Aula 01 - Auditoria (Governança e Análise de Risco II)

CGE
CEARÁ
PETRO
AUDITORIA GOVERNAMENTAL
AUDITOR DE CONTROLE INTERNO
PROF. TONYVAN CARVALHO
Aula 01
Auditoria Governamental para Auditor de Controle Interno
Introdução
Bem-vindo, Concursante! É com grande satisfação estar iniciando
nossa segunda aula do curso de Auditoria Governamental para Auditor de
Controle Interno da CGE CE . Daremos continuidade com Governança e
Análise de Risco (Parte 2).
Feita essa breve introdução, daremos continuidade com o curso,

seguindo roteiro abaixo:
Au la Tem a In í ci o em Pr o gr es so Por cen ta gem

Governança e análise de risco. Governança
no setor público. O papel da auditoria na
estrutura de governança. Estrutura
Au la 0 conceitual de análise de risco (COSO). 25/12 0%
Elementos de risco e controle. Aplicação
da estrutura conceitual de análise de risco.
(PARTE 01)
Governança e análise de risco. Governança
no setor público. O papel da auditoria na
estrutura de governança. Estrutura
Au la 1 conceitual de análise de risco (COSO). 25/12 8%
Elementos de risco e controle. Aplicação
da estrutura conceitual de análise de risco.
(PARTE 02)
Nor mas da INTOSAI: Declaração de Li ma.
Códi go de ética e padrões de auditoria.
Au la 2 Auditoria no setor público estadual. 26/12 8% 17%
Operacionalidade. Nor mas relativas à
execução dos trabalhos. (PARTE 01)
Nor mas da INT OSAI: Declaração de
Li ma. Códi go de ética e padrões de
auditoria. Auditoria no setor público
Au la 3 27/12 8% 25%
estadual. Operaci onalidade. Nor mas
relativas à execução dos trabalhos.
(PARTE 02)
Nor mas do IIA: O papel das normas de
auditoria. Nor mas internacionais para o
exercício profissional da auditoria interna.
Definição de auditoria interna,
independência, prof iciência e zelo
profissional, desenvol vi mento profissional
Au la 4 02/01 8% 33%
contínuo, programa de garantia de
qualidade, planej amento, execução do
trabalho de auditoria, comunicação de
resultados, monitoramento do progresso,
resolução da aceitação dos riscos pela
administração.
Nor mas vi gentes de auditoria independente
das demonstrações contábeis emanadas
Au la 5 07/01 8% 42%
pelo Conselho Feder al de Contabilidade
(CFC): NBC TA 200( R1)
C o py r i g ht © 2 0 1 8 p o r P r ol u n o
T o d o s os di r e i t os r e s e r v a d os
2
Aula 01
Au la Tem a In í ci o em Pr o gr es so Por cen ta gem

Planej amento. Progr amas de auditoria.
Au la 6 09/01 8% 50%
Papéis de trabalho.
Amostragem estatística em auditoria.
Au la 7 18/01 8% 58%
Eventos ou transações subsequentes.
Testes de auditoria. Revisão analítica.
Entrevista. Conferência de cálculo.
Au la 8 20/01 8% 67%
Confir mação. Interpretação das
infor mações. Obser vação.
Procedi mentos de auditoria em áreas
Au la 9 23/01 8% 75%
específicas das demonstrações contábeis.
Au la Nor mas relativas à opinião do auditor.
25/01 8% 83%
10 Relatórios e pareceres de auditoria
Au la Aspectos Gerais de Auditoria
31/01 8% 92%
11 Governamental
Au la
Si mulado e revisão em mapas. 02/02 8% 100%
12
3
Aula 01
Governança e análise de risco. Governança no

setor público. O papel da auditoria na estrutura de
governança. Estrutura conceitual de análise de
risco (COSO). Elementos de risco e controle.
Aplicação da estrutura conceitual de análise de
risco. (PARTE 02)
1. CONTEXTUALIZAÇ ÃO ................................................................... 5
2. GOVERNANÇA NO SET OR PÚBLICO ............................................. 6
3. INSTRUÇÃO NORMATI V A CONJUNTA MP/CGU Nº 01/2016 ............12
4. LISTA DE QUESTÕES ..................................................................26
5. QUESTÕES COMENTAD AS ...........................................................32
6. BIBLIOGRAFI A ............................................................................55
4
Aula 01
1. Contextualização
Na nossa segunda aula veremos outros aspectos acerca da Governança
e Análise de Riscos. Para efeitos didáticos, o te ma foi dividido em duas
partes. Hoje veremos a parte II .
Constataremos que as provas elaboradas pela Cespe costumam cobrar
de forma literal as definições dispostas nos modelos de gestão de risco, em
especial nos modelos de controle interno emitidos pelo Committee of
Sponsoring Organizations of the Treadway Commission (COSO, 1992),
também conhecidos como:
 Internal Control Integrated Framework (Coso I);
 Enterprise Risk Management – Integrated Framework (Coso II).
Começaremos nosso Passo Estratégico já most rando uma questão
recorrente em provas de Auditoria Governamental, que é os princípios
básicos de Governança Corporativa, segundo o Instituto Brasileiro de
Governança Corporativa (IGBC):
Transparência: mais do que a obrigação de informar é o desejo de

disponibilizar para as partes interessadas as informações que sejam de
seu interesse e não apenas aquelas impostas por disposições de leis ou
regulamentos. A adequada transparência resulta em um clima de
confiança, tanto internamente quanto nas relações da empresa com
terceiros. Não deve restringir-se ao desempenho econômico-financeiro,
contemplando também os demais fatores (inclusive intangíveis) que
norteiam a ação gerencial e que conduzem à criação de valor.
Equidade: caracteriza-se pelo tratamento justo de todos os sócios e

demais partes interessadas (stakeholders). Atitudes ou políticas
discriminatórias, sob qualquer pretexto, são totalmente inaceitáveis.
Prestação de Contas (accountability): os agentes de governança devem

prestar contas de sua atuação, assumindo integralmente as
consequências de seus atos e omissões.
Responsabilidade Corporativa: os agentes de governança devem zelar

pela sustentabilidade das organizações, visando à sua longevidade,
incorporando considerações de ordem social e ambiental na definição
dos negócios e operações.
Exploraremos na nossa aula dois normativos importantes para a

Governança e Análise de Risco, quais sejam: o Referencial Básico de
Governança do TCU e a Instrução Normativa Conjunta MP/CGU Nº
01/2016 (norma que trata dos controles internos, gestão de riscos e
governança no âmbito do Poder Executivo federal).
5
Aula 01
2. Governança no Setor Público

Segundo o Referencial Básico de Governança (TCU, 2014) ,
“GOVERNANÇA NO SETOR PÚBLICO como um conjunto de mecanismos de
liderança, estratégia e controle postos em prática para AVALIAR,
DIRECIONAR E MONITORAR a gestão, com vistas à condução de políticas
públicas e à prestação de serviços de interesse da sociedade”.
A origem da governança está associada ao momento em que
organizações deixaram de ser geridas diretamente por seus proprietários (p.
ex. donos do capital) e passaram à administração de terceiro s, a quem foi
delegada autoridade e poder para administrar recursos pertencentes
àqueles. Em muitos casos há divergência de interesses entre proprietários e
administradores, o que, em decorrência do desequilíbrio de informação,
poder e autoridade, leva a u m potencial conflito de interesse entre eles, na
medida em que ambos tentam maximizar seus próprios benefícios.
Para melhorar o desempenho organizacional, reduzir conflitos, alinhar
ações e trazer mais segurança para proprietários, foram realizados estudos
e desenvolvidas múltiplas estruturas de governança.
No começo da década de 90, momento histórico marcado por crises
financeiras, o Banco da Inglaterra criou uma comissão para elaborar o
Código das Melhores Práticas de Governança corporativa, trabalho que
resultou no Cadbury Report. Em 1992, o Committee of Sponsoring
Organizations of the Treadway Commission – COSO publicou o Internal
control – integrated framework. Anos mais tarde, em 2002, depois de
escândalos envolvendo demonstrações contábeis fraudulenta s ratificadas
por empresas de auditorias, publicou -se, nos Estados Unidos, a Lei
Sarbanes-Oxley, cujo objetivo era melhorar os controles para garantir a
fidedignidade das informações constantes dos relatórios financeiros. No
mesmo ano, com vistas a apoiar a investigação independente e induzir à
melhoria da governança, fundou -se o European Corporate Governance
Institute – ECGI. Em 2004, o COSO publicou o Enterprise risk management
- integrated framework , documento que ainda hoje é tido como referência no
tema gestão de riscos.
A seguir, apresentaremos a você um resumo dos principais tópicos do
Referencial Básico de Governança do TCU (2014), aplicável a Órgãos e
Entidades da Administração Pública :
DEFINIÇÃO DE GOVERNANÇA NO SETOR PÚBLICO
Governança no setor público refere-se, portanto, aos mecanismos de

avaliação, direção e monitoramento; e às interações entre estruturas,
processos e tradições, as quais determinam como cidadãos e outras
partes interessadas são ouvidos, como as decisões são tomadas e como
o poder e as responsabilidades são exercidos (GRAHN; AMOS;
PLUMPTRE, 2003). Preocupa-se, por conseguinte, com a capacidade dos
6
Aula 01
sistemas políticos e administrativos de agir efetiva e decisivamente para

resolver problemas públicos (PETERS, 2012).
Governança no setor público compreende essencialmente os

mecanismos de liderança, estratégia e controle postos em prática para
avaliar, direcionar e monitorar a atuação da gestão, com vistas à
condução de políticas públicas e à prestação de serviços de interesse da
sociedade.
PERSPECTIVAS DE OBSERVAÇÃO DA GOVERNANÇA NO SETOR

PÚBLICO
A governança no setor público pode ser analisada sob quatro perspectivas

de observação: (a) sociedade e Estado; (b) entes federativos, esferas de
poder e políticas públicas; (c) órgãos e entidades; e (d) atividades
intraorganizacionais.
SISTEMA DE GOVERNANÇA NO SETOR PÚBLICO
O sistema de governança reflete a maneira como diversos atores se

organizam, interagem e procedem para obter boa governança. Envolve,
portanto, as estruturas administrativas (instâncias), os processos de trabalho,
os instrumentos (ferramentas, documentos etc.), o fluxo de informações e o
comportamento de pessoas envolvidas direta, ou indiretamente, na avaliação,
no direcionamento e no monitoramento da organização. De forma simplificada,
esse sistema pode ser assim representado:
7
Aula 01
Nota-se, nesse sistema, que algumas instâncias foram destacadas: as

instâncias externas de governança; as instâncias externas de apoio à
governança; as instâncias internas de governança; e as instâncias internas de
apoio à governança.
a) As instâncias externas de governança são responsáveis pela fiscalização,
pelo controle e pela regulação, desempenhando importante papel para
promoção da governança das organizações públicas. São autônomas e
independentes, não estando vinculadas apenas a uma organização. Exemplos
típicos dessas estruturas são o Congresso Nacional e o Tribunal de Contas da
União.
b) As instâncias externas de apoio à governança são responsáveis pela
avaliação, auditoria e monitoramento independente e, nos casos em que
disfunções são identificadas, pela comunicação dos fatos às instâncias
superiores de governança. Exemplos típicos dessas estruturas as auditorias
independentes e o controle social organizado.
c) As instâncias internas de governança são responsáveis por definir ou
avaliar a estratégia e as políticas, bem como monitorar a conformidade e o
desempenho destas, devendo agir nos casos em que desvios forem
identificados. São, também, responsáveis por garantir que a estratégia e as
políticas formuladas atendam ao interesse público servindo de elo entre
principal e agente. Exemplos típicos dessas estruturas são os conselhos de
administração ou equivalentes e, na falta desses, a alta administração.
d) As instâncias internas de apoio à governança realizam a comunicação
entre partes interessadas internas e externas à administração, bem como
auditorias internas que avaliam e monitoram riscos e controles internos,
comunicando quaisquer disfunções identificadas à alta administração.
Exemplos típicos dessas estruturas são a ouvidoria, a auditoria interna, o
conselho fiscal, as comissões e os comitês.
PRINCÍPIOS BÁSICOS DE GOVERNANÇA PARA O SETOR PÚBLICO
A governança pública, para ser efetiva, pressupõe a existência de um Estado

de Direito; de uma sociedade civil participativa no que tange aos assuntos
públicos; de uma burocracia imbuída de ética profissional; de políticas
planejadas de forma previsível, aberta e transparente; e de um braço executivo
que se responsabilize por suas ações (WORLD BANK, 2007).
Conforme sugerido pelo Banco Mundial, são princípios da boa governança: a
legitimidade, a equidade, a responsabilidade, a eficiência, a probidade, a
transparência e a accountability.
a) Legitimidade: princípio jurídico fundamental do Estado Democrático de
Direito e critério informativo do controle externo da administração pública que
amplia a incidência do controle para além da aplicação isolada do critério da
legalidade. Não basta verificar se a lei foi cumprida, mas se o interesse público,
o bem comum, foi alcançado. Admite o ceticismo profissional de que nem
sempre o que é legal é legítimo
(BRASIL, 2012).
b) Equidade: promover a equidade é garantir as condições para que todos
tenham acesso ao exercício de seus direitos civis - liberdade de expressão, de
acesso à informação, de associação, de voto, igualdade entre gêneros -,
políticos e sociais - saúde, educação, moradia, segurança (BRASIL, 2010c).
8
Aula 01
c) Responsabilidade: diz respeito ao zelo que os agentes de governança

