Escolar Documentos
Profissional Documentos
Cultura Documentos
E XERCÍ CIOS
3 - CESPE - 2012 - MPE-PI - Analista Ministerial -
PA RT E 1 Controle Interno - Cargo 3
Em relação ao ciclo entre a preparação da folha de
E XE R CÍCI O S D E F IXA ÇÃ O pagamentos e o respectivo pagamento, é
recomendável que as pessoas que elaboram a folha
sejam as mesmas que procedem à entrega aos
I – FUNDAMENTOS beneficiários dos envelopes com o numerário e que,
sendo o caso, as pessoas que assinam os cheques
sejam as mesmas que expedem a
Para fins de fixação do conteúdo comunicação/autorização ao banco para crédito aos
apresentado, responda às questões a seguir: beneficiários.
a) Certo
1 - EXATUS - 2012 - DETRAN-RJ - Analista - b) Errado
Contabilidade
As Auditorias podem ser classificadas (quanto ao 4 - CONSULPLAN - 2012 - TSE - Analista
posicionamento) em: Judiciário - Contabilidade
a) Auditoria Interna e Auditoria Externa Na área pública, o controle interno tem o objetivo de
b) Auditoria Periódica e Auditoria Ininterrupta ser, simultaneamente, um mecanismo de auxílio ao
c) Auditoria Governamental e Auditoria administrador público e um instrumento de proteção
Empresarial e defesa do cidadão. O controle contribui para que
d) Auditoria de Pesquisa e Auditoria de Fato. os objetivos da organização pública sejam
alcançados e que as ações sejam conduzidas de
2 - Provas: CESPE - 2011 - SEDUC-AM - forma econômica, eficiente e eficaz, resultando na
Contador salvaguarda dos recursos públicos contra o
A função da auditoria interna de uma entidade pode desperdício, o abuso, os erros, as fraudes e as
ser relevante para os auditores independentes, caso irregularidades. (Castro, D. P. Auditoria e Controle
as atividades e as responsabilidades da auditoria Interno na Administração Pública. Paulo: Atlas,
interna tenham como referência os relatórios 2008)
contábeis da entidade e os auditores independentes
almejem utilizar esse trabalho para reduzir a Considerando as formas de controle interno, pode-
extensão dos procedimentos a serem adotados. se afirmar que o disposto no Art. 60 da Lei nº
a) Certo 4.320/64 e suas alterações posteriores (normas de
b) Errado direito financeiro para elaboração e controle dos
orçamentos públicos): É vedada a realização de
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 1
despesa sem prévio empenho, constitui-se em um d) I, II, III e V.
exemplo de controle. e) I, II, IV e V.
a) concomitante.
b) corretivo. 7 - FMP-RS - 2011 - TCE-RS - Todos os Cargos -
c) posterior. Conhecimentos Básicos
d) prévio. O controle interno, segundo a metodologia COSO,
compõe-se de componentes relacionados entre si.
5 - FCC - 2012 - TRF - 2ª REGIÃO - Analista Identifique o elemento que não faz parte desta
Judiciário - Contadoria relação:
NÃO constitui um princípio básico do controle a) Ambiente de controle.
interno da administração pública: b) Atividades de controle.
a) segregação de funções, que consiste no fato c) Monitoramento.
de que a pessoa que realiza uma operação d) Informação e comunicação.
não pode ser a mesma envolvida na função e) Independência.
de registro.
b) unicidade no ciclo de uma transação, que 8 - FCC - 2011 - TCE-PR - Analista de Controle -
preconiza que apenas uma pessoa deva Jurídica e outros
realizar todas as fases de uma transação, O modelo COSO I é uma ferramenta que permite ao
para facilitar o subsequente trabalho de administrador revisar e melhorar seu sistema de
auditoria. controle interno e foi estruturado com base em cinco
c) rodízio de pessoal, inclusive com o objetivo componentes: ambiente interno ou de controle,
de que cada servidor possa ser capaz de avaliação de risco, procedimentos ou atividades de
desenvolver novas tarefas. controle, informação e comunicação e
d) seleção adequada de pessoal, que envolve monitoramento. O modelo COSO II pode ser
a investigação do passado do funcionário e considerado mais abrangente, pois possuiu, além
a conferência de suas referências. desses, mais três componentes. São eles:
e) elaboração de manuais operacionais, nos a) definição de objetivos, identificação de
quais devem estar detalhadas as instruções riscos e resposta aos riscos.
relativas de como devem ser executadas as b) definição de objetivos, identificação de
funções referentes à atividade a ser riscos e circularização de documentos.
desempenhada na administração. c) tabela de evidências, definição de riscos e
circularização de documentos.
6 - CESGRANRIO - 2011 - Petrobrás - Auditor d) tabela de evidências, resposta de riscos e
Júnior circularização de documentos.
Os controles internos podem ser classificados como e) definição de objetivos, tabela de evidências
preventivos ou detectivos, dependendo do objetivo e e resposta de riscos.
do momento em que são aplicados. Observe os
controles apresentados a seguir. 9 - CESPE - 2008 - TCU - Analista de Controle
I - Segregação de funções Externo - Auditoria Governamental - Prova 2
II - Limites e alçadas Segundo o COSO, as pequenas empresas
III - Autorizações enfrentam desafios importantes para manter um
IV - Conciliações controle interno a custos razoáveis. Nesses casos,
V - Revisões de desempenho entretanto, não obstante a limitação do número de
empregados ou servidores, não há
São exemplos de controles preventivos APENAS os comprometimento da segregação de funções, não
apresentados em: havendo necessidade de obtenção de recursos
a) I, II e III. adicionais para assegurar a adequada segregação
b) II, III e IV. de funções.
c) III, IV e V. a) Certo
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 2
b) Errado oriundos de agentes financeiros e organismos
internacionais.
10 - CESGRANRIO - 2011 - TRANSPETRO - a) Certo
Contador Júnior - Contábil b) Errado
Consensar propósitos estratégicos, alinhados às
expectativas dos acionistas para negócios e gestão, 15 - TRT 6°/FCC/2012
exercendo o acompanhamento e a avaliação da De acordo com as normas de auditoria externa,
diretoria executiva e dos resultados. quando o auditor desenvolve seus trabalhos com
O texto acima se refere à missão de um dos uma postura que inclui questionamento e avaliação
elementos principais preconizados pelas melhores crítica e detalhada, e desempenhe os trabalhos com
práticas de governança corporativa. alerta para condições que possam indicar possível
A missão explicitada no texto é desempenhada pelo: distorção, devido a erro ou fraude nas
a) Comitê de Padrões Contábeis demonstrações financeiras, o auditor está aplicando.
b) Comitê de Gestão Responsável a) Julgamento profissional.
c) Comitê de Auditoria b) Ceticismo profissional.
d) Conselho Fiscal c) Equidade profissional.
e) Conselho de Administração d) Diligência profissional.
e) Neutralidade profissional.
