Controles Internos Segundo o Coso I e o Coso II

AUDITORIA
GOVERNAMENTAL
Controles Internos
segundo o COSO I e o COSO II
SISTEMA DE ENSINO
Livro Eletrônico
AUDITORIA GOVERNAMENTAL
Controles Internos segundo o COSO I e o COSO II
Sumário
Marcelo Aragão
Controles Internos segundo o COSO I e o COSO II .................................................................... 3

Controle Interno (COSO I)............................................................................................................... 3
Definição............................................................................................................................................ 3
Objetivos............................................................................................................................................ 5
Limitações dos Controles Internos de uma Entidade.............................................................. 6
Componentes de Controle Interno............................................................................................... 7
Funções e Responsabilidades......................................................................................................12
Eficácia dos Controles Internos. . .................................................................................................13
Enterprise Risk Management (COSO ERM) – Estrutura Integrada de Gerenciamento
de Riscos (COSO II)......................................................................................................................... 14
Conceitos Básicos...........................................................................................................................15
Definição de Gerenciamento de Riscos Corporativos. . ...........................................................16
Categorias de Objetivos. . .............................................................................................................. 18
Componentes do Gerenciamento de Riscos Corporativos. . .................................................. 20
Relacionamento entre Objetivos e Componentes.................................................................. 30
Abrangência do Controle Interno................................................................................................31
Eficácia do Gerenciamento de Riscos.. .......................................................................................31
Limitações....................................................................................................................................... 32
Técnicas de Avaliação................................................................................................................... 33
COSO ERM 2017. . ............................................................................................................................. 35
Resumo............................................................................................................................................. 38
Mapas Mentais...............................................................................................................................40
Questões de Concurso.................................................................................................................. 41
Gabarito............................................................................................................................................. 71
O conteúdo deste livro eletrônico é licenciado para DIONEIA DA CONCEICAO DA SILVA - 02468894111, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
www.grancursosonline.com.br 2 de 72
Marcelo Aragão
CONTROLES INTERNOS SEGUNDO O COSO I E O COSO II

Inicialmente, para aqueles que ainda não conhecem o COSO, é preciso esclarecer o que
significa!
COSO é a sigla de Committee of Sponsoring Organizations da National Comission on Frau-
dlent Financial Reporting, também conhecida como Treadeway Comission. Traduzindo, signifi-
ca “Comitê das Entidades Patrocinadoras”.
Criado em 1985, constitui uma entidade do setor privado, sem fins lucrativos, voltada para
o aperfeiçoamento da qualidade de relatórios financeiros por meio de éticas profissionais, im-
plementação de controles internos e governança corporativa.
São cinco as organizações norte-americanas que patrocinam o citado comitê:
• American Institute of Certified Public Accountants – AICPA;
• American Accounting Association – AAA;
• The Institute of Internal Auditors – IIA;
• Institute of Management Accountants – IMA; e
• Financial Executives Institute – FEI.
Em 1992, o COSO publicou um estudo relevante sobre controle interno intitulado “Controles
Internos – Estrutura Integrada”, para ajudar empresas e outras organizações a avaliar e aper-
feiçoar seus sistemas de controle interno. Desde então, a referida estrutura foi incorporada
em políticas, normas e regulamentos adotados por milhares de organizações para controlar
melhor suas atividades visando ao cumprimento dos objetivos estabelecidos.
Esse estudo é muitas vezes chamado de Relatório COSO e muitos profissionais do ramo
de contabilidade e de auditoria o denominam de COSO I, em virtude de mais recentemente o
COSO ter publicado outro estudo relevante sobre Gerenciamento de Risco.
Em 2004, o COSO publicou o estudo denominado Gerenciamento de Riscos - Estrutura Inte-
grada (ERM – Enterprise Risk Management), comumente denominado de COSO II.
Em maio de 2013, o COSO publicou uma nova versão do estudo acerca dos Controles Inter-
nos: Estrutura Integrada de Controles Internos 2013.
Vamos começar pelo primeiro estudo do Comitê, acerca do controle interno.
Controle Interno (COSO I)
Definição
A definição de controle interno existente no Relatório COSO é:
Controle interno é um processo, conduzido pelo conselho de administração, diretoria e por todo o
pessoal da organização, projetado para fornecer segurança razoável quanto à realização de objeti-
vos nas seguintes categorias:
Marcelo Aragão
- operacional (eficácia e eficiência das operações);
- comunicação (confiabilidade das informações e relatórios);
- conformidade (cumprimento de leis e regulamentações aplicáveis).
Essa definição reflete certos conceitos fundamentais. Segundo o COSO, o controle interno é:
• orientado para a consecução de objetivos em uma ou mais categorias - operacionais,
informacionais e de conformidade. Controle existe para propiciar que as organizações
alcancem determinados objetivos;
• um processo constituído de tarefas e atividades contínuas - um meio para um fim, não
um fim em si. O controle não é um fato ou circunstância ou um fim em si mesmo, mas
uma série de ações que permeiam as atividades da entidade com determinado fim. Es-
sas ações se dão em todas as operações da entidade, de modo contínuo. São ações ine-
rentes à maneira pela qual a gerência administra a organização. O sistema de controle
interno deve ser interligado às atividades da entidade e torna-se mais efetivo quando é
concebido dentro da estrutura organizacional da entidade e é parte integrante da essên-
cia da organização;
• efetuado por pessoas - não se trata apenas de políticas e manuais acerca de procedi-
mentos, sistemas e formulários, mas de pessoas e as ações que elas tomam em todos
os níveis de uma organização para efetuar o controle interno;
• capaz de fornecer uma garantia ou segurança razoável – não importa quão bem plane-
jado ou executado esteja, o controle interno não pode dar segurança absoluta à gerên-
cia, em relação ao alcance dos objetivos gerais. Em vez disso, as diretrizes reconhecem
que apenas um nível razoável de segurança pode ser alcançado. A segurança razoável
reflete a noção sobre incerteza e os riscos futuros que não podem ser previstos com
segurança absoluta e reconhece que o custo do controle interno não deve exceder os
benefícios que dele derivam;
• adaptável à estrutura da entidade - uma aplicação flexível para toda a entidade ou uma
subsidiária, divisão, unidade operacional ou um processo de negócio. Portanto, O con-
trole interno não é responsabilidade apenas de um setor ou departamento especializado
da entidade, mas de todas as áreas e unidades dessa organização.
Essa definição é intencionalmente abrangente. Ela captura conceitos importantes que são
fundamentais para a forma como as organizações desenvolvem, implementam e conduzem o
controle interno, proporcionando uma base para aplicação a todas as organizações que ope-
ram em diferentes estruturas de entidades, indústrias e regiões geográficas.
O fator humano é fundamental na definição de controle interno do COSO. Assim, controle
interno não é apenas um manual ou um formulário, mas abrange todo o conjunto de pessoas
que interagem com a organização, independentemente do nível em que atuam.
Marcelo Aragão
Cuidado em prova com afirmação de que somente a alta administração, a gerência e/ou a
auditoria possuem responsabilidade perante o controle interno.
As pessoas que conduzem os controles internos incluem o conselho de administração, a
administração, a gerência e todos os empregados e membros do quadro de pessoal em geral.
Portanto, todas as pessoas que pertencem à organização têm responsabilidades quanto aos
controles internos e todos desempenham um papel importante na execução do controle. As
pessoas devem conhecer seus papéis, suas responsabilidades e os limites de autoridade.
Em uma prova para a Controladoria-Geral do Município do Rio de Janeiro, se não estou en-
ganado, realizada em 2008, caiu uma questão interessante que pedia para o candidato marcar
a alternativa que correspondia a quem possuía a responsabilidade pelos controles internos no
âmbito do Município do Rio de Janeiro, de acordo com o COSO.
As alternativas eram: do Prefeito do Município; do Tribunal de Contas do Município; do Pre-
feito em conjunto com o Tribunal de Contas; de todos os servidores do Município.
Bom, você já deve imaginar a resposta correta. É uma responsabilidade de todos os servi-
dores do Município.
Segundo o estudo do Coso, o controle interno não é um processo em série, mas sim um pro-
cesso dinâmico e integrado. A Estrutura aplica-se a todas as entidades de grande, médio e pe-
queno portes, com e sem fins lucrativos, além de órgãos governamentais. Cada organização,
entretanto, pode escolher implementar o controle interno de forma diferente. Por exemplo, o
sistema de controle interno de uma entidade de pequeno porte pode ser menos formal e estru-
turado, mas ainda ser eficaz.
Objetivos
Pela definição do Comitê, as organizações devem implantar controles internos para garan-
tir que os seus objetivos sejam alcançados.
O controle interno é direcionado para o alcance de uma série de objetivos gerais, distintos,
mas ao mesmo tempo integrados. Esses objetivos são implementados através de numerosos
objetivos específicos, funções, processos e atividades.
Segundo o Comitê, são três as categorias de objetivos:
• Operacional: esses objetivos são relacionados com a eficiência e eficácia dos proces-
sos operacionais, incluindo o desempenho quanto ao alcance das metas financeiras e/
ou operacionais, e também a salvaguarda dos ativos contra a ameaça de perdas;
• Comunicação ou Divulgação: esses objetivos relacionam-se a divulgações financeiras e
não financeiras, internas e externas, podendo abranger os requisitos de confiabilidade,
oportunidade, transparência ou outros termos estabelecidos pelas autoridades normati-
vas, órgãos normatizadores reconhecidos, ou às políticas da entidade;
Marcelo Aragão
• Conformidade: esses objetivos dizem respeito à aderência a normas, leis e regulamen-

tos em que a organização tem obrigação.
Comparando a estrutura de 1992 com a de 2013, quando o primeiro estudo foi atualizado, a
grande mudança é que a estrutura original tinha como meta apenas a comunicação financeira.
Assim, de particular importância eram os controles que visam a fornecer segurança razoável
de que as demonstrações contábeis preparadas pela administração para usuários externos
encontram-se adequadamente apresentadas de acordo com princípios contábeis geralmente
aceitos. Na nova estrutura de 2013, o objetivo se torna mais abrangente, considerando as in-
formações tanto financeiras quanto não financeiras.
Limitações dos Controles Internos de uma Entidade

Vimos que controles internos podem fornecer segurança razoável para a administração e
para o conselho de administração quanto à consecução dos objetivos de uma entidade e não
segurança absoluta!
Isto se deve às seguintes limitações inerentes:
• erros de julgamento - pela administração ou por outras pessoas, ao tomar decisões, em
razão de informações inadequadas, restrições de tempo e outros motivos;
• falhas – cometidas por pessoas que não entendem instruções corretamente ou come-
tem erros por falta de cuidado, distração ou cansaço;
• conluio – indivíduos que agem conjuntamente, podem praticar fraude e de forma que ela
não seja detectada pelos controles internos;
• atropelamento pela administração – que burla ou passa por cima de procedimentos ou
políticas, com objetivos ilegítimos;
• eventos externos – acontecimentos externos, fora do controle da organização, podem
limitar os controles;
• custos versus benefícios – o custo dos controles internos de uma entidade não deve
superior aos benefícios que deles se esperam. Assume-se certos riscos, quando se re-
duzem os procedimentos de controle em função dos benefícios esperados.
Portanto, a despeito de oferecer importantes benefícios, o controle interno está sujeito a

limitações. Além de outros fatores, as limitações originam-se do fato de que o julgamento hu-
mano, no processo decisório, pode ser falho e o estabelecimento dos controles necessita levar
em conta os custos e benefícios relativos.
Pode, ainda, ocorrer falhas causadas por erro ou engano humano, os controles podem ser
anulados por conluio entre duas ou mais pessoas, e a administração tem o poder de recusar-se
a aceitar as decisões de implantar e observar controles internos. Essas limitações impedem
Marcelo Aragão
que o conselho de administração e a diretoria executiva tenham absoluta garantia da realiza-

ção dos objetivos da organização.
Componentes de Controle Interno

Para o COSO, o processo de controles internos deve ser constituído de cinco componentes,
que se inter-relacionam:
• ambiente de controle;
• avaliação de riscos;
• atividades ou procedimentos de controle;
• informação e comunicação;
• atividades de monitoramento.
Trata-se de uma estrutura ideal de controles internos. Para o COSO, o sistema de controle
interno da organização será eficaz se todos os componentes estiverem presentes e funcionan-
do adequadamente.
A seguir, vamos detalhar um pouco cada um desses componentes.
Ambiente de Controle
O ambiente dá o tom de uma organização, influenciando a consciência de controle das pes-

soas que nela trabalham. Representa o alicerce dos demais componentes, disciplinando-os e
estruturando-os.
O ambiente de controle é a base de todo o sistema de controle interno. Ele fornece o con-
junto de regras e a estrutura, além de criar um clima que influi na qualidade do controle interno
em seu conjunto.
Os elementos do ambiente de controle são:
• a integridade pessoal e profissional e os valores éticos da direção e do quadro de pes-
soal, incluindo uma atitude de apoio ao controle interno, durante todo o tempo e por toda
a organização;
• o comprometimento com a competência - A competência dos empregados da organi-
zação reflete o conhecimento e as habilidades necessárias para a execução das tarefas
designadas. A administração alinha competência ao custo;
• o perfil dos superiores (ou seja, a filosofia da direção e o estilo gerencial);
• a estrutura organizacional da entidade que fornece o arcabouço para planejamento, exe-
cução, controle e monitoração das atividades de uma entidade. Sua estrutura contribui
para que atinja seus objetivos. A estrutura organizacional define as áreas fundamentais
de responsabilidade. Estabelece as linhas de comunicação e a definição de autoridade
e responsabilidade;
Marcelo Aragão
• a atribuição de autoridade e responsabilidade que representa uma extensão do desen-

volvimento de uma estrutura organizacional e envolve aspectos específicos de como e
a quem autoridade e responsabilidade por todas as atividades da entidade serão atribu-
ídas;
• as políticas e práticas de recursos humanos, cujas normas tratam de admissão, orien-
tação, treinamento, avaliação, aconselhamento, promoção, compensação e medidas
corretivas, conduzindo os níveis previstos de integridade, de comportamento ético e de
competência. As medidas disciplinares transmitem a mensagem de que as infrações ao
comportamento esperado não serão toleradas.
Avaliação de Risco
Toda entidade enfrenta vários riscos de origem tanto interna quanto externa.
Define-se risco como a possibilidade de que um evento ocorra e afete adversamente a re-
alização dos objetivos.
A avaliação de riscos envolve um processo dinâmico e iterativo para identificar e avaliar os
riscos à realização dos objetivos. Esses riscos de não atingir os objetivos em toda a entidade
são considerados em relação às tolerâncias aos riscos estabelecidos. Dessa forma, a avalia-
ção de riscos estabelece a base para determinar a maneira como os riscos serão gerenciados.
A avaliação de risco é o processo de identificação e análise dos riscos relevantes para o
alcance dos objetivos da entidade e para determinar uma resposta apropriada. Portanto, a
organização deve definir e especificar os objetivos com clareza suficiente para permitir a iden-
tificação e a avaliação dos riscos associados aos objetivos.
Toda entidade enfrenta vários riscos de origem tanto interna quanto externa. Define-se
risco como a possibilidade de que um evento ocorra e afete adversamente a realização dos
objetivos. A avaliação de riscos envolve um processo dinâmico e iterativo para identificar e
avaliar os riscos à realização dos objetivos.
Esses riscos de não atingir os objetivos em toda a entidade são considerados em relação
às tolerâncias aos riscos estabelecidos. Dessa forma, a avaliação de riscos estabelece a base
para determinar a maneira como os riscos serão gerenciados.
Uma condição prévia à avaliação de riscos é o estabelecimento de objetivos, ligados aos
diferentes níveis da entidade. A administração especifica os objetivos dentro das categorias:
operacional, divulgação e conformidade, com clareza suficiente para identificar e analisar os
riscos à realização desses objetivos.
A administração também considera a adequação dos objetivos à entidade. A avaliação
de riscos requer ainda que a administração considere o impacto de possíveis mudanças no
ambiente externo e dentro de seu próprio modelo de negócio que podem tornar o controle
interno ineficaz.
Marcelo Aragão
Atividades de Controle
Atividades de controle são ações estabelecidas por meio de políticas e procedimentos que
ajudam a garantir o cumprimento das diretrizes determinadas pela administração para mitigar
os riscos à realização dos objetivos.
As atividades de controle são desempenhadas em todos os níveis da entidade, em vários
estágios dentro dos processos corporativos e no ambiente tecnológico.
Podem ter natureza preventiva ou de detecção e abranger uma série de atividades manu-
ais e automáticas, como autorizações e aprovações, verificações, reconciliações e revisões de
desempenho do negócio.
A segregação de funções é geralmente inserida na seleção e no desenvolvimento das ati-
vidades de controle. Nos casos em que a segregação de funções seja impraticável, a adminis-
tração deverá selecionar e desenvolver atividades alternativas de controle.
Informação e Comunicação
A informação e a comunicação são essenciais para a concretização de todos os objetivos

do controle interno. A identificação, a captura e a troca de informações sob forma e em época
tais, que permitam que as pessoas cumpram suas responsabilidades.
A informação é necessária para que a entidade cumpra responsabilidades de controle in-
terno a fim de apoiar a realização de seus objetivos. A administração obtém ou gera e utiliza
informações importantes e de qualidade, originadas tanto de fontes internas quanto externas,
a fim de apoiar o funcionamento de outros componentes do controle interno.
A comunicação é o processo contínuo e iterativo de proporcionar, compartilhar e obter as
informações necessárias.
A comunicação interna é o meio pelo qual as informações são transmitidas para a orga-
nização, fluindo em todas as direções da entidade. Ela permite que os funcionários recebam
uma mensagem clara da alta administração de que as responsabilidades pelo controle devem
ser levadas a sério.
A comunicação externa apresenta duas vertentes: permite o recebimento, pela organiza-
ção, de informações externas significativas, e proporciona informações a partes externas em
resposta a requisitos e expectativas.
Monitoramento
Monitoramento ou monitoração é um processo que avalia a qualidade do desempenho dos

controles internos ao longo do tempo. Envolve avaliação do desenho e da tempestividade de
operação dos controles e a tomada de ações corretivas.
Os sistemas de controle interno devem ser monitorados para avaliar a qualidade de sua
atuação ao longo do tempo. O monitoramento é obtido através de:
Marcelo Aragão
• atividades rotineiras ou contínuas,

