GRC Auditoria

Governança, Riscos e
Controles
Auditoria Governamental
Prof. Jetro Coutinho
carol sena - 03092599594

Sumário
SUMÁRIO ...................................................................................................................................................................2
GOVERNANÇA, RISCOS E CONTROLES (GRC) ....................................................................................................3
GOVERNANÇA: GOVERNAR O QUÊ, PAPAI?....................................................................................................................... 3

Governança no Setor Privado: a Governança Corporativa ....................................................................................... 4
Governança no Setor Público: um monstrinho mais assustador............................................................................... 8
Princípios de Governança no Setor Público ........................................................................................................... 14
GERENCIANDO O RISCO DAS COISAS DAREM ERRADO ....................................................................................................... 16
Estabelecendo objetivos e definindo risco ............................................................................................................. 16
Para que serve a gestão de riscos e o que ela tem a ver com governança? .............................................................. 18
COSO I: AGORA, SIM, TU VAI ENTENDER ESSE CUBO DOS INFERNOS! ................................................................................. 21
Controles internos segundo o COSO: Definição, Objetivos e Limitações ................................................................. 21
Componentes do Controle Interno ....................................................................................................................... 24
Relação entre Objetivos e Componentes .............................................................................................................. 30
Utilização do COSO ICIF ...................................................................................................................................... 31
Controle interno eficaz ........................................................................................................................................ 32
Conclusão sobre GRC .......................................................................................................................................... 33
GRC E AUDITORIA GOVERNAMENTAL ........................................................................................................................... 34
COSO ERM: O COSO VOLTADO PARA A GESTÃO DE RISCOS........................................................................................... 35
QUESTÕES COMENTADAS PELOS PROFESSORES ................................................................................ 47

LISTA DE QUESTÕES ........................................................................................................................................ 71
GABARITO ............................................................................................................................................................ 80
RESUMO DIRECIONADO ................................................................................................................................. 81
2 de 85| www.direcaoconcursos.com.br
carol sena - 03092599594
Governança, Riscos e Controles (GRC)
Apesar de “controle internos” ser um tema muito comum nos editais de Auditoria Governamental e afins,
não é possível nós irmos direto a estes conceitos. Não dá. É que nem tentar resolver uma equação de 2º grau sem
antes ter aprendido a somar, subtrair e etc...
Ou seja, existem pré-requisitos para que você possa entender completamente o que são controles
internos. Bora?
Governança: Governar o quê, papai?

Na aula passada, estudamos a Teoria da agência, que vai dizer que o dono do negócio (chamado de
Principal) vai delegar a gestão do seu negócio para um contratado (chamado de agente). A questão é que o
Principal tem seus interesses e o Agente tem seus próprios interesses, que não necessariamente são os mesmos
interesses do Principal.
E aí, ao longo do tempo, como a ação do agente é não observável (isto é, o principal não consegue ficar
de olho no agente o tempo inteiro), pode haver um conflito de interesses, causado pela assimetria de
informação, já que o agente passa a conhecer mais do negócio do que o principal.
Olhe só a figura abaixo:
Vimos também que a teoria da agência perpassa todas as relações humanas (você votou em um deputado,
portanto, você é o principal. Como você garante que o deputado, agente, está agindo no seu interesse de Principal
e não no dele próprio? Outro exemplo: você contratou um advogado para te defender em um processo. Como
você garante que ele, agente, está agindo no seu interesse de Principal e não no dele próprio? Você contratou um
corretor de imóveis para comprar uma casa. Como você garante que o corretor, agente, está agindo no seu
interesse (de comprar/alugar uma casa legal) e não no interesse dele de maximizar a corretagem? Tudo isso
envolve a teoria de agência).
carol sena - 03092599594
Além disso, vimos que a Governança é um conjunto de instrumentos para alinhar o interesse do agente ao
interesse do principal. Agora, vamos aprofundar um pouco mais esse conceito.
Pois bem, governança é um conjunto de ações, procedimentos e estruturas das empresas (e do setor
público também, veremos daqui a pouco. Guenta aí!) que buscam fazer com que o agente atenda os interesses do
principal!
A Governança, então, vai minimizar o problema de agência, para viabilizar o alinhamento do interesse do
agente com os interesses do principal (a auditoria é apenas um dos instrumentos de governança).
No caso de uma empresa, a governança vai atuar na organização para garantir que os agentes
(funcionários da empresa) atuem de acordo com o interesse dos acionistas e investidores da empresa. No setor
público, a governança vai atuar para que a Administração Pública como um todo atue no interesse do cidadão.
Apesar dessa semelhança entre governança no setor privado e no setor público, temos algumas
diferenças. Vamos dar uma olhada mais aprofundada em cada uma dessas paradas.
Governança no Setor Privado: a Governança Corporativa

Quando a empresa é pequena, geralmente nós temos apenas 1 principal, que é o dono do negócio. No
entanto, com a evolução da sociedade, as empresas cresceram muito. Chegou uma hora que elas começaram a
ser divididas em pequenas parcelas, chamadas ações. Geralmente, essas ações são negociadas nas bolsas de
valores. Dizemos que as ações são negociadas no mercado de capitais (que nada mais é do que o mercado de ações
e mais algumas coisinhas).
Então, se você comprar uma ação, você é considerado acionista daquela empresa e, portanto, você é dono
dela. Claro que, se a empresa tem 10 bilhões de ações e você só tem 1, você é dono de apenas uma minúscula parte
da empresa. Mas se você for dono de 3 bilhões de ações, você é dono de 30% da empresa.
Pois bem, numa empresa de capital aberto, quem possui ação de uma empresa é sócio dela e, portanto, é
também um principal. Mas pare para pensar no tanto de acionista que empresas como Apple, Facebook, Itaú e Vivo
possuem! Na prática, fica impossível atender a todos os acionistas o tempo todo.
Para organizar a forma como esses investidores exercem influência na empresa, é que nós temos a
legislação de mercado de capitais, como, por exemplo, a Lei 6.404 (que você estuda na Contabilidade Geral) aqui
do Brasil.
carol sena - 03092599594
Essa Lei prevê que os acionistas precisam se organizar em uma Assembleia-Geral para escolherem, por
voto, alguns representantes para as instâncias de governança, isto é, instâncias das empresas que vão defender o
interesse dos acionistas na empresa. Olhe só o desenho abaixo:
A primeira instância que os sócios escolhem é o chamado Conselho de Administração (CA). Este conselho
é um agente de governança e é dele a responsabilidade de orientar a estratégia da empresa para que atenda aos
interesses do principal.
Uma das funções do CA é escolher o Presidente da empresa (Diretor-Presidente) que vai executar a
orientação estratégica do CA. Ou seja, o Presidente de uma empresa é um executor da orientação dada pelo
Conselho de Administração. Tanto é que a sigla em inglês para presidente de uma empresa é CEO (Chief Executive
Officer, ou seja, Oficial Chefe Executivo, pois ele executa a orientação do CA). Portanto, o Diretor-Presidente não
“manda” na empresa, ele apenas tem que concretizar a visão que o CA (que representa o principal) tem para a
empresa.
Além de escolher o presidente, o CA também precisa supervisionar o desempenho do Presidente da

Empresa. Por sua vez, cabe ao Diretor-Presidente escolher os Diretores das demais áreas da empresa (diretor de
marketing, de vendas, de TI, de Contabilidade, etc).
O Diretor-Presidente e os Diretores (chamados de Diretoria ou Diretoria Colegiada) são os responsáveis

pela gestão da empresa. Isto é, eles tocam o dia-a-dia da empresa, são os executores. Já o CONSELHO DE
ADMINISTRAÇÃO NÃO É RESPONSÀVEL PELA GESTÃO DA EMPRESA. O CA não é um agente de gestão, ele é
um agente de governança ou seja, ele não executa, ele supervisiona e fiscaliza.
carol sena - 03092599594
O Conselho de Administração é um agente de governança, pois supervisiona e fiscaliza a gestão.
No entanto, como o Conselho de Administração é responsável por orientar a estratégia da empresa, a Lei
6.404/76 define que tanto os componentes do CA quanto a Diretoria da Empresa tem responsabilidade por seus
atos na empresa. Isso acontece porque se o CA orientar a estratégia de forma inadequada, a empresa sofre e as
partes interessadas (funcionários, fornecedores, governo e os próprios acionistas) são prejudicadas.
Como os atos praticados pelo CA e pela Diretoria tem uma influência muito grande no rumo que a empresa
toma, a Lei 6.404 define esse pessoal como Administradores. Isto é, aqueles que administram a empresa: seja
supervisionando e fiscalizando a gestão (CA) seja executando a orientação estratégica (Diretoria).
Justamente pela responsabilidade que possui, é comum que o CA eleja um comitê de auditoria: um órgão
que vai auxiliar o Conselho de Administração a garantir a qualidade das demonstrações contábeis e a assegurar a
confiabilidade e integridade das informações geradas.
Assim, o comitê de auditoria é um órgão de fiscalização, pois ele fiscaliza atos de gestão para auxiliar o CA
na supervisão da empresa. Além disso, é comum que o comitê de auditoria fique responsável pelo relacionamento
com a Auditoria Independente (aquela Auditoria contratada para avaliar as demonstrações contábeis) e com a
Auditoria Interna (a auditoria que fica dentro da empresa para ajudar a fiscalizar a gestão da empresa). Tanto a
Auditoria independente quanto a Interna mandam o resultado de seus trabalhos para o comitê de auditoria, caso
este exista. Se não existir, as auditorias são enviadas diretamente ao CA.
Uma outra instância de governança que os sócios elegem é o Conselho Fiscal (CF). A principal função do
CF é fiscalizar os atos dos administradores (CA+Diretoria), examinar as demonstrações contábeis da empresa, dar
sua opinião sobre a atuação da empresa e algumas coisinhas a mais1.
O CF é, como o nome diz, um órgão de fiscalização. Só que é um conselho que se preocupa mais com a
parte fiscal da empresa (gastos, receitas, despesas, demonstrações contábeis, orçamento, investimentos, etc).
A diferença do Conselho Fiscal em relação ao comitê de auditoria é que o comitê de auditoria é formado
pelos administradores. Já o CF, não. O CF é eleito pelos sócios e, portanto, o CF é independente dos
administradores.
A ideia do CF é ser um agente de governança que irá reportar diretamente aos sócios. Se alguma coisa
tiver errada, o CF avisa ao principal.
Os principais agentes de governança em uma empresa são o CA, o CF, o comitê de auditoria (caso exista)
e as Auditorias (independente e interna).2 E são essas instâncias que precisam atender aos interesses do Principal.
1
Como aqui não é um curso de Contabilidade nem de 6404, não precisamos aprofundar nessas questões.
2
A secretaria de governança é uma instância que visa “organizar” os trabalhos do CA. Já os outros comitês variam de empresa
para empresa. Algumas tem comitê de Tecnologia da Informação, outras de Vendas, outras tem vários e etc.
carol sena - 03092599594
Chamamos o conjunto de agentes de governança de sistema de governança. Este sistema é que deve
funcionar para que os interesses do Principal sejam atendidos, minimizando os problemas de agência.
Para orientar a atuação dos agentes de governança, nós temos até princípios de governança! Esses
princípios são orientações de como podemos fazer com que os agentes atendam os interesses do principal. Esses
princípios são publicados pelo Instituto Brasileiro de Governança Corporativa – IBGC, que é um instituto que emite
orientações para a Governança Corporativa. São 4 no total, que são:
1. Transparência: Se o agente disponibilizar informações de interesse do Principal, temos mais

chance que os interesses do Principal sejam respeitados. A ideia é que a transparência não seja
dada apenas do que é imposto por lei ou regulamentos, mas, sim, do que é necessário para que o
Principal tome conhecimento. O dono de um negócio não quer saber apenas do lucro ou das
vendas da empresa, ele pode querer saber também de outras coisas (como a cultura da
organização, os bons funcionários, a reputação da marca, etc). E tudo isso precisa estar disponível
a ele. Os agentes de governança devem, portanto, agir com transparência.
2. Equidade: Às vezes, é possível que haja mais de um principal. É o caso de uma empresa que
negocie ações na Bolsa de Valores, por exemplo, como o Banco do Brasil. Se você comprar
1.000.000 de ações ou se você comprar 1, já pode se considerar dono de pelo menos parte da
companhia e, portanto, você é Principal dessa empresa.
Há pessoas que terão muitas ações (e, por possuírem muitas ações, influenciam mais a empresa)
e também há pessoas que possuem pouquíssimas ações (e que, por exemplo, não representem
nem 0,5% da empresa). Uma coisa que acontecia muito era que a empresa super respeitava o
grande acionista, mas tratava com desdém o acionista minoritário. O princípio da equidade visa
combater essa prática e orienta que deve haver tratamento justo e isonômico de todos os sócios e
demais partes interessadas na empresa (como os funcionários, os fornecedores, etc), levando em
consideração seus direitos, deveres, necessidades, interesses e expectativas.
3. Prestação de Contas (Accountability): Os agentes de governança devem prestar contas de sua

atuação de modo claro, conciso, compreensível e tempestivo. Além disso, os agentes devem
assumir integralmente as consequências de seus atos e omissões, pois devem atuar com diligência
e responsabilidade no âmbito dos seus papéis, de modo a alinhar sua atuação aos interesses do
principal.
Ou seja, os agentes devem prestar contas de tudo que fazem e assumir responsabilidade pelos
seus atos e omissões.
4. Responsabilidade Corporativa: Os agentes devem zelar pela viabilidade econômico-financeira

das organizações, levando em consideração os diversos capitais (financeiro, manufaturado,
intelectual, humano, social, ambiental, reputacional) no curto, médio e longo prazos.
Este princípio de Governança objetiva exigir do agente que ele não tome decisões visando apenas
o aspecto financeiro ou apenas o curto prazo, mas, sim, que ele considere todos os aspectos de
uma organização antes de tomar uma decisão.
carol sena - 03092599594
Os princípios de Governança Corporativa, segundo o IBGC, são: Transparência, Equidade, Prestação

de Contas e Responsabilidade Corporativa.
Esse é o sistema de governança corporativa. Lá do setor privado. Agora, vamos dar uma olhada em como funciona
a Governança no Setor Público.
Governança no Setor Público: um monstrinho mais assustador

No setor privado, o sistema de governança (conjunto dos agentes de governança) funciona de forma
“redondinha”, isto é, cada um tem a sua área de atuação e, todos são orientados a atender o interesse do Principal,
seja este apenas um dono do negócio ou os acionistas.
No setor público, o sistema de governança tem um obstáculo diferente: o Principal consiste em TODA A
POPULAÇÃO de um país. Ou seja, é muito complicado. Não só pelo número de pessoas (que, no geral é muito
maior do que o número de principais de uma empresa), mas também porque as vezes os diversos cidadãos querem
coisas diferentes do governo.
Em uma empresa, mesmo que os acionistas discordem entre si, todos eles tem um objetivo em comum: que
a empresa tenha um lucro sustentável.
Já no setor público, é diferente: a multiplicidade e disparidade de objetivos é enorme! Uns acham que o
governo tem que ser mais atuante, outros acham que ele precisa ser menos atuante. Uns defendem mais Estado,
outros defendem menos Estado. Uns acham que a prioridade máxima é a Saúde. Outros acham que a prioridade
máxima é a Educação. Entre os que acham que a Saúde é prioridade máxima, uns acham que a saúde preventiva
é o caminho a ser seguido, outros acham que o Estado tem que fornecer tratamento de alto custo. Há os que
acham que tem que ter tudo, há os que acham que não tem que ter nada. Entre os que acham que a prioridade
máxima é a Educação, uns acham que a educação básica deve receber maior atenção, outros acham que o ensino
superior deve receber mais recursos. Há os que acham que tem que ter tudo, há os que acham que não tem que
ter nada.
Ou seja, perceba que, no setor público, temos trocentos interesses do Principal e nem todos eles são
convergentes: alguns são conflitantes entre si. Ou seja, atender a um é não atender a outro.
Tudo isso piora porque, além do interesse do Principal não ser claro, as formas de atuação do governo são
muito diversas. O governo age em operações para se manter (como fazendo compras para si por meio de
licitações), age prestando serviços públicos para o cidadão e também age fazendo políticas públicas.
Como estruturar essas diversas atuações em prol da sociedade?
Esses dois desafios fazem com que a governança no setor público assuma características diferenciadas em
relação ao setor privado.
O primeiro desafio se resolve, em grande parte, por meio das eleições. A sociedade escolhe seus
representantes e os representantes vitoriosos implementam suas agendas de governo prometidas durante o pleito
eleitoral.
O segundo desafio se resolve direcionando melhor a forma como o governo atua.
carol sena - 03092599594
Todo governo, portanto, tem pelo menos esses dois desafios para superar em sua atuação, para bem atender
aos anseios da sociedade (do Principal). Essas diferenças fazem com que o debate sobre Governança no Setor
Público seja ainda mais complexo que o do setor privado.
Só para vocês terem ideia, enquanto no setor privado nós temos algumas instâncias de governança padrão
(Conselho de Administração, Conselho Fiscal, etc), existem quatro perspectivas diferentes sobre Governança no
Setor Público, que são:
• Sociedade e Estado: Esta perspectiva define regras e princípios dos agentes públicos e privados e
cria as condições estruturais de administração e controle do Estado. Esta perspectiva, por exemplo,
se preocupa quais as estruturas democráticas existem (se existe um Ministério Público ou não, um
Congresso Nacional ou não, etc).
• Entes Federativos, esferas de poder e políticas públicas: Se preocupa com a formulação,
implementação e efetividade de políticas públicas. Pense, por exemplo, na política pública de Saúde.
Para que ela seja bem sucedida, União, Estados e Municípios precisam cooperar entre si, já que a
competência em Saúde é competência comum (art. 23, inc. II, da nossa Constituição). Esta
perspectiva se preocupa com essas questões, para viabilizar a efetividade da política pública de
Saúde, por exemplo. Aqui, avaliamos a governança da política pública de Saúde, a governança da
política pública de Assistência Social, etc.
• Órgãos e Entidades: Tem foco nas organizações. Em como as organizações se estruturam para
otimizar os resultados que ela gera, em prol do cidadão. Exemplo: Governança do Ministério da
Saúde, Governança do TCU, Governança da Secretaria de Educação de um Estado, etc.
• Atividades Intra-organizacionais: avalia como os recursos das organizações são geridos. Isto é,
como as pessoas de uma organização são geridas (governança de pessoal), como a TI é gerida
(governança de TI), etc.
Ou seja, deu para ver que o buraco é mais embaixo, né?
Para o nosso curso aqui, não precisamos decorar nem nos aprofundar nessas perspectivas todas (já que aqui
o curso é de Auditoria Governamental e não da matéria de Administração Pública). Mas é importante entender
mais alguns aspectos da governança no setor público. Bora lá?
Bom, o Tribunal de Contas da União, uma das principais referências em Governança no Setor Público aqui
no Brasil, conceitua assim a Governança no Setor Público:
Governança no setor público compreende essencialmente os mecanismos de liderança, estratégia e

controle postos em prática para avaliar, direcionar e monitorar a atuação da gestão, com vistas à condução
de políticas públicas e à prestação de serviços de interesse da sociedade. (Referencial Básico de
Governança – TCU, pág. 40)
Ou seja, no setor público, a Governança serve para atender o interesse do Principal por meio das políticas
públicas e da prestação de serviços de interesse da sociedade. Para isso, o governo precisa implementar os
mecanismos de liderança, estratégia e controle. Estes mecanismos vão avaliar a gestão pública, direcionar a
carol sena - 03092599594
gestão pública para os interesses do principal e monitorar a gestão pública, para que esta permaneça com o foco
no cidadão.
Em outras palavras, quando uma organização pública possui uma boa liderança, uma boa estratégia e bons
procedimentos de controle, ela consegue avaliar, direcionar e monitorar bem a gestão pública. Fazendo assim, ela
conseguirá atender o interesse da sociedade por meio das políticas públicas e da prestação de serviços.
O que precisamos, agora, é esmiuçar esse conceito. Bora?
Bom, visando atender aos interesses do Principal, por meio da prestação de serviços e das políticas públicas,
a governança precisa avaliar, direcionar e monitorar a gestão pública. Ou seja, a governança NÃO EXECUTA, ela
NÃO FAZ A GESTÃO em si. Ela supervisiona e fiscaliza. Ou, nas palavras do TCU, a Governança avalia, direciona e
monitora.
A Governança vai:
Avaliar o ambiente, os cenários, o desempenho e os resultados atuais e futuros da organização pública.
Direcionar os planos da organização pública para atender os interesses do Principal (cidadãos, sociedade em
geral, usuários dos serviços publicos, destinatários de políticas públicas), de forma a assegurar os objetivos
estabelecidos.
Monitorar os resultados, o desempenho e o cumprimento dos planos, verificando se o que foi planejado foi
alcançado e se o que foi alcançado atendeu às expectativas das partes interessadas.
Para que a organização seja capaz de avaliar, direcionar e monitorar bem, ela precisará estruturar os
mecanismos de governança, que são:
➢ Liderança: Práticas de natureza humana ou comportamental, que assegura condições mínimas para a boa
governança. Uma boa governança estabelece boa liderança por meio de pessoas íntegras, capacitadas,
competentes, responsáveis e motivadas. Essas pessoas ocupam os principais cargos e lideram os
processos de trabalho.
➢ Estratégia: Os líderes da organização, conduzirão o estabelecimento da Estratégia da organização,
devendo escutar as demandas e expectativas das partes interessadas, avaliar o ambiente interno e externo
da organização, definir o alcance da estratégia, os objetivos da organização, o alinhamento da estratégia,
etc.
➢ Controle: Para que a Estratégia seja eficaz, é necessário combater riscos que podem fazer com que ela dê
errado. Por isso, é necessário estabelecer controles internos (olha o spoiler aí!) e promover transparência
e accountability.
Ou seja, por meio da Liderança, da Estratégia e do Controle, a organização conseguirá avaliar, dirigir e
monitorar a gestão, alinhando os interesses do órgão/entidade ao interesse do cidadão, por meio das políticas
públicas e serviços prestados.
Vamos, então, recapitular o conceito de Governança no setor público. Olhe como vai clarear:
Governança no setor público compreende essencialmente os mecanismos de liderança, estratégia e

controle postos em prática para avaliar, direcionar e monitorar a atuação da gestão, com vistas à condução
carol sena - 03092599594
de políticas públicas e à prestação de serviços de interesse da sociedade. (Referencial Básico de