11 - CESPE/TCDF/2012
Um dos objetivos específicos do tribunal de contas, 16 - MPE PE/FCC/2012
ao efetuar suas auditorias governamentais, é NÃO representa um requisito necessário para que o
recomendar, quando necessário, ações de caráter auditor possa conduzir adequadamente os trabalhos
gerencial visando a promoção da melhoria das de asseguração das demonstrações contábeis:
operações. a) Ceticismo profissional
a) Certo b) Acesso irrestrito a todas as informações
b) Errado necessárias para fundamentar seu parecer
c) Julgamento profissional
12 - CESPE/TCDF/2012 d) Corresponsabilidade pela elaboração das
Sendo a auditoria operacional etapa preparatória demonstrações contábeis da entidade
para a auditoria de regularidade, devido às suas auditada.
peculiaridades, essas auditorias não podem, na e) Obtenção de evidência de auditoria
prática, ser realizadas concomitantemente. apropriada e suficiente.
a) Certo
b) Errado 17 - TRT 4°/FCC/2011
Não corresponde a um princípio fundamental da
13 - TCU/CESPE/2008 conduta ética do auditor a:
Na auditoria operacional realizada no âmbito de um a) Integridade dos trabalhos executados
órgão ou programa governamental, os critérios ou b) Competência técnica na análise e avaliações
objetivos pelos quais eficiência e eficácia são c) Postura mental independente
medidas devem ser especificados pelos auditores e, d) Subjetividade na aplicação dos
não, pela administração, e os pareceres relativos a procedimentos
esses trabalhos não podem conter recomendações e) Confidencialidade das informações.
ou sugestões.
a) Certo 18 - TRT 10°/FCC/2011
b) Errado Dentre outros, os princípios fundamentais de ética
profissional relevantes para o auditor quando da
14 - SECONT-ES/CESPE/2009 condução de auditoria de demonstrações contábeis:
Somente por meio da auditoria operacional verifica- a) Formalismo e confiabilidade
se a efetividade e a aplicação de recursos externos, b) Integridade e pessoalidade
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 3
c) Confidencialidade e motivação eficiência, a efetividade e a qualidade dos controles
d) Formalismo e objetividade internos existentes, é denominada auditoria:
e) Integridade e objetividade a) contábil.
b) de gestão.
19 - INFRAERO/FCC/2011 c) de sistemas.
De acordo com as Normas Técnicas de Auditoria d) operacional.
Independente, é princípio fundamental de ética e) de qualidade.
profissional a:
a) Interação com o auditado Respostas
b) Objetividade
c) Parcialidade 1 2 3 4 5 6 7 8 9 10
d) Integralidade
e) Subjetividade
11 12 13 14 15 16 17 18 19 20
20 - CESPE - 2010 - SAD-PE - Analista de
Controle Interno - Finanças Públicas
Na classificação dos tipos de auditoria, a que avalia
a eficácia dos resultados em relação aos recursos
disponíveis, bem como a economicidade, a
transações relevantes, desde que não
afetem as demonstrações contábeis.
b) propiciar o cumprimento dos serviços
II – REALIZAÇÃO DOS TRABALHOS contratados com a entidade dentro dos
prazos e compromissos previamente
estabelecidos.
Para fins de fixação do conteúdo c) assegurar que as áreas importantes da
apresentado, responda às questões a seguir: entidade e os valores relevantes contidos
em suas demonstrações contábeis recebam
II.1 – PLANEJAMENTO a atenção requerida.
d) identificar os problemas potenciais da
entidade.
1 - FCC - 2011 - TCE-PR - Analista de Controle -
Jurídica e outros
3 - TCDF/CESPE/2013
A fase da auditoria em que se determina o momento
Após a definição do perfil da equipe de auditoria,
da realização de cada uma das tarefas é chamada
têm o início as atividades de elaboração do
de
planejamento de auditoria.
a) planejamento.
a) Certo
b) análise de risco.
b) Errado
c) estudo de caso
d) evidenciação
4 - ESAF - 2006 - CGU - Analista de Finanças e
e) seleção de programa de trabalho
Controle - Área - Correição - Prova 2
Caracterizam-se como objetivos do Planejamento da
2 - FUMARC - 2011 - BDMG - Analista de
Auditoria, exceto:
Desenvolvimento a) propor alterações na estrutura da entidade
Assinale a alternativa que NÃO corresponde aos auditada.
principais objetivos do Planejamento da Auditoria:
b) definir a forma de divisão de tarefas entre os
a) obter conhecimento das atividades da
membros da equipe de auditoria.
entidade, para identificar eventos e
c) estimar os prazos necessários para a
realização dos trabalhos.
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 4
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
d) identificar os problemas potenciais da d) Existe independentemente da auditoria das
entidade. demonstrações contábeis, ou seja, é inerente
e) identificar a legislação e os normativos à entidade;
aplicáveis à entidade. e) Está diretamente relacionado com a
natureza, a época e a extensão dos
5 - TCE-AC/CESPE/2009 procedimentos de auditoria.
O principal instrumento de apoio à elaboração do
relatório de planejamento de auditoria é a matriz de 9 - SEBRAE/CESPE/2008
planejamento. Quanto aos riscos de auditoria, julgue os itens a
a) Certo seguir. A determinação do risco de auditoria
b) Errado independe da avaliação das políticas de pessoal e
da segregação de funções.
II.2 – RISCO a) Certo
b) Errado
6 - FCC - 2011 - INFRAERO - Auditor
A circunstância de que os procedimentos 10 - TCU/CESPE/2013
executados pelo auditor, a fim de reduzir o risco de Os auditores não podem examinar todas as
auditoria a um nível aceitavelmente baixo, não possíveis evidências que eliminariam os riscos de
acusem uma distorção existente que possa ser um julgamento equivocado. Um desses possíveis
relevante, individualmente ou em conjunto com riscos é o risco inerente, presente, por exemplo, na
outras distorções, é denominado risco: situação em que uma empresa competidora de
a) de contingências. licitação bilionária é levada a elaborar
b) operacional. demonstrações contábeis que favorecem sua
c) inerente. imagem quanto à sua real situação econômico-
d) substantivo. financeira.
e) de detecção. a) Certo
b) Errado
7 - ISAE - 2011 - AL-AM - Analista - Controle
Assinale a alternativa que apresenta os dois 11 - (banca não identificada)/2012 - A metodologia
componentes do Risco de Distorção Relevante. deve dispor de mecanismos para a seleção do
a) Risco inerente e risco específico. objeto da auditoria, segundo critérios de relevância,
b) Risco de controle e risco de evidência. risco e materialidade. Enquanto a materialidade
c) Risco de benefício e risco de custo. refere-se à sociedade beneficiada, a relevância
d) Risco inerente e risco de controle. refere-se à representatividade dos valores ou
e) Risco específico e risco de evidência. volume de recursos envolvidos.