• avaliações específicas, ou
• a combinação de ambas.
Avaliações contínuas são construídas dentro do processo de negócio nos diferentes níveis
da entidade e proveem informações em tempo hábil. Avaliações independentes, conduzidas
periodicamente, variam de escopo e frequência, dependendo da análise de riscos, da efetivida-
de das avaliações contínuas e de outras considerações gerenciais.
Os resultados são avaliados em relação a critérios estabelecidos pelas autoridades norma-
tivas, órgãos normatizadores reconhecidos ou pela administração e a estrutura de governança,
sendo que as deficiências são comunicadas à estrutura de governança e administração, con-
forme aplicável.
A auditoria interna participa do componente de monitoração, avaliando diferentes partes
dos controles internos de uma entidade e relatam fraquezas à administração, com recomenda-
ções para introdução de melhorias.
Uma dúvida frequente dos alunos é com relação ao papel do controle interno comparado
com o papel da auditoria interna. O controle interno é uma estrutura que compreende cinco
componentes e sua função é fornecer garantia razoável quanto ao alcance de objetivos de
uma organização. A auditoria interna faz parte do componente de monitoração e sua função é
auxiliar a administração a monitorar a eficácia do sistema de controle interno.
Princípios Relevantes Associados a cada Componente
Uma das novidades da atualização do estudo do COSO, ocorrida em 2013, foi estabelecer
os princípios de cada componente da estrutura de controle interno. Muita atenção em prova.
Os princípios são os seguintes:
• Ambiente de Controle:
− 1. A organização demonstra ter compromisso com a integridade e os valores éticos;
− 2. O conselho de administração mantém independência em relação à diretoria e exer-
ce a supervisão do desenvolvimento e desempenho do controle interno;
− 3. A administração estabelece, com a supervisão do conselho, estruturas, níveis de
subordinação e as autoridades e responsabilidades adequadas na busca dos objeti-
vos;
− 4. A organização demonstra um compromisso de atrair, desenvolver e manter pesso-
as competentes, em alinhamento com os objetivos;
− 5. A organização faz com que as pessoas assumam responsabilidade por suas fun-
ções de controle interno na busca pelos objetivos;
Marcelo Aragão
• Avaliação de Riscos:
− 6. A organização especifica os objetivos com clareza suficiente para permitir a identi-
ficação e avaliação dos riscos associados aos objetivos;
− 7. A organização identifica os riscos para a concretização dos objetivos da entidade
e analisa riscos como uma base para determinar como os riscos devem ser gerencia-
dos;
− 8. A organização considera potenciais fraudes na avaliação dos riscos quanto à rea-
lização dos objetivos;
− 9. A organização identifica e avalia as mudanças que poderiam afetar significativa-
mente o sistema de controle interno;
− Atividades de Controle:
− 10. A organização seleciona e desenvolve atividades de controle que contribuem para
a redução, a níveis aceitáveis, de riscos para a realização dos objetivos;
− 11. A organização seleciona e desenvolve atividades gerais de controle sobre a tecno-
logia da informação para apoiar a realização dos objetivos;
− 12. A organização implanta atividades de controle por meio de políticas que estabele-
cem o que é esperado e os procedimentos que devem ser aplicados;
− Informação e comunicação:
− 13. A organização obtém ou gera e utiliza informação de qualidade relevante para
apoiar o funcionamento do controle interno;
− 14. A organização comunica internamente as informações, incluindo os objetivos e
responsabilidades perante os controles, para apoiar o funcionamento do controle in-
terno;
− 15. A organização comunica às partes externas sobre assuntos que afetam o funcio-
namento do controle interno;
• Atividades de monitoramento:
− 16. A organização seleciona, desenvolve e realiza avaliações contínuas e/ou inde-
pendentes para se certificar da presença e do funcionamento dos componentes da
estrutura de controle interno;
− 17. A organização avalia e comunica deficiências no controle interno em tempo hábil
objetivando que as partes responsáveis adotem medidas corretivas, incluindo a alta
administração e o conselho de administração, conforme o caso.
Marcelo Aragão
Relacionamento entre Objetivos e Componentes
Figura 1: Cubo do COSO
Existe uma relação direta entre os objetivos, que são o que a entidade busca alcançar,
os componentes, que representam o que é necessário para atingir os objetivos, e a estrutura
organizacional da entidade (as unidades operacionais e entidades legais, entre outras). Essa
relação pode ser ilustrada na forma de um cubo, como na figura 1:
• As três categorias de objetivos – operacional, divulgação e conformidade – são repre-
sentadas pelas colunas;
• Os cinco componentes são representados pelas linhas;
• A estrutura organizacional da entidade é representada pela terceira dimensão.
Funções e Responsabilidades
Como vimos anteriormente, o relatório do COSO conclui que todas as pessoas em uma
organização têm alguma responsabilidade pelos controles internos e que, na realidade, fazem
parte deles.
Registra, contudo, que várias partes externas, tais como auditores independentes e regula-
dores, podem trazer informações úteis para os controles, mas não têm responsabilidade por
sua eficácia. As responsabilidades e papéis são os seguintes:
• Administração. É responsabilidade da administração estabelecer controles internos efi-
cazes. Os executivos são os responsáveis diretos por todas as atividades de uma orga-
nização, incluindo o planejamento, a implementação, a supervisão do funcionamento
adequado, a manutenção e a documentação do sistema de controle interno. Suas res-
ponsabilidades variam de acordo com a sua função na organização e as características
da organização;
Marcelo Aragão
• Conselho de Administração. Como parte de seus deveres de governança e supervisão

geral, membros do conselho de administração devem determinar que a administração
cumpra deu dever de estabelecer e manter controles internos;
• Auditores internos. Auditores internos devem periodicamente examinar e avaliar a ade-
quação dos controles internos da entidade e fazer recomendações para aperfeiçoamen-
tos, mas não têm responsabilidade principal pelo seu estabelecimento e manutenção.
Eles desempenham um papel importante em um sistema de controle interno eficaz, mas
não têm a responsabilidade gerencial primeira sobre o planejamento, manutenção e do-
cumentação do controle interno;
• Demais funcionários. O controle interno é parte implícita ou explícita das funções de
cada um. Todos os membros da equipe exercem um papel na execução do controle e
devem ser responsáveis por relatar problemas operacionais, de descumprimento de có-
digo de conduta ou de violações da política;
• Partes externas. Diversas partes externas, como clientes, revendedores, parceiros co-
merciais, auditores externos, agentes normativos e analistas financeiros frequentemente
fornecem informações úteis para a condução e aperfeiçoamento dos controles internos,
porém não são responsáveis pela sua eficácia e nem fazem parte do gerenciamento de
riscos da organização.
Eficácia dos Controles Internos

A Estrutura estabelece os requisitos para um sistema eficaz de controle interno, que pro-
porciona segurança razoável acerca da realização dos objetivos da entidade. Um sistema de
controle interno eficaz reduz, a um nível aceitável, o risco de não se atingir o objetivo de uma
entidade e pode estar relacionado a uma, duas ou todas as três categorias de objetivos. O sis-
tema requer:
• A presença e o funcionamento de cada um dos cinco componentes e princípios relacio-
nados. “Presença” refere-se à determinação da existência dos componentes e princí-
pios relacionados no desenho e na implementação do sistema de controle interno para
atingir objetivos especificados. “Funcionamento” refere-se à determinação de que os
componentes e princípios relacionados continuem a existir na operação e na condução
do sistema de controle interno para atingir objetivos especificados;
• Os cinco componentes operam em conjunto de forma integrada. “Operam em conjunto”
refere-se à determinação de que todos os cinco componentes, em conjunto, reduzam a
um nível aceitável o risco de não se atingir o objetivo. Os componentes não devem ser
considerados de forma separada; eles operam em conjunto como um sistema integra-
do. Os componentes são interdependentes e contam com uma profusão de inter-rela-
cionamentos e ligações entre si, especialmente a maneira como os princípios interagem
dentro e entre todos os componentes.
Marcelo Aragão
Quando existe uma deficiência maior com respeito à presença e ao funcionamento de um

componente ou princípio relevante, ou com respeito à operação conjunta dos componentes
de uma forma integrada, a organização não pode concluir que já possui um sistema eficaz de
controle interno.
Ao determinar que um sistema de controle interno é eficaz, a alta administração e a estru-
tura de governança têm segurança razoável, com relação à aplicação dentro da estrutura da
entidade, de que a organização:
• conta com operações eficazes e eficientes quando se considera improvável que eventos
externos tenham impacto significativo sobre a realização dos objetivos ou quando a
organização pode prever, com razoabilidade, a natureza e a oportunidade dos eventos
externos e reduzir seu impacto a um nível aceitável;
• entende a abrangência do gerenciamento eficaz e eficiente das operações quando even-
tos externos podem ter um impacto significativo sobre a realização dos objetivos ou
quando a organização pode prever, com razoabilidade, a natureza e a oportunidade dos
eventos externos e reduzir seu impacto a um nível aceitável;
• elabora divulgações em conformidade com regras, regulamentações e normas aplicá-
veis ou com os objetivos de divulgações específicas da entidade; e
• observa as leis, regras, regulamentações e normas externas aplicáveis.
A estrutura requer que haja julgamento no desenho, implementação e condução do contro-

le interno e na avaliação de sua eficácia. O uso de julgamento, dentro das limitações estabele-
cidas pelas leis, regras, regulamentações e normas, aumenta a capacidade da administração
de tomar melhores decisões sobre o controle interno, embora não possa assegurar que o re-
sultado será perfeito.
Enterprise Risk Management (COSO ERM) – Estrutura Integrada de

Gerenciamento de Riscos (COSO II)
Nas décadas que se seguiram à publicação do COSO I, intensificou-se o foco e a preocu-
pação com o gerenciamento de riscos, e tornou-se cada vez mais clara a necessidade de uma
estratégia sólida, capaz de identificar, avaliar e administrar riscos. Em 2001, o COSO iniciou um
projeto com essa finalidade e solicitou à PricewaterhouseCoopers que desenvolvesse uma es-
tratégia de fácil utilização pelas organizações para avaliar e melhorar o próprio gerenciamento
de riscos.
O período de desenvolvimento dessa estrutura foi marcado por uma série de escândalos e
quebras de negócios de grande repercussão, que gerou prejuízos de grande monta a investido-
res, empregados e outras partes interessadas. Na esteira desses eventos, vieram solicitações
de melhoria dos processos de governança corporativa e gerenciamento de riscos, por meio de
novas leis, regulamentos e de padrões a serem seguidos.
Marcelo Aragão
Assim, uma estrutura de gerenciamento de riscos corporativos capaz de fornecer os prin-

cípios e conceitos fundamentais, com uma linguagem comum, direcionamento e orientação
claros, tornou-se ainda mais necessária. O COSO é da opinião que a obra “Gerenciamento de
Riscos Corporativos – Estrutura Integrada” vem para preencher essa lacuna e espera que ela
seja amplamente adotada pelas empresas e por outras organizações, bem como por todas as
partes interessadas.
A obra “Gerenciamento de Riscos Corporativos – Estrutura Integrada” amplia seu alcance
em controles internos, oferecendo um enfoque mais vigoroso e extensivo no tema mais abran-
gente de gerenciamento de riscos corporativos.
Conceitos Básicos
O COSO II mudou o conceito tradicional de “controles internos” e chamou a atenção para o
fato de que eles tinham de fornecer proteção contra riscos.
O modelo, ao definir risco como a possibilidade que um evento ocorra e afete de modo ad-
verso o alcance dos objetivos da entidade, introduziu a noção de que controles internos devem
ser ferramentas de gestão e monitoração de riscos em relação ao alcance de objetivos e não
mais devem ser dirigidos apenas para riscos de origem financeira ou vinculados a resultados
escriturais. O papel do controle interno foi, assim, ampliado e reconhecido como um instru-
mento de gerenciamento de riscos indispensável à governança corporativa.
A premissa inerente ao gerenciamento de riscos corporativos é que toda organização exis-
te para gerar valor às partes interessadas.
Todas as organizações enfrentam incertezas, e o desafio de seus administradores é de-
terminar até que ponto aceitar essa incerteza, assim como definir como essa incerteza pode
interferir no esforço para gerar valor às partes interessadas.
Incertezas representam riscos e oportunidades, com potencial para destruir ou agregar va-
lor. O gerenciamento de riscos corporativos possibilita aos administradores tratar com eficácia
as incertezas, bem como os riscos e as oportunidades a elas associadas, a fim de melhorar a
capacidade de gerar valor.
O valor é maximizado quando a organização estabelece estratégias e objetivos para alcan-
çar o equilíbrio ideal entre as metas de crescimento e de retorno de investimentos e os riscos
a elas associados, e para explorar os seus recursos com eficácia e eficiência na busca dos
objetivos da organização.
O gerenciamento de riscos corporativos tem por finalidade:
• Alinhar o apetite a risco com a estratégia adotada – os administradores avaliam o ape-
tite a risco da organização ao analisar as estratégias, definindo os objetivos a elas rela-
cionados e desenvolvendo mecanismos para gerenciar esses riscos;
• Fortalecer as decisões em resposta aos riscos – o gerenciamento de riscos corpora-
tivos possibilita o rigor na identificação e na seleção de alternativas de respostas aos
riscos – como evitar, reduzir, compartilhar e aceitar os riscos;
Marcelo Aragão
• Reduzir as surpresas e prejuízos operacionais – as organizações adquirem melhor ca-

pacidade para identificar eventos em potencial e estabelecer respostas a estes, reduzin-
do surpresas e custos ou prejuízos associados;
• Identificar e administrar riscos múltiplos e entre empreendimentos – toda organização
enfrenta uma gama de riscos que podem afetar diferentes áreas da organização. A ges-
tão de riscos corporativos possibilita uma resposta eficaz a impactos inter-relacionados
e, também, respostas integradas aos diversos riscos;
• Aproveitar oportunidades – pelo fato de considerar todos os eventos em potencial, a or-
ganização posiciona-se para identificar e aproveitar as oportunidades de forma proativa;
• Otimizar o capital – a obtenção de informações adequadas a respeito de riscos possi-
bilita à administração conduzir uma avaliação eficaz das necessidades de capital como
um todo e aprimorar a alocação desse capital.
Essas qualidades, inerentes ao gerenciamento de riscos corporativos ajudam os adminis-

tradores a atingir as metas de desempenho e de lucratividade da organização, e evitam a perda
de recursos.
O gerenciamento de riscos corporativos contribui para assegurar comunicação eficaz e o
cumprimento de leis e regulamentos, bem como evitar danos à reputação da organização e
suas consequências.
Em suma, o gerenciamento de riscos corporativos ajuda a organização a atingir seus obje-
tivos e a evitar os perigos e surpresas em seu percurso.
Obs.:
risco é a probabilidade de perda ou incerteza associada ao cumprimento de um objetivo
Definição de Gerenciamento de Riscos Corporativos

Segundo o COSO ERM, o gerenciamento de riscos corporativos trata de riscos e oportuni-
dades que afetam a criação ou a preservação de valor, sendo definido da seguinte forma:
O gerenciamento de riscos corporativos é um processo conduzido em uma organização pelo conse-

lho de administração, diretoria e demais empregados, aplicado no estabelecimento de estratégias,
formuladas para identificar em toda a organização eventos em potencial, capazes de afetá-la, e
administrar os riscos de modo a mantê-los compatível com o apetite a risco da organização e pos-
sibilitar garantia razoável do cumprimento dos seus objetivos.
Essa definição reflete certos conceitos fundamentais. O gerenciamento de riscos cor-

porativos é:
• um processo contínuo e que flui através da organização;
• conduzido pelos profissionais em todos os níveis da organização;
• aplicado à definição das estratégias;
Marcelo Aragão
• aplicado em toda a organização, em todos os níveis e unidades, e inclui a formação de

uma visão de portfólio de todos os riscos a que ela está exposta;
• formulado para identificar eventos em potencial, cuja ocorrência poderá afetar a organi-
zação e para administrar os riscos de acordo com seu apetite a risco;
• capaz de propiciar garantia razoável para o conselho de administração e a diretoria exe-
cutiva de uma organização;
• orientado para a realização de objetivos em uma ou mais categorias distintas.
Essa definição é intencionalmente ampla e adota conceitos fundamentais sobre a forma

como as empresas e outras organizações administram riscos, possibilitando uma base para
sua aplicação em organizações, indústrias e setores. O gerenciamento de riscos corporativos
orienta seu enfoque diretamente para o cumprimento dos objetivos estabelecidos por uma
organização específica e fornece parâmetros para definir a eficácia desse gerenciamento
de riscos.
Apetite a Risco
Da definição de gerenciamento de riscos, cabe ressaltar o apetite a risco.

O apetite a risco é a quantidade de riscos, no sentido mais amplo, que uma organização
está disposta a aceitar em sua busca para agregar valor. O apetite a risco reflete toda a filo-
sofia administrativa de uma organização e, por sua vez, influencia a cultura e o estilo opera-
cional desta.
Muitas organizações consideram esse apetite de forma qualitativa, categorizando-o como
elevado, moderado ou baixo, enquanto outras organizações adotam uma abordagem quantita-
tiva que reflete e equilibra as metas de crescimento, retorno e risco.
Uma organização dotada de um maior apetite a risco poderá desejar alocar grande parcela
de seu capital para áreas de alto risco como mercados recém-emergentes. Por outro lado, uma
organização com um reduzido apetite a risco poderá limitar seu risco de curto prazo investindo
apenas em mercados maduros e mais estáveis.
O apetite a risco está diretamente relacionado à estratégia da organização e é levado em
conta na ocasião de definir as estratégias, visto que a estas expõem a organização a diferentes
riscos. O gerenciamento destes ajuda a administração a selecionar uma estratégia capaz de
alinhar a criação de valor com o apetite a risco.
Associadas aos objetivos da organização, a tolerância a riscos representa o nível aceitável
de variação em relação à meta para o cumprimento de um objetivo específico, e, via de regra, é
mensurada nas mesmas unidades utilizadas para avaliar o objetivo a que está vinculada.
Ao estabelecer a tolerância a riscos, a administração considera o grau de importância do
objetivo relacionado e alinha essas tolerâncias ao apetite a risco global. Tal operação ajuda a
Marcelo Aragão
assegurar que a organização permaneça dentro de seus limites de apetite a risco e, por sua
vez, consiga atingir os seus objetivos.
Enquanto o apetite a risco é a quantidade de riscos que uma organização está disposta a acei-
tar em sua busca para agregar valor, tolerância a risco representa o nível aceitável de variação
em relação à meta para o cumprimento de um objetivo.
Categorias de Objetivos
A fixação de objetivos é uma precondição à identificação de evento, à avaliação de riscos
e às respostas aos riscos. Em primeiro lugar, é necessário que os objetivos existam para que a
administração possa identificar e avaliar os riscos quanto a sua realização, bem como adotar
as medidas necessárias para administrá-los.
No COSO ERM, os objetivos podem ser agrupados em quatro categorias:
• Estratégicos: referem-se às metas no nível mais elevado. Alinham-se e fornecem apoio
à missão;
• Operacionais: têm como meta a utilização eficaz e eficiente dos recursos;
• De comunicação: relacionam-se com a confiabilidade dos relatórios. Incluem relatórios
internos e externos e podem, ainda, conter informações financeiras e não financeiras;
• De conformidade: relacionam-se com o cumprimento de leis e regulamentos. Em alguns
casos dependem de fatores externos e tendem a ser semelhantes em todas as organi-
zações.
Essa classificação possibilita um enfoque nos aspectos específicos do gerenciamento de

riscos corporativos. Apesar de essas categorias serem distintas, elas se inter-relacionam, uma
vez que um dado objetivo poderá estar presente em mais de uma categoria, elas tratam de
necessidades empresariais diferentes, cuja responsabilidade direta poderá ser atribuída a di-
versos executivos.
Essa classificação também possibilita distinguir o que se espera do gerenciamento de ris-
cos corporativos.
Algumas organizações utilizam outra categoria de objetivos, a salvaguarda de recursos,
que também é denominada salvaguarda de ativos. De modo geral, esses objetivos têm como
meta evitar a perda de ativos ou recursos da organização, seja por meio de furto, desperdício,
ineficiência, ou simplesmente, por meio de decisões empresariais equivocadas, como vender
um produto a preço demasiado baixo, deixar de conservar empregados de importância funda-
mental, evitar infrações a patentes, ou incorrer em passivos imprevistos.
Esses objetivos são essencialmente de natureza operacional, embora determinados aspec-
tos de salvaguarda possam ser classificados em outras categorias. Nos casos da aplicação
de exigências legais ou regulamentares, os referidos objetivos tornam-se itens de compliance.
Marcelo Aragão
Quando considerados em conjunto com informações públicas, utiliza-se uma definição