Governança – TCU, pág. 40)
Sistema de Governança no Setor Público
Para terminarmos este tópico, precisamos apenas estudar como é o sistema de governança no setor público, isto
é, como os agentes de governança no setor público se relacionam em prol do cidadão. Veja a figura abaixo, retirada
do Referencial Básico de Governança do TCU3:
Repare que esse Sistema de Governança no Setor Público proposto pelo TCU é formado por dois triângulos:
o verde, que contém as instâncias de governança, e o amarelo, que contém as instâncias de gestão. Repare que há
atores (como a alta administração) que está bem no limite entre a Governança e a gestão. Ou seja, enquanto no
setor privado a linha que separa governança e gestão é muito bem definida, no setor público já não é assim.
Pois bem, no topo do triângulo verde, temos a Sociedade, que é o principal. É para eles que é destinada toda
a atuação governamental. Abaixo da sociedade, temos as organizações superiores, que são organizações que
3
Do qual tenho o prazer de ser coautor.
carol sena - 03092599594
estabelecem normas e procedimentos para outras, como o Conselho Nacional de Justiça (que pode elaborar
resoluções para todo o Poder Judiciário).
➢ As instâncias externas de governança são responsáveis pela fiscalização, pelo controle e pela
regulação, desempenhando importante papel para promoção da governança das organizações
públicas. São autônomas e independentes, não estando vinculadas apenas a uma organização.
Exemplos típicos dessas estruturas são o Congresso Nacional e o Tribunal de Contas da União.
➢ As instâncias externas de apoio à governança são responsáveis pela avaliação, auditoria e
monitoramento independente e, nos casos em que disfunções são identificadas, pela comunicação
dos fatos às instâncias superiores de governança. Exemplos típicos dessas estruturas as auditorias
independentes e o controle social organizado.
➢ As instâncias internas de governança são responsáveis por definir ou avaliar a estratégia e as
políticas, bem como monitorar a conformidade e o desempenho destas, devendo agir nos casos em
que desvios forem identificados. São, também, responsáveis por garantir que a estratégia e as
políticas formuladas atendam ao interesse público servindo de elo entre principal e agente.
Exemplos típicos dessas estruturas são os conselhos de administração ou equivalentes e, na falta
desses, a alta administração.
➢ As instâncias internas de apoio à governança realizam a comunicação entre partes interessadas
internas e externas à administração, bem como auditorias internas que avaliam e monitoram riscos
e controles internos, comunicando quaisquer disfunções identificadas à alta administração.
Exemplos típicos dessas estruturas são a ouvidoria, a auditoria interna, o conselho fiscal, as
comissões e os comitês.
Além dessas instâncias, existem outras estruturas que contribuem para a boa governança da organização: a
administração executiva, a gestão tática e a gestão operacional.
➢ A administração executiva é responsável por avaliar, direcionar e monitorar, internamente, o órgão

ou a entidade. A autoridade máxima da organização e os dirigentes superiores são os agentes
públicos que, tipicamente, atuam nessa estrutura. De forma geral, enquanto a autoridade máxima é
a principal responsável pela gestão da organização, os dirigentes superiores (gestores de nível
estratégico e administradores executivos diretamente ligados à autoridade máxima) são
responsáveis por estabelecer políticas e objetivos e prover direcionamento para a organização.
➢ A gestão tática é responsável por coordenar a gestão operacional em áreas específicas. Os
dirigentes que integram o nível tático da organização (p. ex. secretários) são os agentes públicos que,
tipicamente, atuam nessa estrutura.
➢ A gestão operacional é responsável pela execução de processos produtivos finalísticos e de apoio.
Os gerentes, membros da organização que ocupam cargos ou funções a partir do nível operacional
(p. ex. diretores, gerentes, chefes), são os agentes públicos que, tipicamente, atuam nessa estrutura.
Os agentes de governança vão compor o sistema de governança de uma organização pública. Esse sistema,
permitirá o seguinte:
a) garantir a entrega de benefícios econômicos, sociais e ambientais para os cidadãos;
b) garantir que a organização seja, e pareça, responsável para com os cidadãos;
carol sena - 03092599594
c) ter clareza acerca de quais são os produtos e serviços efetivamente prestados para cidadãos e usuários, e
manter o foco nesse propósito;
d) ser transparente, mantendo a sociedade informada acerca das decisões tomadas e dos riscos envolvidos;
e) possuir e utilizar informações de qualidade e mecanismos robustos de apoio às tomadas de decisão;
f ) dialogar com e prestar contas à sociedade;

g) garantir a qualidade e a efetividade dos serviços prestados aos cidadãos;
h) promover o desenvolvimento contínuo da liderança e dos colaboradores;
i) definir claramente processos, papéis, responsabilidades e limites de poder e de autoridade;

j) institucionalizar estruturas adequadas de governança;
k) selecionar a liderança tendo por base aspectos como conhecimento, habilidades e atitudes (competências
individuais);
l) avaliar o desempenho e a conformidade da organização e da liderança, mantendo um balanceamento

adequado entre eles;
m) garantir a existência de um sistema efetivo de gestão de riscos;

n) utilizar-se de controles internos para manter os riscos em níveis adequados e aceitáveis;
o) controlar as finanças de forma atenta, robusta e responsável; e
p) prover aos cidadãos dados e informações de qualidade (confiáveis, tempestivas, relevantes e

compreensíveis).
Tudo isso, para permitir que o setor público atenda aos interesses da sociedade.
NÃO CONFUNDA BIFE A MILANESA COM BIFE ALI NA MESA: Governança x Governabilidade
Como vimos, a governança é uma série de estruturas, processos e mecanismos para alinhar os interesses do agente aos do
principal. No caso do setor público, a governança permite que o Estado atenda aos interesses da sociedade por meio da
liderança, estratégia e controle para avaliar, dirigir e monitorar a atuação estatal.
Em termos mais simples, podemos dizer que a governança é a capacidade que o Estado possui de implementar políticas públicas.
Estas políticas públicas, claro, precisam atender ao anseio da sociedade.
Mas, além da Governança, a ação estatal também possui uma vertente política, que é a governabilidade. A governabilidade,
por sua vez, se refere ao conjunto das condições necessárias para o exercício do poder, já que deriva da legitimidade dada
pela sociedade ao Estado e ao seu governo. Assim, a governabilidade é a capacidade política do Estado de governar e
decidir.
Assim, enquanto a governança tem um viés mais administrativo (capacidade para implementar políticas públicas), a
governabilidade tem um viés mais político (pois fala em exercício do poder, legitimidade, capacidade política).
Portanto, não confunda Governança com Governabilidade, ok?
Mais uma vez:
carol sena - 03092599594
Governança: Capacidade administrativa em executar e implementar políticas públicas e serviços de interesse da sociedade.
Governabilidade: capacidade política do Estado governar e decidir, baseada na legitimidade democrática e no exercício do
poder.
Princípios de Governança no Setor Público

Assim, como no setor privado, a governança no setor público também apresenta princípios. Como estamos
falando de governança, alguns princípios se repetem (como o da transparência, equidade e da
accountability). No entanto, como estamos falando de governança no setor público, existem também não
só novos princípios, como novas perspectivas nos princípios que se repetem.
No setor público, os princípios da governança são: transparência, equidade e participação, accountability,

capacidade de resposta, integridade, confiabilidade e melhoria regulatória.
Vamos ver cada um desses 7 princípios.
1. Transparência: diz respeito a permitir que a sociedade obtenha informações atualizadas sobre
operações, estruturas, processos decisórios, resultados e desempenho do setor público. Consiste em
disponibilizar, inclusive na forma de dados abertos4, para as partes interessadas, as informações que
sejam de seu interesse (arts. 3º, I e II, 5º, 8º e 10 da Lei 12.527/2011) e não apenas aquelas impostas
por disposições de leis ou regulamentos. Caracteriza-se pela possibilidade de acesso a todas as
informações relativas à organização pública, em uma linguagem cidadã, sendo um dos requisitos de
controle do Estado pela sociedade civil. A adequada transparência resulta em clima de confiança,
tanto internamente quanto nas relações de órgãos e entidades com terceiros. A organização
transparente se obriga voluntariamente à divulgação oportuna de todas as questões relevantes a ela
relacionadas, inclusive situação financeira, desempenho, composição e governança da organização.
Abrange várias iniciativas, como: acesso à informação, divulgação de natureza obrigatória;
divulgação de natureza proativa e voluntária, incluindo dados abertos do governo; e transparência
fiscal e orçamentária. A transparência efetiva deve garantir que a informação chegue ao público para
o qual ela de fato importa, e que os cidadãos se sintam livres para buscar as informações sem medo
de represálias e confiem que o uso dessas informações promoverá a responsabilização dos agentes
públicos, caso necessário.
2. Equidade e participação: diz respeito a promover tratamento justo a todas as partes interessadas,
levando em consideração seus direitos, deveres, necessidades, interesses e expectativas. A
participação efetiva das partes interessadas no processo de tomada de decisão e na formulação de
4
Dados abertos (open data) é um conceito que diz que certos dados (como os governamentais) devem ser livremente
acessados, utilizados, modificados e compartilhados para qualquer finalidade. Para isso, os dados devem ser completos
(conter todos os dados), primários (publicados como coletados na fonte primária), atuais (atualizados), acessíveis
(disponibilizados ao publico mais amplo possível), processáveis por máquina (permitir processamento automatizado), acesso
não discriminatório (acesso sem necessidade de identificação de quem acessa) e livres (sem direitos autorais e sem utilizar
um formato que seja patenteado por alguma empresa). No caso do governo, dados abertos aumentam a transparência, a
inovação e a qualidade dos dados no setor público.
carol sena - 03092599594
políticas públicas é um dos princípios do Governo Aberto e facilita a equidade nesses processos. A
participação das partes interessadas favorece a equidade e a responsabilidade do governo, amplia a
influência dos cidadãos nas decisões públicas, melhora a base de evidências para a formulação de
políticas, reduz os custos de implementação e cria consciência cívica. A combinação de diferentes
mecanismos de participação social impulsiona mudanças positivas na governança, mas deve-se
evitar que mecanismos de participação direta sejam capturados por interesses privados e grupos
oportunistas. Formas de participação social incluem iniciativas que promovam o diálogo com a
sociedade, de forma que os anseios sociais sejam considerados na tomada de decisão, por exemplo:
ouvidorias; audiências e consultas públicas; mesas de diálogo; conselhos gestores e comissões de
políticas públicas; comitês técnicos; conferências de políticas públicas; orçamentos participativos;
3. Accountability (prestação de contas e responsabilidade): diz respeito à obrigação que têm as
pessoas ou entidades às quais se tenham confiado recursos, incluídas as empresas e corporações
públicas, de assumir as responsabilidades de ordem fiscal, gerencial e programática que lhes foram
conferidas, e de informar o cumprimento dessas a quem lhes delegou essas responsabilidades.
Espera-se que os agentes públicos prestem contas de sua atuação espontaneamente, de forma clara
e tempestiva, assumindo integralmente as consequências de seus atos e omissões. A prestação de
contas efetiva está ligada a um conjunto amplo de incentivos e mecanismos institucionais, como os
de garantia de responsabilização, de participação social e de parcerias entre atores estatais e não
estatais. Há diferentes tipos de prestação de contas, como a administrativa, a financeira e
orçamentária, a social e a referente a resultados de políticas públicas;
4. Capacidade de resposta: é a capacidade de responder de forma eficiente e eficaz às necessidades
das partes interessadas. A colaboração entre entes estatais, não estatais e sociedade civil contribui
para obter um maior entendimento a respeito das demandas da sociedade, para equilibrar os
interesses, priorizar o atendimento das necessidades e aumentar a confiança das partes interessadas
nas instituições públicas. O princípio da capacidade de resposta depende, portanto, diretamente do
princípio da participação. Para melhorar a capacidade de resposta do setor público, há que se focar
na satisfação das expectativas das pessoas em termos de qualidade, quantidade e rapidez dos
serviços públicos prestados com os recursos limitados disponíveis. Orienta ainda acerca de fatores
determinantes para aumentar a capacidade de resposta no setor público: capacitação técnica e
postura ética e profissional dos agentes públicos; capacitação e envolvimento dos cidadãos nas
decisões públicas, inclusive por meios eletrônicos; e apoio às demais iniciativas do governo
eletrônico, como a prestação de serviços multicanal (maior utilização das ferramentas de tecnologia)
para ampliar o alcance, a agilidade e o acesso a serviços públicos e reduzir os custos;
5. Integridade: diz respeito às ações organizacionais e ao comportamento do agente público,
referindo-se à adesão e alinhamento consistente aos valores, princípios e normas éticas comuns para
sustentar e priorizar o interesse público sobre os interesses privados. Podem ser adotadas políticas
de integridade baseadas em contexto, evidências e riscos, evitando-se programas de conformidade
excessivamente rígidos, pois tendem a ser limitados e falham como impedimento ao
comportamento antiético. A estratégia de integridade pública deve ser fundamentada em três
pilares: implementar um sistema de integridade amplo e coerente; cultivar uma cultura de
integridade pública; possibilitar a prestação de contas, a responsabilização e a transparência;
6. Confiabilidade: representa a capacidade das instituições de minimizar as incertezas para os
cidadãos nos ambientes econômico, social e político. Por isso, uma instituição confiável tem que se
carol sena - 03092599594
manter o mais fiel possível aos objetivos e diretrizes previamente definidos, passar segurança à
sociedade em relação a sua atuação e, por fim, manter ações consistentes com a sua missão
institucional. Há duas condições a serem satisfeitas para promover a confiabilidade: as organizações
devem ser competentes, ou seja, fornecer serviços públicos acessíveis, eficientes e que atendem às
necessidades e expectativas dos seus usuários (i); e as organizações devem atuar com base em
valores, promovendo a integridade e o compromisso com o interesse público (ii).
7. Melhoria regulatória: representa o desenvolvimento e a avaliação de políticas e de atos normativos
em um processo transparente, baseado em evidências e orientado pela visão de cidadãos e partes
diretamente interessadas. Não se restringe, portanto, à regulação econômica de setores específicos
realizada pelas agências reguladoras. Para além disso, “uma regulação bem direcionada, baseada
em evidências e escrita de forma simples, tem maior probabilidade de ser adequadamente
implementada e atingir seus objetivos, sejam econômicos, sociais ou ambientais”.
Princípios da governança no setor público: transparência, equidade e participação, accountability,

capacidade de resposta, integridade, confiabilidade e melhoria regulatória.
Gerenciando o risco das coisas darem errado

Estabelecendo objetivos e definindo risco
Você está estudando esta aula porque tem um objetivo de ser aprovado no concurso. Eu também já tive este
objetivo. Hoje, tenho outros. Organizações, públicas ou privadas, também tem objetivos. Algumas visam expandir
as vendas em 10% no próximo ano. Outras, querem atender mais pessoas. Outras querem melhorar seus serviços.
Independente do objetivo que cada uma tenha, o fato é: organizações tem objetivos.
O problema é que ter objetivos é muito diferente de alcançá-los. Afinal, você pode ter o objetivo de ganhar
na loteria, mas não necessariamente isso vai acontecer. Você pode ter o objetivo de passar no concurso, mas isso
não necessariamente vai acontecer. Você pode ter o objetivo de ser um bom pai ou mãe, mas isso não
necessariamente vai acontecer. Você pode ter o objetivo de fazer um doutorado, mas isso não necessariamente
vai acontecer.
Para cumprir esses objetivos, você precisa FAZER ALGUMA COISA. Isto é, se você não agir, não fizer nada,
seus objetivos simplesmente não serão atingidos. Ganhar na loteria é impossível se você não jogar. Passar em um
concurso é impossível se você não estudar. Ser um bom pai ou mãe é impossível se você não passar tempo de
qualidade com seus filhos. Fazer um doutorado é impossível se você não cumprir os passos para tanto.
O interessante, é que mesmo que você faça o necessário e se esforce muito, ainda assim você pode não
cumprir seus objetivos. Você pode jogar na loteria e, mesmo assim, não ser sorteado. Você pode estudar muito,
mas, se ficar gripado uma semana antes da prova, pode dar adeus ao concurso. Você pode passar tempo de
qualidade com seus filhos, mas, no final, eles é que serão responsáveis pelas próprias escolhas. Você pode cumprir
todos os passos para o doutorado e, mesmo assim, não encontrar um orientador que te aceite.
carol sena - 03092599594
Ou seja, ao mesmo tempo em você precisa fazer alguma coisa para atingir seus objetivos, o simples fato de
fazer algo não te faz, automaticamente, atingir esses mesmos objetivos. Isto ocorre porque, por mais que façamos
algo, há sempre circunstâncias e coisas que fogem ao nosso controle. Essas situações podem impedir ou restringir
muito a chance de alcançarmos nossos objetivos.
Uma empresa também possui situações que podem impedir que ela atinja seus objetivos. Uma crise
econômica, uma pandemia de vírus, um desastre natural, por exemplo, podem fazer com que o que a empresa
estabeleceu como objetivo não seja atingido.
Da mesma forma, o governo pode ter como objetivo atender tantas mil pessoas com uma política pública
em 1 ano, mas, se algo ocorrer, esse objetivo pode não ser alcançado.
Essas situações, ou eventos, que podem impedir que uma organização atinja os seus objetivos são
denominadas de risco. Um risco, portanto, vai afetar negativamente os objetivos da organização. Se um risco
acontecer, a organização não irá conseguir cumprir o que estabeleceu como objetivo.
Olhe só essa definição de risco, fornecida pelo Comitê das Organizações Patrocinadoras da Comissão
Treadway5 (COSO):
Risco é representado pela possibilidade de que um evento ocorrerá e afetará negativamente a realização
dos objetivos.
Segundo a definição acima, podemos dividir o risco em duas dimensões: a probabilidade (possibilidade que
um evento ocorrerá) e o impacto (afetará negativamente a realização dos objetivos).
Há riscos que tem alta probabilidade e baixo impacto, como por exemplo, o risco de você chegar atrasado 10
minutos em uma reunião. Por mais que seja alta a probabilidade de você se atrasar um pouco, o impacto não é
alto.
Outros riscos tem probabilidade muito baixa, mas impactos altíssimos. Pense só no risco de cair um avião.
Todo dia milhares de aviões decolam e pousam e não acontece nada (tanto é que, quando acontece, é caso de
5
A comissão Treadway é uma comissão da Security Exchange Comission (SEC). A SEC é a “Comissão de Valores Mobiliários”
americana e tem como objetivo fiscalizar o mercado de capitais dos Estados Unidos. Dentro da SEC, a comissão Treadway é
responsável por identificar fatores que levam a publicação de relatórios financeiros fraudulentos, de forma a evitar fraude nas
demonstrações contábeis. A comissão recebeu esse nome por causa do seu presidente, James C. Treadway, e foi formada
por várias organizações como o Instituto Americano de Contadores Profissionais Certificados (AICPA), a Associação de
Contadores Americanos (AAA), o Instituto Executivo Financeiro (FEI), o Instituto dos Auditores Internos (IIA) e a Associação
Nacional de Contadores (NAA). Essas organizações integrantes da comissão, ficaram conhecidas como “organizações
patrocinadoras˜, dando origem à sigla em inglês COSO (Committee of Sponsoring Organizations. Em português: Comitê das
organizações patrocinadoras). Essas organizações patrocinadoras fornecem vários referenciais teóricos sobre risco e
controles internos, como veremos mais à frente aqui na aula.
carol sena - 03092599594
comoção mundial), o que nos diz que a probabilidade desse risco é baixa. Em compensação, se um avião cair...
Bem, o impacto é catastrófico.
Se um risco tiver alta probabilidade e alto impacto, estamos diante de um risco muito extremo que trará
muitas consequências negativas frequentes.
Essa definição de risco fornecida pelo COSO é muito utilizada mundialmente e, pela própria definição, já
podemos perceber as dimensões de impacto e probabilidade do risco.
Isso é muito importante, porque, com base na probabilidade e impacto do risco, nós podemos tomar alguma
atitude para evitar que o risco se concretize. Ou seja, podemos gerenciar os riscos, agindo para diminuir a
probabilidade dele ocorrer ou o impacto que o risco terá nos nossos objetivos.
Por exemplo, se você tem o objetivo de ganhar na loteria, você corre o risco de jogar e não ser sorteado. Se
o risco se concretizar, isto é, se você jogar e não for sorteado, você não cumpre o seu objetivo de ganhar na loteria.
Portanto, se você não for sorteado, isso trará um impacto total no seu objetivo. A questão é: como você pode
gerenciar o risco de não ser sorteado? Uma possível resposta é você não jogar só um jogo, mas vários. Fazendo
assim, você diminui a probabilidade de não ser sorteado e, portanto, aumenta as chances de ser sorteado e atingir
o seu objetivo de ganhar na loteria.
Ficar gripado na semana antes da prova é um risco que pode impedir você de alcançar o seu objetivo de
passar no concurso. Para evitar que você fique gripado, você pode agir na probabilidade ou no impacto de ficar
gripado. Você pode, por exemplo, ter uma rotina de exercícios físicos e de boa alimentação e evitar sair no vento
frio sem casaco para reduzir a probabilidade de ficar gripado. Mas se isso não der certo e você ficar gripado, você
pode tomar remédios para reduzir o impacto desse risco no seu objetivo de passar no concurso.
Ou seja, nós podemos fazer alguma coisa para reduzir a probabilidade ou o impacto do risco. Quando
tomamos alguma atitude para enfrentar riscos, estamos gerenciando riscos.
Portanto, seja na sua vida pessoal ou em organizações públicas ou privadas, para atingir os objetivos, é
necessário duas coisas:
1 – Dedicar-se.
2 – Gerenciar riscos.
Para que serve a gestão de riscos e o que ela tem a ver com governança?
O ponto principal da gestão de riscos (também chamada de gerenciamento de riscos) é que ela permite o
alcance dos objetivos de forma mais efetiva. Ora, se o risco impede que eu alcance o meu objetivo e eu consigo
diminuir o risco, isso significa que, de tabela, eu to aumentando as chances de que eu alcance o meu objetivo.
Por isso é que é tão importante gerenciar riscos: ao gerenciar riscos, aumentamos a possibilidade de atingir
os objetivos. Quando você gerencia riscos na sua vida pessoal, você aumenta as chances de atingir os seus
objetivos. Quando uma empresa gerencia riscos da atuação dela, ela aumenta a chance de atingir os objetivos
dela. Quando o setor público gerencia os riscos de sua atuação, ele aumenta a chance de cumprir os objetivos dele.
É claro que não tem como obter um risco zero ou simplesmente eliminar o risco. Por melhor que seja a gestão
de riscos de uma organização, sempre teremos algum grau de risco. Por isso, dizemos que a gestão de risco
aumenta a chance de atingirmos os objetivos, reduzindo os riscos envolvidos. Mas a gestão de riscos não deixa a
chance de atingirmos os objetivos absoluta, ou seja, não é uma garantia total que nós atingiremos os objetivos.
carol sena - 03092599594
No entanto, mesmo não fornecendo uma garantia total de atingimento dos objetivos, a gestão de riscos nos
proporciona uma garantia razoável, isto é, uma garantia que permita dar respostas aos riscos de forma relevante.
Não iremos acabar com os riscos, mas iremos reduzi-los até um nível que seja aceitável para a organização.
O gerenciamento de risco fornece uma garantia razoável de atingimento dos objetivos de uma
organização.
Nós temos, em essência, quatro categorias de objetivos que uma organização possui, que são:
➢ Estratégicos – metas gerais, alinhadas com o que suporta a missão (a razão de existir) da
organização. Um Tribunal de Contas, por exemplo, existe para fiscalizar a boa e regular aplicação do
dinheiro público. Quando ele faz qualquer coisa com esse fim, está agindo para cumprir um objetivo
estratégico.
➢ Operações – utilização eficaz e eficiente dos recursos. Quando um Tribunal de Contas faz um novo
sistema, para permitir que as auditorias sejam feitas de forma mais tempestiva, ou quando ele reduz
os custos de sua atuação, o TC está utilizando de forma eficaz e eficiente os recursos e, portanto,
está cumprindo um objetivo operacional.
➢ Comunicação (divulgação) – confiabilidade de relatórios. Um Tribunal de Contas, por exemplo,
também presta contas. Quando as informações que estão em seus relatórios são confiáveis, ele está
cumprindo um objetivo de comunicação.
➢ Conformidade (compliance) – cumprimento de leis e regulamentos aplicáveis. Um Tribunal de
Contas também deve cumprir as leis e regulamentos a ele aplicáveis. Quando um Tribunal de Contas
age de acordo com as normas, ele está cumprindo um objetivo de conformidade.
E é justamente para cumprir essas categorias de objetivos que existe a gestão de riscos. A gestão de riscos
vai identificar e avaliar os riscos de cada uma dessas categorias de objetivos. E aí, a organização pode atuar para
gerenciar esses riscos, tentando diminuir a probabilidade e o impacto que os riscos tem nesses objetivos, por
exemplo. Fazendo assim, a organização aumenta a chance de cumprimento dos objetivos.
Gerenciar os riscos é uma das funções da Governança de uma organização. Se você voltar na definição de
Governança no Setor Público do TCU, que vimos no tópico anterior, verá que um dos mecanismos de Governança
é o Controle, que tem como objetivo combater os riscos para que a Estratégia seja eficaz.
Ou seja, os agentes de governança de uma organização utilizam a gestão de riscos como instrumento para
alcance dos objetivos organizacionais. A governança age para que os objetivos sejam estabelecidos visando os
interesses do Principal e, além disso, age para garantir razoavelmente o cumprimento desses objetivos com a
gestão de riscos.
Assim, o Conselho de Administração, por exemplo, deve ter a certeza que está ciente dos riscos mais
significativos e que a gestão de riscos da empresa é eficaz. Para isso, pode ser necessário obter a opinião dos
Auditores Internos ou Externos, que vão apontar os riscos mais relevantes a que a organização está sujeita e
verificar se esses riscos estão sendo bem gerenciados ou não.
carol sena - 03092599594
Da mesma maneira, o Presidente de um órgão público também precisa ter a certeza que está ciente dos
riscos mais significativos e que a gestão de riscos do órgão é eficaz. Para isso, pode ser necessário obter a opinião
dos Auditores Internos ou Externos do setor público, que vão apontar os riscos mais relevantes a que a organização
está sujeita e verificar se esses riscos estão sendo bem gerenciados ou não.
A questão é: COMO A organização pode fazer isso? Isto é, COMO ela pode reduzir a probabilidade e o
impacto de um risco?
Resposta: Implantando controles internos! “Controles internos” são ações e procedimentos que a
organização utiliza para poder reduzir a probabilidade e o impacto do risco. Se o controle interno for eficaz, ele
conseguirá reduzir a probabilidade e o impacto do risco que a organização está correndo e isso permitirá com que
a organização consiga atingir seus objetivos.
Orientações acerca dos controles internos
Os controles internos são ações e procedimentos para reduzir a probabilidade e o impacto do risco. Para que os controles
internos sejam eficazes, eles precisam seguir algumas orientações, como:
Relação Custo x Benefício: O custo do controle interno não deve exceder aos benefícios por ele gerados. Se um risco possuir
baixo impacto e baixa probabilidade, talvez o custo de implementar o controle interno seja maior do que o benefício gerado.
Portanto, é bom ficar ligado: o custo do controle não pode ser maior do que o benefício que o controle gera.
Segregação de Funções: Também chamada de Princípio de Oposição de Interesse, consiste em estabelecer que uma mesma
pessoa não possa ter funções incompatíveis, que gerem conflito de interesses. Por exemplo, um servidor que elabora um
edital de licitação não pode ser o mesmo que julga os recursos do licitantes, pois este servidor, por ter elaborado o edital,
perdeu a imparcialidade para decidir sobre os recursos. Da mesma forma, o servidor que assina o contrato, não deve ser o
mesmo que paga a empresa, para evitar que haja favorecimentos indevidos à contratada. Um último exemplo: quem faz a
norma não deve ser o mesmo agente que fiscaliza a aplicação da norma. Senão fica fácil, né? O cara faz a norma e ele mesmo
fiscaliza a norma que ele próprio fez! Auhauas.
Atribuição de responsabilidades: As atribuições dos funcionários, setores e departamentos internos da empresa devem ser
claramente definidas e limitadas, de preferência por escrito, mediante o estabelecimento de manuais internos de
organização.
Isso ocorre para definir quem é o responsável pela atividade. Isso evita confusões e permite que, caso algum problema ocorra,
o responsável seja acionado.
Rotinas de controle: Indicam como instrumentos de controle são utilizados para autorizar, aprovar, verificar, requisitar,
registrar. São exemplos de instrumentos os formulários de requisição de materiais, ordem de compra, relatórios de prestação
de contas, coleta de assinaturas e chancelas.
Segurança e salvaguardas de ativos: A organização deve limitar o acesso dos funcionários a seus ativos e estabelecer
controles físicos sobre estes. Ressalta-se que essa limitação nào se restringe apenas a ativos tangíveis, mas também aos
intangíveis, como, por exemplo, informações e dados confidenciais da organização. Exemplos de controles físicos:
- Utilização de cofres para guarda de dinheiro em espécie.
- Catracas e crachás para controlar o acesso de funcionários e visitantes às dependências e aos ativos da organização.
carol sena - 03092599594
- Utilização de senhas para acessar sistemas corporativos.
Avaliação pela auditoria interna: A Auditoria Interna é uma instância que apoia a governança ao avaliar o processo de
gerenciamento de riscos e de controles internos, para poder concluir se a gestão de riscos e os controles internos são eficazes
ou não. Atua no monitoramento do controle interno, é o “controle do controle”.
Quando consideramos todas os controles internos existentes em uma organização, chegamos ao conceito
de sistema de controle interno, que, como o nome diz, é o sistema que a organização mantém para reduzir riscos.
A governança da organização, portanto, precisa não só saber dos riscos mais significativos, ela precisa
manter um bom sistema de controle interno, de forma a gerenciar bem os riscos. Para isso, pode ser necessário
obter a opinião dos Auditores Internos ou Externos. Os auditores vão, então, apontar os riscos mais relevantes a
que a organização está sujeita e verificar se o sistema de controle interno é eficaz, de forma a ver se esses riscos
estão sendo bem gerenciados ou não.
Mas como estruturar um bom sistema de controle interno, de forma a dar respostas aos riscos que as
organizações correm? Para fornecer orientações sobre a gestão de riscos, e como as organizações podem
implementar um bom sistema de controle interno, é que um referencial teórico sobre o assunto foi publicado. Esse
referencial é o famoso...
COSO I: Agora, sim, tu vai entender esse cubo dos infernos!