devem ter pela sustentabilidade das organizações, visando sua longevidade,
incorporando considerações de ordem social e ambiental na definição dos
negócios e operações (IBGC, 2010).
d) Eficiência: é fazer o que é preciso ser feito com qualidade adequada ao
menor custo possível. Não se trata de redução de custo de qualquer maneira,
mas de buscar a melhor relação entre qualidade do serviço e qualidade do
gasto (BRASIL, 2010c).
e) Probidade: trata-se do dever dos servidores públicos de demonstrar
probidade, zelo, economia e observância às regras e aos procedimentos do
órgão ao utilizar, arrecadar, gerenciar e administrar bens e valores públicos.
Enfim, refere-se à obrigação que têm os servidores de demonstrar serem
dignos de confiança (IFAC, 2001).
f) Transparência: caracteriza-se pela possibilidade de acesso a todas as
informações relativas à organização pública, sendo um dos requisitos de
controle do Estado pela sociedade civil. A adequada transparência resulta em
um clima de confiança, tanto internamente quanto nas relações de órgãos e
entidades com terceiros.
g) Accountability: As normas de auditoria da Intosai conceituam accountability
como a obrigação que têm as pessoas ou entidades às quais se tenham
confiado recursos, incluídas as empresas e organizações públicas, de assumir
as responsabilidades de ordem fiscal, gerencial e programática que lhes foram
conferidas, e de informar a quem lhes delegou essas responsabilidades
(BRASIL, 2011). Espera-se que os agentes de governança prestem contas de
sua atuação de forma voluntária, assumindo integralmente as consequências
de seus atos e omissões (IBGC, 2010).
MECANISMOS DE GOVERNANÇA
Liderança refere-se ao conjunto de práticas, de natureza humana ou

comportamental, que assegura a existência das condições mínimas para o
exercício da boa governança, quais sejam: pessoas íntegras, capacitadas,
competentes, responsáveis e motivadas ocupando os principais cargos
das organizações e liderando os processos de trabalho.
Esses líderes são responsáveis por conduzir o processo de estabelecimento da
estratégia, considerando, para isso, aspectos como: escuta ativa de
demandas, necessidades e expectativas das partes interessadas; avaliação
do ambiente interno e externo da organização; avaliação e prospecção de
cenários; definição e alcance da estratégia; definição e monitoramento de
objetivos de curto, médio e longo prazo; alinhamento de estratégias e
operações das unidades de negócio e organizações envolvidas ou
afetadas.
Entretanto, para que esses processos sejam executados, existem riscos, os
quais devem ser avaliados e tratados. Para isso, é conveniente o
estabelecimento de controles e o estímulo à transparência e à
accountability, que envolvem entre outras coisas, a prestação de contas
das ações e a responsabilização pelos atos praticados.
COMPONENTES DE GOVERNANÇA
9
Aula 01
Pessoas e competências. No contexto da governança, é fundamental

mobilizar conhecimentos, habilidades e atitudes dos dirigentes em prol da
otimização dos resultados organizacionais. Para isso, as boas práticas
preconizam que os membros da alta administração devem ter as competências
necessárias para o exercício do cargo.
Princípios e comportamentos. Os padrões de comportamento exigidos das

pessoas vinculadas às organizações do setor público devem estar definidos em
códigos de ética e conduta formalmente instituídos, claros e suficientemente
detalhados, que deverão ser observados pelos membros da alta administração,
gestores e colaboradores.
Liderança organizacional. A responsabilidade final pelos resultados

produzidos sempre permanece com a autoridade delegante. Por isso, a alta
administração é responsável pela definição e avaliação dos controles internos
que mitigarão o risco de mau uso do poder delegado, sendo a auditoria interna
uma estrutura de apoio comumente utilizada para esse fim.
Sistema de governança. O sistema de governança reflete a maneira como

diversos agentes se organizam, interagem e procedem para obter boa
governança. No setor público, abrange as estruturas e os processos
diretamente relacionados às instâncias internas e externas de governança.
Relacionamento com partes interessadas. Considerando o crescente foco

das organizações na prestação de serviços com eficiência, o alinhamento de
suas ações com as expectativas das partes interessadas é fundamental para a
otimização de resultados.
Estratégia organizacional. A organização, a partir de sua visão de futuro, da

análise dos ambientes interno e externo e da sua missão institucional, formula
suas estratégias, as desdobra em planos de ação de longo e curto prazos e
acompanha sua implementação, visando o atendimento de sua missão e a
satisfação das partes interessadas.
Alinhamento transorganizacional. Cada um dos múltiplos agentes dentro do

governo tem seus próprios objetivos. Assim, para a governança efetiva, é
preciso definir objetivos coerentes e alinhados entre todos os envolvidos na
implementação da estratégia para que os resultados esperados possam ser
alcançados.
Gestão de riscos e controle interno. Risco é o efeito da incerteza sobre os

objetivos da organização. Logo, determinar quanto risco aceitar na busca do
melhor valor para a sociedade e definir controles internos para mitigar riscos
inerentes não aceitáveis são desafios da governança nas organizações e
responsabilidades da alta administração.
Auditoria Interna. Existe basicamente para avaliar a eficácia dos controles

internos implantados pelos gestores. Trata-se de uma atividade independente e
objetiva de avaliação (assurance) e de consultoria, desenhada para adicionar
valor e melhorar as operações de uma organização.
10
Aula 01
Accountability e transparência. Os membros das organizações de

governança interna e da administração executiva são os responsáveis por
prestar contas de sua atuação e devem assumir, integralmente, as
consequências de seus atos e omissões.
11
Aula 01
3. Instrução Normativa Conjunta MP/CGU Nº

01/2016
A Controladoria -Geral da União (CGU) e o Ministério do Planejamento,
Orçamento e Gestão (MP) determinaram, aos órgãos e entidades do Poder
Executivo Federal, a adoção de uma série de medidas para a
sistematização de práticas relacionadas a gestão de riscos , controles
internos e governança, por meio da Instrução Normativa Conjunta nº 1.
A partir de agora, o dirigente máximo de cada órgão ou entidade passa a
ser o principal responsável pelo estabelecimento da estratégia de
organização e da estrutura de gerenc iamento de riscos. Dentro deste
cenário, também será papel do dirigente máximo estabelecer, de forma
continuada, o monitoramento e o aperfeiçoamento dos controles internos da
gestão.
Cada risco mapeado e avaliado deve estar associado a um agente
responsáve l formalmente identificado. O agente responsável pelo risco deve
ser um gestor com alçada suficiente para orientar e acompanhar as ações
de mapeamento, avaliação e mitigação do risco. As tipologias de risco
abrangem: riscos operacionais, de imagem/reputaçã o do órgão, legais e
financeiros/orçamentários.
A IN Conjunta MP/CGU nº 01/2016 tem como finalidades fortalecer a
gestão, aperfeiçoar os processos e o alcance dos objetivos organizacionais,
por meio de criação e aprimoramento dos controles internos da gest ão, da
governança e sistematização da gestão de riscos. As referências para
gestão de riscos a serem utilizadas para sua implementação podem ser: a
norma ABNT NBR ISO/IEC 31000 – Gestão de Riscos – Princípios e
Diretrizes, o COSO ERM ( Enterprise Risk Manag ement, em português:
Gerenciamento de Riscos Corporativos - Estrutura Integrada), o modelo de
gestão de riscos do Reino Unido - The Orange Book Management of Risk -
Principles and Concepts , o modelo de gestão de riscos do governo
canadense, entre outros, lembrando -se da importância que a estrutura e
seus processos sejam feitos sob medida para a necessidade da
organização.
A seguir, apresentaremos para você um resumo dos principais tópicos
da Instrução Normativa Conjunta MP/CGU Nº 01/2016 :
DEFINIÇÕES:
I – accountability: conjunto de procedimentos adotados pelas organizações

públicas e
pelos indivíduos que as integram que evidenciam sua responsabilidade por
decisões tomadas e ações implementadas, incluindo a salvaguarda de
recursos públicos, a imparcialidade e o desempenho das organizações;
II – apetite a risco: nível de risco que uma organização está disposta a aceitar;
12
Aula 01
III – auditoria interna: atividade independente e objetiva de avaliação e de

consultoria, desenhada para adicionar valor e melhorar as operações de uma
organização. Ela auxilia a organização a realizar seus objetivos, a partir da
aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar
a eficácia dos processos de gerenciamento de riscos, de controles internos, de
integridade e de governança. As auditorias internas no âmbito da
Administração Pública se constituem na terceira linha ou camada de defesa
das organizações, uma vez que são responsáveis por proceder à avaliação da
operacionalização dos controles internos da gestão (primeira linha ou camada
de defesa, executada por todos os níveis de gestão dentro da organização) e
da supervisão dos controles internos (segunda linha ou camada de defesa,
executada por instâncias específicas, como comitês de risco e controles
internos). Compete às auditorias internas oferecer avaliações e
assessoramento às organizações públicas, destinada são aprimoramento dos
controles internos, de forma que controles mais eficientes e eficazes mitiguem
os principais riscos de que os órgãos e entidades não alcancem seus objetivos;
IV – componentes dos controles internos da gestão: são o ambiente de

controle interno da entidade, a avaliação de risco, as atividades de controles
internos, a informação e comunicação e o monitoramento;
V – controles internos da gestão: conjunto de regras, procedimentos,

diretrizes, protocolos, rotinas de sistemas informatizados, conferências e
trâmites de documentos e informações, entre outros, operacionalizados de
forma integrada pela direção e pelo corpo de servidores das organizações,
destinados a enfrentar os riscos e fornecer segurança razoável de que, na
consecução da missão da entidade, os seguintes objetivos gerais serão
alcançados:
a) execução ordenada, ética, econômica, eficiente e eficaz das operações;
b) cumprimento das obrigações de accountability;
c) cumprimento das leis e regulamentos aplicáveis; e
d) salvaguarda dos recursos para evitar perdas, mau uso e danos. O
estabelecimento de
controles internos no âmbito da gestão pública visa essencialmente aumentar a
probabilidade de que os objetivos e metas estabelecidos sejam alcançados, de
forma eficaz, eficiente, efetiva e econômica;
VI – fraude: quaisquer atos ilegais caracterizados por desonestidade,

dissimulação ou quebra de confiança. Estes atos não implicam o uso de
ameaça de violência ou de força física;
VII – gerenciamento de riscos: processo para identificar, avaliar, administrar e

controlar potenciais eventos ou situações, para fornecer razoável certeza
quanto ao alcance dos objetivos da organização;
VIII – governança: combinação de processos e estruturas implantadas pela

alta administração, para informar, dirigir, administrar e monitorar as atividades
da organização, com o intuito de alcançar os seus objetivos;
IX – governança no setor público: compreende essencialmente os

mecanismos de liderança, estratégia e controle postos em prática para avaliar,
13
Aula 01
direcionar e monitorar a atuação da gestão, com vistas à condução de políticas

públicas e à prestação de serviços de interesse da sociedade;
X – incerteza: incapacidade de saber com antecedência a real probabilidade

ou impacto de eventos futuros;
XI – mensuração de risco: significa estimar a importância de um risco e

calcular a probabilidade e o impacto de sua ocorrência;
XII – Política de gestão de riscos: declaração das intenções e diretrizes

gerais de uma organização relacionadas à gestão de riscos;
XIII – risco: possibilidade de ocorrência de um evento que venha a ter impacto

no cumprimento dos objetivos. O risco é medido em termos de impacto e de
probabilidade;
XIV – risco inerente: risco a que uma organização está exposta sem
considerar quaisquer ações gerenciais que possam reduzir a probabilidade de
sua ocorrência ou seu impacto;
XV – risco residual: risco a que uma organização está exposta após a

implementação de ações gerenciais para o tratamento do risco; e
XVI – Sistema de Controle Interno do Poder Executivo federal: compreende
as atividades de avaliação do cumprimento das metas previstas no plano
plurianual, da execução dos programas de governo e dos orçamentos da União
e de avaliação da gestão dos administradores públicos federais, utilizando
como instrumentos a auditoria e a fiscalização, e tendo como órgão central a
Controladoria Geral da União. Não se confunde com os controles internos da
gestão, de responsabilidade de cada órgão e entidade do Poder Executivo
federal.
PRINCÍPIOS DOS CONTROLES INTERNOS DA GESTÃO
Os controles internos da gestão do órgão ou entidade devem ser desenhados e

implementados em consonância com os seguintes princípios:
I – aderência à integridade e a valores éticos;
II – competência da alta administração em exercer a supervisão do
desenvolvimento e do desempenho dos controles internos da gestão;
III – coerência e harmonização da estrutura de competências e
reponsabilidades dos diversos níveis de gestão do órgão ou entidade;
IV – compromisso da alta administração em atrair, desenvolver e reter pessoas
com competências técnicas, em alinhamento com os objetivos da organização;
V – clara definição dos responsáveis pelos diversos controles internos da
gestão no âmbito da organização;
VI – clara definição de objetivos que possibilitem o eficaz gerenciamento de
riscos;
VII – mapeamento das vulnerabilidades que impactam os objetivos, de forma
que sejam
adequadamente identificados os riscos a serem geridos;
VIII – identificação e avaliação das mudanças internas e externas ao órgão ou
entidade que possam afetar significativamente os controles internos da gestão;
14
Aula 01
IX – desenvolvimento e implementação de atividades de controle que

contribuam para a obtenção de níveis aceitáveis de riscos;
X – adequado suporte de tecnologia da informação para apoiar a
implementação dos controles internos da gestão;
XI – definição de políticas e normas que suportem as atividades de controles
internos da
gestão;
XII – utilização de informações relevantes e de qualidade para apoiar o
funcionamento dos controles internos da gestão;
XIII – disseminação de informações necessárias ao fortalecimento da cultura e
da valorização dos controles internos da gestão;
XIV– realização de avaliações periódicas para verificar a eficácia do
funcionamento dos controles internos da gestão; e
XV – comunicação do resultado da avaliação dos controles internos da gestão
aos responsáveis pela adoção de ações corretivas, incluindo a alta
administração.
DOS OBJETIVOS DOS CONTROLES INTERNOS DA GESTÃO
Os controles internos da gestão devem ser estruturados para oferecer

segurança razoável de que os objetivos da organização serão alcançados. A
existência de objetivos claros é pré-requisito para a eficácia do funcionamento
dos controles internos da gestão.
Os objetivos dos controles internos da gestão são:
I – dar suporte à missão, à continuidade e à sustentabilidade institucional, pela
garantia razoável de atingimento dos objetivos estratégicos do órgão ou
entidade;
II – proporcionar a eficiência, a eficácia e a efetividade operacional, mediante
execução ordenada, ética e econômica das operações;
III – assegurar que as informações produzidas sejam íntegras e confiáveis à
tomada de decisões, ao cumprimento de obrigações de transparência e à
prestação de contas;
IV – assegurar a conformidade com as leis e regulamentos aplicáveis, incluindo
normas,
políticas, programas, planos e procedimentos de governo e da própria
organização; e
V – salvaguardar e proteger bens, ativos e recursos públicos contra
desperdício, perda, mau uso, dano, utilização não autorizada ou apropriação
indevida.
DA ESTRUTURA DOS CONTROLES INTERNOS DA GESTÃO
Na implementação dos controles internos da gestão, a alta administração, bem