mais rigorosa para a salvaguarda de ativos. Essa definição trata da prevenção ou constatação
oportuna, de aquisição, do uso ou da alienação não autorizada dos bens de uma organização,
que poderia produzir impacto relevante nas demonstrações financeiras.
É de se perceber, ao compararmos com a estrutura de controles internos, que surge mais
uma categoria de objetivo: estratégicos.
Espera-se que o gerenciamento de riscos corporativos ofereça garantia razoável do cum-
primento dos objetivos relacionados à confiabilidade dos informes e ao cumprimento de leis e
regulamentos. O atendimento dessas categorias de objetivos está sob o controle da organiza-
ção e depende da qualidade da execução das atividades a elas relacionadas.
Entretanto, o alcance de objetivos estratégicos, como, por exemplo, a conquista de uma
determinada participação de mercado, e de objetivos operacionais, como o lançamento bem-
-sucedido de uma nova linha de produtos, nem sempre está sob total controle da organização.
O gerenciamento de riscos corporativos não consegue neutralizar julgamentos ou decisões
equivocadas, nem eventos externos, responsáveis por levar um negócio a deixar de alcançar
suas metas operacionais. No entanto, esse gerenciamento é capaz de aumentar a probabilida-
de da administração tomar decisões mais bem fundamentadas.
Em relação a esses objetivos, o gerenciamento de riscos corporativos pode oferecer garan-
tia razoável para que a diretoria executiva e o conselho de administração, na função de super-
visores, sejam oportunamente notificados se a organização está na direção do cumprimento
dos objetivos.
Obs.: o atendimento aos objetivos relacionados às categorias de comunicação e confor-

midade está sob o controle da organização e depende da qualidade da execução das
atividades a elas relacionadas. Já o alcance de objetivos estratégicos e operacionais
nem sempre está sob total controle da organização.
Objetivos Selecionados
Como parte do gerenciamento de riscos corporativos, a administração não apenas selecio-

na objetivos e considera o modo pelo qual estes darão suporte à missão da organização, mas
também se assegura de que esses objetivos estão em conformidade com o apetite a risco.
Um alinhamento falho poderá fazer que os riscos aceitos sejam demasiadamente baixos para
alcançar os objetivos, ou, por outro lado, que aceite riscos em demasia.
O gerenciamento de riscos corporativos eficaz NÃO dita os objetivos que a administração
deve escolher, mas certifica-se que a referida administração dispõe de um processo que alinhe
objetivos estratégicos com a sua missão e que esses objetivos e os correlatos selecionados
estejam de acordo com o apetite a risco.
Marcelo Aragão
Componentes do Gerenciamento de Riscos Corporativos

No relatório do COSO sobre Controle Interno, eram cinco componentes, lembram?
A estrutura integrada de gerenciamento de riscos corporativos é constituída de oito com-
ponentes inter-relacionados, pelos quais a administração gerencia a organização, e estão inte-
grados com o processo de gestão.
De acordo com o Sumário Executivo do COSO II, esses componentes são:
• Ambiente Interno: o ambiente interno compreende o tom de uma organização e fornece
a base pela qual os riscos são identificados e abordados pelo seu pessoal, inclusive a
filosofia de gerenciamento de riscos, o apetite a risco, a integridade e os valores éticos,
além do ambiente em que estes estão;
• Fixação de Objetivos: os objetivos devem existir antes que a administração possa iden-
tificar os eventos em potencial que poderão afetar a sua realização. O gerenciamento
de riscos corporativos assegura que a administração disponha de um processo imple-
mentado para estabelecer os objetivos que propiciem suporte e estejam alinhados com
a missão da organização e sejam compatíveis com o seu apetite a riscos;
• Identificação de Eventos: os eventos internos e externos que influenciam o cumprimen-
to dos objetivos de uma organização devem ser identificados e classificados entre ris-
cos e oportunidades. Essas oportunidades são canalizadas para os processos de esta-
belecimento de estratégias da administração ou de seus objetivos;
• Avaliação de Riscos: os riscos são analisados, considerando-se a sua probabilidade e o
impacto como base para determinar o modo pelo qual deverão ser administrados. Esses
riscos são avaliados quanto à sua condição de inerentes e residuais;
• Resposta a Risco: a administração escolhe as respostas aos riscos - evitando, aceitan-
do, reduzindo ou compartilhando – desenvolvendo uma série de medidas para alinhar os
riscos com a tolerância e com o apetite a risco;
• Atividades de Controle: políticas e procedimentos são estabelecidos e implementados
para assegurar que as respostas aos riscos sejam executadas com eficácia;
• Informações e Comunicações: as informações relevantes são identificadas, colhidas e
comunicadas de forma e no prazo que permitam que cumpram suas responsabilidades.
A comunicação eficaz também ocorre em um sentido mais amplo, fluindo em todos
níveis da organização;
• Monitoramento: a integridade da gestão de riscos corporativos é monitorada e são fei-
tas as modificações necessárias. O monitoramento é realizado através de atividades
gerenciais contínuas ou avaliações independentes ou de ambas as formas.
Marcelo Aragão
COMPONENTES COSO I COMPONENTES COSO II

CONTROLE INTERNO GERENCIAMENTO DE RISCOS
Ambiente de controle Ambiente interno
Avaliação de riscos Fixação de objetivos
Atividades de controle Identificação de eventos
Informação e comunicação Avaliação de riscos

Monitoramento Resposta ao risco
Atividades de controle
Informação e comunicação
Monitoramento
Vamos estudar mais um pouco a respeito de cada um dos oito componentes da estrutura
de gerenciamento de riscos.
1) Ambiente Interno
O ambiente interno é moldado pela história e cultura da organização e, por sua vez, molda,
de maneira explícita ou não, a cultura de riscos da organização e a forma como eles são enca-
rados e gerenciados (tom da organização), influenciando a consciência de controle das pes-
soas. É a base para todos os outros componentes do sistema, provendo disciplina e estrutura.
Os fatores que compõem o ambiente interno incluem integridade, valores éticos e compe-
tência das pessoas, maneira pela qual a gestão delega autoridade e responsabilidades, estru-
tura de governança e organizacional, o “perfil dos superiores” (ou seja, a filosofia da direção e
o estilo gerencial), as políticas e práticas de recursos humanos etc.
O conselho de administração é parte crítica do ambiente interno e influencia muito os de-
mais elementos de ambiente interno.
Organizações com ambientes de controle efetivos fixam um tom (“tom do topo”) positivo,
contratam e mantém pessoas competentes, formalizam e comunicam políticas e procedimen-
tos de modo claro, adotam integridade e consciência de controle, resultando em valores com-
partilhados e trabalho em equipe para efetivação de objetivos.
2) Fixação de Objetivos
Os objetivos são fixados no âmbito estratégico, operacionais, de comunicação e de cum-

primento de normas. Toda organização enfrenta uma variedade de riscos oriundos de fontes
externas e internas, sendo a fixação de objetivos um pré-requisito à identificação eficaz de
eventos, a avaliação de riscos e resposta a risco. Os objetivos são alinhados com o apetite a
risco, o qual direciona os níveis de tolerância a riscos para a organização.
Marcelo Aragão
Portanto, a fixação de objetivos é uma precondição à identificação de evento, à avaliação

de riscos e às respostas aos riscos. Em primeiro lugar, é necessário que os objetivos existam
para que a administração possa identificar e avaliar os riscos quanto a sua realização, bem
como adotar as medidas necessárias para administrá-los.
3) Identificação de Eventos
A administração identifica os eventos em potencial que, se ocorrerem, afetarão a organiza-

ção e determina se estes representam oportunidades ou se podem ter algum efeito adverso na
sua capacidade de implementar adequadamente a estratégia e alcançar os objetivos.
Eventos de impacto negativo representam riscos que exigem avaliação e resposta da ad-
ministração. Os eventos de impacto positivo representam oportunidades que são canalizadas
de volta aos processos de fixação das estratégias e dos objetivos.
Ao identificar eventos, a administração considera uma variedade de fatores internos e ex-
ternos que podem dar origem a riscos e a oportunidades no contexto de toda a organização.
São exemplos de fatores externos:
• Econômicos: os eventos relacionados contemplam: oscilações de preços, disponibili-
dade de capital, ou redução nas barreiras à entrada da concorrência, cujo resultado se
traduz em um custo de capital mais elevado ou mais reduzido, e em novos concorrentes;
• Meio ambiente: refere-se aos seguintes eventos: incêndios, inundações ou terremotos,
que provocam danos a fábricas ou edificações, restrição quanto ao uso de matérias-pri-
mas e perda de capital humano;
• Políticos: eleição de agentes do governo com novas agendas políticas e novas leis e re-
gulamentos, resultando, por exemplo, na abertura ou na restrição ao acesso a mercados
estrangeiros, ou elevação ou redução na carga tributária;
• Sociais: são alterações nas condições demográficas, nos costumes sociais, nas estru-
turas da família, nas prioridades de trabalho/vida e a atividade terrorista, que, por sua
vez, podem provocar mudanças na demanda de produtos e serviços, novos locais de
compra, demandas relacionadas a recursos humanos e paralisações da produção;
• Tecnológicos: são novas formas de comércio eletrônico, que podem provocar aumento
na disponibilidade de dados, reduções de custos de infraestrutura e aumento da deman-
da de serviços com base em tecnologia.
Os eventos também se originam das escolhas que a administração faz em relação ao seu
funcionamento. A capacidade e habilidade de gestão da organização refletem suas escolhas
passadas, influenciam eventos futuros e afetam as decisões gerenciais. Os fatores internos e
os exemplos de eventos correlatos e de suas implicações incluem o seguinte:
Marcelo Aragão
• Infraestrutura: aumento da alocação de capital em manutenção preventiva e suporte ao

call center, reduzindo o tempo de paralisação de equipamentos e aumentando a satisfa-
ção do cliente;
• Pessoal: acidentes de trabalho, atividades fraudulentas e expiração de acordos de tra-
balho, causando redução de pessoal disponível, danos pessoais, monetários ou à repu-
tação da organização e paralisações da produção;
• Processo: modificações de processos sem alteração adequada nos protocolos admi-
nistrativos, erros de execução de processo e terceirização da entrega a clientes sem
uma supervisão adequada, implicando perda de participação de mercado, ineficiência,
insatisfação do cliente e diminuição da fidelidade deste;
• Tecnologia: aumento de recursos para fazer face à variabilidade de volume, violações da
segurança e paralisação, em potencial, de sistemas, provocando redução da carteira de
pedidos, transações fraudulentas e incapacidade de se manter as operações.
Segundo Vania Maria da Costa Borgerth, quanto à identificação de eventos, que a autora
chama de problemas, os sistemas precisam ter a capacidade de sinalizar sempre algum fato
fora do padrão esperado que venha a ocorrer.
Um evento é um incidente ou uma ocorrência gerada com base em fontes internas ou
externas, que afeta a realização dos objetivos. Os eventos podem causar impacto negativo,
positivo ou ambos. Os eventos que geram impacto negativo representam riscos. Da mesma
forma, o risco é definido como segue.
Risco é a possibilidade de que um evento ocorra e afete negativamente a realização dos
objetivos.
Os eventos cujo impacto é positivo podem contrabalançar os impactos negativos ou repre-
sentar oportunidades. A oportunidade é definida da seguinte forma...
Oportunidade é a possibilidade de que um evento ocorra e influencie favoravelmente a
realização dos objetivos.
As oportunidades favorecem a criação ou a preservação de valor. A direção da organização
canaliza as oportunidades para seus processos de fixação de estratégias ou objetivos, formu-
lando planos que visam ao seu aproveitamento.
Os eventos que causam impacto desfavorável são obstáculos à criação de valor ou des-
gastam o valor existente. Os exemplos incluem paradas no maquinário da fábrica, incêndio e
perdas de créditos.
Os eventos de impacto negativo podem originar-se a partir de condições aparentemente
positivas, como nos casos em que a demanda de produto pelo consumidor é superior à capa-
cidade de produção, o que provoca o não atendimento da demanda, o desgaste na fidelidade
do cliente e o declínio de pedidos futuros.
Marcelo Aragão
4) Avaliação de Riscos
A avaliação de riscos permite que uma organização considere até que ponto eventos em
potencial podem impactar a realização dos objetivos. A administração avalia os eventos com
base em duas perspectivas – probabilidade e impacto – e, geralmente, utiliza uma combina-
ção de métodos qualitativos e quantitativos.
Os impactos positivos e negativos dos eventos em potencial devem ser analisados isola-
damente ou por categoria em toda a organização. Os riscos são avaliados com base em suas
características inerentes e residuais.
Contexto para a Avaliação de Riscos
Fatores externos e internos influenciam os eventos que poderão ocorrer, e até que ponto
os referidos eventos podem afetar os objetivos de uma organização. Embora alguns fatores
sejam comuns às organizações, via de regra, os eventos resultantes são singulares em rela-
ção a uma determinada organização tendo em vista seus objetivos estabelecidos e decisões
anteriores.
Ao avaliar riscos, a administração considera o composto dos futuros eventos em potencial
pertinentes à organização e às suas atividades no contexto das questões que dão forma ao
perfil de riscos, como tamanho da organização, complexidade das operações e grau de regula-
mentação de suas atividades.
Ao avaliar riscos, a administração leva em consideração eventos previstos e imprevistos.
Muitos eventos são rotineiros e recorrentes e já foram abordados nos programas de gestão e
orçamentos operacionais, enquanto outros são imprevistos. A administração avalia os riscos
em potencial de eventos imprevistos e, caso ainda não tenha feito essa avaliação, até os pre-
vistos que podem causar um impacto significativo na organização.
Embora o termo “avaliação de riscos” tenha sido usado em conexão com uma atividade
realizada, uma única vez, no contexto de “avaliação de riscos corporativos”, o componente de
“avaliação de riscos” é uma interação contínua e repetida das ações que ocorrem em toda a
organização.
Risco Inerente e Residual
A administração leva em conta tanto o risco inerente quanto o residual:

• Risco inerente é o risco que uma organização terá de enfrentar na falta de medidas que
a administração possa adotar para alterar a probabilidade ou o impacto dos eventos;
• Risco residual é aquele que ainda permanece após a resposta da administração. A ava-
liação de riscos é aplicada primeiramente aos riscos inerentes.
Após o desenvolvimento das respostas aos riscos, a administração passará a considerar

os riscos residuais.
Marcelo Aragão
Estimativa da Probabilidade e do Impacto
A incerteza de eventos em potencial é avaliada a partir de duas perspectivas – probabi-

lidade e impacto. A probabilidade representa a possibilidade de que um determinado evento
ocorrerá, enquanto o impacto representa o seu efeito.
A determinação do grau de atenção depende da avaliação de uma série de riscos que uma
organização enfrenta. A administração reconhece que um risco com reduzida probabilidade
de ocorrência e baixo potencial de impacto, geralmente, não requer maiores considerações.
Por outro lado, um risco com elevada probabilidade de ocorrência e um potencial de impacto
significativo demanda atenção considerável.
Figura 2: Avaliação de Riscos
O horizonte de tempo empregado para avaliar riscos deverá ser consistente com o tempo
das estratégias e objetivos relacionados a esses riscos. Em razão das estratégias e objetivos
de muitas organizações considerarem horizontes de tempo de curta a média duração, a ad-
ministração naturalmente concentra-se nos riscos associados com esses períodos de tempo.
Contudo, alguns aspectos do direcionamento estratégico e dos objetivos estendem-se a prazo
mais longo.
Consequentemente, a administração precisa levar em conta os cenários de prazos mais
longos para não ignorar riscos que possam estar mais adiante.
5) Resposta a Risco
Após ter conduzido uma avaliação dos riscos pertinentes, a administração determina como
responderá aos riscos. As respostas incluem evitar, reduzir, compartilhar ou aceitar os riscos.
Ao considerar a própria resposta, a administração avalia o efeito sobre a probabilidade de ocor-
rência e o impacto do risco, assim como os custos e benefícios, selecionando, dessa forma,
Marcelo Aragão
uma resposta que mantenha os riscos residuais dentro das tolerâncias a risco desejadas. A
administração identifica as oportunidades que possam existir e obtêm, assim, uma visão dos
riscos em toda organização ou de portfólio, determinando se os riscos residuais gerais são
compatíveis com o apetite a riscos da organização.
As respostas a riscos classificam-se nas seguintes categorias:
• Evitar: descontinuação das atividades que geram os riscos. Evitar riscos pode implicar a
descontinuação de uma linha de produtos, o declínio da expansão em um novo mercado
geográfico ou a venda de uma divisão;
• Reduzir: são adotadas medidas para reduzir a probabilidade ou o impacto dos riscos,
ou, até mesmo, ambos. Tipicamente, esse procedimento abrange qualquer uma das cen-
tenas de decisões do negócio no dia a dia;
• Compartilhar: redução da probabilidade ou do impacto dos riscos pela transferência ou
pelo compartilhamento de uma porção do risco. As técnicas comuns compreendem a
aquisição de produtos de seguro, a realização de transações de headging ou a terceiri-
zação de uma atividade;
• Aceitar: nenhuma medida é adotada para afetar a probabilidade ou o grau de impacto
dos riscos, já que se encontram compatíveis com o apetite a risco da organização.
• Evitar: sugere que nenhuma opção de resposta tenha sido identificada para reduzir o
impacto e a probabilidade a um nível aceitável;
• Reduzir ou Compartilhar reduzem o risco residual a um nível compatível com as tolerân-
cias desejadas ao risco, enquanto aceitar indica que o risco inerente já esteja dentro das
tolerâncias ao risco.
Segundo Borgerth, as empresas, uma vez conhecidos os riscos e probabilidades a que es-
tão sujeitas, devem elaborar planos de contingência que venham a mitigar a perda na ocorrên-
cia de um sinistro. Esse plano de contingência pode se referir a riscos que devem ser evitados,
mantidos, reduzidos ou transferidos, de acordo com a avaliação de impacto x probabilidade.
Quando ... Estratégia de resposta:
Os custos de melhorias internas são mais altos TRANSFERIR PARTE DO RISCO

do que a perda esperada (PROBABILIDADE BAIXA,
MAS IMPACTO ALTO)
As perdas esperadas são menores do que o custo MANTER / CONTROLAR

a mitigar (PROBABILIDADE E IMPACTO BAIXOS)
Marcelo Aragão
As perdas esperadas excedem o custo do negócio EVITAR / SAIR