a) Certo
8 - TCE SP/FCC/2013 b) Errado
Em auditoria, o denominado risco de detecção:
a) Independe da suficiência e adequação das II.3 – TÉCNICAS E PROCEDIMENTOS
evidências de auditoria coletadas pelo auditor
para emissão de seu relatório; 12 - (banca não identificada)/2012 – A
b) É uma função direta da eficácia dos controles responsabilidade primária pela identificação de
internos da entidade que está sendo erros, fraudes, desvios, irregularidades e
auditada; ilegalidades, ou mesmo fraudes, compete aos
c) Invariável, qualquer que seja a atividade da auditores do Tribunal de Contas, assim como a
entidade e as classes de transações por ela avaliação da adequação dos controles internos,
praticadas; apontando as deficiências, falhas e inconsistências
existentes, identificando suas causas e efeitos
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 5
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
potenciais ou reais, e apresentando as II.4 – EVIDÊNCIAS
recomendações para seu aprimoramento.
a) Certo 17 - ISAE - 2011 - AL-AM - Analista - Controle
b) Errado A respeito das evidências de auditoria, assinale a
afirmativa incorreta.
13 - Provas: FCC - 2012 - TRE-CE - Analista a) Compreendem as informações utilizadas
Judiciário - Contabilidade pelo auditor para fundamentar as
A técnica de auditoria que consiste na elaboração conclusões em que se baseia a sua opinião.
de perguntas, objetivando a obtenção de respostas b) Incluem informações contidas nos registros
para quesitos previamente definidos é a: contábeis subjacentes às demonstrações
a) revisão analítica. contábeis e outras informações.
b) inspeção física. c) Abrangem informações que sustentam e
c) conciliação. corroboram as afirmações da administração
d) entrevista. e informações que contradizem tais
e) observação. afirmações.
d) Comprovam que a confiabilidade da
14 - Provas: CONSULPLAN - 2012 - TSE - evidência é influenciada pela sua fonte e
Analista Judiciário - Contabilidade sua natureza e depende das circunstâncias
Constitui-se em técnica de auditoria: individuais em que é obtida.
a) confirmação externa. e) Correspondem ao risco de que o auditor
b) emissão de parecer. expresse uma opinião inadequada quando
c) aplicação de sanções. as demonstrações contábeis contiverem
d) elaboração de normas. distorção relevante.
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 6
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
a) Certo a) corrente o papel utilizado apenas em um
b) Errado exercício social, e permanente aquele utilizado em
mais de um exercício social.
20 - SECONT-ES/CESPE/CESPE b) balanço o papel utilizado para registro dos saldos
Os registros administrativos existentes na entidade de balanço do ano anterior e do ano em exame; e
auditada são considerados fontes primárias de administrativo aquele utilizado para registro de
informação para o auditor ou entidade de auditoria. tarefas administrativas do trabalho, tais como: horas,
a) Certo despesas etc.
b) Errado c) convencional a formalização do trabalho de
auditoria em papéis de trabalho; e eletrônico a
II.5 – ACHADOS forma- lização do trabalho de auditoria por meio
eletrônico, denominado paperless.
21 - SECONT- ES/CESPE/2009 d) programa o detalhamento dos procedimentos a
Se a técnica de comparação entre uma condição e serem adotados pelo auditor durante o trabalho de
um critério resultar em divergência, tem-se um auditoria; e operacional o registro dos exames de
achado de auditoria. auditoria.
a) Certo e) evidência as observações e exceções
b) Errado identificadas; e ajustes as reclassificações das
contas.
22 - CESPE - 2009 - SECONT-ES - Auditor do
Estado – Direito II.7 – RELATÓRIO
O auditor ou entidade de auditoria deve garantir que
as causas, os efeitos e os impactos dos achados de 25 - CESPE/TCDF/2012
auditoria possam ser atribuídos efetivamente à ação Na estrutura do relatório de auditoria, o tópico
examinada e não possam ser provocados por metodologia, que trata das descrições das técnicas
condições exógenas. empregadas, deverá constar das considerações
a) Certo finais.
b) Errado a) Certo
b) Errado
23 - TCU/CESPE/2008
O achado de auditoria deve estar fundamentado em II.8 – BENEFÍCIOS
evidências juntadas ao relatório, sendo estes
elementos indiciários e complementares que 26 - CESPE - 2011 - TRE-ES - Analista -
permitem a terceiros chegarem a conclusões Contabilidade - Específicos
independentes daquelas a que chegar a equipe de Nos trabalhos de campo de auditorias contábeis,
auditoria. uma recomendação importante é o chamado follow-
a) Certo up, aplicável às descobertas e recomendações
b) Errado
relevantes relatadas em auditorias anteriores.
Segundo o GAO (general accounting office), os
II.6 – PAPÉIS DE TRABALHO
principais benefícios não estão representados
propriamente por essas descobertas e
24 - FCC - 2010 - TCM-CE - Analista de Controle
Externo - Inspeção Governamental Simulado recomendações, e sim pela solução dos problemas
SEFAZ-PE a elas subjacentes, pela qual a administração do
Quanto à natureza dos papéis de trabalho de auditado é responsável.
auditoria, é correto afirmar que se classifica como: a) Certo
b) Errado
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 7
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
11 12 13 14 15 16 17 18 19 20
RESPOSTAS
1 2 3 4 5 6 7 8 9 10
PA RT E 2
E XE R CÍCI O S PA RA LE I T URA D I RI GI DA
Para as questões seguintes, utilize o documento B - Representam as condições que precisam estar
“Gestão de Riscos: Avaliação da Maturidade” incorporadas aos componentes ou à estrutura e ao
como fonte de consulta. processo de gestão de riscos, para que ela seja
eficaz e se torne parte da cultura da organização,
1 – Qual é a relação da gestão de riscos com a traduzindo-se em um conjunto compartilhado de
accountability pública (p. 14)? valores, comportamentos e práticas que
caracterizam como a entidade aborda o risco.
2 – Qual é o desafio da governança nas
organizações públicas (p. 16)? C – É a maneira como a entidade se organiza para
gerenciar os riscos do negócio, representando o
3 – Cite algumas das recomendações expedidas conjunto de componentes e arranjos organizacionais
pela OCDE no tocante à gestão de riscos (p. 16). para a concepção, a implementação, o
monitoramento, a análise crítica e a melhoria
4 – No tocante aos princípios, estrutura e contínua da gestão de riscos por toda a
componentes da gestão de riscos, relacione as organização, incluindo a política de gestão de riscos,
opções (I a III) com as letras (A a C) e assinale os manuais, os recursos, a definição de
alternativa correta (p. 19). responsabilidades e objetivos que permitirão
incorporar a gestão de riscos em todos os níveis da
I – Princípios da gestão de riscos organização (ABNT, 2009).
