au la 5 07/01 8% 42%
Conselho Fed eral de Contabilidade (CFC):
NBC TA 200( R1)
Planej amento. Pr ogramas de auditoria. Papéis
Au la 6 09/01 8% 50%
de trabalho.
Amostragem estatística em auditori a.
Au la 7 18/01 8% 58%
Eventos ou transações subsequentes.
Testes de auditor ia. Revisão analítica.
Entrevista. Conferência de cálcul o.
Au la 8 20/01 8% 67%
Confir mação. Interpr etação das infor mações.
Obser vação.
Procedi mentos de auditoria em áreas
Au la 9 23/01 8% 75%
específicas das demonstrações contábeis.
Nor mas relati vas à opinião do auditor.
Au la 1 0 25/01 8% 83%
Relatórios e pareceres de auditoria
Au la 1 1 Aspectos Gerais de Auditoria Governamental 31/01 8% 92%
Au la 1 2 Si mulado e revisão em mapas. 02/02 8% 100%
6
Aula 00
Governança e análise de risco. Governança no setor

público. O papel da auditoria na estrutura de
governança. Estrutura conceitual de análise de risco
(COSO). Elementos de risco e controle. Aplicação da
estrutura conceitual de análise de risco. (PARTE 01)
1 CONTEXTUALIZAÇ ÃO ............................................................................ 8
2 MODELOS DE GESTÃO DE RISCO: COSO I ............................................ 9
3 MODELOS DE GESTÃO DE RISCO: COSO II ......................................... 15
3 LISTA DE QUESTÕES .......................................................................... 23
4 QUESTÕES COMENTAD AS .................................................................. 30
5 REFERÊNCI AS BIBLIO GRÁFICAS ........................................................ 60
7
Aula 00
1 Contextualização
Nossa primeira aula aborda aspectos gerais acerca da Governança e Análise

de Riscos. Para efeitos didáticos, o tema será dividido em duas partes. Hoje
veremos a parte I.
Constataremos que as provas elaboradas pela C espe costumam cobrar de
forma literal as definições dispostas nos modelos de gestão de risco, em
especial nos modelos de controle interno emitidos pelo Committee of Sponsoring
Organizations of the Treadway Commission (COSO, 1992), também conhecidos
como:
 Internal Control Integrated Framework (Coso I);
 Enterprise Risk Management – Integrated Framework (Coso II).
Algo que vale a pena destacar, nesse início de jornada, é que esse assunto
tem por característica um escopo bem restrito e, portanto, vocês devem e star
ligados para não perder questões.
Começaremos nosso Passo Estratégico já mostrando uma questão recorrente
em provas de Auditoria Governamental, que é a definição de Controle Interno,
segundo a estrutura do Coso I:
Controle interno é um processo conduzido pela estrutura de governança,

administração e outros profissionais da entidade, e desenvolvido para proporcionar
segurança razoável com respeito à realização dos objetivos relacionados a
operações, divulgação e conformidade.
Segundo o Referencial Básico de Gestão de Riscos (TCU, 2018) , “Risco é o

efeito da incerte za sobre objetivos estabelecidos. É a possibilidade de ocorrência
de eventos que afetem a realização ou alcance dos objetivos, combinada com o
impacto dessa ocorrência sobre os resultados pr etendidos. Eles existem
independentemente da atenção que damos a eles que, se não gerenciados,
podem comprometer o alcance de objetivos almejados”.
“Em geral, à medida que amadurecemos tomamos maior consciência do
ambiente em que estamos inseridos, ficamos mais hábeis na identificação de
vulnerabilidades (falhas ou fraque zas), mais aptos a identificar ameaças e
oportunidades e, portanto, mais prontos a identificar eventos que podem impactar
o alcance de nossos objetivos. Ao analisarmos o ambiente em que est amos
inseridos, e tendo em vista os objetivos estabelecidos, podemos decidir acerca
de quais medidas ou controles internos podem ser adotados para tratar os
potenciais riscos de sorte a mantê -los em níveis compatíveis com nosso apetite
(aceitação) e tolerâ ncia (resiliência)”.
8
Aula 00
2 Modelos de gestão de risco: Coso I

Gestão de riscos consiste em um conjunto de atividades coordenadas para
identificar, analisar, avaliar, tratar e monitorar riscos.
É o processo que visa conferir razoável segurança quanto ao alc ance
dos objetivos. Para lidar com riscos e aumentar a chance de alcançar objetivos,
as organizações adotam desde abordagens informais até abordagens altamente
estruturadas e sistematizadas de gestão de riscos, dependendo de seu porte e da
complexidade de suas operações.
Adotar padrões e boas práticas estabelecidos em modelos reconhecidos é
uma maneira eficaz de estabelecer uma abordagem sistemática, oportuna e
estruturada para a gestão de riscos, que contribua para a eficiência e a obtenção
de resultados consistentes (ABNT, 2009). Isso evita que a organização seja
aparelhada com uma coleção de instrumentos e procedimentos burocráticos,
descoordenados, que podem levar à falsa impressão da existência de um sistema
de gestão de riscos e controle efetivo que, n a prática, não garantem os
benefícios desejados.
Este tópico apresenta um dos principais modelos reconhecidos
internacionalmente (e cobrados nas provas da Cespe) que são utilizados pelas
organizações para implementar a gestão de riscos de forma consistente e
sistematizada.
No início dos anos 90, as bases para o que conhecemos hoje como gestão
de riscos foram estabelecidas mediante a publicação de três documentos que se
tornaram referência mundial no tema: o COSO I, o Cadbury e a AS/NZS
4360:1995.
O guia Internal Control - Integrated Framework (COSO I), publicado em 1992
pelo Committee of Sponsoring Organizations of the Treadway Commission –
COSO, consolidou a ideia de gestão de risco corporativo e apresentou um
conjunto de princípios e boas práticas de gestã o e controle interno (COSO,
1992). Essa primeira versão obteve grande aceitação e tem sido aplicada
amplamente em todo o mundo. Ela é reconhecida como uma estrutura modelo
para o desenvolvimento, implementação e condução do controle interno, bem
como para a avaliação de sua eficácia.
A seguir, apresentaremos a você um resumo dos principais tópicos do Coso
I:
Definição de controle interno
O controle interno é definido da seguinte forma:
Controle interno é um processo conduzido pela estrutura de governança,

administração e outros profissionais da entidade, e desenvolvido para proporcionar
segurança razoável com respeito à realização dos objetivos relacionados a
operações, divulgação e conformidade.
Essa definição reflete alguns conceitos fundamentais. O controle interno é:
9
Aula 00
• Conduzido para atingir objetivos em uma ou mais categorias – operacional,

divulgação e conformidade.
• Um processo que consiste em tarefas e atividades contínuas – um meio para um
fim, não um fim em si mesmo.
• Realizado por pessoas – não se trata simplesmente de um manual de políticas e
procedimentos, sistemas e formulários, mas diz respeito a pessoas e às ações que
elas tomam em cada nível da organização para realizar o controle interno.
• Capaz de proporcionar segurança razoável - mas não absoluta, para a estrutura
de governança e alta administração de uma entidade.
• Adaptável à estrutura da entidade – flexível na aplicação para toda a entidade ou
para uma subsidiária, divisão, unidade operacional ou processo de negócio em
particular.
Essa definição é intencionalmente abrangente. Ela captura conceitos importantes que
são fundamentais para a forma como as organizações desenvolvem, implementam e
conduzem o controle interno, proporcionando uma base para aplicação a todas as
organizações que operam em diferentes estruturas de entidades, indústrias e regiões
geográficas.
Objetivos
A Estrutura apresenta três categorias de objetivos, o que permite às organizações

se concentrarem em diferentes aspectos do controle interno:
• Operacional – Esses objetivos relacionam-se à eficácia e à eficiência das
operações da entidade, inclusive as metas de desempenho financeiro e operacional e
a salvaguarda de perdas de ativos.
• Divulgação – Esses objetivos relacionam-se a divulgações financeiras e não
financeiras, internas e externas, podendo abranger os requisitos de confiabilidade,
oportunidade, transparência ou outros termos estabelecidos pelas autoridades
normativas, órgãos normatizadores reconhecidos, ou às políticas da entidade.
• Conformidade – Esses objetivos relacionam-se ao cumprimento de leis e
regulamentações às quais a entidade está sujeita.
Componentes do controle interno
O controle interno consiste em cinco componentes integrados.
1) Ambiente de controle
O ambiente de controle é um conjunto de normas, processos e estruturas que
fornece a base para a condução do controle interno por toda a organização. A
estrutura de governança e a alta administração estabelecem uma diretriz sobre a
importância do controle interno, inclusive das normas de conduta esperadas. A
administração reforça as expectativas nos vários níveis da organização.
O ambiente de controle abrange a integridade e os valores éticos da organização; os
parâmetros que permitem à estrutura de governança cumprir com suas
responsabilidades de supervisionar a governança; a estrutura organizacional e a
delegação de autoridade e responsabilidade; o processo de atrair, desenvolver e reter
talentos competentes; e o rigor em torno de medidas, incentivos e recompensas por
performance. O ambiente de controle resultante tem impacto pervasivo sobre todo o
sistema de controle interno.
10
Aula 00
2) Avaliação de riscos
Toda entidade enfrenta vários riscos de origem tanto interna quanto externa. Define-
se risco como a possibilidade de que um evento ocorra e afete adversamente a
realização dos objetivos. A avaliação de riscos envolve um processo dinâmico e
iterativo para identificar e avaliar os riscos à realização dos objetivos.
Esses riscos de não atingir os objetivos em toda a entidade são considerados em
relação às tolerâncias aos riscos estabelecidos. Dessa forma, a avaliação de riscos
estabelece a base para determinar a maneira como os riscos serão gerenciados.
Uma condição prévia à avaliação de riscos é o estabelecimento de objetivos, ligados
aos
diferentes níveis da entidade. A administração especifica os objetivos dentro das
categorias: operacional, divulgação e conformidade, com clareza suficiente para
identificar e analisar os riscos à realização desses objetivos. A administração também
considera a adequação dos objetivos à entidade. A avaliação de riscos requer ainda
que a administração considere o impacto de possíveis mudanças no ambiente
externo e dentro de seu próprio modelo de negócio que podem tornar o controle
interno ineficaz.
3) Atividades de controle
Atividades de controle são ações estabelecidas por meio de políticas e procedimentos

que ajudam a garantir o cumprimento das diretrizes determinadas pela administração
para mitigar os riscos à realização dos objetivos. As atividades de controle são
desempenhadas em todos os níveis da entidade, em vários estágios dentro dos
processos corporativos e no ambiente tecnológico. Podem ter natureza preventiva ou
de detecção e abranger uma série de atividades manuais e automáticas, como
autorizações e aprovações, verificações, reconciliações e revisões de desempenho
do negócio. A segregação de funções é geralmente inserida na seleção e no
desenvolvimento das atividades de controle. Nos casos em que a segregação de
funções seja impraticável, a administração deverá selecionar e desenvolver atividades
alternativas de controle.
4) Informação e comunicação
A informação é necessária para que a entidade cumpra responsabilidades de controle

interno a fim de apoiar a realização de seus objetivos.
A administração obtém ou gera e utiliza informações importantes e de qualidade,
originadas tanto de fontes internas quanto externas, a fim de apoiar o funcionamento
de outros componentes do controle interno. A comunicação é o processo contínuo e
iterativo de proporcionar, compartilhar e obter as informações necessárias. A
comunicação interna é o meio pelo qual as informações são transmitidas para a
organização, fluindo em todas as direções da entidade.
Ela permite que os funcionários recebam uma mensagem clara da alta administração
de que as responsabilidades pelo controle devem ser levadas a sério. A comunicação
externa apresenta duas vertentes: permite o recebimento, pela organização, de
informações externas significativas, e proporciona informações a partes externas em
resposta a requisitos e expectativas.
5) Atividades de monitoramento
11
Aula 00
Uma organização utiliza avaliações contínuas, independentes, ou uma combinação

das duas, para se certificar da presença e do funcionamento de cada um dos cinco
componentes de controle interno, inclusive a eficácia dos controles nos princípios
relativos a cada componente. As avaliações contínuas, inseridas nos processos
corporativos nos diferentes níveis da entidade, proporcionam informações oportunas.
As avaliações independentes, conduzidas periodicamente, terão escopos e
frequências diferentes, dependendo da avaliação de riscos, da eficácia das
avaliações contínuas e de
outras considerações da administração. Os resultados são avaliados em relação a
critérios estabelecidos pelas autoridades normativas, órgãos normatizadores
reconhecidos ou pela administração e a estrutura de governança, sendo que as
deficiências são comunicadas à estrutura de governança e administração, conforme
aplicável.
Relação entre objetivos e componentes
Existe uma relação direta entre os objetivos, que são o que a entidade busca
alcançar, os componentes, que representam o que é necessário para atingir os
objetivos, e a estrutura organizacional da entidade (as unidades operacionais e
entidades legais, entre
outras). Essa relação pode ser ilustrada na forma de um cubo.
• As três categorias de objetivos – operacional, divulgação e conformidade – são
representadas pelas colunas.
• Os cinco componentes são representados pelas linhas.
• A estrutura organizacional da entidade é representada pela terceira dimensão.
Componentes e princípios
A Estrutura estabelece 17 princípios, que representam os conceitos fundamentais