(PROBABILIDADE E IMPACTO ALTOS)
As perdas esperadas podem ser reduzidas com MITIGAR

melhoria nos processos (PROBABILIDADE ALTA,
MAS IMPACTO BAIXO)
6) Atividades de Controle
Políticas e procedimentos são estabelecidos e implementados para assegurar que as res-

postas aos riscos sejam executadas com eficácia.
Existe uma variedade de descrições distintas quanto aos tipos de atividades de controle,
inclusive as preventivas, as detectivas, as manuais, as computadorizadas e as de controles
administrativos. Essas atividades também podem ser classificadas com base nos objetivos
de controle especificados, como o de assegurar a integridade e a precisão do processamen-
to de dados.
De modo geral, as atividades de controle incluem dois elementos: uma política que esta-
belece aquilo que deverá ser feito e os procedimentos para fazê-la ser cumprida. Por exemplo,
uma política poderá requerer a revisão das atividades de negociação do cliente pelo gerente de
varejo da filial com a corretora. O procedimento é a própria revisão, realizada oportunamente
e com especial atenção para os fatores estabelecidos na política, como a natureza e o volu-
me dos títulos transacionados e o volume destes em relação ao patrimônio líquido e à idade
do cliente.
Muitas vezes, as políticas são comunicadas verbalmente. As que não são escritas podem
ser eficazes quando existem há muito tempo e são adequadamente entendidas, e nas peque-
nas organizações em que os canais de comunicação envolvem poucas camadas gerenciais e
existe uma estreita interação e supervisão dos empregados. No entanto, independentemente
do fato de estar escrita ou não, uma política deve ser implementada com atenção, de forma
conscienciosa e consistente.
As atividades de controle incluem:
• Procedimentos de autorização e aprovação: a autorização e a execução de transações
e eventos devem ser realizadas somente por pessoas que detenham essa autoridade.
A autorização é o principal meio para assegurar que apenas as transações e eventos
que a administração tem a intenção de realizar sejam iniciados. Os procedimentos de
autorização, que devem ser documentados e claramente comunicados aos gerentes e
funcionários, devem incluir as condições especiais e os termos, segundo os quais eles
devem ser realizados;
Marcelo Aragão
• Revisões da Alta Direção: a alta direção compara o desempenho atual em relação ao

orçado, às previsões, aos períodos anteriores e aos de concorrentes. As principais ini-
ciativas são acompanhadas, como campanhas de marketing, processos de melhoria de
produção e programas de contenção ou de redução de custo, para medir até que ponto
as metas estão sendo alcançadas. A implementação de planos é monitorada no caso de
desenvolvimento de novos produtos, join ventures ou novos financiamentos;
• Administração Funcional Direta ou de Atividade: gerentes, no exercício de suas fun-
ções ou atividades examinam relatórios de desempenho. Um gerente responsável pelos
empréstimos bancários a consumidores revisa os relatórios por filial, região e tipo de
empréstimo (com caução), verificando resumos e identificando tendências e associan-
do os resultados a estatísticas econômicas e metas. Por sua vez, os gerentes de filiais
também se concentram em questões de cumprimento de políticas, revisando relatórios
exigidos por órgãos reguladores a respeito de novos depósitos acima de um determi-
nado valor. São realizadas reconciliações dos fluxos de caixa diários, com as posições
líquidas relatadas centralmente para transferências e investimentos;
• Processamento da Informação: uma variedade de controles é realizada para verificar
a precisão, a integridade e a autorização das transações. Os dados inseridos ficam su-
jeitos a verificações de edição on-line ou à combinação com arquivos aprovados de
controle. Um pedido de cliente, por exemplo, somente poderá ser aceito após fazer refe-
rência a um arquivo de cliente e ao limite de crédito aprovado. As sequências numéricas
das transações são levadas em conta, sendo as exceções acompanhadas e relatadas
aos supervisores. O desenvolvimento de novos sistemas e as mudanças nos já existen-
tes são controlados da mesma forma que o acesso a dados, arquivos e programas;
• Controles Físicos: os equipamentos, estoques, títulos, dinheiro e outros bens são prote-
gidos fisicamente, contados periodicamente e comparados com os valores apresenta-
dos nos registros de controle;
• Indicadores de Desempenho: relacionar diferentes conjuntos de dados, sejam eles ope-
racionais sejam financeiros, em conjunto com a realização de análises dos relaciona-
mentos e das medidas de investigação e correção, funciona como uma atividade de
controle. Os indicadores de desempenho incluem, por exemplo, índices de rotação de
pessoal por unidade. Ao investigar resultados inesperados ou tendências incomuns, a
administração poderá identificar circunstâncias nas quais a falta de capacidade para
concluir processos fundamentais pode significar menor probabilidade de os objetivos
serem alcançados. A forma como a administração utiliza essas informações – somente
no caso de decisões operacionais ou, também, no caso do acompanhamento de resul-
tados imprevistos nos sistemas de comunicações – determinará se a análise dos indi-
cadores de desempenho por si só atenderá às finalidades operacionais, bem como às
finalidades de controle da comunicação;
Marcelo Aragão
• Segregação de funções (autorização, execução, registro, controle): as obrigações são

atribuídas ou divididas entre pessoas diferentes com a finalidade de reduzir o risco de
erro ou de fraude. Contudo, existem mecanismos de controle que possuem tanto função
de prevenção quanto de detecção, tais como: segurança física e sistemas/controles
informatizados;
• Controles dos Sistemas de Informações: a dependência cada vez maior em relação a
sistemas de informações para auxiliar a operação de uma organização e para atender
aos objetivos de comunicação e ao cumprimento de políticas traz a necessidade de
controle dos sistemas mais significativos. Dois grupos amplos de atividades de controle
dos sistemas de informação podem ser utilizados. O primeiro diz respeito aos controles
gerais, que se aplicam a praticamente todos os sistemas e contribuem para assegurar
uma operação adequada e contínua. O segundo grupo é o dos controles de aplicativos,
que incluem etapas para avaliar o processo por meio de códigos de programação dentro
do software. Os controles gerais e os de aplicativos, em conjunto com os processos de
controle manual, quando necessários, asseguram a integridade, a precisão e a validade
das informações.
7) Informações e Comunicações
As informações relevantes são identificadas, colhidas e comunicadas de forma e no prazo

que permitam que cumpram suas responsabilidades. A comunicação eficaz também ocorre
em um sentido mais amplo, fluindo em todos níveis da organização. Abrange tanto a comuni-
cação interna quanto a externa.
8) Monitoramento
A integridade da gestão de riscos corporativos é monitorada e são feitas as modificações

necessárias.
Segundo Borgerth, um bom sistema de controle interno (ou de gestão de riscos) jamais
chega ao nível acabado, ele precisa passar por constantes testes e aprimoramentos, à medida
que novos cenários se tornam conhecidos ou que fragilidades são identificadas.
O monitoramento é realizado através de atividades gerenciais contínuas ou avaliações in-
dependentes ou de ambas as formas.
Geralmente, os mecanismos de administração de riscos corporativos são estruturados
para fazer o próprio monitoramento de forma contínua, no mínimo até um certo ponto. Quanto
maior o alcance e a eficácia do monitoramento contínuo, menor a necessidade de avaliações
independentes.
Fica a critério da administração definir a frequência necessária de avaliações independen-
tes, de forma a ter garantia razoável da eficácia do gerenciamento de riscos corporativos. Ao
Marcelo Aragão
fazer essa determinação, a administração leva em conta a natureza e a extensão das mudan-
ças que estão ocorrendo, os riscos associados, a competência e a experiência do pessoal que
implementa as respostas a risco e os controles pertinentes, além dos resultados do monitora-
mento contínuo.
Via de regra, uma combinação de monitoramento contínuo e avaliações independentes
será capaz de assegurar que o gerenciamento de riscos corporativos mantenha a sua eficácia
com o passar do tempo.
A rigor, o gerenciamento de riscos corporativos não é um processo em série pelo qual um com-
ponente afeta apenas o próximo. É um processo multidirecional e interativo segundo o qual
quase todos os componentes influenciam os outros.
Relacionamento entre Objetivos e Componentes

Assim como previsto no COSO I, existe um relacionamento direto entre os objetivos, que
uma organização se empenha em alcançar, e os componentes do gerenciamento de riscos
corporativos, que representam aquilo que é necessário para o seu alcance.
Esse relacionamento é apresentado em uma matriz tridimensional em forma de cubo, con-
forme demonstrado a seguir:
Figura 3: O Cubo do COSO II
• As quatro categorias de objetivos (estratégicos, operacionais, de comunicação e confor-

midade) estão representadas nas colunas verticais;
• Os oito componentes nas linhas horizontais;
• As unidades de uma organização na terceira dimensão do cubo.
Marcelo Aragão
Essa representação ilustra a capacidade de manter o enfoque na totalidade do gerencia-

mento de riscos de uma organização, ou na categoria de objetivos, componentes, unidade da
organização ou qualquer um dos subconjuntos.
A linha de cada componente “atravessa” e se aplica a todas as quatro categorias de obje-
tivos. Por exemplo, os dados financeiros e não financeiros gerados a partir de fontes internas
e externas, pertencentes ao componente de informação e comunicação, são necessários para
estabelecer a estratégia, administrar as operações comerciais com eficácia, comunicar com
eficácia e certificar-se de que a organização esteja cumprindo as leis aplicáveis.
Da mesma forma, se observarmos as categorias de objetivos, todos os oito componentes
são relevantes entre si. Se tomarmos a categoria eficácia e eficiência das operações, por exem-
plo, todos os oito componentes inter-relacionam-se e são importantes para sua realização.
O gerenciamento de riscos corporativos é relevante a toda a organização ou a qualquer
uma de suas unidades. Esse relacionamento é ilustrado pela terceira dimensão, que representa
subsidiárias, divisões e outras unidades de negócios. Consequentemente, é possível concen-
trar-se em qualquer uma das células dessa matriz. Por exemplo, poderíamos considerar que a
célula superior posterior direita represente o ambiente interno, visto estar relacionada com os
objetivos de compliance de uma dada subsidiária.
Deve-se reconhecer que as quatro colunas representam categorias de objetivos de uma
organização e não partes das unidades desta. Consequentemente, ao considerarmos a cate-
goria de objetivos relacionados à comunicação, por exemplo, será necessário conhecer uma
ampla gama de informações referentes às operações da organização.
Abrangência do Controle Interno

Como já havíamos alertado a vocês, o controle interno é parte integrante do gerenciamento
de riscos corporativos. A estrutura do gerenciamento de riscos corporativos abrange o controle
interno, originando dessa forma uma conceituação e uma ferramenta de gestão mais eficiente.
Os cinco componentes da estrutura de controles internos (COSO I) estão compreendidos
dentre os oito componentes da estrutura de gerenciamento de riscos.
Eficácia do Gerenciamento de Riscos

Na mesma linha do COSO I, a determinação do grau de eficácia do gerenciamento de riscos
corporativos de uma organização corresponde ao julgamento decorrente da avaliação da pre-
sença e da eficácia do funcionamento dos oito componentes. Desse modo, os componentes
também são critérios para o gerenciamento eficaz de riscos corporativos. Para que os com-
ponentes possam estar presentes e funcionar adequadamente, não poderá haver fraquezas
significantes, e os riscos necessitam ser enquadrados no apetite a risco da organização.
Marcelo Aragão
Quando se constata que o gerenciamento de riscos corporativos é eficaz em cada uma

das quatro categorias de objetivos, isso significa que o conselho de administração e a diretoria
executiva terão garantia razoável de que entenderam até que ponto, os objetivos estratégicos
e operacionais não estão realmente sendo alcançados, o sistema de comunicação da empresa
é confiável, e todas as leis e regulamentos cabíveis estão sendo observados.
Obs.: os oito componentes não funcionarão de forma idêntica em todas as organizações. A

sua aplicação em organizações de pequeno e médio portes, por exemplo, poderá ser
menos formal e menos estruturada.
Não obstante, as pequenas organizações podem apresentar um gerenciamento de
riscos eficaz, desde que cada um de seus componentes esteja presente e funcionan-
do adequadamente.
Portanto, segundo o COSO, a forma de implementar os componentes varia de acordo com

o tamanho da organização, mas todos os componentes devem ser mantidos por uma organi-
zação, independente do seu porte. Por exemplo, entidades pequenas não dispõem de auditoria
interna para monitorar os controles internos e a o gerenciamento de riscos, mas o dono ou o
administrador tem que monitorar. Portanto, a forma de implementar o componente “monito-
ramento” pode variar, mas o monitoramento tem que ser realizado, para que a estrutura seja
considerada eficaz.
Limitações
Também aqui segue a linha do COSO I quanto a limitações de controles. A despeito de ofe-
recer importantes benefícios, o gerenciamento de riscos corporativos está sujeito a limitações.
Além dos fatores discutidos anteriormente, as limitações originam-se do fato de que o
julgamento humano, no processo decisório, pode ser falho, as decisões de respostas a risco e
o estabelecimento dos controles necessitam levar em conta os custos e benefícios relativos.
Essas limitações impedem que o conselho de administração e a diretoria executiva tenham
absoluta garantia da realização dos objetivos da organização.
Funções e Responsabilidades
Cada um dos empregados de uma organização tem uma parcela de responsabilidade no

gerenciamento de riscos corporativos:
• O presidente-executivo é o principal responsável e deve assumir a responsabilidade da
iniciativa;
• Cabe aos outros diretores executivos apoiar a filosofia de administração de riscos da or-
ganização, incentivar a observação de seu apetite a risco e administrar os riscos dentro
de suas esferas de responsabilidade, conforme as tolerâncias a risco;
Marcelo Aragão
• Via de regra, cabe ao diretor de riscos, diretor financeiro, auditor interno e outros, respon-
sabilidades fundamentais de suporte;
• Os outros membros da organização são responsáveis pela execução do gerenciamento
de riscos em cumprimento das diretrizes e dos protocolos estabelecidos;
• O conselho de administração executa importante atividade de supervisão do gerencia-
mento de riscos da organização, estando ciente e de acordo com o grau de apetite a
risco da organização.
Diversas partes externas, como clientes, revendedores, parceiros comerciais, auditores

externos, agentes normativos e analistas financeiros frequentemente fornecem informações
úteis para a condução do gerenciamento de riscos, porém não são responsáveis pela sua efi-
cácia e nem fazem parte do gerenciamento de riscos da organização.
Técnicas de Avaliação
As avaliações independentes, com o enfoque voltado diretamente à eficácia do gerencia-
mento de riscos corporativos, constituem importante instrumento para melhoria do processo
de gestão de riscos.
Escopo e Frequência
Segundo o COSO, as avaliações do gerenciamento de riscos corporativos podem variar em

termos de escopo e frequência, dependendo da significância dos riscos e da importância das
respostas a risco e dos respectivos controles para a administração dos riscos.
As áreas de riscos e as respostas a risco de alta prioridade tendem a ser avaliadas com
mais frequência. A avaliação da totalidade do gerenciamento de riscos corporativos – que, ge-
ralmente, necessita ser realizada com menor frequência do que a avaliação de partes específi-
cas – pode ser ocasionada por diversos motivos: mudança importante na estratégia ou na ad-
ministração, aquisições ou distribuições de recursos, mudanças nas condições econômicas ou
políticas ou, ainda, mudanças nas operações ou métodos de processamento de informações.
Ao se tomar a decisão de empreender uma avaliação detalhada do gerenciamento de ris-
cos de uma organização, deve-se dedicar atenção especial à abordagem de sua aplicação
na definição da estratégia e em relação a atividades significativas. O alcance da avaliação
também dependerá das categorias de objetivos – estratégicos, operacionais, comunicação e
conformidade – que devem ser abordadas.
Quem Conduz a Avaliação
Frequentemente, as avaliações têm a forma de autoavaliação nas quais as pessoas res-

ponsáveis por uma determinada unidade ou função determinam a eficácia do gerenciamento
Marcelo Aragão
de riscos corporativos em relação às suas atividades. Por exemplo, o executivo principal de

uma divisão dirige a avaliação de suas atividades de administração de riscos corporativos.
Os auditores internos geralmente avaliam como parte de seus deveres normais, ou me-
diante solicitação específica do conselho de administração, comitê de auditoria, diretoria ou
executivos de subsidiárias ou divisões.
Do mesmo modo, a administração poderá utilizar informações dos auditores externos ao
considerar a eficácia do gerenciamento de riscos corporativos. Pode-se utilizar uma combi-
nação de esforços na realização de procedimentos de avaliação que a administração julgue
necessários.
Processo de Avaliação
A avaliação da administração de riscos corporativos é um processo. Embora as aborda-

gens ou as técnicas possam variar, o processo deverá conter uma disciplina com determina-
dos conceitos básicos.
O avaliador deverá entender cada uma das atividades da organização e cada um dos com-
ponentes do gerenciamento de riscos corporativos que está sendo abordado. Pode ser útil
concentrar-se primeiramente no funcionamento expresso do gerenciamento de riscos corpo-
rativos – às vezes chamada de desenho de sistema ou processo.
O avaliador deve determinar o modo em que o sistema funciona. Os procedimentos desti-
nados a operar de uma certa forma podem ser modificados com o tempo para operar de modo
diferente ou podem não ser mais executados. Às vezes, novos procedimentos são estabele-
cidos, mas não são conhecidos por aqueles que descreveram o processo e não estão inclu-
ídos na documentação existente. A determinação do funcionamento real pode ser realizada
mediante discussões com o pessoal que executa, ou é afetado pelo gerenciamento de riscos
corporativos, mediante exame de registros sobre desempenho ou, ainda, uma combinação de
procedimentos.
O avaliador analisa o traçado do processo de administração de riscos corporativos e os
resultados dos testes realizados. A análise é realizada novamente em comparação a padrões
estabelecidos pela administração para cada um dos componentes, com a meta final de deter-
minar se o processo oferece uma garantia razoável em relação aos objetivos enunciados.
Metodologia
Existe uma variedade de metodologias e ferramentas, inclusive listas de verificação, ques-

tionários e técnicas de fluxogramas.
Como parte de sua metodologia de avaliação, algumas organizações comparam ou desen-
volvem um processo de comparação de indicadores de desempenho para o seu processo de
administração de riscos corporativos em relação aos de outras organizações. Uma Companhia
poderá, por exemplo, comparar o seu gerenciamento de riscos corporativos em relação às
Companhias que desfrutam de renome nessa área.
Marcelo Aragão
As comparações podem ser feitas diretamente ou sob os auspícios de associações de

classe ou da indústria. Outras organizações podem fornecer informações comparativas, e as
funções equivalentes de revisão permitindo que algumas indústrias avaliem o seu gerencia-
mento de riscos corporativos diante de seus pares.
Porém, certa cautela é necessária ao estabelecer comparações, devendo ser consideradas
diferenças existentes nos objetivos, nos fatos e nas circunstâncias. Além disso, todos os oito
componentes do gerenciamento de riscos corporativos devem ser considerados, bem como as
limitações inerentes a cada organização.
COSO ERM 2017

