Considerando que o 

framework Controle Interno – Estrutura Integrada, elaborado pelo COSO, permite

avaliar a eficácia de um sistema de controle interno, assinale verdadeiro ou falso para as afirmativas
a seguir.
a) A presença de um controle interno
eficaz juntamente com uma supervisão
de gestão de riscos madura permite que
a organização defina objetivos Resposta 1
estratégicos que considerem os riscos
 
desde sua escolha, ao invés de apenas
definir objetivos e se sujeitar aos riscos
associados.
b) Controle interno é um processo
conduzido pela estrutura de Resposta 2
governança, pela administração e por
 
outros profissionais da entidade.
c) Um sistema de controle interno
eficaz proporciona garantia razoável à
Resposta 3
realização dos objetivos da entidade,
por meio da manutenção dos riscos em  
um nível aceitável.
d) O controle interno se confunde com
o processo de gestão, pois ambos são Resposta 4
de responsabilidade geral da
 
administração.
e) O framework Controle Interno –
Estrutura Integrada recomenda a
implementação de um sistema de Resposta 5
controle interno antes que os objetivos
 
da entidade estejam estabelecidos e
fixados para a organização.
Feedback

Sua resposta está correta.

A alternativa “a” é verdadeira. Dessa forma, um sistema de controle interno eficaz proporciona garantia
razoável à realização dos objetivos da entidade, por meio da manutenção dos riscos em um nível
aceitável.

A alternativa “b” é verdadeira. O controle interno é um processo desenvolvido para proporcionar

segurança razoável com respeito à realização dos objetivos relacionados a operações, à divulgação e à
conformidade, daí a necessidade do envolvimento da estrutura de governança, da administração e de
outros profissionais da entidade.

A alternativa “c” é verdadeira. Os controles internos atuam sobre os riscos da organização, de forma a
mantê-los em níveis aceitáveis previamente definidos pela administração.

A alternativa “d” é falsa. O controle interno não se confunde com o processo de gestão, pois em que pese
o controle interno ser de responsabilidade geral da administração, nem toda ação realizada pela
administração faz parte do controle interno, tais como a tomada de decisões estratégicas que possam
impactar os objetivos da organização e o estabelecimento do nível geral de apetite a risco.

A alternativa “e” é falsa. O referencial não recomenda a implementação de um sistema de controle interno
antes que os objetivos da entidade estejam estabelecidos e fixados para a organização. Os riscos estão
associados a objetivos, e os controles são implementados para atuar sobre os riscos, então, não seria
possível estabelecer a estrutura de controles internos sem saber, primeiramente, quais são os objetivos a
serem alcançados.

Questão 2
Correto
Atingiu 1,00 de 1,00

Marcar questão
Texto da questão

Considerando que o ambiente de controle constitui a base para implementação de uma estrutura de
controles internos eficaz, assinale a alternativa que apresenta o papel do ambiente de controle.

Escolha uma opção:

a. O ambiente de controle sofre influência de diversos fatores internos e externos, tais como a atuação
de concorrência, o nível regulatório, a cultura organizacional, a história de entidade. 

b. Para avaliar o ambiente de controle, não é necessário que a estrutura de governança e a alta
administração demonstrem, por meio de ações, orientações e comportamento, a relevância dos valores
éticos e da integridade liderando pelo exemplo.

c. Como parte do ambiente interno, é importante que a estrutura de governança possua membros
dependentes da alta administração para manter a objetividade das avaliações e decisões; delegar suas
responsabilidades de supervisão sobre a alta administração; e supervisionar a terceira linha de defesa no
desenho, na implementação e na aplicação do controle interno.

d. Cabe ao auditor interno estabelecer as diretrizes, as orientações e o controle que permitam a todos
exercerem suas responsabilidades, dentro do apetite à risco da organização e dos valores estabelecidos.

e. O papel da organização em atrair, desenvolver e reter talentos não se relaciona com o ambiente de
controle.
Feedback

Sua resposta está correta.

A alternativa “a” está correta. O ambiente de controle é um conjunto de normas, estruturas e processos
que, juntos, orientam quanto a valores éticos e à integridade que guiam a administração. Portanto, há
influência dos fatores citados e de outros, tanto externos quanto internos à organização.

