AUDITORIA BASEADA EM RISCOS NO SETOR PÚBLICO

Material organizado por Laércio Mendes Vieira (laercio.mendes@uol.com.br)

Graduado em Ciências Contábeis e Mestre em Economia do Setor Público (UnB). Certified Government Auditing Professional (CGAP) e
Certified Risk Management Assurance (CRMA) pelo Institute of Internal Auditors (IIA) dos EUA. Professor e Colaborador da International
Organization of Supreme Audit Institutions (Intosai). Auditor Federal de Controle Externo/TCU. Ex-Analista de Finanças e Controle/SFC-
CGU.

E XERCÍ CIOS
PA RT E 1
E XE R CÍCI O S D E F IXA ÇÃ O
I – FUNDAMENTOS
Para fins de fixação do conteúdo
apresentado, responda às questões a seguir:
1 - EXATUS - 2012 - DETRAN-RJ - Analista -
Contabilidade
As Auditorias podem ser classificadas (quanto ao
posicionamento) em:
a) Auditoria Interna e Auditoria Externa
b) Auditoria Periódica e Auditoria Ininterrupta
c) Auditoria Governamental e Auditoria
Empresarial
d) Auditoria de Pesquisa e Auditoria de Fato.
2 - Provas: CESPE - 2011 - SEDUC-AM -
Contador
A função da auditoria interna de uma entidade pode
ser relevante para os auditores independentes, caso
as atividades e as responsabilidades da auditoria
interna tenham como referência os relatórios
contábeis da entidade e os auditores independentes
almejem utilizar esse trabalho para reduzir a
extensão dos procedimentos a serem adotados.
a) Certo
b) Errado
3 - CESPE - 2012 - MPE-PI - Analista Ministerial -
Controle Interno - Cargo 3
Em relação ao ciclo entre a preparação da folha de
pagamentos e o respectivo pagamento, é
recomendável que as pessoas que elaboram a folha
sejam as mesmas que procedem à entrega aos
beneficiários dos envelopes com o numerário e que,
sendo o caso, as pessoas que assinam os cheques
sejam as mesmas que expedem a
comunicação/autorização ao banco para crédito aos
beneficiários.
a) Certo
b) Errado
4 - CONSULPLAN - 2012 - TSE - Analista
Judiciário - Contabilidade
Na área pública, o controle interno tem o objetivo de
ser, simultaneamente, um mecanismo de auxílio ao
administrador público e um instrumento de proteção
e defesa do cidadão. O controle contribui para que
os objetivos da organização pública sejam
alcançados e que as ações sejam conduzidas de
forma econômica, eficiente e eficaz, resultando na
salvaguarda dos recursos públicos contra o
desperdício, o abuso, os erros, as fraudes e as
irregularidades. (Castro, D. P. Auditoria e Controle
Interno na Administração Pública. Paulo: Atlas,
2008)
Considerando as formas de controle interno, pode-
se afirmar que o disposto no Art. 60 da Lei nº
4.320/64 e suas alterações posteriores (normas de
direito financeiro para elaboração e controle dos
orçamentos públicos): É vedada a realização de

Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 1
despesa sem prévio empenho, constitui-se em um
exemplo de controle.
a) concomitante.
b) corretivo.
c) posterior.
d) prévio.
5 - FCC - 2012 - TRF - 2ª REGIÃO - Analista
Judiciário - Contadoria
NÃO constitui um princípio básico do controle
interno da administração pública:
a) segregação de funções, que consiste no fato
de que a pessoa que realiza uma operação
não pode ser a mesma envolvida na função
de registro.
b) unicidade no ciclo de uma transação, que
preconiza que apenas uma pessoa deva
realizar todas as fases de uma transação,
para facilitar o subsequente trabalho de
auditoria.
c) rodízio de pessoal, inclusive com o objetivo
de que cada servidor possa ser capaz de
desenvolver novas tarefas.
d) seleção adequada de pessoal, que envolve
a investigação do passado do funcionário e
a conferência de suas referências.
e) elaboração de manuais operacionais, nos
quais devem estar detalhadas as instruções
relativas de como devem ser executadas as
funções referentes à atividade a ser
desempenhada na administração.
6 - CESGRANRIO - 2011 - Petrobrás - Auditor
Júnior
Os controles internos podem ser classificados como
preventivos ou detectivos, dependendo do objetivo e
do momento em que são aplicados. Observe os
controles apresentados a seguir.
I - Segregação de funções
II - Limites e alçadas
III - Autorizações
IV - Conciliações
V - Revisões de desempenho
São exemplos de controles preventivos APENAS os
apresentados em:
a) I, II e III.
b) II, III e IV.
c) III, IV e V.
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte.
d) I, II, III e V.
e) I, II, IV e V.
7 - FMP-RS - 2011 - TCE-RS - Todos os Cargos -
Conhecimentos Básicos
O controle interno, segundo a metodologia COSO,
compõe-se de componentes relacionados entre si.
Identifique o elemento que não faz parte desta
relação:
a) Ambiente de controle.
b) Atividades de controle.
c) Monitoramento.
d) Informação e comunicação.
e) Independência.
8 - FCC - 2011 - TCE-PR - Analista de Controle -
Jurídica e outros
O modelo COSO I é uma ferramenta que permite ao
administrador revisar e melhorar seu sistema de
controle interno e foi estruturado com base em cinco
componentes: ambiente interno ou de controle,
avaliação de risco, procedimentos ou atividades de
controle, informação e comunicação e
monitoramento. O modelo COSO II pode ser
considerado mais abrangente, pois possuiu, além
desses, mais três componentes. São eles:
a) definição de objetivos, identificação de
riscos e resposta aos riscos.
b) definição de objetivos, identificação de
riscos e circularização de documentos.
c) tabela de evidências, definição de riscos e
circularização de documentos.
d) tabela de evidências, resposta de riscos e
circularização de documentos.
e) definição de objetivos, tabela de evidências
e resposta de riscos.
9 - CESPE - 2008 - TCU - Analista de Controle
Externo - Auditoria Governamental - Prova 2
Segundo o COSO, as pequenas empresas
enfrentam desafios importantes para manter um
controle interno a custos razoáveis. Nesses casos,
entretanto, não obstante a limitação do número de
empregados ou servidores, não há
comprometimento da segregação de funções, não
havendo necessidade de obtenção de recursos
adicionais para assegurar a adequada segregação
de funções.
a) Certo
2
 b) Errado oriundos de agentes financeiros e organismos
internacionais.
10 - CESGRANRIO - 2011 - TRANSPETRO - a) Certo
Contador Júnior - Contábil b) Errado
Consensar propósitos estratégicos, alinhados às
expectativas dos acionistas para negócios e gestão, 15 - TRT 6°/FCC/2012
exercendo o acompanhamento e a avaliação da De acordo com as normas de auditoria externa,
diretoria executiva e dos resultados. quando o auditor desenvolve seus trabalhos com
O texto acima se refere à missão de um dos uma postura que inclui questionamento e avaliação
elementos principais preconizados pelas melhores crítica e detalhada, e desempenhe os trabalhos com
práticas de governança corporativa. alerta para condições que possam indicar possível
A missão explicitada no texto é desempenhada pelo: distorção, devido a erro ou fraude nas
a) Comitê de Padrões Contábeis demonstrações financeiras, o auditor está aplicando.
b) Comitê de Gestão Responsável a) Julgamento profissional.
c) Comitê de Auditoria b) Ceticismo profissional.
d) Conselho Fiscal c) Equidade profissional.
e) Conselho de Administração d) Diligência profissional.
e) Neutralidade profissional.
11 - CESPE/TCDF/2012
Um dos objetivos específicos do tribunal de contas, 16 - MPE PE/FCC/2012
ao efetuar suas auditorias governamentais, é NÃO representa um requisito necessário para que o
recomendar, quando necessário, ações de caráter auditor possa conduzir adequadamente os trabalhos
gerencial visando a promoção da melhoria das de asseguração das demonstrações contábeis:
operações. a) Ceticismo profissional
a) Certo b) Acesso irrestrito a todas as informações
b) Errado necessárias para fundamentar seu parecer
c) Julgamento profissional
12 - CESPE/TCDF/2012 d) Corresponsabilidade pela elaboração das
Sendo a auditoria operacional etapa preparatória demonstrações contábeis da entidade
para a auditoria de regularidade, devido às suas auditada.
peculiaridades, essas auditorias não podem, na e) Obtenção de evidência de auditoria
prática, ser realizadas concomitantemente. apropriada e suficiente.
a) Certo
b) Errado 17 - TRT 4°/FCC/2011
Não corresponde a um princípio fundamental da
13 - TCU/CESPE/2008 conduta ética do auditor a:
Na auditoria operacional realizada no âmbito de um a) Integridade dos trabalhos executados
órgão ou programa governamental, os critérios ou b) Competência técnica na análise e avaliações
objetivos pelos quais eficiência e eficácia são c) Postura mental independente
medidas devem ser especificados pelos auditores e, d) Subjetividade na aplicação dos
não, pela administração, e os pareceres relativos a procedimentos
esses trabalhos não podem conter recomendações e) Confidencialidade das informações.
ou sugestões.
a) Certo 18 - TRT 10°/FCC/2011
b) Errado Dentre outros, os princípios fundamentais de ética
profissional relevantes para o auditor quando da
14 - SECONT-ES/CESPE/2009 condução de auditoria de demonstrações contábeis:
Somente por meio da auditoria operacional verifica- a) Formalismo e confiabilidade
se a efetividade e a aplicação de recursos externos, b) Integridade e pessoalidade

Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 3
 c) Confidencialidade e motivação eficiência, a efetividade e a qualidade dos controles
d) Formalismo e objetividade internos existentes, é denominada auditoria:
e) Integridade e objetividade a) contábil.
b) de gestão.
19 - INFRAERO/FCC/2011 c) de sistemas.
De acordo com as Normas Técnicas de Auditoria d) operacional.
Independente, é princípio fundamental de ética e) de qualidade.
profissional a:
a) Interação com o auditado Respostas
b) Objetividade
c) Parcialidade 1 2 3 4 5 6 7 8 9 10
d) Integralidade
e) Subjetividade
11 12 13 14 15 16 17 18 19 20
20 - CESPE - 2010 - SAD-PE - Analista de
Controle Interno - Finanças Públicas
Na classificação dos tipos de auditoria, a que avalia
a eficácia dos resultados em relação aos recursos
disponíveis, bem como a economicidade, a
transações relevantes, desde que não
afetem as demonstrações contábeis.
b) propiciar o cumprimento dos serviços
II – REALIZAÇÃO DOS TRABALHOS contratados com a entidade dentro dos
prazos e compromissos previamente
estabelecidos.
Para fins de fixação do conteúdo c) assegurar que as áreas importantes da
apresentado, responda às questões a seguir: entidade e os valores relevantes contidos
em suas demonstrações contábeis recebam
II.1 – PLANEJAMENTO a atenção requerida.
d) identificar os problemas potenciais da
entidade.
1 - FCC - 2011 - TCE-PR - Analista de Controle -
Jurídica e outros
3 - TCDF/CESPE/2013
A fase da auditoria em que se determina o momento
Após a definição do perfil da equipe de auditoria,
da realização de cada uma das tarefas é chamada
têm o início as atividades de elaboração do
de
planejamento de auditoria.
a) planejamento.
a) Certo
b) análise de risco.
b) Errado
c) estudo de caso
d) evidenciação
4 - ESAF - 2006 - CGU - Analista de Finanças e
e) seleção de programa de trabalho
Controle - Área - Correição - Prova 2
Caracterizam-se como objetivos do Planejamento da
2 - FUMARC - 2011 - BDMG - Analista de
Auditoria, exceto:
Desenvolvimento a) propor alterações na estrutura da entidade
Assinale a alternativa que NÃO corresponde aos auditada.
principais objetivos do Planejamento da Auditoria:
b) definir a forma de divisão de tarefas entre os
a) obter conhecimento das atividades da
membros da equipe de auditoria.
entidade, para identificar eventos e
c) estimar os prazos necessários para a
realização dos trabalhos.

Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 4
Auditoria Baseada em Riscos (por Laércio Mendes)
d) identificar os problemas potenciais da
entidade.
e) identificar a legislação e os normativos
aplicáveis à entidade.
5 - TCE-AC/CESPE/2009
O principal instrumento de apoio à elaboração do
relatório de planejamento de auditoria é a matriz de
planejamento.
a) Certo
b) Errado
II.2 – RISCO
6 - FCC - 2011 - INFRAERO - Auditor
A circunstância de que os procedimentos
executados pelo auditor, a fim de reduzir o risco de
auditoria a um nível aceitavelmente baixo, não
acusem uma distorção existente que possa ser
relevante, individualmente ou em conjunto com
outras distorções, é denominado risco:
a) de contingências.
b) operacional.
c) inerente.
d) substantivo.
e) de detecção.
7 - ISAE - 2011 - AL-AM - Analista - Controle
Assinale a alternativa que apresenta os dois
componentes do Risco de Distorção Relevante.
a) Risco inerente e risco específico.
b) Risco de controle e risco de evidência.
c) Risco de benefício e risco de custo.
d) Risco inerente e risco de controle.
e) Risco específico e risco de evidência.
8 - TCE SP/FCC/2013
Em auditoria, o denominado risco de detecção:
a) Independe da suficiência e adequação das
evidências de auditoria coletadas pelo auditor
para emissão de seu relatório;
b) É uma função direta da eficácia dos controles
internos da entidade que está sendo
auditada;
c) Invariável, qualquer que seja a atividade da
entidade e as classes de transações por ela
praticadas;
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte.
TCE/RO
d) Existe independentemente da auditoria das
demonstrações contábeis, ou seja, é inerente
à entidade;
e) Está diretamente relacionado com a
natureza, a época e a extensão dos
procedimentos de auditoria.
9 - SEBRAE/CESPE/2008
Quanto aos riscos de auditoria, julgue os itens a
seguir. A determinação do risco de auditoria
independe da avaliação das políticas de pessoal e
da segregação de funções.
a) Certo
b) Errado
10 - TCU/CESPE/2013
Os auditores não podem examinar todas as
possíveis evidências que eliminariam os riscos de
um julgamento equivocado. Um desses possíveis
riscos é o risco inerente, presente, por exemplo, na
situação em que uma empresa competidora de
licitação bilionária é levada a elaborar
demonstrações contábeis que favorecem sua
imagem quanto à sua real situação econômico-
financeira.
a) Certo
b) Errado
11 - (banca não identificada)/2012 - A metodologia
deve dispor de mecanismos para a seleção do
objeto da auditoria, segundo critérios de relevância,
risco e materialidade. Enquanto a materialidade
refere-se à sociedade beneficiada, a relevância
refere-se à representatividade dos valores ou
volume de recursos envolvidos.
a) Certo
b) Errado
II.3 – TÉCNICAS E PROCEDIMENTOS
12 - (banca não identificada)/2012 – A
responsabilidade primária pela identificação de
erros, fraudes, desvios, irregularidades e
ilegalidades, ou mesmo fraudes, compete aos
auditores do Tribunal de Contas, assim como a
avaliação da adequação dos controles internos,
apontando as deficiências, falhas e inconsistências
existentes, identificando suas causas e efeitos
5
Auditoria Baseada em Riscos (por Laércio Mendes)
potenciais ou reais, e apresentando
recomendações para seu aprimoramento.
a) Certo
b) Errado
13 - Provas: FCC - 2012 - TRE-CE - Analista
Judiciário - Contabilidade
A técnica de auditoria que consiste na elaboração
de perguntas, objetivando a obtenção de respostas
para quesitos previamente definidos é a:
a) revisão analítica.
b) inspeção física.
c) conciliação.
d) entrevista.
e) observação.
14 - Provas: CONSULPLAN - 2012 - TSE -
Analista Judiciário - Contabilidade
Constitui-se em técnica de auditoria:
a) confirmação externa.
b) emissão de parecer.
c) aplicação de sanções.
d) elaboração de normas.
15 - CESPE - 2012 - MPE-PI - Analista Ministerial -
Controle Interno - Cargo 3
Técnica de auditoria é o conjunto de processos e
ferramentas operacionais de que se serve o controle
para a obtenção de evidências. Por exemplo, o
rastreamento é uma técnica que permite
acompanhar a movimentação de uma pessoa
investigada para denunciá-la no momento oportuno.
a) Certo
b) Errado
16 - ISAE - 2011 - AL-AM - Analista - Controle
A técnica de auditoria que consiste no exame usado
para testar a efetividade dos controles,
particularmente daqueles relativos à segurança de
quantidades físicas ou qualidade de bens tangíveis,
é conhecida como:
a) análise documental.
b) confirmação de cálculos.
c) inspeção física.
d) rastreamento.
e) exame de registros.
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte.
TCE/RO
as II.4 – EVIDÊNCIAS
17 - ISAE - 2011 - AL-AM - Analista - Controle
A respeito das evidências de auditoria, assinale a
afirmativa incorreta.
a) Compreendem as informações utilizadas
pelo auditor para fundamentar as
conclusões em que se baseia a sua opinião.
b) Incluem informações contidas nos registros
contábeis subjacentes às demonstrações
contábeis e outras informações.
c) Abrangem informações que sustentam e
corroboram as afirmações da administração
e informações que contradizem tais
afirmações.
d) Comprovam que a confiabilidade da
evidência é influenciada pela sua fonte e
sua natureza e depende das circunstâncias
individuais em que é obtida.
e) Correspondem ao risco de que o auditor
expresse uma opinião inadequada quando
as demonstrações contábeis contiverem
distorção relevante.
18 - ESAF - 2010 - CVM - Analista - Normas
Contábeis e de Auditoria - prova 2
Assinale opção falsa a respeito das evidências de
auditoria.
a) A quantidade necessária de evidência de
auditoria é afetada pela avaliação dos riscos
de distorção.
b) A qualidade é fator importante para
determinar a suficiência das evidências.
c) A opinião do auditor é sustentada nas
evidências de auditoria.
d) As auditorias anteriores não podem ser uma
fonte de evidência segura se tiver sido
executada por outra entidade de auditoria.
e) A forma primária de obtenção de evidência é
a partir de procedimentos de auditoria
executados durante o curso da auditoria.
19 - TCU/CESPE/2008
As evidências que respaldam os resultados da
auditoria interna devem ser, entre outros aspectos,
fidedignas, sendo considerada adequada a
informação que, sendo confiável, propicie, com o
emprego apropriado das técnicas da auditoria
interna, a melhor evidência possível.
6
Auditoria Baseada em Riscos (por Laércio Mendes)
a) Certo
b) Errado
20 - SECONT-ES/CESPE/CESPE
Os registros administrativos existentes na entidade
auditada são considerados fontes primárias de
informação para o auditor ou entidade de auditoria.
a) Certo
b) Errado
II.5 – ACHADOS
21 - SECONT- ES/CESPE/2009
Se a técnica de comparação entre uma condição e
um critério resultar em divergência, tem-se um
achado de auditoria.
a) Certo
b) Errado
22 - CESPE - 2009 - SECONT-ES - Auditor do
Estado – Direito
O auditor ou entidade de auditoria deve garantir que
as causas, os efeitos e os impactos dos achados de
auditoria possam ser atribuídos efetivamente à ação
examinada e não possam ser provocados por
condições exógenas.
a) Certo
b) Errado
23 - TCU/CESPE/2008
O achado de auditoria deve estar fundamentado em
evidências juntadas ao relatório, sendo estes
elementos indiciários e complementares que
permitem a terceiros chegarem a conclusões
independentes daquelas a que chegar a equipe de
auditoria.
a) Certo
b) Errado
II.6 – PAPÉIS DE TRABALHO
24 - FCC - 2010 - TCM-CE - Analista de Controle
Externo - Inspeção Governamental Simulado
SEFAZ-PE
Quanto à natureza dos papéis de trabalho de
auditoria, é correto afirmar que se classifica como:
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte.
TCE/RO
a) corrente o papel utilizado apenas em um
exercício social, e permanente aquele utilizado em
mais de um exercício social.
b) balanço o papel utilizado para registro dos saldos
de balanço do ano anterior e do ano em exame; e
administrativo aquele utilizado para registro de
tarefas administrativas do trabalho, tais como: horas,
despesas etc.
c) convencional a formalização do trabalho de
auditoria em papéis de trabalho; e eletrônico a
forma- lização do trabalho de auditoria por meio
eletrônico, denominado paperless.
d) programa o detalhamento dos procedimentos a
serem adotados pelo auditor durante o trabalho de
auditoria; e operacional o registro dos exames de
auditoria.
e) evidência as observações e exceções
identificadas; e ajustes as reclassificações das
contas.
II.7 – RELATÓRIO
25 - CESPE/TCDF/2012
Na estrutura do relatório de auditoria, o tópico
metodologia, que trata das descrições das técnicas
empregadas, deverá constar das considerações
finais.
a) Certo
b) Errado
II.8 – BENEFÍCIOS
26 - CESPE - 2011 - TRE-ES - Analista -
Contabilidade - Específicos
Nos trabalhos de campo de auditorias contábeis,
uma recomendação importante é o chamado follow-
up, aplicável às descobertas e recomendações
relevantes relatadas em auditorias anteriores.
Segundo o GAO (general accounting office), os
principais benefícios não estão representados
propriamente por essas descobertas e
recomendações, e sim pela solução dos problemas
a elas subjacentes, pela qual a administração do
auditado é responsável.
a) Certo
b) Errado
7
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
11 12 13 14 15 16 17 18 19 20
RESPOSTAS