como os servidores da organização, deverá observar os componentes da
estrutura de controles internos, a seguir descritos:
I - ambiente de controle: é a base de todos os controles internos da gestão,

sendo formado pelo conjunto de regras e estrutura que determinam a qualidade
dos controles internos da gestão. O ambiente de controle deve influenciar a
forma pela qual se estabelecem as estratégias e os objetivos e na maneira
15
Aula 01
como os procedimentos de controle interno são estruturados. Alguns dos

elementos do ambiente de controle são:
a) integridade pessoal e profissional e valores éticos assumidos pela direção e

pelo quadro de servidores, incluindo inequívoca atitude de apoio à manutenção
de adequados controles internos da gestão, durante todo o tempo e por toda a
organização;
b) comprometimento para reunir, desenvolver e manter colaboradores

competentes;
c) filosofia da direção e estilo gerencial, com clara assunção da

responsabilidade de supervisionar os controles internos da gestão;
d) estrutura organizacional na qual estejam claramente atribuídas
responsabilidades e delegação de autoridade, para que sejam alcançados os
objetivos da organização ou das políticas públicas;
e
e) políticas e práticas de recursos humanos, especialmente a avaliação do

desempenho e prestação de contas dos colaboradores pelas suas
responsabilidades pelos controles internos da gestão da organização ou
política pública;
II – avaliação de risco: é o processo permanente de identificação e análise

dos riscos
relevantes que impactam o alcance dos objetivos da organização e determina a
resposta apropriada ao risco. Envolve identificação, avaliação e resposta aos
riscos, devendo ser um processo permanente;
III – atividades de controles internos: são atividades materiais e formais,

como políticas,
procedimentos, técnicas e ferramentas, implementadas pela gestão para
diminuir os riscos e assegurar o alcance de objetivos organizacionais e de
políticas públicas. Essas atividades podem ser preventivas (reduzem a
ocorrência de eventos de risco) ou detectivas (possibilitam a identificação da
ocorrência dos eventos de risco), implementadas de forma manual ou
automatizada. As atividades de controles internos
devem ser apropriadas, funcionar consistentemente de acordo com um plano
de longo prazo, ter custo adequado, ser abrangentes, razoáveis e diretamente
relacionadas aos objetivos de controle. São exemplos de atividades de
controles internos:
a) procedimentos de autorização e aprovação;
b) segregação de funções (autorização, execução, registro, controle);
c) controles de acesso a recursos e registros;
d) verificações;
e) conciliações;
f) avaliação de desempenho operacional;
g) avaliação das operações, dos processos e das atividades; e
h) supervisão;
IV - informação e comunicação: as informações produzidas pelo órgão ou

entidade devem ser apropriadas, tempestivas, atuais, precisas e acessíveis,
16
Aula 01
devendo ser identificadas, armazenadas e comunicadas de forma que, em

determinado prazo, permitam que os funcionários e servidores cumpram suas
responsabilidades, inclusive a de execução dos procedimentos de controle
interno. A comunicação eficaz deve fluir para baixo, para cima e através da
organização, por todos seus componentes e pela estrutura inteira. Todos os
servidores/funcionários devem receber mensagem clara da alta administração
sobre as responsabilidades de cada agente no que concerne aos controles
internos da gestão. A organização deve comunicar as informações necessárias
ao alcance dos seus objetivos para todas as partes interessadas,
independentemente no nível hierárquico em que se encontram;
V – monitoramento: é obtido por meio de revisões específicas ou

monitoramento contínuo, independente ou não, realizados sobre todos os
demais componentes de controles internos, com o fim de aferir sua eficácia,
eficiência, efetividade, economicidade, excelência ou execução na
implementação dos seus componentes e corrigir tempestivamente as
deficiências dos controles internos:
a) monitoramento contínuo: é realizado nas operações normais e de

natureza contínua da organização. Inclui a administração e as atividades de
supervisão e outras ações que os servidores executam ao cumprir suas
responsabilidades. Abrange cada um dos componentes da estrutura do
controle interno, fortalecendo os controles internos da gestão contra ações
irregulares, antiéticas, antieconômicas, ineficientes e ineficazes. Pode ser
realizado pela própria Administração por intermédio de instâncias de
conformidade, como comitês específicos, que atuam como segunda linha (ou
camada) de defesa da organização; e
b) avaliações específicas: são realizadas com base em métodos e

procedimentos predefinidos, cuja abrangência e frequência dependerão da
avaliação de risco e da eficácia dos procedimentos de monitoramento contínuo.
Abrangem, também, a avaliação realizada pelas unidades de auditoria interna
dos órgãos e entidades e pelos órgãos do Sistema de Controle Interno (SCI) do
Poder Executivo federal para aferição da eficácia dos controles internos da
gestão quanto ao alcance dos resultados desejados.
DAS RESPONSABILIDADES
A responsabilidade por estabelecer, manter, monitorar e aperfeiçoar os

controles internos da gestão é da alta administração da organização, sem
prejuízo das responsabilidades dos gestores dos processos organizacionais e
de programas de governos nos seus respectivos âmbitos de atuação. Cabe aos
demais funcionários e servidores a responsabilidade pela operacionalização
dos controles internos da gestão e pela identificação e comunicação de
deficiências às instâncias superiores.
DA GESTÃO DE RISCOS
Os órgãos e entidades do Poder Executivo federal deverão implementar,

manter, monitorar e revisar o processo de gestão de riscos, compatível com
sua missão e seus objetivos estratégicos, observadas as diretrizes
estabelecidas nesta Instrução Normativa.
17
Aula 01
DOS PRINCÍPIOS DA GESTÃO DE RISCOS
A gestão de riscos do órgão ou entidade observará os seguintes princípios:

I – gestão de riscos de forma sistemática, estruturada e oportuna, subordinada
ao interesse público;
II – estabelecimento de níveis de exposição a riscos adequados;
III – estabelecimento de procedimentos de controle interno proporcionais ao
risco, observada a relação custo-benefício, e destinados a agregar valor à
organização;
IV – utilização do mapeamento de riscos para apoio à tomada de decisão e à
elaboração do planejamento estratégico; e
V – utilização da gestão de riscos para apoio à melhoria contínua dos
processos organizacionais.
DOS OBJETIVOS DA GESTÃO DE RISCOS
São objetivos da gestão de riscos:

I – assegurar que os responsáveis pela tomada de decisão, em todos os níveis
do órgão ou entidade, tenham acesso tempestivo a informações suficientes
quanto aos riscos aos quais está exposta a organização, inclusive para
determinar questões relativas à delegação, se for o caso;
II – aumentar a probabilidade de alcance dos objetivos da organização,
reduzindo os riscos a níveis aceitáveis; e
III – agregar valor à organização por meio da melhoria dos processos de
tomada de decisão e do tratamento adequado dos riscos e dos impactos
negativos decorrentes de sua materialização.
DA ESTRUTURA DO MODELO DE GESTÃO DE RISCOS
Na implementação e atualização do modelo de gestão de riscos, a alta

administração, bem como seus servidores ou funcionários, deverá observar os
seguintes componentes da estrutura de gestão de riscos:
I – ambiente interno: inclui, entre outros elementos, integridade, valores éticos
e competência das pessoas, maneira pela qual a gestão delega autoridade e
responsabilidades, estrutura de governança organizacional e políticas e
práticas de recursos humanos. O ambiente interno é a base para todos os
outros componentes da estrutura de gestão de riscos, provendo disciplina e
prontidão para a gestão de riscos;
II– fixação de objetivos: todos os níveis da organização (departamentos,

divisões, processos e atividades) devem ter objetivos fixados e comunicados. A
explicitação de objetivos, alinhados à missão e à visão da organização, é
necessária para permitir a identificação de eventos que potencialmente
impeçam sua consecução;
III – identificação de eventos: devem ser identificados e relacionados os

riscos inerentes à própria atividade da organização, em seus diversos níveis;
IV – avaliação de riscos: os eventos devem ser avaliados sob a perspectiva

de probabilidade e impacto de sua ocorrência. A avaliação de riscos deve ser
18
Aula 01
feita por meio de análises qualitativas, quantitativas ou da combinação de

ambas. Os riscos devem ser avaliados quando à sua condição de inerentes e
residuais;
V – resposta a riscos: o órgão/entidade deve identificar qual estratégia seguir

(evitar, transferir, aceitar ou tratar) em relação aos riscos mapeados e
avaliados. A escolha da estratégia dependerá do nível de exposição a riscos
previamente estabelecido pela organização em confronto com a avaliação que
se fez do risco;
VI – atividades de controles internos: são as políticas e os procedimentos
estabelecidos e executados para mitigar os riscos que a organização tenha
optado por tratar. Também denominadas de procedimentos de controle, devem
estar distribuídas por toda a organização, em todos os níveis e em todas as
funções. Incluem uma gama de controles internos da gestão preventivos e
detectivos, bem como a preparação prévia de planos de contingência e
resposta à materialização dos riscos;
VII – informação e comunicação: informações relevantes devem ser

identificadas, coletadas e comunicadas, a tempo de permitir que as pessoas
cumpram suas responsabilidades, não apenas com dados produzidos
internamente, mas, também, com informações sobre eventos, atividades e
condições externas, que possibilitem o gerenciamento de riscos e a tomada de
decisão. A comunicação das informações produzidas deve atingir todos os
níveis, por meio de canais claros e abertos que permitam que a informação flua
em todos os sentidos; e
VIII – monitoramento: tem como objetivo avaliar a qualidade da gestão de

riscos e dos controles internos da gestão, por meio de atividades gerenciais
contínuas e/ou avaliações independentes, buscando assegurar que estes
funcionem como previsto e que sejam modificados apropriadamente, de acordo
com mudanças nas condições que alterem o nível de exposição a riscos.
DA POLÍTICA DE GESTÃO DE RISCOS
Os órgãos e entidades, ao efetuarem o mapeamento e avaliação dos riscos,

deverão considerar, entre outras possíveis, as seguintes tipologias de riscos:
a) riscos operacionais: eventos que podem comprometer as atividades do

órgão ou entidade, normalmente associados a falhas, deficiência ou
inadequação de processos internos, pessoas, infraestrutura e sistemas;
b) riscos de imagem/reputação do órgão: eventos que podem comprometer

a confiança da sociedade (ou de parceiros, de clientes ou de fornecedores) em
relação à capacidade do órgão ou da entidade em cumprir sua missão
institucional;
c) riscos legais: eventos derivados de alterações legislativas ou normativas

que podem
comprometer as atividades do órgão ou entidade; e
19
Aula 01
d) riscos financeiros/orçamentários: eventos que podem comprometer a

capacidade do
órgão ou entidade de contar com os recursos orçamentários e financeiros
necessários à realização de suas atividades, ou eventos que possam
comprometer a própria execução orçamentária, como atrasos no cronograma
de licitações.
DAS RESPONSABILIDADES
O dirigente máximo da organização é o principal responsável pelo

estabelecimento da estratégia da organização e da estrutura de gerenciamento
de riscos, incluindo o estabelecimento, a manutenção, o monitoramento e o
aperfeiçoamento dos controles internos da gestão.
DOS PRINCÍPIOS DA GOVERNANÇA
São princípios da boa governança, devendo ser seguidos pelos órgãos e

entidades do Poder Executivo federal:
I – liderança: deve ser desenvolvida em todos os níveis da administração. As

competências e responsabilidades devem estar identificadas para todos os que
gerem recursos públicos, de forma a se obter resultados adequados;
II – integridade: tem como base a honestidade e objetividade, elevando os

padrões de decência e probidade na gestão dos recursos públicos e das
atividades da organização, com reflexo tanto nos processos de tomada de
decisão, quanto na qualidade de seus relatórios financeiros e de desempenho;
III – responsabilidade: diz respeito ao zelo que se espera dos agentes de

governança na
definição de estratégias e na execução de ações para a aplicação de recursos
públicos, com vistas ao melhor atendimento dos interesses da sociedade;
IV – compromisso: dever de todo o agente público de se vincular, assumir,

agir ou decidir pautado em valores éticos que norteiam a relação com os
envolvidos na prestação de serviços à sociedade, prática indispensável à
implementação da governança;
V – transparência: caracterizada pela possibilidade de acesso a todas as

informações
relativas à organização pública, sendo um dos requisitos de controle do Estado
pela sociedade civil. As informações devem ser completas, precisas e claras
para a adequada tomada de decisão das partes interessas na gestão das
atividades; e
VI – Accountability: obrigação dos agentes ou organizações que gerenciam
recursos
públicos de assumir responsabilidades por suas decisões e pela prestação de
contas de sua atuação de forma voluntária, assumindo integralmente a
consequência de seus atos e omissões.
20
Aula 01
CAIU NA PROVA
(FUNDATEC - Fundação Universidade Empresa de Tecnologia e Ciência