A alternativa “b” está incorreta. A estrutura de governança e a alta administração devem sempre
demonstrar pelo exemplo a obediência a normas de conduta e a expectativa quanto ao controle interno
desenhado para a organização, o que normalmente denomina-se como o tom do controle que se deseja.

A alternativa “c” está incorreta. A estrutura de governança deve possuir membros independentes da alta
administração; deve aceitar e executar suas responsabilidades de supervisão sobre a alta administração,
a qual é responsável pela estrutura de controle interno, não cabendo à terceira linha de defesa (auditoria)
tais atribuições.

A alternativa “d” está incorreta. Esse papel deve ser exercido pela alta administração. Na delegação de
autoridade, inclusive, é importante que sejam estabelecidos limites, para que não sejam aceitos riscos
indevidos e para que se mantenha a segregação de funções.

A alternativa “e” está incorreta. As políticas e práticas da organização servem como base para a definição
das competências necessárias, para criar procedimentos de avaliação de desempenho e para a
determinação de ações corretivas, o que se relaciona diretamente com um dos princípios do ambiente de
controle: “a organização demonstra comprometimento para atrair, desenvolver e reter talentos
competentes, em linha com seus objetivos”.

Questão 3
Correto
Atingiu 1,00 de 1,00

Marcar questão
Texto da questão

Tendo em vista os princípios que compõem o componente ambiente de controle, julgue cada alternativa
como verdadeira ou falsa.

a) Cabe aos auditores internos

desenhar, implementar e avaliar
periodicamente as estruturas, as Resposta 1
autoridades e responsabilidades
 
relacionadas ao sistema de controle
interno para o alcance dos objetivos.
b) A alta administração deve
identificar e avaliar as funções
julgadas essenciais para o atingimento
dos objetivos, devendo haver planos de Resposta 2
contingência e planos de sucessão para
 
os principais candidatos à sucessão
desses executivos-chave da
organização.
c) Os membros da estrutura de
governança devem se manter
permanentemente capacitados e serem Resposta 3
periodicamente avaliados quanto a se
 
permanecem aptos às necessidades da
organização.
d) É comum que as estruturas de Resposta 4
governança criem, por necessidade ou
 
obrigação legal, comitês de suporte ao
papel de supervisão para atuarem sob
temas específicos.
e) O estabelecimento de metas de
Resposta 5
desempenho razoáveis contribui para o
descumprimento do código de conduta.  
Feedback

Sua resposta está correta.

A alternativa “a” é falsa. O papel de exercer tais funções cabe à alta administração. Inclusive, quando há
delegação de responsabilidades, há necessidade de prestação de contas, por parte das instâncias que
vão atuar por delegação, aos supervisores indicados.

A alternativa “b” é verdadeira. Tais ações se fazem necessárias, pois toda organização tem um objetivo
comum de perenidade, e as funções estratégicas devem ser providas com planejamento e critérios.

A alternativa “c” é verdadeira. Os membros das estruturas de governança devem ter conhecimentos
técnicos necessários e integridade, pensamento crítico, padrões éticos e habilidades, permitindo debates
e deliberações acerca de: controle interno, assuntos da área financeira, questões legais, regulatórias,
sociais e ambientais, sistemas e tecnologias importantes para o negócio.

A alternativa “d” é verdadeira. Alguns exemplos são os comitês de auditoria, de elegibilidade ou sucessão,
de riscos e de remuneração.

A alternativa “e” é falsa. O estabelecimento de metas de desempenho razoáveis tende a contribuir para
um ambiente de controle adequado, ao passo que metas sem razoabilidade criam distorções em termos
de conduta, abrindo possibilidade para se burlar o código de conduta e outras regras existentes.

Questão 4
Correto
Atingiu 1,00 de 1,00

Marcar questão
Texto da questão

Considerando os princípios associados ao componente avaliação de riscos, assinale a alternativa que

apresenta papel da organização no gerenciamento de riscos.