associados a cada componente. Como esses princípios são originados diretamente
dos componentes, uma entidade poderá ter um controle interno eficaz ao aplicar
todos os princípios. Todos os princípios aplicam-se aos objetivos operacionais,
12
Aula 00
divulgação e conformidade. Os princípios que apoiam os componentes do controle

interno estão relacionados a seguir.
Ambiente de controle
1. A organização demonstra ter comprometimento com a integridade e os valores
éticos.
2. A estrutura de governança demonstra independência em relação aos seus
executivos e supervisiona o desenvolvimento e o desempenho do controle interno.
3. A administração estabelece, com a suspensão da estrutura de governança, as
estruturas, os níveis de subordinação e as autoridades e responsabilidades
adequadas na busca dos objetivos.
4. A organização demonstra comprometimento para atrair, desenvolver e reter
talentos competentes, em linha com seus objetivos.
5. A organização faz com que as pessoas assumam responsabilidade por suas
funções de controle interno na busca pelos objetivos.
Avaliação de riscos
6. A organização especifica os objetivos com clareza suficiente, a fim de permitir a
identificação e a avaliação dos riscos associados aos objetivos.
7. A organização identifica os riscos à realização de seus objetivos por toda a
entidade e analisa os riscos como uma base para determinar a forma como devem
ser gerenciados.
8. A organização considera o potencial para fraude na avaliação dos riscos à
realização dos objetivos.
9. A organização identifica e avalia as mudanças que poderiam afetar, de forma
significativa, o sistema de controle interno.
Atividades de controle
10. A organização seleciona e desenvolve atividades de controle que contribuem para
a redução, a níveis aceitáveis, dos riscos à realização dos objetivos.
11. A organização seleciona e desenvolve atividades gerais de controle sobre a
tecnologia para apoiar a realização dos objetivos.
12. A organização estabelece atividades de controle por meio de políticas que
estabelecem o que é esperado e os procedimentos que colocam em prática essas
políticas.
Informação e comunicação
13. A organização obtém ou gera e utiliza informações significativas e de qualidade
para apoiar o funcionamento do controle interno.
14. A organização transmite internamente as informações necessárias para apoiar o
funcionamento do controle interno, inclusive os objetivos e responsabilidades pelo
controle.
15. A organização comunica-se com os públicos externos sobre assuntos que afetam
o funcionamento do controle interno.
Atividades de monitoramento
16. A organização seleciona, desenvolve e realiza avaliações contínuas e/ou
independentes para se certificar da presença e do funcionamento dos componentes
do controle interno.
17. A organização avalia e comunica deficiências no controle interno em tempo hábil
aos responsáveis por tomar ações corretivas, inclusive a estrutura de governança e
alta administração, conforme aplicável.
13
Aula 00
Controle interno eficaz

A Estrutura estabelece os requisitos para um sistema eficaz de controle interno, que
proporciona segurança razoável acerca da realização dos objetivos da entidade. Um
sistema de controle interno eficaz reduz, a um nível aceitável, o risco de não se atingir
o objetivo de uma entidade e pode estar relacionado a uma, duas ou todas as três
categorias de objetivos. O sistema requer:
• A presença e o funcionamento de cada um dos cinco componentes e princípios
relacionados. “Presença” refere-se à determinação da existência dos componentes e
princípios relacionados no desenho e na implementação do sistema de controle
interno para atingir objetivos especificados. “Funcionamento” refere-se à
determinação de que os componentes e princípios relacionados continuem a existir
na operação e na condução do sistema de controle interno para atingir objetivos
especificados;
• Os cinco componentes operam em conjunto de forma integrada. “Operam em
conjunto” refere-se à determinação de que todos os cinco componentes, em conjunto,
reduzam a um nível aceitável o risco de não se atingir o objetivo. Os componentes
não devem ser considerados de forma separada; eles operam em conjunto como um
sistema integrado. Os componentes são interdependentes e contam com uma
profusão de inter-relacionamentos e ligações entre si, especialmente a maneira como
os princípios interagem dentro e entre todos os componentes.
Limitações
A Estrutura reconhece que, embora o controle interno proporcione segurança
razoável quanto à realização dos objetivos da entidade, existem limitações.
O controle interno não é capaz de evitar julgamentos errôneos ou más decisões, ou
ainda eventos externos que impeçam a organização de atingir suas metas
operacionais. Em outras palavras, até mesmo um sistema eficaz de controle interno
pode apresentar falhas. As limitações podem ser resultado de:
• adequação dos objetivos estabelecidos como uma condição prévia ao controle
interno;
• realidade de que o julgamento humano na tomada de decisões pode ser falho e
tendencioso;
• falhas que podem ocorrer devido a erros humanos, como enganos simples;
• capacidade da administração de sobrepassar o controle interno;
• capacidade da administração, outros funcionários e/ou terceiros transpassarem os
controles por meio de conluio entre as partes; e
• eventos externos fora do controle da organização.
Essas limitações impedem que a estrutura de governança e a administração tenha
segurança absoluta da realização dos objetivos da entidade – isto é, o controle
interno proporciona segurança razoável, mas não absoluta. Embora essas limitações
sejam inerentes, a administração deve estar ciente delas ao selecionar, desenvolver e
aplicar controles na organização para minimizar, dentro do possível, tais limitações.
14
Aula 00
3 Modelos de gestão de risco: Coso II

Em 2004, o COSO publicou o Enterprise Risk Management - Integrated
Framework (conhecido como COSO -ERM ou COSO II), referência que estendeu o
escopo do COSO I, tendo como foco a gestão d e riscos corporativos. Em outros
termos, acrescentou -se ao Coso I três novos elementos, transformando -o no
Enterprise Risk Management – Integrated Framework (Coso II): fixação de
objetivos, identificação de eventos e resposta a risco.
A implantação e o ap rimoramento da gestão de riscos em uma organização
constitui um processo de aprendizagem, que começa com o desenvolvimento de
consciência sobre a importância de gerenciar riscos e avança com a
implementação de práticas e estruturas necessárias.
O ápice desse processo se dá quando a organização conta com uma
abordagem sistêmica e consistente para gerenciar riscos e com uma cultura
organizacional profundamente consciente dos princípios e práticas da gestão de
riscos.
Para facilitar o alcance desses objetivos, sugere-se, sempre que possível,
observar os modelos existentes, lembrando que a aplicação de um modelo deve
considerar o princípio básico de que a gestão de riscos deve ser feita sob
medida, alinhada com o contexto interno e externo da organização e com o seu
perfil de risco (ABNT, 2009).
A seguir são apresentados quatro modelos de referência que devem ser
estudados e conhecidos antes da institucionalização da gestão de risco no
âmbito de uma organização, seja ela pública ou privada. São eles: (a) COSO II –
Gerenciamento de Riscos Corporativos – Estrutura Integrada ; (b) COSO GRC
2016 – Alinhando Risco com Estratégia e Desempenho; (c) ISO 31000 – Gestão
de Riscos – Princípios e Diretrizes; e (d) Orange Book e Risk Management
Assessment Framework.
O Gerenciamento de Riscos Corporativos – Estrutura Integrada (COSO II)
trata de um modelo de gestão de riscos predominante no cenário corporativo
internacional, especialmente na América do Norte, desenvolvido pela
PricewaterhouseCoopers LLP, sob encomenda do COSO, co m o propósito de
fornecer estratégia de fácil utilização pelas organizações para avaliar e melhorar
a gestão de riscos.
O modelo é apresentado na forma de matriz tridimensional (cubo),
demonstrando uma visão integrada dos componentes que os gestores precis am
adotar para gerenciar os riscos de modo eficaz, no contexto dos objetivos e da
estrutura de cada organização.
15
Aula 00
A seguir, apresentaremos para você um resumo dos principais tópicos do

Coso II:
Definição de Gerenciamento de Riscos Corporativos
O gerenciamento de riscos corporativos é um processo conduzido em uma

organização pelo conselho de administração, diretoria e demais empregados,
aplicado no estabelecimento de estratégias, formuladas para identificar em toda a
organização eventos em potencial, capazes de afetá-la, e administrar os riscos de
modo a mantê-los compatível com o apetite a risco da organização e possibilitar
garantia razoável do cumprimento dos seus objetivos.
Essa definição reflete certos conceitos fundamentais. O gerenciamento de riscos

corporativos é:
• um processo contínuo e que flui através da organização;
• conduzido pelos profissionais em todos os níveis da organização;
• aplicado à definição das estratégias;
• aplicado em toda a organização, em todos os níveis e unidades, e inclui a formação
de uma visão de portfólio de todos os riscos a que ela está exposta;
• formulado para identificar eventos em potencial, cuja ocorrência poderá afetar a
organização, e
• para administrar os riscos de acordo com seu apetite a risco;
• capaz de propiciar garantia razoável para o conselho de administração e a diretoria
executiva de uma organização;
• orientado para a realização de objetivos em uma ou mais categorias distintas, mas
dependentes.
Realização de Objetivos
Essa estrutura de gerenciamento de riscos corporativos é orientada a fim de alcançar
os objetivos de uma organização e são classificados em quatro categorias:
• Estratégicos – metas gerais, alinhadas com o que suportem à sua missão.
• Operações – utilização eficaz e eficiente dos recursos.
• Comunicação – confiabilidade de relatórios.
• Conformidade – cumprimento de leis e regulamentos aplicáveis.
16
Aula 00
Componentes do Gerenciamento de Riscos Corporativos
1) Ambiente Interno – o ambiente interno compreende o tom de uma organização e

fornece a base pela qual os riscos são identificados e abordados pelo seu pessoal,
inclusive a filosofia de gerenciamento de riscos, o apetite a risco, a integridade e os
valores éticos, além do ambiente em que estes estão.
2) Fixação de Objetivos – os objetivos devem existir antes que a administração

possa identificar os eventos em potencial que poderão afetar a sua realização. O
gerenciamento de riscos corporativos assegura que a administração disponha de um
processo implementado para estabelecer os objetivos que propiciem suporte e
estejam alinhados com a missão da organização e sejam compatíveis com o seu
apetite a riscos.
3) Identificação de Eventos – os eventos internos e externos que influenciam o

cumprimento dos objetivos de uma organização devem ser identificados e
classificados entre riscos e oportunidades. Essas oportunidades são canalizadas para
os processos de
estabelecimento de estratégias da administração ou de seus objetivos.
4) Avaliação de Riscos – os riscos são analisados, considerando-se a sua
probabilidade e o impacto como base para determinar o modo pelo qual deverão ser
administrados. Esses riscos são avaliados quanto à sua condição de inerentes e
residuais.
5) Resposta a Risco – a administração escolhe as respostas aos riscos - evitando,

aceitando, reduzindo ou compartilhando – desenvolvendo uma série de medidas para
alinhar os riscos com a tolerância e com o apetite a risco. As respostas a riscos
classificam-se nas seguintes categorias:
Evitar – Descontinuação das atividades que geram os riscos. Evitar riscos pode
implicar a
descontinuação de uma linha de produtos, o declínio da expansão em um novo
mercado geográfico ou a venda de uma divisão.
Reduzir – São adotadas medidas para reduzir a probabilidade ou o impacto dos
riscos, ou, até mesmo, ambos. Tipicamente, esse procedimento abrange qualquer
uma das centenas de decisões do negócio no dia-a-dia.
Compartilhar – Redução da probabilidade ou do impacto dos riscos pela
transferência ou pelo compartilhamento de uma porção do risco. As técnicas comuns
compreendem a aquisição de produtos de seguro, a realização de transações de
headging ou a terceirização de uma atividade.
Aceitar – Nenhuma medida é adotada para afetar a probabilidade ou o grau de
impacto dos riscos.
6) Atividades de Controle – políticas e procedimentos são estabelecidos e

implementados para assegurar que as respostas aos riscos sejam executadas com
eficácia.
7) Informações e Comunicações – as informações relevantes são identificadas,

colhidas e comunicadas de forma e no prazo que permitam que cumpram suas
responsabilidades. A comunicação eficaz também ocorre em um sentido mais amplo,
fluindo em todos níveis da organização.
17
Aula 00
8) Monitoramento – a integridade da gestão de riscos corporativos é monitorada e

são feitas as modificações necessárias. O monitoramento é realizado através de
atividades gerenciais contínuas ou avaliações independentes ou de ambas as formas.
Relacionamento entre Objetivos e Componentes
Existe um relacionamento direto entre os objetivos, que uma organização empenha-

se em alcançar, e os componentes do gerenciamento de riscos corporativos, que
representam aquilo que é necessário para o seu alcance. Esse relacionamento é
apresentado em uma matriz tridimensional em forma de cubo.
As quatro categorias de objetivos (estratégicos, operacionais, de comunicação e
conformidade) estão representadas nas colunas verticais. Os oito componentes nas
linhas horizontais e as unidades de uma organização na terceira dimensão. Essa
representação ilustra a capacidade de manter o enfoque na totalidade do
gerenciamento de riscos de uma organização, ou na categoria de objetivos,
componentes, unidade da organização ou qualquer um dos subconjuntos.
Eventos – Riscos e Oportunidades