III – Realização dos Trabalhos de Auditoria 21 22 23 24 25 26

1 2 3 4 5 6 7 8 9 10

PA RT E 2
E XE R CÍCI O S PA RA LE I T URA D I RI GI DA

Para as questões seguintes, utilize o documento
“Gestão de Riscos: Avaliação da Maturidade”
como fonte de consulta.
1 – Qual é a relação da gestão de riscos com a
accountability pública (p. 14)?
2 – Qual é o desafio da governança nas
organizações públicas (p. 16)?
3 – Cite algumas das recomendações expedidas
pela OCDE no tocante à gestão de riscos (p. 16).
4 – No tocante aos princípios, estrutura e
componentes da gestão de riscos, relacione as
opções (I a III) com as letras (A a C) e assinale
alternativa correta (p. 19).
I – Princípios da gestão de riscos
II – Estrutura de gestão de riscos
III – Gerenciamento de riscos
A - Representa as atividades realizadas pelas
pessoas em todos os níveis da organização, desde
a definição da estratégia até as atividades
operacionais, aplicando os princípios, a estrutura e o
processo de gestão de riscos para dar suporte à
tomada de decisões e à implementação de ações
para manter os riscos dentro do nível de apetite e
das tolerâncias a riscos estabelecidos pela
administração, proporcionando, assim, segurança
razoável do cumprimento dos objetivos da
organização.
B - Representam as condições que precisam estar
incorporadas aos componentes ou à estrutura e ao
processo de gestão de riscos, para que ela seja
eficaz e se torne parte da cultura da organização,
traduzindo-se em um conjunto compartilhado de
valores, comportamentos e práticas que
caracterizam como a entidade aborda o risco.
C – É a maneira como a entidade se organiza para
gerenciar os riscos do negócio, representando o
conjunto de componentes e arranjos organizacionais
para a concepção, a implementação, o
monitoramento, a análise crítica e a melhoria
contínua da gestão de riscos por toda a
organização, incluindo a política de gestão de riscos,
os manuais, os recursos, a definição de
responsabilidades e objetivos que permitirão
incorporar a gestão de riscos em todos os níveis da
organização (ABNT, 2009).
Assinale a alternativa correta:
a) I – B, II – A, III – C;
b) I – B, II – C, III – A;
c) I – C, II – B, III – A;
d) I – A, II – C, III – B.
5 – Quem é diretamente responsável pela
concepção, estruturação e implementação da
gestão de riscos em uma organização (p. 20)?
6 – Avalie as afirmações seguintes e assinale a
questão correta. A supervisão da gestão de riscos
pelos órgãos de governança envolve (p. 20):

Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 8
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
I - Saber até que ponto o auditor estabeleceu um 9 – No tocante ao modelo de três linhas de defesa,
gerenciamento de risco eficaz; relacione as opções (I a III) com as letras (A a C) e
II - Estar ciente e de acordo com o apetite a risco; assinale alternativa correta (p. 24).
III – Aceitar, sem revisão, o portfólio de riscos
assumidos em contraste com o apetite a risco; e I – Primeira linha de defesa
IV - Ser notificado em relação aos riscos mais II – Segunda linha de defesa
significativos e saber se a auditoria está III – Terceira linha de defesa
respondendo a esses riscos adequadamente
(COSO, 2004). A – Funções que fornecem avaliações
independentes;
a) I – E, II – E, III – C, IV - E B – Funções que supervisionam riscos;
b) I – C, II – E, III – C, IV - C C – Funções que gerenciam e têm propriedade de
c) I – C, II – C, III – C, IV - C riscos;
d) I – E, II – C, III – E, IV - E
Assinale a alternativa correta:
7 - Avalie as afirmações seguintes e assinale a a) I – B, II – A, III – C;
questão correta (p. 21): b) I – C, II – B, III – A;
c) I – B, II – C, III – A;
I – Auditoria interna, comissões e comitês e d) I – A, II – C, III – B.
ouvidoria são exemplos de instâncias externas de
apoio à governança;
II – A alta administração contempla a autoridade Para todos os exercícios seguintes, utilize o
máxima e dirigentes superiores; documento “Referencial Básico de Gestão de
III – A auditoria independente constitui instância da Riscos do TCU” para consulta.
alta administração; e
IV – O controle social organizado constitui instância 10 – No tocante à evolução histórica do modelo de
externa de apoio à governança. gestão de riscos, relacione, com base no documento
“referencial de gestão de riscos do TCU”, as opções
a) I – E, II – C, III – E, IV - C (I a XI) com as letras (A a K) e assinale alternativa
b) I – C, II – C, III – C, IV - C correta.
c) I – E, II – C, III – E, IV - E
d) I – E, II – E, III – C, IV - E I – Risk, Uncertainty and Profit
II - The Risk Management Revolution
8 – São papeis que a auditoria interna não deve III - Internal Control - Integrated Framework (COSO
assumir no gerenciamento de riscos (p. 23): I)
IV – The Cadbury Report
I – Tomar decisões sobre respostas a riscos; V - Norma técnica Risk Management Standard,
II – Revisão a gestão de riscos-chaves; AS/NZS 4360:1995
III – Responsabilizar-se pela gestão de riscos; e VI - The Orange Book - Management of Risk -
IV – Implantar respostas a riscos em nome da Principles and Concepts1
administração. VII - Lei Sarbanes-Oxley (SOX)
VIII - Enterprise Risk Management - Integrated
a) I – E, II – C, III – E, IV - C Framework (conhecido como COSO-ERM ou COSO
b) I – C, II – E, III – C, IV - C II)
c) I – E, II – C, III – E, IV - E IX - Acordo de Basileia II
d) I – E, II – E, III – C, IV - E X - Norma técnica Risk Management Standard,
AS/NZS 4360:1995 (versão revisada)
XI - Norma técnica ISO 31000 Risk Management –
Principles and Guidelines

Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 9
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
tamanho e é hoje uma das principais referências
A – Guia publicado em 1992 pelo Committee of mundiais no tema.
Sponsoring Organizations of the Treadway
Commission que consolidou a ideia de gestão de Assinale a alternativa correta:
risco corporativo e apresentou um conjunto de a) I – C, II – E, III – D, IV -F, V – K, VI – H, VII – J,
princípios e boas práticas de gestão e controle VIII – I, IX – B, X – G, XI - A
interno. b) I – K, II – J, III – G, IV -I, V – B, VI – F, VII – D,
B – Promulgada em 2002, um ano após o colapso VIII – E, IX – C, X – A, XI - H
da empresa Enron, que decorreu de esquema c) I – A, II – B, III – C, IV -D, V – E, VI – F, VII – G,
gigantesco de ocultação e manipulação de dados VIII – H, IX – I, X – J, XI - K
contábeis e falhas em auditorias. d) I – C, II – E, III – A, IV -D, V – F, VI – H, VII – B,
C – Obra de 1921 de autoria atribuída a Frank VIII – I, IX – G, X – J, XI – K
Knight que se tornou referência por estabelecer
conceitos, definir princípios e introduzir alguma 11 – Ainda, no tocante à evolução histórica do
sistematização ao tema. modelo de gestão de riscos, responda, com base no
D – Relatório do Comitê de mesmo nome do Reino documento “referencial de gestão de riscos do
Unido que atribui ao corpo governante superior das TCU”, às questões seguintes.
entidades a responsabilidade por definir a política de
gestão de riscos, supervisionar o processo de a) Segundo o Cadbury Report, de quem é a
gestão e assegurar que a organização entenda os responsabilidade de definir a política de
riscos aos quais está exposta. gestão de riscos, supervisionar o processo
E – Artigo publicado em 1975 pela revista Fortune de gestão e assegurar que a organização
publicou o artigo The Risk Management Revolution, entenda os riscos aos quais está exposta?
um dos primeiros documentos a tratar o tema sob o
enfoque corporativo e a atribuir à alta administração
a responsabilidade por instituir políticas, ___________________________________
supervisionar e coordenar as várias funções de
riscos existentes em uma organização. b) Qual foi o grande escândalo que ensejou a
F - Esforço conjunto das entidades padronizadoras promulgação da SOx? O que compreendia
Standards Australia e Standards New Zealand esse escândalo?
resulta na publicação, em 1995, do primeiro modelo
padrão oficial para a gestão de riscos.
___________________________________
G – Firmado em 2004 e aplicável a instituições
bancárias em nível mundial, contendo requisitos
___________________________________
específicos relacionados à gestão de riscos
operacionais.
___________________________________
H - Documento produzido e publicado pelo HM
Treasury Britânico que foi a principal referência do
12 – Quais são os 4 modelos internacionais de
programa de gestão de riscos do governo do Reino
gestão de riscos destacados no documento
Unido, iniciado em 2001.
“referencial de gestão de riscos do TCU”?
I – Modelo de referência, publicado em 2004, que
estendeu modelo anteriormente existente, tendo
___________________________________
como foco a gestão de riscos corporativos.
J - Versão atualizada e expandida da norma
___________________________________
anteriormente publicada, lançada em 2004.
K - Norma técnica publicada em 2009 que provê
___________________________________
princípios e boas práticas para um processo de
gestão de riscos corporativos, aplicável a
___________________________________
organizações de qualquer setor, atividade e

Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 10
Auditoria Baseada em Riscos (por Laércio Mendes)
13 – Quais são as principais diferenças entre o
COSO ERM e o COSO GRC?
___________________________________
___________________________________
___________________________________
___________________________________
14 – Assinale a questão correta, baseado no
documento “referencial de gestão de riscos do TCU”
(pág. 38).
I – O modelo ISO 31000 somente pode ser utilizado
em empresas do setor financeiro;
II – O modelo COSO GRC possui apenas oito
componentes da gestão de risco, ao passo que o
modelo COSO ERM possuía cinco componentes.
IIII – O modelo do Orange Book não é compatível
com padrões internacionais de gestão de riscos, tais
como o COSO e o ISO 31000.
IV - A norma ISO 31000 está estruturada em três
partes fundamentais inter-relacionadas: os
princípios, a estrutura e o processo de gestão de
riscos.
V - A EFQM Excellence Model é modelo que foi
utilizado como base para o desenvolvimento do Risk
Management Assessment Framework: a Tool for
Departments, ferramenta destinada aferir a gestão
de riscos nas organizações governamentais do
Reino Unido e identificar oportunidades de melhoria.
VI – A estrutura da gestão de riscos da norma ISO
31000 contempla identificação, análise e avaliação
de riscos, além estabelecimento do contexto e
tratamento dos riscos.
Assinale a alternativa correta:
a) I – E, II – C, III – E, IV – C, V – E, VI - E
b) I – E, II – E, III – E, IV – C, V – C, VI – E
c) I – C, II – E, III – E, IV – E, V – C, VI - C
d) I – C, II – C, III – C, IV – C, V – E, VI – C
15 – Com base no documento “referencial de gestão
de riscos do TCU”, responda quais são as atividades
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte.
TCE/RO
contempladas no processo de gestão de riscos da
norma ISO 31000.
___________________________________
___________________________________
___________________________________
___________________________________
16 – No tocante às técnicas para gestão de riscos,
relacione, com base no documento “referencial de
gestão de riscos do TCU”, as opções (I a XI) com as
letras (A a K) e assinale alternativa correta.
I – Cadeia de valor
II - Brainstorming
III - Delphi
IV – Análise preliminar de perigos (APP)
V – Listas de verificação
VI – Análise de causa raiz
V - Técnica “E SE” estruturada (SWIFT)
VI – Análise bow tie
VII – Análise de decisão por multicritério (MCDA)
IX - Acordo de Basileia II
X - Norma técnica Risk Management Standard,
AS/NZS 4360:1995 (versão revisada)
XI - Norma técnica ISO 31000 Risk Management –
Principles and Guidelines
A – Esta técnica consiste em reunir pessoas
conhecedoras de certo ativo ou atividade
organizacional e incentivar o fluxo livre de
conversação entre elas com o objetivo de identificar
possíveis perigos, riscos ou controles associados ao
objeto analisado.
B - Técnica que busca analisar e descrever os
caminhos de um evento de risco, desde suas
causas até as consequências, por meio de uma
representação pictográfica semelhante a uma
gravata borboleta (bow tie).
C – Por esta técnica, os macroprocessos finalísticos
e de suporte, bem como os processos que
compõem cada macroprocesso são representados
graficamente de modo a facilitar a visualização, de
forma sistemática, de como a organização
estabeleceu processos e de como eles interagem
para criar valor.
11
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
D – É um método simples para identificar situações
que possam representar perigos para ativos ___________________________________
organizacionais ou causar impactos em atividades,
sendo especialmente útil quando há poucas ___________________________________
informações disponíveis sobre o ativo, projeto ou
atividade objeto da análise. ___________________________________
E – É o exame sistemático, realizado em equipe,
para identificação de riscos de desvios em um
processo, sistema ou atividade. 18 – Com base no documento “referencial de gestão
F - Esta técnica tem por objetivo encontrar consenso de riscos do TCU”, responda ao que se pede.
entre opiniões de um grupo de especialistas sobre a) Escolha uma determinada política, programa
determinado assunto, podendo ser aplicável em ou área governamental do seu interesse.
qualquer etapa do processo de gestão de riscos, em
especial na identificação, análise e avaliação. ___________________________________
G - Trata-se do uso de listas pré-existentes de
perigos ou riscos, como instrumento de apoio a b) Usando o “Quadro 11 – Insumos para
outras técnicas de avaliação de riscos. formulação de arquitetura para o GRCopr,
H - Esta análise tenta identificar a raiz ou causas adaptado do IBGC (2007)”, constante da
originais ao invés de lidar somente com os sintomas página 67, apresente dois riscos de cada
imediatos e óbvios. contexto para área escolhida.
I - Essa técnica tem o objetivo geral de classificar
um conjunto de opções por ordem de valor ou ___________________________________
prioridade, a partir da percepção de um grupo de
pessoas. ___________________________________
J - Diz respeito a um conjunto de conceitos,
comportamentos e ferramentas que auxiliam na ___________________________________
compreensão de estruturas interdependentes de
sistemas complexos.

Assinale a alternativa correta:

a) I – C, II – A, III – F, IV – D, VI – H, V - E, VI – B,
VII – I, VIII – J.
b) I – C, II – A, III – F, IV – D, VI – H, V - E, VI – B,
VII – I, VIII – J.
c) I – C, II – A, III – F, IV – D, VI – H, V - E, VI – B,
VII – I, VIII – J.
d) I – C, II – A, III – F, IV – D, VI – H, V - E, VI – B,
VII – I, VIII – J.

17 – Com base no documento “referencial de gestão

de riscos do TCU”, responda quais são as três
linhas de defesa e qual é o papel de cada uma
delas.

___________________________________

Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 12
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO

PA RT E 3
E XE R CÍ CI O S D E A PLI CA ÇÃ O

O trecho seguinte é extraído do capítulo 5 do livro “Auditoria Contábil-Financeira: Fundamentos,

Técnicas e Aplicações”. Editora Gestão Pública, 2021.

Leia este excerto e responda ao exercício seguinte.