Escolha uma opção:

a. A organização precisa identificar apenas os riscos associados à segunda linha de defesa, na qual está
inserida a área de gestão de riscos.

b. Não é papel de uma organização considerar o potencial de fraude na avaliação dos riscos, pois isso é
realizado pelos órgãos de controle.

c. Para a organização, a avaliação de riscos é um processo estático que, uma vez realizado, prescinde
de revisão, necessitando apenas de monitoramento dos riscos estabelecidos.

d. A organização deve especificar os objetivos com clareza suficiente para permitir a identificação e a
avaliação dos riscos associados aos objetivos. 
Feedback
Sua resposta está correta.
A alternativa “a” está incorreta. A organização precisa identificar riscos em todos os níveis e áreas e que
possam afetar todas as categorias de objetivos (operacionais, de divulgação e de conformidade).

A alternativa “b” está incorreta. Esse papel deve ser exercido pela organização, pois se trata de riscos
associados à divulgação de informações fraudulentas, ao cometimento de atos ilegais, à apropriação
indevida ativos, entre outros.

A alternativa “c” está incorreta. O processo de gerenciamento de riscos é dinâmico e precisa ser revisado.
A organização precisa identificar e avaliar mudanças, tais como: alterações regulatórias e econômicas;
novas tecnologias; perda de parceiros de negócios.

A alternativa “d” está correta. O processo de gerenciamento de riscos parte dos objetivos institucionais, ou
seja, é preciso identificar os riscos que podem interferir no alcance de tais objetivos. Estabelecer objetivos
nítidos e confirmar se estão adequados junto à alta administração permite iniciar a avaliação de riscos em
bases consistentes.

Questão 5
Correto
Atingiu 1,00 de 1,00

Marcar questão
Texto da questão

Considerando que existem riscos em qualquer negócio, associe os conceitos à sua

respectiva descrição.
a) Risco
Resposta 1
b) Risco inerente
Resposta 2
c) Risco residual
Resposta 3
d) Tolerância ao risco
Resposta 4
e) Apetite a risco
Resposta 5
Feedback

Sua resposta está correta.

Toda organização possui objetivos institucionais, aos quais existem riscos associados. No processo de
gerenciamento de riscos, eles são identificados, analisados e, a partir daí, medidas mitigadoras poderão
ser adotadas com o fim de dar tratamento a esses riscos, permitindo o alcance dos objetivos definidos. 

Risco: possibilidade de ocorrer um evento que venha a ter impacto no cumprimento dos objetivos
organizacionais.

Risco inerente: quando uma organização está exposta sem considerar quaisquer ações gerenciais que
possam reduzir a probabilidade de sua ocorrência ou seu impacto.

Risco residual: quando uma organização está exposta após a implementação de ações gerenciais para o
tratamento do risco.

Tolerância ao risco: nível aceitável de variação no desempenho quanto à realização dos objetivos.
Apetite a risco: nível de risco que uma organização está disposta a aceitar.

Questão 6
Correto
Atingiu 1,00 de 1,00

Marcar questão
Texto da questão

Considerando que as atividades de controle ajudam a mitigar os riscos que ameaçam a realização dos
objetivos organizacionais, analise as assertivas e em seguida assinale a alternativa correta.

I. Atividades de controle são aplicadas tanto para diminuir a probabilidade de ocorrência de riscos
quanto para diminuir a amplitude das consequências, no caso da ocorrência do risco.

II. Autorizações/aprovações e reconciliações são exemplos de tipos de atividades de controle.

III. Ao desenvolver atividades de controle, a administração deve considerar se determinadas

funções estão separadas ou segregadas entre pessoas diferentes.

Escolha uma opção:

a. Todas as assertivas estão erradas.

b. Somente a assertiva I está correta.

c. Somente a assertiva II está correta. 

d. Somente a assertiva III está errada.

e. Todas as assertivas estão corretas. 

Feedback

Sua resposta está correta.

A assertiva I está correta. Em geral, atividades de controle não são necessárias quando uma entidade
opta por aceitar um risco específico, entretanto, caso opte por mitigar a probabilidade de ocorrência de
evento de risco, deverá desenvolver uma atividade de controle para isso. A estratégia de resposta aos
riscos serve como base para selecionar e desenvolver as atividades de controle.