II – Estrutura de gestão de riscos
III – Gerenciamento de riscos Assinale a alternativa correta:
a) I – B, II – A, III – C;
A - Representa as atividades realizadas pelas b) I – B, II – C, III – A;
pessoas em todos os níveis da organização, desde c) I – C, II – B, III – A;
a definição da estratégia até as atividades d) I – A, II – C, III – B.
operacionais, aplicando os princípios, a estrutura e o
processo de gestão de riscos para dar suporte à 5 – Quem é diretamente responsável pela
tomada de decisões e à implementação de ações concepção, estruturação e implementação da
para manter os riscos dentro do nível de apetite e gestão de riscos em uma organização (p. 20)?
das tolerâncias a riscos estabelecidos pela
administração, proporcionando, assim, segurança
razoável do cumprimento dos objetivos da 6 – Avalie as afirmações seguintes e assinale a
organização. questão correta. A supervisão da gestão de riscos
pelos órgãos de governança envolve (p. 20):
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 8
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
I - Saber até que ponto o auditor estabeleceu um 9 – No tocante ao modelo de três linhas de defesa,
gerenciamento de risco eficaz; relacione as opções (I a III) com as letras (A a C) e
II - Estar ciente e de acordo com o apetite a risco; assinale alternativa correta (p. 24).
III – Aceitar, sem revisão, o portfólio de riscos
assumidos em contraste com o apetite a risco; e I – Primeira linha de defesa
IV - Ser notificado em relação aos riscos mais II – Segunda linha de defesa
significativos e saber se a auditoria está III – Terceira linha de defesa
respondendo a esses riscos adequadamente
(COSO, 2004). A – Funções que fornecem avaliações
independentes;
a) I – E, II – E, III – C, IV - E B – Funções que supervisionam riscos;
b) I – C, II – E, III – C, IV - C C – Funções que gerenciam e têm propriedade de
c) I – C, II – C, III – C, IV - C riscos;
d) I – E, II – C, III – E, IV - E
Assinale a alternativa correta:
7 - Avalie as afirmações seguintes e assinale a a) I – B, II – A, III – C;
questão correta (p. 21): b) I – C, II – B, III – A;
c) I – B, II – C, III – A;
I – Auditoria interna, comissões e comitês e d) I – A, II – C, III – B.
ouvidoria são exemplos de instâncias externas de
apoio à governança;
II – A alta administração contempla a autoridade Para todos os exercícios seguintes, utilize o
máxima e dirigentes superiores; documento “Referencial Básico de Gestão de
III – A auditoria independente constitui instância da Riscos do TCU” para consulta.
alta administração; e
IV – O controle social organizado constitui instância 10 – No tocante à evolução histórica do modelo de
externa de apoio à governança. gestão de riscos, relacione, com base no documento
“referencial de gestão de riscos do TCU”, as opções
a) I – E, II – C, III – E, IV - C (I a XI) com as letras (A a K) e assinale alternativa
b) I – C, II – C, III – C, IV - C correta.
c) I – E, II – C, III – E, IV - E
d) I – E, II – E, III – C, IV - E I – Risk, Uncertainty and Profit
II - The Risk Management Revolution
8 – São papeis que a auditoria interna não deve III - Internal Control - Integrated Framework (COSO
assumir no gerenciamento de riscos (p. 23): I)
IV – The Cadbury Report
I – Tomar decisões sobre respostas a riscos; V - Norma técnica Risk Management Standard,
II – Revisão a gestão de riscos-chaves; AS/NZS 4360:1995
III – Responsabilizar-se pela gestão de riscos; e VI - The Orange Book - Management of Risk -
IV – Implantar respostas a riscos em nome da Principles and Concepts1
administração. VII - Lei Sarbanes-Oxley (SOX)
VIII - Enterprise Risk Management - Integrated
a) I – E, II – C, III – E, IV - C Framework (conhecido como COSO-ERM ou COSO
b) I – C, II – E, III – C, IV - C II)
c) I – E, II – C, III – E, IV - E IX - Acordo de Basileia II
d) I – E, II – E, III – C, IV - E X - Norma técnica Risk Management Standard,
AS/NZS 4360:1995 (versão revisada)
XI - Norma técnica ISO 31000 Risk Management –
Principles and Guidelines
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 9
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
tamanho e é hoje uma das principais referências
A – Guia publicado em 1992 pelo Committee of mundiais no tema.
Sponsoring Organizations of the Treadway
Commission que consolidou a ideia de gestão de Assinale a alternativa correta:
risco corporativo e apresentou um conjunto de a) I – C, II – E, III – D, IV -F, V – K, VI – H, VII – J,
princípios e boas práticas de gestão e controle VIII – I, IX – B, X – G, XI - A
interno. b) I – K, II – J, III – G, IV -I, V – B, VI – F, VII – D,
B – Promulgada em 2002, um ano após o colapso VIII – E, IX – C, X – A, XI - H
da empresa Enron, que decorreu de esquema c) I – A, II – B, III – C, IV -D, V – E, VI – F, VII – G,
gigantesco de ocultação e manipulação de dados VIII – H, IX – I, X – J, XI - K
contábeis e falhas em auditorias. d) I – C, II – E, III – A, IV -D, V – F, VI – H, VII – B,
C – Obra de 1921 de autoria atribuída a Frank VIII – I, IX – G, X – J, XI – K
Knight que se tornou referência por estabelecer
conceitos, definir princípios e introduzir alguma 11 – Ainda, no tocante à evolução histórica do
sistematização ao tema. modelo de gestão de riscos, responda, com base no
D – Relatório do Comitê de mesmo nome do Reino documento “referencial de gestão de riscos do
Unido que atribui ao corpo governante superior das TCU”, às questões seguintes.
entidades a responsabilidade por definir a política de
gestão de riscos, supervisionar o processo de a) Segundo o Cadbury Report, de quem é a
gestão e assegurar que a organização entenda os responsabilidade de definir a política de
riscos aos quais está exposta. gestão de riscos, supervisionar o processo
E – Artigo publicado em 1975 pela revista Fortune de gestão e assegurar que a organização
publicou o artigo The Risk Management Revolution, entenda os riscos aos quais está exposta?
um dos primeiros documentos a tratar o tema sob o
enfoque corporativo e a atribuir à alta administração
a responsabilidade por instituir políticas, ___________________________________
supervisionar e coordenar as várias funções de
riscos existentes em uma organização. b) Qual foi o grande escândalo que ensejou a
F - Esforço conjunto das entidades padronizadoras promulgação da SOx? O que compreendia
Standards Australia e Standards New Zealand esse escândalo?
resulta na publicação, em 1995, do primeiro modelo
padrão oficial para a gestão de riscos.
___________________________________
G – Firmado em 2004 e aplicável a instituições
bancárias em nível mundial, contendo requisitos
___________________________________
específicos relacionados à gestão de riscos
operacionais.