O comitê das organizações patrocinadoras da comissão Treadway (COSO) publicou em 1992 um guia para
auxiliar as organizações a estruturar um sistema de controle interno que fosse eficaz para gerenciar riscos e
aumentar as chances do cumprimento dos objetivos organizacionais.
Essa publicação recebeu o nome de COSO Internal Control – Integrated Framework (Controle Interno -
Estrutura Integrada), o que resultou na sigla COSO ICIF. Popularmente, porém, ele ficou conhecido como COSO I.
O propósito do COSO I, portanto, foi o de ajudar as organizações a implantar controles internos para poder
responder aos riscos. Em 2013, a publicação de 1992 foi atualizada, de forma que é bastante comum nos referirmos
ao COSO I como COSO ICIF 2013.
Vamos dar uma olhada nessa estrutura?
Controles internos segundo o COSO: Definição, Objetivos e Limitações

O controle interno é definido da seguinte forma no COSO ICIF:
Controle interno é um processo conduzido pela estrutura de governança, administração e outros

profissionais da entidade, e desenvolvido para proporcionar segurança razoável com respeito à realização
dos objetivos relacionados a operações, divulgação e conformidade.
Essa definição reflete alguns conceitos fundamentais. O controle interno é:
• Conduzido para atingir objetivos em uma ou mais categorias – operacional, divulgação e

conformidade: Repare que, aqui no COSO I, a categoria “Estratégico” ficou de fora!;
carol sena - 03092599594
• Um processo que consiste em tarefas e atividades contínuas – um meio para um fim, não um fim
em si mesmo: Ou seja, o processo de controles internos é um instrumento, um meio, para atingirmos o fim
de obter uma garantia razoável que a organização atingirá seus objetivos operacionais, de divulgação e de
conformidade com as normas e leis.
• Realizado por pessoas – não se trata simplesmente de um manual de políticas e procedimentos,

sistemas e formulários, mas diz respeito a pessoas e às ações que elas tomam em cada nível da
organização para realizar o controle interno: Isto, porque, de nada adianta o melhor sistema de controles
interno do mundo e as melhores normas, se as pessoas não seguem as normas e nem os regulamentos. As
pessoas envolvidas precisam ser éticas, honestas e motivadas, tal como vimos no mecanismo de Liderança,
lá da Governança.
• Capaz de proporcionar segurança razoável - mas não absoluta, para a estrutura de governança e
alta administração de uma entidade: Já sabemos que não há como eliminar completamente os riscos.
Portanto, os controles internos não vão proporcionar uma segurança absoluta que a organização atingirá
seus objetivos, mas apenas uma segurança razoável.
• Adaptável à estrutura da entidade – flexível na aplicação para toda a entidade ou para uma
subsidiária, divisão, unidade operacional ou processo de negócio em particular: Nada mais óbvio, já que
o risco que cada organização corre, depende de vários fatores, como o setor de atuação e a complexidade
das atividades. O setor de aviação tem alguns riscos específicos. O setor de petróleo, tem outros. O
Ministério da Saúde tem alguns. O da educação tem outros e assim vai. Por isso, os controles internos de
cada organização vão precisar se adaptar aos riscos a que cada organização está sujeita, de forma a dar
respostas a esses riscos.
A definição de Controle Interno segundo o COSO ICIF, considera três categorias de objetivos, que são: a dos
objetivos operacionais, a dos de divulgação e a dos de conformidade. Olhe só:
• Operacional – Esses objetivos relacionam-se à eficácia e à eficiência das operações da entidade,
inclusive as metas de desempenho financeiro e operacional e a salvaguarda de perdas de ativos: Ou seja,
para o COSO ICIF, os objetivos operacionais de uma organização tem a ver com a eficácia e eficiência das
operações de uma entidade e leva em consideração o desempenho financeiro (reduzir custos em x%, utilizar
menos y% do orçamento, etc) e a salvaguarda de perdas de ativos (evitar que um ativo de um órgão público
desapareça ou seja danificado totalmente, como por exemplo, evitar que um computador do Supremo
Tribunal Federal, pelo qual o Tribunal pagou, não esteja disponível a ele).
• Divulgação – Esses objetivos relacionam-se a divulgações financeiras e não financeiras, internas
e externas, podendo abranger os requisitos de confiabilidade, oportunidade, transparência ou outros
termos estabelecidos pelas autoridades normativas, órgãos normatizadores reconhecidos, ou às
políticas da entidade: Isto é, toda organização divulga informações financeiras (de demonstrações
contábeis, gastos e despesas, etc) e não financeiras (objetivos atingidos, estrutura organizacional, número
de servidores, contratos, etc). Os controles internos devem permitir que essas informações sejam confiáveis
(reflitam a realidade), oportunas (divulgadas no tempo adequado) e transparentes (contenham todas as
informações que as partes interessadas desejam obter), além de outros requisitos estabelecidos pela própria
entidade ou outras autoridades normatizadoras.
carol sena - 03092599594
• Conformidade – Esses objetivos relacionam-se ao cumprimento de leis e regulamentações às

quais a entidade está sujeita: Sem problemas aqui, certo?
Bom, um bom sistema de controles internos vai permitir que a organização gerencie bem os riscos, e
isso vai levar a uma maior segurança no atingimento dos objetivos da organização, especialmente os operacionais,
de divulgação e de conformidade.
No entanto, como não há como obter risco zero, o controle interno de uma organização vai apresentar
algumas limitações... Por exemplo, o controle interno não é capaz de evitar julgamentos errôneos ou más
decisões, ou ainda eventos externos que impeçam a organização de atingir suas metas operacionais. Em outras
palavras, até mesmo um sistema eficaz de controle interno pode apresentar falhas.
As limitações podem ser resultado de:
• adequação dos objetivos estabelecidos como uma condição prévia ao controle interno: Ou seja, o
controle interno existe para proteger os objetivos organizacionais. Mas caso esses objetivos organizacionais não
sejam adequados (não atendam os interesses do principal, por exemplo), os controles internos não poderão fazer
nada. Portanto, antes de implantar os controles internos, a organização precisa ter certeza que seus objetivos
estão adequados. Se eles não estiverem, os controles internos, por melhores que sejam, sofrerão limitação, pois
não conseguirão auxiliar a estrutura de governança da organização a atender os objetivos do principal.
• realidade de que o julgamento humano na tomada de decisões pode ser falho e tendencioso: Controles
interno são implantados por pessoas. E as pessoas podem errar na implantação dos controles internos. Ou podem
até mesmo escolher controles que não sejam eficazes para gerenciar os riscos.
• falhas que podem ocorrer devido a erros humanos, como enganos simples: Essa limitação é similar à
anterior.
• capacidade da administração de sobrepassar o controle interno: Os Controles Internos são

procedimentos e ações que visam auxiliar a organização a gerenciar os riscos, de forma a cumprir os seus objetivos.
Mas o que ocorre se a própria administração da entidade passar por cima dos procedimentos estabelecidos? Por
exemplo, imagine que um banco tenha que analisar o perfil do cliente antes de conceder um empréstimo a ele.
Analisar o perfil do cliente é um controle interno do banco, para evitar o risco do cliente não pagar o empréstimo.
No entanto, o presidente do banco pode ordenar que seja feito um empréstimo a uma pessoa sem analisar o perfil
desse cliente. Nesta situação, o presidente do banco passou por cima do controle interno e isso é uma limitação
do controle interno, pois o presidente tem a possibilidade de (apesar de não dever) sobrepassar os controles
internos da sua organização.
• capacidade da administração, outros funcionários e/ou terceiros transpassarem os controles por meio
de conluio entre as partes: É possível que alguns atores entrem em acordo entre si para burlar os controles
internos da organização. Assim, por mais que haja segregação de funções, se os agentes entrarem em conluio
entre si, por exemplo, eles conseguem transpassar os controles.
• eventos externos fora do controle da organização: Eventos imprevisíveis podem atingir a organização e,
justamente por serem imprevisíveis, estes eventos não poderão ser mitigados pelos controles internos.
Essas limitações impedem que a estrutura de governança e a administração tenha segurança absoluta da
realização dos objetivos da entidade – isto é, o controle interno proporciona segurança razoável, mas não absoluta.
carol sena - 03092599594
Embora essas limitações sejam inerentes, a administração deve estar ciente delas ao selecionar, desenvolver e
aplicar controles na organização para minimizar, dentro do possível, tais limitações.
Componentes do Controle Interno

O COSO ICIF apresenta cinco componentes do Controle Interno, que são: Ambiente de controle, avaliação
de riscos, atividades de controle, informação e comunicação e atividades de monitoramento. Cada componente,
contém, em si, princípios de Controle Interno.
Ambiente de controle
O ambiente de controle é um conjunto de normas, processos e estruturas que fornece a base para a condução
do controle interno por toda a organização. A estrutura de governança e a alta administração estabelecem uma
diretriz sobre a importância do controle interno, inclusive das normas de conduta esperadas. A administração
reforça as expectativas nos vários níveis da organização.
O ambiente de controle abrange a integridade e os valores éticos da organização; os parâmetros que
permitem à estrutura de governança cumprir com suas responsabilidades de supervisionar a governança; a
estrutura organizacional e a delegação de autoridade e responsabilidade; o processo de atrair, desenvolver e reter
talentos competentes; e o rigor em torno de medidas, incentivos e recompensas por performance. O ambiente de
controle resultante tem impacto pervasivo sobre todo o sistema de controle interno.
Este componente tem os seguintes princípios associados:
1. A organização demonstra ter comprometimento com a integridade e os valores éticos.

2. A estrutura de governança demonstra independência em relação aos seus executivos e supervisiona o
desenvolvimento e o desempenho do controle interno.
3. A administração estabelece, com a aprovação da estrutura de governança, as estruturas, os níveis de
subordinação e as autoridades e responsabilidades adequadas na busca dos objetivos.
4. A organização demonstra comprometimento para atrair, desenvolver e reter talentos competentes, em
linha com seus objetivos.
5. A organização faz com que as pessoas assumam responsabilidade por suas funções de controle interno
na busca pelos objetivos.
Podemos avaliar o ambiente de controle por meio de por cinco elementos:
(1) A integridade pessoal e profissional e os valores éticos da direção e do quadro de pessoal, incluindo uma
atitude de apoio ao controle interno, durante todo o tempo e por toda a organização.
(2) Competência.
(3) o "perfil dos superiores" (ou seja, a filosofia da direção e o estilo gerencial).
(4) estrutura organizacional.
(5) políticas e práticas de recursos humanos
Avaliação de riscos
carol sena - 03092599594
Toda entidade enfrenta vários riscos de origem tanto interna quanto externa. Define-se risco como a
possibilidade de que um evento ocorra e afete adversamente a realização dos objetivos. A avaliação de riscos
envolve um processo dinâmico e iterativo para identificar e avaliar os riscos à realização dos objetivos. Esses riscos
de não atingir os objetivos em toda a entidade são considerados em relação às tolerâncias aos riscos estabelecidos.
Dessa forma, a avaliação de riscos estabelece a base para determinar a maneira como os riscos serão gerenciados.
Uma condição prévia à avaliação de riscos é o estabelecimento de objetivos, ligados aos diferentes níveis da
entidade. A administração especifica os objetivos dentro das categorias: operacional, divulgação e conformidade,
com clareza suficiente para identificar e analisar os riscos à realização desses objetivos. A administração também
considera a adequação dos objetivos à entidade. A avaliação de riscos requer ainda que a administração considere
o impacto de possíveis mudanças no ambiente externo e dentro de seu próprio modelo de negócio que podem
tornar o controle interno ineficaz.
6. A organização especifica os objetivos com clareza suficiente, a fim de permitir a identificação e a

avaliação dos riscos associados aos objetivos.
7. A organização identifica os riscos à realização de seus objetivos por toda a entidade e analisa os riscos
como uma base para determinar a forma como devem ser gerenciados.
8. A organização considera o potencial para fraude na avaliação dos riscos à realização dos objetivos.
9. A organização identifica e avalia as mudanças que poderiam afetar, de forma significativa, o sistema de
controle interno.
Atividades de controle
Atividades de controle são ações estabelecidas por meio de políticas e procedimentos que ajudam a garantir
o cumprimento das diretrizes determinadas pela administração para mitigar os riscos à realização dos objetivos.
As atividades de controle são desempenhadas em todos os níveis da entidade, em vários estágios dentro dos
processos corporativos e no ambiente tecnológico. Podem ter natureza preventiva ou de detecção e abranger uma
série de atividades manuais e automáticas, como autorizações e aprovações, verificações, reconciliações e
revisões de desempenho do negócio. A segregação de funções é geralmente inserida na seleção e no
desenvolvimento das atividades de controle. Nos casos em que a segregação de funções seja impraticável, a
administração deverá selecionar e desenvolver atividades alternativas de controle.
Controles preventivos são os que visam evitar que um risco se concretize. Como são preventivos, eles
ocorrem ANTES de um fato. Já os controles detectivos são os que visam detectar caso alguma coisa saia do normal.
Como são detectivos, eles ocorrem DEPOIS de um fato.
Além dos controles preventivos e detectivos, podemos implantar atividades de controle que visem corrigir uma
determinada atuação da organização ou corrigir uma deficiência nos controles internos. Essas atividades de
correção são denominadas “ações corretivas”.
10. A organização seleciona e desenvolve atividades de controle que contribuem para a redução, a níveis
aceitáveis, dos riscos à realização dos objetivos.
11. A organização seleciona e desenvolve atividades gerais de controle sobre a tecnologia para apoiar a
realização dos objetivos.
carol sena - 03092599594
12. A organização estabelece atividades de controle por meio de políticas que estabelecem o que é esperado
e os procedimentos que colocam em prática essas políticas.
As atividades de controle são as ações, em si, que a organização realiza para mitigar os riscos e realizar os objetivos. O COSO
lista explicitamente algumas dessas atividades, dando exemplos de um banco:
Revisões da Alta Direção – a alta direção compara o desempenho atual em relação ao orçado, às previsões, aos períodos
anteriores e aos de concorrentes. As principais iniciativas são acompanhadas, como campanhas de marketing, processos de
melhoria de produção e programas de contenção ou de redução de custo, para medir até que ponto as metas estão sendo
alcançadas. A implementação de planos é monitorada no caso de desenvolvimento de novos produtos ou novos
financiamentos.
Administração Funcional Direta ou de Atividade – gerentes, no exercício de suas funções ou atividades, examinam relatórios
de desempenho. Um gerente responsável pelos empréstimos bancários a consumidores revisa os relatórios por filial, região e
tipo de empréstimo (com caução), verificando resumos e identificando tendências e associando os resultados a estatísticas
econômicas e metas. Por sua vez, os gerentes de filiais também se concentram em questões de cumprimento de políticas,
revisando relatórios exigidos por órgãos reguladores a respeito de novos depósitos acima de um determinado valor. São
realizadas reconciliações dos fluxos de caixa diários.
Processamento da Informação – uma variedade de controles é realizada para verificar a precisão, a integridade e a
autorização das transações. Os dados inseridos ficam sujeitos a verificações de edição on-line ou à combinação com arquivos
aprovados de controle. Um pedido de cliente, por exemplo, somente poderá ser aceito após fazer referência a um arquivo de
cliente e ao limite de crédito do crédito aprovado. As sequências numéricas das transações são levadas em conta, sendo as
exceções acompanhadas e relatadas aos supervisores. O desenvolvimento de novos sistemas e as mudanças nos já existentes
são controlados da mesma forma que o acesso a dados, arquivos e programas.
Controles Físicos – os equipamentos, estoques, títulos, dinheiro e outros bens são protegidos fisicamente, contados
periodicamente e comparados com os valores apresentados nos registros de controle.
Indicadores de Desempenho – relacionar diferentes conjuntos de dados, sejam eles operacionais sejam financeiros, em
conjunto com a realização de análises dos relacionamentos e das medidas de investigação e correção, funciona como uma
atividade de controle. Os indicadores de desempenho incluem, por exemplo, índices de rotação de pessoal por unidade. Ao
investigar resultados inesperados ou tendências incomuns, a administração poderá identificar circunstâncias nas quais a falta
de capacidade para concluir processos fundamentais pode significar menor probabilidade dos objetivos serem alcançados. A
forma como a administração utiliza essas informações – somente no caso de decisões operacionais ou, também, no caso do
acompanhamento de resultados imprevistos nos sistemas de comunicações – determinará se a análise dos indicadores de
desempenho por si só atenderá às finalidades operacionais, bem como às finalidades de controle da comunicação.
Segregação de funções – as obrigações são atribuídas ou divididas entre pessoas diferentes com a finalidade de reduzir o
risco de erro ou de fraude. Por exemplo, as responsabilidades de autorização de transações, do registro de a entrega do bem
em questão são divididas. O gerente que autoriza vendas a crédito não deve ser responsável por manter os registros de contas
a pagar nem pela distribuição de recibos de pagamentos. Da mesma forma, os vendedores não devem modificar arquivos de
preços de produtos nem as taxas de comissão.
Além dessas atividades de controle, vale mencionar também as atividades que envolvem sistemas de informações
(Tecnologia da Informação).
A dependência cada vez maior em relação a sistemas de informações para auxiliar a operação de uma organização para
atender aos objetivos de comunicação e ao cumprimento de políticas traz a necessidade de controle dos sistemas mais
carol sena - 03092599594
significativos. Dois grupos amplos de atividades de controle dos sistemas de informação podem ser utilizados. O primeiro diz
respeito aos controles gerais, que se aplicam a praticamente todos os sistemas e contribuem para assegurar uma operação
adequada e contínua. O segundo grupo é o dos controles de aplicativos, que incluem etapas para avaliar o processo por meio
de códigos de programação dentro do software, individualmente. Os controles gerais e os de aplicativos, em conjunto com os
processos de controle manual, quando necessários, asseguram a integridade, a precisão e a validade das informações.
Controles Gerais sobre Sistemas de Informações:
Administração da Tecnologia da Informática – um comitê diretivo supervisiona, monitora e relata as atividades da tecnologia
da informática e as iniciativas de melhoria.
Infra-estrutura da Tecnologia da Informática – os controles são aplicados para definir, adquirir, instalar, configurar, integrar e
fazer a manutenção de sistemas. Os controles podem incluir acordos de níveis de serviço que estabelecem e reforçam o
desempenho do sistema, planejamento da continuidade dos negócios que mantém a disponibilidade do sistema e, também,
acompanhamento do desempenho da rede, no caso de falhas operacionais e da programação das operações de informática.
O software do sistema, componente da infra-estrutura da tecnologia da informação, pode incluir controles da parte da
administração e do comitê diretivo, como revisão e aprovação de novas aquisições significativas, limitação do acesso à
configuração do sistema e operação do software de sistema, reconciliações automatizadas dos dados acessados por meio de
software intermediário e detecção de paridade por bit para a comunicação de erros. Os controles de software do sistema
também incluem o monitoramento de incidentes, logging de sistema (registos do sistema) e revisão dos relatórios,
detalhando a utilização de utilitários para alteração de dados.
Administração da Segurança – controles lógicos de acesso como as senhas de segurança à rede, à base de dados e aos
aplicativos. Contas de usuários e controles relacionados de privilégios de acesso contribuem para limitar os usuários
autorizados a utilizar apenas os aplicativos ou funções de aplicativos necessárias ao cumprimento de suas tarefas. Firewalls
da Internet e redes virtuais particulares protegem os dados contra acesso externo não autorizado.
Aquisição, Desenvolvimento e Manutenção de Software – os controles de aquisição e de implementação de software estão