Em 2017, o COSO publicou a revisão do modelo de Gerenciamento de Risco de 2004, inti-
tulado Enterprise Risk Management - Alinhando Risco com Estratégia e Resultado (ERM 2017),
que aborda diferentes pontos de vista da estrutura organizacional e contemplam meios de
alinhamento da gestão de riscos com a estratégia e tomada de decisões.
Dessa forma, o comitê destaca a importância do gerenciamento de riscos tanto na defi-
nição quanto na execução da estratégia e no gerenciamento do desempenho organizacional.
Com a incorporação dessa perspectiva, o modelo proporciona maior alinhamento às ex-
pectativas em torno das responsabilidades da governança e da alta administração no cumpri-
mento das suas obrigações de accountability.
A revisão atualiza os componentes, adota princípios, simplifica definições, enfatiza o papel
da cultura e melhora o foco no valor: como as organizações criam, preservam e entregam valor,
inserindo o gerenciamento de riscos em três dimensões fundamentais para a gestão eficaz de
uma organização:
• a missão, a visão e os valores fundamentais;
• os objetivos estratégicos e de negócios; e
• o desempenho organizacional.
Fonte: Roteiro
O conteúdo deste livro eletrônico é licenciado para DIONEIA DA CONCEICAO de Gestão
DA SILVA de Riscos vedada,
- 02468894111, – Avaliação da Maturidade
por quaisquer meios e–a TCU, 2018
qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil eFigura 4: COSO GRC 2017
criminal.
Marcelo Aragão
Com a revisão, o modelo passa a integrar o gerenciamento de riscos com outros processos
organizacionais, sobretudo os processos de governança, de definição da estratégia, de defini-
ção dos objetivos e de gestão do desempenho, indo além da tradicional aplicação do gerencia-
mento de riscos aos vários níveis da organização (por exemplo, no nível da entidade, de unida-
des de negócios, divisões etc.). A versão final, publicada em junho de 2017, recebeu o nome
oficial de Gerenciamento de Riscos Corporativos - Integrado com Estratégia e Desempenho.
Conforme esclarece o TCU, em seu roteiro de Gestão de Riscos, o novo modelo explora
o papel do risco na seleção da estratégia, enfatizando dois aspectos principais que podem
ter um grande efeito no valor da organização: a possibilidade da estratégia não se alinhar e
as implicações das escolhas estratégicas. Isso torna ainda mais claras as responsabilidades
da governança e da alta administração no seu papel de supervisionar e no seu dever de se
envolver no processo de gerenciamento do risco corporativo de modo efetivo. Os aspectos
enfatizados são:
• a possibilidade da estratégia – e, assim, os objetivos estratégicos e de negócios – não
se alinhar com a missão, a visão e os valores fundamentais da organização; e
• as implicações da estratégica escolhida.
O novo modelo também melhora a integração da gestão de riscos com a gestão do de-
sempenho, explorando como as práticas de gerenciamento de riscos apoiam a identificação
e avaliação de riscos que impactam a implementação da estratégia e o alcance dos objetivos
de negócios.
Componentes do Novo Framework
O modelo revisado reduz os componentes do gerenciamento de riscos de oito para cinco

componentes inter-relacionados:
• 1. Governance and Culture (Governança e cultura): a governança dá o tom da organi-
zação, reforçando a importância e instituindo responsabilidades de supervisão sobre o
gerenciamento de riscos corporativos. A cultura diz respeito a valores éticos, a compor-
tamentos esperados e ao entendimento do risco em toda a entidade;
• 2. Strategy and Objective-Setting (Estratégia e definição de objetivos): gerenciamento
de riscos corporativos, estratégia e definição de objetivos atuam juntos no processo de
planejamento estratégico. O apetite a risco é estabelecido e alinhado com a estratégia;
os objetivos de negócios colocam a estratégia em prática e, ao mesmo tempo, servem
como base para identificar, avaliar e responder aos riscos;
• 3. Performance (Desempenho): os riscos que podem impactar a realização da estraté-
gia e dos objetivos de negócios precisam ser identificados e avaliados. Os riscos são
priorizados com base no grau de severidade, no contexto do apetite a risco. A organi-
zação determina as respostas aos riscos e, por fim, alcança uma visão consolidada do
portfólio e do montante total dos riscos assumidos. Os resultados desse processo são
comunicados aos principais stakeholders envolvidos com a supervisão dos riscos;
Marcelo Aragão
• 4. Review and Revision (Análise e revisão): ao analisar sua performance, a organização

tem a oportunidade de refletir sobre até que ponto os componentes do gerenciamento
de riscos corporativos estão funcionando bem ao longo do tempo e no contexto de mu-
danças relevantes, e quais correções são necessárias;
• 5. Information, Communication, and Reporting (Informação, comunicação e divulgação):
o gerenciamento de riscos corporativos demanda um processo contínuo de obtenção e
compartilhamento de informações precisas, provenientes de fontes internas e externas,
originadas das mais diversas camadas e processos de negócios da organização.
Os cinco componentes do novo Framework se combinam em um conjunto de princípios.

Esses princípios abrangem desde a governança até o monitoramento. Eles descrevem práticas
que podem ser aplicadas de diferentes formas nas organizações, independentemente do seu
tamanho, tipo ou setor econômico. A adoção dos princípios pode trazer ao conselho e à admi-
nistração a segurança de que a organização é capaz de gerenciar de modo aceitável os riscos
associados à estratégia e aos objetivos de negócios.
O COSO GRC 2004 continua sendo utilizado, porém a evolução das práticas, para convergir
ao novo modelo, é um esforço fortemente recomendável.
Bom, agora que você já conhece os estudos do COSO acerca de controle interno e geren-
ciamento de riscos, vamos às questões Cespe.
Preste bastante atenção quanto à definição, aos componentes da estrutura e às categorias
de objetivos. São os aspectos mais cobrados em prova!
Marcelo Aragão
RESUMO
Controle interno é um processo, conduzido pelo conselho de administração, diretoria e por
todo o pessoal da organização, projetado para fornecer segurança razoável quanto à realiza-
ção de objetivos nas seguintes categorias:
• operacionais (eficácia e eficiência das operações);
• de comunicação (confiabilidade das informações e relatórios);
• de conformidade (cumprimento de leis e regulamentações aplicáveis).
Componentes da estrutura de controle interno segundo o COSO:

• ambiente de controle;
• avaliação de riscos;
• atividades ou procedimentos de controle;
• informação e comunicação;
• atividades de monitoramento.
O gerenciamento de riscos corporativos é um processo conduzido em uma organização

pelo conselho de administração, diretoria e demais empregados, aplicado no estabelecimento
de estratégias, formuladas para identificar em toda a organização eventos em potencial, capa-
zes de afetá-la, e administrar os riscos de modo a mantê-los compatível com o apetite a risco
da organização e possibilitar garantia razoável do cumprimento dos seus objetivos.
Conceitos fundamentais do gerenciamento de riscos corporativos:
• um processo contínuo e que flui através da organização;
• conduzido pelos profissionais em todos os níveis da organização;
• aplicado à definição das estratégias;
• aplicado em toda a organização, em todos os níveis e unidades, e inclui a formação de
uma visão de portfólio de todos os riscos a que ela está exposta;
• formulado para identificar eventos em potencial, cuja ocorrência poderá afetar a organi-
zação e para administrar os riscos de acordo com seu apetite a risco;
• capaz de propiciar garantia razoável para o conselho de administração e a diretoria exe-
cutiva de uma organização;
• orientado para a realização de objetivos em uma ou mais categorias distintas.
Os objetivos no COSO ERM (quatro categorias):

• Estratégicos: referem-se às metas no nível mais elevado. Alinham-se e fornecem apoio
à missão;
• Operacionais: têm como meta a utilização eficaz e eficiente dos recursos;
• De comunicação: relacionam-se com a confiabilidade dos relatórios. Incluem relatórios
internos e externos e podem, ainda, conter informações financeiras e não financeiras;
Marcelo Aragão
• De conformidade: relacionam-se com o cumprimento de leis e regulamentos. Em alguns

casos dependem de fatores externos e tendem a ser semelhantes em todas as organi-
zações
Conceitos fundamentais que envolvem o gerenciamento de riscos:

• Evento: um incidente ou uma ocorrência de fontes internas ou externas à organização,
que podem impactar a realização de objetivos de modo negativo, positivo ou ambos;
• Risco: possibilidade de ocorrência de um evento que afete adversamente a realização
de objetivos;
• Oportunidade: possibilidade de ocorrência de um evento que afete positivamente a rea-
lização de objetivos;
• Risco inerente: nível de risco antes da consideração de qualquer ação de mitigação.
• Risco residual: nível de risco depois da consideração das ações adotadas pela gestão
(por exemplo, controles internos) para reduzir o risco inerente;
• Apetite a risco: expressão ampla de quanto risco uma organização está disposta a en-
frentar para implementar sua estratégia, atingir seus objetivos e agregar valor para as
partes interessadas, no cumprimento de sua missão.
• Tolerância a risco: nível de variação aceitável no desempenho em relação à meta para o
cumprimento de um objetivo específico, em nível tático ou operacional.
Marcelo Aragão
MAPAS MENTAIS
Marcelo Aragão
QUESTÕES DE CONCURSO
001. (CESPE/CGE-PB/2008) Apesar das limitações de recursos, as empresas menores en-
frentam o desafio de manter um controle interno, a custo razoável, de várias maneiras, entre as
quais se inclui
a) o exercício do controle de forma diluída e pelos diversos níveis da organização.
b) a existência de estruturas menos complexas, por permitirem que os dirigentes tenham am-
plo conhecimento das atividades e um vínculo mais estreito com a organização.
c) a conjugação de funções, resultante de um menor número de trabalhadores.
d) o desenvolvimento interno de sistemas de informação.
e) a desconsideração da abrangência das atividades de supervisão.
a) Errada. O exercício do controle em empresas menores é concentrado e não de forma diluída

pelos diversos níveis. Na realidade, não existem diversos níveis em organizações menores.
b) Certa. Em empresas menores, a ausência de manuais, de unidade de auditoria interna e
de pessoas para segregação de funções, pode ser compensada com uma estrutura menos
complexa e que permita ao proprietário ou dirigente controlar diretamente as operações e
atividades.
c) Errada. A assertiva refere-se a um problema que existe nas empresas pequenas e não uma
saída ou alternativa de compensação, portanto, está errada.
d) Errada. Em empresas menores não há a possibilidade de desenvolver sistemas de informa-
ção, até em função da relação custo/benefício do controle.
e) Errada. Não se desconsidera a abrangência da supervisão. Ela é apenas menor em função
do tamanho e da menor complexidade da entidade.
Letra b.
002. (CESPE/TCU/2008) Segundo o COSO, as pequenas empresas enfrentam desafios im-

portantes para manter um controle interno a custos razoáveis. Nesses casos, entretanto, não
obstante a limitação do número de empregados ou servidores, não há comprometimento da
segregação de funções, não havendo necessidade de obtenção de recursos adicionais para
assegurar a adequada segregação de funções.
William Boynton e outros autores, no livro Auditoria, ensinam que a probabilidade de que exis-
tam códigos formais de conduta, conselheiros externos, manuais formais de políticas, pessoal
suficiente para que haja uma boa segregação de funções ou auditores internos em entidades
menores é pequena.
Marcelo Aragão
Contudo, a ausência desses elementos pode ser contrabalançada com o desenvolvimento de

uma cultura que enfatize integridade, valores éticos e competência. Além disso, proprietários-
-administradores podem assumir responsabilidade por certas tarefas críticas, como aprovação
de crédito, assinatura de cheques, revisão de conciliações bancárias, monitoração de saldos
de clientes e aprovação da baixa de contas a receber incobráveis.
A familiaridade que administradores de pequenas entidades podem ter com todas as áreas
críticas de operações, bem como a existência de linhas de comunicação mais curtas podem
diminuir a necessidade de inúmeras outras atividades de controle que são essenciais em enti-
dades maiores.
Logo, há erro na afirmação de que não há comprometimento da segregação de funções em
entidades menores.
Errado.
003. (CESPE/MPE-PI/2012) O controle interno administrativo deve estar destacado das ativi-
dades normais da organização para que os controladores tenham uma perspectiva correta das
suas responsabilidades.
O controle interno deve ser interligado às atividades da entidade e torna-se mais efetivo quan-
do é concebido dentro da estrutura organizacional da entidade e é parte integrante da essência
da organização. O controle interno deve ser estruturado internamente e não superposto às
atividades. O controle interno, ao ser estruturado internamente, torna-se parte integrante dos
processos gerenciais de planejamento, execução e monitoramento.
Errado.
004. (CESPE/MPE-PI/2012) O ambiente de controle, referente tanto à cultura organizacional

como ao controle propriamente dito, propicia aos servidores dos órgãos uma percepção do
que é certo ou errado.
Um dos elementos relevantes ou princípios associados ao componente “ambiente de contro-

le” é a integridade e valores éticos. O relatório do COSO observa que mais e mais gerentes de
entidades bem administradas aceitam a visão de que “vale à pena ser ético; comportamento
ético é bom para os negócios”.
O ambiente de controle refere-se a cultura da organização e políticas que valorizam a integri-
dade e valores éticos propiciam aos servidores dos órgãos uma percepção do que é certo ou
errado. A administração deve assumir o papel de fornecer orientação moral a quaisquer em-
pregados ou servidores cuja formação moral não lhes permita distinguir entre o que é certo e
o que é errado.
Certo.
Marcelo Aragão
005. (CESPE/MPE-PI/2012) Em relação ao ciclo entre a preparação da folha de pagamentos e

o respectivo pagamento, é recomendável que as pessoas que elaboram a folha sejam as mes-
mas que procedem à entrega aos beneficiários dos envelopes com o numerário e que, sendo
o caso, as pessoas que assinam os cheques sejam as mesmas que expedem a comunicação/
autorização ao banco para crédito aos beneficiários.
A segregação de funções é uma atividade de controle de fundamental importância, sendo um

controle preventivo. Em relação ao ciclo entre a preparação da folha de pagamentos e o res-
pectivo pagamento, é recomendável que haja segregação de funções entre preparação e pa-
gamento da folha. Portanto, as pessoas que elaboram a folha não devem ser as mesmas que
procedem à assinatura e entrega de cheques ou à entrega aos beneficiários dos envelopes
com o numerário.
Errado.
006. (CESPE/MPE-PI/2012) A avaliação de riscos é um dos aspectos contemplados pela es-

trutura de controle interno. A resposta ao risco considera não apenas as hipóteses de sua eli-
minação ou redução, mas também as de sua aceitação ou compartilhamento.
A avaliação de riscos é um dos componentes da estrutura de controle interno proposta pelo

COSO. Quanto às respostas ao risco, segundo o COSO ERM, as possíveis respostas são: evitar
(eliminação), reduzir, aceitar e compartilhar parte do risco.
Certo.
007. (CESPE/ANP/2012) O controle interno, por mais eficaz que seja, não proporciona à enti-
dade segurança razoável para a obtenção de demonstrações contábeis plenas.
O controle interno eficaz proporciona à entidade segurança razoável para a obtenção de de-
monstrações contábeis plenas. Em função de suas limitações inerentes, o que o controle inter-
no não proporciona é segurança absoluta.
Errado.
008. (CESPE/TC-DF/2012) Segundo o COSO, accountability, operações ordenadas e éticas e

salvaguarda de recursos são os componentes do controle interno e representam o que é ne-
cessário para se alcançar um bom sistema de controle interno.
Accountability, operações ordenadas e éticas e salvaguarda de recursos são princípios da boa

governança. Os componentes do controle interno e que representam o que é necessário para
Marcelo Aragão
se alcançar um bom sistema de controle interno são: ambiente de controle, avaliação de ris-
cos, atividades de controle, informação e comunicação e monitoramento.
Errado.
009. (CESPE/TELEBRAS/AUDITOR/2013) O termo controle interno significa, basicamente,

a automação das rotinas operacionais da entidade. Por meio dessa automação é obtida a
redução de custos, a redução da probabilidade de erros e o aprimoramento das atividades
desenvolvidas.
O termo controle interno não significa, basicamente, a automação das rotinas operacionais da
entidade. O estudo do COSO define o controle interno como um processo conduzido pelo con-
selho de administração, pela administração e pelo corpo de empregados de uma organização,
com a finalidade de possibilitar uma garantia razoável quanto à realização dos objetivos nas
seguintes categorias: a) Eficácia e eficiência das operações; b) Confiabilidade das informa-
ções e relatórios; e c) Conformidade com leis e regulamentos cabíveis.
Errado.
010. (CESPE/TELEBRAS/AUDITOR/2013) O controle interno é um processo que envolve toda

a organização, principalmente a alta administração.
O Relatório do COSO conclui que o controle interno é um processo operado por pessoas em
todos os níveis da organização, inclusive o conselho de administração, a administração e os
membros do quadro de pessoal em geral. Assim, todas as pessoas em uma organização têm
alguma responsabilidade pelos controles internos e, na realidade, fazem parte deles, sendo
que é responsabilidade da administração estabelecer controles internos eficazes.
Certo.
011. (CESPE/TELEBRAS/AUDITOR/2013) Promover a confiabilidade nos relatórios financei-

ros é um dos objetivos do controle interno.
De acordo com o COSO I, uma das categorias de objetivos associada a controles internos é
a confiabilidade de informações financeiras. Assim, de particular importância são controles
que visam a fornecer segurança razoável de que as demonstrações contábeis preparadas pela
administração para usuários externos encontram-se adequadamente apresentadas de acordo
com os princípios contábeis geralmente aceitos.
Certo.
Marcelo Aragão
012. (CESPE/TELEBRAS/AUDITOR/2013) A implementação do controle interno em uma en-

tidade garante que os objetivos da organização sejam alcançados.
Em razão de suas limitações inerentes e da necessidade de consideração dos custos e be-

nefícios relativos de sua implantação, pode-se esperar que o controle interno forneça apenas
segurança razoável, não segurança absoluta, à administração e ao conselho de administração
de uma entidade quanto ao alcance dos objetivos.
Errado.
013. (CESPE/TELEBRAS/AUDITOR/2013) O objetivo principal do controle interno, para prote-

ger o patrimônio da entidade, é identificar eventuais fraudes.
O objetivo principal do controle interno é oferecer segurança razoável quanto ao alcance de

objetivos. Na categoria de objetivos de eficácia e eficiência de operações, o relatório do COSO
inclui a guarda de ativos contra aquisição, utilização e disposição não autorizadas. Esses con-
troles devem ser essencialmente preventivos e são relevantes para uma auditoria quando de-
sempenham papel em assegurar que as correspondentes perdas sejam adequadamente refle-
tidas nas demonstrações contábeis da entidade. Logo, o objetivo principal do controle interno
não é identificar eventuais fraudes.
Errado.
014. (CESPE/TELEBRAS/AUDITOR/2013) A efetividade e a eficiência operacional relacio-

nam-se com os objetivos de desempenho da organização.
Segundo o relatório do COSO, os objetivos operacionais relacionam-se com a eficácia e a efi-

ciência das operações da organização, inclusive metas de desempenho e de lucro, bem como
reservas de recursos contra prejuízos. Variam de acordo com a decisão da administração em
relação à estrutura e ao desempenho.
Certo.
015. (CESPE/TELEBRAS/AUDITOR/2013) O objetivo de conformidade visa assegurar que to-

das as transações sejam registradas, que todos os registros reflitam transações reais e que
sejam consignados pelos valores e enquadramentos corretos.
O objetivo de conformidade relaciona-se com o cumprimento de leis e regulamentos. O obje-

tivo de confiabilidade de informações financeiras visa a assegurar que todas as transações
Marcelo Aragão
sejam registradas, que todos os registros reflitam transações reais e que sejam consignados
pelos valores e enquadramentos corretos.
Errado.
016. (CESPE/TELEBRAS/AUDITOR/2013) Para se avaliar a efetividade de um sistema espe-