- Analista de Projetos (BRDE) /Economico-Financeira - 2017) De acordo
com o Committee Of Sponsoring Organizations Of The Treadway
Commission (COSO), são componentes de ger enciamento de riscos:
a) Estrutura Organizacional, Filosofia de Gerenciamento, Classificação de
Riscos e Apetite ao Risco.
b) Atividade de Controle, Identificação de Eventos, Gestão Financeira de
Liquidez e Avaliação.
c) Ambiente Interno, Fixação de Objeti vos, Identificação de Eventos,
Avaliação de Riscos, Resposta aos Riscos, Atividade de Controle,
Informações e Comunicações.
d) Análise de Riscos, Probabilidade e Impacto, Tolerância e Apetite ao
Risco.
e) Identificação de Eventos, Avaliação de Riscos, Ativ idades Gerenciais
Contínuas, Avaliações Independentes e Processos Informatizados.
Gabarito: C.
Comentários:
Segundo o COSO II, “o gerenciamento de riscos corporativos é constituído
de oito componentes inter -relacionados, que se originam com base na
maneira como a administração gerencia a organização, e que se integram
ao processo de gestão. Esses componentes são os seguintes:”
Ambiente Interno – A administração estabelece uma filosofia quanto ao
tratamento de riscos e estabelece um limite de apetite a risco . O ambiente
interno determina os conceitos básicos sobre a forma como os riscos e os
controles serão vistos e abordados pelos empregados da organização.
Fixação de Objetivos – Os objetivos devem existir antes que a
administração identifique as situações em potencial que poderão afetar a
realização destes.
Identificação de Eventos – Os eventos em potencial que podem impactar a
organização devem ser identificados, uma vez que esses possíveis eventos,
gerados por fontes internas ou externas, afetam a realiz ação dos objetivos.
Avaliação de Riscos – Os riscos identificados são analisados com a
finalidade de determinar a forma como serão administrados e, depois, serão
associados aos objetivos que podem influenciar.
Resposta a Risco – Os empregados identificam e avaliam as possíveis
respostas aos riscos: evitar, aceitar, reduzir ou compartilhar. A
administração seleciona o conjunto de ações destinadas a alinhar os riscos
às respectivas tolerâncias e ao apetite a risco.
21
Aula 01
Atividades de Controle – Políticas e proce dimentos são estabelecidos e

implementados para assegurar que as respostas aos riscos selecionados
pela administração sejam executadas com eficácia.
Informações e Comunicações – A forma e o prazo em que as informações
relevantes são identificadas, colhidas e comunicadas permitam que as
pessoas cumpram com suas atribuições.
Monitoramento – A integridade do processo de gerenciamento de riscos
corporativos é monitorada e as modificações necessárias são realizadas.
Desse modo, a organização poderá reagir ativa mente e mudar segundo as
circunstâncias. O monitoramento é realizado por meio de atividades
gerenciais contínuas, avaliações independentes ou uma combinação desses
dois procedimentos.
Portanto, alternativa correta é C.
(CESPE - Analista (SERPRO) /Gestão Logística - 2013) Acerca do

gerenciamento de riscos, tendo como base o COSO (Committee of
Sponsoring Organizations of the Treadway Commission) , julgue o item
subsequente.
O gerenciamento de riscos corporativos é um processo vinculado a
estratégias que identificam e administram eventos potencialmente capazes
de afetar a organização.
Gabarito: CERTO.
Comentários:
Item certo. Questão aborda o conceito de gerenciamento de riscos
coorporativos. Manual de Gerenciamento de Riscos Corporativos —
Estrutura Integrada (COSO II), do Committee of Sponsoring Organization:
O gerenciamento de riscos corporativos é um processo conduzido em
uma organização pelo conselho de administração, diretoria e demais
22
Aula 01
empregados, aplicado no estabelecimento de estratégias, formuladas para

identificar em toda a organização eventos em potencial, capazes de
afetá -la, e administrar os riscos de modo a mantê-los compatível com o
apetite a risco da organização e possibilitar garantia razoável do
cumprimento dos seus objetivos.
Essa def inição reflete certos conceitos fundamentais. O gerenciamento de
riscos corporativos é:
um processo contínuo e que flui através da organização ;
conduzido pelos profissionais em todos os níveis da organização;
aplicado à definição das estratégias;
aplicado em toda a organização, em todos os níveis e unidades, e inclui a
formação de uma visão de portfólio de todos os riscos a que ela está
exposta;
formulado para identificar eventos em potencial, cuja ocorrência poderá
afetar a organização, e para administrar os riscos de acordo com seu
apetite a risco;
capa z de propiciar garantia ra zoável para o conselho de administração e a
diretoria executiva de uma organização;
orientado para a realização de objetivos em uma ou mais categorias
distintas, mas dependentes.
Portanto, item certo.
(CESPE - Analista (SERPRO)/Gestão Logística - 2013) Acerca do

gerenciamento de riscos, tendo como base o COSO (Committee of
Sponsoring Organizations of the Treadway Commission) , julgue o item
subsequente.
O gerenciamento de riscos corporativos é constituído de quatro
componentes: estratégias, operações, respostas e avaliação dos riscos.
Gabarito: ERRADO.
Comentários:
Item errado. O gerenciamento de riscos corporativos está associado a
cinco componentes e que proporcionam ao usuário clareza no
desenvolvimento e na implementação dos sistemas de controle interno,
além de compreensão dos requisitos de um controle interno eficaz. Segundo
o COSO I, “existe uma relação direta entre os objetivos, que são o que a
entidade busca alcançar, os c omponentes, que representam o que é
necessário para atingir os objetivos, e a estrutura organizacional da
entidade (as unidades operacionais e entidades legais, entre outras). Essa
relação pode ser ilustrada na forma de um cubo.”
23
Aula 01
O controle interno consi ste em cinco componentes integrados , a seguir:

a) Ambiente de controle: é um conjunto de normas, processos e estruturas
que fornece a base para a condução do controle interno por toda a
organização. A estrutura de governança e a alta administração
estabelecem uma diretriz sobre a importância do controle interno,
inclusive das normas de conduta esperadas . A administração reforça as
expectativas nos vários níveis da organização.
b) Avaliação de riscos: Toda entidade enfrenta vários riscos de origem tanto
interna quanto externa. Define -se risco como a possibilidade de que um
evento ocorra e afete adversamente a realização dos objetivos. A avaliação
de riscos envolve um processo dinâmico e iterativo para identificar e avaliar
os riscos à realização dos objet ivos.
c) Atividades de controle: são ações estabelecidas por meio de políticas e
procedimentos que ajudam a garantir o cumprimento das diretrizes
determinadas pela administração para mitigar os riscos à realização dos
objetivos. As atividades de controle s ão desempenhadas em todos os níveis
da entidade, em vários estágios dentro dos processos corporativos e no
ambiente tecnológico. Podem ter natureza preventiva ou de detecção e
abranger uma série de atividades manuais e automáticas, como
autorizações e apro vações, verificações, reconciliações e revisões de
desempenho do negócio. A segregação de funções é geralmente inserida na
seleção e no desenvolvimento das atividades de controle.
d) Informação e comunicação: a informação é necessária para que a
entidade cumpra responsabilidades de controle interno a fim de apoiar a
realização de seus objetivos. A administração obtém ou gera e utiliza
informações importantes e de qualidade, originadas tanto de fontes internas
quanto externas, a fim de apoiar o funcionament o de outros componentes
do controle interno. A comunicação é o processo contínuo e iterativo de
proporcionar, compartilhar e obter as informações necessárias. A
comunicação interna é o meio pelo qual as informações são transmitidas
para a organização, flui ndo em todas as direções da entidade. Ela permite
24
Aula 01
que os funcionários recebam uma mensagem clara da alta administração de

que as responsabilidades pelo controle devem ser levadas a sério. A
comunicação externa apresenta duas vertentes: permite o recebiment o, pela
organização, de informações externas significativas, e proporciona
informações a partes externas em resposta a requisitos e expectativas.
e) Atividades de monitoramento: uma organização utiliza avaliações
contínuas, independentes, ou uma combinação das duas, para se certificar
da presença e do funcionamento de cada um dos cinco componentes de
controle interno, inclusive a eficácia dos controles nos princípios relativos a
cada componente. As avaliações contínuas, inseridas nos processos
corporativos nos diferentes níveis da entidade, proporcionam informações
oportunas. As avaliações independentes, conduzidas periodicamente, terão
escopos e frequências diferentes, dependendo da avaliação de riscos, da
eficácia das avaliações contínuas e de outras consi derações da
administração.
Portanto, item errado .
25
Aula 01
4. LISTA DE QUESTÕES
1. (CESPE - Técnico Municipal de Controle Interno (CGM João Pessoa) - 2018)
De acordo com o COSO ICIF 2013 (Internal Control — Integrated Framework),
julgue o item subsequente, relativo a controles internos.
Para atender aos objetivos relacionados ao termo compliance, que se refere
basicamente à adesão de determinada instituição a leis e regulamentos, um auditor,
ao analisar o cumprimento de aspectos legais por parte de determinada prefeitura,
deve, por exemplo, verificar se o município está destinando o percentual mínimo de
recursos que, de acordo com a lei, deve ser aplicado em áreas como saúde e
educação.

Controle interno consiste no conjunto de processos desenhados para promover uma
asseguração razoável quanto ao alcance dos objetivos relacionados a operações,
relatórios financeiros e cumprimento das leis.
3. (CESPE - Analista de Controle (TCE-PR) /Contábil - 2016) A respeito de

controles internos, de acordo com o Manual de Gerenciamento de Riscos
Corporativos — Estrutura Integrada (COSO II), do Committee of Sponsoring
Organization, assinale a opção correta.
a) Nas atividades de monitoramento, a organização deve escolher e executar
avaliações para averiguar se os componentes do controle externo estão em
operação.
b) Segundo o COSO II, são quatro os componentes para o gerenciamento de riscos
corporativos: ambiente externo; fixação de objetivos; estabelecimento de riscos;
atividades de controle; e monitoramento.
c) No gerenciamento de riscos corporativos, a fixação dos objetivos será realizada
após a identificação dos eventos, a fim de se determinar quais ações serão
realizadas para cada tipo de risco.
d) Risco inerente é aquele que perdura mesmo depois da resposta dos dirigentes da
organização.
e) Em uma organização, o gerenciamento de riscos corporativos, processo
conduzido pelos seus membros, consiste em estabelecer estratégias para identificar
e administrar potenciais eventos capazes de afetá-la.
4. (CESPE - Auditor de Controle Externo (TCE-PA) / Direito/ Fiscalização - 2016)

Tendo como referência os conceitos relacionados a auditoria governamental
adotados por entidades internacionais, julgue o item a seguir.
Para o COSO, uma das situações capazes de impedir que o controle interno
proporcione segurança absoluta à organização é a limitação resultante de
adequação dos objetivos estabelecidos como condição prévia ao controle interno.
26
Aula 01
5. (CESPE - Auditor Governamental (CGE PI / Geral - 2015) Julgue o próximo

item, referente a estrutura organizacional, objetivos e componentes que
fundamentam o controle interno.
Caso esteja estruturado formalmente, o controle interno de uma instituição pode ser
representado sob a forma de um cubo. Nessa representação, as categorias de
objetivos relacionam-se indiretamente com os componentes, em que pese estarem
no mesmo plano; diferentemente da estrutura organizacional, que está em outra
dimensão.
6. (CESPE - Auditor Governamental (CGE PI) / Geral - 2015) Julgue o próximo

A categorização dos usuários segundo os perfis e o uso de softwares licenciados
são tipos de controles estruturados pela administração para auxiliar a gestão dos
sistemas de informações.

Em uma organização, entre os controles mais conhecidos e difundidos estão os
preventivos e os detectivos. Além desses, encontram-se as ações corretivas, que
são utilizadas para complementar tanto as atividades quanto os procedimentos de
controle.

Na avaliação de riscos, que é uma categoria de objetivos do controle interno, uma
condição prévia é apurar o nível de impacto de possíveis mudanças no resultado
decorrente dos componentes, já que os insumos se originam em diferentes níveis da
entidade.

Por meio do monitoramento, em especial, no que se refere à auto avaliação, o corpo
gerencial de uma organização pode se certificar da origem, presença e regularidade
do funcionamento de determinado componente de controle interno.
27
Aula 01
Os canais normais são veículos de comunicação utilizados pelas organizações para

retransmitir aos usuários as informações pessoais, sigilosas, e as relativas aos
riscos identificados, ao passo que os canais alternativos são meios adequados para
comunicar as informações geradas no curso das operações e as decorrentes de
atos ilegais.
11. (CESPE - Analista Portuário II (EMAP)/Financeira e Auditoria Interna - 2018)

Com relação à governança no setor público, julgue o item a seguir.
A gestão tática é responsável pela execução de processos produtivos finalísticos e
de apoio.

As instâncias externas de governança são responsáveis por definir ou avaliar a
estratégia e as políticas, bem como por monitorar sua conformidade e o
desempenho.
13. (CESPE - Analista de Controle (TCE-PR) /Contábil - 2016) Assinale a opção

correta, a respeito de governança no setor público.
a) A auditoria é entendida como um instrumento de verificação da governança.
b) Um dos princípios de governança no setor público, a prestação de contas por
responsabilidade conferida ao gestor público será obrigatória apenas em
determinadas situações.
c) As instâncias externas de governança responsáveis pelo exercício de fiscalização
e controle são autônomas, mas podem depender de outras organizações.
d) As instâncias internas de governança responsáveis pela avaliação de estratégias
e políticas e pelo monitoramento de conformidade estão impedidas de atuar nas
situações em que desvios forem identificados.
e) No setor público, a governança é analisada sob três perspectivas: sociedade e
Estado; atividades extraorganizacionais; e órgãos e entidades.
14. (FCC - Analista Técnico de Controle Externo (TCE-AM) / Auditoria de Obras

públicas - 2012) No processo de governança, o órgão colegiado que tem
reconhecido de forma legal a possibilidade de manifestações e posicionamentos de
discordância, de forma individual, pelos seus membros é
a) o Comitê de Auditoria.
b) o Conselho de Administração.
c) a Auditoria Externa.
d) o Conselho Jurídico.
e) o Conselho Fiscal.
28
Aula 01
15. (FCC - Analista em Planejamento, Orçamento e Finanças Públicas (SEFAZ

SP) - 2010) A governança corporativa aplicada ao setor público tem em comum,
tanto no Código do IBGC quanto em publicações do IFAC, os princípios básicos da
a) Responsabilidade corporativa e da Prestação de contas.
b) Transparência e da Equidade.
c) Equidade e da Integridade.
d) Integridade e da Responsabilidade corporativa.
e) Prestação de contas e da Transparência.

públicas - 2012) O auditor externo da empresa Padrão S.A. efetuou o mapeamento
da rotina de contratos, no departamento jurídico, avaliando desde a entrada das
minutas dos contratos até a emissão e validação do contrato final. Avaliando esta
situação e considerando as técnicas de identificação de eventos proposta pelo
COSO − (Committee of Sponsoring Organizations of the Treadway Commission),
pode-se classificar essa técnica como
a) análise de fluxo de processo.
b) indicadores preventivos de eventos.
c) metodologia de dados sobre eventos.
d) análise interna.
e) verificação de causa e efeito.
17. (FCC - Analista de Controle (TCE-PR) / Jurídica - 2011) O modelo COSO I é

uma ferramenta que permite ao administrador revisar e melhorar seu sistema de
controle interno e foi estruturado com base em cinco componentes: ambiente interno
ou de controle, avaliação de risco, procedimentos ou atividades de controle,
informação e comunicação e monitoramento. O modelo COSO II pode ser
considerado mais abrangente, pois possuiu, além desses, mais três componentes.
São eles:
a) definição de objetivos, identificação de riscos e resposta aos riscos.
b) definição de objetivos, identificação de riscos e circularização de documentos.
c) tabela de evidências, definição de riscos e circularização de documentos.
d) tabela de evidências, resposta de riscos e circularização de documentos.
e) definição de objetivos, tabela de evidências e resposta de riscos.
18. (CS UFG - Centro de Seleção da Universidade Federal de Goiás - Auditor

(UFG) - 2017) A gestão de riscos refere-se ao processo de aplicação sistemática de
políticas, procedimentos e práticas de gestão para as atividades de comunicação,
estabelecimento do contexto, avaliação, tratamento, monitoramento e análise crítica
dos riscos. A gestão de riscos envolve também a contínua avaliação da eficácia dos
controles internos implantados na organização para
a) uniformizar os riscos gerenciais
29
Aula 01
b) mitigar os riscos relevantes

c) eliminar os riscos críticos
d) corrigir os riscos inerentes.