incorporados em um processo estabelecido para administrar mudanças, inclusive os requisitos de documentação, o teste de
aceitação pelo usuário e as avaliações de riscos do projeto. O acesso a códigos-fonte é controlado por meio de uma biblioteca
de códigos. Os programadores de software trabalham somente em ambientes isolados de desenvolvimento/teste e não têm
acesso ao ambiente da produção. Os controles de mudanças de sistema incluem a obrigatoriedade de autorização para
solicitar as mudanças, a revisão das mudanças, as aprovações, a documentação, o teste, as implicações das mudanças para
outros componentes da tecnologia da informática, os resultados de testes de estresse e os protocolos de implementação.
Controles de Aplicativos de Sistemas de Informação
Balanço das Atividades de Controle – detecta erros de captura de dados por meio da reconciliação da quantidade imputada
manual ou automaticamente em relação ao total controlado. Uma Companhia faz o balanço automático entre a quantidade
total de transações processadas e lançadas no seu sistema de entrada de pedidos on-line e a quantidade de transações
recebidas em seu sistema de faturamento.
Dígitos de Verificação – validam os dados por meio de cálculos. É gerado a partir do código da organização, um dígito de
verificação para detectar e corrigir pedidos imprecisos de seus fornecedores.
Listagens Predefinidas de Dados – fornecem aos usuários listagens predefinidas de dados aceitáveis. O site de intranet de
uma organização inclui listas suspensas dos produtos oferecidos para venda.
carol sena - 03092599594
Testes da Razoabilidade de Dados – comparam os dados colhidos com um padrão atual ou aprendido de razoabilidade. Um
pedido a fornecedor de uma loja de material de construção de varejo solicitando uma quantidade excessiva de metros cúbicos
de madeira será identificado na comparação de razoabilidade e irá requerer uma revisão.
Testes Lógicos – incluem a utilização de limites de faixas ou de valor ou testes alfanuméricos. Um órgão do governo constata
erros em potencial em número do seguro social ao verificar se todos os números digitados contêm nove dígitos.
Informação e comunicação
A informação é necessária para que a entidade cumpra responsabilidades de controle interno a fim de apoiar
a realização de seus objetivos. A administração obtém ou gera e utiliza informações importantes e de qualidade,
originadas tanto de fontes internas quanto externas, a fim de apoiar o funcionamento de outros componentes do
controle interno. A comunicação é o processo contínuo e iterativo de proporcionar, compartilhar e obter as
informações necessárias. A comunicação interna é o meio pelo qual as informações são transmitidas para a
organização, fluindo em todas as direções da entidade. Ela permite que os funcionários recebam uma mensagem
clara da alta administração de que as responsabilidades pelo controle devem ser levadas a sério. A comunicação
externa apresenta duas vertentes: permite o recebimento, pela organização, de informações externas
significativas, e proporciona informações a partes externas em resposta a requisitos e expectativas.
13. A organização obtém ou gera e utiliza informações significativas e de qualidade para apoiar o
funcionamento do controle interno.
14. A organização transmite internamente as informações necessárias para apoiar o funcionamento do
controle interno, inclusive os objetivos e responsabilidades pelo controle.
15. A organização comunica-se com os públicos externos sobre assuntos que afetam o funcionamento do
controle interno.
Atividades de monitoramento
Uma organização utiliza avaliações contínuas, independentes, ou uma combinação das duas, para se
certificar da presença e do funcionamento de cada um dos cinco componentes de controle interno, inclusive a
eficácia dos controles nos princípios relativos a cada componente. As avaliações contínuas, inseridas nos
processos corporativos nos diferentes níveis da entidade, proporcionam informações oportunas. As avaliações
independentes, conduzidas periodicamente, terão escopos e frequências diferentes, dependendo da avaliação de
riscos, da eficácia das avaliações contínuas e de outras considerações da administração. Os resultados são
avaliados em relação a critérios estabelecidos pelas autoridades normativas, órgãos normatizadores reconhecidos
ou pela administração e a estrutura de governança, sendo que as deficiências são comunicadas à estrutura de
governança e de administração, conforme aplicável.
16. A organização seleciona, desenvolve e realiza avaliações contínuas e/ou independentes para se certificar
da presença e do funcionamento dos componentes do controle interno.
17. A organização avalia e comunica deficiências no controle interno em tempo hábil aos responsáveis por
tomar ações corretivas, inclusive à estrutura de governança e à alta administração, conforme aplicável.
carol sena - 03092599594
Portanto, o monitoramento pode ser conduzido de duas maneiras: mediante atividades contínuas ou de
avaliações independentes. Geralmente, os mecanismos de administração de riscos corporativos são estruturados
para fazer o próprio monitoramento de forma contínua, no mínimo até um certo ponto. Quanto maior o alcance e
a eficácia do monitoramento contínuo, menor a necessidade de avaliações independentes. Fica a critério da
administração definir a frequência necessária de avaliações independentes, de forma a ter garantia razoável da
eficácia do gerenciamento de riscos corporativos.
Via de regra, uma combinação de monitoramento contínuo e avaliações independentes será capaz de
assegurar que o gerenciamento de riscos corporativos mantenha a sua eficácia com o passar do tempo. O
monitoramento contínuo é incorporado às atividades normais e repetitivas de uma organização. Ele também é
conduzido em tempo real, responde dinamicamente a mudanças nas condições e está firmemente arraigado na
organização. Consequentemente, ele é mais eficaz do que as avaliações independentes. Visto que as avaliações
independentes geralmente ocorrem após a constatação de algum fato, os problemas serão identificados com
maior rapidez por atividades contínuas de monitoramento.
Embora os procedimentos de monitoramento contínuo geralmente forneçam importante feedback sobre a

eficácia de outros componentes do gerenciamento de riscos corporativos, pode ser de valia abordar a questão
como se fosse a primeira vez, com o enfoque voltado diretamente à eficácia do gerenciamento de riscos
corporativos, com uma avaliação independente. Esse procedimento também oferece a oportunidade de
considerar a eficácia dos procedimentos de monitoramento contínua. Ou seja, pode-se fazer uma avaliação
independente para verificar se o monitoramento contínuo está sendo eficaz ou não. Assim, a atuação de
gerentes por meio de reuniões de planejamento ou mesmo a realização de seminários e palestras que abordem
a importância de manter um eficaz sistema de controle interno são consideradas monitoramento contínuo.
No caso das avaliações independentes, as áreas de maior risco e as respostas a risco de alta prioridade
tendem a ser avaliadas com mais frequência. A avaliação da totalidade do gerenciamento de riscos corporativos –
que, geralmente, necessita ser realizada com menor frequência do que a avaliação de partes específicas – pode ser
ocasionada por diversos motivos: mudança importante na estratégia ou na administração, aquisições ou
distribuições de recursos, mudanças nas condições econômicas ou políticas ou, ainda, mudanças nas operações
ou métodos de processamento de informações.
Frequentemente, as avaliações têm a forma de auto avaliações nas quais as pessoas responsáveis por uma
determinada unidade ou função determinam a eficácia do gerenciamento de riscos corporativos em relação às
suas atividades. Mesmo assim, a governança da organização pode utilizar, também, informações geradas pela
Auditoria Interna ou pela Auditoria Independente.
Seja como for, o avaliador deverá entender cada uma das atividades da organização e cada um dos
componentes do gerenciamento de riscos corporativos que está sendo abordado, identificando se houve alguma
alteração na forma de fazer as coisas na organização e em como isso impacta os riscos e os controles internos da
organização.
Para fazer isso, o avaliador dispõe de uma variedade de metodologias e ferramentas, inclusive listas de
verificação, questionários e técnicas de fluxogramas (como o mapeamento de processo). O avaliador pode,
também, comparar indicadores de desempenho.
A quantidade de documentação do gerenciamento de riscos corporativos de uma organização varia de

acordo com o tamanho, a complexidade e os fatores semelhantes. As grandes organizações geralmente possuem
carol sena - 03092599594
documentação escrita, como manuais de política, organogramas formais, descrições de cargo, instruções de
operação, fluxogramas de sistemas e assim por diante. As organizações menores possuem uma documentação
consideravelmente menor. Muitos aspectos do gerenciamento de riscos corporativos são informais e não estão
documentados, apesar disso são executados com regularidade e altamente eficazes. Essas atividades podem ser
testadas da mesma forma que as atividades documentadas. O fato dos elementos do gerenciamento de riscos
corporativos não estarem documentados não significa que não sejam eficazes ou não possam ser avaliados.
Contudo, um nível apropriado de documentação geralmente implica maior eficácia e eficiência às avaliações.
Por fim, todas as deficiências de administração de riscos corporativos identificadas, capazes de afetar a
capacidade da organização de desenvolver e implementar a sua estratégia, bem como de fixar e alcançar os seus
objetivos, devem ser relatadas para que sejam adotadas as medidas necessárias. É essencial que não apenas
uma determinada transação ou evento seja comunicado, como também os procedimentos potencialmente falhos
envolvidos e passíveis de reavaliação. Geralmente, essa comunicação é feita não só ao responsável pela
implantação do controle interno, mas também ao chefe desse responsável, para que haja a adoção de medidas
corretivas.
De forma geral, as informações geradas no decorrer das atividades operacionais são geralmente
comunicadas pelos canais normais aos superiores imediatos, como e-mails ou memorandos. Agora, se houver
alguma informação sensível, como atos ilegais ou impróprios, aí deve-se usar um canal de comunicação
alternativo.
Relação entre Objetivos e Componentes

Para deixar claro a relação entre os objetivos e componentes, o COSO publicou uma figura ilustrativa que
expressa essa relação. A figura escolhida pelo COSO foi um cubo, pois demonstra como os objetivos e os
componentes se relacionam diretamente. Olhe só:
carol sena - 03092599594
Na parte de cima do cubo, temos os objetivos considerados pelo COSO ICIF: Operacional, Divulgação,
Conformidade. Para assegurar esses objetivos, temos os componentes do Controle Interno: Ambiente de controle,
avaliação de riscos, atividades de controle, informação e comunicação e atividades de monitoramento. Por sua
vez, os componentes do controle interno vão perpassar todos os níveis da organização, desde o nível da
organização inteira (nível de entidade), o nível de divisão (divisão de marketing, divisão de vendas, divisão de
orçamento, divisão de licitações e contratos, etc), o nível de unidade operacional (dentro da divisão de marketing,
podemos ter marketing interno, marketing externo, marketing público), e nível de função (as atribuições de cada
funcionário individualmente).
Utilização do COSO ICIF

A forma como o COSO ICIF pode ser usado pelas organizações dependerá dos papéis desempenhados pelas
partes interessadas. Olhe só:
• Estrutura de governança – Deve deliberar sobre a situação do sistema de controle interno da entidade com
a alta administração e supervisioná-lo, conforme necessário. A alta administração é responsável pelo controle
interno, e a estrutura de governança precisa estabelecer suas políticas e expectativas sobre como os membros
devem supervisionar o controle interno da entidade. A estrutura de governança deve ser informada sobre os riscos
à realização dos objetivos da entidade, as avaliações das deficiências do controle interno, as medidas tomadas
pela administração para mitigar esses riscos e deficiências e sobre como a administração avalia a eficácia do
sistema de controle interno da entidade. A estrutura de governança deve questionar a administração e fazer as
perguntas difíceis, conforme necessário, além de buscar informações e o suporte dos auditores internos e
carol sena - 03092599594
auditores externos, entre outros. Muitas vezes, os subcomitês da estrutura de governança podem auxiliá-lo
assumindo algumas dessas atividades de supervisão.
• Alta administração – Deve avaliar o sistema de controle interno da entidade em relação à Estrutura de
Controles Internos, concentrando-se em como aplicar os 17 princípios em apoio aos componentes do controle
interno. No caso de ter aplicado a edição de 1992 da Estrutura, a administração deve, inicialmente, revisar as
atualizações feitas a essa versão (conforme observado no Anexo F da Estrutura) e considerar as implicações dessas
atualizações para o sistema de controle interno da entidade. A administração deve considerar o uso das
Ferramentas Ilustrativas (aquele cubo lá!) como parte dessa comparação inicial e como uma avaliação contínua da
eficácia global do sistema de controle interno da entidade.
• Outros profissionais – Devem revisar as modificações da versão 2013 do COSO e avaliar suas implicações
para o sistema de controle interno da entidade. Além disso, devem considerar como estão conduzindo suas
responsabilidades à luz da Estrutura e discutir, com profissionais mais seniores, ideias para fortalecer o controle
interno. Mais especificamente, devem pensar em como os controles atuais afetam os princípios relacionados aos
cinco componentes do controle interno.
• Auditores internos – Devem revisar seus planos de auditoria interna e a forma como foi aplicada a edição
de 1992 da Estrutura. Também devem revisar detalhadamente as modificações feitas na versão 2013 e considerar
possíveis implicações nos planos de auditoria, nas avaliações e em qualquer divulgação sobre o sistema de controle
interno da entidade.
• Auditores independentes – Em algumas jurisdições, o auditor independente é contratado para revisar ou
examinar a eficácia do controle interno do cliente sobre as divulgações financeiras, além de auditar as
demonstrações financeiras da entidade. Os auditores podem avaliar o sistema de controle interno da entidade em
relação à Estrutura, concentrando-se em como a entidade selecionou, desenvolveu e aplicou os controles que
afetam os princípios dentro dos componentes do controle interno. Da mesma forma que a administração, os
auditores podem utilizar as Ferramentas Ilustrativas como parte dessa avaliação da eficácia geral do sistema de
controle interno da entidade.
• Outras organizações profissionais – Outras organizações profissionais que fornecem orientação sobre as
categorias de objetivos operacional, divulgação e conformidade podem considerar suas normas e orientações à
luz da Estrutura. Com a eliminação de diferenças nos conceitos e na terminologia, todas as partes são beneficiadas.
• Educadores – Pressupondo que a Estrutura tem uma ampla aceitação, seus conceitos e termos devem
passar a fazer parte dos currículos universitários.
Controle interno eficaz

O COSO ICIF estabelece os requisitos para um sistema eficaz de controle interno, que proporciona segurança
razoável acerca da realização dos objetivos da entidade. Um sistema de controle interno eficaz reduz, a um nível
aceitável, o risco de não se atingir o objetivo de uma entidade e pode estar relacionado a uma, duas ou todas as
três categorias de objetivos (Operacionais, Divulgação, Conformidade).
Para que o sistema de controle interno seja considerado eficaz, a Estrutura proposta pelo COSO ICIF requer
que nesse sistema sejam encontrados requisitos. Olhe só:
• A presença e o funcionamento de cada um dos cinco componentes e princípios relacionados. “Presença”
refere-se à determinação da existência dos componentes e princípios relacionados no desenho e na
carol sena - 03092599594
implementação do sistema de controle interno para atingir objetivos especificados. “Funcionamento” refere-se à
determinação de que os componentes e princípios relacionados continuem a existir na operação e na condução do
sistema de controle interno para atingir objetivos especificados. Ou seja, os componentes e os princípios devem
existir (i) e funcionar bem (ii);
• Os cinco componentes operam em conjunto de forma integrada. “Operam em conjunto” refere-se à

determinação de que todos os cinco componentes, em conjunto, reduzam a um nível aceitável o risco de não se
atingir o objetivo. Os componentes não devem ser considerados de forma separada; eles operam em conjunto
como um sistema integrado. Os componentes são interdependentes e contam com uma profusão de inter-
relacionamentos e ligações entre si, especialmente a maneira como os princípios interagem dentro e entre todos
os componentes.
Portanto, se houver alguma deficiência na presença e/ou no funcionamento de um componente ou princípio

de controle interno, ou mesmo alguma deficiência relacionada à operação integrada dos componentes, a
organização não pode concluir que já possui um sistema eficaz de controle interno.
Assim, para considerar que um sistema de controle interno é eficaz, a alta administração e a estrutura de
governança devem ter segurança razoável de que a organização:
• conta com operações eficazes e eficientes quando se considera improvável que eventos externos tenham
impacto significativo sobre a realização dos objetivos ou quando a organização pode prever, com razoabilidade, a
natureza e a oportunidade dos eventos externos e reduzir seu impacto a um nível aceitável;
• entende a abrangência do gerenciamento eficaz e eficiente das operações quando eventos externos podem
ter um impacto significativo sobre a realização dos objetivos ou quando a organização pode prever, com
razoabilidade, a natureza e a oportunidade dos eventos externos e reduzir seu impacto a um nível aceitável;
• elabora divulgações em conformidade com regras, regulamentações e normas aplicáveis ou com os

objetivos de divulgações específicas da entidade; e
• observa as leis, regras, regulamentações e normas externas aplicáveis.
Em resumo, para considerar que o sistema de controle interno é eficaz, a organização precisa ter operações
eficazes e eficientes quando eventos externos não vão ter efeitos significativos nos objetivos dela. Se esses
eventos puderem ter efeitos significativos, a organização deve entender o quão eficaz e eficiente ela precisa ser
para dar resposta a esse risco. Além disso, ela deve divulgar informações em conformidade com as regras
aplicáveis, bem como observar leis e normas.
Portanto, a organização deve julgar se o desenho, a implementação e a condução dos controles internos são
eficazes, por meio de uma avaliação. O uso desse julgamento, dentro das limitações estabelecidas pelas leis,
regras, regulamentações e normas, aumenta a capacidade da administração de tomar melhores decisões sobre o
controle interno, embora não possa assegurar que o resultado será perfeito, já que os controles internos possuem
limitações.
Conclusão sobre GRC

Para entendermos o que é Controle Interno, foi necessário, antes, entendermos Governança e gestão de
riscos. O estudo fica um pouco mais extenso que o normal, mas o entendimento é muito melhor. Se eu pudesse
dar uma idéia visual de como Governança, Riscos e Controles Internos se relacionam, faria da seguinte forma:
carol sena - 03092599594
GRC e Auditoria Governamental

Governança, Riscos e Controles são extremamente importantes para auditores. Entender como esses três
elementos se relacionam vai te preparar para ser um auditor melhor.
Lembremos, por exemplo, da definição de auditoria interna do IIA:
Auditoria interna é uma atividade independente e objetiva de avaliação e consultoria criada para
agregar valor e melhorar as operações de uma organização. Ela auxilia a organização a atingir seus
objetivos a partir de uma abordagem sistemática e disciplinada à avaliação e melhoria da eficácia dos
processos de gerenciamento de riscos, controle e governança.
Ou seja, a auditoria interna é criada para agregar valor e melhorar as operações de uma organização. Mas
repare que a parte final fala que a auditoria interna deve avaliar e melhorar a eficácia dos processos de
gerenciamento de riscos, controles e governança.
Assim, o propósito da auditoria interna é centrar suas avaliações nos processos de GRC. Ao melhorar os
controles, ao fortalecer a gestão de riscos e ao amadurecer a governança, a organização terá mais probabilidade
de atingir os seus objetivos. E, então, a auditoria interna agregará valor para a organização.
No caso da auditoria externa, ela não tem como propósito principal agregar valor à organização, mas
também precisará fazer uma avaliação sobre GRC para saber qual a melhor abordagem a fazer durante a auditoria.
Por exemplo, se um auditor do TCU vai fazer uma auditoria em um órgão em que os controles internos são
muito fracos, ele terá que ser muito mais exaustivo no seu trabalho. Justamente porque controles internos frágeis
significam que a organização não se preocupa com riscos, o que pode gerar uma série de consequências negativas
para a organização.
Diferentemente, se a auditoria será em um órgão cujos controles são robustos, o auditor pode se dar ao luxo
de reduzir a intensidade do seu trabalho, pois controles internos robustos significam que o risco da organização
não é alto.
Nas nossas próximas aulas, veremos exatamente como o auditor realiza o diagnóstico na GRC de uma
organização que ele vai auditar e o que ele fará se a GRC for boa ou ruim.
carol sena - 03092599594
COSO ERM: O COSO voltado para a gestão de riscos