___________________________________
H - Documento produzido e publicado pelo HM
Treasury Britânico que foi a principal referência do
12 – Quais são os 4 modelos internacionais de
programa de gestão de riscos do governo do Reino
gestão de riscos destacados no documento
Unido, iniciado em 2001.
“referencial de gestão de riscos do TCU”?
I – Modelo de referência, publicado em 2004, que
estendeu modelo anteriormente existente, tendo
___________________________________
como foco a gestão de riscos corporativos.
J - Versão atualizada e expandida da norma
___________________________________
anteriormente publicada, lançada em 2004.
K - Norma técnica publicada em 2009 que provê
___________________________________
princípios e boas práticas para um processo de
gestão de riscos corporativos, aplicável a
___________________________________
organizações de qualquer setor, atividade e
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 10
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
contempladas no processo de gestão de riscos da
13 – Quais são as principais diferenças entre o norma ISO 31000.
COSO ERM e o COSO GRC?
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
16 – No tocante às técnicas para gestão de riscos,
relacione, com base no documento “referencial de
14 – Assinale a questão correta, baseado no gestão de riscos do TCU”, as opções (I a XI) com as
documento “referencial de gestão de riscos do TCU” letras (A a K) e assinale alternativa correta.
(pág. 38).
I – Cadeia de valor
I – O modelo ISO 31000 somente pode ser utilizado II - Brainstorming
em empresas do setor financeiro; III - Delphi
II – O modelo COSO GRC possui apenas oito IV – Análise preliminar de perigos (APP)
componentes da gestão de risco, ao passo que o V – Listas de verificação
modelo COSO ERM possuía cinco componentes. VI – Análise de causa raiz
IIII – O modelo do Orange Book não é compatível V - Técnica “E SE” estruturada (SWIFT)
com padrões internacionais de gestão de riscos, tais VI – Análise bow tie
como o COSO e o ISO 31000. VII – Análise de decisão por multicritério (MCDA)
IV - A norma ISO 31000 está estruturada em três IX - Acordo de Basileia II
partes fundamentais inter-relacionadas: os X - Norma técnica Risk Management Standard,
princípios, a estrutura e o processo de gestão de AS/NZS 4360:1995 (versão revisada)
riscos. XI - Norma técnica ISO 31000 Risk Management –
V - A EFQM Excellence Model é modelo que foi Principles and Guidelines
utilizado como base para o desenvolvimento do Risk
Management Assessment Framework: a Tool for A – Esta técnica consiste em reunir pessoas
Departments, ferramenta destinada aferir a gestão conhecedoras de certo ativo ou atividade
de riscos nas organizações governamentais do organizacional e incentivar o fluxo livre de
Reino Unido e identificar oportunidades de melhoria. conversação entre elas com o objetivo de identificar
VI – A estrutura da gestão de riscos da norma ISO possíveis perigos, riscos ou controles associados ao
31000 contempla identificação, análise e avaliação objeto analisado.
de riscos, além estabelecimento do contexto e B - Técnica que busca analisar e descrever os
tratamento dos riscos. caminhos de um evento de risco, desde suas
causas até as consequências, por meio de uma
Assinale a alternativa correta: representação pictográfica semelhante a uma
gravata borboleta (bow tie).
a) I – E, II – C, III – E, IV – C, V – E, VI - E C – Por esta técnica, os macroprocessos finalísticos
b) I – E, II – E, III – E, IV – C, V – C, VI – E e de suporte, bem como os processos que
c) I – C, II – E, III – E, IV – E, V – C, VI - C compõem cada macroprocesso são representados
d) I – C, II – C, III – C, IV – C, V – E, VI – C graficamente de modo a facilitar a visualização, de
forma sistemática, de como a organização
15 – Com base no documento “referencial de gestão estabeleceu processos e de como eles interagem
de riscos do TCU”, responda quais são as atividades para criar valor.
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 11
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
D – É um método simples para identificar situações
que possam representar perigos para ativos ___________________________________
organizacionais ou causar impactos em atividades,
sendo especialmente útil quando há poucas ___________________________________
informações disponíveis sobre o ativo, projeto ou
atividade objeto da análise. ___________________________________
E – É o exame sistemático, realizado em equipe,
para identificação de riscos de desvios em um
processo, sistema ou atividade. 18 – Com base no documento “referencial de gestão
F - Esta técnica tem por objetivo encontrar consenso de riscos do TCU”, responda ao que se pede.
entre opiniões de um grupo de especialistas sobre a) Escolha uma determinada política, programa
determinado assunto, podendo ser aplicável em ou área governamental do seu interesse.
qualquer etapa do processo de gestão de riscos, em
especial na identificação, análise e avaliação. ___________________________________
G - Trata-se do uso de listas pré-existentes de
perigos ou riscos, como instrumento de apoio a b) Usando o “Quadro 11 – Insumos para
outras técnicas de avaliação de riscos. formulação de arquitetura para o GRCopr,
H - Esta análise tenta identificar a raiz ou causas adaptado do IBGC (2007)”, constante da
originais ao invés de lidar somente com os sintomas página 67, apresente dois riscos de cada
imediatos e óbvios. contexto para área escolhida.
I - Essa técnica tem o objetivo geral de classificar
um conjunto de opções por ordem de valor ou ___________________________________
prioridade, a partir da percepção de um grupo de
pessoas. ___________________________________
J - Diz respeito a um conjunto de conceitos,
comportamentos e ferramentas que auxiliam na ___________________________________
compreensão de estruturas interdependentes de
sistemas complexos.
___________________________________
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 12
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
PA RT E 3
E XE R CÍ CI O S D E A PLI CA ÇÃ O
A análise ou avaliação de riscos pode ser qualitativa, semiquantitativa ou quantitativa, ou, até mesmo,
uma combinação de todas, podendo variar o grau de detalhamento (ABNT, 2009).
Na auditoria contábil-financeira, é recomendável a utilização de escalas que empregam técnicas
quantitativas, como forma de dar maior consistência às conclusões do processo de avaliação, particularmente no
tocante às estimativas da probabilidade e do impacto do evento, e do nível de risco resultante da sua combinação
(DANTAS et al., 2010; MAF/TCU, item 266).
Para estimação da probabilidade são utilizadas, muitas vezes, escalas baseadas em parâmetros
qualitativos (representações não numéricas) ou quantitativos (representações numéricas) que proporcionam um
modo mais objetivo para estimar as possibilidades de materialização de riscos, supondo que não haja controles
internos para mitigá-los (MAF/TCU, 2016, item 267).
Trata-se, de modo geral, de uma análise semiquantitativa. Uma escala de probabilidade naturalmente fica
entre 0 (nenhuma probabilidade) e 10 (certeza).