(UFG) - 2017) Atividades de controle são os meios de prevenção aos riscos
planejados e definidos nas políticas da organização, devendo ser suportados por
normas e regras internas, contendo fluxos operacionais com funções e
procedimentos definidos.
São exemplos de atividades de controle:
a) revisões de desempenho e segregações de funções.
b) conciliação e estrutura organizacional
c) processamento de informações e integridade
d) normatização interna e atribuições de autoridade
20. (CESPE - Auditor (FUB) - 2013) Julgue o item a seguir, relativos ao

componente monitoramento.
Se o monitoramento implementado por uma organização contemplar procedimentos
de avaliações em separado, então nesta organização o monitoramento da
efetividade de seu sistema de controles internos utilizará avaliações de controle
periódicas.
30
Aula 01
GABARITO
1 CERTO
2 CERTO
3 E
4 CERTO
5 ERRADO
6 CERTO
7 CERTO
8 ERRADO
9 ERRADO
10 ERRADO
11 ERRADO
12 ERRADO
13 A
14 E
15 E
16 A
17 A
18 B
19 A
20 CERTO
31
Aula 01
5. QUESTÕES COMENTADAS
Para atender aos objetivos relacionados ao termo compliance, que se refere
basicamente à adesão de determinada instituição a leis e regulamentos, um auditor,
ao analisar o cumprimento de aspectos legais por parte de determinada prefeitura,
deve, por exemplo, verificar se o município está destinando o percentual mínimo de
recursos que, de acordo com a lei, deve ser aplicado em áreas como saúde e
educação.
Comentários:
Item certo. Crepaldi, em sua obra, na versão digital, “Auditoria Contábil: teoria e
prática. 10ª ed. São Paulo: Atlas, 2016, p.45/163 ” explica o conceito de
compliance:
1.8.5 Auditoria de compliance
Objetiva verificar o cumprimento das normas e procedimentos implantados pela
companhia ou pelos órgãos reguladores de determinadas atividades.
Compliance significa estar em conformidade com as leis, os regulamentos
internos e externos e os princípios corporativos que garantem as melhores
práticas do mercado. O objetivo é determinar se certas atividades financeiras
ou operacionais de uma entidade obedecem às regras ou regulamentos que a
elas se aplicam.[...][grifo nosso]
O Sumário Executivo de Controle Interno - Estrutura Integrada (2013, p.6), do
Committee of Sponsoring Organization, apresenta três categorias de objetivos, o que
permite às organizações se concentrarem em diferentes aspectos do controle
interno:
• Operacional – Esses objetivos relacionam-se à eficácia e à eficiência das
operações da entidade, inclusive as metas de desempenho financeiro e operacional
e a salvaguarda de perdas de ativos.
• Divulgação – Esses objetivos relacionam-se a divulgações financeiras e não
financeiras, internas e externas, podendo abranger os requisitos de confiabilidade,
oportunidade, transparência ou outros termos estabelecidos pelas autoridades
normativas, órgãos normatizadores reconhecidos, ou às políticas da entidade.
• Conformidade – Esses objetivos relacionam-se ao cumprimento de leis e
regulamentações às quais a entidade está sujeita.[grifo nosso]
32
Aula 01
Nesse sentido, quando um auditor está verificando se os municípios estão aplicando

os percentuais mínimos de sua receita em educação e saúde (12% e 15%,
respectivamente), conforme a lei exige, então está sendo feita uma auditoria ou
avaliação de conformidade ou de compliance.

Controle interno consiste no conjunto de processos desenhados para promover uma
asseguração razoável quanto ao alcance dos objetivos relacionados a operações,
relatórios financeiros e cumprimento das leis.
Comentários:
Item certo. Os controles internos da entidade são desenvolvidos ou realizados com
o objetivo de garantir com segurança razoável, e não absoluta ou total certeza, de
que seus objetivos serão alcançados. O Sumário Executivo de Controle Interno -
Estrutura Integrada (2013, p.6), do Committee of Sponsoring Organization,
corrobora tal entendimento com a definição de controle interno. Veja:
Controle interno é um processo conduzido pela estrutura de governança,
administração e outros profissionais da entidade, e desenvolvido para proporcionar
segurança razoável com respeito à realização dos objetivos relacionados a
operações, divulgação e conformidade.[grifo nosso]
A Estrutura apresenta três categorias de objetivos, o que permite às organizações se
concentrarem em diferentes aspectos do controle interno:
• Operacional – Esses objetivos relacionam-se à eficácia e à eficiência das
operações da entidade, inclusive as metas de desempenho financeiro e operacional
e a salvaguarda de perdas de ativos.
• Divulgação – Esses objetivos relacionam-se a divulgações financeiras e não
financeiras, internas e externas, podendo abranger os requisitos de confiabilidade,
oportunidade, transparência ou outros termos estabelecidos pelas autoridades
normativas, órgãos normatizadores reconhecidos, ou às políticas da entidade.
• Conformidade – Esses objetivos relacionam-se ao cumprimento de leis e
regulamentações às quais a entidade está sujeita.[grifo nosso]
33
Aula 01
3. (CESPE - Analista de Controle (TCE-PR) / Contábil - 2016) A respeito de

controles internos, de acordo com o Manual de Gerenciamento de Riscos
Corporativos — Estrutura Integrada (COSO II), do Committee of Sponsoring
Organization, assinale a opção correta.
a) Nas atividades de monitoramento, a organização deve escolher e executar
avaliações para averiguar se os componentes do controle externo estão em
operação.
b) Segundo o COSO II, são quatro os componentes para o gerenciamento de riscos
corporativos: ambiente externo; fixação de objetivos; estabelecimento de riscos;
atividades de controle; e monitoramento.
c) No gerenciamento de riscos corporativos, a fixação dos objetivos será realizada
após a identificação dos eventos, a fim de se determinar quais ações serão
realizadas para cada tipo de risco.
d) Risco inerente é aquele que perdura mesmo depois da resposta dos dirigentes da
organização.
e) Em uma organização, o gerenciamento de riscos corporativos, processo
conduzido pelos seus membros, consiste em estabelecer estratégias para identificar
e administrar potenciais eventos capazes de afetá-la.
Comentários:
A questão aborda aspectos gerais de controle interno, de acordo com o Manual de
Gerenciamento de Riscos Corporativos — Estrutura Integrada (COSO II), do
Committee of Sponsoring Organization.
COSO é o Comitê das Organizações Patrocinadas, da Comissão Nacional sobre
Fraudes em Relatórios Financeiros. É uma entidade do setor privado, sem fins
lucrativos, voltada para o aperfeiçoamento da qualidade de relatórios financeiros.
Segundo esse COSO II, o Controle Interno apresenta oito componentes, a saber:
1. Ambiente de Controle: demonstra o grau e comprometimento em todos os
níveis da administração, com a qualidade do controle interno em seu conjunto.
2. Avaliação de Riscos: identifica os eventos ou das condições que podem
afetar a qualidade da informação contábil e avaliação dos riscos identificados.
3.Atividades de Controle: medidas e ações integrantes de um sistema de
controle que, se estabelecidas de forma tempestiva e adequada, podem vir a
prevenir ou administrar os riscos inerentes ou em potencial da entidade.
4. Informações e Comunicações: identifica, armazena e comunica toda
informação relevante, a fim de permitir a realização dos procedimentos
estabelecidos.
5. Monitoramento: compreende o acompanhamento da qualidade do controle
interno, visando assegurar a sua adequação aos objetivos, ao ambiente, aos
recursos e aos riscos. Pressupõe uma atividade desenvolvida ao longo do
tempo.
6. Definição/Fixação de objetivos: definidos pela alta administração, os
objetivos devem ser divulgados a todos os componentes da organização,
antes da identificação dos eventos que possam influenciar na consecução dos
objetivos.
34
Aula 01
7. Identificação de eventos: pode-se planejar o tratamento adequado para as

oportunidades e para os riscos, que devem ser entendidos como parte de um
contexto, e não de forma isolada.
8. Resposta ao risco: para cada risco identificado, será prevista uma resposta,
que pode ser de 4 tipos: evitar, aceitar, compartilhar ou reduzir.
Os componentes de 1 a 5 (cor verde) são comuns ao COSO I e COSO II. Já os
ambientes de 6 a 8 (cor vermelha) são inerentes, somente, ao COSO II.
Comentário das alternativas:

Letra A) ERRADA. Houve inversão do controle - “externo” ao invés de “interno”.
Letra B) ERRADA. Houve inversão da quantidade de componentes que compõem
os componentes do controle interno - “quatro” ao invés de “oito”, conforme
explicação no início da questão.
Letra C) ERRADA. Houve inversão do momento da identificação desse evento -
“após” ao invés de “antes”.
Letra D) ERRADA. Houve inversão de risco “residual” ao invés de risco “inerente”.
Por outro lado, Risco inerente é o risco que uma organização terá de enfrentar na
falta de medidas que a administração possa adotar para alterar a probabilidade ou o
impacto dos eventos.
Letra E) CORRETA. Essa informação está alinha à definição de gerenciamento de
risco coorporativo.
Conforme o Manual de Gerenciamento de Riscos Corporativos — Estrutura
Integrada (COSO II):
O gerenciamento de riscos corporativos é um processo conduzido em uma
organização pelo conselho de administração, diretoria e demais empregados,
aplicado no estabelecimento de estratégias, formuladas para identificar em toda a
organização eventos em potencial, capazes de afetá-la, e administrar os riscos
de modo a mantê-los compatível com o apetite a risco da organização e
possibilitar garantia razoável do cumprimento dos seus objetivos.[grifo nosso]
35
Aula 01
Portanto, alternativa correta é E.
4. (CESPE - Auditor de Controle Externo (TCE-PA) /Direito/ Fiscalização - 2016)

Tendo como referência os conceitos relacionados a auditoria governamental
adotados por entidades internacionais, julgue o item a seguir.
Para o COSO, uma das situações capazes de impedir que o controle interno
proporcione segurança absoluta à organização é a limitação resultante de
adequação dos objetivos estabelecidos como condição prévia ao controle interno.
Comentários:
Item certo. Não há controle interno que garanta segurança absoluta, mas apenas
razoável, quanto aos objetivos da organização.
Segundo o Manual de Controle Interno - Estrutura Integrada – Sumário Executivo
(COSO I):
Controle interno é um processo conduzido pela estrutura de governança,
administração e outros profissionais da entidade, e desenvolvido para proporcionar
segurança razoável com respeito à realização dos objetivos relacionados a
operações, divulgação e conformidade.[grifo nosso]
Além disso, essa mesma norma esclarece que:
A Estrutura reconhece que, embora o controle interno proporcione segurança
razoável quanto à realização dos objetivos da entidade, existem limitações.
O controle interno não é capaz de evitar julgamentos errôneos ou más decisões,
ou ainda eventos externos que impeçam a organização de atingir suas metas
operacionais. Em outras palavras, até mesmo um sistema eficaz de controle interno
pode apresentar falhas. [...]

Caso esteja estruturado formalmente, o controle interno de uma instituição pode ser
representado sob a forma de um cubo. Nessa representação, as categorias de
objetivos relacionam-se indiretamente com os componentes, em que pese estarem
no mesmo plano; diferentemente da estrutura organizacional, que está em outra
dimensão.
Comentários:
Item errado. Segundo o COSO (Gerenciamento de Riscos Corporativos - Estrutura
Integrada), existe um relacionamento direto entre os objetivos, que uma
organização empenha-se em alcançar, e os componentes do gerenciamento de
riscos corporativos, que representam aquilo que é necessário para o seu alcance.
Esse relacionamento é apresentado em uma matriz tridimensional em forma de
cubo.
Portanto, item errado, devido às categorias de objetivos se relacionam diretamente
com os componentes, em que pese estarem em planos diferentes (relacionamento é
apresentado em uma matriz tridimensional em forma de cubo).
36
Aula 01

A categorização dos usuários segundo os perfis e o uso de softwares licenciados
são tipos de controles estruturados pela administração para auxiliar a gestão dos
sistemas de informações.
Comentários:
Item certo. Segundo o COSO (Gerenciamento de Riscos Corporativos - Estrutura
Integrada), “a dependência cada vez maior em relação a sistemas de informações
para auxiliar a operação de uma organização e para atender aos objetivos de
comunicação e ao cumprimento de políticas traz a necessidade de controle dos
sistemas mais significativos. Dois grupos amplos de atividades de controle dos
sistemas de informação podem ser utilizados. O primeiro diz respeito aos controles
gerais, que se aplicam a praticamente todos os sistemas e contribuem para
assegurar uma operação adequada e contínua”. O segundo grupo é o dos
controles de aplicativos, que incluem etapas para avaliar o processo por meio de
códigos de programação dentro do software. Os controles gerais e os de
aplicativos, em conjunto com os processos de controle manual, quando
necessários, asseguram a integridade, a precisão e a validade das
informações.
Os controles gerais estendem-se pela administração da tecnologia da informação,
pela infraestrutura da tecnologia da informação, pela administração da segurança,
pela aquisição de software, pelo desenvolvimento e pela manutenção. Esses
controles aplicam-se a todos os sistemas: os de grande porte ou mainframe para
cliente/servidor aos ambientes de computadores portáteis e os de mesa. Alguns
exemplos de controles comuns nessas categorias: Administração da Tecnologia da
Informática, Infraestrutura da Tecnologia da Informática (categorização dos
usuários segundo os perfis), Administração da Segurança; Aquisição,
Desenvolvimento e Manutenção de Software ( uso de softwares licenciados).