cífico de controle interno, devem ser adotados parâmetros objetivos de avaliação, amparados
por modelos matemáticos.
Para se avaliar a efetividade de um sistema específico de controle interno, devem ser adotados
parâmetros objetivos de avaliação, baseados na presença e no funcionamento dos componen-
tes da estrutura de controle interno, não necessariamente amparados por modelos matemáti-
cos. Os métodos de avaliação podem ser qualitativos e quantitativos.
Errado.
017. (CESPE/TELEBRAS/AUDITOR/2013) No modelo COSO de controle interno, existe um

relacionamento direto entre os objetivos organizacionais, os componentes do controle e as
unidades de negócio ou atividades, formando uma matriz tridimensional.
Existe um relacionamento direto entre os objetivos, que uma organização se empenha em

alcançar, e os componentes dos controles internos, que representam aquilo que é necessário
para o seu alcance. Esse relacionamento é apresentado em uma matriz tridimensional em for-
ma de cubo, comumente denominado de cubo do COSO. Trata-se de uma visão integrada dos
elementos que compõem uma estrutura ideal de controle interno.
Certo.
018. (CESPE/TELEBRAS/AUDITOR/2013) A auditoria interna contribui para o aperfeiçoamen-

to da efetividade do controle interno.
A auditoria interna contribui para o aperfeiçoamento da efetividade do controle interno, partici-

pando do monitoramento, mediante avaliações periódicas. Auditores internos avaliam diferen-
tes partes dos controles internos e relatam fraquezas à administração, com recomendações
para introdução de melhorias, quando cabíveis.
Certo.
019. (CESPE/TELEBRAS/AUDITOR/2013) O controle interno é um processo integrado com

os seguintes componentes inter-relacionados entre si: ambiente de controle, avaliação e geren-
ciamento de riscos, segregação de funções, confiabilidade nas informações e monitoramento.
Marcelo Aragão
Para o COSO, o controle interno é um processo integrado com os seguintes componentes

inter-relacionados entre si: ambiente de controle, avaliação de risco, atividades de controle,
informação e comunicação e monitoramento.
Errado.
020. (CESPE/TELEBRAS/AUDITOR/2013) O conluio entre empregados pode comprometer a

eficácia do controle interno de uma organização e prejudicar os objetivos a serem alcançados.
O conluio entre empregados é uma limitação inerente que pode comprometer a eficácia do
controle interno de uma organização e prejudicar os objetivos a serem alcançados. Um em-
pregado que realiza importante atividade de controle e outro empregado podem perpetrar uma
fraude de tal forma que ela não seja detectada por controles internos.
Certo.
021. (CESPE/TELEBRAS/AUDITOR/2013) O custo não pode ser utilizado como argumento

para limitar a implementação do controle interno em uma entidade, tendo em vista a relevância
desse controle para o funcionamento da entidade.
A relação custos versus benefícios é ao mesmo tempo um princípio de controle interno e uma
limitação, mediante o qual o custo dos controles internos de uma entidade não deve ser su-
perior aos benefícios que deles se esperam. Assumem-se certos riscos, quando se reduz os
procedimentos de controle em função dos benefícios esperados.
Errado.
022. (CESPE/TELEBRAS/AUDITOR/2013) O ambiente de controle é influenciado pela atitude

ampla e consciente da alta administração de uma entidade em relação à importância do con-
trole interno.
O ambiente de controle dá o tom de uma organização, influenciando a consciência de contro-

le das pessoas que nela trabalham. O ambiente de controle é influenciado pela atitude am-
pla e consciente da alta administração de uma entidade em relação à importância do contro-
le interno.
Certo.
Marcelo Aragão
023. (CESPE/TELEBRAS/AUDITOR/2013) Um controle interno só pode ser considerado efeti-

vo se a maioria dos componentes previstos no modelo do COSO estiver presente e funcionan-
do adequadamente.
Um controle interno só pode ser considerado efetivo se os cinco componentes previstos no

modelo do COSO (todos) estiverem presentes e funcionando adequadamente.
Errado.
024. (CESPE/TELEBRAS/AUDITOR/2013) O componente atividade de controle visa identifi-

car fatores que possam ameaçar o alcance dos objetivos de uma entidade.
O componente da estrutura de controle interno que visa identificar e analisar fatores que pos-
sam ameaçar o alcance dos objetivos de uma entidade – os riscos – é a avaliação de risco.
Errado.
025. (CESPE/TELEBRAS/AUDITOR/2013) Verificar se as deficiências de performance ou de

controle interno identificadas são tratadas de modo adequado e oportuno é uma das caracte-
rísticas do componente avaliação de riscos.
Verificar se as deficiências de performance ou de controle interno identificadas são tratadas

de modo adequado e oportuno é uma das características do componente monitoramento.
Errado.
026. (CESPE/TELEBRAS/AUDITOR/2013) O compromisso com a competência, o envolvi-

mento da alta administração, a integridade e os valores éticos preconizados na organização
são aspectos que caracterizam o ambiente de controle.
Vários fatores compõem o ambiente de controle de uma entidade, entre os quais: integridade
e valores éticos, comprometimento com a competência, envolvimento da alta administração,
estrutura organizacional, filosofia e estilo operacional da administração, autoridade e respon-
sabilidade e políticas e práticas de recursos humanos.
Certo.
027. (CESPE/TELEBRAS/AUDITOR/2013) Um controle interno efetivo pressupõe a existência

de mecanismos que antecipem, identifiquem e permitam reagir a eventos que possam afetar o
alcance dos objetivos da entidade.
Marcelo Aragão
Um controle interno efetivo pressupõe a existência de avaliação de risco, mediante a imple-

mentação de mecanismos que antecipem, identifiquem e permitam reagir a eventos que pos-
sam afetar o alcance dos objetivos da entidade.
Certo.
028. (CESPE/TELEBRAS/AUDITOR/2013) As atividades de controle relacionam-se exclusiva-

mente com os objetivos de conformidade, uma vez que visam assegurar que sejam observa-
dos os dispositivos legais, regulatórios e normativos.
As atividades de controle não se relacionam exclusivamente com os objetivos de conformi-

dade, mas também com os objetivos estratégicos, os objetivos operacionais correlatos e os
objetivos de comunicação. Portanto, são quatro as categorias de objetivos.
Errado.
029. (CESPE/TELEBRAS/AUDITOR/2013) As atividades de controle são políticas e procedi-

mentos que têm o propósito de assegurar que as diretrizes necessárias para responder aos
riscos sejam implementadas.
As atividades de controle são as políticas e os procedimentos que contribuem para assegurar

que as diretrizes da administração sejam realmente seguidas. Ajudam a assegurar a adoção
de medidas dirigidas contra os riscos de que os objetivos da entidade não sejam atingidos.
Funcionam, assim, como respostas aos riscos.
Certo.
030. (CESPE/TELEBRAS/AUDITOR/2013) A segregação de funções é um exemplo de ativida-

de de controle de natureza detectiva.
Segregação de funções significa que as obrigações são atribuídas ou divididas entre pessoas
diferentes com a finalidade de reduzir o risco de erro ou de fraude. A segregação de funções é
um exemplo de atividade de controle de natureza preventiva.
Errado.
031. (CESPE/TELEBRAS/AUDITOR/2013) O estabelecimento de alçadas, a previsão de au-

torizações para a realização de determinadas operações, a instituição de segurança física em
áreas críticas e a instituição de manuais de procedimentos e rotinas são exemplos de ativida-
des de controle de detecção.
Marcelo Aragão
O estabelecimento de alçadas, a previsão de autorizações para a realização de determinadas

operações, a instituição de segurança física em áreas críticas e a instituição de manuais de
procedimentos e rotinas são exemplos de atividades de controle de prevenção. As atividades
de detecção são os controles físicos e as revisões de desempenho.
Errado.
032. (CESPE/TELEBRAS/AUDITOR/2013) Um dos requisitos do componente informação e

comunicação é assegurar que os sistemas informatizados sejam periodicamente revisados,
atualizados e validados, para garantir a produção de informações adequadas e confiáveis.
A avaliação do componente do COSO informação e comunicação tem como propósito verificar

se as informações pertinentes são identificadas, coletadas e comunicadas de forma coerente
e no prazo, a fim de permitir que as pessoas cumpram as suas responsabilidades. Entre as per-
guntas que devem ser elaboradas para se avaliar o componente “informação e comunicação”
inclui-se: Os sistemas informatizados são periodicamente revisados, atualizados e validados,
no sentido de garantir a produção de informações adequadas e confiáveis?
Certo.
033. (CESPE/TELEBRAS/AUDITOR/2013) A avaliação do controle interno é uma atribuição

exclusiva da unidade de auditoria interna da entidade ou dos auditores independentes contra-
tados para esse fim.
A implantação, a manutenção e a avaliação do controle interno são responsabilidades de to-

das as pessoas e setores de uma organização, em especial da administração da entidade.
Logo, a avaliação do controle interno não é uma atribuição exclusiva da unidade de auditoria
interna da entidade ou dos auditores independentes contratados para esse fim.
Errado.
034. (CESPE/TELEBRAS/AUDITOR/2013) Com o intuito de proteger as informações de cará-

ter sigiloso da entidade, as informações sobre planos, ambiente de controle, riscos, atividades
de controle e desempenho são restritas à alta administração.
As informações sobre planos, ambiente de controle, riscos, atividades de controle e desempe-

nho não são restritas à alta administração. Essas informações são transmitidas ao pessoal da
entidade em uma forma e um prazo que lhes permita desempenhar suas responsabilidades na
administração de riscos e na implantação e manutenção de controles internos.
Errado.
Marcelo Aragão
035. (CESPE/TELEBRAS/AUDITOR/2013) Para assegurar que o sistema de controle interno

seja efetivo, as instituições devem implementar ações de monitoramento.
Um bom sistema de controle interno jamais chega ao nível de acabado, ele precisa passar por
constantes testes e aprimoramentos, à medida que novos cenários se tornam conhecidos ou
que fragilidades são identificadas. Logo, um componente importante do controle interno é o
monitoramento, que visa a avaliar a qualidade do desempenho dos controles internos ao longo
do tempo com vistas ao seu contínuo aperfeiçoamento.
Certo.
036. (UNIPAMPA/CESPE/2009) O ambiente de controle, cuja avaliação é necessária para de-

terminar o risco da auditoria, compreende, entre outros aspectos, os critérios para a escolha
dos responsáveis pelos setores que preparam as informações contábeis e suas relações com
a auditoria interna.
O ambiente de controle, cuja avaliação é necessária para determinar o risco da auditoria, com-
preende, entre outros aspectos, os critérios para a escolha dos responsáveis pelos setores que
preparam as informações contábeis e suas relações com a auditoria interna. Se a administra-
ção nomeia uma equipe de contabilidade comprometida com a competência e que se relacio-
na com a auditoria interna de forma transparente e independente, o ambiente de controle é
fortalecido e o resultado da avaliação de controle interno pelos auditores é positiva, sendo que
o risco de controle é menor.
Certo.
037. (CNJ/CESPE/2013) De acordo com as definições do COSO I (Committe of sponsoring

organizations of the Treadway Commission), a monitoração de riscos em relação ao alcance
de objetivos da entidade é dirigida apenas para riscos de origem financeira, não sendo um rele-
vante instrumento de gerenciamento de riscos para subsidiar a governança corporativa.
De acordo com estudo do TCU intitulado “Critérios Gerais de Controle Interno na Administração
Pública”, o COSO I mudou o conceito tradicional de “controles internos” e chamou a atenção
para o fato de que eles tinham de fornecer proteção contra riscos.
O modelo do COSO introduziu a noção de que controles internos devem ser ferramentas de
gestão e monitoração de riscos em relação ao alcance de objetivos e não mais devem ser diri-
gidos apenas para riscos de origem financeira ou vinculados a resultados escriturais. O papel
do controle interno foi, assim, ampliado e reconhecido como um instrumento de gerenciamen-
to de riscos indispensável à governança corporativa. Logo, o item apresenta dois erros.
Errado.
Marcelo Aragão
038. (CESPE/TELEBRAS/AUDITOR/2013) Risco é a probabilidade de perda ou incerteza as-

sociada ao cumprimento de um objetivo.
Risco é a probabilidade de ocorrência de eventos que possam impedir ou dificultar o alcance

de um objetivo. As incertezas geram riscos com potencial para destruir valor. O gerenciamento
de riscos e o controle interno possibilitam aos administradores tratar com eficácia as incer-
tezas, os riscos e as oportunidades a elas associados de forma a aprimorar a capacidade de
geração de valor.
Certo.
039. (CESPE/CGE/PB/2008) O gerenciamento de riscos corporativos trata de riscos e oportu-

nidades que afetam a criação ou a preservação do valor, refletindo certos conceitos fundamen-
tais. Desse modo, o gerenciamento corporativo é
a) conduzido por um grupo especializado de profissionais que constitui um setor autônomo da
organização.
b) um modo de atuação que trata dos eventos cuja ocorrência afetou a organização, mas cujos
efeitos ainda não foram completamente avaliados.
c) um processo destinado a compatibilizar os riscos de eventos em potencial aos riscos admi-
tidos pela organização, sem maiores prejuízos ao cumprimento de seus objetivos.
d) orientado para a realização de objetivos distintos e independentes.
e) um processo que se desencadeia sempre que a organização se sinta ameaçada pela ocor-
rência de eventos externos.
a) Errada. O gerenciamento de risco não é um processo conduzido por um grupo especializado

de profissionais que constitui um setor autônomo da organização. Todas as pessoas dentro de
uma organização têm algum grau de responsabilidade na condução de gestão de riscos.
b) Errada. Tampouco, não se pode esperar que os eventos afetem a organização. Deve-se iden-
tificá-los e tratá-los preventivamente. Portanto, não é um processo que se desencadeia sempre
que a organização se sinta ameaçada pela ocorrência de eventos externos. Não se pode espe-
rar uma ameaça para então tratá-la. Pode ser tarde demais.
c) Certa. Pode-se afirmar que o gerenciamento de risco corporativo é um processo destinado a
compatibilizar os riscos de eventos em potencial aos riscos admitidos pela organização, sem
maiores prejuízos ao cumprimento de seus objetivos.
d) Errada. O gerenciamento de riscos é um processo orientado para a realização de objetivos
distintos, porém, integrados e interdependentes. Por exemplo, objetivos de conformidade po-
dem afetar os de comunicação e vice-versa.
e) Errada. É um processo contínuo; ele não se desencadeia sempre que a organização se sinta
ameaçada. Tanto os eventos internos como os externos podem impactar os objetivos da or-
ganização.
Letra c.
Marcelo Aragão
040. (CESPE/CGE-PB/2008) O gerenciamento de riscos corporativos é constituído de vários

componentes inter-relacionados, que se originam com base na maneira como a administração
gerencia a organização e que se integram ao processo de gestão. Entre esses componentes,
destaca-se
a) o ambiente externo, que determina a forma como os riscos e os controles serão percebidos
pelos empregados da organização.
b) a escolha dos objetivos, condicionada à identificação das situações de risco, aos quais a
missão da organização deve alinhar-se.
c) a avaliação de riscos, que devem ser identificados, administrados e associados aos objeti-
vos passíveis de ser influenciados e seus respectivos impactos.
d) a resposta aos riscos, que a administração tratará de compartilhar com os clientes e usuá-
rios, ou, sendo o caso, transferir para os empregados.
e) a comunicação, que deve fluir sempre de baixo para cima, mantendo informados os dirigen-
tes dos níveis hierárquicos superiores.
a) Errada. O ambiente externo não é um componente de gerenciamento de risco. O ambiente

interno é que determina a forma como os riscos e os controles serão percebidos pelos empre-
gados da organização.
b) Errada. Primeiro escolhe-se os objetivos que devem alinhar-se à missão da organização e,
depois, identificam-se os riscos que irão impactar esses objetivos.
c) Certa. Avaliar riscos significa identificar a probabilidade de sua ocorrência e o possível im-
pacto no alcance dos objetivos da organização. Portanto, a alternativa está correta e satisfaz
o enunciado da questão.
d) Errada. Não cabe à administração compartilhar riscos com os clientes, a não ser que haja
um acordo escrito, e tampouco transferir os riscos para os empregados.
e) Errada. A comunicação deve fluir de cima para baixo, mediante atitude da administração de
bem comunicar a todos os empregados, de baixo para cima e em toda a organização.
Letra c.
041. (CESPE/TCE-PR/ANALISTA/2016) A respeito de controles internos, de acordo com o

Manual de Gerenciamento de Riscos Corporativos — Estrutura Integrada (COSO II), do Commit-
tee of Sponsoring Organization, assinale a opção correta.
a) No gerenciamento de riscos corporativos, a fixação dos objetivos será realizada após a
identificação dos eventos, a fim de se determinar quais ações serão realizadas para cada
tipo de risco.
b) Risco inerente é aquele que perdura mesmo depois da resposta dos dirigentes da organização.
c) Em uma organização, o gerenciamento de riscos corporativos, processo conduzido pelos
seus membros, consiste em estabelecer estratégias para identificar e administrar potenciais
eventos capazes de afetá-la.
Marcelo Aragão
d) Nas atividades de monitoramento, a organização deve escolher e executar avaliações para

averiguar se os componentes do controle externo estão em operação.
e) Segundo o COSO II, são quatro os componentes para o gerenciamento de riscos corporati-
vos: ambiente externo; fixação de objetivos; estabelecimento de riscos; atividades de controle;
e monitoramento.
a) Errada. No gerenciamento de riscos corporativos, a fixação dos objetivos será realizada

antes da identificação dos eventos, a fim de se determinar quais ações serão realizadas para
cada tipo de risco.
b) Errada. Risco inerente é aquele que existe independente de qualquer medida da entidade
contra ele. O risco que perdura mesmo depois da resposta dos dirigentes da organização é o
risco residual.
c) Certa. O gerenciamento de riscos corporativos é um processo conduzido em uma orga-
nização pelo conselho de administração, diretoria e demais empregados, aplicado no esta-
belecimento de estratégias, formuladas para identificar em toda a organização eventos em
potencial, capazes de afetá-la, e administrar os riscos de modo a mantê-los compatível com
o apetite a risco da organização e possibilitar garantia razoável do cumprimento dos seus
objetivos.
d) Errada. Nas atividades de monitoramento, a organização deve escolher e executar avalia-
ções para averiguar se os componentes do controle interno estão em operação.
e) Errada. São oito e não quatro os componentes para o gerenciamento de riscos corporativos,
que são: ambiente interno; fixação de objetivos; identificação de eventos; avaliação de risco;
respostas ao risco; atividades de controle; informação e comunicação e monitoramento.
Letra c.
(CESPE/TELEBRAS/AUDITOR/2015) A respeito da atividade de controle interno, julgue os pró-

ximos itens à luz das disposições do Committee of Sponsoring Organizations of the Tradeway
Commission (COSO).
042. Caso uma organização descumpra normas contábeis internacionais a que estiver sujeita,
haverá, no tocante ao controle interno, comprometimento do alcance de objetivos da categoria
informação ou divulgação.
Como houve descumprimento de normas, haverá, no tocante ao controle interno, comprometi-