Para construção de uma escala de impactos (consequências), podem ser estabelecidos intervalos
baseados em valores referenciados no custo da materialidade para a execução de auditoria ou em percentuais
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 13
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
sobre esse valor. Outra possibilidade é utilizar a materialidade definida para classes específicas de transações,
saldos contábeis e divulgações como referencial para construir escalas e avaliar os riscos nesses itens de
informação (MAF/TCU, 2016, item 269).
De forma semelhante à escala de probabilidades, trata-se de uma análise semiquantitativa.
O cálculo do risco inerente consiste, portanto, na multiplicação dos valores atribuídos às variáveis
“probabilidade” e “impacto” de cada risco o que gera uma medida síntese da significância de cada um dos riscos
inerentes identificados (MAF/TCU, item 270).
Esse cálculo é útil para destacar os riscos mais significativos de maneira objetiva (IFAC, 2010).
A forma semiquantitativa mais simples de cálculo de risco gera a matriz de riscos apresentada na figura
seguinte.
PROBABILIDADE►
Fonte: TCU (2018).
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 14
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
O nível de risco inerente de um evento é o nível de risco antes da consideração das respostas que a
gestão adota, incluindo controles internos, para reduzir a probabilidade do evento e/ou seus impactos nos
objetivos (TCU, 2018).
A política de gestão de riscos do auditado irá estabelecer categorias para classificar os níveis de risco
resultantes do processo de análise, sejam inerentes ou residuais, de modo consistente com o seu apetite a risco,
como as exemplificadas a seguir.
Quadro 4. Exemplo de matriz probabilidade versus impacto para classificação de níveis de riscos
80
Muito alto 10 20 50 100
Risco
10 Risco médio Risco médio Risco alto Risco extremo
extremo
Alto 8 16 40 64 80
8 Risco baixo Risco médio Risco alto Risco alto Risco extremo
IMPACTO
Médio 5 10 25 40 50
5 Risco baixo Risco médio Risco médio Risco alto Risco alto
Baixo 2 4 10 16 20
2 Risco baixo Risco baixo Risco médio Risco médio Risco médio
Muito
1 2 5 8 10
baixo
Risco baixo Risco baixo Risco baixo Risco baixo Risco médio
1
Muito baixa Baixa Média Alta Muito alta
1 2 5 8 10
PROBABILIDADE
Fonte: MAF/TCU (2016) e TCU (2018), com adaptações.
Notas: A escolha dos pesos é sugestiva. Em situações reais, as escalas são elaboradas de modo compatível
com o contexto e os objetivos específicos da atividade objeto da gestão de riscos.
Existem softwares que possibilitam a organização, sistematização e a própria avaliação de riscos, bem
como a preparação de gráficos e tabelas. Os riscos podem ser registrados em um papel de trabalho, tal como o
exemplo apresentado no quadro seguinte.
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 15
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
Quadro 5. Exemplo de registro de riscos com níveis de risco inerente calculados
Riscos Identificados Probabilidade Impacto Nível de Risco
Inerente
Risco 1 – Descrição do risco 1 Alta 8 Muito alto 10 80 – Extremo
Risco 2 – Descrição do risco 2 Médio 5 Alto 8 40 - Alto
Risco 3 – Descrição do risco 3 Baixa 2 Médio 5 10 – Médio
Risco 4 – Descrição do risco 4 Muito baixa 1 Médio 5 5 - Baixo
Fonte: TCU (2018), com adaptações.
Por fim, a análise de riscos só se completa quando as ações que a gestão adota para respondê-los são
também avaliadas, chegando-se ao nível de risco residual; ou seja, o risco que remanesce depois de considerado
o efeito das respostas adotadas pela gestão para reduzir a probabilidade e ou o impacto dos riscos, incluindo
controles internos e outras ações (TCU, 2018).
Os riscos de controle são aqueles relacionados aos controles internos (políticas e procedimentos)
instituídos pela administração (auditado) para responder aos riscos inerentes de modo a prevenir, detectar e
corrigir desvios e distorções. Há dois grandes tipos de controles internos.
É esperado, portanto, que a administração implante controles internos para responder aos riscos de
negócio ou de fraude. Nesse processo, a administração identifica e avalia os riscos, desenha e implementa
controles para reduzir sua exposição àqueles riscos a um nível aceitável. Assim, é provável que uma ou mais
atividade de controle esteja associada a um risco, que por sua vez estará associado a uma afirmação (MAF/TCU,
2016, item 276).
A lógica, nesse caso, é que a exposição é resultado da diferença entre risco e controle, conforme
expressa na seguinte fórmula:
É importante destacar que o auditado não é obrigado a instituir controles para todas as suas operações.
Essa decisão está atrelada à própria forma de gestão de riscos.
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 16
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
Ao gerir riscos e classificá-los entre alto, médio e baixo, por exemplo, o auditado pode decidir pelas
melhores respostas a esse risco. A resposta ao risco é o processo de desenvolver e determinar ações para
reduzir as ameaças aos objetivos da organização e aumentar a produtividade. A entidade pode “aceitar” o risco
por meio de algumas ações ou “evitá-lo”, por exemplo, ao abandonar uma linha de produtos.
PROBABILIDADE►
Fonte: TCU (2018) com adaptações do autor.
Após a avaliação dos riscos inerentes, em termos de probabilidade e impacto, o auditor contábil-
financeiro irá decidir quais riscos deverão ter os controles internos identificados e avaliados. Se o auditor
determinou que um risco inerente é significativo, ele deve identificar e obter entendimento dos controles internos
relevantes para esse risco (MAF/TCU, 2016, item 273).
A identificação de controles relevantes pode ser feita mediante a tabulação de diversas áreas das
demonstrações contábeis/financeiras (por exemplo: bancos, imobilizado, despesas com pessoal) e os processos
que afetam os saldos das contas dessas áreas (por exemplo: recebimentos, pagamentos, folha de pagamento),
inclusive em relação aos controles no nível de entidade (por exemplo: análise de acompanhamento da execução
do orçamento) (LONGO, 2011).
Se um controle-chave esperado pelo auditor não existe, ele deve identificar se existem controles
compensatórios e avaliar a sua eficácia (MAF/TCU, 2016, item 281).
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 17
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
Dada a importância da tecnologia da informação na área de divulgação de informações contábeis e
financeiras, o auditor deve obter entendimento dos controles internos que a entidade instituiu para responder aos
riscos decorrentes da utilização de tecnologia da informação (TI) e que possam ter efeito na elaboração de
demonstrações e relatórios financeiros da entidade (MAF/TCU 2016, item 280).
De modo a opinar sobre o risco de controle, o auditor contábil-financeiro precisa obter entendimento e
realizar uma avaliação dos controles internos concebidos e implantados pela administração da entidade
(auditado) como forma de determinar se tais controles, individualmente ou em conjunto, são capazes de,
efetivamente, prevenir ou detectar e corrigir as distorções que podem decorrer dos riscos inerentes avaliados
como significativos.