Em uma organização, entre os controles mais conhecidos e difundidos estão os
preventivos e os detectivos. Além desses, encontram-se as ações corretivas, que
são utilizadas para complementar tanto as atividades quanto os procedimentos de
controle.
Comentários:
Item certo. Segundo o COSO (Gerenciamento de Riscos Corporativos - Estrutura
Integrada), geralmente, implementa-se uma combinação de controles para tratar das
respostas relacionadas a riscos. A administração de uma Companhia, por exemplo,
estabelece limites para transações, a fim de administrar os riscos relacionados com
um dado portfólio de investimentos, e cria atividades de controle específicas para
assegurar que os limites das transações não sejam ultrapassados. As atividades de
controle incluem os preventivos, que evitam a concretização de determinadas
transações, e os de detecção, que identificam outras transações discrepantes
37
Aula 01
oportunamente. Além disso, de modo geral, as atividades de controle incluem dois

elementos: uma política que estabelece aquilo que deverá ser feito e os
procedimentos para fazê-la ser cumprida. O procedimento é a própria revisão,
realizada oportunamente e com especial atenção para os fatores estabelecidos na
política, como a natureza e o volume dos títulos transacionados e o volume destes
em relação ao patrimônio líquido e à idade do cliente. Muitas vezes, as políticas são
comunicadas verbalmente. As que não são escritas podem ser eficazes quando
existem há muito tempo e são adequadamente entendidas, e nas pequenas
organizações em que os canais de comunicação envolvem poucas camadas
gerenciais e existe uma estreita interação e supervisão dos empregados. No
entanto, independentemente do fato de estar escrita ou não, uma política deve ser
implementada com atenção, de forma conscienciosa e consistente. Um
procedimento não terá nenhuma utilidade se for executado mecanicamente, sem um
enfoque nítido e contínuo nas condições às quais a política se destina. Ademais, é
essencial que as condições identificadas em razão do procedimento sejam
analisadas e que medidas corretivas apropriadas sejam adotadas.

Na avaliação de riscos, que é uma categoria de objetivos do controle interno, uma
condição prévia é apurar o nível de impacto de possíveis mudanças no resultado
decorrente dos componentes, já que os insumos se originam em diferentes níveis da
entidade.
Comentários:
Integrada), há 4 (quatro) categorias de objetivos (estratégicos, operacionais, de
comunicação e conformidade) estão representadas nas colunas verticais. Os 8 (oito)
componentes nas linhas horizontais e as unidades de uma organização na terceira
dimensão. Essa representação ilustra a capacidade de manter o enfoque na
totalidade do gerenciamento de riscos de uma organização, ou na categoria de
objetivos, componentes, unidade da organização ou qualquer um dos subconjuntos.
38
Aula 01
Portanto, item errado, pois Avaliação de Riscos não é uma categoria de objetivos,
mas um dos 8 (oito) componentes que compõe o controle interno. Além disso, na
Avaliação de Riscos – os riscos identificados são analisados com a finalidade de
determinar a forma como serão administrados e, depois, serão associados aos
objetivos que podem influenciar. Avaliam-se os riscos considerando seus efeitos
inerentes e residuais, bem como sua probabilidade e seu impacto.

Por meio do monitoramento, em especial, no que se refere à auto avaliação, o corpo
gerencial de uma organização pode se certificar da origem, presença e regularidade
do funcionamento de determinado componente de controle interno.
Comentários:
Item errado. É por meio do Ambiente de Controle (demonstra o grau e
comprometimento em todos os níveis da administração, com a qualidade do controle
interno em seu conjunto, segundo o COSO II), que o corpo gerencial de uma
organização pode se certificar da origem, presença e regularidade do funcionamento
de determinado componente de controle interno, e não por meio do monitoramento.
10. (CESPE - Auditor Governamental (CGE PI) / 2015 / / Geral - 2015) Julgue o
próximo item, referente a estrutura organizacional, objetivos e componentes que
Os canais normais são veículos de comunicação utilizados pelas organizações para
retransmitir aos usuários as informações pessoais, sigilosas, e as relativas aos
riscos identificados, ao passo que os canais alternativos são meios adequados para
comunicar as informações geradas no curso das operações e as decorrentes de
atos ilegais.
Comentários:
Integrada), a administração fornece comunicações específicas e dirigidas que
abordam as expectativas de comportamento e as responsabilidades do pessoal. Isso
inclui uma clara definição da filosofia e da abordagem do gerenciamento de riscos
corporativos, além de uma clara delegação de autoridade. A comunicação referente
aos processos e aos procedimentos deverá alinhar-se e apoiar a cultura desejada.
As informações geradas no decorrer das atividades operacionais são
geralmente comunicadas pelos canais normais aos superiores imediatos.
Estes, por sua vez, podem estender a comunicação em direção ascendente ou
lateral na organização, de modo que as informações acabem nas mãos de pessoas
que podem e devem atuar em relação a estas. Canais de comunicação
alternativos também devem existir para o relato de informações sensíveis,
como atos ilegais ou impróprios.
Portanto, item errado, pois as informações sigilosas utilizam os canais alternativos
e informações geradas no curso das operações utilizam os canais normais.
39
Aula 01

A gestão tática é responsável pela execução de processos produtivos finalísticos e
de apoio.
Comentários:
Item errado. Há estruturas que contribuem para a boa governança da organização:
a administração executiva, a gestão tática e a gestão operacional. A gestão tática é
responsável por coordenar a gestão operacional em áreas específicas. Por outro
lado, a gestão operacional é quem fica responsável pela execução de processos
produtivos finalísticos e de apoio. Dessa forma, o item inverteu a finalidade da
gestão tática com a operacional. Essa informação está expressa no Referencial
Básico de Governança aplicável a Órgãos e Entidades da Administração Pública
(TCU, 2014,p.27):
portanto, as estruturas administrativas (instâncias), os processos de trabalho, os
instrumentos (ferramentas, documentos etc), o fluxo de informações e o
comportamento de pessoas envolvidas direta, ou indiretamente, na avaliação, no
direcionamento e no monitoramento da organização. De forma simplificada, esse
sistema pode ser assim representado (Figura 5):
40
Aula 01
Nota-se, nesse sistema, que algumas instâncias foram destacadas: as instâncias

externas de governança; as instâncias externas de apoio à governança; as
instâncias internas de governança; e as instâncias internas de apoio à governança.
a) As instâncias externas de governança são responsáveis pela fiscalização, pelo
controle e pela regulação, desempenhando importante papel para promoção da
governança das organizações públicas. São autônomas e independentes, não
estando vinculadas apenas a uma organização. Exemplos típicos dessas estruturas
são o Congresso Nacional e o Tribunal de Contas da União.
b) As instâncias externas de apoio à governança são responsáveis pela avaliação,
auditoria e monitoramento independente e, nos casos em que disfunções são
identificadas, pela comunicação dos fatos às instâncias superiores de governança.
Exemplos típicos dessas estruturas as auditorias independentes e o controle social
organizado.
c) As instâncias internas de governança são responsáveis por definir ou avaliar a
estratégia e as políticas, bem como monitorar a conformidade e o desempenho
destas, devendo agir nos casos em que desvios forem identificados. São, também,
responsáveis por garantir que a estratégia e as políticas formuladas atendam ao
interesse público servindo de elo entre principal e agente. Exemplos típicos dessas
estruturas são os conselhos de administração ou equivalentes e, na falta desses, a
alta administração.
d) As instâncias internas de apoio à governança realizam a comunicação entre
partes interessadas internas e externas à administração, bem como auditorias
internas que avaliam e monitoram riscos e controles internos, comunicando
quaisquer disfunções identificadas à alta administração. Exemplos típicos dessas
estruturas são a ouvidoria, a auditoria interna, o conselho fiscal, as comissões e os
comitês.
Além dessas instâncias, existem outras estruturas que contribuem para a boa
governança da organização: a administração executiva, a gestão tática e a gestão
operacional.
a) A administração executiva é responsável por avaliar, direcionar e monitorar,
internamente, o órgão ou a entidade. A autoridade máxima da organização e os
dirigentes superiores são os agentes públicos que tipicamente, atuam nessa
estrutura. De forma geral, enquanto a autoridade máxima é a principal responsável
pela gestão da organização, os dirigentes superiores (gestores de nível estratégico e
administradores executivos diretamente ligados à autoridade máxima) são
responsáveis por estabelecer políticas e objetivos e prover direcionamento para a
organização.
b) A gestão tática é responsável por coordenar a gestão operacional em áreas
específicas. Os dirigentes que integram o nível tático da organização (p. ex.
secretários) são os agentes públicos que, tipicamente, atuam nessa estrutura.
c) A gestão operacional é responsável pela execução de processos produtivos
finalísticos e de apoio. Os gerentes, membros da organização que ocupam cargos
ou funções a partir do nível operacional (p. ex. diretores, gerentes, supervisores,
chefes), são os agentes públicos que, tipicamente, atuam nessa estrutura. [grifo
nosso]
Portanto, item errado.
41
Aula 01

As instâncias externas de governança são responsáveis por definir ou avaliar a
estratégia e as políticas, bem como por monitorar sua conformidade e o
desempenho.
Comentários:
Item errado. Há estruturas que contribuem para a boa governança da organização:
as instâncias externas de governança; as instâncias externas de apoio à
governança; as instâncias internas de governança; e as instâncias internas de apoio
à governança. As instâncias internas de governança são responsáveis por definir ou
desempenho destas, devendo agir nos casos em que desvios forem identificados.
Por outro lado, as instâncias externas de governança são responsáveis pela
fiscalização, pelo controle e pela regulação, desempenhando importante papel para
promoção da governança das organizações públicas. Dessa forma, o item inverteu a
finalidade da instância interna com a externa. Essa informação está expressa no
Referencial Básico de Governança aplicável a Órgãos e Entidades da Administração
Pública (TCU, 2014,p.27):
portanto, as estruturas administrativas (instâncias), os processos de trabalho, os
instrumentos (ferramentas, documentos etc), o fluxo de informações e o
sistema pode ser assim representado (Figura 5):
42
Aula 01

a) As instâncias externas de governança são responsáveis pela fiscalização,
pelo controle e pela regulação, desempenhando importante papel para
promoção da governança das organizações públicas. São autônomas e
independentes, não estando vinculadas apenas a uma organização. Exemplos
típicos dessas estruturas são o Congresso Nacional e o Tribunal de Contas da
União.
organizado.
c) As instâncias internas de governança são responsáveis por definir ou
desempenho destas, devendo agir nos casos em que desvios forem
identificados. São, também, responsáveis por garantir que a estratégia e as
políticas formuladas atendam ao interesse público servindo de elo entre principal e
agente. Exemplos típicos dessas estruturas são os conselhos de administração ou
equivalentes e, na falta desses, a alta administração.
comitês.
Além dessas instâncias, existem outras estruturas que contribuem para a boa
governança da organização: a administração executiva, a gestão tática e a gestão
operacional.
a) A administração executiva é responsável por avaliar, direcionar e monitorar,
internamente, o órgão ou a entidade. A autoridade máxima da organização e os
dirigentes superiores são os agentes públicos que tipicamente, atuam nessa
estrutura. De forma geral, enquanto a autoridade máxima é a principal responsável
pela gestão da organização, os dirigentes superiores (gestores de nível estratégico e
administradores executivos diretamente ligados à autoridade máxima) são
responsáveis por estabelecer políticas e objetivos e prover direcionamento para a
organização.
b) A gestão tática é responsável por coordenar a gestão operacional em áreas
específicas. Os dirigentes que integram o nível tático da organização (p. ex.
secretários) são os agentes públicos que, tipicamente, atuam nessa estrutura.
c) A gestão operacional é responsável pela execução de processos produtivos
finalísticos e de apoio. Os gerentes, membros da organização que ocupam cargos
ou funções a partir do nível operacional (p. ex. diretores, gerentes, supervisores,
chefes), são os agentes públicos que, tipicamente, atuam nessa estrutura. [grifo
nosso]
Portanto, item errado.
43
Aula 01
13. (CESPE - Analista de Controle (TCE-PR) /Contábil - 2016) Assinale a opção

correta, a respeito de governança no setor público.
a) A auditoria é entendida como um instrumento de verificação da governança.
b) Um dos princípios de governança no setor público, a prestação de contas por
responsabilidade conferida ao gestor público será obrigatória apenas em
determinadas situações.
c) As instâncias externas de governança responsáveis pelo exercício de fiscalização
e controle são autônomas, mas podem depender de outras organizações.
d) As instâncias internas de governança responsáveis pela avaliação de estratégias
e políticas e pelo monitoramento de conformidade estão impedidas de atuar nas
situações em que desvios forem identificados.
e) No setor público, a governança é analisada sob três perspectivas: sociedade e
Estado; atividades extraorganizacionais; e órgãos e entidades.
Comentários:
Questão aborda aspectos gerais de governança no setor público, segundo
Referencial Básico de Governança aplicável a órgãos e entidades da administração
pública (Brasília, 2014), segunda versão, elaborado pelo Tribunal de Contas da
União. Segundo esse Referencial, “o sistema de governança reflete a maneira como
diversos atores se organizam, interagem e procedem para obter boa governança.
Envolve, portanto, as estruturas administrativas (instâncias), os processos de
trabalho, os instrumentos (ferramentas, documentos etc), o fluxo de informações e o
sistema pode ser assim representado (Figura 5):”
44
Aula 01
Além disso, na mesma direção, esse Referencial explica que:

a) As instâncias externas de governança são responsáveis pela fiscalização, pelo
controle e pela regulação, desempenhando importante papel para promoção da
governança das organizações públicas. São autônomas e independentes, não
estando vinculadas apenas a uma organização. Exemplos típicos dessas
estruturas são o Congresso Nacional e o Tribunal de Contas da União.
organizado.
c) As instâncias internas de governança são responsáveis por definir ou avaliar a
estratégia e as políticas, bem como monitorar a conformidade e o desempenho
destas, devendo agir nos casos em que desvios forem identificados. São, também,
responsáveis por garantir que a estratégia e as políticas formuladas atendam ao
interesse público servindo de elo entre principal e agente. Exemplos típicos dessas
estruturas são os conselhos de administração ou equivalentes e, na falta desses, a
alta administração.
45
Aula 01