A assertiva II está correta. Uma autorização afirma que uma transação é válida e, normalmente, assume a
forma de uma aprovação dada por um nível mais alto da administração ou de uma verificação e
determinação de que a transação é válida. Já reconciliações comparam dois ou mais elementos de dados
e, em caso de diferença, alguma medida é tomada para fazer os acertos.

A assertiva III está correta. A segregação de funções geralmente implica dividir as responsabilidades de
registro, de autorização e de aprovação de transações, bem como de manuseio dos ativos relacionados,
com a finalidade de reduzir o risco de erros ou de ações inadequadas ou fraudulentas.

Questão 7
Correto
Atingiu 1,00 de 1,00
 Marcar questão
Texto da questão

Considerando que as atividades de controle correspondem à execução prática das respostas planejadas
aos riscos, julgue cada alternativa como verdadeira ou falsa.

a) A administração deve reavaliar

periodicamente políticas e Resposta 1
procedimentos, assim como as
 
atividades de controle relacionadas.
b) O controle físico é um tipo de
atividade de controle que permite
Resposta 2
garantir que equipamentos, estoques,
numerário e outros ativos sejam  
mantidos em segurança física.
c) As atividades de controle são
realizadas exclusivamente na primeira Resposta 3
linha de defesa, constituída pelas áreas
 
operacionais da organização.
d) A atividade de controle deve
possuir um propósito específico, Resposta 4
necessariamente relacionado com um
 
ou mais riscos.
e) É necessário avaliar a combinação Resposta 5
de tipos de atividades de controle.
 
Feedback

Sua resposta está correta.

A alternativa “a” é verdadeira. Tal medida pretende assegurar a relevância e a eficácia permanentes das
atividades de controle. A reavaliação deve ocorrer mesmo que não haja mudanças significativas nos
objetivos ou nos riscos da organização.

A alternativa “b” é verdadeira. Os controles físicos permitem, ainda, que os ativos sejam contados
periodicamente e que os saldos sejam comparados com os registros anteriores.

A alternativa “c” é falsa. As atividades de controle são realizadas em todos os níveis da organização e
podem ser aplicadas em vários estágios dos processos corporativos e no ambiente tecnológico.

A alternativa “d” é verdadeira. Atividades de controle são aplicadas tanto para diminuir a probabilidade de
ocorrência de riscos quanto para diminuir a amplitude das consequências, caso o risco ocorra.

A alternativa “e” é verdadeira. Existem vários tipos de atividades de controle, assim como existem
controles manuais e automatizados e, ainda, controles preventivos e de detecção. A administração deve
avaliar a combinação dos diferentes tipos de atividades de controle para mitigar seus riscos.

Questão 8
 Correto
Atingiu 1,00 de 1,00

Marcar questão
Texto da questão

Considerando que é a partir da informação que as análises são construídas e as decisões são tomadas,
assinale a alternativa que apresenta a importância da informação.

Escolha uma opção:

a. O controle interno dissemina as informações e alinha todos os componentes da organização.

b. As fontes de dados que possam vir a se transformar em informações úteis para o atingimento dos
objetivos organizacionais são sempre externas à organização.

c. O sistema de informação é utilizado como apoio à tomada de decisão e obtém informações
principalmente a partir dos controles internos utilizados para que essas informações sejam úteis,
tempestivas e com qualidade. 

d. A qualidade da informação não afeta o sucesso do sistema de controle interno.

e. A comunicação com a estrutura de governança não está prevista no componente informação e
comunicação.
Feedback

Sua resposta está correta.

A alternativa “a” está incorreta. A comunicação é que cumpre esse papel.

A alternativa “b” está incorreta. Fontes de dados, independente de internas ou externas, devem ser
utilizadas nos processos de tomada de decisão e monitoramento do ambiente interno e externo à
organização.

A alternativa “c” está correta. Deve-se avaliar os elementos necessários para o sistema de informação de
acordo com a natureza do negócio e com o apetite a risco, para identificação de quais controles internos
são realmente necessários.

A alternativa “d” está incorreta. A qualidade da informação é requisito-chave para o sucesso do sistema
de controle interno, sendo desejável que a informação seja: acessível ou disponível, correta, atualizada
de acordo com os requisitos de informação, suficiente, tempestiva e verificável ou passível de verificação.