Um evento é um incidente ou uma ocorrência gerada com base em fontes internas ou
externas, que afeta a realização dos objetivos. Os eventos podem causar impacto
negativo, positivo ou ambos. Os eventos que geram impacto negativo representam
riscos. Da mesma forma, o risco é definido como segue:
O risco é representado pela possibilidade de que um evento ocorrerá e afetará
negativamente a realização dos objetivos.
Os eventos cujo impacto é positivo podem contrabalançar os impactos negativos ou
representar oportunidades. A oportunidade é definida da seguinte forma:
Oportunidade é a possibilidade de que um evento ocorra e influencie favoravelmente
a realização dos objetivos.
18
Aula 00
CAIU NA PROVA
(FCC - Analista Judiciário (TRT 13ª Região / Contabilidade / Administrativa -

2014) O Modelo COSO é estruturado sob a forma de componentes relacionados
ao controle interno. É componente que diferencia o Modelo COSO I do COSO II,
a) a informação e comunicação.
b) o procedimento de controle.
c) o ambiente de controle.
d) o monitoramento.
e) a definição dos objetivos.
Gabarito: E.
Comentários:
COSO é o Comitê das Organizações Patrocinadas, da Comissão Nacional sobre
Fraudes em Relatórios Financeiros. É uma entidade do setor privado, sem fins
lucrativos, voltada para o aperfeiçoamento da qualidade de relatórios financeir os.
Segundo esse COSO II, o Controle Interno apresenta oito componentes, a saber:
1. Ambiente de Controle: demonstra o grau e comprometimento em todos os
níveis da administração, com a qualidade do controle interno em seu
conjunto.
2. Avaliação de Riscos: identifica os eventos ou das condições que podem
afetar a qualidade da informação contábil e avaliação dos riscos
identificados.
3. Atividades de Controle: medidas e ações integrantes de um sistema de
controle que, se estabelecidas de forma tempestiva e ad equada, podem vir a
prevenir ou administrar os riscos inerentes ou em potencial da entidade.
4. Informações e Comunicações: identifica, armazena e comunica toda
informação relevante, a fim de permitir a realização dos procedimentos
estabelecidos.
5. Monitoramento: compreende o acompanhamento da qualidade do controle
interno, visando assegurar a sua adequação aos objetivos, ao ambiente, aos
recursos e aos riscos. Pressupõe uma atividade desenvolvida ao longo do
tempo.
6. Definição/Fixação de objetivos: defi nidos pela alta administração, os objetivos
devem ser divulgados a todos os componentes da organização, antes da
identificação dos eventos que possam influenciar na consecução dos objetivos.
7. Identificação de eventos: pode -se planejar o tratamento adequa do para as
oportunidades e para os riscos, que devem ser entendidos como parte de um
contexto, e não de forma isolada.
8. Resposta ao risco: para cada risco identificado, será prevista uma resposta,
que pode ser de 4 tipos: evitar, aceitar, compartilhar ou reduzir.
19
Aula 00
Os componentes de 1 a 5 são comuns ao COSO I e COSO II . Já os ambientes

de 6 a 8 são inerentes, somente, ao COSO II . Logo, o único componente que
diferencia o Modelo do COSO I do COSO II é a definição dos objetivos
(Alternativa correta é E ).
(FCC - Analista Judiciário (TRT 13ª Região / Contabilidade / Administrativa -

2014) A referência mundial para sistemas de controle interno é o Modelo The
Committee of Sponsoring Organizations of the Treadway Commission − COSO,
que traz especificações relacion adas a uma
a) estrutura voltada para a gestão de riscos.
b) padronização de papéis de trabalho.
c) metodologia de circularização de informações de acesso restrito.
d) metodologia de processamento digital de dados.
e) padronização de técnicas de amostragem
Gabarito: A.
Comentários:
Há mais de uma década, o Committee of Sponsoring Organizations of the
Treadway Commission (COSO) publicou a obra Internal Control – Integrated
Framework (Gerenciamento de Riscos Corporativos - Estrutura Integrada) , para
ajudar empresas e outras organizações a avaliar e aperfeiçoar seus sistemas de
controle interno. Desde então, a referida estrutura foi incorporada em políticas,
normas e regulamentos adotados por milhares de organizações para controlar
melhor suas atividades visando o cumprimento dos objetivos estabelecidos. Nos
últimos anos, intensificou-se o foco e a preocupação com o gerenciamento de
riscos, e tornou -se cada vez mais clara a necessidade de uma estratégia sólida,
capaz de identificar, avaliar e administrar riscos.
Portanto, alternativa correta é A.
(FCC - Analista (CNMP) / Controle Interno / Apoio Técnico Administrativo -

2015) Entre os modelos de controle interno reconhecidamente aceitos
internacionalmente encontra -se o emitido pelo Committee of Sponsoring
Organizations of the Treadway Commission (COSO) de 1992 conhecido como
Internal Control – Integrated Framework − Coso 1 , cuja estrutura recomendada
desmembra os controles internos em cinco componentes inter -relacionados:
ambiente de controle (interno), avaliação de ris co, atividades de controle,
informação e comunicação e monitoramento. Em 2004 acrescentou -se três novos
elementos, tornando -o em Enterprise Risk Management – Integrated Framework −
Coso 2: fixação de objetivos, identificação de eventos e resposta a risco, sendo
este último desdobrado em algumas categorias, das quais “mitigar a
consequência e/ou probabilidade de ocorrência do risco por meio da
transferência” caracteriza a categoria de resposta ao risco tratada como
a) evitar.
b) reduzir.
c) aceitar.
20
Aula 00
d) compartilhar.
e) eliminar.
Gabarito: D.
Comentários:
Segundo o COSO II, o Controle Interno apresenta oito componentes , quais
sejam:
1. Ambiente de Controle: demonstra o grau e comprometimento em todos os
níveis da administração, com a qualidade do controle inte rno em seu
conjunto.
2. Avaliação de Riscos: identifica os eventos ou das condições que podem
afetar a qualidade da informação contábil e avaliação dos riscos
identificados.
3. Atividades de Controle: medidas e ações integrantes de um sistema de
controle que, se estabelecidas de forma tempestiva e adequada, podem vir a
prevenir ou administrar os riscos inerentes ou em potencial da entidade.
4. Informações e Comunicações: identifica, armazena e comunica toda
informação relevante, a fim de permitir a realizaç ão dos procedimentos
estabelecidos.
recursos e aos riscos. Pressupõe uma atividade desenvolvida ao longo do
tempo.
6. Definição/Fixação de objetivos: definidos pela alta administração, os objetivos
7. Identificação de eventos: pode-se planejar o tratamento adequado para as
8. Resposta ao risco: para cada risco identificado, será prevista uma resposta,
que pode ser de 4 tipos: evitar, aceitar, compartilhar ou reduzir.
Os componentes de 1 a 5 são comuns ao COSO I e COSO II . Já os ambientes
de 6 a 8 são inerentes, somente, ao COSO II .
A questão trata especificamente das respostas a riscos, que se classificam nas
seguintes categorias:
Evitar – Descontinuação das atividades que geram os riscos. Evitar riscos pode
implicar a descontinuação de uma linha de produtos, o declínio da expansão em
um novo mercado geográfico ou a venda de uma divisão.
Redu zir – São adotadas medidas para redu zir a probabilidade ou o impacto dos
riscos, ou, até mesmo, ambos. Tipicamente, esse procedimento abrange qualquer
uma das centenas de decisões do negócio no dia -a-dia.
transferência ou pelo compartilhamento de uma porção do risco . As técnicas
comuns compreendem a aquisição de produtos de seguro, a realização de
transações de headging ou a terceirização de uma atividade.
21
Aula 00
Aceitar – Nenhuma medida é adotada para afetar a probab ilidade ou o grau de

impacto dos riscos. [grifo nosso]
Portanto, alternativa correta é D.
22
Aula 00
3 Lista de Questões
1. (CESPE - Auditor Estadual (TCM-BA)/Infraestrutura - 2018) Um sistema de controle
interno eficaz reduz, a níveis aceitáveis, o risco de não se atingir o objetivo de uma
entidade e pode estar relacionado a uma, a duas ou a todas as três categorias de
objetivos. Nesse contexto, a determinação de que os componentes e princípios
relacionados continuem a existir na operação e na condução do sistema de controle interno
para atingir objetivos especificados refere-se
a) à presença.
b) ao funcionamento.
c) ao monitoramento.
d) à abrangência.
e) à estrutura.
2. (CESPE - Auditor Estadual (TCM-BA)/Infraestrutura - 2018) De acordo com o COSO

(Committee of Sponsoring Organizations of the Treadway Commission), o controle interno
é um processo conduzido pela estrutura de governança, administração e outros
profissionais da entidade, e desenvolvido para proporcionar segurança razoável com
respeito à realização dos objetivos relacionados a operações, divulgação e conformidade.
O componente de controle interno em que se avaliam e se comunicam as deficiências no
controle interno aos responsáveis por tomar ações corretivas, inclusive a estrutura de
governança e alta administração, é designado
a) ambiente de controle.
b) avaliação de riscos.
c) atividades de controle.
d) informação e comunicação.
e) atividades de monitoramento.
3. (CESPE - Auditor Estadual (TCM-BA)/Controle Externo - 2018) A metodologia de

avaliação dos controles internos de determinada entidade, que tem por objetivo garantir a
adequação e a consistência desses controles, prevê a execução de diversas etapas, em
uma sequência lógica. Nessa avaliação, a última etapa a ser executada consiste na
a) realização de testes de observância das normas internas e legais.
b) execução de entrevistas com os empregados da entidade.
c) elaboração de fluxogramas.
d) identificação dos controles essenciais ao sistema.
e) inspeção física da operação normal da entidade.
4. (CESPE - Auditor Estadual (TCM-BA)/2018/Controle Externo - 2018) De acordo com

o COSO (Committee of Sponsoring Organizations of the Treadway Commission), o sistema
de controle interno das organizações deve seguir determinadas regras e obedecer a certos
23
Aula 00
requisitos, delimitados por uma estrutura integrada. A respeito desse assunto, assinale a
opção correta.
a) A observância estrita das políticas e dos procedimentos é suficiente para se considerar
eficaz o controle interno.
b) A estrutura do controle interno proposta pelo COSO está voltada exclusivamente para
organizações de grande porte.
c) O COSO, por meio da estrutura de controle interno, busca viabilizar um grau razoável de
segurança para os objetivos da entidade.
d) Os objetivos de conformidade se relacionam à eficácia e à eficiência das operações da
entidade.
e) O ambiente de controle restringe-se à integridade e aos valores éticos da organização.
5. (CESPE - Auditor do Estado (CAGE RS) - 2018) A administração de uma universidade

estadual identificou e avaliou os riscos associados com a gerência da residência estudantil:
concluiu que a referida gerência não possuía internamente os requisitos necessários e as
funcionalidades para administrar eficazmente essa grande propriedade residencial, razão
pela qual optou por terceirizar a administração da residência para uma empresa
especializada, que, entre outros fatores, tivesse condições de reduzir o impacto e a
probabilidade de riscos.
De acordo com o COSO, a categoria de resposta a risco descrita na situação hipotética
apresentada é
a) compartilhar.
b) evitar.
c) reduzir.
d) aceitar.
e) acolher.
6. (CESPE - Auditor do Estado (CAGE RS) - 2018) Determinado componente do

gerenciamento de riscos corporativos permite que a organização considere até que ponto
eventos em potencial podem impactar o atingimento de seus objetivos. O COSO denomina
esse componente de
a) monitoramento.
b) atividades de controle.
c) avaliação de riscos.
d) identificação de eventos.
e) informações e comunicações.
7. (CESPE - Auditor do Estado (CAGE RS) - 2018) Diversos tipos de alterações, como,
por exemplo, nas condições demográficas, nos costumes sociais, nas estruturas das
famílias, nas prioridades de trabalho, podem provocar mudanças na demanda de produtos
e serviços, novos locais de compra, demandas relacionadas a recursos humanos e
24
Aula 00
paralisações da produção. De acordo com o COSO, as relações entre essas alterações e

seus efeitos são consideradas eventos
a) políticos.
b) de meio ambiente.
c) sociais.
d) pessoais.
e) econômicos.
8. (CESPE - Auditor do Estado (CAGE RS) - 2018) Entre as quatro categorias de

objetivos organizacionais estabelecidas pelo COSO inclui-se a categoria dos objetivos
operacionais, cujo propósito é
a) assegurar o cumprimento das leis e dos regulamentos.
b) utilizar de forma eficaz e eficiente os recursos.
c) viabilizar o atingimento de metas no nível mais elevado, alinhando-se e fornecendo
apoio à missão.
d) evitar a perda de ativos ou recursos da organização.
e) atestar a confiabilidade dos relatórios.
9. (FEPESE - Contador (CELESC) - 2018) De acordo com o Controle Interno do COSO -