comitês. [grifo nosso]
Após essas considerações iniciais, analisaremos cada alternativa:
Letra A) CORRETA. Tanto a auditoria externa (instância externa) quanto à interna
(instância interna) servem de instrumento de verificação da governança, uma vez
que ambos compõem o Sistema de Governança e estão em conformidade com esse
referencial. Veja:
[...]
b) As instâncias externas de apoio à governança são responsáveis pela
avaliação, auditoria e monitoramento independente e, nos casos em que
disfunções são identificadas, pela comunicação dos fatos às instâncias
superiores de governança. Exemplos típicos dessas estruturas as auditorias
independentes e o controle social organizado.
[...]
quaisquer disfunções identificadas à alta administração. Exemplos típicos
dessas estruturas são a ouvidoria, a auditoria interna, o conselho fiscal, as
comissões e os comitês. [grifo nosso]
Letra B) ERRADA. Segundo esse Referencial, todas as pessoas ou entidades que
tenham recebido recursos públicos devem prestar de contas (accountability). Veja:
Accountability: As normas de auditoria da Intosai conceituam accountability como a
obrigação que têm as pessoas ou entidades às quais se tenham confiado
recursos, incluídas as empresas e organizações públicas, de assumir as
responsabilidades de ordem fiscal, gerencial e programática que lhes foram
conferidas, e de informar a quem lhes delegou essas responsabilidades
(BRASIL, 2011). Espera-se que os agentes de governança prestem contas de
sua atuação de forma voluntária, assumindo integralmente as consequências de
seus atos e omissões (IBGC, 2010).[grifo nosso]
Letra C) ERRADA. Essas instâncias externas são autônomas e independentes, não
estando vinculadas apenas a uma organização. Exemplos típicos dessas estruturas
são o Congresso Nacional e o Tribunal de Contas da União.(ver considerações no
início da questão)
Letra D) ERRADA. Essas instâncias internas comunicam quaisquer disfunções
identificadas à alta administração. (ver considerações no início da questão)
Letra E) ERRADA. São quatro perspectivas, ao invés de três. Além disso, são as
atividades intragovernamentais ao invés das extras que faz dessas perspectivas.
Veja:
De forma geral os três mecanismos propostos (liderança, estratégia e controle)
podem ser aplicados a qualquer uma das quatro perspectivas de observação
(sociedade e Estado; entes federativos, esferas de poder e políticas públicas;
46
Aula 01
órgãos e entidades; e atividades intraorganizacionais), devendo, no entanto,

estarem alinhados de forma a garantir que direcionamentos de altos níveis se
reflitam em ações práticas pelos níveis subalternos. [grifo nosso]
Portanto, alternativa correta é A.

públicas - 2012) No processo de governança, o órgão colegiado que tem
reconhecido de forma legal a possibilidade de manifestações e posicionamentos de
discordância, de forma individual, pelos seus membros é
a) o Comitê de Auditoria.
b) o Conselho de Administração.
c) a Auditoria Externa.
d) o Conselho Jurídico.
e) o Conselho Fiscal.
Comentários:
Segundo o Guia de Orientação para o Conselho Fiscal (2005, p.11), do Instituto
Brasileiro de Governança Corporativa:
O conselho fiscal é um órgão fiscalizador independente da diretoria e do
conselho de administração, que busca, através dos princípios da
transparência, equidade e prestação de contas, contribuir para o melhor
desempenho da companhia. Pode servir como instrumento legal de
implementação de uma política ativa de boas práticas de governança corporativa
direcionada especialmente para a transparência e controle dos atos internos da
companhia, quando o órgão e os seus membros atenderem a requisitos e regras de
funcionamento que assegurem a efetividade de sua atuação e, especialmente, sua
independência.
Os limites de atuação e a sintonia entre o conselho fiscal e o comitê de auditoria do
conselho de administração devem ser sempre levados em conta na estruturação do
comitê, considerando o tamanho da organização e a realidade brasileira, mas
sempre procurando preservar a identidade e a independência entre estes órgãos.
[grifo nosso]
Em relação à possibilidade de manifestações e posicionamentos de discordância:
O parecer do conselho fiscal é o instrumento pelo qual o órgão presta contas de
suas atividades à Assembleia que o elegeu. O conselho fiscal também deverá emitir
opinião à Assembleia sobre os temas previstos em lei, como: modificação do capital
social, emissão de debêntures ou bônus de subscrição, planos de investimento ou
orçamento de capital, distribuição de dividendos e juros sobre o capital próprio e
transformação, incorporação ou cisão da empresa.
Ao declarar que as demonstrações financeiras e as contas do exercício estão em
condições de serem apreciadas pela Assembleia, o conselho fiscal afirma que todas
as transações ocorridas no exercício, e de seu conhecimento, estão adequadamente
consignadas nas demonstrações que estão sendo encaminhadas à apreciação. Isto
pressupõe que os conselheiros tiveram no exercício uma atuação pró-ativa, dentro
dos limites da lei, e se constitui, portanto, na prestação de contas aos acionistas que
os elegeram.
47
Aula 01
No caso de divergência de qualquer ordem do conselho fiscal ou de

conselheiros fiscais, recomenda-se ouvir a administração e os auditores
independentes buscando elidir os entendimentos divergentes. Mantidos os
entendimentos divergentes, cabe ao conselho fiscal emitir opinião que
ressalve ou rejeite as contas e/ou as demonstrações financeiras. Caso a
maioria dos membros do conselho fiscal decida pela aceitação das contas e/ou as
demonstrações financeiras, deve consignar no parecer que foi vencida a opinião do
conselheiro divergente, expressando no parecer as razões da sua divergência; caso
não aceita pela maioria dos conselheiros fiscais a consignação em parecer, deve o
conselheiro divergente consignar sua divergência na ata da reunião que examinou
as contas e as demonstrações financeiras e apresentar o seu parecer diretamente à
assembleia. [grifo nosso]
15. (FCC - Analista em Planejamento, Orçamento e Finanças Públicas (SEFAZ

SP) - 2010) A governança corporativa aplicada ao setor público tem em comum,
tanto no Código do IBGC quanto em publicações do IFAC, os princípios básicos da
a) Responsabilidade corporativa e da Prestação de contas.
b) Transparência e da Equidade.
c) Equidade e da Integridade.
d) Integridade e da Responsabilidade corporativa.
e) Prestação de contas e da Transparência.
Comentários:
Questão aborda os princípios da Governança corporativa aplicada ao setor público
tem em comum, tanto no Código do IBGC quanto em publicações do IFAC
(Intemational Federation of Accoutants).
Segundo o Instituto Brasileiro de Governança Corporativa (IGBC), princípios básicos
de Governança Corporativa:
Transparência: mais do que a obrigação de informar é o desejo de disponibilizar
para as partes interessadas as informações que sejam de seu interesse e não
apenas aquelas impostas por disposições de leis ou regulamentos. A adequada
transparência resulta em um clima de confiança, tanto internamente quanto nas
relações da empresa com terceiros. Não deve restringir-se ao desempenho
econômico-financeiro, contemplando também os demais fatores (inclusive
intangíveis) que norteiam a ação gerencial e que conduzem à criação de valor.
Equidade: caracteriza-se pelo tratamento justo de todos os sócios e demais partes
interessadas (stakeholders). Atitudes ou políticas discriminatórias, sob qualquer
pretexto, são totalmente inaceitáveis.
Prestação de Contas (accountability): os agentes de governança devem prestar
contas de sua atuação, assumindo integralmente as consequências de seus atos e
omissões.
Responsabilidade Corporativa: os agentes de governança devem zelar pela
sustentabilidade das organizações, visando à sua longevidade, incorporando
considerações de ordem social e ambiental na definição dos negócios e operações.
48
Aula 01
Segundo o IFAC, os princípios de governança estão dispostos no capítulo 3

(Principles of Governance), especificamente nos itens 061 e 062, quais sejam:
Openness (Transparência), Integrity (Integridade) e Accountability (Prestação de
Contas). Ressalte-se que esses princípios se aplicam tanto ao setor público quanto
ao setor privado. Veja:
“061 The Report of the Committee on the Financial Aspects of Corporate
Governance (the Cadbury report) defined corporate governance as “the system by
which organizations are directed and controlled”. It identified the three fundamental
principles of corporate governance as:
• openness;
• integrity; and
• accountability.
.062 These principles are relevant to public sector entities as they are to
private sector entities. They apply equally to all public sector entities, irrespective of
whether governing bodies are elected or appointed, and whether or not they
comprise a group of people or an individual.” [grifo nosso]

públicas - 2012) O auditor externo da empresa Padrão S.A. efetuou o mapeamento
da rotina de contratos, no departamento jurídico, avaliando desde a entrada das
minutas dos contratos até a emissão e validação do contrato final. Avaliando esta
situação e considerando as técnicas de identificação de eventos proposta pelo
COSO − (Committee of Sponsoring Organizations of the Treadway Commission),
pode-se classificar essa técnica como
a) análise de fluxo de processo.
b) indicadores preventivos de eventos.
c) metodologia de dados sobre eventos.
d) análise interna.
e) verificação de causa e efeito.
Comentários:
Questão específica e DIFÍCIL que aborda uma das técnicas de identificação de
eventos proposta pelo COSO. Os fluxogramas ou diagramas de fluxo de
processos são a representação visual dos passos de um processo. O início de
tudo deve ser o desenho do processo. Os fluxogramas são importantes na
produção, mas podem trazer grandes melhorias no trabalho e funções
administrativas. São usados para identificar o fluxo atual ou ideal de
acompanhamento de um produto/serviço, no sentido de identificar desvios
(FERNANDES, 2002).
Há técnicas de identificação de eventos, conforme o anexo 4.1, do Manual de
Gerenciamento de Riscos Corporativos — Estrutura Integrada (COSO II):
Inventário de eventos – trata-se da relação detalhada de eventos em potencial
comuns às organizações de um cenário industrial, ou para um determinado tipo de
processo, ou atividade, comum às indústrias. Alguns softwares podem gerar listas
49
Aula 01
de eventos relevantes originárias de uma base geral de potenciais eventos, que

servirão como ponto de partida para se identificar eventos. Por exemplo, uma
organização envolvida em um projeto de desenvolvimento de software utiliza-se de
uma relação detalhada de possíveis eventos referentes a projetos desse tipo.
Análise interna – pode ser realizada como parte da rotina do ciclo de planejamento
de negócios, tipicamente por meio de reuniões dos responsáveis pela unidade de
negócios.
Alçadas e limites – esses gatilhos servem para alertar a administração sobre áreas
de preocupação pela comparação de transações ou ocorrências atuais com critérios
predefinidos. Uma vez acionado o gatilho, um evento poderá necessitar de nova
avaliação ou de uma resposta imediata. Por exemplo, a administração de uma
organização monitora o volume de vendas nos mercados determinados para receber
novos programas de marketing ou publicitários e redireciona seus recursos com
base nos resultados. Outra organização pesquisa as estruturas de preços da
concorrência e considera a hipótese de alterar os seus próprios preços se um limite
específico for atingido.
Seminários e entrevistas com facilitadores – essas técnicas identificam eventos com
base na experiência e no conhecimento acumulado da administração, do pessoal ou
de outras partes interessadas por meio de discussões estruturadas. O facilitador
liderará um debate sobre eventos que possam afetar a realização dos objetivos de
uma organização ou unidade.
Análise de fluxo de processo – essa técnica reúne as entradas, as tarefas, as
responsabilidades e as saídas que se combinam para formar um processo.
Considerando-se os fatores internos e externos que afetam as entradas ou as
atividades em um processo, a organização identifica os eventos que podem afetar o
cumprimento dos objetivos deste. Por exemplo, um laboratório médico mapeia os
seus processos de recebimento e a análise de amostras de sangue. Ao utilizar
mapas de processo, o laboratório considera uma série de fatores que podem afetar
as entradas, as tarefas e as responsabilidades, identificando os riscos relacionados
com a rotulagem de amostras, as transferências do fluxo dentro do processo e as
mudanças de turno do pessoal.
Indicadores preventivos de eventos – ao monitorar dados associados aos eventos,
as organizações identificam a existência de condições que poderiam originar um
evento.
Metodologias de dados sobre eventos de perda – as bases de dados sobre eventos
individuais de perdas passados representam uma fonte útil de informações para
identificar as tendências e a raiz dos problemas. Após ter identificado uma raiz, a
administração poderá decidir que é mais eficaz avaliá-la e tratá-la do que abordar
eventos individuais.
Analisando a situação apresentada - mapeamento da rotina de contratos, no
departamento jurídico, avaliando desde a entrada das minutas dos contratos até a
emissão e validação do contrato final (saída) - com as alternativas, conclui-se que a
técnica adotada é classificada como sendo análise de fluxo de processo.
50
Aula 01
17. (FCC - Analista de Controle (TCE-PR) / Jurídica - 2011) O modelo COSO I é

uma ferramenta que permite ao administrador revisar e melhorar seu sistema de
controle interno e foi estruturado com base em cinco componentes: ambiente interno
ou de controle, avaliação de risco, procedimentos ou atividades de controle,
informação e comunicação e monitoramento. O modelo COSO II pode ser
considerado mais abrangente, pois possuiu, além desses, mais três componentes.
São eles:
a) definição de objetivos, identificação de riscos e resposta aos riscos.
b) definição de objetivos, identificação de riscos e circularização de documentos.
c) tabela de evidências, definição de riscos e circularização de documentos.
d) tabela de evidências, resposta de riscos e circularização de documentos.
e) definição de objetivos, tabela de evidências e resposta de riscos.
Comentários:
Segundo o COSO II, o Controle Interno apresenta oito componentes, quais sejam:
1. Ambiente de Controle: demonstra o grau e comprometimento em todos os níveis
da administração, com a qualidade do controle interno em seu conjunto.
2. Avaliação de Riscos: identifica os eventos ou das condições que podem afetar a
qualidade da informação contábil e avaliação dos riscos identificados.
3. Atividades de Controle: medidas e ações integrantes de um sistema de controle
que, se estabelecidas de forma tempestiva e adequada, podem vir a prevenir ou
administrar os riscos inerentes ou em potencial da entidade.
4. Informações e Comunicações: identifica, armazena e comunica toda informação
relevante, a fim de permitir a realização dos procedimentos estabelecidos.
5. Monitoramento: compreende o acompanhamento da qualidade do controle
interno, visando assegurar a sua adequação aos objetivos, ao ambiente, aos
recursos e aos riscos. Pressupõe uma atividade desenvolvida ao longo do tempo.
6. Definição/Fixação de objetivos: definidos pela alta administração, os objetivos
devem ser divulgados a todos os componentes da organização, antes da
identificação dos eventos que possam influenciar na consecução dos objetivos.
7. Identificação de eventos: pode-se planejar o tratamento adequado para as
oportunidades e para os riscos, que devem ser entendidos como parte de um
contexto, e não de forma isolada.
8. Resposta ao risco: para cada risco identificado, será prevista uma resposta, que
pode ser de 4 tipos: evitar, aceitar, compartilhar ou reduzir.
Os componentes de 1 a 5 são comuns ao COSO I e COSO II. Já os ambientes de 6
a 8 são inerentes, somente, ao COSO II.
51
Aula 01