mento do alcance de objetivos da categoria conformidade.
Errado.
Marcelo Aragão
043. Mesmo que adote medidas efetivas para aprimorar seus controles internos, uma organi-
zação ainda estará sujeita a perdas no caso de a sua direção tomar decisões inadequadas —
seja por erros de avaliação, seja por avaliações tendenciosas —, por se tratar de uma limitação
à efetividade dos controles internos.
Mesmo que adote medidas efetivas para aprimorar seus controles internos, uma organização
ainda estará sujeita a perdas no caso de a sua direção tomar decisões inadequadas — seja
por erros de avaliação, seja por avaliações tendenciosas. Isso em função de que os controles
internos possuem limitações inerentes, que limitam a efetividade dos controles internos.
Certo.
044. Caso uma organização venha a ser vítima de condutas que objetivem fraudar ou fragilizar
seus controles, o aprimoramento dos controles internos dessa empresa constituirá uma medi-
da efetiva para evitar que tais condutas se verifiquem novamente.
Item interessante! O erro está na expressão “constituirá uma medida efetiva para evitar que
tais condutas se verifiquem novamente”. Como uma das limitações inerentes dos controles é
o conluio, a probabilidade de fraude sempre vai existir, mesmo que a organização aprimore os
seus controles internos.
Errado.
045. Para o aprimoramento dos controles internos, é importante que a organização adote um
processo de controles internos com foco em todas as categorias de objetivos, a saber: opera-
ções, informações e compliance. Nesse sentido, caso uma organização sofra perdas patrimo-
niais mediante desvio de recursos tais perdas constituirão exemplo de deficiência de controles
internos com comprometimentos de objetivos da categoria objetivos operacionais.
A primeira parte está certa. Para o aprimoramento dos controles internos, é importante que
a organização adote um processo de controles internos com foco em todas as categorias de
objetivos, a saber: operações, informações e compliance. A segunda parte também está certa.
A categoria de objetivos operacionais relaciona-se à eficácia e à eficiência das operações da
entidade, inclusive as metas de desempenho financeiro e operacional e a salvaguarda de per-
das de ativos.
Certo.
046. (CESPE/TELEBRAS/AUDITOR/2015) Caso uma organização venha a sofrer fraudes fa-

cilitadas pelo uso de relatórios gerenciais elaborados sem a observância de rotinas e padrões
Marcelo Aragão
estabelecidos pela direção no tocante à confiabilidade dos dados utilizados nos relatórios e
das respectivas fontes, então as deficiências dos controles internos comprometerão seus ob-
jetivos de compliance.
Repare que as deficiências estão relacionadas à confiabilidade dos dados utilizados nos rela-
tórios e das respectivas fontes. Nesse caso, as deficiências dos controles internos comprome-
terão seus objetivos de divulgação.
Errado.
(CESPE/TELEBRAS/AUDITOR/2015) A Organização Sigma e Teta (OST) não vem alcançando

na sua totalidade os objetivos estabelecidos em seu processo de planejamento estratégico
e identificou como principal causa disso a fragilidade de seus controles internos, pois foram
registradas diversas situações que, segundo suas análises, apontam para essa fragilidade e
para a necessidade de medidas corretivas urgentes.
Com referência a essa situação hipotética e a aspectos correlatos, julgue os itens que se se-
guem à luz das disposições do COSO relativas a controle interno.
047. Caso a OST identifique desvios de recursos destinados a pagamento de fornecedores de-
correntes de ausência de conduta ética de alguns de seus dirigentes e empregados, tais fatos
caracterizarão fragilidades no componente ambiente de controle.
A gestão da ética e a integridade referem-se ao componente ambiente de controle.

Certo.
048. Se ocorrerem desvios de recursos na OST devido ao fato de as operações serem realiza-
das, registradas, autorizadas, controladas e reportadas aos níveis superiores sob a responsa-
bilidade de apenas uma unidade ou de um empregado ou dirigente, então haverá necessidade
de adotar medidas corretivas no componente atividades de controle.
Ocorreu prejuízo ao princípio da segregação de funções, que está relacionado ao componente

de controle interno atividades de controle.
Certo.
049. Caso ocorra uma fraude na OST e não seja possível identificar uma unidade responsável
por detectar fraudes e desvios devido ao fato de tal unidade não estar prevista na estrutura
organizacional da OST, tais fatos caracterizarão uma deficiência no componente informação e
comunicação.
Marcelo Aragão
O componente ambiente de controle abrange a integridade e os valores éticos da organização;

os parâmetros que permitem à estrutura de governança cumprir com suas responsabilidades
de supervisionar a governança; a estrutura organizacional e a delegação de autoridade e res-
ponsabilidade; o processo de atrair, desenvolver e reter talentos competentes; e o rigor em
torno de medidas, incentivos e recompensas por performance.
Errado.
050. Se eventuais irregularidades detectadas não forem tempestivamente corrigidas por au-
sência de linha clara e efetiva de comunicação às unidades responsáveis pelo seu gerencia-
mento, então será necessário que a OST adote medidas para aprimorar o componente avalia-
ção de riscos e, com isso, evitar a recorrência das referidas irregularidades.
A ausência de linha clara e efetiva de comunicação às unidades responsáveis pelo seu ge-
renciamento, requer que a OST adote medidas para aprimorar o componente informação e
comunicação.
Errado.
051. (CESPE/SEFAZ-RS/AUDITOR/2018) Entre as quatro categorias de objetivos organizacio-

nais estabelecidas pelo COSO inclui-se a categoria dos objetivos operacionais, cujo propósito é
a) assegurar o cumprimento das leis e dos regulamentos.
b) utilizar de forma eficaz e eficiente os recursos.
c) viabilizar o atingimento de metas no nível mais elevado, alinhando-se e fornecendo
apoio à missão.
d) evitar perda de ativos ou recursos da organização.
e) atestar a confiabilidade dos relatórios.
Uma das categorias de objetivos é a de operações (objetivos operacionais) que têm como
meta a utilização eficaz e eficiente dos recursos.
Letra b.
052. (CESPE/SEFAZ-RS/AUDITOR/2018) Diversos tipos de alterações, como, por exemplo,

nas condições demográficas, nos costumes sociais, nas estruturas das famílias, nas priorida-
des de trabalho, podem provocar mudanças na demanda de produtos e serviços, novos locais
de compra, demandas relacionadas a recursos humanos e paralisações da produção. De acor-
do com o COSO, as relações entre essas alterações e seus efeitos são consideradas eventos
Marcelo Aragão
a) políticos.
b) de meio ambiente.
c) sociais.
d) pessoais.
e) econômicos.
Segundo o COSO, os eventos decorrem de fatores internos e externos. Quanto aos fatores
externos, os “sociais” correspondem a alterações nas condições demográficas, nos costumes
sociais, nas estruturas da família, nas prioridades de trabalho/vida e a atividade terrorista, que,
por sua vez, podem provocar mudanças na demanda de produtos e serviços, novos locais de
compra, demandas relacionadas a recursos humanos e paralisações da produção.
Letra c.
053. (CESPE/SEFAZ-RS/AUDITOR/2018) Determinado componente do gerenciamento de ris-

cos corporativos permite que a organização considere até que ponto eventos em potencial
podem impactar o atingimento de seus objetivos. O COSO denomina esse componente de
a) monitoramento.
b) atividades de controle.
c) avaliação de riscos.
d) identificação de eventos.
e) informações e comunicações.
A avaliação de riscos permite que uma organização considere até que ponto eventos em po-
tencial podem impactar a realização dos objetivos.
Letra c.
054. (CESPE/SEFAZ-RS/AUDITOR/2018) A administração de uma universidade estadual

identificou e avaliou os riscos associados com a gerência da residência estudantil: concluiu
que a referida gerência não possuía internamente os requisitos necessários e as funcionalida-
des para administrar eficazmente essa grande propriedade residencial, razão pela qual optou
por terceirizar a administração da residência para uma empresa especializada, que, entre ou-
tros fatores, tivesse condições de reduzir o impacto e a probabilidade de riscos.
De acordo com o COSO, a categoria de resposta a risco descrita na situação hipotética
apresentada é
a) compartilhar.
b) evitar.
c) reduzir.
d) aceitar.
e) acolher.
Marcelo Aragão
De acordo com o estudo do COSO, as respostas a riscos classificam-se nas seguintes catego-
rias: evitar, reduzir, compartilhar e aceitar. Compartilhar corresponde à redução da probabilida-
de ou do impacto dos riscos pela transferência ou pelo compartilhamento de uma porção do
risco. As técnicas comuns compreendem a aquisição de produtos de seguro, a realização de
transações de headging ou a terceirização de uma atividade.
Letra a.
055. (CESPE/CGE-CE/2019) As políticas e os procedimentos estabelecidos e postos em prá-

tica para assegurar a execução eficaz das respostas aos riscos selecionadas pela administra-
ção correspondem ao componente do gerenciamento de riscos corporativos estabelecido pelo
COSO conhecido como
a) ambiente interno.
b) atividades de controle.
c) informações e comunicações.
d) identificação de eventos.
e) avaliação de riscos.
Segundo o COSO ERM 2004, atividades de controle são políticas e procedimentos são esta-
belecidos e implementados para assegurar que as respostas aos riscos sejam executadas
com eficácia.
Letra b.
056. (CESPE/EMAP/ANALISTA/2019) Segundo o COSO ICIF 2013 (Internal Control – Integra-

ted Framework), o ambiente de controle é um conjunto de normas, processos e estruturas que
fornece a base para a condução do controle interno por toda a organização.
Segundo o estudo do Coso, o ambiente de controle é um conjunto de normas, processos e

estruturas que fornece a base para a condução do controle interno por toda a organização. A
estrutura de governança e a alta administração estabelecem uma diretriz sobre a importância
do controle interno, inclusive das normas de conduta esperadas. A administração reforça as
expectativas nos vários níveis da organização.
Certo.
057. (FCC/TCM-CE/ANALISTA/OBRAS/2010) Conforme o COSO − Committee of Sponsoring

Organizations, na análise de riscos, pode-se recorrer a análises qualitativas ou quantitativas. A
análise qualitativa
Marcelo Aragão
a) faz a avaliação do impacto da ocorrência dos riscos nos processos, e a análise quantitativa
faz a análise dos volumes gerados de prejuízos.
b) faz a análise da importância da gestão de riscos e governança corporativa para as organi-
zações e a análise quantitativa faz a análise das variações significativas das demonstrações
financeiras.
c) faz a priorização dos riscos por meio de avaliação e combinação de sua probabilidade de
ocorrência e impacto, e a análise quantitativa faz a análise numérica do efeito dos riscos iden-
tificados nos objetivos gerais.
d) deve, tanto quanto a quantitativa, nortear a determinação dos saldos das contas contábeis
selecionadas para o exame de auditoria.
e) faz a avaliação no nível de experiência necessária que o auditor deve ter para realizar seu
trabalho, e a análise quantitativa determina a quantidade de horas necessárias e o número de
auditores necessário para executar cada trabalho de auditoria.
De acordo com o Coso, a metodologia de avaliação de riscos de uma organização inclui uma
combinação de técnicas qualitativas e quantitativas. Geralmente, a administração emprega
técnicas qualitativas de avaliação se os riscos não se prestam a quantificação, ou se não há
dados confiáveis em quantidade suficiente para a realização das avaliações quantitativas, ou,
ainda, se a relação custo-benefício para obtenção e análise de dados não for viável. Tipicamen-
te, as técnicas quantitativas emprestam maior precisão e são utilizadas em atividades mais
complexas e sofisticadas para suplementar as técnicas qualitativas.
Letra c.
058. (FCC/TCE-PR/ANALISTA/2011) O modelo COSO I é uma ferramenta que permite ao ad-

ministrador revisar e melhorar seu sistema de controle interno e foi estruturado com base em
cinco componentes: ambiente interno ou de controle, avaliação de risco, procedimentos ou ati-
vidades de controle, informação e comunicação e monitoramento. O modelo COSO II pode ser
considerado mais abrangente, pois possuiu, além desses, mais três componentes. São eles:
a) definição de objetivos, identificação de riscos e resposta aos riscos.
b) definição de objetivos, identificação de riscos e circularização de documentos.
c) tabela de evidências, definição de riscos e circularização de documentos.
d) tabela de evidências, resposta de riscos e circularização de documentos.
e) definição de objetivos, tabela de evidências e resposta de riscos.
Os componentes da estrutura de gerenciamento de riscos são: ambiente interno, definição/

fixação de objetivos, identificação de eventos, incluindo os riscos, avaliação de risco, resposta
aos riscos, atividades de controle, informação e comunicação e atividades de monitoramento.
Letra a.
Marcelo Aragão
059. (FMP/TCE-RS/AUDITOR/2011) São princípios no gerenciamento e na análise dos riscos

de acordo com a metodologia COSO, exceto:
a) comprometimento da Alta Administração.
b) informações corretas e precisas.
c) desnecessidade da segregação de funções.
d) medidas rigorosas no caso da não-conformidade.
e) gerenciamento de risco que é um processo de persistência, não um programa esporádico.
A segregação de funções é um elemento fundamental do componente atividades de controles.

Logo, a alternativa incorreta é a letra c.
Letra c.
060. (FCC/TCE-RS/AUDITOR/ENG. CIVIL/2014) O Modelo The Committee of Sponsoring Or-

ganizations of the Treadway Commission − COSO é mecanismo de auditoria que tem como
foco os riscos corporativos. Dentre os componentes do COSO 1 estão: a definição de uma
filosofia de tratamento dos riscos e a observação do sistema de controle interno. Esses com-
ponentes são denominados, respectivamente,
a) atividade de controle e monitoramento.
b) ambiente de controle e identificação de riscos.
c) identificação de riscos e avaliação de riscos.
d) ambiente de controle e monitoramento.
e) monitoramento e ambiente de controle.
A definição da cultura da organização e de uma filosofia de tratamento dos riscos corresponde

ao componente ambiente de controle. Já a observação e a avaliação do sistema de controle
interno, no intuito do seu aperfeiçoamento, referem-se ao componente monitoramento.
Letra d.
061. (FGV/CÂMARA MUNICIPAL RECIFE/CONSULTOR/2014) De acordo com as diretrizes

para as normas de controle interno divulgadas pelo COSO (Committee of Sponsoring Organi-
zations of the Treadway Commission) e pela INTOSAI (International Organisation of Supreme
Audit Institutions), o controle interno é estruturado para oferecer segurança razoável de que
os objetivos gerais da entidade estão sendo alcançados e compreende cinco componentes
interrelacionados. O princípio que preconiza que a organização faz com que as pessoas as-
sumam responsabilidade por suas funções de controle interno na busca pelos objetivos está
relacionado ao componente de:
a) ambiente de controle;
Marcelo Aragão
b) atividades de controle;
c) atividades de monitoramento;
d) avaliação de riscos;
e) informação e comunicação.
O princípio que preconiza que a organização faz com que as pessoas assumam responsabili-
dade por suas funções de controle interno na busca pelos objetivos está relacionado ao com-
ponente ambiente de controle.
Letra a.
062. (FCC/TRT-13ª/ANALISTA/CONTABIL/2014) A referência mundial para sistemas de con-

trole interno é o Modelo The Committee of Sponsoring Organizations of the Treadway Commis-
sion − COSO, que traz especificações relacionadas a uma
a) estrutura voltada para a gestão de riscos.
b) padronização de papéis de trabalho.
c) metodologia de circularização de informações de acesso restrito.
d) metodologia de processamento digital de dados.
e) padronização de técnicas de amostragem.
A estrutura ou estudo do COSO está voltada para a gestão de riscos e controles internos, com
o intuito de que a organização alcance seus objetivos.
Letra a.
063. (FCC/TRT-13ª/ANALISTA/CONTÁBIL/2014) O Modelo COSO é estruturado sob a for-

ma de componentes relacionados ao controle interno. É componente que diferencia o Modelo
COSO I do COSO II,
a) a informação e comunicação.
b) o procedimento de controle.
c) o ambiente de controle.
d) o monitoramento.
e) a definição dos objetivos.
A definição de objetivos é um componente que surgiu com a publicação do estudo do COSO

acerca do gerenciamento de riscos.
Letra e.
Marcelo Aragão
064. (FUNDATEC/CAGE-RS/2014) Por meio do Enterprise Risk Management (ERM) é possível

fazer-se o gerenciamento dos riscos corporativos. Vários são os seus componentes. Assim,
NÃO faz parte do gerenciamento de riscos:
a) identificação de eventos.
b) fixação de objetivos.
c) aproveitamento das oportunidades.
d) atividades de controle.
e) informações e comunicações.
Aproveitamento das oportunidades NÃO corresponde a um dos componentes da estrutura do

gerenciamento de riscos.
Letra c.
065. (FUNDATEC/CAGE-RS/2014) A literatura é convergente ao designar que a missão de

uma organização é atender aos interesses dos diferentes stakeholders. As organizações en-
frentam incertezas, e o desafio é determinar até que ponto aceitar as incertezas, assim como
definir como elas podem interferir no esforço de gerar valor às partes interessadas. O geren-
ciamento dos riscos corporativos possibilita aos gestores lidar com as incertezas de forma efi-
caz. Isso posto, NÃO fazem parte dos componentes do gerenciamento de riscos corporativos
a) resposta a risco e ambiente interno.
b) fixação de objetivos e resposta a risco.
c) fixação de indicadores e ambiente externo.
d) informações, comunicações e atividades de controle.
e) identificação de eventos e monitoramento.
Os componentes do gerenciamento de riscos, segundo o COSO ERM 2004, são os seguin-

tes: ambiente interno, fixação de objetivos, identificação de eventos, avaliação de riscos,
respostas aos riscos, atividades de controle, informação e comunicação e monitoramento.
A fixação de indicadores e o ambiente externo não correspondem a componentes do geren-
ciamento de riscos.
Letra c.
066. (FUNIVERSA/AUDITOR/CGDF/2014) Com base nos modelos de referência de controle

interno adotados pelo COSO (Commitee of Sponsoring Organizations of the Treadway Com-
mission) — Comitê das Organizações Patrocinadoras, assinale a alternativa correta.
a) Os controles internos estão essencialmente dirigidos para riscos de origem financeira ou
vinculados a resultados escriturais.
Marcelo Aragão
b) Pelos novos paradigmas, o papel essencial da auditoria interna é o de avaliação da confor-

midade legal das despesas públicas.
c) O desenvolvimento de um conjunto de ações concretas para mitigação dos riscos implica
em que a administração não possa cogitar estratégia de sua mera aceitação.
d) A importância da identificação de eventos de risco é o fato de que os riscos, por serem ne-
gativos, sempre trazem ameaças e, portanto, possíveis perdas.
e) A comunicação é uma das categorias de objetivos comuns às organizações em geral, que
tem foco na confiabilidade e na disponibilidade das informações.
a) Errada. Os controles internos são relacionados a riscos de origem financeira e não financeira
e que possam impactar resultados de qualquer natureza.
b) Errada. Pelos novos paradigmas, o papel essencial da auditoria interna é o de apoiar a admi-
nistração no alcance dos objetivos da organização.
c) Errada. As respostas aos riscos avaliados contemplam a mera aceitação dos riscos, espe-
cialmente quando eles estão compatíveis com o apetite a risco da organização.
d) Errada. Se um evento é um risco é porque ele pode resultar em impacto negativo nos objeti-
vos da organização. Contudo, a depender do nível de risco avaliado (probabilidade x impacto)
ele pode não trazer ameaças significativas ou possíveis perdas.
e) Certa. A comunicação é uma das categorias de objetivos comuns às organizações em geral,
que tem foco na confiabilidade e na disponibilidade das informações. A três categorias de ob-
jetivos são de comunicação ou divulgação, operacionais e de conformidade.
Letra e.
067. (FGV/TCM-SP/AGENTE FISC/CONTÁBEIS/2015) O Comitê das Organizações Patroci-

nadoras da Comissão Treadway (COSO, na sigla em inglês) publicou, em 2004, o modelo de-
nominado “Gerenciamento de Riscos Corporativos” (ERM, na sigla em inglês), popularizado
como COSO II. Segundo esse modelo, as quatro categorias de objetivos comuns à maioria das
organizações são:
a) objetivos contábeis; objetivos de controle; objetivos estratégicos e objetivos de salvaguarda
de ativos;
b) objetivos estratégicos; objetivos sociais; objetivos de lucro e objetivos de divulgação;
c) objetivos estratégicos; objetivos operacionais; objetivos de comunicação e objetivos de
conformidade;
d) objetivos de conformidade; objetivos de comunicação; objetivos de relacionamento com
partes interessadas e objetivos ambientais e de sustentabilidade;
e) objetivos de comunicação; objetivos operacionais; objetivos de relacionamento com partes
interessadas e objetivos ambientais e de sustentabilidade.
Marcelo Aragão
A estrutura do COSO II estabelece quatro categorias de objetivos para a organização: Estra-

tégicos – referem-se às metas no nível mais elevado. Alinham-se e fornecem apoio à missão;
Operações – têm como meta a utilização eficaz e eficiente dos recursos; Comunicação – rela-
cionados à confiabilidade dos relatórios; e Conformidade – fundamentam-se no cumprimento
das leis e dos regulamentos pertinentes.
Letra c.
068. (FCC/PREFEITURA DE SÃO LUÍS-MA/AUDITOR/ENGª ELÉTRICA/2015) Um dos ele-

mentos essenciais que compõem a rotina do Auditor Interno são os riscos de auditoria, que
devem ser tratados na fase de planejamento. Uma das ferramentas de controle interno mais
modernas no trato desse tipo de risco é denominada
a) modelo COSO.
b) comparativo de riscos.
c) auditoria de riscos.
d) estratégia de antecipação de riscos.
e) auditoria de resultado.
Esta questão ficou fácil! Uma das ferramentas de controle interno mais modernas no trato
desse tipo de risco é denominada de estrutura ou modelo COSO.
Letra a.
069. (FCC/PREFEITURA DE SÃO LUÍS-MA/AUDITOR/ENGª ELÉTRICA/2015) Nos termos

das normas da INTOSAI, o processo integrado efetuado pela direção e corpo de funcionários,
estruturado para enfrentar os riscos e fornecer razoável segurança de que na consecução da
missão da entidade serão alcançados objetivos como cumprimento das leis e regulamentos
aplicáveis é denominado
a) controle público.
b) accountability.
c) auditoria pública.
d) controle interno.
e fiscalização pública.
Trata-se da definição clássica de controle interno.