A análise ou avaliação de riscos pode ser qualitativa, semiquantitativa ou quantitativa, ou, até mesmo,
uma combinação de todas, podendo variar o grau de detalhamento (ABNT, 2009).
Na auditoria contábil-financeira, é recomendável a utilização de escalas que empregam técnicas
quantitativas, como forma de dar maior consistência às conclusões do processo de avaliação, particularmente no
tocante às estimativas da probabilidade e do impacto do evento, e do nível de risco resultante da sua combinação
(DANTAS et al., 2010; MAF/TCU, item 266).
Para estimação da probabilidade são utilizadas, muitas vezes, escalas baseadas em parâmetros
qualitativos (representações não numéricas) ou quantitativos (representações numéricas) que proporcionam um
modo mais objetivo para estimar as possibilidades de materialização de riscos, supondo que não haja controles
internos para mitigá-los (MAF/TCU, 2016, item 267).
Trata-se, de modo geral, de uma análise semiquantitativa. Uma escala de probabilidade naturalmente fica
entre 0 (nenhuma probabilidade) e 10 (certeza).

Quadro 1. Exemplo de escalas para avaliação da probabilidade de eventos

Peso/ Descrição da Probabilidade (desconsiderando os controles) Exemplo
Probabilidade “A probabilidade de o evento ocorrer é...” quantitativo

1 Muito baixaImprovável. Em situações excepcionais, o evento poderá até Menos de 4%

ocorrer, mas nada nas circunstâncias indica essa possibilidade.
2 Baixa Rara. De forma inesperada ou casual, o evento poderá ocorrer, pois De 4% a 6%
as circunstâncias pouco indicam essa possibilidade.
5 Média Possível. De alguma forma, o evento poderá ocorrer, pois as De 6% a 8%
circunstâncias indicam moderadamente essa possibilidade.
8 Alta Provável. De forma até esperada, o evento poderá ocorrer, pois as De 8% a 10%
circunstâncias indicam fortemente essa possibilidade.
10 Muito alta Praticamente certa. De forma inequívoca, o evento ocorrerá, pois Mais de 10%
as circunstâncias indicam claramente essa possibilidade.
Fonte: MAF/TCU e TCU (2018), com adaptações.
Notas: A escolha dos pesos é sugestiva. Em situações reais, as escalas são elaboradas de modo compatível
com o contexto e os objetivos específicos da atividade objeto da gestão de riscos.

Para construção de uma escala de impactos (consequências), podem ser estabelecidos intervalos
baseados em valores referenciados no custo da materialidade para a execução de auditoria ou em percentuais

Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 13
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
sobre esse valor. Outra possibilidade é utilizar a materialidade definida para classes específicas de transações,
saldos contábeis e divulgações como referencial para construir escalas e avaliar os riscos nesses itens de
informação (MAF/TCU, 2016, item 269).
De forma semelhante à escala de probabilidades, trata-se de uma análise semiquantitativa.

Quadro 2. Exemplo de escalas para avaliação do impacto de eventos

Peso/ Descrição do Impacto Exemplo quantitativo
Probabilidade
Omissão ou distorções abaixo
1 Muito
Mínimo. O impacto do evento é claramente trivial. do limite para acumulação de
baixa
distorções.
Pequeno. O impacto do evento é muito inferior à
2 Baixa Omissão ou distorção de R$
materialidade para execução da auditoria e, mesmo em
5.000 a R$ 10.000
conjunto, pode não levar à distorção relevante.
Moderado. O impacto do evento é inferior à materialidade
5 Média Omissão ou distorção de R$
para execução da auditoria, mas, em conjunto, pode levar
10.000 a R$ 50.000
à distorção relevante.
Significativo. O impacto do evento é próximo à
8 Alta Omissão ou distorção de R$
materialidade para execução da auditoria e, em conjunto,
50.000 a R$ 100.000
muito provavelmente levará à distorção relevante.
Catastrófico. O impacto do evento excede materialidade
10 Muito para execução da auditoria, podendo assumir relevância Omissão ou distorção acima
alta para as demonstrações contábeis/financeiras como um de R$ 100.000
todo.
Fonte: MAF/TCU (2016) e TCU (2018), com adaptações.
Notas: A escolha dos pesos é sugestiva. Em situações reais, as escalas são elaboradas de modo compatível
com o contexto e os objetivos específicos da atividade objeto da gestão de riscos.

O cálculo do risco inerente consiste, portanto, na multiplicação dos valores atribuídos às variáveis
“probabilidade” e “impacto” de cada risco o que gera uma medida síntese da significância de cada um dos riscos
inerentes identificados (MAF/TCU, item 270).
Esse cálculo é útil para destacar os riscos mais significativos de maneira objetiva (IFAC, 2010).
A forma semiquantitativa mais simples de cálculo de risco gera a matriz de riscos apresentada na figura
seguinte.

Figura 5. Matriz de risco inerente

MÉDIO ALTO
Probabilidade baixa Probabilidade alta
▲ Impacto alto Impacto alto
IMPACTO BAIXO MÉDIO
Probabilidade baixa Probabilidade alta
Impacto alto Impacto baixo

PROBABILIDADE►
Fonte: TCU (2018).

Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 14
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
O nível de risco inerente de um evento é o nível de risco antes da consideração das respostas que a
gestão adota, incluindo controles internos, para reduzir a probabilidade do evento e/ou seus impactos nos
objetivos (TCU, 2018).
A política de gestão de riscos do auditado irá estabelecer categorias para classificar os níveis de risco
resultantes do processo de análise, sejam inerentes ou residuais, de modo consistente com o seu apetite a risco,
como as exemplificadas a seguir.

Quadro 3. Escala para classificação de níveis de risco

Risco baixo Risco médio Risco alto Risco extremo
0 – 9,99 10 - 39,99 40 – 79,99 80 - 100
Fonte: TCU (2018).
Notas: A escolha dos pesos é sugestiva. Em situações reais, as escalas são elaboradas de modo compatível
com o contexto e os objetivos específicos da atividade objeto da gestão de riscos.

Os resultados das combinações de probabilidade e impacto, classificados de acordo com a escala de

níveis de risco, podem ser expressos em uma matriz, como o exemplo apresentado.

Quadro 4. Exemplo de matriz probabilidade versus impacto para classificação de níveis de riscos
80
Muito alto 10 20 50 100
Risco
10 Risco médio Risco médio Risco alto Risco extremo
extremo
Alto 8 16 40 64 80
8 Risco baixo Risco médio Risco alto Risco alto Risco extremo
IMPACTO

Médio 5 10 25 40 50
5 Risco baixo Risco médio Risco médio Risco alto Risco alto
Baixo 2 4 10 16 20
2 Risco baixo Risco baixo Risco médio Risco médio Risco médio
Muito
1 2 5 8 10
baixo
Risco baixo Risco baixo Risco baixo Risco baixo Risco médio
1
Muito baixa Baixa Média Alta Muito alta
1 2 5 8 10
PROBABILIDADE
Fonte: MAF/TCU (2016) e TCU (2018), com adaptações.
Notas: A escolha dos pesos é sugestiva. Em situações reais, as escalas são elaboradas de modo compatível
com o contexto e os objetivos específicos da atividade objeto da gestão de riscos.

Existem softwares que possibilitam a organização, sistematização e a própria avaliação de riscos, bem
como a preparação de gráficos e tabelas. Os riscos podem ser registrados em um papel de trabalho, tal como o
exemplo apresentado no quadro seguinte.

Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 15
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
Quadro 5. Exemplo de registro de riscos com níveis de risco inerente calculados
Riscos Identificados Probabilidade Impacto Nível de Risco
Inerente
Risco 1 – Descrição do risco 1 Alta 8 Muito alto 10 80 – Extremo
Risco 2 – Descrição do risco 2 Médio 5 Alto 8 40 - Alto
Risco 3 – Descrição do risco 3 Baixa 2 Médio 5 10 – Médio
Risco 4 – Descrição do risco 4 Muito baixa 1 Médio 5 5 - Baixo
Fonte: TCU (2018), com adaptações.

Por fim, a análise de riscos só se completa quando as ações que a gestão adota para respondê-los são
também avaliadas, chegando-se ao nível de risco residual; ou seja, o risco que remanesce depois de considerado
o efeito das respostas adotadas pela gestão para reduzir a probabilidade e ou o impacto dos riscos, incluindo
controles internos e outras ações (TCU, 2018).

5.3.2. Riscos de controles

Os riscos de controle são aqueles relacionados aos controles internos (políticas e procedimentos)
instituídos pela administração (auditado) para responder aos riscos inerentes de modo a prevenir, detectar e
corrigir desvios e distorções. Há dois grandes tipos de controles internos.

Quadro 6. Tipos de controles internos

Controles internos abrangentes Controles internos específicos

Referem-se às estruturas de governança
corporativa, às atividades de monitoramento
exercidas pela administração e às unidades de
auditoria interna.
Fonte: elaborado pelo autor com base no MAF/TCU (2016).
Existentes no nível das atividades, processos ou
transações, tais como manuais, autorizações,
revisões de desempenho, segregações de funções
e controles físicos, entre outros.

É esperado, portanto, que a administração implante controles internos para responder aos riscos de
negócio ou de fraude. Nesse processo, a administração identifica e avalia os riscos, desenha e implementa
controles para reduzir sua exposição àqueles riscos a um nível aceitável. Assim, é provável que uma ou mais
atividade de controle esteja associada a um risco, que por sua vez estará associado a uma afirmação (MAF/TCU,
2016, item 276).
A lógica, nesse caso, é que a exposição é resultado da diferença entre risco e controle, conforme
expressa na seguinte fórmula:

RISCO – CONTROLE = EXPOSIÇÃO

É importante destacar que o auditado não é obrigado a instituir controles para todas as suas operações.
Essa decisão está atrelada à própria forma de gestão de riscos.

Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 16
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
Ao gerir riscos e classificá-los entre alto, médio e baixo, por exemplo, o auditado pode decidir pelas
melhores respostas a esse risco. A resposta ao risco é o processo de desenvolver e determinar ações para
reduzir as ameaças aos objetivos da organização e aumentar a produtividade. A entidade pode “aceitar” o risco
por meio de algumas ações ou “evitá-lo”, por exemplo, ao abandonar uma linha de produtos.

Figura 6. Matriz de risco de controle com respostas sugeridas aos riscos

MÉDIO ALTO
(Probabilidade baixa, Impacto alto) (Probabilidade alta, Impacto alto)
Resposta: Resposta:
TRANSFERIR (contratar seguros) EVITAR (abandonar)
MITIGAR (implantar atividades de TRANSFERIR (contratar seguros)
controle) MITIGAR (instituir plano de
▲
contingência, implantar atividades de
IMPACTO
controle)
BAIXO MÉDIO
(Probabilidade baixa, Impacto alto) (Probabilidade alta, Impacto baixo)
Resposta: Resposta:
ASSUMIR (monitorar) MITIGAR (implantar atividades de
controle)

PROBABILIDADE►
Fonte: TCU (2018) com adaptações do autor.

Após a avaliação dos riscos inerentes, em termos de probabilidade e impacto, o auditor contábil-
financeiro irá decidir quais riscos deverão ter os controles internos identificados e avaliados. Se o auditor
determinou que um risco inerente é significativo, ele deve identificar e obter entendimento dos controles internos
relevantes para esse risco (MAF/TCU, 2016, item 273).

Quadro 7. Tipos de Controles

São aqueles controles nas áreas em que o auditor, em seu julgamento
Controles relevantes
profissional, considera ser mais provável existir o risco de distorção
ou controles-chaves
relevante significativo.
Controles São aqueles controles que podem substituir com eficácia controles-chaves
compensatórios não existentes.
Fonte: elaborado pelo autor com base na ISA/NBC TA 315 e no MAF/TCU.

A identificação de controles relevantes pode ser feita mediante a tabulação de diversas áreas das
demonstrações contábeis/financeiras (por exemplo: bancos, imobilizado, despesas com pessoal) e os processos
que afetam os saldos das contas dessas áreas (por exemplo: recebimentos, pagamentos, folha de pagamento),
inclusive em relação aos controles no nível de entidade (por exemplo: análise de acompanhamento da execução
do orçamento) (LONGO, 2011).
Se um controle-chave esperado pelo auditor não existe, ele deve identificar se existem controles
compensatórios e avaliar a sua eficácia (MAF/TCU, 2016, item 281).

Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 17
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
Dada a importância da tecnologia da informação na área de divulgação de informações contábeis e
financeiras, o auditor deve obter entendimento dos controles internos que a entidade instituiu para responder aos
riscos decorrentes da utilização de tecnologia da informação (TI) e que possam ter efeito na elaboração de
demonstrações e relatórios financeiros da entidade (MAF/TCU 2016, item 280).

Quadro 8. Exemplos de Riscos de TI Segundo a ISA/NBC TA 315

Riscos de Tecnologia da Informação (TI)
Confiança em sistemas ou programas que estejam processando dados imprecisamente,
processando dados incorretos ou ambos.
Acesso não autorizado a dados, que pode resultar em destruição ou modificações inadequadas de
dados, incluindo o registro de transações não autorizadas ou inexistentes ou o registro incorreto de
transações. Podem surgir riscos específicos quando múltiplos usuários têm acesso a uma base de
dados comum.
Possibilidade de que os funcionários de TI consigam acesso privilegiado além dos necessários para
executar os deveres a eles atribuídos, rompendo, assim, a segregação de funções.
Modificações não autorizadas de dados nos arquivos-mestres.
Modificações não autorizadas de sistemas ou programas.
Falha na realização de modificações necessárias em sistemas ou programas.
Intervenção manual inadequada.
Perda potencial de dados ou incapacidade de acessar dados como exigido.
Fonte: elaborado pelo autor com base na ISA/NBC TA 315.

De modo a opinar sobre o risco de controle, o auditor contábil-financeiro precisa obter entendimento e
realizar uma avaliação dos controles internos concebidos e implantados pela administração da entidade
(auditado) como forma de determinar se tais controles, individualmente ou em conjunto, são capazes de,
efetivamente, prevenir ou detectar e corrigir as distorções que podem decorrer dos riscos inerentes avaliados
como significativos.
Na avaliação dos controles relevantes para a auditoria, o auditor contábil-financeiro examina o desenho e
a implementação desses controles. (MAF/TCU 2016, item 284).
Para tanto, o auditor pode se valer de procedimentos preliminares de avaliação de riscos que incluem
acompanhamentos ou exames passo a passo (denominados reexecução ou walkthrough), elaboração de mapas
de processos ou fluxogramas, resumos descritivos ou narrativos e questionários de avaliação de controle interno
(QACI).
A implementação de um controle significa a existência e a utilidade dele para a entidade (MAF/TCU,
2016, item 285). O primeiro passo a ser considerado, portanto, é a própria concepção do controle. Ou seja, um
controle inadequadamente projetado pode representar uma deficiência significativa de controle interno (ISA/NBC
TA 315).
Contudo, devido às limitações inerentes ao controle interno, não importa quão efetivo seja o desenho e a
implementação de um controle, ele só poderá fornecer à entidade uma segurança razoável, nunca absoluta,
quanto ao cumprimento dos objetivos para os quais foi concebido. Ou seja, não se pode atribuir 100% de

Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 18
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
confiança a um controle interno (MAF/TCU, 2016, item 287). Assim, a lógica subjacente a essa premissa costuma
ser expressa na fórmula apresentada a seguir.

Quadro 9. Fórmula do Risco de Controle

RC = 1 - C
RC = C = representa o nível de 1 = representa 100% de
determinação do confiança que se pode depositar chance de que o controle
risco de controle no controle, com base na falhe
avaliação de seu desenho e
implementação
Fonte: elaborado pelo autor.

A análise da fórmula conduz às possibilidades seguintes.

Quadro 10. Exemplos de Riscos de TI Segundo a ISA/NBC TA 315

Se não é possível confiar em um dado sistema de controles
RC = 1 – 0 = internos, quer seja por má formulação ou implementação, ou mesmo
1 ou 100% caso não exista, será atribuído 0 à variável C, o que resultará em
risco de controle de 100%.
Se o controle interno é avaliado como forte, mesmo assim, não será
possível confiar totalmente no sistema, dada a premissa subjacente
RC = 1 –
de limitação inerente e de segurança razoável, mas não absoluta.
0,60 = 0,4 ou
Nesses casos, deve ser estabelecido um certo nível de confiança
40%
máximo. Se o nível estabelecido for, por exemplo, de 60%, o risco
de que o controle falhe será de 40%.
Fonte: elaborado pelo autor.

É evidente, portanto, que o grande desafio do auditor contábil-financeiro é determinar o nível de

confiança máximo. Para auxiliar nessa tarefa, e com o propósito de diminuição da subjetividade na atuação do
auditor, o quadro seguinte apresenta um exemplo meramente sugestivo de escala para avaliação do risco de
controle.

Quadro 11. Exemplo de escala para avaliação do risco de controle

Avaliação do Avaliação do desenho e implementação dos controles Risco de

controle (C) controle (RC)
(atributos do controle)
Inexistente Muito alto
O controle interno é inexistente, foi projetado ou foi mal implementado.
C = 0% (0,0) 1,0

Fraco Os controles internos têm abordagens, ad hoc, que tendem a ser Alto
aplicadas caso a caso. A responsabilidade é individual, havendo elevado
C = 20% (0,2) grau de confiança no conhecimento das pessoas. 0,8

Mediano Os controles internos estão implementados e mitigam alguns aspectos do Médio

risco, mas não apropriadamente, seja por não contemplar todos os

Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 19
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
C = 40% (0,4) aspectos relevantes do risco, seja por ineficiência em seu desenho 0,6
técnico ou nas ferramentas utilizadas.

Satisfatório Os controles internos estão implementados e mitigam o risco Baixo

apropriadamente e estão sustentados por ferramentas adequadas,
C = 60% (0,6) embora passível de aperfeiçoamento. 0,4

Forte Os controles internos estão implementados e mitigam o risco em todos os Muito baixo
aspectos relevantes, podendo ser considerado em um nível de “melhor
C = 80% (0,8) prática” 0,2

Fonte: MAF/TCU (2016) e TCU (2018).

Notas: A escolha dos pesos é sugestiva. Em situações reais, as escalas são elaboradas de modo compatível
com o contexto e os objetivos específicos da atividade objeto da gestão de riscos.