Framework Integrado, qual dos seguintes componentes é projetado para garantir que os
controles internos continuem a operar efetivamente?
a) Avaliação de risco
b) Ambiente de controle
c) Informação e comunicação
d) Atividades de controle
e) Monitoramento
10. (CESPE - Auditor Municipal de Controle Interno (CGM João Pessoa) / Geral /
Auditoria, Fiscalização, Ouvidoria e Transparência - 2018) De acordo com o art. 74 da
Constituição Federal de 1988 (CF), os Poderes Legislativo, Executivo e Judiciário
manterão, de forma integrada, sistema de controle interno com algumas finalidades. Nesse
sentido, julgue o item a seguir, a respeito da governança no setor público.
Ao mencionar que os controles internos devem “avaliar o cumprimento das metas previstas
no plano plurianual, a execução dos programas de governo e dos orçamentos da União”, o
inciso I do artigo constitucional em questão mostra-se contraditório com as características
descritas pelo COSO ICIF 2013, em que o controle interno é planejado para assegurar
tanto o alcance dos objetivos relacionados às operações, quanto a produção de relatórios e
a adequação às normas.
25
Aula 00
11. (CESPE - Auditor Municipal de Controle Interno (CGM João

Pessoa)/Geral/Auditoria, Fiscalização, Ouvidoria e Transparência - 2018) De acordo
com o art. 74 da Constituição Federal de 1988 (CF), os Poderes Legislativo, Executivo e
Judiciário manterão, de forma integrada, sistema de controle interno com algumas
finalidades. Nesse sentido, julgue o item a seguir, a respeito da governança no setor
público.
O COSO ICIF 2013 está em consonância com o referido artigo constitucional, ao descrever
os objetivos operacionais como aqueles relacionados à eficiência e à eficácia das
operações da entidade, incluídos operações e desempenho (performance.) das metas e
salvaguardados os ativos contra perdas.
12. (CESPE - Analista Portuário II (EMAP)/Financeira e Auditoria Interna - 2018) Com

relação à governança no setor público, julgue o item a seguir.
Segundo o COSO ICIF 2013 (Internal Control – Integrated Framework), o ambiente de
controle é um conjunto de normas, processos e estruturas que fornece a base para a
condução do controle interno por toda a organização.
13. (FGV - Especialista Legislativo de Nível Superior (ALERJ)/Ciências Contábeis -

2017) Na avaliação de sistemas de controle interno concebidos a partir da Estrutura
Integrada proposta pelo Committee of Sponsoring Organizations of the Treadway
Commission (COSO), a análise sobre as iniciativas da organização para que as pessoas
assumam responsabilidade por suas funções de controle interno na busca por objetivos
está relacionada ao componente:
a) avaliação de riscos;
b) atividades de controle;
c) ambiente de controle;
d) fixação de objetivos;
e) monitoramento.
14. (CESGRANRIO - Auditor (PETROBRAS)/Júnior - 2018) Tendo em vista a estrutura

integrada de controle interno proposta pelo Committee of Sponsoring Organization of the
Treadway Commission (COSO), o compromisso da administração em obter ou gerar e
utilizar informações importantes e de qualidade, originadas tanto de fontes internas quanto
externas, está relacionado ao componente de
a) ambiente de controle
b) conformidade do controle
c) informação e comunicação
d) monitoramento
e) unidade operacional
26
Aula 00
15. (CESGRANRIO - Auditor (PETROBRAS)/Júnior - 2018) Uma das necessidades para

assegurar o cumprimento dos objetivos do controle interno é o monitoramento contínuo do
sistema de controle adotado. Em relação ao controle interno, considere os seguintes itens
de verificação:
I - A organização demonstra ter comprometimento com a integridade e os valores.
II - A organização seleciona e desenvolve atividades gerais de controle sobre a tecnologia
para apoiar a realização dos objetivos.
III - As veriﬁcações internas protegem adequadamente os ativos da entidade contra
fraudes.
IV - O potencial para fraude é considerado na avaliação dos riscos à realização dos
objetivos da entidade.
V - Os controles contábeis asseguram o correto registro das transações ﬁnanceiras.
Os itens de verificação que se referem a atividades típicas de monitoramento são,
APENAS, as de números:
a) I e II
b) II e III
c) II e IV
d) III e V
e) IV e V
16. (FGV - Analista Legislativo Municipal (CM Salvador) /Auditoria, Normas e

Informações Gerenciais/Controladoria - 2018) A Estrutura Integrada de Controle Interno
proposta pelo Committee Of Sponsoring Organizations of the Treadway Commission
(COSO) organiza o controle interno em cinco componentes.
Quando uma entidade que organizou o seu controle interno a partir da estrutura do COSO
realiza avaliações contínuas e/ou independentes para se certificar da presença e do
funcionamento dos componentes do controle interno, está atendendo diretamente ao
componente de:
a) ambiente de controle;
b) avaliação de riscos;
c) atividades de controle;
d) atividades de monitoramento;
e) informação e comunicação.

Informações Gerenciais/Controladoria - 2018) A estrutura integrada de controle interno e
gerenciamento de risco proposta pelo Committee Of Sponsoring Organizations of the
Treadway Commission (COSO) está baseada em quatro categorias de objetivos.
A categoria de objetivo relacionada à sobrevivência, continuidade e sustentabilidade
organizacional é o(a):
a) comunicação;
27
Aula 00
b) conformidade;
c) desempenho;
d) estratégica;
e) operacional.
18. (CESGRANRIO - Auditor Júnior (TRANSPETRO) - 2016) Uma entidade da

administração pública indireta avaliou as opções de prestação de serviços de assistência
médica a seus colaboradores. A opção considerada inicialmente seria a de criar um
departamento para gerir as contribuições recebidas e o acesso aos profissionais e
estabelecimentos de saúde. Porém, a essa medida estão associados alguns riscos de
grande probabilidade e médio impacto. Assim, a entidade considerou a opção de contratar
um plano de saúde para gerir o acesso dos seus colaboradores aos profissionais e
estabelecimentos de saúde.
Essa opção considerada constitui uma resposta aos riscos identificados referente a
a) aceitar os riscos
b) compartilhar os riscos
c) evitar os riscos
d) gerenciar os riscos
e) reduzir os riscos
19. (2014 - Auditor Público Externo (TCE-RS) / Ciências Contábeis - FCC) O Modelo
The Committee of Sponsoring Organizations of the Treadway Commission − COSO é
mecanismo de auditoria que tem como foco os riscos corporativos. Dentre os componentes
do COSO I estão: a definição de uma filosofia de tratamento dos riscos e a observação do
sistema de controle interno. Esses componentes são denominados, respectivamente,
a) atividade de controle e monitoramento.
b) ambiente de controle e identificação de riscos.
c) identificação de riscos e avaliação de riscos.
d) ambiente de controle e monitoramento.
e) monitoramento e ambiente de controle.
20. (FCC - Auditor de Controle Interno (CGM São Luís) /Abrangência Geral - 2015)
Um dos elementos essenciais que compõem a rotina do Auditor Interno são os riscos de
auditoria, que devem ser tratados na fase de planejamento. Uma das ferramentas de
controle interno mais modernas no trato desse tipo de risco é denominada
a) modelo COSO.
b) comparativo de riscos.
c) auditoria de riscos.
d) estratégia de antecipação de riscos.
e) auditoria de resultado.
28
Aula 00
GABARITO
1 B
2 E
3 A
4 C
5 A
6 C
7 C
8 B
9 E
10 ERRADO
11 ANULADO
12 CERTO
13 C
14 C
15 D
16 D
17 D
18 B
19 D
20 A
29
Aula 00
4 Questões Comentadas
1. (CESPE - Auditor Estadual (TCM-BA)/Infraestrutura - 2018) Um sistema de controle
interno eficaz reduz, a níveis aceitáveis, o risco de não se atingir o objetivo de uma
entidade e pode estar relacionado a uma, a duas ou a todas as três categorias de
objetivos. Nesse contexto, a determinação de que os componentes e princípios
relacionados continuem a existir na operação e na condução do sistema de controle
interno para atingir objetivos especificados refere-se
a) à presença.
b) ao funcionamento.
c) ao monitoramento.
d) à abrangência.
e) à estrutura.
Comentários:
O Sumário Executivo de Controle Interno - Estrutura Integrada (2013, p.11), do
Committee of Sponsoring Organization, Coso I, estabelece os requisitos para um sistema
eficaz de controle interno. A questão aborda um desses requisitos – o funcionamento.
Veja:
Controle interno eficaz
A Estrutura estabelece os requisitos para um sistema eficaz de controle interno, que
proporciona segurança razoável acerca da realização dos objetivos da entidade. Um
sistema de controle interno eficaz reduz, a um nível aceitável, o risco de não se
atingir o objetivo de uma entidade e pode estar relacionado a uma, duas ou todas as
três categorias de objetivos. O sistema requer:
• A presença e o funcionamento de cada um dos cinco componentes e princípios
relacionados. “Presença” refere-se à determinação da existência dos componentes e
princípios relacionados no desenho e na implementação do sistema de controle interno
para atingir objetivos especificados. “Funcionamento” refere-se à determinação de que
os componentes e princípios relacionados continuem a existir na operação e na
condução do sistema de controle interno para atingir objetivos especificados;
• Os cinco componentes operam em conjunto de forma integrada. “Operam em conjunto”
refere-se à determinação de que todos os cinco componentes, em conjunto, reduzam a um
nível aceitável o risco de não se atingir o objetivo. Os componentes não devem ser
considerados de forma separada; eles operam em conjunto como um sistema integrado.
Os componentes são interdependentes e contam com uma profusão de inter-
relacionamentos e ligações entre si, especialmente a maneira como os princípios
interagem dentro e entre todos os componentes.[...][grifo nosso]
Ressalta-se que o controle interno da entidade é composto por cinco componentes inter-
relacionados, quais sejam: Ambiente de controle, Processo de avaliação de risco da
entidade, Sistema de informação e comunicação, Atividade de controle e Monitoramento.
Portanto, alternativa correta é B.
30
Aula 00
2. (CESPE - Auditor Estadual (TCM-BA)/Infraestrutura- 2018) De acordo com o COSO

(Committee of Sponsoring Organizations of the Treadway Commission), o controle interno
é um processo conduzido pela estrutura de governança, administração e outros
profissionais da entidade, e desenvolvido para proporcionar segurança razoável com
respeito à realização dos objetivos relacionados a operações, divulgação e conformidade.
O componente de controle interno em que se avaliam e se comunicam as deficiências no
controle interno aos responsáveis por tomar ações corretivas, inclusive a estrutura de
governança e alta administração, é designado
a) ambiente de controle.
b) avaliação de riscos.
c) atividades de controle.
d) informação e comunicação.
e) atividades de monitoramento.
Comentários:
COSO é o Comitê das Organizações Patrocinadas, da Comissão Nacional sobre Fraudes
em Relatórios Financeiros. É uma entidade do setor privado, sem fins lucrativos, voltada
para o aperfeiçoamento da qualidade de relatórios financeiros.
Segundo o COSO I, “existe uma relação direta entre os objetivos, que são o que a
entidade busca alcançar, os componentes, que representam o que é necessário para
atingir os objetivos, e a estrutura organizacional da entidade (as unidades operacionais e
entidades legais, entre outras). Essa relação pode ser ilustrada na forma de um cubo.”