Letra d.
070. (FGV/TCM/SP/AGENTE FISC/CONTÁBEIS/2015) O Comitê das Organizações Patroci-

nadoras da Comissão Treadway (COSO, na sigla em inglês) apresentou, em 1992, um modelo
Marcelo Aragão
amplamente aceito para o estabelecimento de controles internos denominado “Controle Inter-

no – Estrutura Integrada” – aplicável a entidades de grande, médio e pequeno portes, com ou
sem fins lucrativos, bem como ao setor público –, que ficou popularmente conhecido como
COSO I. Segundo esse modelo, controle interno:
a) é um processo de trabalho que deve ficar a cargo da unidade de auditoria interna de
cada entidade;
b) é um processo conduzido pela estrutura de governança, pela administração e por pessoas
da organização;
c) é um processo que consiste de tarefas que devem ser realizadas ao menos uma vez em
cada exercício financeiro;
d) visa proporcionar certeza de que os objetivos da entidade serão alcançados;
e) não auxilia a organização a prever eventos externos que possam afetar negativamente o
alcance de seus objetivos.
a) Errada. Controle interno é um processo de trabalho é de responsabilidade de todas as áreas

de uma organização.
b) Certa. Segundo o modelo COSO, controle interno é um processo conduzido pela estrutura de
governança, pela administração e por pessoas da organização.
c) Errada. Não é um processo que consiste de tarefas que devem ser realizadas ao menos uma
vez em cada exercício financeiro; é um processo contínuo e dinâmico.
d) Errada. Não proporciona certeza de que os objetivos da entidade serão alcançados; oferece
segurança razoável.
e) Certa. Controle interno é um processo que auxilia a organização a prever eventos internos e
externos que possam afetar negativamente o alcance de seus objetivos.
Letra b.
071. (FMP/CGE-MT/AUDITOR/2015) Tendo em conta os “componentes do controle inter-

no”, segundo o COSO Internal Control – Integrated Framework (2013), considere as seguin-
tes assertivas.
I – O ambiente de controle é um conjunto de normas, processos e estruturas que fornece a
base para a condução do controle interno por toda a organização.
II – A avaliação de riscos prescinde de um processo dinâmico e interativo para identificar
e avaliar os riscos à avaliação dos objetivos. Esses riscos de não atingir os objetivos
em toda a entidade não são considerados em relação às tolerâncias aos riscos es-
tabelecidos.
III – A comunicação interna é o meio pelo qual as informações são transmitidas para a or-
ganização, fluindo em todas as direções da entidade. Ela permite que os funcionários
recebam uma mensagem clara da alta administração de que as responsabilidades pelo
controle devem ser levadas a sério.
Estão corretas apenas
Marcelo Aragão
a) I e II.
b) II e III.
c) I e III.
d) I, II e III.
e) Nenhuma assertiva está correta.
I – Certo. O ambiente de controle é um conjunto de normas, processos e estruturas que forne-

ce a base para a condução do controle interno por toda a organização.
II – Errado. A avaliação de riscos compreende um processo dinâmico e interativo para identi-
ficar e avaliar os riscos à avaliação dos objetivos. Esses riscos de não atingir os objetivos em
toda a entidade são considerados em relação às tolerâncias aos riscos estabelecidos.
III – Certo. A comunicação interna é o meio pelo qual as informações são transmitidas para a
organização, fluindo em todas as direções da entidade. Ela permite que os funcionários rece-
bam uma mensagem clara da alta administração de que as responsabilidades pelo controle
devem ser levadas a sério.
Letra c.
072. (FGV/IBGE/ANALISTA/AUDITORIA/2016) Uma determinada entidade está realizando

reestruturação das suas atividades. Um dos pontos de reestruturação foi a incorporação de
novos serviços, que exigirá a contratação de mais pessoas e a aquisição de novos materiais.
Em decorrência disso, a entidade identifica e avalia as mudanças que poderiam afetar, de for-
ma significativa, o sistema de controle interno. Essa postura da entidade está relacionada ao
seguinte componente da estrutura de controle interno:
a) ambiente de controle;
b) avaliação de riscos;
c) atividades de controle;
d) atividades de monitoramento;
e) informação e comunicação.
A identificação de mudanças necessárias no sistema de controle interno corresponde a ativi-

dades de monitoramento, que constituem um componente da estrutura.
Letra b.
073. (FUNDATEC/BRDE/ANALISTA DE PROJETOS/2017) De acordo com o Committee Of

Sponsoring Organizations Of The Treadway Commission (COSO), são componentes de geren-
ciamento de riscos:
a) Estrutura Organizacional, Filosofia de Gerenciamento, Classificação de Riscos e Apeti-
te ao Risco.
Marcelo Aragão
b) Atividade de Controle, Identificação de Eventos, Gestão Financeira de Liquidez e Avaliação.

c) Ambiente Interno, Fixação de Objetivos, Identificação de Eventos, Avaliação de Riscos, Res-
posta aos Riscos, Atividade de Controle, Informações e Comunicações.
d) Análise de Riscos, Probabilidade e Impacto, Tolerância e Apetite ao Risco.
e) Identificação de Eventos, Avaliação de Riscos, Atividades Gerenciais Contínuas, Avaliações
Independentes e Processos Informatizados.
Os componentes da estrutura de gerenciamento de riscos são: ambiente interno, definição/

fixação de objetivos, identificação de eventos, incluindo os riscos, avaliação de risco, resposta
aos riscos, atividades de controle, informação e comunicação e atividades de monitoramento.
Letra c.
074. (FGV/ALERJ/CONTADOR/2017) Na avaliação de sistemas de controle interno concebi-

dos a partir da Estrutura Integrada proposta pelo Committee of Sponsoring Organizations of
the Treadway Commission (COSO), a análise sobre as iniciativas da organização para que as
pessoas assumam responsabilidade por suas funções de controle interno na busca por objeti-
vos está relacionada ao componente:
a) avaliação de riscos;
b) atividades de controle;
c) ambiente de controle;
d) fixação de objetivos;
e) monitoramento.
A análise sobre as iniciativas da organização para que as pessoas assumam responsabilidade

por suas funções de controle interno na busca por objetivos está relacionada ao componente
ambiente de controle.
Letra c.
075. (FUNDATEC/PM SANTA ROSA DO SUL/AGENE DE CI/2018) Consideram-se compo-

nentes dos controles internos, EXCETO:
a) Ambiente de controle: considera o conjunto de normas, processos e estruturas que forne-
cem a base para a condução do controle interno da organização.
b) Avaliação de riscos: processo dinâmico e iterativo que visa identificar, analisar e avaliar os
riscos relevantes que possam comprometer a integridade da Unidade Auditada e o alcance das
metas e dos objetivos institucionais.
c) Atividades de controle: conjunto de ações estabelecidas por meio, exclusivamente, de pro-
cedimentos, que auxiliam a Unidade Auditada a mitigar os riscos que possam comprometer o
alcance dos objetivos e a salvaguarda de seus ativos.
Marcelo Aragão
d) Informação e comunicação: processo de obtenção e validação da consistência de informa-

ções sobre as atividades de controle interno e de compartilhamento que permite a compreen-
são da Unidade Auditada sobre as responsabilidades e a importância dos controles internos.
e) Atividades de monitoramento: conjunto de ações destinadas a acompanhar e a avaliar a
eficácia dos controles internos.
Atividades de controle correspondem a um dos componentes da estrutura de controle interno,

porém, não compreende um conjunto de ações estabelecidas por meio, exclusivamente, de
procedimentos, que auxiliam a Unidade Auditada a mitigar os riscos que possam comprometer
o alcance dos objetivos e a salvaguarda de seus ativos. As atividades de controle também são
ações estabelecidas por meio de políticas e procedimentos que ajudam a garantir o cumpri-
mento das diretrizes determinadas pela administração.
Letra c.
076. (FCC/ALAP/TÉCNICO DE CI/2020) Um dos argumentos da estrutura preconizada pelo

Internal Control – Integrated Framework, edição do Committee of Sponsoring Organizations
of the Treadway Commission (COSO) consiste em proporcionar à administração um meio de
a) aplicar o controle interno aos tipos de entidade cuja indústria ou estrutura legal figurem en-
tre aquelas mencionadas, nos níveis de entidade, unidade operacional ou função.
b) aplicar o controle interno a qualquer tipo de entidade, independentemente da indústria ou
da estrutura legal, ao nível de entidade, relegando os níveis de unidade operacional ou função
a outras estruturas.
c) aplicar o controle interno aos tipos de entidade cuja indústria ou a estrutura legal figurem
entre aquelas mencionadas, ao nível de entidade, relegando os níveis de unidade operacional
ou função a outras estruturas.
d) afastar a aplicação do controle interno a todo tipo de entidade, independentemente da in-
dústria ou da estrutura legal, e do nível (entidade, unidade operacional ou função).
e) aplicar o controle interno a qualquer tipo de entidade, independentemente da indústria ou da
estrutura legal, nos níveis de entidade, unidade operacional ou função.
Conforme o Coso ICIF 2013 (Sumário Executivo), para a administração e a estrutura de go-
vernança, a estrutura de controle interno proporciona um meio de aplicar o controle interno a
qualquer tipo de entidade, independentemente da indústria ou da estrutura legal, nos níveis de
entidade, unidade operacional ou função.
Letra e.
077. (FCC/ALAP/TÉCNICO DE CI/2020) O controle interno é definido, no âmbito do Internal

Control – Integrated Framework, edição do Committee of Sponsoring Organizations of the Tre-
adway Commission (COSO), como
Marcelo Aragão
a) uma função exercida por um ente que não integra a mesma estrutura organizacional do
órgão fiscalizado.
b) um documento que atesta a razoável segurança de que os procedimentos internos estão em
efetivo funcionamento e cumprimento.
c) um documento que serve de evidência quanto à suficiência, exatidão e validade dos dados
produzidos pelo sistema contábil da entidade e são divididos em testes de transações e saldos
e procedimentos de revisão analítica.
d) um documento elaborado pela administração central da entidade, e desenvolvido para pro-
porcionar segurança razoável com respeito à realização dos objetivos relacionados a opera-
ções, divulgação e conformidade.
e) um processo conduzido pela estrutura de governança, administração e outros profissionais
da entidade, e desenvolvido para proporcionar segurança razoável com respeito à realização
dos objetivos relacionados a operações, divulgação e conformidade.
Nos termos do Coso ICIF 2013, o controle interno é definido como um processo conduzido
pela estrutura de governança, administração e outros profissionais da entidade, e desenvolvido
para proporcionar segurança razoável com respeito à realização dos objetivos relacionados a
operações, divulgação e conformidade.
Letra e.
Marcelo Aragão
GABARITO
1. b 27. C 53. c
2. E 28. E 54. a
3. E 29. C 55. b
4. C 30. E 56. C
5. E 31. E 57. c
6. C 32. C 58. a
7. E 33. E 59. c
8. E 34. E 60. d
9. E 35. C 61. a
10. C 36. C 62. a
11. C 37. E 63. e
12. E 38. C 64. c
13. E 39. c 65. c
14. C 40. c 66. e
15. E 41. c 67. c
16. E 42. E 68. a
17. C 43. C 69. d
18. C 44. E 70. b
19. E 45. C 71. c
20. C 46. E 72. b
21. E 47. C 73. c
22. c 48. C 74. c
23. E 49. E 75. c
24. E 50. E 76. e
25. E 51. b 77. e
26. C 52. c
Marcelo Aragão
Auditor Federal de Controle Externo do TCU desde 2006. Foi Analista de Finanças e Controle do Sistema
de Controle Interno do Poder Executivo Federal (SCI) durante 14 anos. No Tribunal, exerce atualmente
a função de Ouvidor e já ocupou, entre outras, as funções de assessor do Secretário-Geral de Controle
Externo, coordenador do projeto Controle Externo do Mercosul, chefe do Serviço de Coordenação de
Redes de Controle, coordenador das Ações de Controle sobre os projetos da Copa do Mundo FIFA 2014
e secretário de Controle Externo no estado de Alagoas. É professor das disciplinas Controle Interno e
Externo e Auditoria Geral e Governamental em diversas instituições de ensino. Além disso, é autor de dois
livros de auditoria pela editora Método. Graduado em Administração pela Universidade Federal Fluminense,
possui especialização em Administração Pública (FGV) e Auditoria Interna e Controle Governamental (ISC/
CEFOR).

Controles Internos Segundo o Coso I e o Coso II

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Controles Internos Segundo o Coso I e o Coso II

Enviado por

Direitos autorais:

Formatos disponíveis

AUDITORIA

Controles Internos segundo o COSO I e o COSO II .................................................................... 3

CONTROLES INTERNOS SEGUNDO O COSO I E O COSO II

Controle Interno (COSO I)

• Conformidade: esses objetivos dizem respeito à aderência a normas, leis e regulamen-

Limitações dos Controles Internos de uma Entidade

Portanto, a despeito de oferecer importantes benefícios, o controle interno está sujeito a

que o conselho de administração e a diretoria executiva tenham absoluta garantia da realiza-

Componentes de Controle Interno

O ambiente dá o tom de uma organização, influenciando a consciência de controle das pes-

• a atribuição de autoridade e responsabilidade que representa uma extensão do desen-

A informação e a comunicação são essenciais para a concretização de todos os objetivos

Monitoramento ou monitoração é um processo que avalia a qualidade do desempenho dos

• atividades rotineiras ou contínuas,

Princípios Relevantes Associados a cada Componente

Relacionamento entre Objetivos e Componentes

Figura 1: Cubo do COSO

• Conselho de Administração. Como parte de seus deveres de governança e supervisão

Eficácia dos Controles Internos

Quando existe uma deficiência maior com respeito à presença e ao funcionamento de um

A estrutura requer que haja julgamento no desenho, implementação e condução do contro-

Enterprise Risk Management (COSO ERM) – Estrutura Integrada de

Assim, uma estrutura de gerenciamento de riscos corporativos capaz de fornecer os prin-

• Reduzir as surpresas e prejuízos operacionais – as organizações adquirem melhor ca-

Essas qualidades, inerentes ao gerenciamento de riscos corporativos ajudam os adminis-

Definição de Gerenciamento de Riscos Corporativos

O gerenciamento de riscos corporativos é um processo conduzido em uma organização pelo conse-

Essa definição reflete certos conceitos fundamentais. O gerenciamento de riscos cor-

• aplicado em toda a organização, em todos os níveis e unidades, e inclui a formação de

Essa definição é intencionalmente ampla e adota conceitos fundamentais sobre a forma

Da definição de gerenciamento de riscos, cabe ressaltar o apetite a risco.

Essa classificação possibilita um enfoque nos aspectos específicos do gerenciamento de

Quando considerados em conjunto com informações públicas, utiliza-se uma definição

Obs.: o atendimento aos objetivos relacionados às categorias de comunicação e confor-

Como parte do gerenciamento de riscos corporativos, a administração não apenas selecio-

Componentes do Gerenciamento de Riscos Corporativos

COMPONENTES COSO I COMPONENTES COSO II

Informação e comunicação Avaliação de riscos

Os objetivos são fixados no âmbito estratégico, operacionais, de comunicação e de cum-

Portanto, a fixação de objetivos é uma precondição à identificação de evento, à avaliação

A administração identifica os eventos em potencial que, se ocorrerem, afetarão a organiza-

• Infraestrutura: aumento da alocação de capital em manutenção preventiva e suporte ao

Contexto para a Avaliação de Riscos

Risco Inerente e Residual

A administração leva em conta tanto o risco inerente quanto o residual:

Após o desenvolvimento das respostas aos riscos, a administração passará a considerar

Estimativa da Probabilidade e do Impacto

A incerteza de eventos em potencial é avaliada a partir de duas perspectivas – probabi-

Figura 2: Avaliação de Riscos

Quando ... Estratégia de resposta:

Os custos de melhorias internas são mais altos TRANSFERIR PARTE DO RISCO

As perdas esperadas são menores do que o custo MANTER / CONTROLAR

As perdas esperadas excedem o custo do negócio EVITAR / SAIR

As perdas esperadas podem ser reduzidas com MITIGAR

Políticas e procedimentos são estabelecidos e implementados para assegurar que as res-

• Revisões da Alta Direção: a alta direção compara o desempenho atual em relação ao

• Segregação de funções (autorização, execução, registro, controle): as obrigações são

As informações relevantes são identificadas, colhidas e comunicadas de forma e no prazo

A integridade da gestão de riscos corporativos é monitorada e são feitas as modificações

Relacionamento entre Objetivos e Componentes

Figura 3: O Cubo do COSO II

• As quatro categorias de objetivos (estratégicos, operacionais, de comunicação e confor-