O COSO que acabamos de estudar é o COSO ICIF, que foi publicado em 1992 e recebeu uma nova versão em
2013.
O COSO ICIF trata especificamente sobre controles internos. No entanto, em 2004, o COSO lançou uma
outra publicação chamada de COSO Enterprise Risk Management (Gerenciamento de riscos corporativos), que
ficou conhecido como COSO II ou COSO ERM.
Como dá para perceber, o COSO II “subiu um pouco o nível”, pois tratou de gestão de riscos e não só de
controles internos. Assim, enquanto o COSO I trata sobre controles internos, o COSO II trata sobre gestão de
riscos. Juntando os dois, teríamos uma visão muito boa sobre gestão de riscos mais controles internos.
A primeira versão do COSO ERM trouxe um outro cubo (se o primeiro cubo já era dos infernos, esse segundo
então, era o capiroto em pessoa!), com mais componentes para explicar o que era recomendado para haver uma
gestão de risco na organização.
No entanto, em 2017, o COSO ERM sofre uma modificação. E uma das principais é que o cubo do COSO ERM
foi extirpado da face da terra (glorifique de pé, igreja!). Sim, desde 2017 o cubo do COSO II não existe mais.
Algumas questões mais antigas ainda cobram o cubo, mas desde então nós teremos apenas a cobrança do
novo modelo do COSO ERM, publicado em 2017.
Além da extinção do cubo do COSO ERM (o do COSO ICIF ainda continua vigente), a versão de 2017 do COSO
ERM tem uma pegada bem mais gerencial (lembra que conversamos na aula passada que a formação de um
auditor é multidisciplinar?). O COSO aproxima muito a gestão de riscos da estratégia da organização,
estabelecendo que o principal objetivo da gestão de riscos é o de proteger a estratégia organizacional.
Antes de entrarmos a fundo no COSO, precisamos entender melhor alguns conceitos de Administração.
Para isso, chamei aqui para esta aula o excelente professor de Administração aqui do Direção Concursos
Marcelo Soares! Tá contigo, mlk!
Opa, Jetro! Obrigado!
Olá concurseiro, tudo bem? Meu nome é Marcelo Soares e aqui na DIREÇÃO CONCURSOS sou professor das disciplinas de
Administração Geral e Administração Pública.
Caso não me conheça, permita-me fazer uma breve apresentação: sou graduado, pós-graduado e mestrando em
Administração. Atualmente exerço com muito orgulho o cargo de Auditor do Estado de Mato Grosso. Nos concursos públicos
rodei bastante até achar minha casa. Dentre outros, fui aprovado e nomeado nos cargos de Auditor Fiscal da Receita Municipal
de Cuiabá, Auditor Governamental do Piauí e Analista Judiciário – área administrativa (TRF-1ª, TRT-11ª).
Apesar dessa experiência longa no mundo dos concursos, continuo com todo gás e como professor quero fazer parte da sua
história até a aprovação, ou melhor, até o churrasco da posse, pode ser?
Vamos, então, dar uma olhada em alguns conceitos essenciais sobre Administração para entender o COSO ERM.
Estratégia
carol sena - 03092599594
A palavra strategia (στατηγία), em grego antigo, significa a qualidade ou habilidade do general, ou seja, a capacidade de o
comandante organizar e levar a cabo as campanhas militares. Dessa concepção militar, originou-se a palavra que hoje
conhecemos como estratégia6.
Podemos afirmar que estratégia consiste no conjunto de ações realizadas pelos executivos para atingir os objetivos de uma
organização, ou, como prefere Alfred Chandler, estratégia é a alocação dos recursos necessários à realização das metas da
organização 7.
É comum que o conceito de estratégia seja associado à ideia de caminho ou percurso que a organização adotará. Nesse
sentido, por exemplo, são os conceitos de estratégia propostos por Djalma de Oliveira e Richard Daft.
Uma estratégia é um plano para interagir com o ambiente competitivo, a fim de atingir as metas
organizacionais. Alguns administradores pensam em metas e estratégias como se fossem a mesma coisa, mas
para nossos propósitos as metas definem onde a organização quer ir e as estratégias definem como ela vai
chegar lá. (Richard Daft) 8
A finalidade das estratégias empresariais é estabelecer quais serão os caminhos, os cursos, os programas de
ação que devem ser seguidos para alcançar os objetivos estabelecidos pela empresa (Djalma de Oliveira) 9
Referencial Estratégico
As estratégias são formuladas a partir do referencial estratégico da organização. O referencial estratégico corresponde ao
conjunto de quatro elementos: negócio, missão, visão e valores. Esses elementos permeiam todo o planejamento estratégico
da organização e funcionam como grandes diretrizes para que empregados, clientes, fornecedores e demais stakeholders
(partes interessadas) tenham clareza sobre a essência da organização (quem ela realmente é), sobre aquilo que ela faz, sobre
suas crenças e sobre sua imagem de futuro.
Uma questão recorrente em provas consiste em misturar os conceitos de negócio, missão, visão e valores. Portanto, vejamos
cada um desses conceitos de maneira atenta.
• Negócio: representa o ramo de atividades no qual a instituição atua, indicando o foco dos benefícios que ela irá gerar
para sua clientela.
Exemplo de Negócio:
Negócio do Tribunal de Contas da União - TCU: Controle externo da administração pública e da gestão dos recursos públicos
federais.
• Missão: declaração concisa da razão de ser da organização, que expressa o que ela faz (produtos, serviços e valor), para
quem ela faz (usuários, beneficiários e cidadãos) e, em alguns casos, de que maneira ela faz. A missão não é uma descrição da
organização, mas uma expressão dos líderes sobre seus desejos e intenções para o futuro, que cria um senso de identidade e
6
Serra, F., Ferreira, M., Torres, A., Torres, M. Gestão Estratégica: conceitos e casos. São Paulo: Atlas, 2014, p.5
7
Chandler, A. Strategy and structure: chapters in the history of the industrial enterprise (Vol.120). MIT press.
8
Daft. R. Organizações: teoria e projetos. São Paulo: Cengage Learning, 2015. p.127
9
Oliveira, D. Estratégia Empresarial: uma abordagem empreendedora. 2 ed. São Paulo: Atlas, 1991. p.26
carol sena - 03092599594
comunica o propósito da organização (essência da entidade) para funcionários, clientes, fornecedores e partes interessadas.
Uma missão clara e motivadora ajuda a organização a focar em inovações que são críticas para o seu alcance 10.
Exemplos de Missão:
A missão do Banco do Brasil é ser um banco de mercado, competitivo e rentável, atuando com espírito público em cada uma
de suas ações junto à sociedade.
A missão da Controladoria Geral da União - CGU é promover o aperfeiçoamento e a transparência da gestão pública, a
prevenção e o combate à corrupção, com participação social, por meio da avaliação e controle das políticas públicas e da
qualidade do gasto.
• Visão: traduz uma imagem de futuro ideal construída a partir do consenso dos membros de uma organização. A visão
é uma projeção da organização em uma situação futura madura e bem-sucedida. A visão não é uma utopia, mas um cenário
atingível em um prazo de 10-30 anos, que considera o presente da organização em sua formulação11.
Exemplos de Visão:
A visão do MPF é até 2020 ser reconhecido, nacional e internacionalmente, pela excelência na promoção da justiça, da
cidadania e no combate ao crime e à corrupção.
A visão da CGU é ser reconhecida pelo cidadão como indutora de uma Administração Pública 100% íntegra, participativa,
transparente, eficiente e eficaz.
• Valores: conjunto de princípios e crenças fundamentais de uma empresa. Fornecem sustentação na tomada de decisão
e na elaboração de políticas organizacionais. Os valores são as ideias fundamentais em torno das quais se constrói a
organização, representam as convicções dominantes e as crenças básicas subjacentes ao comportamento das pessoas 12.
Exemplo de valores
Coca-Cola:
Integridade: Ser íntegro significa ser verdadeiro: dizer o que pensamos, fazer o que dizemos e agir corretamente.
Liderança: Como líderes, precisamos ter a coragem de construir um futuro melhor, meta que será alcançada fazendo a
diferença como empresa global, com decisões e inspiração certas e influenciando aqueles com quem nos relacionamos
Paixão: Comprometidos de corpo e alma, devemos criar oportunidades, ter sede de fazer sempre mais e realizar.
Diversidade: Queremos ter uma força de trabalho tão diversa quanto os mercados que atendemos, e criamos oportunidades
para alcançar esse objetivo.
10
Conceito formulado a partir de questões e do Guia técnico de Gestão Estratégica do .Governo Federal. V.1 – Abril/2020
11
Conceito formulado a partir de questões e do Guia técnico de Gestão Estratégica do .Governo Federal. V.1 – Abril/2020
12
Conceito formulado a partir de questões e do Guia técnico de Gestão Estratégica do Governo Federal. V.1 – Abril/2020
carol sena - 03092599594
Vamos responder algumas questões?
FCC – Prefeitura do Recife – Analista de Gestão Administrativa – 2019)
Considere que uma entidade integrante da Administração municipal tenha contratado uma consultoria especializada para
apoiar a implementação de planejamento estratégico para o horizonte dos próximos cinco anos. Uma das primeiras etapas
abordadas foi a relativa à visão da entidade, o que significa
a) identificar a própria razão de ser da entidade, expressando por que ela existe e o que ela proporciona de relevante para a
sociedade.
b) traduzir o consenso dos membros da entidade sobre o futuro que se deseja, definindo como a organização pretende ser
reconhecida pela sociedade.
c) fazer projeções dos cenários interno e externo em que a entidade atua, identificando ações adequadas para cada uma
dessas situações contingentes.
d) mensurar os princípios, crenças e padrões que orientam a atuação da entidade e o comportamento de seus membros.
e) identificar os pontos fortes e fracos da organização, através do diagnóstico interno, bem como as ameaças e oportunidades
existentes no ambiente externo.
COMENTÁRIO:
Visão = como a organização pretende ser reconhecida, futuro ideal da organização.
Alternativa A. Errado. Conceito de missão.
Alternativa B. Certo. Ótimo conceito de visão.
Alternativa C. Errado. Planejamento por meio de cenários.
Alternativa D. Errado. Conceito de valores, crenças e cultura organizacional.
Alternativa E. Errado. Descreve o diagnóstico organizacional - etapa do planejamento estratégico.
carol sena - 03092599594
Gabarito: B
FGV – AL/RO – Assistente Legislativo – 2018)
Na elaboração do planejamento estratégico de um órgão público, os responsáveis pela condução do trabalho estão
desempenhando a etapa conhecida por definição da visão. Assinale a opção que apresenta as características dessa etapa.
a) Apresentação dos princípios e crenças basilares do órgão.
b) Panorama dos desafios e oportunidades vigentes no setor.
c) Exposição das forças e fraquezas valorizadas pelo órgão.
d) Declaração da posição almejada pelo órgão no futuro.
e) Descrição da razão de existência do órgão.
COMENTÁRIO:
Visão consiste na definição do futuro ideal, ou seja, aonde a empresa pretende chegar.
Alternativa A. Errado. Conceito de valores.
Alternativa B. Errado. Conceito de Análise externa.
Alternativa C. Errado. Conceito de Análise interna.
Alternativa D. Certo. Exatamente o conceito de visão.
Alternativa E. Errado. Conceito de Missão.
Gabarito: D
Vantagem Competitiva
Segundo Michael Porter (1989) 13, as empresas formulam estratégias para criar uma posição competitiva favorável em um
mercado, isto é, uma posição que assegure lucratividade, sustentabilidade e proteção das forças que determinam a
concorrência. Alcançar essa posição favorável depende da capacidade de a empresa construir vantagem competitiva.
Vantagem competitiva corresponde à diferença de valor que uma organização entrega para seus clientes em comparação aos
concorrentes. Nas palavras de Richard Daft, vantagem competitiva se refere “ao que destaca a organização além das demais
e proporciona a esta uma vantagem distinta por atender às necessidades do cliente no mercado” 14.
13
Porter, M. Estratégia Competitiva: técnicas para análise de indústrias e da concorrência. Rio de Janeiro: Elsevier, 2004.
14
Daft. R. Organizações: teoria e projetos. São Paulo: Cengage Learning, 2015. p.123
carol sena - 03092599594
“Marcelo, o que seria esse valor adicional de entrega?”
Isso depende muito do segmento. Em um curso de Administração para concursos, por exemplo, uma vantagem competitiva
pode ser um professor que esquematiza todos os conceitos para facilitar o aprendizado, enquanto os concorrentes
simplesmente jogam a matéria para os alunos. No mercado de telefonia móvel, por exemplo, temos a Apple que atribui a seus
produtos um alto nível de status social, o que não é feito por demais marcas, logo a força da marca da Apple é uma vantagem
competitiva.
É isso, Jetro! Te devolvo a bola!
Muitíssimo obrigado, Professor Marcelo! Você é o cara da Administração. Tamo junto!
Depois dessa excelente aula do professor Marcelo, podemos avançar no estudo sobre o COSO II.
A principal visão da nova versão do COSO ERM é que as organizações, mesmo as públicas 15, vivem em
ambientes cada vez mais complexos, voláteis e ambíguos. Isso significa que a organização precisa constantemente
se adaptar a cenários adversos (como uma pandemia do coronavírus, em que todos os funcionários precisam ficar
de home office, e a organização precisa fornecer os ferramentais, um corte orçamentário, etc...).
Essa necessidade de adaptação torna a gestão de riscos ainda mais necessária, pois ela pode ajudar no
processo de escolha e refinamento da estratégia da organização, que precisa rapidamente ser adaptada aos novos
cenários.
A Gestão de riscos, então, deve enfatizar os pontos fortes e fracos da estratégia e o tanto que a estratégia se
adequa à missão e à visão da organização. Ao adaptar a estratégia ao novo contexto, a gestão de riscos irá ajudar
a administração da organização a cumprir o papel, pois esta ficará atenta aos riscos que podem afetar a estratégia
e impedir o alcance de objetivos. Uma vez ciente dos riscos a que está exposta, a administração estará apta a
gerenciá-los.
O COSO ERM também ressalta a importância que a Gestão de Riscos deve ter na governança, para aumentar
o diálogo entre os atores e buscar uma vantagem competitiva para a organização, no sentido de se preparar
antecipadamente para lidar com riscos. Assim, se antecipando ao risco, as organizações podem tirar proveito das
oportunidades que eventualmente se apresentem.
E aqui, além da extinção do cubo do COSO II e da maior preocupação com a estratégia da organização, temos
outra grande mudança do COSO ERM: o conceito de risco passa a ser enxergado também como aspecto positivo.
Ou seja, para o COSO ICIF, risco é sempre uma coisa negativa, pois ele sempre atrapalha a organização a
atingir o objetivo.
Já para o COSO ERM o risco também apresenta um aspecto positivo, pois pode dar oportunidades para a
organização. Se estamos diante de um risco de crise econômica, por exemplo, a organização pode ter a
oportunidade de comprar vários rivais que estão mal das pernas por um preço mais baixo. Assim, ao adquirir
15
O COSO é publicado considerando, principalmente, o ambiente e as características das empresas privadas. Mas ele é
perfeitamente adaptável a organizações públicas, tanto é que é bastante popular no setor público.
carol sena - 03092599594
empresas por um preço baixo, a organização em questão estaria usando o risco como oportunidade. Olhe só o que
o COSO ERM fala:
O risco não deve ser encarado unicamente como uma possível restrição ou obstáculo à definição e
à execução de uma estratégia. Pelo contrário, a mudança trazida pela avaliação do risco e a correspondente
resposta organizacional dão origem a oportunidades estratégicas e a importantes competências
diferenciadoras.
Portanto, como ambos os COSOs estão vigentes, precisamos fazer essa diferenciação. Para o COSO ICIF,
todo risco é um risco negativo e, por isso, precisa ser mitigado com a implantação de controles internos. Para o
COSO ERM o risco também pode apresentar oportunidades. Por isso, os riscos negativos serão mitigados com a
implantação de controles internos, mas riscos que apresentarem oportunidades devem ser incentivados, para que
a organização obtenha vantagem competitiva.
Assim, se alguma questão cobrar o conceito de risco, identifique se essa definição é de acordo com o COSO
ICIF ou com o COSO ERM, ok?
Como o risco pode ter aspectos positivos, o COSO ERM cita como benefícios de um gerenciamento de riscos
efetivo:
• Aumento do leque de oportunidades: ao considerar todas as possibilidades – tanto os aspectos

positivos como os negativos do risco – a administração pode identificar novas oportunidades e desafios
específicos relacionados às oportunidades atuais.
• Identificação e gestão do risco na entidade como um todo: toda entidade está sujeita a vários tipos
de riscos, que podem afetar diversas partes da organização. Às vezes, um risco pode ser originário de uma
parte da entidade, mas impactar outra parte (por exemplo: se a área de TI é responsável por um sistema
de gestão de pessoas e esse sistema fica fora do ar, a área de gestão de pessoas é que é afetada). Dessa
forma, a administração identifica e gerencia os riscos na entidade como um todo para manter e melhorar
a performance.
• Aumento dos resultados positivos e da vantagem com a diminuição das surpresas negativas: o
gerenciamento de riscos corporativos permite às entidades melhorar sua capacidade de identificar riscos
e definir as respostas adequadas, diminuindo as surpresas e os custos ou prejuízos correspondentes e
tirando proveito dos demais desdobramentos favoráveis.
• Diminuição da oscilação da performance: para algumas entidades, os desafios não são as surpresas e
os prejuízos, mas sim a oscilação da performance. Uma performance além das expectativas pode causar
tanta preocupação quanto uma performance aquém das expectativas. O gerenciamento de riscos
corporativos permite prever os riscos que poderiam afetar a performance e colocar em prática as medidas
necessárias para minimizar a disrupção e maximizar a oportunidade.
• Melhor distribuição de recursos: todo risco poderia ser considerado uma demanda por recursos.
Afinal, a organização deve concentrar os seus recursos para combater os riscos mais relevantes. Assim, a
obtenção de informações rigorosas sobre riscos permite que a administração, diante de recursos finitos,
avalie as necessidades, priorize a distribuição e melhore a alocação de recursos nos maiores riscos.
• Aumento da resiliência da empresa: a viabilidade da entidade no médio e longo prazos depende de
sua capacidade de prever mudanças e responder a elas – não apenas para sobreviver, mas também para
carol sena - 03092599594
evoluir e prosperar. Em parte, isso é viabilizado pela eficácia no gerenciamento de riscos corporativos e
adquire importância cada vez maior à medida que se acelera o ritmo da mudança e aumenta a
complexidade dos negócios.
Para que a gestão de riscos realmente forneça todos estes benefícios à organização, ela precisa ser capaz de
proteger e viabilizar a estratégia da organização. O COSO ERM lista quatro grandes riscos envolvendo a estratégia,
que são a maior causa da destruição de valor em uma empresa:
1 – Escolher a estratégia errada: Este é o risco menos provável, mas acontece. Ao escolher uma estratégia
inadequada, a organização está fadada ao fracasso. Isso porque a estratégia vai orientar toda a ação da
organização. Se o rumo ditado pela estratégia não for adequado, a organização caminhará por um caminho
errôneo, o que pode levá-la a extinção. Por isso, a estratégia organizacional deve ser capaz de fornecer uma
direção adequada para a organização, deixando claro quais são os desafios que a organização enfrenta e como a
organização atuará para superá-los.
2 – Desalinhamento entre a estratégia e a missão, a visão e os valores fundamentais da organização: A

missão representa o porquê de a organização existir, a visão representa o que ela quer alcançar e os valores
representam aquilo que a organização preza na atuação de seus colaboradores. Como dá para perceber, a MVV
(Missão, Visão, Valores) representa a base da organização e, justamente por isso, a estratégia precisa estar
alinhada com o MVV.
Caso a estratégia não esteja alinhada com o MVV, haverá problemas. Se a estratégia não for alinhada com a
missão, a organização atuará em um âmbito para o qual ela não foi criada. Se a estratégia não for alinhada com a
visão, a organização atingirá um objetivo que não é o que ela pretendia. Se a estratégia não for alinhada com os
valores, a organização incentivará outros comportando que não é o que realmente deseja.
Assim, a preocupação do COSO ERM é em alinhar a estratégia a MVV, de forma que a estratégia ajude a
organização a cumprir sua missão, a atingir sua visão e a difundir os valores.
3 – Não considerar as implicações da Estratégia: Quando a administração escolhe uma estratégia e
promove o alinhamento com a MVV, nós temos as implicações dessa estratégia. Ao definir uma estratégia, a
administração estabelece objetivos que quer perseguir e alvos que deseja alcançar. Para atingir os seus objetivos,
a organização pode ter mais ou menos dificuldades e correr mais ou menos riscos. Escolher uma estratégia muito
ousada pode ter a implicação de que a organização corra um alto nível de risco e que não consiga atingi-la
completamente, por exemplo. De forma semelhante, escolher uma estratégia muito conservadora pode ter a
implicação de que a organização fique ultrapassada mediante uma inovação feita pelos concorrentes. Por isso, a
organização deve decidir que grau de risco está disposta a escolher: é melhor uma estratégia mais ousada e mais
arriscada? Ou uma conservadora e mais segura? Ou alguma intermediária?
Quando escolher uma estratégia, a organização também deve escolher o quanto de risco está disposta a correr
para implementar aquela estratégia. Dizemos que ela deve escolher o “apetite ao risco”. Apetite a risco é
exatamente isso mesmo: o tanto de risco que a organização está disposta a correr para viabilizar a sua estratégia.
4 – Riscos na execução da estratégia: Além de lidar com as implicações da estratégia, a organização também
precisa gerenciar os riscos associados aos objetivos estabelecidos na estratégia. Se uma organização pública
estabeleceu o objetivo ousado de melhorar a satisfação do usuário do serviço público em 80%, ela terá que
gerenciar os riscos que podem afetar este objetivo. Caso não faça isso, pode ser que a estratégia, apesar de
adequada, de alinhada a MVV e de bem considerada, pode simplesmente não ser bem executada. Nesta situação,
carol sena - 03092599594
a organização definiu bem a estratégia, mas não a executou bem, o que significa que, no final, os objetivos não
serão alcançados. Por isso, a organização deve gerir bem os riscos, para assegurar que os objetivos estão
protegidos.
O ponto principal do COSO é que se a organização cuidar bem destes 4 riscos relacionados à estratégia, ela
apresentará ganhos no seu desempenho e, portanto, conseguirá implementar sua estratégia.
Estes riscos da estratégia podem ser visualizados na figura abaixo, extraída do COSO ERM:
Assim, partindo do MVV, a organização define sua estratégia (devendo tomar cuidado para não escolher
uma estratégia inadequada). Depois disso, deve cuidar para que não haja os riscos de desalinhamento com o MVV,
de não considerar as implicações e de não executar bem a estratégia. Gerenciando bem estes 4 grandes riscos, a
organização apresentará ganhos no desempenho esperado.
Considerando esta situação, o COSO ERM estabelece a estrutura de gerenciamento de riscos. Esta estrutura
é formada por cinco componentes e 20 princípios (5/20). Olhe só:
Ou seja, a organização primeiro define a sua MVV. Depois, desenvolve a estratégia. Depois formula os
objetivos. Depois, se preocupa com a execução da estratégia (com a implementação da estratégia e com o
desempenho alcançado). Ao final do processo, chega ao aumento do valor que a organização gera.
O processo acima é dividido em cinco componentes (e graças a Deus não é mais um cubo). Olhe só:
carol sena - 03092599594
Explicando cada um dos cinco componentes:

1. Governança e cultura: a governança dá o tom da organização, reforçando a importância e instituindo
responsabilidades de supervisão sobre o gerenciamento de riscos corporativos. A cultura diz respeito a valores
éticos, a comportamentos esperados e ao entendimento do risco em toda a entidade.
2. Estratégia e definição de objetivos: gerenciamento de riscos corporativos, estratégia e definição de objetivos
atuam juntos no processo de planejamento estratégico. O apetite a risco é estabelecido e alinhado com a
estratégia; os objetivos de negócios colocam a estratégia em prática e, ao mesmo tempo, servem como base
para identificar, avaliar e responder aos riscos.
3. Performance (Desempenho): os riscos que podem impactar a realização da estratégia e dos objetivos de
negócios precisam ser identificados e avaliados. Os riscos são priorizados com base no grau de severidade
(probabilidade e impacto), no contexto do apetite a risco. A organização determina as respostas aos riscos e,
por fim, alcança uma visão consolidada do portfólio e do montante total dos riscos assumidos. Os resultados
desse processo são comunicados aos principais envolvidos com a supervisão dos riscos.
4. Análise e revisão: ao analisar sua performance, a organização tem a oportunidade de refletir sobre até que
ponto os componentes do gerenciamento de riscos corporativos estão funcionando bem ao longo do tempo e
no contexto de mudanças relevantes, e quais correções são necessárias.
5. Informação, comunicação e divulgação: o gerenciamento de riscos corporativos demanda um processo
contínuo de obtenção e compartilhamento de informações precisas, provenientes de fontes internas e
externas, originadas das mais diversas camadas e processos de negócios da organização.
Assim, para que haja aumento no valor gerado pela organização, é necessário que a governança seja atuante
e supervisione a gestão de riscos, inclusive fazendo com que as pessoas da organização entendam a importância
do gerenciamento de riscos, o que ajudará a criar uma cultura de riscos (primeiro componente).
Depois, é a hora de estabelecer a estratégia, bem como o apetite a riscos e os objetivos (segundo componente)
bem como gerenciar os riscos efetivamente, isto é, cuidar para que eles não impeçam os objetivos de serem
atingidos (terceiro componente).
Assim como todo processo organizacional, não dá para fazer gestão de riscos apenas uma vez: a execução
deve ser contínua. Por isso, a organização precisa avaliar se o seu desempenho está mesmo sendo aumentado
pela gestão de riscos e verificar se é necessária uma alteração da estratégia ou na gestão de riscos em caso de
mudança no cenário (quarto componente).
Por fim, todas as áreas da organização precisam contribuir para o gerenciamento de riscos e isso envolve obter
informações sobre processos e sobre o desempenho da organização (quinto componente).
Estes cinco componentes (Governança e Cultura, Estratégia e definição de objetivos, Desempenho, Análise e
Revisão e Informação, Comunicação e divulgação) são subdivididos em 20 princípios (por curiosidade, coloquei a
figura abaixo, com relação dos componentes com os princípios e a definição dos 20 princípios.
“Jetro, preciso saber tudo?” Posso ser sincero? Acho o custo-benefício horrível. Sabendo os cinco componentes já
está de bom tamanho).
carol sena - 03092599594
Agora, a definição dos 20 princípios:

1. Exerce supervisão do risco por intermédio do conselho — O conselho de administração supervisiona a
estratégia e cumpre responsabilidades de governança para ajudar a administração a atingir a estratégia e os
objetivos de negócios.
2. Estabelece estruturas operacionais — A organização estabelece estruturas operacionais para atingir a
estratégia e os objetivos de negócios.
3. Define a cultura desejada — A organização define os comportamentos esperados que caracterizam a cultura
desejada pela entidade.
4. Demonstra compromisso com os valores fundamentais — A organização demonstra compromisso com os
valores fundamentais da entidade.
5. Atrai, desenvolve e retém pessoas capazes — A organização tem o compromisso de formar capital humano
de acordo com a estratégia e os objetivos de negócios.
6. Analisa o contexto de negócios — A organização leva em conta os possíveis efeitos do contexto de negócios
sobre o perfil de riscos.
7. Define o apetite a risco — A organização define o apetite a risco no contexto da criação, da preservação e da
realização de valor.
8. Avalia estratégias alternativas — A organização avalia estratégias alternativas e seu possível impacto no
perfil de riscos.
9. Formula objetivos de negócios —A organização considera o risco enquanto estabelece os objetivos de
negócios nos diversos níveis, que se alinham e suportam a estratégia.
10. Identifica o risco — A organização identifica os riscos que impactam a execução da estratégia e os objetivos
de negócios.
11. Avalia a severidade do risco — A organização avalia a severidade do risco.
12. Prioriza os riscos — A organização prioriza os riscos como base para a seleção das respostas a eles.
13. Implementa respostas aos riscos — A organização identifica e seleciona respostas aos riscos.
14. Adota uma visão de portfólio — A organização adota e avalia uma visão consolidada do portfólio de riscos.
carol sena - 03092599594
15. Avalia mudanças importantes — A organização identifica e avalia mudanças capazes de afetar de forma
relevante a estratégia e os objetivos de negócios.
16. Analisa riscos e performance — A organização analisa a performance da entidade e considera o risco como
parte desse processo.
17. Busca o aprimoramento no gerenciamento de riscos corporativos — A organização busca o aprimoramento
contínuo do gerenciamento de riscos corporativos.
18. Alavanca sistemas de informação — A organização maximiza a utilização dos sistemas de informação e
tecnologias existentes na entidade para impulsionar o gerenciamento de riscos corporativos.
19. Comunica informações sobre riscos — A organização utiliza canais de comunicação para suportar o
gerenciamento de riscos corporativos.
20. Divulga informações de riscos, cultura e performance — A organização elabora e divulga informações sobre
riscos, cultura e performance abrangendo todos os níveis e a entidade como um todo.
Repare, então, que o COSO ERM tem uma pegada muito mais gerencial e estratégica, pois visa permitir que
a estratégia da organização seja protegida e viabilizada. É uma mudança de filosofia mesmo.
Lembre, no entanto, que tanto o COSO ICIF quanto o COSO ERM estão vigentes. O COSO ICIF voltado
especificamente para os controles internos e o COSO ERM voltado para a gestão de riscos (que abrange os
controles internos, mas não se limita a eles).
Podemos dizer que o COSO ERM não se limita aos controles internos. Isso porque os controles internos só
são implementados para os riscos negativos (que precisam ser mitigados). Como COSO ERM considera que o risco
pode trazer oportunidades, a organização deve tirar proveito disso.
Assim, para os riscos negativos, a organização deve implantar controles internos (e aplicar as práticas do
COSO ICIF). Para as oportunidades e para proteção e viabilização da estratégia, é utilizado o COSO ERM.
E acabamos por hoje, meu povo! Como viver com medo é viver pela metade, viva inteiramente este
conteúdo, fazendo questões. Abrass!
carol sena - 03092599594
Questões comentadas pelos professores
1. FGV – TCE AM – 2021)