associados a cada componente. Como esses princípios são originados diretamente dos
componentes, uma entidade poderá ter um controle interno eficaz ao aplicar todos os
princípios. Todos os princípios aplicam-se aos objetivos operacionais, divulgação e
conformidade. Os princípios que apoiam os componentes do controle interno estão
relacionados a seguir.
a) Ambiente de controle:
1. A organização demonstra ter comprometimento com a integridade e os valores éticos.
31
Aula 00
2.A estrutura de governança demonstra independência em relação aos seus executivos e
supervisiona o desenvolvimento e o desempenho do controle interno.
3. A administração estabelece, com a supensão da estrutura de governança, as estruturas,
os níveis de subordinação e as autoridades e responsabilidades adequadas na busca dos
objetivos.
4. A organização demonstra comprometimento para atrair, desenvolver e reter talentos
competentes, em linha com seus objetivos.
5. A organização faz com que as pessoas assumam responsabilidade por suas funções de
controle interno na busca pelos objetivos.
b) Avaliação de riscos:
7. A organização identifica os riscos à realização de seus objetivos por toda a entidade e
analisa os riscos como uma base para determinar a forma como devem ser gerenciados.
8. A organização considera o potencial para fraude na avaliação dos riscos à realização
dos objetivos.
c) Atividades de controle:
10. A organização seleciona e desenvolve atividades de controle que contribuem para a
redução, a níveis aceitáveis, dos riscos à realização dos objetivos.
11. A organização seleciona e desenvolve atividades gerais de controle sobre a tecnologia
políticas.
d) Informação e comunicação:
13. A organização obtém ou gera e utiliza informações significativas e de qualidade para
apoiar o funcionamento do controle interno.
funcionamento do controle interno, inclusive os objetivos e responsabilidades pelo controle.
15. A organização comunica-se com os públicos externos sobre assuntos que afetam o
funcionamento do controle interno.
e) Atividades de monitoramento:
independentes para se certificar da presença e do funcionamento dos componentes do
controle interno.
alta administração, conforme aplicável. [grifo nosso]
Portanto, alternativa correta é E.
32
Aula 00
3. (CESPE - Auditor Estadual (TCM-BA /Controle Externo - 2018) A metodologia de

avaliação dos controles internos de determinada entidade, que tem por objetivo garantir a
adequação e a consistência desses controles, prevê a execução de diversas etapas, em
uma sequência lógica. Nessa avaliação, a última etapa a ser executada consiste na
a) realização de testes de observância das normas internas e legais.
b) execução de entrevistas com os empregados da entidade.
c) elaboração de fluxogramas.
d) identificação dos controles essenciais ao sistema.
e) inspeção física da operação normal da entidade.
Comentários:
Segundo o COSO I, o controle interno da entidade é composto por cinco componentes
inter-relacionados, quais sejam: Ambiente de controle, Processo de avaliação de risco da

3. A administração estabelece, com a supensão da estrutura de governança, as estruturas,
os níveis de subordinação e as autoridades e responsabilidades adequadas na busca dos
objetivos.
33
Aula 00
dos objetivos.
políticas.
Dessa forma, os testes de observância fazem a verificação dos controles internos da
entidade. É analisado se os procedimentos são executados corretamente (existência,
efetividade e continuidade). Uma organização utiliza avaliações contínuas, independentes,
ou uma combinação das duas, para se certificar da presença e do funcionamento de cada
um dos cinco componentes de controle interno, inclusive a eficácia dos controles nos
princípios relativos a cada componente. O componente associado à aplicação dos testes
de observância é o monitoramento, que consiste na última etapa do processo de avaliação
dos controles internos. O monitoramento do controle interno busca assegurar que os
controles funcionem como o previsto e que sejam modificados apropriadamente, conforme
mudanças nas condições.
34
Aula 00
4. (CESPE - Auditor Estadual (TCM-BA)/Controle Externo - 2018) De acordo com o

COSO (Committee of Sponsoring Organizations of the Treadway Commission), o sistema
de controle interno das organizações deve seguir determinadas regras e obedecer a certos
requisitos, delimitados por uma estrutura integrada. A respeito desse assunto, assinale a
opção correta.
a) A observância estrita das políticas e dos procedimentos é suficiente para se considerar
eficaz o controle interno.
b) A estrutura do controle interno proposta pelo COSO está voltada exclusivamente para
organizações de grande porte.
c) O COSO, por meio da estrutura de controle interno, busca viabilizar um grau razoável de
segurança para os objetivos da entidade.
d) Os objetivos de conformidade se relacionam à eficácia e à eficiência das operações da
entidade.
e) O ambiente de controle restringe-se à integridade e aos valores éticos da organização.
Gabarito: C.
Comentários:
Questão aborda aspectos gerais acerca da Estrutura do Coso.
Comentário das alternativas:

Letra A) ERRADA. Segundo o Coso, “um sistema de controle interno eficaz exige mais
do que a estrita observância a políticas e procedimentos: exige, sim, o uso de
julgamento. A administração e a estrutura de governança utilizam-se de julgamento para
determinar que nível de controle é suficiente. A administração e outros membros do grupo
35
Aula 00
usam julgamento todos os dias para selecionar, desenvolver e distribuir os controles por
toda a entidade”.
Letra B) ERRADA. Essa estrutura está voltada para qualquer organização. De maneira
geral, a estrutura do COSO permite que as organizações desenvolvam, de forma efetiva e
eficaz, sistemas de controle interno que se adaptam aos ambientes operacionais e
corporativos em constante mudança, reduzam os riscos para níveis aceitáveis e apoiem
um processo sólido de tomada de decisões e de governança da organização.
Letra C) CORRETA. O Sumário Executivo de Controle Interno - Estrutura Integrada
(2013, p.6), do Committee of Sponsoring Organization, corrobora tal entendimento com a
definição de controle interno. Veja:
Controle interno é um processo conduzido pela estrutura de governança, administração e
outros profissionais da entidade, e desenvolvido para proporcionar segurança razoável
com respeito à realização dos objetivos relacionados a operações, divulgação e
conformidade. [grifo nosso]
A Estrutura apresenta três categorias de objetivos, o que permite às organizações se
concentrarem em diferentes aspectos do controle interno:
• Operacional – Esses objetivos relacionam-se à eficácia e à eficiência das operações da
entidade, inclusive as metas de desempenho financeiro e operacional e a salvaguarda de
perdas de ativos.
• Divulgação – Esses objetivos relacionam-se a divulgações financeiras e não
financeiras, internas e externas, podendo abranger os requisitos de confiabilidade,
oportunidade, transparência ou outros termos estabelecidos pelas autoridades normativas,
órgãos normatizadores reconhecidos, ou às políticas da entidade.
regulamentações às quais a entidade está sujeita.[grifo nosso]
Letra D) ERRADA. Eficácia e eficiência se relacionam aos objetivos operacionais. Ver

mapa mental acima.
Letra E) ERRADA. O ambiente de controle é mais abrangente, pois representa um
conjunto de normas, processos e estruturas que fornece a base para a condução do
controle interno por toda a organização.
Portanto, alternativa correta é C.
5. (CESPE - Auditor do Estado (CAGE RS) - 2018) A administração de uma universidade

estadual identificou e avaliou os riscos associados com a gerência da residência estudantil:
concluiu que a referida gerência não possuía internamente os requisitos necessários e as
funcionalidades para administrar eficazmente essa grande propriedade residencial, razão
pela qual optou por terceirizar a administração da residência para uma empresa
36
Aula 00
especializada, que, entre outros fatores, tivesse condições de reduzir o impacto e a

probabilidade de riscos.
De acordo com o COSO, a categoria de resposta a risco descrita na situação hipotética
apresentada é
a) compartilhar.
b) evitar.
c) reduzir.
d) aceitar.
e) acolher.
Comentários:
para o aperfeiçoamento da qualidade de relatórios financeiros. Segundo esse COSO II, o
Controle Interno apresenta oito componentes, a saber:
1. Ambiente de Controle: demonstra o grau e comprometimento em todos os níveis
da administração, com a qualidade do controle interno em seu conjunto.
2. Avaliação de Riscos: identifica os eventos ou das condições que podem afetar a
qualidade da informação contábil e avaliação dos riscos identificados.
3.Atividades de Controle: medidas e ações integrantes de um sistema de controle
que, se estabelecidas de forma tempestiva e adequada, podem vir a prevenir ou
administrar os riscos inerentes ou em potencial da entidade.
4. Informações e Comunicações: identifica, armazena e comunica toda informação
relevante, a fim de permitir a realização dos procedimentos estabelecidos.
recursos e aos riscos. Pressupõe uma atividade desenvolvida ao longo do tempo.
8. Resposta ao risco: para cada risco identificado, será prevista uma resposta, que
pode ser de 4 tipos: evitar, aceitar, compartilhar ou reduzir.
Os componentes de 1 a 5 (cor verde) são comuns ao COSO I e COSO II. Já os ambientes
de 6 a 8 (cor vermelha) são inerentes, somente, ao COSO II.
A questão aborda especificamente uma das respostas aos riscos, que se classificam nas
seguintes categorias, de acordo com o Manual de Gerenciamento de Riscos
Corporativos — Estrutura Integrada (COSO II), do Committee of Sponsoring
Organization:
Evitar – Descontinuação das atividades que geram os riscos. Evitar riscos pode implicar a
descontinuação de uma linha de produtos, o declínio da expansão em um novo mercado
geográfico ou a venda de uma divisão.
37
Aula 00
Reduzir – São adotadas medidas para reduzir a probabilidade ou o impacto dos riscos, ou,
até mesmo, ambos. Tipicamente, esse procedimento abrange qualquer uma das centenas
de decisões do negócio no dia-a-dia.
compreendem a aquisição de produtos de seguro, a realização de transações de headging
ou a terceirização de uma atividade.
Aceitar – Nenhuma medida é adotada para afetar a probabilidade ou o grau de impacto
dos riscos. [grifo nosso]
Assim, a categoria de resposta a risco descrita na situação hipotética apresentada é

compartilhar (terceirizar a administração da residência para uma empresa especializada).
6. (CESPE - Auditor do Estado (CAGE RS) - 2018) Determinado componente do

gerenciamento de riscos corporativos permite que a organização considere até que ponto
eventos em potencial podem impactar o atingimento de seus objetivos. O COSO denomina
esse componente de
a) monitoramento.
b) atividades de controle.
c) avaliação de riscos.
d) identificação de eventos.
e) informações e comunicações.
Comentários:
A questão aborda um dos oito componentes que compõem o gerenciamento de riscos
corporativos – avaliação de riscos. Segundo o Manual de Gerenciamento de Riscos
Organization (2007, p.12):
O gerenciamento de riscos corporativos é constituído de oito componentes inter-
relacionados, que se originam com base na maneira como a administração gerencia a
organização, e que se integram ao processo de gestão. Esses componentes são os
seguintes:
38
Aula 00
Ambiente Interno – A administração estabelece uma filosofia quanto ao tratamento de
riscos e estabelece um limite de apetite a risco. O ambiente interno determina os conceitos
básicos sobre a forma como os riscos e os controles serão vistos e abordados pelos
empregados da organização.
Fixação de Objetivos – Os objetivos devem existir antes que a administração identifique as
situações em potencial que poderão afetar a realização destes.
Identificação de Eventos – Os eventos em potencial que podem impactar a organização
devem ser identificados, uma vez que esses possíveis eventos, gerados por fontes
internas ou externas, afetam a realização dos objetivos.
Avaliação de Riscos – Os riscos identificados são analisados com a finalidade de
determinar a forma como serão administrados e, depois, serão associados aos
objetivos que podem influenciar.
Resposta a Risco – Os empregados identificam e avaliam as possíveis respostas aos
riscos: evitar, aceitar, reduzir ou compartilhar. A administração seleciona o conjunto de
ações destinadas a alinhar os riscos às respectivas tolerâncias e ao apetite a risco.
Atividades de Controle – Políticas e procedimentos são estabelecidos e implementados
para assegurar que as respostas aos riscos selecionados pela administração sejam
executadas com eficácia.
Informações e Comunicações – A forma e o prazo em que as informações relevantes são
identificadas, colhidas e comunicadas permitam que as pessoas cumpram com suas
atribuições.
Monitoramento – A integridade do processo de gerenciamento de riscos corporativos é
monitorada e as modificações necessárias são realizadas. Desse modo, a organização
poderá reagir ativamente e mudar segundo as circunstâncias. O monitoramento é realizado
por meio de atividades gerenciais contínuas, avaliações independentes ou uma
combinação desses dois procedimentos.[grifo nosso]
39
Aula 00
Dessa forma, a avaliação de riscos é o componente que permite uma organização