O trabalho de identificação e avaliação de riscos é realizado na fase de planejamento da auditoria. Nessa

fase, a avaliação do risco de controle tem caráter preliminar (denominada avaliação preliminar), uma vez que se
apoia apenas nos aspectos de desenho, implementação e limitações inerentes, mas não na efetividade
operacional, o que implicaria a aplicação de procedimentos adicionais de auditoria para obter evidência sobre o
modo como os controles foram aplicados ao longo do período, a consistência como eles foram aplicados, por
quem e por quais meios eles foram aplicados (ISA/NBC TA 315; MAF/TCU, 2016, item 293).
Entretanto, caso a avaliação preliminar do RC seja menor que “alto”, as normas de auditoria exigem que
o auditor planeje e realize testes de efetividade operacional dos controles para apoiar a sua aferição de risco
(GRAMLING; RITTENBERG; JOHNSTONE, 2012).
Caso o auditor pretenda utilizar a confiança nos controles para determinar a extensão de procedimentos
substantivos, ele deverá testar, previamente, a efetividade operacional dos controles. Caso o resultado dos testes
discrepe da avaliação preliminar do RC, o RDR deverá ser reavaliado com base no novo RC, a fim de obter o
nível correto de RD aceitável na determinação dos procedimentos substantivos (ISA/NBC TA 330; MAF/TCU,
2016, item 294).
5.3.3. Riscos de distorção relevante
Uma vez identificados e avaliados os riscos inerente e de controle, o tratamento do risco de distorção
relevante ou risco residual de distorção é consequência natural. A noção de distorção relevante envolve aqueles
riscos classificados como de alto impacto e alta probabilidade (ISA/NBC TA 315).
Segundo Longo (2011):
“Riscos significativos são aqueles riscos com grande probabilidade de ocorrer
e, se ocorrerem, podem ter um impacto relevante nos objetivos”.
Os riscos significativos frequentemente se relacionam com transações não rotineiras ou com questões
associadas ao julgamento profissional.

Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 20
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
Quadro 12. Riscos significativos
a) transações que não ocorrem frequentemente;
Transações b) maior intervenção da administração para determinar o tratamento contábil;
não c) maior intervenção manual para obtenção e processamento de dados;
d) cálculos ou princípios contábeis complexos;
rotineiras e) natureza das transações não rotineiras, que pode dificultar a implementação, pela
entidade, de controles efetivos sobre os riscos.
a) o risco é um risco de fraude;
b) o risco é relacionado com mudanças significativas recentes, sejam econômicas,
Questões
contábeis ou de outro tipo e que, portanto, exigem atenção específica;
de c) complexidade das transações;
d) o risco envolve transações significativas com partes relacionadas;
julgamento
e) elevado grau de subjetividade na mensuração de estimativas contábeis
profissional relacionadas ao risco, especialmente as que envolvam uma vasta gama de incerteza;
f) o risco envolve transações significativas, fora do curso normal dos negócios da
entidade ou que, de outra forma, pareçam não usual.
Fonte: elaborado pelo autor com base no MAF/TCU (2016).

As distorções em demonstrações contábeis/financeiras podem decorrer de fraude ou erro.

Figura 7. Distorções em Demonstrações Contábeis/Financeiras Mais Comuns

Erro Erros aritméticos na escrituração contábil ou nas demonstrações
Ato não ► contábeis/financeiras
intencional Aplicação incorreta das normas contábeis
Intepretação errada das variações patrimoniais

Fraude ► Informações (incluindo relatórios) contábeis fraudulentas

Ato intencional Apropriação indébita de ativos
Fonte: elaborado pelo autor com base na ISSAI 200 e no MAF/TCU (2016).

Para identificar e avaliar riscos de distorção no nível das demonstrações contábeis/financeiras e no nível
das afirmações, o auditor deve seguir alguns passos.

Quadro 13. Passos para Identificar e Avaliar Riscos de Distorção

a) identificar riscos ao longo de todo o processo de obtenção do entendimento
No nível das da entidade e do seu ambiente, inclusive dos controles internos relevantes
relacionados com os riscos, considerando as classes de transações, saldos de
demonstrações contas e divulgações nas demonstrações contábeis/financeiras;
contábeis/financeiras b) avaliar os riscos identificados e como eles se relacionam de forma
generalizada às demonstrações financeiras como um todo, isto é, se afetam
potencialmente muitas afirmações.
a) relacionar os riscos identificados àquilo que pode dar errado no nível das
afirmações, levando em conta os controles relevantes que o auditor pretende
No nível das
testar;
afirmações b) considerar a probabilidade de distorção, inclusive a possibilidade de
múltiplas distorções, e se a sua magnitude é tal que possa resultar em
distorção relevante.
Fonte: ISA/NBC TA 315 e MAF/TCU (2016).

O resultado do relacionamento matemático do risco inerente (RI) e do risco de controle (RC) redunda em
um indicador que possibilitará ao auditor contábil-financeiro identificar quais riscos têm maior relevância para a

Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 21
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
auditoria. Isso possibilitará ao auditor planejar a auditoria e os testes que serão promovidos. Serve também de
apoio ao processo de julgamento profissional.
As informações sobre as avaliações de riscos podem ser expressas em uma matriz de avaliação de
riscos.

Quadro 14. Exemplo de matriz para avaliação de riscos de distorção relevante (RDR)
Avaliação
Risco Probabilidade Impacto RI =
Área Afirmações Controle RC RDR
Identificado (P) (I) PxI
Interno
Afirmação 1 R1 Alto Alto Alto Forte Baixo Alto
Fornece 0,8 0,8 0,64 0,2 0,13
dores Afirmação 2 R2 Médio Alto Alto Mediano Médio Médi
0,5 0,8 0,40 0,6 o
0,24
Afirmação 3 R3 MA MA Extre Fraco Alto Extre
1,0 1,0 mo 0,8 mo
1,00 0,80
Fonte: MAF/TCU (2016).
Notas: RI: risco inerente; RC: risco de controle; RDR: risco de distorção relevante; área: classes de transações,
contas e divulgações relevantes.

A matriz contém o risco inerente, o risco de controle, o risco de distorção relevante e a área que se
referem a classes de transações, contas e divulgações relevantes, o que permite determinar quais riscos de
distorção relevante merecem maior atenção da auditoria.
Os resultados da avaliação do RDR realizada pelo auditor e sua equipe podem mudar durante o curso da
auditoria, à medida que evidências adicionais são obtidas (MAF/TCU 2016, item 301).
O processo de avaliação não termina em um determinado momento. Novas informações podem ser
obtidas no decorrer dos trabalhos e a execução dos procedimentos adicionais de auditoria pode identificar riscos
adicionais, ou controles internos que não funcionam conforme avaliado preliminarmente. Quando isso ocorre, a
avaliação de riscos original deve ser revisada, considerando as novas informações.
Quando o profissional de auditoria governamental responsável pela supervisão dos trabalhos considerar
que o nível de risco residual assumido pelo administrador do ente auditado pode causar prejuízos ao erário, o
auditor deve endereçar as providências necessárias (NAG/TC’s, item 4803.1).

5. RISCOS SOB GESTÃO DO AUDITOR

Os riscos sob gestão do auditor são de duas naturezas: de auditoria (RA) e de detecção (RD). O RA é
função do risco de distorção relevante, que não é da sua gestão, e, também, do risco de detecção. Ao auditor
contábil-financeiro, cabe sua determinação e o tratamento por meio de um conjunto de respostas.
5.4.1. Risco de auditoria
O risco de auditoria (RA) é o risco de o auditor expressar uma opinião de auditoria inadequada quando as
demonstrações contábeis/financeiras apresentam distorções relevantes. Pode ser de igual modo assim definido:
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 22
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
É a probabilidade de o profissional de auditoria deixar de emitir
apropriadamente sua opinião e comentários sobre as transações, documentos e
demonstrações materialmente incorretos pelo efeito de ausência ou fragilidades de
controles internos e de erros ou fraudes existentes, mas não detectados pelo seu
exame, em face da carência ou deficiência dos elementos comprobatórios ou pela
ocorrência de eventos futuros incertos que possuam potencial para influenciar os
objetos da auditoria (NAG/TC’s, item 1123).

O RA, normalmente, é um valor fixo, estabelecido conforme o nível de asseguração pretendido, que
usualmente é de 5%, uma vez que se aceita que 95% de asseguração é um parâmetro razoável para a
segurança que uma auditoria pode oferecer. De modo a manter o RA constante, o auditor contábil-financeiro deve
variar o nível de risco de detecção (RD) inversamente ao nível de risco de distorção relevante (RDR) avaliado. Ou
seja, quanto maior o nível de RDR, mais baixo deve ser o nível de RD aceitável, e vice-versa (MAF/TCU 2016,
item 244).
Como parte da avaliação de risco, o auditor determina se quaisquer dos riscos identificados são, em seu
julgamento, significativos. Ao exercer esse julgamento, o auditor deve excluir os efeitos dos controles
identificados relacionados ao risco. Ao exercer julgamento quanto a quais riscos são significativos, o auditor deve
considerar, pelo menos o disposto a seguir.

Quadro 15. Avaliação do Risco de Auditoria

Exemplos de Aspectos a Serem Considerados na Avaliação de Risco
Se o risco é um risco de fraude.
Se o risco está relacionado a desenvolvimentos significativos recentes, econômicos, contábeis ou
de outro tipo e, portanto, exija atenção específica.
A complexidade das transações.
Se o risco envolve transações significativas com partes relacionadas.
O grau de subjetividade na mensuração das informações financeiras relacionadas ao risco,
especialmente as mensurações que envolvem uma vasta gama de incertezas de mensuração.
Se o risco envolve transações significativas que estejam fora do curso normal do negócio da
entidade auditada, ou que, de outra forma, pareça ser não usual.
Se o risco também afeta a conformidade com leis e regulamentos.
Fonte: elaborado pelo autor com base na ISA/NBC TA 315.