A Secretaria de Fazenda de um Estado da Federação mantém um volume significativo de informações sensíveis
armazenado em seus sistemas informatizados. Porém, há indícios de que os controles de tecnologia da informação
(TI) têm sido negligenciados, resultando em diversas deficiências no controle de TI. Tendo em vista a salvaguarda
dos ativos do ente, procedimentos de revisão periódica dos registros de tentativas de acessos e comandos (não
autorizados), com comunicação dos resultados ao gestor competente, podem ser associados ao seguinte
componente do controle interno:
A ambiente de controle;
B avaliação de risco;
C atividades de controle;
D atividades de monitoramento;
E informação e comunicação.
RESOLUÇÃO:
Esta questão cobra o entendimento sobre o COSO. O COSO é um referencial sobre como o sistema de
controle interno em uma organização deve ser. Ele estabelece diversas diretrizes para que a organização se proteja
em relação aos riscos que está correndo. Por isso, sempre recomendo que o aluno estude primeiro Governança,
depois Gestão de Riscos e, só então, o COSO. Essa ordem facilita em muito o entendimento.
A primeira versão do COSO, cobrada nesta questão, tem cinco componentes e, DE LONGE, os componentes
mais cobrados são: ambiente de controle, atividades de controle e atividades de monitoramento. Portanto,
sabendo bem estes três componentes, você já estará preparado para a grande maioria das questões do COSO.
Mas vamos dar uma olhada em todos os componentes do COSO:

Ambiente de Controle: Ética, integridade, cultura organizacional, retenção de talentos , etc. São os fatores
intangíveis que conduzem o controle interno por toda a organização. Tem impacto pervasivo no sistema de
controle interno.
Avaliação de Riscos: Processo para identificar e avaliar os riscos. Riscos devem ser reduzidos a níveis
aceitáveis (que a organização tolera). Como o risco depende do objetivo, este componente necessita que a
administração tenha estabelecido objetivos e que estes objetivos estejam adequados à organização.
Atividades de Controle: São políticas e procedimentos para reduzir os riscos, como controles preventivos,
detectivos e as ações corretivas. Exemplos: Segregação de funções, revisões da alta direção, indicadores de
desempenho. No âmbito da TI, são considerados dois tipos de controles: os controles gerais (aplicados a todos os
sistemas) e os controles de aplicativo (aplicados a um sistema individualmente).
Informação e Comunicação: A organização proporciona, compartilha e obtém as informações necessárias

para a realização de seus objetivos. Além disso, deve receber informações externas e fornecer informações que
atendam as expectativas das partes interessadas.
carol sena - 03092599594
Atividades de Monitoramento; Servem para certificar a presença e o funcionamento dos controles internos
e para tomar ações corretivas pra melhorar o sistema.
Pois bem, agora podemos ir à questão.
Temos falhas graves nos controles de TI desta organização. Assim, as atividades de controle não estão
prejudicadas.
No entanto, a chave para responder a esta questão é que os resultados dos registros dos controles foram
comunicadas ao gestor competente, para revisão. Assim, uma vez comunicadas, o gestor iniciará um
procedimento de revisão dos registros, para melhorar os controles.
Portanto, o foco da questão é no componente de informação e comunicação, pois é por meio da

comunicação que o gestor identifica a falha e, durante as atividades de monitoramento, pode fortalecer os
controles
Resposta: E
2. FGV – ALERJ – 2017)

O governo de um ente estatal definiu como uma das políticas quadrienais o desenvolvimento do artesanato em
uma região do Estado, conhecida pela tradição com cerâmicas, rendas e bordados. Para tanto, ele pretende
subsidiar recursos para treinamento, construção de instalações e aquisição de matérias-primas.
O governo estadual, por meio da Secretaria Estadual de Desenvolvimento Econômico e Social, realizou uma análise
quanto à disponibilidade de pessoal para compor um departamento apropriado para implementar, conduzir e
acompanhar a operação de concessão de subsídios.
Sob a perspectiva do documento Guidelines for Internal Control Standards for the Public Sector, emitido pelo
International Organization of Supreme Audit Institutions (INTOSAI), a análise efetuada está relacionada ao seguinte
componente:
A monitoramento;
B avaliação de riscos;
C ambiente de controle;
D informação e comunicação;
E procedimentos de controle.
RESOLUÇÃO:
De todos os componentes do COSO, apenas 1 tem relação direta com a disponibilidade de pessoal. Com
efeito o ambiente de controle é avaliado por cinco elementos:
(2) Competência.
carol sena - 03092599594
(5) políticas e práticas de recursos humanos.
As políticas e práticas de recursos humanos envolvem a forma como a organização recruta, seleciona e
desenvolve o seu pessoal para que possam ser capazes de executar as atividades de responsabilidades da entidade.
Assim, disponibilizar as pessoas adequadas envolve estas políticas e práticas, razão pela qual estamos lidando com
o componente ambiente de controle.
Resposta: C
3. FGV – ALERJ – 2017)

Na avaliação de sistemas de controle interno concebidos a partir da Estrutura Integrada proposta pelo Committee
of Sponsoring Organizations of the Treadway Commission (COSO), a análise sobre as iniciativas da organização para
que as pessoas assumam responsabilidade por suas funções de controle interno na busca por objetivos está
relacionada ao componente:
A avaliação de riscos;
B atividades de controle;
D fixação de objetivos;
E monitoramento.
RESOLUÇÃO:
De todos os componentes do COSO, apenas 1 tem relação direta com a disponibilidade de pessoal. Asssim, falou
sobre responsabilidade de pessoas, falou em ambiente de controle (gabarito C).



5. A organização faz com que as pessoas assumam responsabilidade por suas funções de controle interno na
busca pelos objetivos.
As políticas e práticas de recursos humanos envolvem a forma como a organização recruta, seleciona e desenvolve
o seu pessoal para que possam ser capazes de executar as atividades de responsabilidades da entidade. Assim,
disponibilizar as pessoas adequadas envolve estas políticas e práticas, razão pela qual estamos lidando com o
componente ambiente de controle.
carol sena - 03092599594
Resposta: C
4. FGV – Câmara de Salvador – 2017)

A Estrutura Integrada de Controle Interno proposta pelo Committee Of Sponsoring Organizations of the Treadway
Commission (COSO) organiza o controle interno em cinco componentes. Quando uma entidade que organizou o
seu controle interno a partir da estrutura do COSO realiza avaliações contínuas e/ou independentes para se
certificar da presença e do funcionamento dos componentes do controle interno, está atendendo diretamente ao
componente de:
RESOLUÇÃO:
Esta questão cobra o entendimento sobre o COSO, chamado em alguns editais de Controle Interno. O COSO é um
referencial sobre como o sistema de controle interno em uma organização deve ser. Ele estabelece diversas
diretrizes para que a organização se proteja em relação aos riscos que está correndo. Por isso, sempre recomendo
que o aluno estude primeiro Governança, depois Gestão de Riscos e, só então, o COSO. Essa ordem facilita em
muito o entendimento.
A primeira versão do COSO, cobrada nesta questão, tem cinco componentes e, DE LONGE, os componentes mais
cobrados são: ambiente de controle, atividades de controle e atividades de monitoramento. Portanto, sabendo
bem estes três componentes, você já estará preparado para a grande maioria das questões do COSO.
Mas vamos dar uma olhada em todos os componentes do COSO:
Ambiente de Controle: Ética, integridade, cultura organizacional, retenção de talentos , etc. São os fatores
controle interno.
Avaliação de Riscos: Processo para identificar e avaliar os riscos. Riscos devem ser reduzidos a níveis aceitáveis
(que a organização tolera). Como o risco depende do objetivo, este componente necessita que a administração
tenha estabelecido objetivos e que estes objetivos estejam adequados à organização.
Atividades de Controle: São políticas e procedimentos para reduzir os riscos, como controles preventivos,
desempenho. No âmbito da TI, são considerados dois tipos de controles: os controles gerais (aplicados a todos os
sistemas) e os controles de aplicativo (aplicados a um sistema individualmente).
Informação e Comunicação: A organização proporciona, compartilha e obtém as informações necessárias para a

realização de seus objetivos. Além disso, deve receber informações externas e fornecer informações que atendam
as expectativas das partes interessadas.
carol sena - 03092599594
Atividades de Monitoramento; Servem para certificar a presença e o funcionamento dos controles internos e para
tomar ações corretivas pra melhorar o sistema.
Ou seja, falou em “presença e monitoramento" falou em “atividades de monitoramento". Isso ocorre porque, por
meio do monitoramento, a organização checa os controles, se eles existem (presença) e se são efetivos (se
funcionam adequadamente).
Resposta: D
5. FGV – IBGE – 2016)

Uma determinada entidade está realizando reestruturação das suas atividades. Um dos pontos de reestruturação
foi a incorporação de novos serviços, que exigirá a contratação de mais pessoas e a aquisição de novos materiais.
Em decorrência disso, a entidade identifica e avalia as mudanças que poderiam afetar, de forma significativa, o
sistema de controle interno.
Essa postura da entidade está relacionada ao seguinte componente da estrutura de controle interno:
RESOLUÇÃO:
Com a incorporação de novos serviços, a contratação de mais pessoas e novos materiais, a organização irá abrir
novas frentes de trabalho. Essas mudanças afetam o nível de risco que a organização está correndo, pois novos
serviços podem não dar o retorno esperado pela organização.
Além disso, novas pessoas e novos materiais relacionados aos novos serviços podem ser insuficientes ou
inadequados para o que os serviços exigem, o que também aumenta o risco da organização.
Repare que a introdução de novos serviços causa muitas mudanças na organização. E mudanças alteram o nível
de risco a que a instituição está sujeita. Assim, a organização precisa avaliar estes novos riscos, para que se proteja
deles implantando atividades de controle.
Resposta: B
6. FGV – CODEMIG – 2015)
carol sena - 03092599594
A definição mais amplamente aceita de controles internos é a proposta pelo Committee of Sponsoring
Organizations of the Treadway Commission (COSO), que concebe o controle interno como um processo integrado,
executado pela administração e outras pessoas da entidade, desenhado para fornecer razoável segurança sobre o
alcance de objetivos nas seguintes categorias: eficácia e eficiência operacional, mensuração de desempenho e
divulgação financeira, proteção de ativos e cumprimento de leis e regulamentações.
Quando, em uma entidade, se procede à avaliação quanto à definição adequada de competências e atribuições de
cada função no regimento interno de uma entidade, o componente do Controle Interno da Estrutura de COSO
contemplado é:
C procedimentos de controle;
E monitoramento.
RESOLUÇÃO:
Opa, a definição adequada de competências e atribuições das pessoas no regimento interno de uma entidade é
considerado ambiente de controle.



Assim, a definição de competências e atribuições é representada pelo item 3 acima, sendo função do ambiente de
controle.
Resposta: A
7. FGV – Câmara de Recife – 2014)

De acordo com as diretrizes para as normas de controle interno divulgadas pelo COSO (Committee of Sponsoring
Organizations of the Treadway Commission) e pela INTOSAI (International Organisation of Supreme Audit
Institutions), o controle interno é estruturado para oferecer segurança razoável de que os objetivos gerais da
entidade estão sendo alcançados e compreende cinco componentes interrelacionados. O princípio que preconiza
carol sena - 03092599594
que a organização faz com que as pessoas assumam responsabilidade por suas funções de controle interno na busca
pelos objetivos está relacionado ao componente de:
C atividades de monitoramento;
D avaliação de riscos;
RESOLUÇÃO:
Quando as pessoas se tornam responsáveis pelo controle interno de uma entidade temos o componente do
ambiente de controle.


Assim, a assumir a responsabilidade (item 5 acima) é função do ambiente de controle.
Resposta: A
8. FGV – TJ PI – 2015)
De acordo com as Normas internacionais para a prática profissional de auditoria interna, emitidas pelo Institute of
Internal Auditors, a avaliação do ambiente de controle é componente essencial para se atingir os principais
objetivos do sistema de controle interno. São elementos constituintes do ambiente de controle, EXCETO:
A atividades de controle sobre a tecnologia;
B atribuição de autoridade e responsabilidade;

C estilo operacional da administração;
D integridade e valores éticos;

E políticas e práticas de recursos humanos.
carol sena - 03092599594
RESOLUÇÃO:
Opa, falou em auditoria falou em avaliação.
De todos os componentes do COSO, apenas 1 tem relação direta com a disponibilidade de pessoal. Com
efeito o ambiente de controle é avaliado por cinco elementos:
(2) Competência.
(5) políticas e práticas de recursos humanos.
Assim, de todas as alternativas, apenas a letra A não se refere ao ambiente de controle, pois as atividades de
controle sobre a tecnologia pertence ao componente atividade de controle.
Resposta: A
9. FGV – TJ PI – 2015)
Uma entidade fez a opção de implantar seu sistema de controle interno a partir da Estrutura Integrada de
Controle Interno proposta pelo COSO. A Estrutura proposta pelo COSO se desdobra em princípios, que representam
os conceitos fundamentais associados a cada componente do Controle Interno.
Dentre as iniciativas da entidade, está a criação de um plano para desenvolvimento e retenção de talentos
humanos. Essa iniciativa está em consonância com o componente:
C avaliação de riscos;
E monitoramento.
RESOLUÇÃO:
Quando a organização desenvolve e retém talentos temos o componente do ambiente de controle.

carol sena - 03092599594

Assim, desenvolver e reter talentos (item 4 acima) é função do ambiente de controle.

Resposta: A
10.FGV – TCM SP – 2015)

O Comitê das Organizações Patrocinadoras da Comissão Treadway (COSO, na sigla em inglês) apresentou, em
1992, um modelo amplamente aceito para o estabelecimento de controles internos denominado “Controle Interno
– Estrutura Integrada” – aplicável a entidades de grande, médio e pequeno portes, com ou sem fins lucrativos, bem
como ao setor público –, que ficou popularmente conhecido como COSO I.
Segundo esse modelo, controle interno:
A é um processo de trabalho que deve ficar a cargo da unidade de auditoria interna de cada entidade;
B é um processo conduzido pela estrutura de governança, pela administração e por pessoas da organização;
C é um processo que consiste de tarefas que devem ser realizadas ao menos uma vez em cada exercício
financeiro;
D visa proporcionar certeza de que os objetivos da entidade serão alcançados;
E não auxilia a organização a prever eventos externos que possam afetar negativamente o alcance de seus
objetivos.
RESOLUÇÃO:
Segundo o COSO I, a definição de controle interno é

"um processo conduzido pelo conselho de administração, pela administração e pelo corpo de empregados
de uma organização, com a finalidade de possibilitar uma garantia razoável quanto à realização dos objetivos nas
seguintes categorias: Eficácia e eficiência das operações; Confiabilidade das demonstrações financeiras;
Conformidade com leis e regulamentos cabíveis."
Resposta: B
11.CESPE – TCDF – 2021)

Publicado em 2004, o COSO II substituiu o COSO I como guia de melhores práticas na gestão de riscos e controles
internos.
RESOLUÇÃO:
Na verdade, o COSO II não substituiu nem revogou o COSO I, ele acrescentou ao COSO I. Enquanto o COSO
I trata sobre controles internos, o COSO ERM trata sobre gestão de riscos (que é mais abrangente).
carol sena - 03092599594
Resposta: Errado
12.CESPE – TCE RJ – 2021)

Os controles internos administrativos implementados em uma organização devem prevalecer como instrumentos
auxiliares de gestão.
RESOLUÇÃO:
Bom, todos os controles internos existem para auxiliar a organização a gerenciar os riscos a que está sujeita,
o que contribui para a melhoria de sua capacidade de governança e gestão.
Assim, ao mitigar os riscos, os controles internos ajudam a organização a atingir os seus objetivos, o que
aumenta sua capacidade de entrega de resultados às partes interessadas.
Portanto, como os controles internos são um instrumento para melhorar a governança e gestão da
organização, questão correta.
Resposta: Certo

O gasto de R$ 25.000 para o envio de uma equipe de fiscalização a um município distante, a fim de se verificar a
aplicação de R$ 9.000 de recursos públicos, contraria o princípio da relação custo/benefício do controle interno.
RESOLUÇÃO:
Todo controle interno precisa seguir a relação custo x benefício. Isto é, o controle não pode custar mais do
que o benefício que ele gera.
No caso dessa questão, os cofres públicos suportam o gasto de R$ 25.000 para uma equipe de fiscalização
verificar a aplicação de R$ 9.000.
Imagine que estes R$ 9.000 são despesas ilegais. Neste caso, estes recursos devem ser ressarcidos ao estado.
Assim, o estado gastará R$ 25.000 para a equipe ir fiscalizar e recuperará os R$ 9.000. No total, o estado
ainda teve um gasto de R$ 16.000.
É melhor deixar esses R$ 9.000 para lá. Porque aí, o estado não recupera os R$ 9.000, mas também não gasta
R$ 25.000. Ou seja, no final das contas, se seguir desta forma, o Estado economiza 16.000. É bem melhor para os
cofres públicos economizar R$ 16.000 do que gastar R$ 16.000.
Portanto, questão certa, já que gastar R$ 25.000 para que sejam recuperados apenas R$ 9.000 não segue a
relação custo x benefício.
Resposta: Certo
14.CESPE – PGE/PE – 2019)
carol sena - 03092599594
A estrutura de governança no setor público deve ser própria, única e restrita a órgão específico, e responder,
simultaneamente, por todos os níveis organizacionais e funcionais desse órgão.
RESOLUÇÃO:
Pelo contrário! A estrutura de governança compreende essencialmente os mecanismos de liderança,

estratégia e controle postos em prática para avaliar, direcionar e monitorar a atuação da gestão, com vistas à
condução de políticas públicas e à prestação de serviços de interesse da sociedade.
Ou seja, todo o setor público deve agir no interesse da sociedade, por meio da condução de políticas públicas
e da prestação de serviços.
Por isso, a estrutura de governança não pode ser “única e restrita a um órgão específico”, como afirmou a
questão, mas tem que abranger todo o setor público. De que adiantaria termos apenas um órgão com boa
governança e todos os demais com péssima governança? Não adiantaria nada...
A parte final da questão está correta, pois a estrutura de governança é a responsável pela supervisão da
gestão e vai perpassar todos os níveis organizacionais e funcionais do órgão em que atue.
No entanto, essa parte final não anula o erro da questão.
Resposta: Errado
15.CESPE – CGM/PB – 2018)

De acordo com o art. 74 da Constituição Federal de 1988 (CF), os Poderes Legislativo, Executivo e Judiciário
manterão, de forma integrada, sistema de controle interno com algumas finalidades. Nesse sentido, julgue o item
a seguir, a respeito da governança no setor público.
Ao mencionar que os controles internos devem “avaliar o cumprimento das metas previstas no plano plurianual, a
execução dos programas de governo e dos orçamentos da União”, o inciso I do artigo constitucional em questão
mostra-se contraditório com as características descritas pelo COSO ICIF 2013, em que o controle interno é planejado
para assegurar tanto o alcance dos objetivos relacionados às operações, quanto a produção de relatórios e a
adequação às normas.
RESOLUÇÃO:
Segundo o COSO ICIF 2013, os controles internos de uma organização são implantados para assegurar três
categorias de objetivos: os objetivos operacionais (metas dos usos do recursos estabelecidas, os objetivos de
divulgação (como a produção de relatórios financeiros ou não para comunicação às partes interessadas) e os
objetivos de conformidade (adequação às normas).
E aí, a questão joga esse art. 74 da Constituição Federal e pergunta se esse artigo está ou não adequado ao
COSO ICIF 2013.
Para responder essa questão precisaremos de alguns conhecimentos mínimos de Administração Financeira
e Orçamentária (AFO), também chamada de Orçamento Público. Pois bem, para responder essa questão
precisamos do conhecimento de duas leis lá da AFO: O plano plurianual (PPA) e a Lei Orçamentária Anual (LOA).
No PPA são estabelecidas as metas do governo (tanto é que se chama Plano Plurianual). Neste plano, todas
as ações governamentais que o governo irá realizar estão inseridas. Essas ações governamentais são chamadas de
carol sena - 03092599594
“programas governamentais”. E aí, vem uma outra lei, a LOA, que direciona os recursos públicos para a execução
dos programas. Assim, a LOA vai destinar X milhões para o programa de governo A, Y milhões para o programa
de governo B e etc..
Repare que o conceito de objetivos operacionais do COSO estabelece que “relacionam-se à eficácia e à
eficiência das operações da entidade, inclusive as metas de desempenho financeiro e operacional e a salvaguarda
de perdas de ativos”.
Portanto, quando controles internos são implantados para avaliar as metas do plano plurianual e da
execução dos programas, conforme a Constituição determina, estamos fazendo uma análise de eficiência e
eficácia dessas operações e, assim, estamos cumprindo o que o COSO estabelece.
Da mesma forma, ao “avaliar a execução dos orçamentos da União”, os controles internos estão avaliando
metas de desempenho financeiro, o que também cumpre o COSO.
Além disso, ao divulgar como está a execução dos programas de governos e do orçamento, os controles
internos agem para cumprir o objetivo de divulgação, conforme previsto pelo COSO. E ao avaliar se o PPA e LOA
seguiram as normas jurídicas aplicáveis, os controles internos cumprem o objetivo de conformidade.
Portanto, é errado dizer que há contradição entre a Constituição Federal e o COSO. Pelo contrário, há
perfeita convergência.
Resposta: Errado
16.CESPE – FUNPRESP – 2016)

Com relação ao processo de controle interno e de avaliação e gestão de riscos, julgue o item a seguir.
Não cabe ao controle interno assegurar a exatidão das informações contábeis e financeiras.
RESOLUÇÃO:
Errado!
Um dos objetivos que os controles internos visam proteger é o objetivo de divulgação da entidade. Os objetivos
de divulgação relacionam-se a divulgações financeiras e não financeiras, internas e externas, podendo abranger
os requisitos de confiabilidade, oportunidade, transparência ou outros termos estabelecidos.
Portanto, qualquer informação que venha da entidade precisa ser confiável (e, portanto, exatas), oportunidade e
transparente, inclusive as informações da contábeis e financeiras.
Resposta: Errado
17.CESPE – FUB – 2015)

A função da governança, no setor público, visa garantir que os produtos ofertados e serviços disponibilizados
estejam alinhados com o interesse dos cidadãos e usuários desses produtos e serviços.
RESOLUÇÃO:
carol sena - 03092599594
Perfeito! A função da governança é alinhar a atuação do agente aos interesses do principal. No caso do setor
público, é a mesma coisa: a atuação de todo o setor público, inclusive os produtos e serviços disponibilizados,
precisam estar alinhados à vontade dos cidadãos, que são o principal.
Resposta: Certo
18. CESPE – CGE/PI – 2015)

A categorização dos usuários segundo os perfis e o uso de softwares licenciados são tipos de controles estruturados
pela administração para auxiliar a gestão dos sistemas de informações.
RESOLUÇÃO:
Todos os controles internos visam proteger a organização de diversos riscos. Um desses riscos é a perda de
ativos, razão pela qual esses ativos da organização precisam estar seguros.
Um dos ativos mais preciosos de uma organização são os sistemas de informações, pois eles são essenciais
tanto para o trabalho em si, quanto para gerar informações cujas partes interessadas tem necessidades. Por isso,
é importante que a organização estabeleça controles internos para evitar que pessoas não autorizadas tenham
acesso aos sistemas ou que as informações que estão nos sistemas sejam corrompidas.
Uma das formas de a organização fazer isso é limitar o acesso aos sistemas apenas para quem tem o perfil
adequado. Assim, usuários normais dos sistemas não terão acesso a todas as funcionalidades do sistema, mas
apenas a uma parte delas e terão um perfil no sistema mais usual. Já as camadas mais altas da organização podem
ter perfis que contenham mais possibilidades de acesso.
Da mesma forma, para evitar que qualquer pessoa possa instalar um programa no computador da
organização (o que pode acarretar a entrada de vírus de computador, por exemplo), a organização pode evitar a
instalação desses softwares e só liberar programas que tenham sido licenciados previamente, isto é, autorizados
pela organização.
Portanto, tanto a categorização dos usuários por perfis quanto o uso de softwares licenciados são controles
internos utilizados pela administração da organização.
Resposta: Certo
19. CESPE – CGE/PI – 2015)

Os canais normais são veículos de comunicação utilizados pelas organizações para retransmitir aos usuários as
informações pessoais, sigilosas, e as relativas aos riscos identificados, ao passo que os canais alternativos são meios
adequados para comunicar as informações geradas no curso das operações e as decorrentes de atos ilegais.
RESOLUÇÃO:
Essa questão tem a ver com o componente do COSO ICIF “Atividades de Monitoramento”. O monitoramento
dos controles internos existe para avaliar se os componentes dos controles internos existem e se funcionam.
Caso haja alguma deficiência encontrada, o avaliador dos controles internos deve comunicar isso para os
responsáveis pela área. Quando essas deficiências são geradas no decorrer das atividades operacionais, isto é, no
curso normal das operações, elas devem ser comunicadas pelos canais normais aos superiores imediatos, como e-
carol sena - 03092599594
mails ou memorandos. Agora, se houver alguma informação sensível, como atos ilegais ou impróprios, aí deve-se
usar um canal de comunicação alternativo.
A questão inverte os conceitos e, por isso, está errada.
Resposta: Errado
20.CESPE – CGE/PI – 2015)