(UFG) - 2017) A gestão de riscos refere-se ao processo de aplicação sistemática de
políticas, procedimentos e práticas de gestão para as atividades de comunicação,
estabelecimento do contexto, avaliação, tratamento, monitoramento e análise crítica
dos riscos. A gestão de riscos envolve também a contínua avaliação da eficácia dos
controles internos implantados na organização para
a) uniformizar os riscos gerenciais
b) mitigar os riscos relevantes
c) eliminar os riscos críticos
d) corrigir os riscos inerentes.
Comentários:
Questão aborda o objetivo da gestão de risco quando envolve a contínua avaliação
da eficácia dos controles internos implantados na organização. Segundo Informativo
do TCU acerca de GESTÃO DE RISCOS - LEVANTAMENTO DE GOVERNANÇA
PÚBLICA:
“Organizações de todos os tipos e tamanhos enfrentam influências e fatores internos
e externos que tornam incertos se e quando atingirão seus objetivos. O efeito que
esta incerteza tem sobre os objetivos da organização é chamado de risco” (ABNT
NBR ISO 31000:2009).A gestão de riscos refere-se ao processo de aplicação
sistemática de políticas, procedimentos e práticas de gestão para as
atividades de comunicação, consulta, estabelecimento do contexto, e na
identificação, avaliação, tratamento, monitoramento e análise crítica dos riscos
(ABNT NBR ISO 31000:2009). Além da identificação e decisão quanto ao tratamento
dos riscos, a gestão de riscos envolve também a contínua avaliação da eficácia dos
controles internos implantados na organização para mitigar os riscos
relevantes.[grifo nosso]
Portanto, alternativa correta é B
Disponível em: <
http://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?fileId=8A8182A258F4375B0
158F83BE6271985>. Acesso em 24/12/2018.

(UFG) - 2017) Atividades de controle são os meios de prevenção aos riscos
planejados e definidos nas políticas da organização, devendo ser suportados por
normas e regras internas, contendo fluxos operacionais com funções e
procedimentos definidos.
São exemplos de atividades de controle:
a) revisões de desempenho e segregações de funções.
b) conciliação e estrutura organizacional
c) processamento de informações e integridade
d) normatização interna e atribuições de autoridade
Comentários:
52
Aula 01
Questão aborda exemplos de atividade de controle. Segundo o COSO I, “existe uma

relação direta entre os objetivos, que são o que a entidade busca alcançar, os
componentes, que representam o que é necessário para atingir os objetivos, e a
estrutura organizacional da entidade (as unidades operacionais e entidades legais,
entre outras). Essa relação pode ser ilustrada na forma de um cubo.”
O controle interno consiste em cinco componentes integrados, a seguir:

a) Ambiente de controle: é um conjunto de normas, processos e estruturas que
fornece a base para a condução do controle interno por toda a organização. A
estrutura de governança e a alta administração estabelecem uma diretriz sobre a
importância do controle interno, inclusive das normas de conduta esperadas. A
administração reforça as expectativas nos vários níveis da organização.
O ambiente de controle abrange a integridade e os valores éticos da organização; os
parâmetros que permitem à estrutura de governança cumprir com suas
responsabilidades de supervisionar a governança; a estrutura organizacional e a
delegação de autoridade e responsabilidade; o processo de atrair, desenvolver e
reter talentos competentes; e o rigor em torno de medidas, incentivos e
recompensas por performance. O ambiente de controle resultante tem impacto
pervasivo sobre todo o sistema de controle interno.b) Avaliação de riscos: Toda
entidade enfrenta vários riscos de origem tanto interna quanto externa. Define-se
risco como a possibilidade de que um evento ocorra e afete adversamente a
realização dos objetivos. A avaliação de riscos envolve um processo dinâmico e
iterativo para identificar e avaliar os riscos à realização dos objetivos.
c) Atividades de controle: são ações estabelecidas por meio de políticas e
procedimentos que ajudam a garantir o cumprimento das diretrizes
determinadas pela administração para mitigar os riscos à realização dos
objetivos. As atividades de controle são desempenhadas em todos os níveis da
entidade, em vários estágios dentro dos processos corporativos e no ambiente
tecnológico. Podem ter natureza preventiva ou de detecção e abranger uma série de
atividades manuais e automáticas, como autorizações e aprovações, verificações,
reconciliações e revisões de desempenho do negócio. A segregação de funções
53
Aula 01
é geralmente inserida na seleção e no desenvolvimento das atividades de

controle.
d) Informação e comunicação: a informação é necessária para que a entidade
cumpra responsabilidades de controle interno a fim de apoiar a realização de seus
objetivos. A administração obtém ou gera e utiliza informações importantes e de
qualidade, originadas tanto de fontes internas quanto externas, a fim de apoiar o
funcionamento de outros componentes do controle interno. A comunicação é o
processo contínuo e iterativo de proporcionar, compartilhar e obter as informações
necessárias. A comunicação interna é o meio pelo qual as informações são
transmitidas para a organização, fluindo em todas as direções da entidade. Ela
permite que os funcionários recebam uma mensagem clara da alta administração de
que as responsabilidades pelo controle devem ser levadas a sério. A comunicação
externa apresenta duas vertentes: permite o recebimento, pela organização, de
informações externas significativas, e proporciona informações a partes externas em
resposta a requisitos e expectativas.
e) Atividades de monitoramento: uma organização utiliza avaliações contínuas,
independentes, ou uma combinação das duas, para se certificar da presença e do
funcionamento de cada um dos cinco componentes de controle interno, inclusive a
eficácia dos controles nos princípios relativos a cada componente. As avaliações
contínuas, inseridas nos processos corporativos nos diferentes níveis da entidade,
proporcionam informações oportunas. As avaliações independentes, conduzidas
periodicamente, terão escopos e frequências diferentes, dependendo da avaliação
de riscos, da eficácia das avaliações contínuas e de outras considerações da
administração.Ao realizar o cotejo entre as alternativas e a norma, concluímos que
são exemplos de atividade de controle: as revisões de desempenho e segregações
de funções.
20. (CESPE - Auditor (FUB) - 2013) Julgue o item a seguir, relativos ao

componente monitoramento.
Se o monitoramento implementado por uma organização contemplar procedimentos
de avaliações em separado, então nesta organização o monitoramento da
efetividade de seu sistema de controles internos utilizará avaliações de controle
periódicas.
Comentários:
Item certo. Segundo a Estrutura do Coso I:
Atividades de monitoramento Uma organização utiliza avaliações contínuas,
independentes, ou uma combinação das duas, para se certificar da presença e do
funcionamento de cada um dos cinco componentes de controle interno, inclusive a
eficácia dos controles nos princípios relativos a cada componente. As avaliações
contínuas, inseridas nos processos corporativos nos diferentes níveis da entidade,
proporcionam informações oportunas. As avaliações independentes, conduzidas
periodicamente, terão escopos e frequências diferentes, dependendo da avaliação
de riscos, da eficácia das avaliações contínuas e de outras considerações da
administração.[grifo nosso]
Dessa forma, avaliações em separado ou independentes estão correlacionados às
avaliações de controle periódicas. Portanto, item certo.
54
Aula 01
6. BIBLIOGRAFIA
BRASIL. Tribunal de Contas da União. REFERENCIAL BÁSICO DE GESTÃO
DE RISCOS. Brasília, 2018. Disponível em:
<http://portal.tcu.gov.br/biblioteca -digital/referencial -basico-de-gestao-de-
riscos-FF8080816364D7980163BDC34BE55F20.htm>. Acesso em 23 de
dezembro de 2018.
_______. Committee of Sponsoring Organizations of the Treadway

Commission (COSO). Manual de Controle Interno - Estrutura Integrada –
Sumário Executivo (COSO I). 2013. Disponível em: <
http://www.auditoria.mpu.mp.br/bases/legislacao/COSO -I-
ICIF_2013_Sumario_Executivo.pdf>. Acesso em 23 de dezembro de 2018.
_______. Committee of Sponsoring Organizations of the Treadway

Commission (COSO). Manual de Gerenciamento de Riscos Corporativos –
Estrutura Integrada (COSO II). 2007. Disponível em: <
https://www.coso.org/Documents/COSO -ERM-Executive -Summary-
Portuguese.pdf>. Acesso em 23 de dezembro de 2018.
_______. Tribunal de Contas da União. Referencial Básico de Governança,

Brasília, DF, 2014. Disponível em:<
http://portal.tcu.gov.br/comunidades/governanca/entendendo -a-
governanca/referencial -de-governanca/>. Acesso em 23 de dezembro de
2018.
_______. Ministério da Transparência e Controladoria Geral da União.

Instrução Normativa Conjunta MP/CGU nº01, Brasília, DF, 2016. Disponível
em:< https://www.cgu.gov.br/sobre/legislacao/arquivos/instrucoes -
normativas/in_cgu_mpog_01_2016.pdf>. Acesso em 23 de dezembro de
2018.
55

Aula 01 - Auditoria (Governança e Análise de Risco II)

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Aula 01 - Auditoria (Governança e Análise de Risco II)

Enviado por

Direitos autorais:

Formatos disponíveis

CGE

Feita essa breve introdução, daremos continuidade com o curso,

Au la Tem a In í ci o em Pr o gr es so Por cen ta gem

Au la Tem a In í ci o em Pr o gr es so Por cen ta gem

Governança e análise de risco. Governança no

2. GOVERNANÇA NO SET OR PÚBLICO ............................................. 6

3. INSTRUÇÃO NORMATI V A CONJUNTA MP/CGU Nº 01/2016 ............12

4. LISTA DE QUESTÕES ..................................................................26

5. QUESTÕES COMENTAD AS ...........................................................32

Transparência: mais do que a obrigação de informar é o desejo de

Equidade: caracteriza-se pelo tratamento justo de todos os sócios e

Prestação de Contas (accountability): os agentes de governança devem

Responsabilidade Corporativa: os agentes de governança devem zelar

Exploraremos na nossa aula dois normativos importantes para a

2. Governança no Setor Público

DEFINIÇÃO DE GOVERNANÇA NO SETOR PÚBLICO

Governança no setor público refere-se, portanto, aos mecanismos de

sistemas políticos e administrativos de agir efetiva e decisivamente para

Governança no setor público compreende essencialmente os

PERSPECTIVAS DE OBSERVAÇÃO DA GOVERNANÇA NO SETOR

A governança no setor público pode ser analisada sob quatro perspectivas

SISTEMA DE GOVERNANÇA NO SETOR PÚBLICO

O sistema de governança reflete a maneira como diversos atores se

Nota-se, nesse sistema, que algumas instâncias foram destacadas: as

PRINCÍPIOS BÁSICOS DE GOVERNANÇA PARA O SETOR PÚBLICO

A governança pública, para ser efetiva, pressupõe a existência de um Estado

c) Responsabilidade: diz respeito ao zelo que os agentes de governança

Liderança refere-se ao conjunto de práticas, de natureza humana ou

Pessoas e competências. No contexto da governança, é fundamental

Princípios e comportamentos. Os padrões de comportamento exigidos das

Liderança organizacional. A responsabilidade final pelos resultados

Sistema de governança. O sistema de governança reflete a maneira como

Relacionamento com partes interessadas. Considerando o crescente foco

Estratégia organizacional. A organização, a partir de sua visão de futuro, da

Alinhamento transorganizacional. Cada um dos múltiplos agentes dentro do

Gestão de riscos e controle interno. Risco é o efeito da incerteza sobre os

Auditoria Interna. Existe basicamente para avaliar a eficácia dos controles

Accountability e transparência. Os membros das organizações de

3. Instrução Normativa Conjunta MP/CGU Nº

I – accountability: conjunto de procedimentos adotados pelas organizações

III – auditoria interna: atividade independente e objetiva de avaliação e de

IV – componentes dos controles internos da gestão: são o ambiente de

V – controles internos da gestão: conjunto de regras, procedimentos,

VI – fraude: quaisquer atos ilegais caracterizados por desonestidade,

VII – gerenciamento de riscos: processo para identificar, avaliar, administrar e

VIII – governança: combinação de processos e estruturas implantadas pela

IX – governança no setor público: compreende essencialmente os

direcionar e monitorar a atuação da gestão, com vistas à condução de políticas

X – incerteza: incapacidade de saber com antecedência a real probabilidade

XI – mensuração de risco: significa estimar a importância de um risco e

XII – Política de gestão de riscos: declaração das intenções e diretrizes

XIII – risco: possibilidade de ocorrência de um evento que venha a ter impacto

XV – risco residual: risco a que uma organização está exposta após a

PRINCÍPIOS DOS CONTROLES INTERNOS DA GESTÃO

Os controles internos da gestão do órgão ou entidade devem ser desenhados e

IX – desenvolvimento e implementação de atividades de controle que

DOS OBJETIVOS DOS CONTROLES INTERNOS DA GESTÃO

Os controles internos da gestão devem ser estruturados para oferecer

DA ESTRUTURA DOS CONTROLES INTERNOS DA GESTÃO

Na implementação dos controles internos da gestão, a alta administração, bem

I - ambiente de controle: é a base de todos os controles internos da gestão,

como os procedimentos de controle interno são estruturados. Alguns dos

a) integridade pessoal e profissional e valores éticos assumidos pela direção e

b) comprometimento para reunir, desenvolver e manter colaboradores