A alternativa “e” está incorreta. Para que as atividades de controle sejam eficazes, quaisquer situações
relacionadas aos controles devem ser comunicadas aos responsáveis que tenham atribuições de
gerenciamento e de governança, inclusive as comunicações externas devem estar disponíveis para a
estrutura de governança.

Questão 9
Correto
Atingiu 1,00 de 1,00

Marcar questão
 Texto da questão

Considerando que o componente informação e comunicação tem importantes

contribuições para todos os demais componentes, associe cada ponto de foco da coluna
à esquerda com a respectiva característica na coluna à direita.
a) Fontes internas e externas de dados
Resposta 1  
b) Custo-benefício
Resposta 2  
c) Possibilitar o recebimento de comunicações Resposta 3  
d) Comunicar as informações de controle interno
Resposta 4  
e) Fornecer linhas de comunicação independentes
Resposta 5  
Feedback

Sua resposta está correta.

A comunicação é um processo de extrema relevância, que dissemina as informações e alinha todos os
componentes da organização. A partir das comunicações são concebidas as informações necessárias
para modelar os controles internos e compartilhar informações entres os níveis hierárquicos da
organização. No setor público, a comunicação externa tem especial relevância, pois questões
relacionadas ao interesse público e à transparência das decisões exigem razoável garantia de que todos
os componentes do controle interno estejam em funcionamento. 

Fontes internas e externas de dados: capturar todas as fontes de dados que possam vir a se transformar
em informações úteis para o atingimento dos objetivos organizacionais. Fontes de dados, independente
de internas ou externas, devem ser utilizadas nos processos de tomada de decisão e monitoramento do
ambiente interno e externo da organização.

Custo-benefício: informação que custa mais para ser obtida ou mantida do que o valor agregado que
proporciona à organização possivelmente deverá ser descartada. A mesma análise pode ser feita em
relação ao risco de manter a informação armazenada em detrimento do descarte imediato da informação
após o uso.

Possibilitar o recebimento de comunicações: a organização deve obter informações sobre seu controle
interno por meio de fontes externas, incluindo a realização de pesquisas. Canais externos de
comunicação permitem o recebimento de informações que podem ser vitais à organização, relacionadas
ou não aos controles internos existentes.

Comunicar as informações de controle interno: comunicações eficazes são necessárias para identificar
informações que poderiam mitigar problemas e fraudes. O monitoramento depende da comunicação
eficaz e, a partir dela, as responsabilidades sobre as ações de controle interno são definidas e avaliadas.

Fornecer linhas de comunicação independentes: canais de comunicação, tais como recebimento de

denúncias, estabelecimento de comissão de ética e de ouvidoria, devem estar disponíveis para o
ambiente externo.

Questão 10
Correto
Atingiu 1,00 de 1,00
 Marcar questão
Texto da questão

Considerando as avaliações que a organização deve desenvolver para certificar a existência e o

funcionamento dos componentes do controle interno, bem como a comunicação do resultado dessa
atividade de monitoramento, assinale a alternativa que representa o monitoramento.

Escolha uma opção:

a. O monitoramento efetivo, por meio de avaliações contínuas e de auditorias, deve estar implementado
para identificar e responder a situações normais de operação da entidade, pois seria impossível
contemplar as mudanças que ocorrem ao longo do tempo na organização.

b. O processo de monitoramento das atividades deve ser acompanhado pelo uso de linhas de base para
definir o estado atual e comparar a evolução das operações. 

c. A periodicidade em que serão realizadas as medições ou avaliações deve ser definida de acordo com
as prioridades da área responsável pelo monitoramento.

d. Para um monitoramento eficaz, não é preciso identificar e comunicar as deficiências, pois isso impede
o atingimento dos objetivos organizacionais.

e. O aprimoramento dos controles para reduzir o risco de que uma deficiência seja explorada ou
simplesmente gere algum incidente não se relaciona à atividade de monitoramento.
Feedback

Sua resposta está correta.

A alternativa “a” está incorreta. As mudanças são originadas de fatores internos e externos e, como as
organizações devem reagir adequadamente às alterações em seu ambiente, aos novos riscos e
oportunidades, o monitoramento deve estar implementado para identificar e responder a essas
mudanças.