Na avaliação dos controles relevantes para a auditoria, o auditor contábil-financeiro examina o desenho e
a implementação desses controles. (MAF/TCU 2016, item 284).
Para tanto, o auditor pode se valer de procedimentos preliminares de avaliação de riscos que incluem
acompanhamentos ou exames passo a passo (denominados reexecução ou walkthrough), elaboração de mapas
de processos ou fluxogramas, resumos descritivos ou narrativos e questionários de avaliação de controle interno
(QACI).
A implementação de um controle significa a existência e a utilidade dele para a entidade (MAF/TCU,
2016, item 285). O primeiro passo a ser considerado, portanto, é a própria concepção do controle. Ou seja, um
controle inadequadamente projetado pode representar uma deficiência significativa de controle interno (ISA/NBC
TA 315).
Contudo, devido às limitações inerentes ao controle interno, não importa quão efetivo seja o desenho e a
implementação de um controle, ele só poderá fornecer à entidade uma segurança razoável, nunca absoluta,
quanto ao cumprimento dos objetivos para os quais foi concebido. Ou seja, não se pode atribuir 100% de
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 18
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
confiança a um controle interno (MAF/TCU, 2016, item 287). Assim, a lógica subjacente a essa premissa costuma
ser expressa na fórmula apresentada a seguir.
RC = 1 - C
RC = C = representa o nível de 1 = representa 100% de
determinação do confiança que se pode depositar chance de que o controle
risco de controle no controle, com base na falhe
avaliação de seu desenho e
implementação
Fonte: elaborado pelo autor.
Fraco Os controles internos têm abordagens, ad hoc, que tendem a ser Alto
aplicadas caso a caso. A responsabilidade é individual, havendo elevado
C = 20% (0,2) grau de confiança no conhecimento das pessoas. 0,8
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 19
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
C = 40% (0,4) aspectos relevantes do risco, seja por ineficiência em seu desenho 0,6
técnico ou nas ferramentas utilizadas.
Forte Os controles internos estão implementados e mitigam o risco em todos os Muito baixo
aspectos relevantes, podendo ser considerado em um nível de “melhor
C = 80% (0,8) prática” 0,2
Notas: A escolha dos pesos é sugestiva. Em situações reais, as escalas são elaboradas de modo compatível
com o contexto e os objetivos específicos da atividade objeto da gestão de riscos.
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 20
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
Quadro 12. Riscos significativos
a) transações que não ocorrem frequentemente;
Transações b) maior intervenção da administração para determinar o tratamento contábil;
não c) maior intervenção manual para obtenção e processamento de dados;
d) cálculos ou princípios contábeis complexos;
rotineiras e) natureza das transações não rotineiras, que pode dificultar a implementação, pela
entidade, de controles efetivos sobre os riscos.
a) o risco é um risco de fraude;
b) o risco é relacionado com mudanças significativas recentes, sejam econômicas,
Questões
contábeis ou de outro tipo e que, portanto, exigem atenção específica;
de c) complexidade das transações;
d) o risco envolve transações significativas com partes relacionadas;
julgamento
e) elevado grau de subjetividade na mensuração de estimativas contábeis
profissional relacionadas ao risco, especialmente as que envolvam uma vasta gama de incerteza;
f) o risco envolve transações significativas, fora do curso normal dos negócios da
entidade ou que, de outra forma, pareçam não usual.
Fonte: elaborado pelo autor com base no MAF/TCU (2016).
Para identificar e avaliar riscos de distorção no nível das demonstrações contábeis/financeiras e no nível
das afirmações, o auditor deve seguir alguns passos.
O resultado do relacionamento matemático do risco inerente (RI) e do risco de controle (RC) redunda em
um indicador que possibilitará ao auditor contábil-financeiro identificar quais riscos têm maior relevância para a
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 21
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
auditoria. Isso possibilitará ao auditor planejar a auditoria e os testes que serão promovidos. Serve também de
apoio ao processo de julgamento profissional.
As informações sobre as avaliações de riscos podem ser expressas em uma matriz de avaliação de
riscos.
Quadro 14. Exemplo de matriz para avaliação de riscos de distorção relevante (RDR)
Avaliação
Risco Probabilidade Impacto RI =
Área Afirmações Controle RC RDR
Identificado (P) (I) PxI
Interno
Afirmação 1 R1 Alto Alto Alto Forte Baixo Alto
Fornece 0,8 0,8 0,64 0,2 0,13
dores Afirmação 2 R2 Médio Alto Alto Mediano Médio Médi
0,5 0,8 0,40 0,6 o
0,24
Afirmação 3 R3 MA MA Extre Fraco Alto Extre
1,0 1,0 mo 0,8 mo
1,00 0,80
Fonte: MAF/TCU (2016).
Notas: RI: risco inerente; RC: risco de controle; RDR: risco de distorção relevante; área: classes de transações,
contas e divulgações relevantes.
A matriz contém o risco inerente, o risco de controle, o risco de distorção relevante e a área que se
referem a classes de transações, contas e divulgações relevantes, o que permite determinar quais riscos de
distorção relevante merecem maior atenção da auditoria.
Os resultados da avaliação do RDR realizada pelo auditor e sua equipe podem mudar durante o curso da
auditoria, à medida que evidências adicionais são obtidas (MAF/TCU 2016, item 301).
O processo de avaliação não termina em um determinado momento. Novas informações podem ser
obtidas no decorrer dos trabalhos e a execução dos procedimentos adicionais de auditoria pode identificar riscos
adicionais, ou controles internos que não funcionam conforme avaliado preliminarmente. Quando isso ocorre, a
avaliação de riscos original deve ser revisada, considerando as novas informações.
Quando o profissional de auditoria governamental responsável pela supervisão dos trabalhos considerar
que o nível de risco residual assumido pelo administrador do ente auditado pode causar prejuízos ao erário, o
auditor deve endereçar as providências necessárias (NAG/TC’s, item 4803.1).
O RA, normalmente, é um valor fixo, estabelecido conforme o nível de asseguração pretendido, que
usualmente é de 5%, uma vez que se aceita que 95% de asseguração é um parâmetro razoável para a
segurança que uma auditoria pode oferecer. De modo a manter o RA constante, o auditor contábil-financeiro deve
variar o nível de risco de detecção (RD) inversamente ao nível de risco de distorção relevante (RDR) avaliado. Ou
seja, quanto maior o nível de RDR, mais baixo deve ser o nível de RD aceitável, e vice-versa (MAF/TCU 2016,
item 244).
Como parte da avaliação de risco, o auditor determina se quaisquer dos riscos identificados são, em seu
julgamento, significativos. Ao exercer esse julgamento, o auditor deve excluir os efeitos dos controles
identificados relacionados ao risco. Ao exercer julgamento quanto a quais riscos são significativos, o auditor deve
considerar, pelo menos o disposto a seguir.