5.4.2. Risco de detecção

O risco de detecção é:

“A possibilidade de o erro acontecer, mas não ser detectado pelo profissional de

auditoria governamental” (NAG/TCs, item 4311.1.3).

O RD é uma função direta da eficácia dos procedimentos de auditoria planejados e de sua aplicação pelo
auditor (ISA/NBC TA 200). Após determinar o RDR, avaliando os RI e RC, o auditor deve planejar os

Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 23
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
procedimentos adicionais de auditoria na extensão requerida pelo RD calculado, de tal forma que o RA não
supere o nível aceitável.
O auditor contábil-financeiro usa o RDR avaliado para determinar o nível aceitável de RD para uma
determinada afirmação nas demonstrações contábeis/financeiras. Quanto maior o RDR, mais baixo deve ser o
nível de RD, de modo a reduzir o RA a um nível aceitavelmente baixo (MAF/TCU, 2016, item 305). Essa relação
decorre da mesma fórmula proposta pelo AICPA: RD = RA / (RI x RC).
As informações sobre as avaliações de riscos podem ser expressas em uma matriz de avaliação de
riscos, tendo o risco de detecção calculado considerando um risco de auditoria de 5%, como o exemplo
apresentado a seguir.

Quadro 16. Exemplo de matriz para avaliação com risco de detecção (RD) calculado considerando risco
de auditoria (RA) de 5%
Risco Avaliação
Probabilidade Impacto RI =
Área Afirmações Identifi Controle RC RDR RD
(P) (I) PxI
cado Interno
Baix
Alto Alto Alto Alto 0,3
Afirmação 1 R1 Forte o
0,8 0,8 0,64 0,13 8
0,2
Méd
Fornec Médio Alto Alto Médio 0,2
Afirmação 2 R2 Mediano io
e 0,5 0,8 0,40 0,24 1
0,6
dores
Extre
MA MA Alto Extremo 0,0
Afirmação 3 R3 mo Fraco
1,0 1,0 0,8 0,80 6
1,00
Fonte: MAF/TCU (2016).
Notas: RI: risco inerente; RC: risco de controle; RDR: risco de distorção relevante; área: classes de transações,
contas e divulgações relevantes.

O RDR e RD variam inversamente. Isso significa que quanto maior o RDR, mais extensos devem ser os
procedimentos substantivos de auditoria planejados e executados para reduzir o RD ao nível aceitável e, com
isso, manter o RA no nível estabelecido. Inversamente, quanto menor o RDR, maior o nível de RD que o auditor
poderá aceitar e, portanto, poderá reduzir a extensão dos procedimentos substantivos sem prejudicar o nível de
RA estabelecido (MAF/TCU, 2016, item 304).
O nível aceitável de RD é o RA ajustado para o contexto específico de uma dada afirmação,
considerando os seus próprios riscos, inerente e de controle, isto é, o seu risco específico de distorção relevante.
O cálculo do RD visa a obter, por diferença, o nível de confiança que é necessário para planejar a extensão dos
procedimentos substantivos, pois o RD é definido como complementar ao nível de confiança no nível das
afirmações: NC (Nível de Confiança) = 1 – RD (Risco de Detecção).

Quadro 17. Exemplo de Cálculo do Risco de Detecção

Exemplo Aplicação
1 - Em uma auditoria o auditor avalia o RI e o RC para uma RD = 0,05 /
afirmação como máximos (ambos 1,0). O RA aceitável foi fixado (1,0 x 1,0) =

Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 24
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
em 5%, o efeito dessa situação sobre o RD e, portanto, sobre a 0,05 ou 5%
extensão dos procedimentos substantivos de auditoria, será:
2 – Em uma auditoria o auditor avalia como baixo o RDR de uma RD = 0,05 /
afirmação (RI de 0,5 e RC de 0,2, respectivamente), com um RA (0,5 x 0,2) =
aceitável estabelecido em 5%: 0,5 ou 50%
Fonte: MAF/TCU (2016, itens 308 a 311).

No exemplo 1, o RD e o RA são iguais pelo fato de que, além do RI ser máximo, o auditor não pôde
depositar nenhuma confiança no controle interno. Portanto, a extensão dos procedimentos substantivos deverá
ser planejada para fornecer um nível de confiança de 95%, isto é, com o risco aceitável de detecção de 5%. O
resultado é intuitivo, elevados RI e RC mantêm o nível de confiança no nível de afirmações inalterado em relação
ao RA como um todo, levando a trabalho mais extenso para manter o RA no nível aceitável.
No exemplo 2, o auditor poderia planejar testes substantivos com extensão menor, suportando um RD
moderado, porque tal extensão, em tese, seria suficiente para fornecer a evidência apropriada ao nível de RA
estabelecido.

Aplique os conhecimentos no caso seguinte.

1 – Determinar o risco de auditoria do processo denominado “pagamento de pessoal”.

1.1 – Dados gerais

Processo de Negócio: Realizar Pagamento de Pessoal

Responsável pelo mapeamento:
Responsável pelo processo:
Objetivo estratégico:
Objetivo do processo: "Objetivo Geral: Contribuir para o bom funcionamento do órgão, garantindo os
direitos e deveres de seus servidores, por meio da realização correta e tempestiva do devido pagamento
das remunerações e afins, via folha de pagamento.
Eficácia: Realizar pagamento do valor devido aos servidores, aos aposentados ou pensionistas e
aos estagiários.
Eficiência: Efetuar pagamento mensalmente, até o segundo dia útil do mês, da remuneração dos
servidores, dos proventos dos aposentados ou pensionistas e da bolsa dos estagiários, utilizando
racionalmente os recursos humanos, tecnológicos e materiais disponíveis.
Efetividade: Manter elevado grau de confiança dos servidores, dos aposentados ou pensionistas
e dos estagiários na exatidão dos valores registrados nos contracheques.
Informação: Dispor de informações precisas, completas e tempestivas aos agentes envolvidos
com a folha de pagamento, mantendo-as integras e com acesso restrito e disponibilizando-as às
partes autorizadas e interessadas.
Conformidade: Observar a legislação aplicável ao caso e os demais atos regulamentares do
sistema de pessoal civil.

1.2 – Possíveis eventos de risco

Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 25
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
Deixar de realizar o pagamento
Realizar pagamentos indevidos.
Deixar de efetuar o pagamento mensal até o segundo dia útil do mês de remuneração.
Alocar, de forma inadequada, a força de trabalho necessária para atender às necessidades de
elaboração das folhas de pagamento.
Elevado grau de desconfiança dos interessados na exatidão ou na tempestividade do pagamento da
folha.
Acesso às informações da folha de pagamento por pessoas não autorizadas.
Perda ou adulteração de informações imprescindíveis à realização de pagamento de pessoal.
Informações necessárias ao pagamento da folha recebidas de maneira incompleta.
Partes interessadas e autorizadas sem acesso às informações relativas à folha de pagamento.
Descumprir ou não observar a legislação e demais atos normativos aplicados ao pagamento da folha

1.3. Observe as escalas de probabilidade, de avaliação do impacto de eventos e de

classificação de níveis de risco, bem como a matriz probabilidade e impacto, anteriormente
apresentadas.

1.4. Calcule o nível de risco inerente para cada um dos riscos que foi selecionado.

Risco inerente

Registro de riscos com níveis de risco inerente calculados

Riscos Identificados Probabilidade Impacto Nível de Risco
Inerente

(A) Probabilidade: praticamente certa 10, alta 8, média 5, baixa 2, muito baixa 1.

(B) Impacto: muito alto 10, alto 8, médio 5, baixo 2, muito baixo 1.

1.5. Classifique o nível de risco de controle para cada um dos riscos que foi selecionado,
observando a fórmula da exposição ao risco.

Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 26
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
Risco de controle

Registro de riscos com níveis de risco de controle atribuídos

Riscos Identificados Nível de Risco
de Controle

(A) Probabilidade: praticamente certa 10, alta 8, média 5, baixa 2, muito baixa 1.

1.5. Classifique o nível de risco de controle para cada um dos riscos que foi selecionado,
observando a fórmula da exposição ao risco.

Risco de distorção relevante

Matriz para avaliação de riscos de distorção relevante (RDR)

Risco Probabilidade Impacto RI =
Área ACI RC RDR
Identificado (P) (I) PxI

Folha
de
pagame
nto

1.6. Leia a informação abaixo sobre o risco de auditoria.

Risco de auditoria
O RA, normalmente, é um valor fixo, estabelecido conforme o nível de asseguração pretendido, que
usualmente é de 5%, uma vez que se aceita que 95% de asseguração é um parâmetro razoável para a

Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 27
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
segurança que uma auditoria pode oferecer. De modo a manter o RA constante, o auditor contábil-financeiro deve
variar o nível de risco de detecção (RD) inversamente ao nível de risco de distorção relevante (RDR) avaliado. Ou
seja, quanto maior o nível de RDR, mais baixo deve ser o nível de RD aceitável, e vice-versa.

1.7. Calcule o de risco de detecção.

Risco de detecção

Matriz para avaliação com risco de detecção (RD) calculado considerando risco de auditoria (RA) de 5%
Risco Probabilidade Impacto RI =
Área ACI RC RDR RD
Identificado (P) (I) PxI

Folha
de
pagam
eto

Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 28