A alternativa “b” está correta. É preciso estabelecer o entendimento da base de referência do processo de
monitoramento. A partir disso, ela poderá ser utilizada para identificar situações de erros ou de fraudes e
iniciar os processos de resposta aos incidentes.

A alternativa “c” está incorreta. A periodicidade deve ser ajustada de acordo com a dificuldade de obter as
informações e a classificação dos riscos sob análise, respeitando a relação de custo-benefício do
controle. Processos com mudanças muito frequentes devem adotar controles que resistam a elas.

A alternativa “d” está incorreta. Identificar e comunicar as deficiências aumenta a probabilidade de

alcançar os objetivos. As deficiências identificadas são um aspecto essencial para o aprimoramento dos
controles. Essas deficiências devem ser documentadas e, para as que forem avaliadas como relevantes,
deve ser estabelecido plano de ação a fim de mitigá-las.

A alternativa “e” está incorreta. O aprimoramento dos controles também pode ser resultado do
monitoramento. O estabelecimento de um plano de ação com prazos, responsáveis e resultados realistas
é necessário para comunicar adequadamente o tratamento da deficiência. Em complemento, a
comunicação das medidas ajuda a promover a transparência e a formação do ambiente de controle da
organização.
 Questão 11
Correto
Atingiu 1,00 de 1,00

Marcar questão
Texto da questão

Considerando as atividades de monitoramento que auxiliam na tomada de decisões relacionadas ao

gerenciamento de riscos e ao aprimoramento dos trabalhos, julgue os itens em verdadeiro ou falso.

a) O monitoramento de uma
organização tem o objetivo de avaliar Resposta 1
se os controles internos estão
 
presentes e se são efetivos.
b) O monitoramento não inclui a Resposta 2
adoção das ações corretivas.
 
c) A evolução da tecnologia não
Resposta 3
trouxe novas formas de realizar o
monitoramento.  
d) A atividade de monitoramento deve
observar toda a organização e integrar Resposta 4
os diversos processos necessários para
 
o alcance dos objetivos.
e) As atividades de supervisão e de
controle de qualidade não podem ser Resposta 5
classificadas como atividades de
 
monitoramento.
f) No caso de organizações públicas, o
processo de monitoramento envolve a Resposta 6
necessidade de transparência na
 
aplicação de recursos públicos.
g) O processo de monitoramento
Resposta 7
depende do processo de coleta e de
disponibilização de informações.  
Feedback

Sua resposta está correta.

O Gabarito da questão é: V – F – F – V – F – V - V

O item ‘a’ é verdadeiro. O processo de monitoramento é responsável pelo gerenciamento de riscos

corporativos e deve monitorar tanto a implementação como a eficácia dos controles internos em toda
organização.
O item ‘b’ é falso. Se concebido adequadamente, o monitoramento pode encaminhar ações tempestivas e
iniciar as atividades de compensação visando adequar a operação dos processos de trabalho aos
resultados esperados.  Ou seja, ele inclui a adoção das ações corretivas.

O item ‘c’ é falso. Com a evolução da tecnologia existe um enorme leque de opções para
operacionalização do monitoramento, tanto para detecção de eventos indesejados, quanto para
atividades gerenciais relacionadas aos resultados esperados de toda organização.

O item ‘d’ é verdadeiro. O monitoramento auxilia na tomada de decisões relacionadas ao gerenciamento

de riscos, que perpassa toda a organização, e colabora para o aprimoramento dos trabalhos de todas as
áreas.

O item ‘e’ é falso. A ideia central do monitoramento é subsidiar os gestores com informações mais simples
e tempestivas sobre a operação e os efeitos dos processos de trabalho em termos de efetividade e de
resultados, o que as atividades de supervisão e de controle de qualidade também fazem.

O item “f” é verdadeiro. O processo de monitoramento em organizações públicas é singular, e a legislação

reforça a necessidade de divulgação e de publicidade dos trabalhos realizados.

O item “g” é verdadeiro. Quanto maior a quantidade e a qualidade das informações disponíveis, maior
será a efetividade do sistema de monitoramento.