O RD é uma função direta da eficácia dos procedimentos de auditoria planejados e de sua aplicação pelo
auditor (ISA/NBC TA 200). Após determinar o RDR, avaliando os RI e RC, o auditor deve planejar os
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 23
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
procedimentos adicionais de auditoria na extensão requerida pelo RD calculado, de tal forma que o RA não
supere o nível aceitável.
O auditor contábil-financeiro usa o RDR avaliado para determinar o nível aceitável de RD para uma
determinada afirmação nas demonstrações contábeis/financeiras. Quanto maior o RDR, mais baixo deve ser o
nível de RD, de modo a reduzir o RA a um nível aceitavelmente baixo (MAF/TCU, 2016, item 305). Essa relação
decorre da mesma fórmula proposta pelo AICPA: RD = RA / (RI x RC).
As informações sobre as avaliações de riscos podem ser expressas em uma matriz de avaliação de
riscos, tendo o risco de detecção calculado considerando um risco de auditoria de 5%, como o exemplo
apresentado a seguir.
Quadro 16. Exemplo de matriz para avaliação com risco de detecção (RD) calculado considerando risco
de auditoria (RA) de 5%
Risco Avaliação
Probabilidade Impacto RI =
Área Afirmações Identifi Controle RC RDR RD
(P) (I) PxI
cado Interno
Baix
Alto Alto Alto Alto 0,3
Afirmação 1 R1 Forte o
0,8 0,8 0,64 0,13 8
0,2
Méd
Fornec Médio Alto Alto Médio 0,2
Afirmação 2 R2 Mediano io
e 0,5 0,8 0,40 0,24 1
0,6
dores
Extre
MA MA Alto Extremo 0,0
Afirmação 3 R3 mo Fraco
1,0 1,0 0,8 0,80 6
1,00
Fonte: MAF/TCU (2016).
Notas: RI: risco inerente; RC: risco de controle; RDR: risco de distorção relevante; área: classes de transações,
contas e divulgações relevantes.
O RDR e RD variam inversamente. Isso significa que quanto maior o RDR, mais extensos devem ser os
procedimentos substantivos de auditoria planejados e executados para reduzir o RD ao nível aceitável e, com
isso, manter o RA no nível estabelecido. Inversamente, quanto menor o RDR, maior o nível de RD que o auditor
poderá aceitar e, portanto, poderá reduzir a extensão dos procedimentos substantivos sem prejudicar o nível de
RA estabelecido (MAF/TCU, 2016, item 304).
O nível aceitável de RD é o RA ajustado para o contexto específico de uma dada afirmação,
considerando os seus próprios riscos, inerente e de controle, isto é, o seu risco específico de distorção relevante.
O cálculo do RD visa a obter, por diferença, o nível de confiança que é necessário para planejar a extensão dos
procedimentos substantivos, pois o RD é definido como complementar ao nível de confiança no nível das
afirmações: NC (Nível de Confiança) = 1 – RD (Risco de Detecção).
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 24
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
em 5%, o efeito dessa situação sobre o RD e, portanto, sobre a 0,05 ou 5%
extensão dos procedimentos substantivos de auditoria, será:
2 – Em uma auditoria o auditor avalia como baixo o RDR de uma RD = 0,05 /
afirmação (RI de 0,5 e RC de 0,2, respectivamente), com um RA (0,5 x 0,2) =
aceitável estabelecido em 5%: 0,5 ou 50%
Fonte: MAF/TCU (2016, itens 308 a 311).
No exemplo 1, o RD e o RA são iguais pelo fato de que, além do RI ser máximo, o auditor não pôde
depositar nenhuma confiança no controle interno. Portanto, a extensão dos procedimentos substantivos deverá
ser planejada para fornecer um nível de confiança de 95%, isto é, com o risco aceitável de detecção de 5%. O
resultado é intuitivo, elevados RI e RC mantêm o nível de confiança no nível de afirmações inalterado em relação
ao RA como um todo, levando a trabalho mais extenso para manter o RA no nível aceitável.
No exemplo 2, o auditor poderia planejar testes substantivos com extensão menor, suportando um RD
moderado, porque tal extensão, em tese, seria suficiente para fornecer a evidência apropriada ao nível de RA
estabelecido.
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 25
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
Deixar de realizar o pagamento
Realizar pagamentos indevidos.
Deixar de efetuar o pagamento mensal até o segundo dia útil do mês de remuneração.
Alocar, de forma inadequada, a força de trabalho necessária para atender às necessidades de
elaboração das folhas de pagamento.
Elevado grau de desconfiança dos interessados na exatidão ou na tempestividade do pagamento da
folha.
Acesso às informações da folha de pagamento por pessoas não autorizadas.
Perda ou adulteração de informações imprescindíveis à realização de pagamento de pessoal.
Informações necessárias ao pagamento da folha recebidas de maneira incompleta.
Partes interessadas e autorizadas sem acesso às informações relativas à folha de pagamento.
Descumprir ou não observar a legislação e demais atos normativos aplicados ao pagamento da folha
1.4. Calcule o nível de risco inerente para cada um dos riscos que foi selecionado.
Risco inerente
(A) Probabilidade: praticamente certa 10, alta 8, média 5, baixa 2, muito baixa 1.
(B) Impacto: muito alto 10, alto 8, médio 5, baixo 2, muito baixo 1.
1.5. Classifique o nível de risco de controle para cada um dos riscos que foi selecionado,
observando a fórmula da exposição ao risco.
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 26
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
Risco de controle
(A) Probabilidade: praticamente certa 10, alta 8, média 5, baixa 2, muito baixa 1.
1.5. Classifique o nível de risco de controle para cada um dos riscos que foi selecionado,
observando a fórmula da exposição ao risco.
Folha
de
pagame
nto
Risco de auditoria
O RA, normalmente, é um valor fixo, estabelecido conforme o nível de asseguração pretendido, que
usualmente é de 5%, uma vez que se aceita que 95% de asseguração é um parâmetro razoável para a
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 27
Auditoria Baseada em Riscos (por Laércio Mendes) TCE/RO
segurança que uma auditoria pode oferecer. De modo a manter o RA constante, o auditor contábil-financeiro deve
variar o nível de risco de detecção (RD) inversamente ao nível de risco de distorção relevante (RDR) avaliado. Ou
seja, quanto maior o nível de RDR, mais baixo deve ser o nível de RD aceitável, e vice-versa.
Risco de detecção
Matriz para avaliação com risco de detecção (RD) calculado considerando risco de auditoria (RA) de 5%
Risco Probabilidade Impacto RI =
Área ACI RC RDR RD
Identificado (P) (I) PxI
Folha
de
pagam
eto
Todos os Direitos Reservados. Proibida a reprodução não autorizada. Permitida a citação com indicação da fonte. 28