considere até que ponto eventos em potencial podem impactar a realização dos objetivos.
A administração avalia os eventos com base em duas perspectivas – probabilidade e
impacto – e, geralmente, utiliza uma combinação de métodos qualitativos e quantitativos.
7. (CESPE - Auditor do Estado (CAGE RS) - 2018) Diversos tipos de alterações, como,
por exemplo, nas condições demográficas, nos costumes sociais, nas estruturas das
famílias, nas prioridades de trabalho, podem provocar mudanças na demanda de produtos
e serviços, novos locais de compra, demandas relacionadas a recursos humanos e
paralisações da produção. De acordo com o COSO, as relações entre essas alterações e
seus efeitos são consideradas eventos
a) políticos.
b) de meio ambiente.
c) sociais.
d) pessoais.
e) econômicos.
Comentários:
Eventos são incidentes ou ocorrências originadas a partir de fontes internas ou externas
que afetam a implementação da estratégia ou a realização dos objetivos de uma
organização. Os eventos podem provocar impacto positivo, negativo ou ambos. A questão
aborda um desses eventos - os sociais.
Segundo o Manual de Gerenciamento de Riscos Corporativos — Estrutura Integrada
(COSO II), do Committee of Sponsoring Organization (2007, p.52):
Os fatores externos, com os exemplos de eventos correlatos e as suas implicações,
incluem o seguinte:
Identificação de Eventos
Econômicos – os eventos relacionados contemplam: oscilações de preços, disponibilidade
de capital, ou redução nas barreiras à entrada da concorrência, cujo resultado se traduz
em um custo de capital mais elevado ou mais reduzido, e em novos concorrentes.
Meio ambiente – refere-se aos seguintes eventos: incêndios, inundações ou terremotos,
que provocam danos a fábricas ou edificações, restrição quanto ao uso de matérias-primas
e perda de capital humano.
Políticos – eleição de agentes do governo com novas agendas políticas e novas leis e
regulamentos, resultando, por exemplo, na abertura ou na restrição ao acesso a mercados
estrangeiros, ou elevação ou redução na carga tributária.
Sociais – são alterações nas condições demográficas, nos costumes sociais, nas
estruturas da família, nas prioridades de trabalho/ vida e a atividade terrorista, que, por sua
vez, podem provocar mudanças na demanda de produtos e serviços, novos locais de
compra, demandas relacionadas a recursos humanos e paralisações da produção.
Tecnológicos – são novas formas de comércio eletrônico, que podem provocar aumento na
disponibilidade de dados, reduções de custos de infraestrutura e aumento da demanda de
serviços com base em tecnologia.[grifo nosso]
40
Aula 00
8. (CESPE - Auditor do Estado (CAGE RS) - 2018) Entre as quatro categorias de

objetivos organizacionais estabelecidas pelo COSO inclui-se a categoria dos objetivos
operacionais, cujo propósito é
a) assegurar o cumprimento das leis e dos regulamentos.
b) utilizar de forma eficaz e eficiente os recursos.
c) viabilizar o atingimento de metas no nível mais elevado, alinhando-se e fornecendo
apoio à missão.
d) evitar a perda de ativos ou recursos da organização.
e) atestar a confiabilidade dos relatórios.
Comentários:
Questão aborda uma das quatro categorias de objetivos comuns à maioria das
organizações – os objetivos operacionais (operações), segundo o Manual de
Gerenciamento de Riscos Corporativos — Estrutura Integrada (COSO II), do
Committee of Sponsoring Organization (2007, p.11):
Com base na missão ou visão estabelecida por uma organização, a administração
estabelece os planos principais, seleciona as estratégias e determina o alinhamento dos
objetivos nos níveis da organização. Essa estrutura de gerenciamento de riscos
corporativos é orientada a fim de alcançar os objetivos de uma organização e são
classificados em quatro categorias:
Estratégicos – metas gerais, alinhadas com o que suportem à sua missão.
Operações – utilização eficaz e eficiente dos recursos.
Comunicação – confiabilidade de relatórios.
Conformidade – cumprimento de leis e regulamentos aplicáveis.

Em relação às demais alternativas quanto às categorias dos objetivos:
Letra A) ERRADA. Conformidade.
Letra C) ERRADA.. Estratégicos.
Letra D) ERRADA.. Segundo a estrutura do Coso I, Operacional. Veja a explicação a
seguir.
O Sumário Executivo de Controle Interno - Estrutura Integrada (2013, p.6), do
Committee of Sponsoring Organization, apresenta três categorias de objetivos, o que
permite às organizações se concentrarem em diferentes aspectos do controle interno:
41
Aula 00
perdas de ativos.
• Divulgação – Esses objetivos relacionam-se a divulgações financeiras e não financeiras,
internas e externas, podendo abranger os requisitos de confiabilidade, oportunidade,
transparência ou outros termos estabelecidos pelas autoridades normativas, órgãos
normatizadores reconhecidos, ou às políticas da entidade.
Letra E) ERRADA. Comunicação.

Dessa forma, conclui-se que temos duas alternativas corretas ("b" e "d"), o que
levaria a anulação da questão. Acreditamos que a banca levou em
consideração a estrutura do Coso II para tornar a alternativa "b" o gabarito da
questão.
9. (FEPESE - Contador (CELESC) - 2018) De acordo com o Controle Interno do COSO -

Framework Integrado, qual dos seguintes componentes é projetado para garantir que os
controles internos continuem a operar efetivamente?
a) Avaliação de risco
b) Ambiente de controle
c) Informação e comunicação
d) Atividades de controle
e) Monitoramento
Comentários:
42
Aula 00

estruturas, os níveis de subordinação e as autoridades e responsabilidades adequadas na
busca dos objetivos.
dos objetivos.
43
Aula 00
políticas.
Dessa forma, os testes de observância fazem a verificação dos controles internos da
entidade. É analisado se os procedimentos são executados corretamente (existência,
efetividade e continuidade). Uma organização utiliza avaliações contínuas, independentes,
ou uma combinação das duas, para se certificar da presença e do funcionamento de cada
um dos cinco componentes de controle interno, inclusive a eficácia dos controles nos
princípios relativos a cada componente. O componente associado à aplicação dos testes
de observância é o monitoramento, que consiste na última etapa do processo de avaliação
dos controles internos. O monitoramento do controle interno busca assegurar que os
mudanças nas condições.
Portanto, alternativa correta é E.
10. (CESPE - Auditor Municipal de Controle Interno (CGM João Pessoa) / Geral /
Auditoria, Fiscalização, Ouvidoria e Transparência - 2018) De acordo com o art. 74 da
Constituição Federal de 1988 (CF), os Poderes Legislativo, Executivo e Judiciário
manterão, de forma integrada, sistema de controle interno com algumas finalidades. Nesse
sentido, julgue o item a seguir, a respeito da governança no setor público.
Ao mencionar que os controles internos devem “avaliar o cumprimento das metas previstas
no plano plurianual, a execução dos programas de governo e dos orçamentos da União”, o
inciso I do artigo constitucional em questão mostra-se contraditório com as características
descritas pelo COSO ICIF 2013, em que o controle interno é planejado para assegurar
tanto o alcance dos objetivos relacionados às operações, quanto a produção de relatórios
e a adequação às normas.
Comentários:
44
Aula 00
Os controles internos da entidade são desenvolvidos com o objetivo de garantir com

segurança razoável, e não absoluta ou total certeza, de que seus objetivos serão
alcançados. O Sumário Executivo de Controle Interno - Estrutura Integrada (2013, p.6)
, do Committee of Sponsoring Organization, corrobora tal entendimento com a definição de
controle interno. Veja:
conformidade.[grifo nosso]
perdas de ativos.
Nesse sentido, a Constituição Federal de 1988 descreve as finalidades do controle interno

da seguinte forma:
Art. 74. Os Poderes Legislativo, Executivo e Judiciário manterão, de forma integrada,
sistema de controle interno com a finalidade de:
I - avaliar o cumprimento das metas previstas no plano plurianual, a execução dos
programas de governo e dos orçamentos da União;
II - comprovar a legalidade e avaliar os resultados, quanto à eficácia e eficiência, da gestão
orçamentária, financeira e patrimonial nos órgãos e entidades da administração federal,
bem como da aplicação de recursos públicos por entidades de direito privado;
III - exercer o controle das operações de crédito, avais e garantias, bem como dos direitos
e haveres da União;
IV - apoiar o controle externo no exercício de sua missão institucional. [grifo nosso]
Dessa forma, quando o auditor está avaliando o cumprimento das metas previstas nos
instrumentos de planejamento, bem como os programas de governo, verifica-se se eles
estão em conformidade com a legislação pertinente e, posteriormente, é feita a
comunicação dos resultados por meio de relatórios.
45
Aula 00
Veja que o inciso I, do Art.74, CF/88 está alinhado diretamente ao COSO ICIF 2013 no que
concerne às categorias do controle interno.
Portanto, item errado.
11. (CESPE - Auditor Municipal de Controle Interno (CGM João

Pessoa)/Geral/Auditoria, Fiscalização, Ouvidoria e Transparência - 2018) De acordo
com o art. 74 da Constituição Federal de 1988 (CF), os Poderes Legislativo, Executivo e
Judiciário manterão, de forma integrada, sistema de controle interno com algumas
finalidades. Nesse sentido, julgue o item a seguir, a respeito da governança no setor
público.
O COSO ICIF 2013 está em consonância com o referido artigo constitucional, ao descrever
os objetivos operacionais como aqueles relacionados à eficiência e à eficácia das
operações da entidade, incluídos operações e desempenho (performance.) das metas e
salvaguardados os ativos contra perdas.
Comentários:
Os controles internos da entidade são desenvolvidos com o objetivo de garantir com
segurança razoável, e não absoluta ou total certeza, de que seus objetivos serão
alcançados. O Sumário Executivo de Controle Interno - Estrutura Integrada (2013, p.6)
, do Committee of Sponsoring Organization, corrobora tal entendimento com a definição de
controle interno. Veja:
conformidade.[grifo nosso]
• Operacional – Esses objetivos relacionam-se à eficácia e à eficiência das operações
da entidade, inclusive as metas de desempenho financeiro e operacional e a
salvaguarda de perdas de ativos.
Nesse sentido, a Constituição Federal de 1988 descreve as finalidades do controle interno

da seguinte forma:
46
Aula 00
Art. 74. Os Poderes Legislativo, Executivo e Judiciário manterão, de forma integrada,
sistema de controle interno com a finalidade de:
I - avaliar o cumprimento das metas previstas no plano plurianual, a execução dos
programas de governo e dos orçamentos da União;
II - comprovar a legalidade e avaliar os resultados, quanto à eficácia e eficiência, da
gestão orçamentária, financeira e patrimonial nos órgãos e entidades da administração
federal, bem como da aplicação de recursos públicos por entidades de direito privado;
III - exercer o controle das operações de crédito, avais e garantias, bem como dos direitos
e haveres da União;
IV - apoiar o controle externo no exercício de sua missão institucional.
Veja que somente os incisos I e II, do Art.74, CF/88 estão alinhado diretamente ao COSO
ICIF 2013 no que concerne ao aspecto operacional.
Acreditamos que da forma como o item a questão foi redigido, poderia ser interpretado
como se valesse para todo o art.74, da CF/88. Nesse caso, o gabarito estaria errado.
Dessa forma, há margem para duas interpretações. A banca optou por anular a questão
com a seguinte justificativa:
“Gabarito definitivo: Deferido com anulação A redação do item prejudicou seu julgamento
objetivo.”
Portanto, item anulado.
12. (CESPE - Analista Portuário II (EMAP)/Financeira e Auditoria Interna - 2018) Com

relação à governança no setor público, julgue o item a seguir.
Segundo o COSO ICIF 2013 (Internal Control – Integrated Framework), o ambiente de
controle é um conjunto de normas, processos e estruturas que fornece a base para a
condução do controle interno por toda a organização.
Gabarito: CERTO.
Comentários:
Item certo. O “Internal Control – Integrated Framework” define “o controle interno como
um processo conduzido pelo conselho de administração, pela administração e pelo corpo
de empregados de uma organização, com a finalidade de possibilitar uma garantia
razoável quanto à realização dos objetivos nas seguintes categorias:
Eficácia e eficiência das operações;
Confiabilidade das demonstrações financeiras;
Conformidade com leis e regulamentos cabíveis.”
Segundo o Manual de Controle Interno - Estrutura Integrada – Sumário Executivo (COSO I,
2013), “o ambiente de controle é um conjunto de normas, processos e estruturas que
fornece a base para a condução do controle interno por toda a organização. A
estrutura de governança e a alta administração estabelecem uma diretriz sobre a
importância do controle interno, inclusive das normas de conduta esperadas. A
administração reforça as expectativas nos vários níveis da organização”.
Portanto, item certo.
47
Aula 00
13. (FGV - Especialista Legislativo de Nível Superior (ALERJ)/Ciências Contábeis -