Caso esteja estruturado formalmente, o controle interno de uma instituição pode ser representado sob a forma de
um cubo. Nessa representação, as categorias de objetivos relacionam-se indiretamente com os componentes, em
que pese estarem no mesmo plano; diferentemente da estrutura organizacional, que está em outra dimensão.
RESOLUÇÃO:
Opa, opa! De fato, o controle interno da uma instituição pode ser representado sob a forma de um cubo. NO
entanto, os objetivos se relacionam DIRETAMENTE com os componentes (e não indiretamente como afirmou a
questão).
Vale a pena dar uma olhada no cubo novamente:
Resposta: Errado
21. CESPE – CGE/PI – 2015)

Por meio do monitoramento, em especial, no que se refere à autoavaliação, o corpo gerencial de uma organização
pode se certificar da origem, presença e regularidade do funcionamento de determinado componente de controle
interno.
RESOLUÇÃO:
Essa questão é muito maldosa! Pois apenas uma palavra a deixa errada!
O monitoramento dos controles internos geralmente é feito por auto avaliações. Ele é executado pelo corpo
gerencial de uma organização e tem como objetivo certificar-se que um determinado componente de controle
interno está presente (existe) e que ele funciona bem (possui regularidade no funcionamento).
carol sena - 03092599594
O monitoramento não tem como objetivo certificar-se da origem do componente (até porque a origem é o
próprio COSO).
Resposta: Errado
22. CESPE – CGE/PI – 2015)

Em uma organização, entre os controles mais conhecidos e difundidos estão os preventivos e os detectivos. Além
desses, encontram-se as ações corretivas, que são utilizadas para complementar tanto as atividades quanto os
procedimentos de controle.
RESOLUÇÃO:
Perfeito! O componente de atividades de controle do COSO estabelece que a organização precisa implantar
controles internos para mitigar riscos. Entre as ações possíveis, a organização pode implantar controles detectivos,
preventivos ou fazer ações corretivas.
Controles preventivos são os que visam evitar que um risco se concretize. Como são preventivos, eles
ocorrem ANTES de um fato. Já os controles detectivos são os que visam detectar caso alguma coisa saia do normal.
Como são detectivos, eles ocorrem DEPOIS de um fato.
Além dos controles preventivos e detectivos, podemos implantar atividades de controle que visem corrigir
uma determinada atuação da organização ou corrigir uma deficiência nos controles internos. Essas atividades de
correção são denominadas “ações corretivas”.
Resposta: Certo
23. CESPE – MPU – 2015)

A salvaguarda dos ativos da entidade para evitar perdas ou uso prejudicial dos recursos é um objetivo da atuação
do controle interno, sendo o componente relacionado ao ambiente de controle primordial na definição dos riscos
para evitar ocorrências indesejáveis.
RESOLUÇÃO:
Segundo o COSO ICIF, os controles internos visam resguardar três categorias de objetivos: os operacionais,
os de divulgação e os de conformidade. Os objetivos operacionais relacionam-se à eficácia e eficiência da
organização e à salvaguarda de ativos, isto é, à proteção de objetivos da organização.
Quando um ativo é salvaguardado, evita-se que perdas ou uso prejudicial desses recursos.
Por sua vez, o ambiente de controle abrange a integridade e os valores éticos da organização; os parâmetros
que permitem à estrutura de governança cumprir com suas responsabilidades de supervisionar a governança; a
estrutura organizacional e a delegação de autoridade e responsabilidade; o processo de atrair, desenvolver e reter
talentos competentes; e o rigor em torno de medidas, incentivos e recompensas por performance. O ambiente de
controle resultante tem impacto pervasivo sobre todo o sistema de controle interno.
Portanto, quanto melhor o ambiente de controle de uma organização, menos riscos ela correrá e, portanto,
será mais capaz de evitar ocorrências indesejáveis.
carol sena - 03092599594
Resposta: Certo
24. CESPE – MPU – 2015)

O sistema de controle interno de uma organização empresarial é uma combinação de políticas e procedimentos
operacionais mantidos para a proteção dos ativos da entidade, devendo esse sistema ser estabelecido pelos
proprietários, controladores ou administradores.
RESOLUÇÃO:
Fera essa definição! Um sistema de controle interno existe para isso mesmo: proteger os ativos da entidade
(serve para outras coisas também, mas isso não deixa questão errada). Além disso, os principais responsáveis pela
implantação de um sistema de controle interno eficaz são os responsáveis pela companhia (os donos, os
controladores ou os administradores).
Resposta: Certo
25. CESPE – MPU – 2015)

De acordo com as diretrizes de controle interno definidas pelo COSO (Committee of Sponsoring Organization),
constituem componentes inter-relacionados não somente o ambiente de controle, a avaliação de riscos,
informação e comunicação, mas também o monitoramento.
RESOLUÇÃO:
Perfeito! O COSO estabelece cinco componentes de controle interno: ambiente de controle, avaliação de
riscos, atividades de controle, informação e comunicação e atividades de monitoramento.
Repare que a questão não falou acerca do componente “atividades de controle”, mas questão incompleta
não é questão errada, então, tá certa mesmo.
Resposta: Certo
26.CESPE – MPU – 2015)

O objetivo do aperfeiçoamento do sistema de controles internos das entidades é eliminar de vez os riscos
operacionais.
RESOLUÇÃO:
Aí, não, moço! Os controles internos possuem diversas limitações (como julgamentos humano falhos e
tendencioso, erros humanos, como enganos simples e a capacidade da administração, outros funcionários e/ou
terceiros transpassarem os controles por meio de conluio entre as partes). Essas limitações, portanto, fazem com
que os controles internos não possam fornecer uma garantia absoluta que os objetivos serão atingidos).
Portanto, o que os controles internos proporcionam são uma segurança razoável (mas não absoluta). Isso
implica dizer que não conseguimos eliminar os riscos, mas apenas reduzi-los.
Resposta: Errado
carol sena - 03092599594
27.CESPE – MPU – 2015)

Um efetivo ambiente de controle é influenciado por fatores intangíveis, entre os quais se destacam os valores éticos
das pessoas nele inseridas.
RESOLUÇÃO:
Perfeito! É só lembrar que um dos componentes do controle interno é o ambiente de controle que abrange
a integridade e os valores éticos da organização; os parâmetros que permitem à estrutura de governança cumprir
com suas responsabilidades de supervisionar a governança; a estrutura organizacional e a delegação de autoridade
e responsabilidade; o processo de atrair, desenvolver e reter talentos competentes; e o rigor em torno de medidas,
incentivos e recompensas por performance. O ambiente de controle resultante tem impacto pervasivo sobre todo
o sistema de controle interno.
Integridade, valores éticos e talentos, por exemplo, são fatores intangíveis.
Resposta: Certo
28.CESPE – MPU – 2015)

A alta administração, que exerce a função de governança da entidade, é responsável pela definição de um
adequado ambiente de controle, que independe da atuação da auditoria interna ou externa.
RESOLUÇÃO:
De fato, a governança da entidade é responsável por um adequado ambiente de controle. No entanto, a

auditoria interna e a auditoria interna são instâncias de apoio a governança e, justamente por sua função, auxiliam
a governança a estrutura um ambiente de controle adequado.
Imagine se uma organização pública não fosse auditada. Isso poderia levar os funcionários a serem mais
negligentes no trabalho e a maiores desperdícios de recursos públicos. No entanto, o simples fato de que, a
qualquer momento, uma auditoria pode ser deflagrada na organização, já fa com que os funcionários sejam mais
cuidados e zelosos com o trabalho. Ou seja, a atuação da auditoria interna ou externa contribui, e muito, para a
existência de um ambiente de controle adequado.
Portando, questão errada, já o ambiente de controle depende, sim, da atuação da auditoria.
Resposta: Errado
29. CESPE – MPU – 2015)

Independentemente da existência de uma área específica de gestão de riscos, a auditoria interna é organizada com
a função de assegurar o cumprimento dos objetivos do negócio e o gerenciamento de riscos.
RESOLUÇÃO:
A auditoria interna á uma instância interna de governança da organização. Ela tem como objetivo realizar
avaliações na gestão e reportar suas conclusões diretamente ao Conselho de Administração ou ao Comitê de
Auditoria, caso este exista.
carol sena - 03092599594
Para bem cumprir suas atividades, a auditoria interna avalia e monitora riscos e controles internos,
comunicando quaisquer disfunções identificadas à alta administração.
Resposta: Certo
30.CESPE – MPU – 2015)

Embora o ambiente de controle da organização seja formado por pessoas cujas experiências e habilidades técnicas
recebem influência do próprio ambiente de trabalho, a cultura organizacional não pode influenciar os padrões de
controles internos definidos.
RESOLUÇÃO:
Pelo contrário!
O ambiente de controle abrange a integridade e os valores éticos da organização; os parâmetros que permitem à
estrutura de governança cumprir com suas responsabilidades de supervisionar a governança; a estrutura
organizacional e a delegação de autoridade e responsabilidade; o processo de atrair, desenvolver e reter talentos
competentes; e o rigor em torno de medidas, incentivos e recompensas por performance. O ambiente de controle
resultante tem impacto pervasivo sobre todo o sistema de controle interno.
Ou seja, o ambiente de controle é influenciado e, muito, pela cultura organizacional. Há organizações que são mais
inovadoras e correm mais riscos, outras são mais conservadoras e preferem correr menos riscos. Isso tudo é
resultado da cultura organizacional, oq eu impacta no ambiente de controle.
Resposta: Errado
31.CESPE – MPU – 2015)

Uma adequada avaliação de riscos pressupõe estudo dos acontecimentos já vivenciados pela organização para a
correta definição de seus objetivos, uma vez que a ocorrência de eventos futuros incertos não é administrável.
RESOLUÇÃO:
Piada! Fala aí! Hahaha!
Como assim a ocorrência de eventos incertos não é administrável?
É justamente para isso que a gente gerencia riscos, uai!
Resposta: Errado
32.CESPE – MPU – 2015)

Na atividade de controle, lidar com o risco é tratar de algo intangível, porém passível de ser quantificado.
RESOLUÇÃO:
A definição segundo o COSO é possibilidade de que um evento ocorra e afete adversamente a realização dos
objetivos.
carol sena - 03092599594
Essa definição permite que cheguemos às dimensões do risco, que são probabilidade e impacto. Portanto,
por mais que o risco seja algo intangível, podemos estabelecer probabilidades e impactos que ele pode causar, o
que torna o risco quantificável.
Resposta: Certo
33.CESPE – MPU – 2015)

Verificação, análise técnica, segregação e rodízio de funções são princípios primários que regem o sistema de
controle interno.
RESOLUÇÃO:
Errado! Pois verificação, análise técnica, segregação e rodízio de funções são ATIVIDADES DE CONTROLE e
não princípios.
Vale lembrar a definição de atividades de controle do COSO ICIF: Atividades de controle são ações
estabelecidas por meio de políticas e procedimentos que ajudam a garantir o cumprimento das diretrizes
determinadas pela administração para mitigar os riscos à realização dos objetivos. As atividades de controle são
desempenhadas em todos os níveis da entidade, em vários estágios dentro dos processos corporativos e no
ambiente tecnológico. Podem ter natureza preventiva ou de detecção e abranger uma série de atividades manuais
e automáticas, como autorizações e aprovações, verificações, reconciliações e revisões de desempenho do
negócio. A segregação de funções é geralmente inserida na seleção e no desenvolvimento das atividades de
controle. Nos casos em que a segregação de funções seja impraticável, a administração deverá selecionar e
desenvolver atividades alternativas de controle.
Vale ressaltar que análise técnica é a revisão de uma atividade feita por uma pessoa técnica diferente. Já o
rodízio de funções estabelece que uma pessoa não pode ficar tempo demais em uma atividade. Assim, por
exemplo, o responsável pelo pagamento de uma organização pública tem que ser trocado de tempos em tempos,
para evitar que ele seja “seduzido” pelos poderes do cargo e desvie dinheiro.
Resposta: Errado
34. CESPE – MPU – 2015)

A atuação de gerentes e auditores internos e externos, bem como a realização de seminários fazem parte das
atividades de monitoramento contínuo das operações objeto dos sistemas de controle interno.
RESOLUÇÃO:
Perfeito! Gerentes, ao ficarem atentos aos riscos que sua área corre e ao supervisionarem a execução de suas
atividades, realizam monitoramento contínuo.
Auditorias Internas e Externas, que periodicamente avaliam o sistema de controle interno de uma
organização, também.
E a realização de seminários que abordem a importância de manter um eficaz sistema de controle interno
também é considerada monitoramento contínuo.
Resposta: Certo
carol sena - 03092599594
35.CESPE – MPU – 2015)

Os sistemas de informação e comunicação internos de uma organização precisam ser pré-estabelecidos e formais,
sendo inadmissíveis as informalidades na identificação de riscos.
RESOLUÇÃO:
Errado! E muito errado!

Muitos aspectos do gerenciamento de riscos corporativos são informais e não estão documentados, mesmo assim,
são executados com regularidade e altamente eficazes. Essas atividades podem ser testadas da mesma forma que
as atividades documentadas. O fato dos elementos do gerenciamento de riscos corporativos não estarem
documentados não significa que não sejam eficazes ou não possam ser avaliados.
Resposta: Errado
36.CESPE – MPU – 2015)

Se os elementos do gerenciamento de riscos corporativos não estiverem inteiramente documentados, eles não
poderão ser testados, nem executados de forma eficaz, o que impossibilitará a avaliação dos riscos envolvidos.
RESOLUÇÃO:
Errado! E muito errado!

Muitos aspectos do gerenciamento de riscos corporativos são informais e não estão documentados, mesmo
assim, são executados com regularidade e altamente eficazes. Essas atividades podem ser testadas da mesma
forma que as atividades documentadas. O fato dos elementos do gerenciamento de riscos corporativos não
estarem documentados não significa que não sejam eficazes ou não possam ser avaliados.
Resposta: Errado
37. CESPE – CNJ – 2013)

De acordo com as definições do COSO I (Committe of sponsoring organizations of the Treadway Commission), a
monitoração de riscos em relação ao alcance de objetivos da entidade é dirigida apenas para riscos de origem
financeira, não sendo um relevante instrumento de gerenciamento de riscos para subsidiar a governança
corporativa.
RESOLUÇÃO:
Viagem! O COSO I (COSO ICIF 2013) visa proteger 3 categorias de objetivos: operacionais, de divulgação
(inclusive a divulgação de informações financeiras ) e de conformidade.
Ao proteger esses objetivos, os controles internos aumentam, razoavelmente, a segurança de atingimento
desses objetivos, o que contribui para subsidiar a governança corporativa no seu papel de atender aos interesses
do principal.
Resposta: Errado
carol sena - 03092599594
38. CESPE – TCDF – 2012)

Segundo o COSO, accountability, operações ordenadas e éticas e salvaguarda de recursos são os componentes do
controle interno e representam o que é necessário para se alcançar um bom sistema de controle interno.
RESOLUÇÃO:
Questão bonitinha, linda na verdade, mas errada!
Os componentes do controle interno são: ambiente de controle, avaliação de riscos, atividades de controle,
informação e comunicação e atividades de monitoramento.
Cuidado para não ser seduzido pelo canto da sereia!
Resposta: Errado
39.CESPE – TCU – 2011)

Com relação à governança corporativa aplicável às empresas estatais, o Código Brasileiro das Melhores Práticas, do
Instituto Brasileiro de Governança Corporativa, define três ferramentas — órgãos ou entidades — de governança:
o conselho de administração, o conselho fiscal e a auditoria independente.
RESOLUÇÃO:
Perfeito! Empresas estatais, principalmente as listadas em bolsa (como o Banco do brasil e a Petrobrás)
também precisam seguir as orientações de governança do setor privado. Como vimos no início da aula, três
instâncias importantíssimas de governança no setor privado são o Conselho de administração (que supervisiona a
gestão da companhia), o Conselho Fiscal (que fiscaliza a gestão nessa parte financeira) e a auditoria independente.
Vale mencionar que, além desses, temos outros agentes, como a Auditoria Interna.
Resposta: Certo
40.CESPE – TCU – 2007)

É responsabilidade da auditoria interna fazer periodicamente uma avaliação dos controles internos. Nesse sentido,
é correto afirmar que a auditoria interna representa um controle interno.
RESOLUÇÃO:
A auditoria interna vai avaliar a gestão e reportar para a instância responsável. Ela vai monitorar riscos e
verificar a adequação dos controles internos. Dizemos que a auditoria interna é “o controle do controle”.
Resposta: Certo
41.CESPE – ANP – 2013)

O controle interno, por mais eficaz que seja, não proporciona à entidade segurança razoável para a obtenção de
demonstrações contábeis plenas.
RESOLUÇÃO:
Cuidado para não ler a questão rápido e comer mosca, rum!
carol sena - 03092599594
Por mais eficaz que seja, o controle interno possui limitações. Por isso, ele não consegue proporcionar à
organização uma segurança ABSOLUTA.
Mas uma segurança razoável ele consegue, sim.
Vale mencionar que as demonstrações contábeis são informações que são protegidas pelos controles
internos, quando estes asseguram, razoavelmente, o atingimento dos objetivos de divulgação.
Resposta: Errado
42. CESPE – INPI – 2013)

Um dos princípios básicos para a organização e o funcionamento do controle interno é atendido quando se evita
que a mesma pessoa, autora de erros e irregularidades, desenvolva funções, permitindo-lhe dissimular ou esconder
esses desvios.
RESOLUÇÃO:
Perfeito! Essa é a definição da segregação de funções!
Resposta: Certo
43. CESPE – FUB – 2009)

Informações anteriormente produzidas pelos profissionais do sistema de controle interno devem ser
obrigatoriamente reconfirmadas e testadas em nova fiscalização.
RESOLUÇÃO:
Viagem!
Tudo vai depender do nível de risco envolvido. Áreas de maior risco e as respostas a risco de alta prioridade
tendem a ser avaliadas com mais frequência. Mas talvez existam áreas ou informações de baixo risco e que,
portanto, não precisem passar por uma reconfirmação obrigatória.
Resposta: Errado
44. CESPE – MPE/PI – 2012)

Com relação a governança corporativa — conjunto de processos, costumes, políticas, leis, regulamentos e
instruções que regulam amaneira como uma instituição deve ser dirigida, administrada ou controlada —, julgue o
item que se segue.
O controle interno administrativo deve estar destacado das atividades normais da organização para que os
controladores tenham uma perspectiva correta das suas responsabilidades.
RESOLUÇÃO:
Pelo contrário, os controles internos devem fazer parte da rotina da organização, isto é, devem estar
presentes nas atividades normais da instituição.
Resposta: Errado
carol sena - 03092599594
45. CESPE – TCE/ES – 2012)

A autorização, a execução, o controle e a contabilização das compras governamentais devem ser realizados
preferencialmente por um mesmo setor, com o objetivo de aprimorar os resultados do controle interno da
entidade.
RESOLUÇÃO:
Se fosse assim, a segregação de funções seria violada!
Quem autoriza, não pode ser a mesma pessoa que executa. Quem executa, não pode ser a mesma pessoa
que controla. E quem controla, não pode ser a mesma pessoa que fiscaliza.
Se quem autoriza executa, ele autorizaria uma coisa que ele mesmo vai fazer, o que pode levar a conflitos de
interesse.
Da mesma forma, se a mesma pessoa que executa controla, ela nunca vai achar nenhum erro na execução
dela! Hahaha
Ou seja, não observarmos a segregação de funções, nós PIORAMOS o controle interno.
Resposta: Errado
46.CESPE – TCE/ES – 2012)

Os sistemas de informação empregam procedimentos de controle específicos, tais como os procedimentos dos
controles de aplicativos, que se relacionam diretamente às aplicações informatizadas individuais.
RESOLUÇÃO:
Perfeito!
Vale lembrar que, acerca dos controles internos para sistemas de informação, temos dois tipos: os controles
gerais, que se aplicam a todos os sistemas, e os controles de aplicativos, que se aplicam apenas a um sistema
específico.
Resposta: Certo
47.CESPE – MPE/PI – 2012)

item que se segue.
O ambiente de controle, referente tanto à cultura organizacional como ao controle propriamente dito, propicia aos
servidores dos órgãos uma percepção do que é certo ou errado.
RESOLUÇÃO:
Perfeito! Essa é a idéia do ambiente de controle!
carol sena - 03092599594
Vale lembrar que o ambiente de controle abrange a integridade e os valores éticos da organização; os
parâmetros que permitem à estrutura de governança cumprir com suas responsabilidades de supervisionar a
governança; a estrutura organizacional e a delegação de autoridade e responsabilidade; o processo de atrair,
desenvolver e reter talentos competentes; e o rigor em torno de medidas, incentivos e recompensas por
performance. O ambiente de controle resultante tem impacto pervasivo sobre todo o sistema de controle interno.
Resposta: Certo
carol sena - 03092599594
Lista de questões
1. FGV – TCE AM – 2021)
A Secretaria de Fazenda de um Estado da Federação mantém um volume significativo de informações sensíveis
armazenado em seus sistemas informatizados. Porém, há indícios de que os controles de tecnologia da informação
(TI) têm sido negligenciados, resultando em diversas deficiências no controle de TI. Tendo em vista a salvaguarda
dos ativos do ente, procedimentos de revisão periódica dos registros de tentativas de acessos e comandos (não
autorizados), com comunicação dos resultados ao gestor competente, podem ser associados ao seguinte
componente do controle interno:
B avaliação de risco;
2. FGV – ALERJ – 2017)

O governo de um ente estatal definiu como uma das políticas quadrienais o desenvolvimento do artesanato em
uma região do Estado, conhecida pela tradição com cerâmicas, rendas e bordados. Para tanto, ele pretende
subsidiar recursos para treinamento, construção de instalações e aquisição de matérias-primas.
O governo estadual, por meio da Secretaria Estadual de Desenvolvimento Econômico e Social, realizou uma análise
quanto à disponibilidade de pessoal para compor um departamento apropriado para implementar, conduzir e
acompanhar a operação de concessão de subsídios.
Sob a perspectiva do documento Guidelines for Internal Control Standards for the Public Sector, emitido pelo
International Organization of Supreme Audit Institutions (INTOSAI), a análise efetuada está relacionada ao seguinte
componente:
A monitoramento;
E procedimentos de controle.
3. FGV – ALERJ – 2017)

Na avaliação de sistemas de controle interno concebidos a partir da Estrutura Integrada proposta pelo Committee
of Sponsoring Organizations of the Treadway Commission (COSO), a análise sobre as iniciativas da organização para
carol sena - 03092599594
que as pessoas assumam responsabilidade por suas funções de controle interno na busca por objetivos está
relacionada ao componente:
A avaliação de riscos;
D fixação de objetivos;
E monitoramento.
4. FGV – Câmara de Salvador – 2017)

A Estrutura Integrada de Controle Interno proposta pelo Committee Of Sponsoring Organizations of the Treadway
Commission (COSO) organiza o controle interno em cinco componentes. Quando uma entidade que organizou o
seu controle interno a partir da estrutura do COSO realiza avaliações contínuas e/ou independentes para se
certificar da presença e do funcionamento dos componentes do controle interno, está atendendo diretamente ao
componente de:
5. FGV – IBGE – 2016)

Uma determinada entidade está realizando reestruturação das suas atividades. Um dos pontos de reestruturação
foi a incorporação de novos serviços, que exigirá a contratação de mais pessoas e a aquisição de novos materiais.
Em decorrência disso, a entidade identifica e avalia as mudanças que poderiam afetar, de forma significativa, o
sistema de controle interno.
Essa postura da entidade está relacionada ao seguinte componente da estrutura de controle interno:
6. FGV – CODEMIG – 2015)

A definição mais amplamente aceita de controles internos é a proposta pelo Committee of Sponsoring
Organizations of the Treadway Commission (COSO), que concebe o controle interno como um processo integrado,
carol sena - 03092599594
executado pela administração e outras pessoas da entidade, desenhado para fornecer razoável segurança sobre o
alcance de objetivos nas seguintes categorias: eficácia e eficiência operacional, mensuração de desempenho e
divulgação financeira, proteção de ativos e cumprimento de leis e regulamentações.
Quando, em uma entidade, se procede à avaliação quanto à definição adequada de competências e atribuições de
cada função no regimento interno de uma entidade, o componente do Controle Interno da Estrutura de COSO
contemplado é:
C procedimentos de controle;
E monitoramento.
7. FGV – Câmara de Recife – 2014)

De acordo com as diretrizes para as normas de controle interno divulgadas pelo COSO (Committee of Sponsoring
Organizations of the Treadway Commission) e pela INTOSAI (International Organisation of Supreme Audit
Institutions), o controle interno é estruturado para oferecer segurança razoável de que os objetivos gerais da
entidade estão sendo alcançados e compreende cinco componentes interrelacionados. O princípio que preconiza
que a organização faz com que as pessoas assumam responsabilidade por suas funções de controle interno na busca
pelos objetivos está relacionado ao componente de:
C atividades de monitoramento;
D avaliação de riscos;
8. FGV – TJ PI – 2015)
De acordo com as Normas internacionais para a prática profissional de auditoria interna, emitidas pelo Institute of
Internal Auditors, a avaliação do ambiente de controle é componente essencial para se atingir os principais
objetivos do sistema de controle interno. São elementos constituintes do ambiente de controle, EXCETO:
A atividades de controle sobre a tecnologia;

B atribuição de autoridade e responsabilidade;
C estilo operacional da administração;
D integridade e valores éticos;
E políticas e práticas de recursos humanos.
carol sena - 03092599594
9. FGV – TJ PI – 2015)
Uma entidade fez a opção de implantar seu sistema de controle interno a partir da Estrutura Integrada de
Controle Interno proposta pelo COSO. A Estrutura proposta pelo COSO se desdobra em princípios, que representam
os conceitos fundamentais associados a cada componente do Controle Interno.
Dentre as iniciativas da entidade, está a criação de um plano para desenvolvimento e retenção de talentos
humanos. Essa iniciativa está em consonância com o componente:
C avaliação de riscos;
E monitoramento.
10.FGV – TCM SP – 2015)

O Comitê das Organizações Patrocinadoras da Comissão Treadway (COSO, na sigla em inglês) apresentou, em
1992, um modelo amplamente aceito para o estabelecimento de controles internos denominado “Controle Interno
– Estrutura Integrada” – aplicável a entidades de grande, médio e pequeno portes, com ou sem fins lucrativos, bem
como ao setor público –, que ficou popularmente conhecido como COSO I.
Segundo esse modelo, controle interno:
A é um processo de trabalho que deve ficar a cargo da unidade de auditoria interna de cada entidade;
B é um processo conduzido pela estrutura de governança, pela administração e por pessoas da organização;
C é um processo que consiste de tarefas que devem ser realizadas ao menos uma vez em cada exercício
financeiro;
D visa proporcionar certeza de que os objetivos da entidade serão alcançados;

E não auxilia a organização a prever eventos externos que possam afetar negativamente o alcance de seus
objetivos.
11.CESPE – TCDF – 2021)

Publicado em 2004, o COSO II substituiu o COSO I como guia de melhores práticas na gestão de riscos e controles
internos.