2017) Na avaliação de sistemas de controle interno concebidos a partir da Estrutura
Integrada proposta pelo Committee of Sponsoring Organizations of the Treadway
Commission (COSO), a análise sobre as iniciativas da organização para que as pessoas
assumam responsabilidade por suas funções de controle interno na busca por objetivos
está relacionada ao componente:
a) avaliação de riscos;
b) atividades de controle;
c) ambiente de controle;
d) fixação de objetivos;
e) monitoramento.
Comentários:
O controle interno consiste em cinco componentes integrados, a seguir:

a) Ambiente de controle: é um conjunto de normas, processos e estruturas que fornece a
base para a condução do controle interno por toda a organização. A estrutura de
governança e a alta administração estabelecem uma diretriz sobre a importância do
controle interno, inclusive das normas de conduta esperadas. A administração reforça
as expectativas nos vários níveis da organização.
parâmetros que permitem à estrutura de governança cumprir com suas responsabilidades
de supervisionar a governança; a estrutura organizacional e a delegação de autoridade e
responsabilidade; o processo de atrair, desenvolver e reter talentos competentes; e o
48
Aula 00
rigor em torno de medidas, incentivos e recompensas por performance. O ambiente de
controle resultante tem impacto pervasivo sobre todo o sistema de controle interno.
b) Avaliação de riscos: Toda entidade enfrenta vários riscos de origem tanto interna quanto
externa. Define-se risco como a possibilidade de que um evento ocorra e afete
adversamente a realização dos objetivos. A avaliação de riscos envolve um processo
dinâmico e iterativo para identificar e avaliar os riscos à realização dos objetivos.
c) Atividades de controle: são ações estabelecidas por meio de políticas e procedimentos
que ajudam a garantir o cumprimento das diretrizes determinadas pela administração para
mitigar os riscos à realização dos objetivos. As atividades de controle são desempenhadas
em todos os níveis da entidade, em vários estágios dentro dos processos corporativos e no
ambiente tecnológico. Podem ter natureza preventiva ou de detecção e abranger uma
série de atividades manuais e automáticas, como autorizações e aprovações, verificações,
reconciliações e revisões de desempenho do negócio. A segregação de funções é
geralmente inserida na seleção e no desenvolvimento das atividades de controle.
d) Informação e comunicação: a informação é necessária para que a entidade cumpra
responsabilidades de controle interno a fim de apoiar a realização de seus objetivos. A
administração obtém ou gera e utiliza informações importantes e de qualidade, originadas
tanto de fontes internas quanto externas, a fim de apoiar o funcionamento de outros
componentes do controle interno. A comunicação é o processo contínuo e iterativo de
proporcionar, compartilhar e obter as informações necessárias. A comunicação interna é o
meio pelo qual as informações são transmitidas para a organização, fluindo em todas as
direções da entidade. Ela permite que os funcionários recebam uma mensagem clara da
alta administração de que as responsabilidades pelo controle devem ser levadas a sério. A
comunicação externa apresenta duas vertentes: permite o recebimento, pela organização,
de informações externas significativas, e proporciona informações a partes externas em
resposta a requisitos e expectativas.
e) Atividades de monitoramento: uma organização utiliza avaliações contínuas,
independentes, ou uma combinação das duas, para se certificar da presença e do
funcionamento de cada um dos cinco componentes de controle interno, inclusive a eficácia
dos controles nos princípios relativos a cada componente. As avaliações contínuas,
inseridas nos processos corporativos nos diferentes níveis da entidade, proporcionam
informações oportunas. As avaliações independentes, conduzidas periodicamente, terão
escopos e frequências diferentes, dependendo da avaliação de riscos, da eficácia das
avaliações contínuas e de outras considerações da administração.
Ao realizar o cotejo entre as alternativas e a norma, concluímos que se trata do ambiente
de controle, uma vez que este inclui, entre outros elementos, integridade, valores éticos e
competência das pessoas, maneira pela qual a gestão delega autoridade e
responsabilidades, estrutura de governança organizacional e políticas e práticas de
recursos humanos. Portanto, alternativa correta é C.
14. (CESGRANRIO - Auditor (PETROBRAS)/Júnior - 2018) Tendo em vista a estrutura

integrada de controle interno proposta pelo Committee of Sponsoring Organization of the
Treadway Commission (COSO), o compromisso da administração em obter ou gerar e
utilizar informações importantes e de qualidade, originadas tanto de fontes internas quanto
externas, está relacionado ao componente de
a) ambiente de controle
b) conformidade do controle
49
Aula 00
c) informação e comunicação
d) monitoramento
e) unidade operacional
Comentários:
O controle interno consiste em cinco componentes integrados, a seguir:

a) Ambiente de controle: é um conjunto de normas, processos e estruturas que fornece a
base para a condução do controle interno por toda a organização. A estrutura de
governança e a alta administração estabelecem uma diretriz sobre a importância do
controle interno, inclusive das normas de conduta esperadas. A administração reforça as
expectativas nos vários níveis da organização.
parâmetros que permitem à estrutura de governança cumprir com suas responsabilidades
de supervisionar a governança; a estrutura organizacional e a delegação de autoridade e
responsabilidade; o processo de atrair, desenvolver e reter talentos competentes; e o rigor
em torno de medidas, incentivos e recompensas por performance. O ambiente de controle
resultante tem impacto pervasivo sobre todo o sistema de controle interno.
b) Avaliação de riscos: Toda entidade enfrenta vários riscos de origem tanto interna quanto
externa. Define-se risco como a possibilidade de que um evento ocorra e afete
adversamente a realização dos objetivos. A avaliação de riscos envolve um processo
dinâmico e iterativo para identificar e avaliar os riscos à realização dos objetivos.
c) Atividades de controle: são ações estabelecidas por meio de políticas e procedimentos
que ajudam a garantir o cumprimento das diretrizes determinadas pela administração para
mitigar os riscos à realização dos objetivos. As atividades de controle são desempenhadas
50
Aula 00
em todos os níveis da entidade, em vários estágios dentro dos processos corporativos e no
ambiente tecnológico. Podem ter natureza preventiva ou de detecção e abranger uma
série de atividades manuais e automáticas, como autorizações e aprovações, verificações,
reconciliações e revisões de desempenho do negócio. A segregação de funções é
geralmente inserida na seleção e no desenvolvimento das atividades de controle.
d) Informação e comunicação: a informação é necessária para que a entidade cumpra
responsabilidades de controle interno a fim de apoiar a realização de seus objetivos. A
administração obtém ou gera e utiliza informações importantes e de qualidade,
originadas tanto de fontes internas quanto externas, a fim de apoiar o
funcionamento de outros componentes do controle interno. A comunicação é o
processo contínuo e iterativo de proporcionar, compartilhar e obter as informações
necessárias. A comunicação interna é o meio pelo qual as informações são transmitidas
para a organização, fluindo em todas as direções da entidade. Ela permite que os
funcionários recebam uma mensagem clara da alta administração de que as
responsabilidades pelo controle devem ser levadas a sério. A comunicação externa
apresenta duas vertentes: permite o recebimento, pela organização, de informações
externas significativas, e proporciona informações a partes externas em resposta a
requisitos e expectativas.
e) Atividades de monitoramento: uma organização utiliza avaliações contínuas,
independentes, ou uma combinação das duas, para se certificar da presença e do
funcionamento de cada um dos cinco componentes de controle interno, inclusive a eficácia
dos controles nos princípios relativos a cada componente. As avaliações contínuas,
inseridas nos processos corporativos nos diferentes níveis da entidade, proporcionam
informações oportunas. As avaliações independentes, conduzidas periodicamente, terão
escopos e frequências diferentes, dependendo da avaliação de riscos, da eficácia das
avaliações contínuas e de outras considerações da administração.[grifo nosso]
15. (CESGRANRIO - Auditor (PETROBRAS)/Júnior - 2018) Uma das necessidades para

assegurar o cumprimento dos objetivos do controle interno é o monitoramento contínuo do
sistema de controle adotado. Em relação ao controle interno, considere os seguintes itens
de verificação:
I - A organização demonstra ter comprometimento com a integridade e os valores.
fraudes.
objetivos da entidade.
Os itens de verificação que se referem a atividades típicas de monitoramento são,
APENAS, as de números:
a) I e II
b) II e III
c) II e IV
51
Aula 00
d) III e V
e) IV e V
Comentários:

estruturas, os níveis de subordinação e as autoridades e responsabilidades adequadas na
busca dos objetivos.
52
Aula 00
dos objetivos.
políticas.
Analisando os itens e relacionando-os a cada componente que compõe o controle interno,
segundo a estrutura do Coso I:
I - A organização demonstra ter comprometimento com a integridade e os valores. Refere-
se ao ambiente de controle.
para apoiar a realização dos objetivos. Refere-se à atividade de controle.
fraudes. Isso é feito com avaliações contínuas. Referem-se às atividades de
monitoramento.
objetivos da entidade. Refere-se à avaliação de riscos.
Referem-se às atividades de monitoramento.
Os testes de observância fazem a verificação dos controles internos da entidade. É
analisado se os procedimentos são executados corretamente (existência, efetividade e
continuidade). Uma organização utiliza avaliações contínuas, independentes, ou uma
combinação das duas, para se certificar da presença e do funcionamento de cada um dos
cinco componentes de controle interno, inclusive a eficácia dos controles nos princípios
53
Aula 00
relativos a cada componente. O monitoramento do controle interno busca assegurar que os

mudanças nas condições, com intuito de proteger adequadamente os ativos da entidade,
bem como assegurar o correto registro das transações.

Informações Gerenciais/Controladoria - 2018) A Estrutura Integrada de Controle Interno
proposta pelo Committee Of Sponsoring Organizations of the Treadway Commission
(COSO) organiza o controle interno em cinco componentes.
Quando uma entidade que organizou o seu controle interno a partir da estrutura do COSO
realiza avaliações contínuas e/ou independentes para se certificar da presença e do
funcionamento dos componentes do controle interno, está atendendo diretamente ao
componente de:
a) ambiente de controle;
b) avaliação de riscos;
c) atividades de controle;
d) atividades de monitoramento;
e) informação e comunicação.
Comentários:
A questão aborda um dos oito componentes que compõem o gerenciamento de riscos
corporativos – avaliação de riscos. Segundo o Manual de Gerenciamento de Riscos
Corporativos — Estrutura Integrada (COSO II), do Committee of Sponsoring Organization
(2007, p.12):
O gerenciamento de riscos corporativos é constituído de oito componentes inter-
relacionados, que se originam com base na maneira como a administração gerencia a
organização, e que se integram ao processo de gestão. Esses componentes são os
seguintes:
Fixação de Objetivos – Os objetivos devem existir antes que a administração identifique as
situações em potencial que poderão afetar a realização destes.
determinar a forma como serão administrados e, depois, serão associados aos objetivos
que podem influenciar.
54
Aula 00
Informações e Comunicações – A forma e o prazo em que as informações relevantes são
identificadas, colhidas e comunicadas permitam que as pessoas cumpram com suas
atribuições.
poderá reagir ativamente e mudar segundo as circunstâncias. O monitoramento é
realizado por meio de atividades gerenciais contínuas, avaliações independentes ou
uma combinação desses dois procedimentos. [grifo nosso]

Informações Gerenciais/Controladoria - 2018) A estrutura integrada de controle interno
e gerenciamento de risco proposta pelo Committee Of Sponsoring Organizations of the
Treadway Commission (COSO) está baseada em quatro categorias de objetivos.
A categoria de objetivo relacionada à sobrevivência, continuidade e sustentabilidade
organizacional é o(a):
a) comunicação;
b) conformidade;
c) desempenho;
d) estratégica;
e) operacional.
Comentários:
Questão aborda uma das quatro categorias de objetivos comuns à maioria das
organizações – a categoria estratégica. Segundo o Manual de Gerenciamento de Riscos
55
Aula 00
Corporativos — Estrutura Integrada (COSO II), do Committee of Sponsoring Organization

(2007, p.11):
Com base na missão ou visão estabelecida por uma organização, a administração
estabelece os planos principais, seleciona as estratégias e determina o alinhamento dos
objetivos nos níveis da organização. Essa estrutura de gerenciamento de riscos
corporativos é orientada a fim de alcançar os objetivos de uma organização e são
classificados em quatro categorias:
Estratégicos – metas gerais, alinhadas com o que suportem à sua missão.
Operações – utilização eficaz e eficiente dos recursos.
Comunicação – confiabilidade de relatórios.
Conformidade – cumprimento de leis e regulamentos aplicáveis. [grifo nosso]
A missão é o detalhamento da razão de ser de uma empresa, pois mostra o porquê da
existência dela. Assim, sobrevivência, continuidade e sustentabilidade organizacional
estão relacionadas à categoria estratégica que, por sua vez, vincula-se às metas gerais e a
missão da organização.
18. (CESGRANRIO - Auditor Júnior (TRANSPETRO) - 2016) Uma entidade da

administração pública indireta avaliou as opções de prestação de serviços de assistência
médica a seus colaboradores. A opção considerada inicialmente seria a de criar um
departamento para gerir as contribuições recebidas e o acesso aos profissionais e
estabelecimentos de saúde. Porém, a essa medida estão associados alguns riscos de
grande probabilidade e médio impacto. Assim, a entidade considerou a opção de contratar
um plano de saúde para gerir o acesso dos seus colaboradores aos profissionais e
estabelecimentos de saúde.
Essa opção considerada constitui uma resposta aos riscos identificados referente a
a) aceitar os riscos
b) compartilhar os riscos
c) evitar os riscos
d) gerenciar os riscos
e) reduzir os riscos
Comentários:
para o aperfeiçoamento da qualidade de relatórios financeiros. Segundo esse COSO II, o
Controle Interno apresenta oito componentes, a saber:
1. Ambiente de Controle: demonstra o grau e comprometimento em todos os níveis
da administração, com a qualidade do controle interno em seu conjunto.
2. Avaliação de Riscos: identifica os eventos ou das condições que podem afetar a
qualidade da informação contábil e avaliação dos riscos identificados.
3.Atividades de Controle: medidas e ações integrantes de um sistema de controle
que, se estabelecidas de forma tempestiva e adequada, podem vir a prevenir ou
administrar os riscos inerentes ou em potencial da entidade.
56
Aula 00
4. Informações e Comunicações: identifica, armazena e comunica toda informação

relevante, a fim de permitir a realização dos procedimentos estabelecidos.
recursos e aos riscos. Pressupõe uma atividade desenvolvida ao longo do tempo.
8. Resposta ao risco: para cada risco identificado, será prevista uma resposta, que
pode ser de 4 tipos: evitar, aceitar, compartilhar ou reduzir.
Os componentes de 1 a 5 (cor verde) são comuns ao COSO I e COSO II. Já os ambientes
de 6 a 8 (cor vermelha) são inerentes, somente, ao COSO II.
A questão aborda especificamente uma das respostas aos riscos, que se classificam nas
seguintes categorias, de acordo com o Manual de Gerenciamento de Riscos
Organization:
Evitar – Descontinuação das atividades que geram os riscos. Evitar riscos pode implicar a
descontinuação de uma linha de produtos, o declínio da expansão em um novo mercado
geográfico ou a venda de uma divisão.
Reduzir – São adotadas medidas para reduzir a probabilidade ou o impacto dos riscos, ou,
até mesmo, ambos. Tipicamente, esse procedimento abrange qualquer uma das centenas
de decisões do negócio no dia-a-dia.
compreendem a aquisição de produtos de seguro, a realização de transações de headging
ou a terceirização de uma atividade.
Aceitar – Nenhuma medida é adotada para afetar a probabilidade ou o grau de impacto
dos riscos.
57
Aula 00
19. (2014 - Auditor Público Externo (TCE-RS) / Ciências Contábeis - FCC) O Modelo
The Committee of Sponsoring Organizations of the Treadway Commission − COSO é
mecanismo de auditoria que tem como foco os riscos corporativos. Dentre os componentes
do COSO I estão: a definição de uma filosofia de tratamento dos riscos e a observação do
sistema de controle interno. Esses componentes são denominados, respectivamente,
a) atividade de controle e monitoramento.
b) ambiente de controle e identificação de riscos.
c) identificação de riscos e avaliação de riscos.
d) ambiente de controle e monitoramento.
e) monitoramento e ambiente de controle.
Comentários:
para o aperfeiçoamento da qualidade de relatórios financeiros. O COSO destaca cinco
componentes essenciais de um sistema de controle interno eficaz, quais sejam:
1. Ambiente de controle: compreende o tom de uma organização e fornece a base pela
qual os riscos são identificados e abordados pelo seu pessoal, inclusive a filosofia de
gerenciamento de riscos, o apetite a risco, a integridade e os valores éticos, além do
ambiente em que estes estão.
2. Avaliação do risco: envolve a identificação e a análise pela gestão dos riscos relevantes
para o alcance dos objetivos predeterminados.
3. Atividades de controle: políticas e procedimentos para assegurar que as diretrizes sejam
seguidas.
4. Informação e comunicação: suporta todos os outros componentes de controle através da
comunicação das responsabilidades de controle aos empregados e através do
fornecimento de informação que permita às pessoas o cumprimento das suas
responsabilidades, ou seja, identifica, captura e troca as informações.
5. Monitoramento: abrange a supervisão externa dos controles internos por parte da
gestão ou de outras partes externas ao processo, ou seja, avalia e observa a qualidade
do desempenho dos controles internos.
20. (FCC - Auditor de Controle Interno (CGM São Luís) /Abrangência Geral - 2015)
Um dos elementos essenciais que compõem a rotina do Auditor Interno são os riscos de
auditoria, que devem ser tratados na fase de planejamento. Uma das ferramentas de
controle interno mais modernas no trato desse tipo de risco é denominada
a) modelo COSO.
b) comparativo de riscos.
c) auditoria de riscos.
d) estratégia de antecipação de riscos.
e) auditoria de resultado.
58
Aula 00
Comentários:
Há mais de uma década, o Committee of Sponsoring Organizations of the Treadway
Commission (COSO) publicou a obra Internal Control – Integrated Framework
(Gerenciamento de Riscos Corporativos - Estrutura Integrada), para ajudar empresas e
outras organizações a avaliar e aperfeiçoar seus sistemas de controle interno. Desde
então, a referida estrutura foi incorporada em políticas, normas e regulamentos adotados
por milhares de organizações para controlar melhor suas atividades visando o
cumprimento dos objetivos estabelecidos. Nos últimos anos, intensificou-se o foco e a
preocupação com o gerenciamento de riscos, e tornou-se cada vez mais clara a
necessidade de uma estratégia sólida, capaz de identificar, avaliar e administrar riscos.
Segundo o Coso II, o gerenciamento de riscos corporativos é constituído de oito
componentes inter-relacionados, que se originam com base na maneira como a
administração gerencia a organização, e que se integram ao processo de gestão. Esses
componentes são os seguintes:
Fixação de Objetivos – Os objetivos devem existir antes que a administração identifique
as situações em potencial que poderão afetar a realização destes. O gerenciamento de
riscos corporativos assegura que a administração adote um processo para estabelecer
objetivos e que os escolhidos propiciem suporte, alinhem-se com a missão da organização
e sejam compatíveis com o apetite a risco.
determinar a forma como serão administrados e, depois, serão associados aos objetivos
que podem influenciar. Avaliam-se os riscos considerando seus efeitos inerentes e
residuais, bem como sua probabilidade e seu impacto.
Informações e Comunicações – A forma e o prazo em que as informações relevantes
são identificadas, colhidas e comunicadas permitam que as pessoas cumpram com suas
atribuições. Para identificar, avaliar e responder ao risco, a organização necessita das
informações em todos os níveis hierárquicos. A comunicação eficaz ocorre quando esta flui
na organização em todas as direções, e quando os empregados recebem informações
claras quanto às suas funções e responsabilidades.
poderá reagir ativamente e mudar segundo as circunstâncias. O monitoramento é realizado
por meio de atividades gerenciais contínuas, avaliações independentes ou uma
combinação desses dois procedimentos. Portanto, alternativa correta é A.
59
Aula 00
5 Referências Bibliográficas
BRASIL. Tribunal de Co ntas da União. REFERENCIAL BÁSICO DE GESTÃO DE
RISCOS. Brasília, 2018. Disponível em: <http://portal.tcu.gov.br/biblioteca -
digital/referencial -basico -de-gestao-de-riscos-
FF8080816364D7980163BDC34BE55F20.htm>. Acesso em 22 de dezembro de
2018.
_______. Committee of Sponsoring Organizations of the Treadway Commission

(COSO). Manual de Controle Interno - Estrutura Integrada – Sumário Executivo
(COSO I). 2013. Disponível em: <
http://www.auditoria.mpu.mp.br/bases/legislacao/COSO -I-
ICIF_2013_Sumario_Executivo.p df >. Acesso em 22 de dezembro de 2018.
_______. Committee of Sponsoring Organizations of the Treadway Commission

(COSO). Manual de Gerenciamento de Riscos Corporativos – Estrutura Integrada
(COSO II). 2007. Disponível em: < https://www.coso.org/Documents /COSO-ERM-
Executive-Summary-Portuguese.pdf>. Acesso em 22 de dezembro de 2018.
60

Aula 00 - Auditoria (Governança e Análise de Risco I)

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Aula 00 - Auditoria (Governança e Análise de Risco I)

Enviado por

Direitos autorais:

Formatos disponíveis

Auditoria Governamental para Auditor de Controle Interno

Sou o Tonyvan Carvalho, atualmente Auditor de

Utilizamos um método fácil, direto e objetivo , com técnicas que ensinam

Mapas Mentais em Auditoria? O que significam?

Será um grande diferencial – resolver várias questões associadas aos mapas

O nosso compromisso será o de expor as partes mais importantes das

Atenção: Objetivamente, forneceremos a você o conteúdo de Auditoria,

Au la Tem a In í ci o em Pr o gr es so Por cen ta gem

Au la Tem a In í ci o em Pr o gr es so Por cen ta gem

Governança e análise de risco. Governança no setor

2 MODELOS DE GESTÃO DE RISCO: COSO I ............................................ 9

3 MODELOS DE GESTÃO DE RISCO: COSO II ......................................... 15

3 LISTA DE QUESTÕES .......................................................................... 23

4 QUESTÕES COMENTAD AS .................................................................. 30

5 REFERÊNCI AS BIBLIO GRÁFICAS ........................................................ 60

Nossa primeira aula aborda aspectos gerais acerca da Governança e Análise

Controle interno é um processo conduzido pela estrutura de governança,

Segundo o Referencial Básico de Gestão de Riscos (TCU, 2018) , “Risco é o

2 Modelos de gestão de risco: Coso I

Definição de controle interno

O controle interno é definido da seguinte forma:

Controle interno é um processo conduzido pela estrutura de governança,

Essa definição reflete alguns conceitos fundamentais. O controle interno é:

• Conduzido para atingir objetivos em uma ou mais categorias – operacional,

A Estrutura apresenta três categorias de objetivos, o que permite às organizações

Componentes do controle interno

O controle interno consiste em cinco componentes integrados.

Atividades de controle são ações estabelecidas por meio de políticas e procedimentos

A informação é necessária para que a entidade cumpra responsabilidades de controle

Uma organização utiliza avaliações contínuas, independentes, ou uma combinação

Relação entre objetivos e componentes

A Estrutura estabelece 17 princípios, que representam os conceitos fundamentais

divulgação e conformidade. Os princípios que apoiam os componentes do controle

Controle interno eficaz

3 Modelos de gestão de risco: Coso II

A seguir, apresentaremos para você um resumo dos principais tópicos do

Definição de Gerenciamento de Riscos Corporativos

O gerenciamento de riscos corporativos é um processo conduzido em uma

Essa definição reflete certos conceitos fundamentais. O gerenciamento de riscos

Componentes do Gerenciamento de Riscos Corporativos

1) Ambiente Interno – o ambiente interno compreende o tom de uma organização e

2) Fixação de Objetivos – os objetivos devem existir antes que a administração

3) Identificação de Eventos – os eventos internos e externos que influenciam o

5) Resposta a Risco – a administração escolhe as respostas aos riscos - evitando,

6) Atividades de Controle – políticas e procedimentos são estabelecidos e

7) Informações e Comunicações – as informações relevantes são identificadas,

8) Monitoramento – a integridade da gestão de riscos corporativos é monitorada e

Relacionamento entre Objetivos e Componentes

Existe um relacionamento direto entre os objetivos, que uma organização empenha-

Eventos – Riscos e Oportunidades

(FCC - Analista Judiciário (TRT 13ª Região / Contabilidade / Administrativa -

Os componentes de 1 a 5 são comuns ao COSO I e COSO II . Já os ambientes

(FCC - Analista Judiciário (TRT 13ª Região / Contabilidade / Administrativa -

(FCC - Analista (CNMP) / Controle Interno / Apoio Técnico Administrativo -

Aceitar – Nenhuma medida é adotada para afetar a probab ilidade ou o grau de

2. (CESPE - Auditor Estadual (TCM-BA)/Infraestrutura - 2018) De acordo com o COSO

3. (CESPE - Auditor Estadual (TCM-BA)/Controle Externo - 2018) A metodologia de

4. (CESPE - Auditor Estadual (TCM-BA)/2018/Controle Externo - 2018) De acordo com

5. (CESPE - Auditor do Estado (CAGE RS) - 2018) A administração de uma universidade

6. (CESPE - Auditor do Estado (CAGE RS) - 2018) Determinado componente do

paralisações da produção. De acordo com o COSO, as relações entre essas alterações e

8. (CESPE - Auditor do Estado (CAGE RS) - 2018) Entre as quatro categorias de

9. (FEPESE - Contador (CELESC) - 2018) De acordo com o Controle Interno do COSO -