Os controles internos administrativos implementados em uma organização devem prevalecer como instrumentos
auxiliares de gestão.
carol sena - 03092599594
O gasto de R$ 25.000 para o envio de uma equipe de fiscalização a um município distante, a fim de se verificar a
aplicação de R$ 9.000 de recursos públicos, contraria o princípio da relação custo/benefício do controle interno.
14. CESPE – PGE/PE – 2019)
A estrutura de governança no setor público deve ser própria, única e restrita a órgão específico, e responder,
simultaneamente, por todos os níveis organizacionais e funcionais desse órgão.
15.CESPE – CGM/PB – 2018)

De acordo com o art. 74 da Constituição Federal de 1988 (CF), os Poderes Legislativo, Executivo e Judiciário
manterão, de forma integrada, sistema de controle interno com algumas finalidades. Nesse sentido, julgue o item
a seguir, a respeito da governança no setor público.
Ao mencionar que os controles internos devem “avaliar o cumprimento das metas previstas no plano plurianual, a
execução dos programas de governo e dos orçamentos da União”, o inciso I do artigo constitucional em questão
mostra-se contraditório com as características descritas pelo COSO ICIF 2013, em que o controle interno é planejado
para assegurar tanto o alcance dos objetivos relacionados às operações, quanto a produção de relatórios e a
adequação às normas.
16.CESPE – FUNPRESP – 2016)

Com relação ao processo de controle interno e de avaliação e gestão de riscos, julgue o item a seguir.
Não cabe ao controle interno assegurar a exatidão das informações contábeis e financeiras.
17. CESPE – FUB – 2015)

A função da governança, no setor público, visa garantir que os produtos ofertados e serviços disponibilizados
estejam alinhados com o interesse dos cidadãos e usuários desses produtos e serviços.
18. CESPE – CGE/PI – 2015)

A categorização dos usuários segundo os perfis e o uso de softwares licenciados são tipos de controles estruturados
pela administração para auxiliar a gestão dos sistemas de informações.
19. CESPE – CGE/PI – 2015)

Os canais normais são veículos de comunicação utilizados pelas organizações para retransmitir aos usuários as
informações pessoais, sigilosas, e as relativas aos riscos identificados, ao passo que os canais alternativos são meios
adequados para comunicar as informações geradas no curso das operações e as decorrentes de atos ilegais.
20.CESPE – CGE/PI – 2015)

Caso esteja estruturado formalmente, o controle interno de uma instituição pode ser representado sob a forma de
um cubo. Nessa representação, as categorias de objetivos relacionam-se indiretamente com os componentes, em
que pese estarem no mesmo plano; diferentemente da estrutura organizacional, que está em outra dimensão.
carol sena - 03092599594
21. CESPE – CGE/PI – 2015)

Por meio do monitoramento, em especial, no que se refere à autoavaliação, o corpo gerencial de uma organização
pode se certificar da origem, presença e regularidade do funcionamento de determinado componente de controle
interno.
22. CESPE – CGE/PI – 2015)

Em uma organização, entre os controles mais conhecidos e difundidos estão os preventivos e os detectivos. Além
desses, encontram-se as ações corretivas, que são utilizadas para complementar tanto as atividades quanto os
procedimentos de controle.
23. CESPE – MPU – 2015)

A salvaguarda dos ativos da entidade para evitar perdas ou uso prejudicial dos recursos é um objetivo da atuação
do controle interno, sendo o componente relacionado ao ambiente de controle primordial na definição dos riscos
para evitar ocorrências indesejáveis.
24. CESPE – MPU – 2015)

O sistema de controle interno de uma organização empresarial é uma combinação de políticas e procedimentos
operacionais mantidos para a proteção dos ativos da entidade, devendo esse sistema ser estabelecido pelos
proprietários, controladores ou administradores.
25. CESPE – MPU – 2015)

De acordo com as diretrizes de controle interno definidas pelo COSO (Committee of Sponsoring Organization),
constituem componentes inter-relacionados não somente o ambiente de controle, a avaliação de riscos,
informação e comunicação, mas também o monitoramento.
26.CESPE – MPU – 2015)

O objetivo do aperfeiçoamento do sistema de controles internos das entidades é eliminar de vez os riscos
operacionais.
27.CESPE – MPU – 2015)

Um efetivo ambiente de controle é influenciado por fatores intangíveis, entre os quais se destacam os valores éticos
das pessoas nele inseridas.
28.CESPE – MPU – 2015)

A alta administração, que exerce a função de governança da entidade, é responsável pela definição de um
adequado ambiente de controle, que independe da atuação da auditoria interna ou externa.
29. CESPE – MPU – 2015)
carol sena - 03092599594
Independentemente da existência de uma área específica de gestão de riscos, a auditoria interna é organizada com
a função de assegurar o cumprimento dos objetivos do negócio e o gerenciamento de riscos.
30.CESPE – MPU – 2015)

Embora o ambiente de controle da organização seja formado por pessoas cujas experiências e habilidades técnicas
recebem influência do próprio ambiente de trabalho, a cultura organizacional não pode influenciar os padrões de
controles internos definidos.
31.CESPE – MPU – 2015)

Uma adequada avaliação de riscos pressupõe estudo dos acontecimentos já vivenciados pela organização para a
correta definição de seus objetivos, uma vez que a ocorrência de eventos futuros incertos não é administrável.
32.CESPE – MPU – 2015)

Na atividade de controle, lidar com o risco é tratar de algo intangível, porém passível de ser quantificado.
33.CESPE – MPU – 2015)

Verificação, análise técnica, segregação e rodízio de funções são princípios primários que regem o sistema de
controle interno.
34. CESPE – MPU – 2015)

A atuação de gerentes e auditores internos e externos, bem como a realização de seminários fazem parte das
atividades de monitoramento contínuo das operações objeto dos sistemas de controle interno.
35.CESPE – MPU – 2015)

Os sistemas de informação e comunicação internos de uma organização precisam ser pré-estabelecidos e formais,
sendo inadmissíveis as informalidades na identificação de riscos.
36.CESPE – MPU – 2015)

Se os elementos do gerenciamento de riscos corporativos não estiverem inteiramente documentados, eles não
poderão ser testados, nem executados de forma eficaz, o que impossibilitará a avaliação dos riscos envolvidos.
37.CESPE – CNJ – 2013)

De acordo com as definições do COSO I (Committe of sponsoring organizations of the Treadway Commission), a
monitoração de riscos em relação ao alcance de objetivos da entidade é dirigida apenas para riscos de origem
financeira, não sendo um relevante instrumento de gerenciamento de riscos para subsidiar a governança
corporativa.
carol sena - 03092599594
38.CESPE – TCDF – 2012)

Segundo o COSO, accountability, operações ordenadas e éticas e salvaguarda de recursos são os componentes do
controle interno e representam o que é necessário para se alcançar um bom sistema de controle interno.
39.CESPE – TCU – 2011)

Com relação à governança corporativa aplicável às empresas estatais, o Código Brasileiro das Melhores Práticas, do
Instituto Brasileiro de Governança Corporativa, define três ferramentas — órgãos ou entidades — de governança:
o conselho de administração, o conselho fiscal e a auditoria independente.
40.CESPE – TCU – 2007)

É responsabilidade da auditoria interna fazer periodicamente uma avaliação dos controles internos. Nesse sentido,
é correto afirmar que a auditoria interna representa um controle interno.
41.CESPE – ANP – 2013)

O controle interno, por mais eficaz que seja, não proporciona à entidade segurança razoável para a obtenção de
demonstrações contábeis plenas.
42. CESPE – INPI – 2013)

Um dos princípios básicos para a organização e o funcionamento do controle interno é atendido quando se evita
que a mesma pessoa, autora de erros e irregularidades, desenvolva funções, permitindo-lhe dissimular ou esconder
esses desvios.
43. CESPE – FUB – 2009)

Informações anteriormente produzidas pelos profissionais do sistema de controle interno devem ser
obrigatoriamente reconfirmadas e testadas em nova fiscalização.
44. CESPE – MPE/PI – 2012)

item que se segue.
O controle interno administrativo deve estar destacado das atividades normais da organização para que os
controladores tenham uma perspectiva correta das suas responsabilidades.
45. CESPE – TCE/ES – 2012)

A autorização, a execução, o controle e a contabilização das compras governamentais devem ser realizados
preferencialmente por um mesmo setor, com o objetivo de aprimorar os resultados do controle interno da
entidade.
carol sena - 03092599594
46.CESPE – TCE/ES – 2012)

Os sistemas de informação empregam procedimentos de controle específicos, tais como os procedimentos dos
controles de aplicativos, que se relacionam diretamente às aplicações informatizadas individuais.
47.CESPE – MPE/PI – 2012)

item que se segue.
O ambiente de controle, referente tanto à cultura organizacional como ao controle propriamente dito, propicia aos
servidores dos órgãos uma percepção do que é certo ou errado.
carol sena - 03092599594
Gabarito
1. E 17. C 33. E
2. C 18. C 34. C
3. C 19. E 35. E
4. D 20. E 36. e
5. B 21. E 37. E
6. A 22. C 38. E
7. A 23. C 39. C
8. A 24. C 40. C
9. A 25. C 41. E
10. B 26. E 42. C
11. E 27. C 43. E
12. C 28. E 44. E
13. C 29. C 45. E
14. E 30. E 46. C
15. E 31. E 47. C
16. E 32. C
carol sena - 03092599594
Resumo direcionado
Fundamento da Governança:
➢ Teoria do Agente Principal

➢ Problema de agência: A assimetria de informação entre agente e principal pode levar a conflito de interesses.
➢ Para resolver o conflito, temos a Governança, que visa atender aos interesses do Principal.
Governança no Setor Privado (Governança Corporativa):
➢ Instâncias de Governança no Setor Privado: Conselho de Administração, Conselho Fiscal, Auditoria Independente
e Auditoria Interna, Comitê de Auditoria (este, caso exista).
➢ Princípios de Governança segundo o IBGC: Transparência, Equidade (tratar de forma isonômica todos os sócios
e partes interessadas da empresa, Prestação de Contas (Accountability – Prestar contas e assumir
responsabilidade) e Responsabilidade Corporativa (zelar pela viabilidade da organização no curto, médio e longo
prazos)
Governança no Setor Público:
➢ Compreende essencialmente os mecanismos de liderança, estratégia e controle postos em prática para avaliar,
direcionar e monitorar a atuação da gestão, com vistas à condução de políticas públicas e à prestação de serviços
de interesse da sociedade. (Referencial Básico de Governança – TCU, pág. 40)
➢ Princípios da governança no setor público: transparência, equidade e participação, accountability, capacidade
de resposta, integridade, confiabilidade e melhoria regulatória.
Gerenciamento de riscos:
➢ Risco: representado pela possibilidade de que um evento ocorrerá e afetará negativamente a realização dos
objetivos.
➢ Dimensões do Risco: Impacto e Probabilidade (permitem a quantificação do risco, mesmo o risco sendo incerto)
➢ O gerenciamento de riscos fornece uma garantia razoável de atingimento dos objetivos da organização.
➢ É uma das funções de Governança da Organização.
➢ Para reduzir o impacto ou a probabilidade de um risco, a organização precisa manter um bom sistema de
controle interno.
➢ Orientações para o controle interno da organização: segregação de funções, atribuição de responsabilidades,
rotinas de controle, princípios de segurança e salvaguarda de ativos, avaliação pela auditoria interna.
Controles Internos (COSO ICIF 2013):

➢ Controle interno é um processo conduzido pela estrutura de governança, administração e outros profissionais
da entidade, e desenvolvido para proporcionar segurança razoável com respeito à realização dos objetivos
relacionados a operações, divulgação e conformidade.
➢ Objetivos operacionais (eficácia e eficiência das operações da entidade, inclusive metas financeiras, e
salvaguarda de ativos. Objetivos de divulgação (divulgações financeiras e não financeiras, abrangendo os
requisitos de confiabilidade, oportunidade, transparência e outros. Objetivos de conformidade (cumprimento
de leis, normas e regulamentações).
➢ Controle interno não fornece segurança absoluta do atingimento dos objetivos por causa das limitações. Essas
limitações fazem com que o sistema de controle interno forneça segurança razoável.
carol sena - 03092599594
➢ Limitações: adequação dos objetivos estabelecidos como uma condição prévia ao controle interno, julgamento
humano na tomada de decisões pode ser falho e tendencioso, erros humanos, capacidade da administração de
sobrepassar o controle interno, conluio entre as partes, eventos externos fora do controle da organização
➢ Componentes do Controle interno: Ambiente de Controle, Avaliação de Riscos, Atividades de Controle,
Informação e Comunicação, Atividades de monitoramento.
➢ Ambiente de Controle: Ética, integridade, cultura organizacional, retenção de talentos, etc. São os fatores
controle interno
➢ Avaliação de Riscos: Processo para identificar e avaliar os riscos. Riscos devem ser reduzidos a níveis aceitáveis
(que a organização tolera). Como o risco depende do objetivo, este componente necessita que a administração
tenha estabelecido objetivos e que estes objetivos estejam adequados à organização.
➢ Atividades de Controle: São políticas e procedimentos para reduzir os riscos, como controles preventivos,
desempenho. No âmbito da TI, são considerados dois tipos de controles: os controles gerais (aplicados a todos
os sistemas) e os controles de aplicativo (aplicados a um sistema individualmente).
➢ Informação e Comunicação: A organização proporciona, compartilha e obtém as informações necessárias para a
realização de seus objetivos. Além disso, deve receber informações externas e fornecer informações que atendam
as expectativas das partes interessadas.
➢ Atividades de Monitoramento; Servem para certificar a presença e o funcionamento dos controles internos.
Geralmente são feitas por autoavaliação. São realizadas por avaliações contínuas (mais eficazes, pois dão
informações mais oportunas e tempestivas, por meio de reuniões, seminários, atuação dos gerentes e da
auditoria, etc) ou por avaliações independentes (que podem, inclusive, avaliar se as avaliações contínuas estão
dando resultado ou não). Pode ser feita mesmo que haja procedimentos informais ou não documentados. As
deficiências devem ser comunicadas por canais normais (deficiências rotineiras) ou em canais alternativos
(informações sensíveis, como atos ilegais ou impróprios).
Relação entre componentes e objetivos:
carol sena - 03092599594
Relação entre Componentes e Princípios:

Componentes de Princípios de Controle Interno
Controle Interno
Comprometimento com integridade e valores éticos
Governança demonstra independência e supervisiona o controle interno

Ambiente de Controle
Estabelecimento de estruturas, níveis de subordinação, autoridades e responsabilidades
Atração, desenvolvimento e retenção de talentos
Pessoas assumem responsabilidades pelas funções de controle interno
Objetivos com clareza suficiente
Identificação de riscos e análise dos riscos para gerenciamento
Avaliação de riscos
Na avaliação de riscos, considerar a possibilidade de fraude
Identificar mudanças que possam afetar o sistema de controle interno
Organização pratica atividades de controle que reduzem os riscos a níveis aceitáveis
Atividades de Organização aplica controles sobre tecnologia
Controle Organização estabelece políticas (orientações) acerca do que é esperado e procedimentos
para colocar essas políticas em prática.
Utilização de informações significativas e qualidades para apoiar o controle interno
Informação e Transmissão de informações necessárias, como objetivos e responsabilidades pelo
Comunicação controle interno
Comunicação com os públicos externos sobre o que afeta o controle interno.
Realização de avaliações contínuas ou independentes para certificação da presença e
Atividades de
funcionamento do controle interno
monitoramento
Comunicação das deficiências no controle interno para tomar ações corretivas.
Relação entre Governança, Gerenciamento de riscos e controles internos:
COSO ERM (2017):
carol sena - 03092599594
➢ Governança e cultura: a governança dá o tom da organização, reforçando a importância e instituindo

responsabilidades de supervisão sobre o gerenciamento de riscos corporativos. A cultura diz respeito a valores
éticos, a comportamentos esperados e ao entendimento do risco em toda a entidade.
➢ Estratégia e definição de objetivos: gerenciamento de riscos corporativos, estratégia e definição de objetivos
atuam juntos no processo de planejamento estratégico. O apetite a risco é estabelecido e alinhado com a
estratégia; os objetivos de negócios colocam a estratégia em prática e, ao mesmo tempo, servem como base para
identificar, avaliar e responder aos riscos.
➢ Performance (Desempenho): os riscos que podem impactar a realização da estratégia e dos objetivos de
negócios precisam ser identificados e avaliados. Os riscos são priorizados com base no grau de severidade
(probabilidade e impacto), no contexto do apetite a risco. A organização determina as respostas aos riscos e, por
fim, alcança uma visão consolidada do portfólio e do montante total dos riscos assumidos. Os resultados desse
processo são comunicados aos principais envolvidos com a supervisão dos riscos.
carol sena - 03092599594
➢ Análise e revisão: ao analisar sua performance, a organização tem a oportunidade de refletir sobre até que
ponto os componentes do gerenciamento de riscos corporativos estão funcionando bem ao longo do tempo e no
contexto de mudanças relevantes, e quais correções são necessárias.
➢ Informação, comunicação e divulgação: o gerenciamento de riscos corporativos demanda um processo
contínuo de obtenção e compartilhamento de informações precisas, provenientes de fontes internas e externas,
originadas das mais diversas camadas e processos de negócios da organização.
carol sena - 03092599594

GRC Auditoria

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

GRC Auditoria

Enviado por

Direitos autorais:

Formatos disponíveis

Governança, Riscos e

carol sena - 03092599594

GOVERNANÇA: GOVERNAR O QUÊ, PAPAI?....................................................................................................................... 3

QUESTÕES COMENTADAS PELOS PROFESSORES ................................................................................ 47

Governança, Riscos e Controles (GRC)

Governança: Governar o quê, papai?

Governança no Setor Privado: a Governança Corporativa

Além de escolher o presidente, o CA também precisa supervisionar o desempenho do Presidente da

O Diretor-Presidente e os Diretores (chamados de Diretoria ou Diretoria Colegiada) são os responsáveis

O Conselho de Administração é um agente de governança, pois supervisiona e fiscaliza a gestão.

1. Transparência: Se o agente disponibilizar informações de interesse do Principal, temos mais

3. Prestação de Contas (Accountability): Os agentes de governança devem prestar contas de sua

4. Responsabilidade Corporativa: Os agentes devem zelar pela viabilidade econômico-financeira

Os princípios de Governança Corporativa, segundo o IBGC, são: Transparência, Equidade, Prestação

Governança no Setor Público: um monstrinho mais assustador

O segundo desafio se resolve direcionando melhor a forma como o governo atua.

Governança no setor público compreende essencialmente os mecanismos de liderança, estratégia e

Avaliar o ambiente, os cenários, o desempenho e os resultados atuais e futuros da organização pública.

Governança no setor público compreende essencialmente os mecanismos de liderança, estratégia e

de políticas públicas e à prestação de serviços de interesse da sociedade. (Referencial Básico de

Sistema de Governança no Setor Público

➢ A administração executiva é responsável por avaliar, direcionar e monitorar, internamente, o órgão

a) garantir a entrega de benefícios econômicos, sociais e ambientais para os cidadãos;

b) garantir que a organização seja, e pareça, responsável para com os cidadãos;

e) possuir e utilizar informações de qualidade e mecanismos robustos de apoio às tomadas de decisão;

f ) dialogar com e prestar contas à sociedade;

h) promover o desenvolvimento contínuo da liderança e dos colaboradores;

i) definir claramente processos, papéis, responsabilidades e limites de poder e de autoridade;

l) avaliar o desempenho e a conformidade da organização e da liderança, mantendo um balanceamento

m) garantir a existência de um sistema efetivo de gestão de riscos;

p) prover aos cidadãos dados e informações de qualidade (confiáveis, tempestivas, relevantes e

Portanto, não confunda Governança com Governabilidade, ok?

Mais uma vez:

Princípios de Governança no Setor Público

No setor público, os princípios da governança são: transparência, equidade e participação, accountability,

Vamos ver cada um desses 7 princípios.

Princípios da governança no setor público: transparência, equidade e participação, accountability,

Gerenciando o risco das coisas darem errado

Orientações acerca dos controles internos

- Utilização de cofres para guarda de dinheiro em espécie.

- Utilização de senhas para acessar sistemas corporativos.

COSO I: Agora, sim, tu vai entender esse cubo dos infernos!

Vamos dar uma olhada nessa estrutura?

Controles internos segundo o COSO: Definição, Objetivos e Limitações

Controle interno é um processo conduzido pela estrutura de governança, administração e outros

Essa definição reflete alguns conceitos fundamentais. O controle interno é:

• Conduzido para atingir objetivos em uma ou mais categorias – operacional, divulgação e

• Realizado por pessoas – não se trata simplesmente de um manual de políticas e procedimentos,

• Conformidade – Esses objetivos relacionam-se ao cumprimento de leis e regulamentações às

As limitações podem ser resultado de:

• capacidade da administração de sobrepassar o controle interno: Os Controles Internos são

Componentes do Controle Interno

Este componente tem os seguintes princípios associados:

1. A organização demonstra ter comprometimento com a integridade e os valores éticos.

Podemos avaliar o ambiente de controle por meio de por cinco elementos:

(4) estrutura organizacional.

(5) políticas e práticas de recursos humanos

Este componente tem os seguintes princípios associados:

6. A organização especifica os objetivos com clareza suficiente, a fim de permitir a identificação e a

Controles Gerais sobre Sistemas de Informações:

Aquisição, Desenvolvimento e Manutenção de Software – os controles de aquisição e de implementação de software estão

Controles de Aplicativos de Sistemas de Informação

Este componente tem os seguintes princípios associados: