Curso 75948 Aula 06 v1

Livro Eletrônico
Aula 06
Técnicas de Controle p/ CGE-CE (Auditor - Governamental) Com

Videoaulas - Pós-Edital
Claudenir Brito
03413677373 - Thais
Claudenir Brito
Aula 06
Técnicas de Controle
Controladoria-Geral do Estado do Ceará CGE-CE
Teoria e Questões Comentadas
Prof. Claudenir Brito Aula 06
AULA 06: Controles internos e avaliação de

riscos - COSO I e o COSO II.
SUMÁRIO PÁGINA
1. Controles internos segundo o COSO I 2
2. Gerenciamento de riscos segundo o COSO II (ERM) 37
Lista das questões comentadas durante a aula 55
Resumo do Prof. Claudenir 70
Referências bibliográficas 72
964763
Observação importante: este curso é protegido por direitos autorais

(copyright), nos termos da Lei 9.610/98, que altera, atualiza e consolida
a legislação sobre direitos autorais e dá outras providências.
Grupos de rateio e pirataria são clandestinos, violam a lei e prejudicam

os professores que elaboram os cursos. Valorize o trabalho de nossa
equipe adquirindo os cursos honestamente através do site Estratégia
Concursos ;-)
Olá pessoal!
Na aula de hoje vamos estudar os conceitos de Controles Internos e

Análise de Risco, temas que vem sendo cada vez mais cobrados nos
diversos concursos do país, o que não está sendo diferente no nosso caso.
No decorrer da aula, vocês vão perceber que não se tratam de assuntos

difíceis, mesmo para aqueles que nunca tiveram contato com eles. No
início podem até parecer complexos, mas no final da aula vão chegar à
conclusão de que não tem mistério.
Resolvam os exercícios e marquem aqueles que possam ter trazido

alguma dificuldade, para que possam resolvê-los novamente mais a
frente.
A aula está totalmente atualizada, inclusive com as mudanças mais

recentes, ocorridas em maio de 2013, quando o COSO lançou o novo
Framework COSO Controles Internos, e da apresentação do referencial de
Governança do TCU, de 2014.
Prof. Claudenir Brito www.estrategiaconcursos.com.br 1 de 72

Técnicas de Controle p/ CGE-CE (Auditor - Governamental) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
03413677373 - Thais
Claudenir Brito
Aula 06
Dúvidas que forem surgindo, só perguntar no fórum do curso. Quem

precisar esclarecer dúvidas sobre outros temas voltados aos concursos,
que não sejam dúvidas específicas do nosso conteúdo, pode ainda me
enviar uma mensagem:
(61) 98104-2123
Siga-nos nas redes sociais, pois publicamos diariamente temas

referentes às técnicas de estudo e à Auditoria:
Prof Claudenir Brito profclaudenirbrito
Além disso, se quiser fazer parte da nossa lista exclusiva de e-mails,

por meio da qual enviamos material gratuito:
Receba dicas de estudo e conteúdo gratuito de Auditoria

em seu email, cadastrando-se na nossa lista exclusiva, no
link a seguir
http://eepurl.com/caW9Pj
Uma boa aula para todos nós.
1. Controles internos segundo o COSO
COSO significa Committee of Sponsoring Organizations da National

Comission on Fraudulent Financial Reporting. É o Comitê das
Organizações Patrocinadoras, da Comissão Nacional sobre Fraudes
em Relatórios Financeiros.
Criado em 1985, é uma entidade do setor privado – ou seja, foi uma

iniciativa do setor privado, independente –, sem fins lucrativos, voltada
para o aperfeiçoamento da qualidade de relatórios financeiros,

03413677373 - Thais
Claudenir Brito
Aula 06
principalmente para estudar as causas da ocorrência de fraudes em

relatórios financeiros.
As organizações que patrocinam o Comitê são:
– Instituto Americano de Contadores Públicos Certificados;

– Associação Americana de Contadores;
– Executivos Financeiros Internacionais;
– Instituto dos Auditores Internos;
– Instituto dos Contadores Gerenciais.
As recomendações do COSO são referência para os controles internos. De

acordo com o Comitê, no modelo COSO I,
“Controle Interno é o processo conduzido pela Diretoria,

Conselhos ou outros empregados de uma companhia, no intuito de
fornecer uma garantia razoável de que os objetivos da
entidade estão sendo alcançados, com relação às seguintes
categorias:
1 – eficácia e eficiência das operações;
2 – confiabilidade dos relatórios financeiros; e
3 – conformidade com a legislação e regulamentos aplicáveis.”
Em 1992, o COSO publicou um trabalho denominado “Controle Interno:

um modelo integrado”. Esse documento passou a ser referência sobre
o assunto “Controle Interno”, e apresentou cinco componentes:
1 – Ambiente de Controle;
2 – Avaliação de Riscos;
3 – Atividades de Controle;
4 – Informações e Comunicações;
5 – Monitoramento.
Ou seja, para o COSO, o Controle Interno era formado por esses cinco
componentes, relacionados às três categorias de objetivos anteriormente
citados. A seguir, apresentamos suas definições.
EXERCÍCIOS DE FIXAÇÃO
1. (CESPE/MPU/2015) No que se refere a definição, objetivos

e componentes do controle interno, julgue o item a seguir. De

03413677373 - Thais
Claudenir Brito
Aula 06
acordo com as diretrizes de controle interno definidas pelo COSO

(Committee of Sponsoring Organization), constituem
componentes inter-relacionados não somente o ambiente de
controle, a avaliação de riscos, informação e comunicação, mas
também o monitoramento.
Comentários:
Embora a questão tenha deixado de citar mais um componente da
estrutura de controles internos do COSO – as atividades de controle –
não podemos dizer que está errada, já que os componentes citados
realmente fazem parte do COSO I.
Gabarito: C
2. (CESPE/FUB-DF/2013) Controles internos podem ser

corretamente conceituados como um processo desenvolvido
pelas organizações com o objetivo de garantir com total certeza
que os objetivos organizacionais sejam alcançados.
Comentários:
Nenhum controle interno, por melhor que seja, consegue garantir
totalmente que os objetivos organizacionais sejam alcançados, porque
há limitações como conluio de funcionários, negligência, eventos
externos, dentre outros. Portanto, controles internos só conseguem
garantir uma segurança razoável.
Gabarito: E
3. (CESPE/FUB-DF/2013) Se uma organização adotar ações

destinadas a melhorar sua produtividade e seus resultados
financeiros, segundo o COSO, a citada organização estará
buscando alcançar seus objetivos operacionais.
Comentários:
Exatamente. Em busca de seus objetivos operacionais (melhores
resultados), a organização tomou medidas para alcançá-los. Essas
medidas podem ser, inclusive, atividades de controle interno que sirvam
como resposta ao risco de não se atingir tais objetivos, avaliado pela
organização.
Gabarito: C
4. (CESPE/FUB-DF/2013) Por se tratar de assunto afeto à

segurança de operações e de sistemas, as ações de prevenção
contra fraudes não são consideradas nos controles internos das
organizações.
Comentários:
Ações preventivas também são consideradas nos controles
internos, inclusive, são as mais desejáveis. Entretanto, é necessário
também ações detectivas, para detectar as fraudes e/ou erros que as
ações preventivas não conseguirem impedir.

03413677373 - Thais
Claudenir Brito
Aula 06
Gabarito: E
5. (CESPE/FUB-DF/2013) O descumprimento de leis ou

normas que regulamentam o negócio de uma organização
caracteriza situação conflitante com os objetivos de compliance
ou conformidade.
Comentários:
Uma das categorias de objetivos do COSO é a conformidade com
a legislação e regulamentos aplicáveis. Dessa forma, seu
descumprimento, pela organização, gera uma situação conflitante.
Gabarito: C
6. (CESPE/FUB-DF/2013) A implantação adequada e efetiva

por uma organização da estrutura de controles internos proposta
pelo COSO possibilita maior segurança na identificação e
tratamento de mudanças nos cenários de negócio.
Comentários:
A estrutura do COSO permite que a organização conheça melhor
seus objetivos e avalie mais frequentemente os riscos de não atingi-los.
Dessa forma, se aplicar corretamente o quinto componente
(monitoramento), poderá dar respostas mais rápidas e adequadas caso
haja mudança no cenário de negócio.
Gabarito: C
Vamos entender cada um desses componentes na visão da própria

empresa responsável pelos controles internos, sem a preocupação sobre o
que o auditor irá avaliar em cada uma dessas etapas.
1.1 Ambiente de Controle
O ambiente interno abrange a cultura de uma organização, a influência

sobre a consciência de risco de seu pessoal, sendo a base para todos os
outros componentes do gerenciamento de riscos corporativos,
possibilita disciplina e a estrutura.
O ambiente de controle é um conjunto de normas, processos e estruturas

que fornece a base para a condução do controle interno por toda a
organização. A estrutura de governança e a alta administração
estabelecem uma diretriz sobre a importância do controle interno,
inclusive das normas de conduta esperadas. A administração reforça as
expectativas nos vários níveis da organização.
O ambiente de controle abrange a integridade e os valores éticos da

organização; os parâmetros que permitem à estrutura de governança

03413677373 - Thais
Claudenir Brito
Aula 06
cumprir com suas responsabilidades de supervisionar a governança; a

estrutura organizacional e a delegação de autoridade e responsabilidade;
o processo de atrair, desenvolver e reter talentos competentes; e o rigor
em torno de medidas, incentivos e recompensas por performance. O
ambiente de controle resultante tem impacto persuasivo sobre todo o
sistema de controle interno.
Ou seja, o ambiente de controle deve demonstrar o grau e

comprometimento em todos os níveis da administração, com a
qualidade do controle interno em seu conjunto. É o principal
componente, e, de acordo com Wanderley (2011), os fatores relacionados
ao ambiente de controle incluem:
– integridade e valores éticos;

– competência das pessoas da entidade;
– estilo operacional da organização;
– aspectos relacionados com a gestão;
– forma de atribuição da autoridade e responsabilidade.
1.1.1 Integridade e Ética
A integridade da administração é um pré-requisito para o comportamento

ético em todos os aspectos das atividades de uma organização. A eficácia
do gerenciamento de riscos corporativos – e dos controles internos – não
deve estar acima da integridade e dos valores éticos das pessoas que
criam, administram e monitoram as atividades da organização.
Integridade e valores éticos são elementos essenciais ao ambiente interno

das organizações, que influenciam o traçado, a administração e o
monitoramento dos outros componentes do gerenciamento de riscos
corporativos.
O comportamento ético e a integridade administrativa são subprodutos da

cultura corporativa, que compreende as normas éticas e
comportamentais, e a forma pela qual elas são comunicadas e reforçadas.
Políticas oficiais estipulam aquilo que o conselho e a administração
desejam que aconteça.
A cultura corporativa determina aquilo que efetivamente ocorre e quais

normas serão observadas, distorcidas ou ignoradas. A alta administração
desempenha um papel fundamental na determinação da cultura
corporativa, visto que a personalidade dominante de uma organização, o
presidente, geralmente estabelece a tonalidade ética.
Uma das causas para práticas duvidosas é a ignorância. Os valores éticos

03413677373 - Thais
Claudenir Brito
Aula 06
não devem ser apenas comunicados, mas acompanhados de orientação

específica em relação ao certo e ao errado.
Os códigos formais de conduta corporativa também são importantes para

o estabelecimento de um programa ético eficaz. Os códigos abordam uma
variedade de questões comportamentais, como integridade e ética,
conflitos de interesse, pagamentos ilegais ou inadequados e acordos
anticompetitivos. Também são importantes os canais de comunicação
ascendente nos quais os empregados sintam-se à vontade para veicular
informações relevantes.
1.1.2 Governança corporativa
Das definições de Governança Corporativa que se encontram na

literatura, o que entendemos como mais importante para a nossa prova é
a descrita pelo Instituto Brasileiro de Governança Corporativa – IBGC:
“Governança Corporativa é o sistema pelo qual as sociedades

são dirigidas e monitoradas, envolvendo os
relacionamentos entre acionistas/cotistas, Conselho de
Administração, Diretoria, Auditoria Independente e Conselho
Fiscal”. (grifei)
Segundo Slomski et al (2008), “a governança corporativa é um sistema

de decisões e práticas de gestão voltadas para a determinação e o
controle do desempenho e direção estratégica das corporações”. Seu
objetivo principal é a maximização do valor da empresa e o retorno justo
em prol dos seus investidores e demais partes relacionadas.
Como podemos ver, a governança não é representada por um grupo

específico dentro da companhia, mas é um sistema, que serve para a
direção e o monitoramento das atividades, e envolve o relacionamento
entre os interessados na gestão, e está diretamente ligada ao ambiente
de controle (ou ambiente interno) da organização.
O IBGC ressalta que as boas práticas

de governança corporativa tem a
finalidade de aumentar o valor da
sociedade, facilitar seu acesso ao
capital e contribuir para sua
perenidade (A – FA – CON).
1.1.3 Estrutura Organizacional
A estrutura organizacional de uma entidade provê o arcabouço para

03413677373 - Thais
Claudenir Brito
Aula 06
planejar, executar, controlar e monitorar as suas atividades. Uma

estrutura organizacional relevante inclui a definição de áreas
fundamentais de autoridade e responsabilidade, bem como a definição de
linhas apropriadas de comunicação.
As corporações desenvolvem estruturas organizacionais compatíveis com

as suas necessidades. Algumas são centralizadas, outras
descentralizadas; algumas apresentam reporte direto, enquanto que
outras são matriciais.
Determinadas organizações são estruturadas por ramo industrial ou linha

de produto, localização geográfica ou por uma rede especial de
distribuição ou de marketing. Outras organizações, inclusive muitas
unidades governamentais municipais e estaduais e instituições sem fins
lucrativos, são estruturadas por função.
A adequação da estrutura organizacional de uma entidade depende em

parte de seu tamanho e da natureza de suas atividades. Uma organização
altamente estruturada, com linhas formais de comunicação e
responsabilidades, poderá ser adequada para uma organização de grande
porte com numerosas divisões operacionais, inclusive operações no
exterior. Porém, esse tipo de estrutura pode prejudicar o fluxo necessário
de informações em uma organização de pequeno porte.
1.1.4 Política e procedimentos de Recursos Humanos
Os processos relacionados a recursos humanos, como admissão,

orientação, treinamento, avaliação, aconselhamento, promoção,
compensação e adoção de medidas corretivas, enviam mensagens aos
empregados em relação aos níveis esperados de integridade,
comportamento ético e competência.
Políticas de treinamento podem reforçar os níveis de desempenho

esperados e o comportamento ao comunicarem as funções e as
responsabilidades em perspectiva, bem como ao incluir práticas como
cursos de treinamento e seminários, simulações de estudos de caso e
exercícios de desempenho de papéis.
Transferências e promoções fundamentadas em avaliações de

desempenho demonstram o empenho da organização com o progresso
dos empregados qualificados.
Programas de compensação competitiva que incluem incentivos sob a

forma de bonificações servem para motivar e reforçar os desempenhos de
nível elevado – a despeito do fato de que os sistemas de prêmios devam

03413677373 - Thais
Claudenir Brito
Aula 06
ser estruturados e ter seus controles implementados para evitar

tentações indevidas de efetuar manipulações de resultados. As medidas
disciplinares transmitem a mensagem que as infrações aos
comportamentos esperados não serão toleradas.
É essencial que os empregados estejam preparados para enfrentar novos

desafios na medida em que as questões e os riscos por meio da
organização modificam-se e adquirem maior complexidade. Não é
suficiente admitir pessoal competente e fornecer-lhe treinamento
somente uma vez. O processo de aprendizado é contínuo.
7. (CESPE/MPU/2015) Em relação ao ambiente de controle e à

avaliação de riscos na organização, julgue o item. Um efetivo
ambiente de controle é influenciado por fatores intangíveis,
entre os quais se destacam os valores éticos das pessoas nele
inseridas.
Comentários:
Como vimos na parte teórica da presente aula, os fatores
relacionados ao ambiente de controle incluem:
– integridade e valores éticos;
– competência das pessoas da entidade;
– estilo operacional da organização;
– aspectos relacionados com a gestão;
– forma de atribuição da autoridade e responsabilidade.
Gabarito: C

avaliação de riscos na organização, julgue o item. A alta
administração, que exerce a função de governança da entidade,
é responsável pela definição de um adequado ambiente de
controle, que independe da atuação da auditoria interna ou
externa.
Comentários:
Considerando que uma das atribuições da Auditoria Interna é a
verificação dos controles internos da entidade, para emitirem uma
opinião sobre se estão implementados e se são eficientes, e que o
ambiente de controle é um dos componentes dos controles internos, fica
claro que o ambiente de controle depende da atuação da Auditoria
Interna.

03413677373 - Thais
Claudenir Brito
Aula 06
Gabarito: E

avaliação de riscos na organização, julgue o item. Embora o
ambiente de controle da organização seja formado por pessoas
cujas experiências e habilidades técnicas recebem influência do
próprio ambiente de trabalho, a cultura organizacional não pode
influenciar os padrões de controles internos definidos.
Comentários:
Questão bastante simples, pelo que estudamos até o momento. Se
o ambiente de controle é um dos componentes dos controles internos, é
claro que a cultura organizacional, que faz parte do ambiente de
controle pode influenciar os padrões de controles internos definidos.
Gabarito: E
1.2 Avaliação de Riscos
Identificação dos eventos ou das condições que podem afetar a qualidade

da informação contábil e avaliação dos riscos identificados, incluindo sua
probabilidade de ocorrência, a forma como são gerenciados e as ações a
serem implementadas.
Podemos definir risco como evento futuro e incerto (ou seja, ainda não
ocorreu, e nem há certeza de que irá ocorrer) que, caso ocorra, pode
impactar negativamente o alcance dos objetivos da organização.
Toda entidade enfrenta vários riscos de origem tanto interna quanto

externa. Define-se risco como a possibilidade de que um evento ocorra e
afete adversamente a realização dos objetivos. Ou seja, é um evento
futuro (ainda não aconteceu) e incerto (não sabemos se vai realmente
acontecer) que, caso ocorra, pode impactar no alcance dos objetivos
da organização.
A avaliação de riscos envolve um processo dinâmico e iterativo para

identificar e avaliar os riscos à realização dos objetivos. Esses riscos de
não atingir os objetivos em toda a entidade são considerados em relação
às tolerâncias aos riscos estabelecidos. Dessa forma, a avaliação de riscos
estabelece a base para determinar a maneira como os riscos serão
gerenciados.
Uma condição prévia à avaliação de riscos é o estabelecimento de

objetivos, ligados aos diferentes níveis da entidade. A administração
também considera a adequação dos objetivos à entidade, e o impacto de
possíveis mudanças no ambiente externo e dentro de seu próprio modelo

03413677373 - Thais
Claudenir Brito
Aula 06
de negócio que podem tornar o controle interno ineficaz.
Identificação dos eventos ou das condições que podem afetar a qualidade

da informação contábil e avaliação dos riscos identificados, incluindo sua
probabilidade de ocorrência, a forma como são gerenciados e as ações a
serem implementadas.
Ao avaliar riscos, a administração leva em consideração eventos previstos

e imprevistos. Muitos eventos são rotineiros e recorrentes e já foram
abordados nos programas de gestão e orçamentos operacionais, enquanto
que outros são imprevistos. A administração avalia os riscos em potencial
de eventos imprevistos e, caso ainda não tenha feito essa avaliação, até
os previstos que podem causar um impacto significativo na organização.
Embora o termo “avaliação de riscos” tenha sido usado em conexão com

uma atividade realizada, uma única vez, no contexto de “avaliação de
riscos corporativos”, o componente de “avaliação de riscos” é uma
interação contínua e repetida das ações que ocorrem em toda a
organização.
10. (CESPE/MPU/2015) Acerca de atividades de controle e

avaliação de riscos, julgue o item. Uma adequada avaliação de
riscos pressupõe estudo dos acontecimentos já vivenciados pela
organização para a correta definição de seus objetivos, uma vez
que a ocorrência de eventos futuros incertos não é
administrável.
Comentários:
A primeira parte da assertiva está correta, na medida em que uma
adequada avaliação de riscos pressupõe estudo dos acontecimentos já
vivenciados pela organização para a correta definição de seus objetivos.
Entretanto, a ocorrência de eventos futuros e incertos (riscos) é
administrável por meio do próprio gerenciamento de riscos.
Não há como prever seu acontecimento, mas é possível
administrá-lo para responder adequadamente a uma eventual ocorrência
desses riscos.
Gabarito: E

03413677373 - Thais
Claudenir Brito
Aula 06
1.3 Atividades de Controle
Atividades de controle são ações estabelecidas por meio de políticas e

procedimentos que ajudam a garantir o cumprimento das diretrizes
determinadas pela administração, para mitigar os riscos à realização dos
objetivos, e são desempenhadas em todos os níveis da entidade, em
vários estágios dentro dos processos corporativos e no ambiente
tecnológico.
Podem ter natureza preventiva ou de detecção e abranger uma série de

atividades manuais e automáticas, como autorizações e aprovações,
verificações, reconciliações e revisões de desempenho do negócio,
segregação de funções, dentre outras.
Medidas e ações integrantes de um sistema de controle que, se

estabelecidas de forma tempestiva e adequada, podem vir a prevenir ou
administrar os riscos inerentes ou em potencial da entidade. Não são
exclusividade de determinada área da organização, sendo realizadas em
todos os níveis.
São políticas e procedimentos que direcionam as ações individuais na

implementação das políticas de gestão de riscos, diretamente ou
mediante a aplicação de tecnologia, a fim de assegurar que as respostas
aos riscos sejam executadas. Essas atividades podem ser classificadas
com base na natureza dos objetivos da organização aos quais os riscos de
estratégia, operação, comunicação e cumprimento de diretrizes estão
associados.
Atividades de Controle são Medidas e ações integrantes de um

sistema de controle que, se estabelecidas de forma tempestiva e
adequada, podem vir a prevenir ou administrar os riscos inerentes
ou em potencial da entidade. Não são exclusividade de determinada
área da organização, sendo realizadas em todos os níveis.
1.3.1 Tipos de Atividades de Controle
Existe uma variedade de descrições distintas quanto aos tipos de

atividades de controle, inclusive as preventivas, as detectivas, as

03413677373 - Thais
Claudenir Brito
Aula 06
manuais, as computadorizadas e as de controles administrativos. Essas

atividades também podem ser classificadas com base nos objetivos de
controle especificados, como o de assegurar a integridade e a precisão do
processamento de dados.
A seguir, descrevemos as atividades de controle geralmente utilizadas,

que representam apenas uma parcela dos muitos procedimentos
comumente executados pelo pessoal em vários níveis organizacionais. A
meta dessas atividades é reforçar o cumprimento de planos de ação
estabelecidos e, também, manter as organizações direcionadas ao
cumprimento de seus objetivos.
Segundo o COSO, estão apresentadas apenas para ilustrar a gama e a

variedade de atividades de controle, não para sugerir qualquer
classificação especial.
a) Revisões da Alta Direção – a alta direção compara o desempenho

atual em relação ao orçado, às previsões, aos períodos anteriores e aos
de concorrentes. A implementação de planos é monitorada no
desenvolvimento de produtos, joint ventures ou novos financiamentos.
b) Administração Funcional Direta ou de Atividade – gerentes, no

exercício de suas funções examinam relatórios de desempenho.
c) Processamento da Informação – uma variedade de controles é

realizada para verificar a precisão, a integridade e a autorização das
transações. Os dados inseridos ficam sujeitos a verificações de edição
online ou à combinação com arquivos aprovados de controle.
O desenvolvimento de novos sistemas e as mudanças nos já existentes

são controlados da mesma forma que o acesso a dados, arquivos e
programas.
d) Controles Físicos – os equipamentos, estoques, títulos, dinheiro e

outros bens são protegidos fisicamente, contados periodicamente e
comparados com os valores apresentados nos registros de controle.
e) Indicadores de Desempenho – relacionar diferentes conjuntos de

dados, sejam eles operacionais ou financeiros, em conjunto com a
realização de análises dos relacionamentos e das medidas de investigação
e correção, funciona como uma atividade de controle.
Ao investigar resultados inesperados ou tendências incomuns, a

administração poderá identificar circunstâncias nas quais a falta de
capacidade para concluir processos fundamentais pode significar menor

03413677373 - Thais
Claudenir Brito
Aula 06
probabilidade de os objetivos serem alcançados.
f) Segregação de funções – como já vimos, as obrigações devem ser

atribuídas ou divididas entre pessoas diferentes com a finalidade de
reduzir o risco de erro ou de fraude.
1.3.2 Integração com avaliação de Riscos
Ao selecionar as respostas aos riscos, a administração identifica as

atividades de controle necessárias para assegurar que estas sejam
executadas de forma adequada e oportuna.
A associação de objetivos, respostas a riscos e atividades de controle é

ilustrada no exemplo a seguir, apresentado pelo COSO.
Exemplo: uma Companhia estabelece como objetivo alcançar ou exceder

as metas de vendas, identificando como risco a falta de conhecimentos
suficientes de fatores externos sejam as necessidades atuais do cliente
sejam as em potencial. Para reduzir a probabilidade e o impacto do risco,
a administração recorre aos históricos de compras dos clientes existentes
e empreende novas iniciativas de pesquisa de mercado.
Essas respostas a riscos servem de referência para estabelecer atividades

de controle, e, também, acompanhar o progresso e o desenvolvimento do
histórico de compras de cliente em relação às programações estabelecidas
e à adoção de medidas para assegurar a precisão dos dados relatados.
Sendo assim, as atividades de controle são diretamente inseridas no
processo de administração.
Ao selecionar as atividades de controle, a administração considera a
forma como essas atividades se relacionam entre si. Em alguns casos,
uma única atividade de controle aborda diversas respostas a riscos. Em
outros, diversas atividades de controle são necessárias para apenas uma
resposta a risco. E, ainda, em outras situações, a administração poderá
constatar que as atividades de controle existentes são suficientes para
assegurar a execução eficaz das novas respostas a riscos.
As atividades de controle são importantes elementos do processo por

meio do qual uma organização busca atingir os objetivos do negócio. Elas
não são executadas simplesmente por executar ou por parecer a coisa
“certa ou apropriada” a ser feita. No exemplo acima, a administração
necessita adotar medidas para assegurar que as metas de vendas sejam
alcançadas. As atividades de controle servem como mecanismos de
gestão do cumprimento desse objetivo.

03413677373 - Thais
Claudenir Brito
Aula 06
1.3.3 Controles sobre Sistemas de Informações
A dependência cada vez maior em relação a sistemas de informações para

auxiliar a operação de uma organização e para atender aos objetivos de
comunicação e ao cumprimento de políticas trouxe a necessidade de
controle dos sistemas mais significativos.
Nesse sentido, dois grupos amplos de atividades de controle dos sistemas

de informação podem ser utilizados.
O primeiro diz respeito aos controles gerais, que se aplicam a

praticamente todos os sistemas e contribuem para assegurar uma
operação adequada e contínua.
O segundo grupo é o dos controles de aplicativos, que incluem etapas

para avaliar o processo por meio de códigos de programação dentro do
software. Os controles gerais e os de aplicativos, em conjunto com os
processos de controle manual, quando necessários, asseguram a
integridade, a precisão e a validade das informações.

avaliação de riscos, julgue o item. Na atividade de controle, lidar
com o risco é tratar de algo intangível, porém passível de ser
quantificado.
Comentários:
As atividades de controle são políticas e procedimentos que
direcionam as ações individuais na implementação das políticas de
gestão de riscos, diretamente ou mediante a aplicação de tecnologia, a
fim de assegurar que as respostas aos riscos sejam executadas.
Gabarito: C
12. (CESPE/BACEN/2013) Acerca das regras de controle

interno e gerenciamento de riscos estabelecidas pelo Committee
of Sponsoring Organizations of the Treadway Commission, julgue
os itens a seguir. Entre os elementos do processo de controle
interno inclui-se a atividade de controle, que pode ser voltada
tanto para a prevenção quanto para a detecção. A execução a
tempo e de maneira adequada da atividade de controle permite a
redução ou administração de riscos.

03413677373 - Thais
Claudenir Brito
Aula 06
Comentários:
As atividades de controle são políticas e procedimentos que
direcionam as ações individuais na implementação das políticas de
gestão de riscos, diretamente ou mediante a aplicação de tecnologia, a
fim de assegurar que as respostas aos riscos sejam executadas.
As atividades de controle incluem as preventivas, que evitam a
concretização de determinadas transações, e as de detecção, que
identificam outras transações discrepantes oportunamente.
Gabarito: C
13. (CESPE/BACEN/2013) Entre os elementos do processo de

controle interno inclui se a atividade de controle, que pode ser
voltada tanto para a prevenção quanto para a detecção. A
execução a tempo e de maneira adequada da atividade de
controle permite a redução ou administração de riscos.
Comentários:
As atividades de controle podem ser preventivas, concomitantes
e/ou detectivas.
Dessa forma, quando o controle é realizado de forma tempestiva,
a tendência é que realmente os riscos sejam minimizados, conforme
descreve a questão.
Gabarito: C
1.4 Informação e Comunicação
Identificar, armazenar e comunicar toda informação relevante, a fim de

permitir a realização dos procedimentos estabelecidos. Para tanto, deverá
ser oportuna e adequada, além de abordar aspectos financeiros,
econômicos, operacionais e estratégicos.
Deve ser entendida como um canal que movimenta as informações em

todas as direções – dos superiores aos subordinados, e vice-versa –
pois determinados assuntos são mais bem visualizados pelos integrantes
dos níveis mais subordinados.
A informação é necessária para que a entidade cumpra

responsabilidades de controle interno, a fim de apoiar a realização de
seus objetivos. A administração obtém ou gera e utiliza informações
importantes e de qualidade, originadas tanto de fontes internas quanto
externas, a fim de apoiar o funcionamento de outros componentes do
controle interno.
Deve-se identificar, armazenar e comunicar toda informação relevante, a

fim de permitir a realização dos procedimentos estabelecidos. Para tanto,

03413677373 - Thais
Claudenir Brito
Aula 06
a informação deverá ser oportuna e adequada, além de abordar

aspectos financeiros, econômicos, operacionais e estratégicos.
Deve ser entendida como um canal que movimenta as informações em

todas as direções – dos superiores aos subordinados, e vice-versa –
pois determinados assuntos são mais bem visualizados pelos integrantes
dos níveis mais subordinados.
A comunicação é o processo contínuo e iterativo de proporcionar,

compartilhar e obter as informações necessárias. Pode ser interna ou
externa.
A comunicação interna é o meio pelo qual as informações são

transmitidas para a organização, fluindo em todas as direções da
entidade. Ela permite que os funcionários recebam uma mensagem clara
da alta administração de que as responsabilidades pelo controle devem
ser levadas a sério.
A comunicação externa apresenta duas vertentes: permite o

recebimento, pela organização, de informações externas significativas, e
proporciona informações a partes externas em resposta a requisitos e
expectativas.
A comunicação é o processo contínuo e iterativo de proporcionar,

compartilhar e obter as informações necessárias.
A comunicação interna é o meio pelo qual as informações são

transmitidas para a organização, fluindo em todas as direções da
entidade.
A comunicação externa apresenta duas vertentes: permite o

recebimento, pela organização, de informações externas
significativas, e proporciona informações a partes externas em
resposta a requisitos e expectativas.

03413677373 - Thais
Claudenir Brito
Aula 06
1.5 Monitoramento
Compreende o acompanhamento da qualidade do controle interno,

visando assegurar a sua adequação aos objetivos, ao ambiente, aos
recursos e aos riscos, e pressupõe uma atividade desenvolvida ao longo
do tempo.
Uma organização utiliza avaliações contínuas, independentes, ou uma

combinação das duas, para se certificar da presença e do funcionamento
de cada um dos cinco componentes de controle interno, inclusive a
eficácia dos controles nos princípios relativos a cada componente.
As avaliações contínuas, inseridas nos processos corporativos nos

diferentes níveis da entidade, proporcionam informações oportunas.
As avaliações independentes, conduzidas periodicamente, terão escopos e

frequências diferentes, dependendo da avaliação de riscos, da eficácia das
avaliações contínuas e de outras considerações da administração.
Os resultados são avaliados em relação a critérios estabelecidos pelas

autoridades normativas, órgãos normatizadores reconhecidos ou pela
administração e a estrutura de governança, sendo que as deficiências são
comunicadas à estrutura de governança e administração, conforme
aplicável.
Em geral, quanto maior o alcance e a eficácia do monitoramento

contínuo, menor a necessidade de avaliações independentes. Fica a
critério da administração definir a frequência necessária de avaliações
independentes, de forma a ter garantia razoável da eficácia do
gerenciamento de riscos corporativos.
O monitoramento contínuo é incorporado às atividades normais e

repetitivas de uma organização. Ele também é conduzido em tempo real,
responde dinamicamente a mudanças nas condições e está firmemente
arraigado na organização. Consequentemente, ele é mais eficaz do que as
avaliações independentes.
Visto que as avaliações independentes geralmente ocorrem após a

constatação de algum fato, os problemas serão identificados com maior
rapidez por atividades contínuas de monitoramento. Ainda assim, muitas
organizações que possuem sistemas complexos de atividades de
monitoramento contínuo realizam periodicamente avaliações
independentes do seu gerenciamento de riscos corporativos.
A organização que constata a necessidade de conduzir avaliações

03413677373 - Thais
Claudenir Brito
Aula 06
independentes frequentemente deverá concentrar-se em fortalecer as

suas atividades de monitoramento contínuo.
1.5.1 Atividades de Monitoramento Contínuo
Muitas atividades prestam-se ao monitoramento da eficácia dos controles

internos e do gerenciamento de riscos corporativos no decurso normal da
administração dos negócios. As referidas atividades se originam das
atividades de gestão que podem incluir análises de variância,
comparações das informações oriundas de fontes discrepantes e
abordagem a ocorrências imprevistas.
Em geral, as atividades de monitoramento contínuo são conduzidas pelos

gerentes de operação de linha ou de suporte funcional, que dedicam
profunda consideração às implicações das informações que recebem.
Exemplo de monitoramento contínuo: o gerente, no decurso normal da

administração dos negócios, discute com o seu pessoal a respeito de
questões como o entendimento que o referido pessoal tem do código de
conduta da organização, de maneira em que os riscos são identificados e
as questões que surgem em relação à operação das atividades de
controle. Essas discussões servem para confirmar o funcionamento
adequado dos elementos do gerenciamento de riscos corporativos ou
assuntos emergentes que necessitam de atenção.
1.5.2 Avaliações Independentes
Embora os procedimentos de monitoramento contínuo geralmente

forneçam importante feedback sobre a eficácia de outros componentes do
gerenciamento de riscos corporativos, pode ser de valia abordar a
questão como se fosse a primeira vez, com o enfoque voltado
diretamente à eficácia do gerenciamento de riscos corporativos. Esse
procedimento também oferece a oportunidade de considerar a eficácia
dos procedimentos de monitoramento contínua.
1.5.3 Quem Conduz a Avaliação
Frequentemente, as avaliações têm a forma de auto-avaliações nas quais

as pessoas responsáveis por uma determinada unidade ou função
determinam a eficácia dos controles internos e do gerenciamento de
riscos corporativos em relação às suas atividades.
Por exemplo, o executivo principal de uma divisão dirige a avaliação de

suas atividades de administração dos controles internos e de riscos
corporativos. Esses responsáveis avaliam pessoalmente as atividades de

03413677373 - Thais
Claudenir Brito
Aula 06
administração de riscos associadas às opções estratégicas e aos objetivos

de alto nível, além do componente de ambiente interno, e os indivíduos
responsáveis pelas várias atividades operacionais da divisão avaliam a
eficácia dos componentes da administração de riscos corporativos em
relação às suas esferas de responsabilidade.
Os auditores internos geralmente avaliam como parte de seus deveres

normais, ou mediante solicitação específica do conselho de administração,
comitê de auditoria, diretoria ou executivos de subsidiárias ou divisões.
Do mesmo modo, a administração poderá utilizar informações dos
auditores externos ao considerar a eficácia dos controles internos e do
gerenciamento de riscos corporativos. Pode-se utilizar uma combinação
de esforços na realização de procedimentos de avaliação que a
administração julgue necessários.
1.5.4 Processo de Avaliação
A avaliação dos controles internos e da administração de riscos

corporativos é um processo. Embora as abordagens ou as técnicas
possam variar, o processo deverá conter uma disciplina com
determinados conceitos básicos.
O avaliador deve determinar o modo em que o sistema funciona. Os

procedimentos destinados a operar de uma certa forma podem ser
modificados com o tempo para operar de modo diferente ou podem não
ser mais executados. Às vezes, novos procedimentos são estabelecidos,
mas não são conhecidos por aqueles que descreveram o processo e não
estão incluídos na documentação existente.
A determinação do funcionamento real pode ser realizada mediante

discussões com o pessoal que executa, ou é afetado pelo gerenciamento
de riscos corporativos, mediante exame de registros sobre desempenho
ou, ainda, uma combinação de procedimentos.
O avaliador analisa o traçado do processo dos controles internos e de

administração de riscos corporativos e os resultados dos testes realizados.
A análise é realizada novamente em comparação a padrões estabelecidos
pela administração para cada um dos componentes, com a meta final de
determinar se o processo oferece uma garantia razoável em relação aos
objetivos enunciados.
1.5.5 Metodologia
Existe uma variedade de metodologias e ferramentas, inclusive listas de

verificação, questionários e técnicas de fluxogramas. Como parte de sua

03413677373 - Thais
Claudenir Brito
Aula 06
metodologia de avaliação, algumas organizações comparam ou

desenvolvem um processo de comparação de indicadores de desempenho
para o seu processo de administração dos controles internos e de riscos
corporativos em relação aos de outras organizações.
1.5.6 Documentação
A quantidade de documentação dos controles internos e do

gerenciamento de riscos corporativos de uma organização varia de acordo
com o tamanho, a complexidade e os fatores semelhantes.
As grandes organizações geralmente possuem documentação escrita,

como manuais de política, organogramas formais, descrições de cargo,
instruções de operação, fluxogramas de sistemas e assim por diante.
As organizações menores possuem uma documentação

consideravelmente menor. Muitos aspectos são informais e não estão
documentados, apesar disso são executados com regularidade e
altamente eficazes. Essas atividades podem ser testadas da mesma forma
que as atividades documentadas.
O fato de os elementos dos controles internos e do gerenciamento de

riscos corporativos não estarem documentados não significa que não
sejam eficazes ou não possam ser avaliados, mas a documentação
geralmente implica maior eficácia e eficiência às avaliações.
O avaliador poderá decidir documentar o próprio processo de avaliação,

que deve se basear na documentação existente do gerenciamento de
riscos corporativos da organização. Tipicamente, o processo será
suplementado por documentação adicional, com descrições dos testes e
das análises conduzidas na avaliação.
1.5.7 Relato de Deficiências
As deficiências identificadas nos controles internos e no gerenciamento de

riscos corporativos de uma organização podem ter diversas origens,
inclusive os procedimentos de monitoramento contínuo, avaliações
independentes e partes externas.
Uma deficiência é uma condição que merece atenção e que pode

representar uma desvantagem real, percebida ou em potencial, ou uma
oportunidade de fortalecer o gerenciamento de riscos corporativos para
aumentar a probabilidade de os objetivos serem alcançados.

03413677373 - Thais
Claudenir Brito
Aula 06
O Monitoramento compreende o
acompanhamento da qualidade do
controle interno, visando assegurar a sua
adequação aos objetivos, ao ambiente, aos
recursos e aos riscos, e pressupõe uma
atividade desenvolvida ao longo do tempo.
MATRIZ tridimensional do COSO I:
1ª dimensão: categorias de
objetivos (operações, relatórios
financeiros e conformidade).
2ª categoria: níveis de avaliação.
3ª categoria: componentes de
controle (ambiente de controle,
avaliação de risco, atividades de
controle, informação e comunicação,
além de monitoramento).
14. (CESPE/MPU/2015) No que concerne a informação e

comunicação e a monitoramento nos sistemas de controle
interno, julgue o item subsecutivo. A atuação de gerentes e
auditores internos e externos, bem como a realização de
seminários fazem parte das atividades de monitoramento
contínuo das operações objeto dos sistemas de controle interno.
Comentários:
Em geral, as atividades de monitoramento contínuo são
conduzidas pelos gerentes de operação de linha ou de suporte funcional,
que dedicam profunda consideração às implicações das informações que
recebem.
Os auditores internos geralmente avaliam como parte de seus
deveres normais, ou mediante solicitação específica do conselho de
administração, comitê de auditoria, diretoria ou executivos de

03413677373 - Thais
Claudenir Brito
Aula 06
subsidiárias ou divisões. Do mesmo modo, a administração poderá

utilizar informações dos auditores externos ao considerar a eficácia dos
controles internos e do gerenciamento de riscos corporativos.
Seminários de treinamento, sessões de planejamento e outras
reuniões fornecem à administração importante feedback que lhe permite
determinar se o gerenciamento de riscos corporativos permanece eficaz.
Além dos problemas específicos que podem indicar condições de risco, a
consciência de risco e de controle dos participantes geralmente é uma
condição aparente.
Gabarito: C

comunicação e a monitoramento nos sistemas de controle
interno, julgue o item subsecutivo. Se os elementos do
gerenciamento de riscos corporativos não estiverem
inteiramente documentados, eles não poderão ser testados, nem
executados de forma eficaz, o que impossibilitará a avaliação dos
riscos envolvidos.
Comentários:
O fato dos elementos dos controles internos e do gerenciamento
de riscos corporativos não estarem documentados não significa que não
sejam eficazes ou não possam ser avaliados. Contudo, um nível
apropriado de documentação geralmente implica maior eficácia e
eficiência às avaliações.
Gabarito: E
16. (CESPE/CGE-PI/2015) No que se refere ao controle interno

estruturado pelas instituições, julgue o item seguinte, relativo a
monitoramento, informação e comunicação. Uma alternativa
bastante difundida, antigamente, pelos administradores das
organizações era o uso de papéis de trabalho como base física da
documentação das atividades de monitoramento; no entanto,
com a evolução da informatização, essa prática caiu em desuso.
Comentários:
Ainda nos dias de hoje, as grandes organizações geralmente
possuem documentação escrita, como manuais de política,
organogramas formais, descrições de cargo, instruções de operação,
fluxogramas de sistemas e assim por diante. Já as organizações
menores possuem uma documentação consideravelmente menor.
Gabarito: E

monitoramento, informação e comunicação. Por meio do
monitoramento, em especial, no que se refere à autoavaliação, o

03413677373 - Thais
Claudenir Brito
Aula 06
corpo gerencial de uma organização pode se certificar da origem,

presença e regularidade do funcionamento de determinado
componente de controle interno.
Comentários:
A determinação do grau de eficácia do gerenciamento de riscos
corporativos de uma organização corresponde ao julgamento decorrente
da avaliação da presença e da eficácia do funcionamento dos oito
componentes. Desse modo, os componentes também são critérios para
o gerenciamento eficaz de riscos corporativos.
O gerenciamento de riscos corporativos é monitorado, avaliando-
se a presença e o funcionamento de seus componentes ao longo do
tempo. Essa tarefa é realizada mediante atividades contínuas de
monitoramento, avaliações independentes ou uma combinação de
ambas.
Assim, podemos concluir que a assertiva está incorreta ao afirmar
que é por meio da autoavaliação que o corpo gerencial desenvolve esse
monitoramento.
Gabarito: E
1.6 COSO versão 2013
Em maio de 2013, o COSO lançou o novo Framework COSO Controles

Internos – o que chamamos nesta obra de “COSO I”. Podemos nomear
como “COSO edição 2013”.
Esse novo quadro trouxe algumas evoluções em relação à versão de
1992, considerando as principais mudanças ocorridas ao longo desses
anos, como a globalização, a complexidade dos negócios, a incidência de
fraudes e o incremento das exigências quanto à transparência e à
responsabilidade dos órgãos reguladores, do governo e do mercado em
geral.
Os principais objetivos da mudança foram:
– Refletir as mudanças no negócio e nos ambientes operacionais;

– Expandir as operações e relatórios objetivos; e
– apresentar princípios para aumentar a eficácia do controle interno.
Um novo conceito para os controles internos foi apresentado:
“Um processo definido pela alta administração ou pessoa

responsável, para prover razoável segurança no alcance
dos objetivos sobre operações, reporte e compliance da
entidade”. (Grifamos)

03413677373 - Thais
Claudenir Brito
Aula 06
Os cinco componentes do cubo do COSO I, vistos anteriormente,

foram mantidos. Porém, o detalhamento de cada um deles foi
aprimorado para um total de 17 princípios e devem estar presentes e em
funcionamento por toda a entidade.
Esses princípios serão apresentados adiante e incluem assuntos relativos:
• a diferentes modelos de negócios e de estruturas organizacionais;

• a procedimentos para atração, retenção de talentos e ferramentas; e
• à inclusão de avaliações sobre tecnologia da informação.
Temos que ter em mente que os controles internos estão inseridos em

qualquer atividade das organizações, sejam públicas ou privadas, e são
imprescindíveis tanto no alcance dos objetivos quanto no gerenciamento
de riscos, auxiliando a administração na busca da manutenção do
negócio.
A edição do COSO 2013 visa fortalecer os controles internos, podendo ser

aplicada a todas as organizações, dando à alta administração uma visão
do funcionamento dos controles internos, da avaliação dos riscos frente
aos objetivos da entidade.
Além disso, auxilia na tomada de decisões oportunas, prevenindo fraudes

e reduzindo danos patrimoniais causados pela ineficiência. Essa é a
importância das alterações na estrutura.
Novos princípios e abordagens em cada componente – os 17

princípios:
Ambiente de Controle
1. A organização demonstra um compromisso de integridade e valores

éticos.
2. O Conselho de administração demonstra independência de gestão
e exerce a supervisão do desenvolvimento e desempenho do controle
interno.
3. Gestão estabelece, com supervisão da Diretoria, estruturas,
relatando as linhas e as autoridades competentes e responsabilidades na
busca pelos objetivos.
4. A organização demonstra o compromisso de atrair, desenvolver e
reter pessoas competentes em alinhamento com os objetivos.
5. A organização detém indivíduos responsáveis pelo controle interno
na busca pelos objetivos.

03413677373 - Thais
Claudenir Brito
Aula 06
Avaliação de Risco
6. A organização especifica objetivos com clareza suficiente para

permitir a identificação e avaliação de riscos relacionados com os
objetivos.
7. A organização identifica os riscos para a realização dos seus
objetivos, através da entidade e analisa os riscos como uma base para
determinar como os riscos devem ser geridos.
8. A organização considera o potencial de fraude na avaliação dos
riscos para a realização dos objetivos.
9. A organização identifica e avalia as mudanças que podem
significativamente afetar o sistema de controle interno.
Atividades de Controle
10. A organização seleciona e desenvolve atividades de controle que

contribuem para a atenuação dos riscos para a realização dos objetivos
a níveis aceitáveis.
11. A organização seleciona e desenvolve atividades de controle geral
sobre a tecnologia para apoiar a realização dos objetivos.
12. A organização implanta as atividades de controle através de políticas
que estabelecem o que é esperado e procedimentos que colocar condições
no lugar.
Informação e Comunicação
13. A organização obtém ou gera e utiliza informações relevantes e de

qualidade para apoiar o funcionamento do controle interno.
14. A organização comunica internamente informações, incluindo
objetivos e responsabilidades em matéria de controle interno, necessário
para apoiar o funcionamento do controle interno.
15. A organização se comunica com partes externas sobre questões
que afetam o funcionamento do controle interno.
Monitoramento
16. A organização seleciona, desenvolve e realiza avaliações para

verificar se os componentes do controle interno estão presentes e
funcionando.
17. A organização avalia e comunica deficiências de controle interno
em tempo hábil para aqueles responsáveis para tomar uma ação
corretiva, incluindo a alta administração e o Conselho de administração,
conforme o caso.

03413677373 - Thais
Claudenir Brito
Aula 06
EXERCÍCIOS COMPLEMENTARES
18. (CESGRANRIO/TRANSPETRO/2016) A Estrutura Integrada

de Controle Interno proposta pelo Committee of Sponsoring
Organizations of the Treadway Commission (COSO) apresenta três
categorias de objetivos, o que permite às organizações
concentrarem-se em diferentes aspectos do controle interno. Os
objetivos relacionados à eficácia e à eficiência das operações da
entidade, inclusive as metas de desempenho e a salvaguarda de
perdas de ativos, referem-se à categoria
(A) de avaliação
(B) de divulgação
(C) de conformidade
(D) estratégica
(E) operacional
Comentários:
Questão direta da prova da Transpetro. O conhecimento necessário
para resolvê-la foi sobre quais as categorias de objetivos constantes da
primeira edição do COSO, que, conforme já vimos, são os seguintes:
1 – eficácia e eficiência das operações - operacional;
2 – confiabilidade dos relatórios financeiros – de divulgação; e
3 – conformidade com a legislação e regulamentos aplicáveis – de
conformidade.
Gabarito: E
19. (CESGRANRIO/TRANSPETRO/2016) Na implementação de

um sistema de controle interno, um dos primeiros elementos a ser
considerado deve ser a avaliação do ambiente de controle. A
forma pela qual a administração de uma entidade atribui alçadas e
responsabilidades é uma das características do ambiente de
controle. Desse modo, a atribuição de alçada e responsabilidade
(A) deve ser deslocada para o nível de autoridade mais alto para trazer o
processo decisório ao pessoal da linha de frente.
(B) inclui até que ponto pessoas e equipes estão autorizadas e são
incentivadas a solucionar problemas, bem como os limites dessa
autoridade.
(C) não deve ser adotada quando a entidade visa a tornar-se mais
orientada ao mercado e concentrada na qualidade.
(D) necessita de enxugamento da estrutura organizacional para sua
adoção.

03413677373 - Thais
Claudenir Brito
Aula 06
(E) requer menos monitoramento em decorrência das responsabilidades

individuais.
Comentários:
As atribuições dos funcionários, setores e departamentos internos
da empresa devem ser claramente definidas e limitadas, de preferência
por escrito, mediante o estabelecimento de manuais internos de
organização.
Há duas atividades de controles relacionadas à atribuição de
responsabilidades: alçadas e autorizações.
Limites de alçadas (e responsabilidade) são os valores
considerados como possíveis para a decisão de determinado nível
hierárquico dentro da organização. Ou seja, é até quanto o funcionário
pode decidir.
Gabarito: B
20. (CESGRANRIO/TRANSPETRO/2016) A Cia. Alfa atua no ramo

de varejo e lançou uma campanha de marketing com o objetivo de
incrementar as vendas no segmento de bombons e chocolates
finos, de alto padrão, que foram iniciadas no mês de janeiro.
Nesse novo segmento de vendas, a Cia. Alfa elaborou um
orçamento com metas de vendas para alcançar o lucro pretendido
com o segmento. As atividades de controle mais adequadas para
acompanhar o comportamento dos objetivos e metas orçados para
esse novo segmento de vendas da Cia. Alfa são:
(A) administração funcional direta e processamento da informação
(B) indicadores de desempenho e segregação de funções
(C) indicadores de desempenho e processamento da informação
(D) revisões da alta direção e administração funcional direta
(E) revisões da alta direção e processamento da informação
Comentários:
Segundo o COSO, as atividades de controle a seguir estão
apresentadas apenas para ilustrar a gama e a variedade de atividades de
controle, não para sugerir qualquer classificação especial.
a) Revisões da Alta Direção – a alta direção compara o
desempenho atual em relação ao orçado, às previsões, aos
períodos anteriores e aos de concorrentes. A implementação de
planos é monitorada no caso de desenvolvimento de novos
produtos, joint ventures ou novos financiamentos.
b) Administração Funcional Direta ou de Atividade –
gerentes, no exercício de suas funções ou atividades examinam
relatórios de desempenho.
c) Processamento da Informação – uma variedade de controles é
realizada para verificar a precisão, a integridade e a autorização das
transações. Os dados inseridos ficam sujeitos a verificações de
edição online ou à combinação com arquivos aprovados de controle.

03413677373 - Thais
Claudenir Brito
Aula 06
O desenvolvimento de novos sistemas e as mudanças nos já

existentes são controlados da mesma forma que o acesso a dados,
arquivos e programas.
d) Controles Físicos – os equipamentos, estoques, títulos, dinheiro e
outros bens são protegidos fisicamente, contados periodicamente e
comparados com os valores apresentados nos registros de controle.
e) Indicadores de Desempenho – relacionar diferentes conjuntos de
dados, sejam eles operacionais ou financeiros, em conjunto com a
realização de análises dos relacionamentos e das medidas de
investigação e correção, funciona como uma atividade de controle.
Ao investigar resultados inesperados ou tendências incomuns, a
administração poderá identificar circunstâncias nas quais a falta de
==eb89b==
capacidade para concluir processos fundamentais pode significar

menor probabilidade dos objetivos serem alcançados.
f) Segregação de funções – como já vimos, as obrigações devem
ser atribuídas ou divididas entre pessoas diferentes com a finalidade
de reduzir o risco de erro ou de fraude.
Comparando as atividades de controle elencadas com o caso
concreto trazido pela banca, podemos concluir que as mais adequadas
são as revisões da alta direção e a administração funcional direta.
A e E – Processamento da Informação estaria mais relacionado à
precisão, à integridade e à autorização das transações.
B e C – Indicadores de Desempenho estão relacionados a diferentes
conjunto de dados e à análise de relacionamentos e medidas de
investigação e correção.
Gabarito: D
21. (FGV/IBGE-Auditoria/2016) Uma determinada entidade está

realizando reestruturação das suas atividades. Um dos pontos de
reestruturação foi a incorporação de novos serviços, que exigirá a
contratação de mais pessoas e a aquisição de novos materiais. Em
decorrência disso, a entidade identifica e avalia as mudanças que
poderiam afetar, de forma significativa, o sistema de controle
interno. Essa postura da entidade está relacionada ao seguinte
componente da estrutura de controle interno:
(A) ambiente de controle;
(B) avaliação de riscos;
(C) atividades de controle;
(D) atividades de monitoramento;
(E) informação e comunicação.
Comentários:
Ao avaliar as mudanças que estão sendo implementadas e seus
impactos nos controles internos, a entidade está observando o
componente “avaliação de riscos”, pois a incorporação de novos
serviços, que exigiriam a contratação de mais pessoas e a aquisição de

03413677373 - Thais
Claudenir Brito
Aula 06
novos materiais poderia alterar a efetividade dos controles internos

implementados. Observem o trecho do enunciado: “as mudanças que
poderiam afetar, de forma significativa, o sistema de controle interno.”
Gabarito: B
22. (CESPE/CGE-PI/2015) Julgue o próximo item, referente a

estrutura organizacional, objetivos e componentes que
fundamentam o controle interno. Caso esteja estruturado
formalmente, o controle interno de uma instituição pode ser
representado sob a forma de um cubo. Nessa representação, as
categorias de objetivos relacionam-se indiretamente com os
componentes, em que pese estarem no mesmo plano;
diferentemente da estrutura organizacional, que está em outra
dimensão.
Comentários:
A forma de cubo da estrutura de controles internos (em 3
dimensões) permite demonstrar que as categorias de objetivos estão
diretamente relacionadas aos componentes, da mesma forma que a
estrutura da organização.
Gabarito: E
23. (CESPE/FUB/2015) Segundo a INTOSAI, as auditorias do

setor público contribuem para a boa governança e, por
conseguinte, para o aperfeiçoamento da administração pública.
Com relação a auditorias e governança no setor público, julgue o
item subsequente. O componente monitoramento, por propiciar
disciplina e estrutura, minimizando os riscos e assegurando que
os controles internos funcionem como o previsto, está posicionado
estrategicamente na base do cubo tridimensional proposto pelo
COSO ERM (COSO II), com o propósito de suportar todos os outros
componentes do sistema.
Comentários:
O ambiente interno abrange a cultura de uma organização, a
influência sobre a consciência de risco de seu pessoal, sendo a base para
todos os outros componentes do gerenciamento de riscos
corporativos, possibilita disciplina e a estrutura.
Gabarito: E
24. (CESPE/Câmara dos Deputados/2014) Com relação aos

sistemas de controle interno e externo e aos princípios, normas e
procedimentos de auditoria, julgue o item a seguir. De acordo com
a metodologia COSO em uma organização, o modo como o
conselho de administração e a alta administração atuam em
relação à cultura de controle e a atenção por eles dada a esse

03413677373 - Thais
Claudenir Brito
Aula 06
aspecto integram o componente denominado ambiente de

controle.
Comentários:
De acordo com o item 2 da edição 2013 do COSO, “O Conselho de
administração demonstra independência de gestão e exerce a
supervisão do desenvolvimento e desempenho do controle interno”.
Gabarito: C
25. (CESPE/TCDF/2012) Com relação aos controles internos,

segundo o COSO (Committee of Sponsoring Organization of the
Treadway Commission), julgue o item seguinte. Segundo o COSO,
accountability, operações ordenadas e éticas e salvaguarda de
recursos são os componentes do controle interno e representam o
que é necessário para se alcançar um bom sistema de controle
interno.
Comentários:
Em 1992, o COSO publicou um trabalho denominado “Controle
Interno: um modelo integrado”. Esse documento passou a ser
referência sobre o assunto “Controle Interno”, e apresentou cinco
componentes:
1 – Ambiente de Controle;
2 – Avaliação de Riscos;
3 – Atividades de Controle;
4 – Informações e Comunicações;
5 – Monitoramento.
Ou seja, para o COSO, o Controle Interno era formado por esses
cinco componentes.
Gabarito: E
26. (FCC/TCE-RS/2014) O Modelo The Committee of Sponsoring

Organizations of the Treadway Commission − COSO é mecanismo
de auditoria que tem como foco os riscos corporativos. Dentre os
componentes do COSO 1 estão: a definição de uma filosofia de
tratamento dos riscos e a observação do sistema de controle
interno. Esses componentes são denominados, respectivamente;
a) monitoramento e ambiente de controle.
b) atividade de controle e monitoramento.
c) ambiente de controle e identificação de riscos.
d) identificação de riscos e avaliação de riscos.
e) ambiente de controle e monitoramento.
Comentários:
O ambiente de controle deve demonstrar o grau e
comprometimento em todos os níveis da administração, com a
qualidade do controle interno em seu conjunto.

03413677373 - Thais
Claudenir Brito
Aula 06
É nele que a empresa ou órgão define sua filosofia de tratamento de

riscos, a cultura de controle da empresa.
Já o Monitoramento compreende o acompanhamento da
qualidade do controle interno, visando assegurar a sua adequação aos
objetivos, ao ambiente, aos recursos e aos riscos. Pressupõe uma
atividade desenvolvida ao longo do tempo.
Gabarito: E
27. (FCC/TRT-13ªRegião/2014) A referência mundial para

sistemas de controle interno é o Modelo The Committee of
Sponsoring Organizations of the Treadway Commission − COSO,
que traz especificações relacionadas a uma:
a) estrutura voltada para a gestão de riscos.
b) padronização de papéis de trabalho.
c) metodologia de circularização de informações de acesso restrito.
d) metodologia de processamento digital de dados.
e) padronização de técnicas de amostragem.
Comentários:
O COSO I traz uma estrutura voltada para os controles internos e o
COSO II foca mais em gerenciamento de riscos, embora também
considere os controles internos como base para a gestão de riscos. De
qualquer forma, por eliminação, a única alternativa possível seria a letra
A.
Gabarito: A
28. (FCC/TRT-13ªRegião/2014) O Modelo COSO é estruturado

sob a forma de componentes relacionados ao controle interno. É
componente que diferencia o Modelo COSO I do COSO II,
a) a informação e comunicação.
b) o procedimento de controle.
c) o ambiente de controle.
d) o monitoramento.
e) a definição dos objetivos.
Comentários:
O COSO II apresenta três componentes que não aparecem no COSO
I: Fixação (definição) de objetivos, Identificação de eventos e
Resposta a Risco.
Gabarito: E
29. (FGV/CGE-MA/2014) Exemplos de políticas e de

procedimentos que uma entidade pode implementar para auxiliar
na prevenção e detecção de não conformidade com leis e
regulamentos estão listados a seguir, à exceção de um. Assinale-
o.

03413677373 - Thais
Claudenir Brito
Aula 06
a) Manutenção de controle das leis e regulamentos importantes que a

entidade tenha que cumprir no seu setor de atividade e registro de
ocorrências.
b) Instituição ou operação de sistemas apropriados de controle interno e
externo dos órgãos governamentais.
c) Desenvolvimento, divulgação e acompanhamento de código de
conduta.
d) Confirmação que os empregados sejam adequadamente treinados e
entendam o código de conduta.
e) Monitoramento da conformidade do código de conduta e agir
apropriadamente para disciplinar os empregados que deixem de cumpri-
lo.
Comentários:
As atividades de controle podem ser preventivas (desejável) e
detectivas.
As letras A e C apresentam controles preventivos e as alternativas D
e E controles detectivos relacionados à não conformidade com leis e
regulamentos.
A letra B, gabarito da questão, apresenta um controle que não pode
ser implementado pela entidade, já que o controle externo, como o
próprio nome já diz, é externo à entidade. Ela não tem gerência sobre
esse controle.
Gabarito: B
30. (FGV/HEMOCENTRO-SP/2013) Um dos objetivos do controle

interno é auxiliar a administração na condução ordenada de suas
atividades operacionais, utilizando, como controle do tipo
administrativo,
a) uma auditoria interna.
b) a análise das variações entre os valores orçados e os incorridos.
c) o controle físico sobre os ativos.
d) sistemas de conferência, aprovação e autorização contábil.
e) os inventários de bens tangíveis.
Comentários:
A auditoria interna não é um controle do tipo administrativo.
Embora ela seja considerada parte do controle interno da empresa, ela é
responsável por avaliar os controles internos contábeis e administrativos.
As letras C, D e E apresentam exemplos de controles contábeis.
Por fim, a letra B é o gabarito da questão, já que a análise da variação
entre o que a empresa orçou e o quanto ela realmente executou é uma
verificação gerencial, um controle administrativo.
Gabarito: B
31. (FUNDATEC/CAGE-RS/2014) Ambiente de Controle,

estabelecimento de metas, identificação de problemas, avaliação

03413677373 - Thais
Claudenir Brito
Aula 06
de risco, atividades de controle, informação, comunicação e

monitoramento são as oito dimensões do modelo internacional
que serve de parâmetro para a auditoria na avaliação da estrutura
de controles internos.
Assim, esse modelo denomina-se:
a) COSO – Committee of Sponsoring Organizations of the Treadway
Comission
b) COBIT – Control Objectives for Information and Related Technology
c) SOX – Sarbanes-Oxley
d) SEC – Security Exchange Comission
e) AICPA – American Institute of Certified Public Accountants
Comentários:
A estrutura de controle interno do COSO tem sido cada vez mais
cobrada nos concursos.
O caput da questão traz alguns erros conceituais. Na verdade, o
COSO que trata de controles internos tem 3 dimensões e 5 componentes.
Já o COSO II, ou COSO ERM, focado em gerenciamento de riscos,
apresenta 8 componentes.
De qualquer forma, não temos que brigar com o caput da questão e
dava para entendermos que o modelo a que se refere a questão é o
COSO.
Gabarito: A
32. (FUNDATEC/CAGE-RS/2014) São exemplos de deficiências

significativas nos controles internos e que requerem comunicação
por parte da auditoria independente, conforme estabelece a NBC
TA 265 – Comunicação de deficiências no controle interno:
a) Avaliação de risco e evidência de que o processo é eficaz.
b) Distorção detectada pela auditoria, que foi prevenida ou detectada e
corrigida pelo controle interno.
c) Controles sobre riscos identificados.
d) Incapacidade da administração em elaborar demonstrações financeiras
de acordo com a estrutura que seja aplicável.
e) Implementação de medidas corretivas para deficiências comunicadas
anteriormente pela auditoria.
Comentários:
As letras A e C não apresentam qualquer deficiência de controle,
muito pelo contrário.
Na alternativa B, embora o auditor tenha detectado uma distorção,
também verificou que o controle atuou em relação a essa distorção, seja
de forma preventiva ou detectiva, o mesmo ocorrendo na letra E.
A alternativa D, gabarito da questão, apresenta um problema que, a
princípio, não foi corrigido pela administração, devendo ser relatado pelo
auditor em sua comunicação sobre as deficiências no controle interno da
empresa.

03413677373 - Thais
Claudenir Brito
Aula 06
Gabarito: D
33. (Cesgranrio/BNDES/2011) Na gestão empresarial, cabe à

Administração da empresa estabelecer o sistema de controle
interno e o respectivo acompanhamento de sua correta adoção
por parte dos executores, como um todo, visando a adaptá-lo
rapidamente a novas circunstâncias gerenciais, se necessário.
Ao se dizer que os acessos aos ativos e aos registros contábeis
devem ser realizados por indivíduos distintos, está sendo
enunciado o princípio do controle interno do(a):
a) acesso aos ativos;
b) confronto dos ativos com os registros;
c) responsabilidade;
d) rotina interna;
e) segregação de funções.
Comentários:
Um dos princípios mais importantes do controle interno (e por isso
mesmo o mais cobrado em prova) é o da segregação de funções, que
prevê a separação de atividades que possam gerar conflito de interesses,
como é o caso da questão (acesso ao ativo x registro contábil).
Gabarito: E
34. (Cesgranrio/Transpetro/2011) Os objetivos do controle

interno são: proteger os ativos, produzir dados contábeis
confiáveis e ajudar a equipe gestora na condução organizada dos
negócios da empresa. Para atingir esses objetivos, torna-se
necessária a realização de:
a) testes substantivos e de testes de observância;
b) controles contábeis e de controles administrativos;
c) controles físicos e de controles documentais;
d) padronização de procedimentos e de cumprimento de normas;
e) inspeção física e de análise de contas.
Comentários:
Conforme vimos, segundo a melhor doutrina, os controles internos
se dividem em contábeis e administrativos.
Gabarito: B
35. (Cesgranrio/Petrobrás/2008) A metodologia estabelecida

pelo COSO (Committee of Sponsoring Organizations of the
Treadway Commission) foi concebida com a finalidade de auxiliar
na gestão empresarial, estabelecendo um padrão de melhores
práticas de controles internos. Os cinco componentes básicos
definidos pelo COSO (1a Edição) devem estar alinhados para
atender os objetivos ligados a:

03413677373 - Thais
Claudenir Brito
Aula 06
a) produtividade operacional, transparência e confiabilidade dos relatórios

gerenciais e melhoria no ambiente de controle;
b) eficiência no processo de gestão de riscos, capacitação operacional e
transparência da alta administração;
c) conformidade legal (compliance), eficiência na avaliação de riscos e
transparência na comunicação interna;
d) eficácia e eficiência das operações, confiabilidade nas demonstrações
financeiras e cumprimento de leis e normas (compliance).
e) confiabilidade no ambiente de controle interno, capacitação e
treinamento de pessoal e agilidade nos fluxos e processos internos.
Comentários:
Conforme visto no COSO, na primeira dimensão temos os três
objetivos, que são: i) a eficácia e eficiência das operações; ii) a
confiabilidade nas demonstrações financeiras; e iii) o cumprimento de leis
e normas (compliance).
Gabarito: D
36. (Cesgranrio/Petrobrás/2011) Os controles internos podem

ser classificados como preventivos ou detectivos, dependendo do
objetivo e do momento em que são aplicados. Observe os
controles apresentados a seguir.
I – Segregação de funções
II – Limites e alçadas
III – Autorizações
IV – Conciliações
V – Revisões de desempenho
São exemplos de controles preventivos APENAS os apresentados
em:
a) I, II e III.
b) II, III e IV.
c) III, IV e V.
d) I, II, III e V.
e) I, II, IV e V.
Comentários:
Os controles internos podem ser divididos em:
• Controles preventivos, que visam a identificar um erro ou
irregularidade antes que isto aconteça.
• Controles detectivos, que visam a identificar um erro ou
irregularidade depois que este tenha ocorrido.
Dessa forma, uma vez que a questão pede apenas exemplos de
controles preventivos, apenas os itens I, II e III estão corretos. Os itens
IV e V correspondem a controles internos detectivos.
Gabarito: A

03413677373 - Thais
Claudenir Brito
Aula 06
2. Gerenciamento de Riscos Corporativos no COSO
Embora o edital trate de “avaliação de riscos”, a estrutura do COSO se

refere ao gerenciamento de riscos, embora esses conceitos se
interrelacionam.
O que ocorre de fato é que o gerenciamento de riscos (gestão de

riscos), a avaliação de riscos e a comunicação de riscos são
componentes da análise de risco.
Enquanto o gerenciamento de riscos é um processo de gestão dos

resultados obtidos na avaliação de risco, a comunicação do risco é uma
troca de informações entre diversos usuários acerca dos riscos.
ANÁLISE DE RISCO
AVALIAÇÃO DE GERENCIAMENTO COMUNICAÇÃO

RISCO DE RISCO DE RISCO
A estrutura de controles internor do COSO I vigorou soberana até

2002, quando, em virtude dos escândalos contábeis do início dos anos
2000, a sociedade americana passou a pressionar o Congresso Americano
a atuar em prol da transparência no Mercado.
No mesmo ano, como já vimos, foi publicada a Lei Sarbanes-Oxley, que

visava a erradicar dos mercados a manipulação financeira.
As principais mudanças na SOX ocorreram nas regras de Governança

Corporativa, aumentando a responsabilidade dos executivos nas
organizações e dos responsáveis pela elaboração das demonstrações
contábeis. Essas mudanças contribuíram para aumentar a importância
dada à Auditoria Interna.
Em vista disso, os Controles Internos passaram a fazer parte da pauta da

alta administração, como parte das boas práticas de governança
corporativa.
Em 2004, o COSO divulgou o trabalho “Gerenciamento de Riscos

Corporativos – Estrutura Integrada”, com um foco mais voltado para
o gerenciamento de riscos corporativos.

03413677373 - Thais
Claudenir Brito
Aula 06
Vamos ver a definição de gerenciamento de riscos corporativos, de

acordo com o COSO II:
“é um processo conduzido em uma organização pelo

conselho de administração, diretoria e demais empregados,
aplicado no estabelecimento de estratégias, formuladas para
identificar em toda a organização eventos em potencial,
capazes de afetá-la, e administrar os riscos de modo a
mantê-los compatível com o apetite a risco da organização
e possibilitar garantia razoável do cumprimento dos seus
objetivos”. (grifamos)
Nesse sentido, é importante sabermos distinguir o COSO I do COSO II, já

que o COSO I não aborda o gerenciamento de riscos que, no COSO II, é a
base dos controles internos.
No COSO II, os componentes passaram ser em número de oito, da

seguinte forma:
- Ambiente de Controle;
- Fixação de Objetivos;
- Identificação de Eventos;
- Avaliação de Riscos;
- Resposta a Risco;
- Atividades de Controle;
- Informações e Comunicações; e
- Monitoramento.
Como se pode observar, três componentes foram acrescentados aos

já existentes no COSO I (F – I – R).
2.1 FIXAÇÃO DE OBJETIVOS
Definidos pela alta administração, devem ser divulgados a todos os

componentes da organização, antes da identificação dos eventos que
possam influenciar na consecução dos objetivos.
Pode parecer óbvio, mas já foi cobrada em prova uma inversão dessa
sequência, e temos certeza de que confundiu muita gente.
Os objetivos devem estar alinhados à missão da entidade e devem ser

compatíveis com o apetite a riscos.

03413677373 - Thais
Claudenir Brito
Aula 06
Os objetivos são fixados no âmbito estratégico, estabelecendo uma base

para os objetivos operacionais, de comunicação e o cumprimento de
normas. Toda organização enfrenta uma variedade de riscos oriundos de
fontes externas e internas, sendo a fixação de objetivos um pré-requisito
à identificação eficaz de eventos, a avaliação de riscos e resposta a risco.
Os objetivos são alinhados com o apetite a risco, o qual direciona os

níveis de tolerância a riscos para a organização.
A fixação de objetivos é uma precondição à identificação de evento, à

avaliação de riscos e às respostas aos riscos. Em primeiro lugar, é
necessário que os objetivos existam para que a administração possa
identificar e avaliar os riscos quanto a sua realização, bem como adotar
as medidas necessárias para administrá-los.
Um processo adequado para a fixação de objetivos representa um

componente crítico do gerenciamento de riscos corporativos. Embora os
objetivos propiciem as metas mensuráveis na direção das quais a
organização move-se ao realizar suas atividades, eles possuem diferentes
graus de importância e prioridade.
Da mesma forma, a despeito do fato de que uma organização deva dispor

de uma garantia razoável de que determinados objetivos serão
alcançados, nem sempre é esse o caso em relação a todos os objetivos.
2.2 IDENTIFICAÇÃO DE EVENTOS
Eventos são situações em potencial – que ainda não ocorreram – que

podem causar impacto na consecução dos objetivos da organização, caso
venham a ocorrer. Podem ser positivos ou negativos, sendo que os
eventos negativos são denominados riscos, enquanto os positivos,
oportunidades.
Por meio da identificação de eventos, pode-se planejar o tratamento

adequado para as oportunidades e para os riscos, que devem ser
entendidos como parte de um contexto, e não de forma isolada.

03413677373 - Thais
Claudenir Brito
Aula 06
Isso porque, muitas vezes, um risco que parece trazer grande impacto
pode ser minimizado pela existência conjunta de uma oportunidade. Por
exemplo, o risco de uma greve em determinado serviço público pode ser
esvaziado caso haja a oportunidade de contratação de novos servidores
em curto prazo, por meio de novo concurso público.
Após a identificação de eventos, separando-se as oportunidades dos

riscos, vamos atuar sobre esses últimos, por meio da avaliação de riscos
– já vista no COSO I –, quando determinaremos a forma de tratamento
para cada risco identificado, e qual a resposta a ser dada a esse risco.
37. (CESPE/SEBRAE/2008) Caso uma companhia seguradora

que opera uma grande frota de automóveis mantenha uma base
de dados de reclamações de acidentes e, mediante análise,
constate que uma porcentagem desproporcional de acidentes
está associada a motoristas de determinada unidade, área
geográfica e faixa etária, nessa situação, a referida análise
estará relacionada ao componente informações e comunicações.
Julgue CERTO ou ERRADO.
Comentários:
A manutenção de banco de dados sobre eventos passados, para
analisar os riscos identificados nesse histórico, faz parte do componente
“identificação de eventos”, e não “informações e comunicações”, como
afirma a questão.
Gabarito: E
2.3 RESPOSTA A RISCOS
Para cada risco identificado, será prevista uma resposta, que pode ser de
4 tipos: evitar, aceitar, compartilhar ou reduzir.
Vamos votar ao exemplo da greve de servidores. Podemos evitar o risco

por meio de uma negociação justa, atendendo aos anseios dos servidores,
no que for possível e justo. Podemos aceitar o risco, não tomando
qualquer atitude, por entendermos que o impacto no serviço público não
será tão relevante a ponto de prejudicar o alcance dos objetivos pela
entidade. Podemos compartilhar o risco, por exemplo, por meio da

03413677373 - Thais
Claudenir Brito
Aula 06
terceirização de determinados setores, compartilhando o risco com a

empresa terceirizada. E podemos reduzir o risco de greve, nos
antecipando no atendimento do pleito dos servidores, investindo em
qualidade de vida e em melhoria das condições de trabalho.
De acordo com o COSO (2007), “Evitar” sugere que nenhuma opção de

resposta tenha sido identificada para reduzir o impacto e a probabilidade
a um nível aceitável. “Reduzir” ou “Compartilhar” reduzem o risco residual
a um nível compatível com as tolerâncias desejadas ao risco, enquanto
“Aceitar” indica que o risco inerente já esteja dentro das tolerâncias ao
risco.
É importante observarmos que aceitar o risco é uma forma de

responder ao risco. Ou seja, se eu “não fizer nada” em relação ao risco,
eu ainda assim estou respondendo a ele, desde que esse “não fazer nada”
seja consciente. Isso pode vir a ocorrer quando o custo de implementação
de uma medida qualquer para responder a determinado risco fique muito
alto, maior até do que os benefícios que a resposta traria para a
organização.
Além dos três componentes, uma nova categoria de objetivos foi

incluída na versão do COSO II: o estratégico.
De acordo com o COSO (2007), com base na missão ou visão

estabelecida por uma organização, a administração estabelece os planos
principais, seleciona as estratégias e determina o alinhamento dos
objetivos nos níveis da organização.
Essa estrutura de gerenciamento de riscos corporativos é orientada a fim

de alcançar os objetivos de uma organização e são classificados em
quatro categorias:
1 - Estratégicos – metas gerais, alinhadas com o que

suportem à sua missão.
2 - Operações – utilização eficaz e eficiente dos recursos.
3 - Comunicação – confiabilidade de relatórios.
4 - Conformidade – cumprimento de leis e regulamentos
aplicáveis.

03413677373 - Thais
Claudenir Brito
Aula 06
Categorias de objetivos, segundo o COSO II:

1 - Estratégicos – metas gerais, alinhadas com a missão.
2 - Operações – utilização eficaz e eficiente dos recursos.
3 - Comunicação – confiabilidade de relatórios.
4 - Conformidade – cumprimento de leis e regulamentos aplicáveis.
38. (CESPE/CGE-PB/2008) Considerando que o objetivo

principal de uma informação é influenciar decisões e que
informação é um tratamento especial que se dá a um dado ou a
um conjunto de dados à disposição do respectivo usuário,
assinale a opção correta.
a) A capacidade de a informação reduzir incertezas está associada com a
oportunidade de sua distribuição e, portanto, com uma relação
benefício/custo maior do que um.
b) Em razão da multiplicidade e diversidade de usuários das informações
de uma entidade, cada interessado deverá buscar a apreensão do
conteúdo e da forma da mensagem.
c) Os dados coletados de fontes internas são sempre mais confiáveis
que os obtidos de fontes externas.

03413677373 - Thais
Claudenir Brito
Aula 06
d) Os dados disponíveis não devem passar por processos de filtragem,

para permitir ao usuário da informação que faça as suas próprias
escolhas.
e) As informações geradas no âmbito da entidade devem ser
disponibilizadas indistintamente a todos os níveis e setores, de acordo
com o princípio de que é ao usuário que cabe a seleção das informações
que lhe possam interessar.
Comentários:
Relação benefício/custo maior do que um pressupõe que o
benefício seja maior do que o custo, o que é coerente com um dos
princípios do controle interno, fazendo com que a alternativa A esteja
correta, e seja o gabarito da questão.
Sobre a alternativa B, vale lembrar que a informação deve ser a
mais clara possível, justamente para evitar que cada um tome suas
conclusões sobre ela. Alternativa errada.
A alternativa C faz uma afirmação que não é verdadeira. Se
fôssemos definir qual das fontes é a mais confiável, sem maiores dados,
eu optaria pela externa. Mas como não sabemos de que tipo de
informação estamos falando, prefiro não fazer esse tipo de afirmação.
De qualquer forma, a informação interna não é mais confiável que a
externa.
As alternativas D e E se apresentam contra a filtragem de
informações e a favor de uma informação indistinta, a todos os usuários.
Agora imaginem os operários da linha de montagem recebendo
informações sem qualquer tipo de esclarecimento adicional, da mesma
forma que os gerentes e diretores. Não seria muito coerente pedir que
cada um fizesse sua própria análise, concordam?
Gabarito: A
39. (CESPE/CGE-PB/2008) A comunicação, por ser a troca de

informações entre os indivíduos, é uma atividade administrativa
que visa tornar comum uma mensagem ou informação. Com
relação à comunicação em uma entidade, é correto afirmar que:
A) o fluxo ascendente — dos subordinados aos dirigentes — é menos
confiável que o descendente — dos dirigentes aos subordinados.
B) o entendimento sobre a forma de realização das tarefas deve ser
necessariamente diferente entre chefias e servidores.
C) as informações que visam à compreensão das tarefas a realizar são
independentes e incompatíveis com o grau de motivação que se possa
transmitir aos responsáveis pela execução dessas tarefas.
D) as tarefas serão executadas com mais eficiência sempre que os
padrões de desempenho forem estabelecidos segundo um entendimento
comum entre chefias e subordinados.
E) os subordinados só devem receber informações dos superiores por
iniciativa própria, à medida que as julgarem necessárias.

03413677373 - Thais
Claudenir Brito
Aula 06
Comentários:
Mais uma questão prática, agora sobre o assunto comunicação. De
todas as alternativas, a única que faz sentido é a letra D, ao promover o
entendimento entre chefias e subordinados quanto às tarefas a serem
executadas. Ao participar do processo decisório, o subordinado se sente
parte da solução, vai se empenhar muito mais no cumprimento das
tarefas e terá menos dúvidas sobre o que fazer.
As demais alternativas estão incorretas, e para confirmar,
imaginem, na prática, as situações descritas, como, por exemplo, um
chefe imaginar a tarefa de uma forma e o servidor de outra; o
subordinado só ser informado quando solicitar a informação; ou o fluxo
ascendente ser necessariamente mais confiável que o descendente.
Gabarito: D
40. (CESPE/CGE-PB/2008) O gerenciamento de riscos

corporativos trata de riscos e oportunidades que afetam a
criação ou a preservação do valor, refletindo certos conceitos
fundamentais. Desse modo, o gerenciamento corporativo é
A) conduzido por um grupo especializado de profissionais que constitui
um setor autônomo da organização.
B) um modo de atuação que trata dos eventos cuja ocorrência afetou a
organização, mas cujos efeitos ainda não foram completamente
avaliados.
C) um processo destinado a compatibilizar os riscos de eventos em
potencial aos riscos admitidos pela organização, sem maiores prejuízos
ao cumprimento de seus objetivos.
D) orientado para a realização de objetivos distintos e independentes.
E) um processo que se desencadeia sempre que a organização se sinta
ameaçada pela ocorrência de eventos externos.
Comentários:
A letra A está incorreta, pois afirma que o gerenciamento de riscos
é conduzido por um grupo especializado, quando, na verdade, exige a
participação de todos os integrantes da entidade.
Como já vimos, os riscos são eventos futuros e incertos, o que faz
com que a alternativa B se torne errada, ao afirmar que se trata de
eventos cuja ocorrência “afetou” a organização.
A alternativa C está correta, sem ressalvas, e é o gabarito da
questão.
A alternativa D não considera a inter-relação entre os objetivos,
afirmando serem distintos e independentes, o que a torna incorreta.
A alternativa E delimita um momento para o desencadeamento do
gerenciamento de riscos, que, sabemos, se trata de atividade contínua,
ao longo do tempo.
Gabarito: C

03413677373 - Thais
Claudenir Brito
Aula 06
41. (CESPE/SEBRAE/2008) As respostas a riscos classificam-se

nas seguintes categorias: evitar, reduzir, compartilhar e aceitar.
Comentários:
Exatamente o que tratamos na aula, sem ressalvas.
Gabarito: C
2.4 Abrangência do Controle Interno segundo o COSO II
O controle interno é parte integrante do gerenciamento de riscos

corporativos. A estrutura do gerenciamento de riscos corporativos
abrange o controle interno, originando dessa forma uma conceituação e
uma ferramenta de gestão mais eficiente.
O controle interno é definido e descrito sob o título “Controle Interno –

Estrutura Integrada”. Em razão do fato da estrutura ter resistido ao
tempo e ser base das normas, dos regulamentos e das leis existentes, o
documento permanece vigente como fonte de definição e marco para as
estruturas de controles internos.
Enquanto que apenas algumas porções do texto de “Controle Interno –

Estrutura Integrada” foram reproduzidas na versão do COSO II, a sua
totalidade foi utilizada como referência.
A Relação entre Controle Interno no COSO I e no COSO II pode ser

definida da seguinte forma: o controle interno está situado no centro, e
faz parte integral do gerenciamento de riscos corporativos.
Esse gerenciamento é de caráter mais amplo do que o controle

interno, expandindo e acrescentando detalhes ao controle interno para
formar uma conceituação mais robusta e totalmente focada em risco.
O “Internal Control – Integrated Framework” permanece implementado

para empresas e outras organizações que procuram apenas o controle
interno isolado.
EXERCÍCIOS COMPLEMENTARES

03413677373 - Thais
Claudenir Brito
Aula 06
42. (CESGRANRIO/TRANSPETRO/2016) Uma entidade da

administração pública indireta avaliou as opções de prestação de
serviços de assistência médica a seus colaboradores. A opção
considerada inicialmente seria a de criar um departamento para
gerir as contribuições recebidas e o acesso aos profissionais e
estabelecimentos de saúde. Porém, a essa medida estão
associados alguns riscos de grande probabilidade e médio
impacto. Assim, a entidade considerou a opção de contratar um
plano de saúde para gerir o acesso dos seus colaboradores aos
profissionais e estabelecimentos de saúde. Essa opção
considerada constitui uma resposta aos riscos identificados
referente a
(A) aceitar os riscos
(B) compartilhar os riscos
(C) evitar os riscos
(D) gerenciar os riscos
(E) reduzir os riscos
Comentários:
Para cada risco identificado, será prevista uma resposta, que pode
ser de 4 tipos: evitar, aceitar, compartilhar ou reduzir.
De acordo com o COSO (2007), “Evitar” sugere que nenhuma opção
de resposta tenha sido identificada para reduzir o impacto e a
probabilidade a um nível aceitável. “Reduzir” ou “Compartilhar”
reduzem o risco residual a um nível compatível com as tolerâncias
desejadas ao risco, enquanto “Aceitar” indica que o risco inerente já
esteja dentro das tolerâncias ao risco.
Gabarito: B
43. (CESPE/SEBRAE/2008) Duas organizações podem gerenciar

seus riscos corporativos de forma idêntica, mesmo que possuam
culturas administrativas diferentes. Julgue CERTO ou ERRADO.
Comentários:
Afirmar que duas organizações distintas podem vir a gerenciar seus
riscos de forma idêntica seria desconsiderar o ambiente interno, que é a
base para o processo de gerenciamento de riscos.
Gabarito: E
44. (CESPE/SEBRAE/2008) As políticas e práticas de recursos

humanos, bem como a competência do pessoal, não constituem
elementos do ambiente de controle. Julgue CERTO ou ERRADO.
Comentários:
Questão simples, afirmação errada. Não há ressalvas para o
gabarito, pois os assuntos referentes a recursos humanos estão
diretamente vinculados ao componente ambiente de controle.
Gabarito: E

03413677373 - Thais
Claudenir Brito
Aula 06
45. (CESPE/UNIPAMPA/2009) O ambiente de controle, cuja

avaliação é necessária para determinar o risco da auditoria,
compreende, entre outros aspectos, os critérios para a escolha
dos responsáveis pelos setores que preparam as informações
contábeis e suas relações com a auditoria interna. Julgue CERTO
ou ERRADO.
Comentários:
Afirmação correta sobre o ambiente de controle, que se refere à
maneira como a organização se conduz em relação aos controles internos.
A relação da auditoria interna com o pessoal que elabora as informações
contábeis é extremamente relevante no componente em questão, visto
que a auditoria interna, apesar de fazer parte da organização, deve ser
independente em relação aos setores auditados.
Gabarito: C
46. (CESPE/SEBRAE/2008) Constitui atividade de

monitoramento a realização de seminários de treinamento, de
sessões de planejamento e de outras reuniões que forneçam à
administração retorno que lhe permita determinar se o
gerenciamento de riscos corporativos permanece eficaz. Julgue
CERTO ou ERRADO.
Comentários:
Treinamento e planejamento são atividades que devem ser
contínuas, e permitem a verificação da eficácia do gerenciamento de
riscos.
Gabarito: C
47. (CESPE/SEBRAE/2008) O monitoramento é a base para

corporativos, o que propicia disciplina e estrutura. Julgue CERTO
ou ERRADO.
Comentários:
Como vimos, a base para os demais componentes do
gerenciamento de riscos corporativos é o ambiente interno.
Gabarito: E
48. (CESPE/SEBRAE/2008) A segregação de funções é um tipo

do componente denominado atividades de controle e pode ser
observada quando se constata que o gerente que autoriza vendas
a crédito não é o responsável por manter o registro de contas a
pagar nem pela distribuição de recibos de pagamentos. Julgue
CERTO ou ERRADO.
Comentários:

03413677373 - Thais
Claudenir Brito
Aula 06
A segregação de funções é um dos princípios do controle interno, e

tem por finalidade evitar que atividades incompatíveis, do ponto de vista
do controle, sejam desempenhadas pela mesma pessoa, como
exemplificado na questão.
Gabarito: CERTO

corporativos é constituído de vários componentes inter-
relacionados, que se originam com base na maneira como a
administração gerencia a organização e que se integram ao
processo de gestão. Entre esses componentes, destaca-se
A) o ambiente externo, que determina a forma como os riscos e os
controles serão percebidos pelos empregados da organização.
B) a escolha dos objetivos, condicionada à identificação das situações de
risco, aos quais a missão da organização deve alinhar-se.
C) a avaliação de riscos, que devem ser identificados, administrados e
associados aos objetivos passíveis de ser influenciados e seus respectivos
impactos.
D) a resposta aos riscos, que a administração tratará de compartilhar com
os clientes e usuários, ou, sendo o caso, transferir para os empregados.
E) a comunicação, que deve fluir sempre de baixo para cima, mantendo
informados os dirigentes dos níveis hierárquicos superiores.
Comentários:
A alternativa A dispõe sobre a definição de ambiente interno.
A alternativa B afirma que a escolha dos objetivos está condicionada
à identificação dos riscos, o que é exatamente o contrário. Primeiro,
devemos definir os objetivos, depois identificar os eventos –
oportunidades e riscos.
A alternativa C está correta, e é o gabarito da questão.
A alternativa D fala de compartilhamento dos riscos com clientes e
usuários, ou transferência para os empregados, o que não faz sentido.
Basta imaginar uma empresa transferindo riscos aos clientes e
empregados, imputando tanto ao público externo quanto ao interno uma
responsabilidade que é da organização. Podemos garantir que não seria
uma empresa com perspectiva de perenidade.
A alternativa E afirma que a comunicação deve fluir sempre de
baixo para cima, o que já vimos que não é o certo. Na verdade, a
comunicação pressupõe um fluxo de informações em todos os sentidos.
Gabarito: C
50. (CESPE/CGE-PB/2008) Controles desenhados unicamente

para reduzir o risco de más decisões operacionais, especialmente
relacionados à eficiência e à eficácia, geralmente não são
considerados relevantes para uma auditoria de demonstração
contábil, o que não os torna menos relevantes para avaliar a

03413677373 - Thais
Claudenir Brito
Aula 06
continuidade das atividades ou a agregação de benefício para o

usuário, entre outros aspectos. Pode ser considerado um exemplo
de má decisão operacional a:
A) a compra de um produto por preço excessivamente baixo.
B) manutenção da oferta de serviços prestados diretamente a custos
inferiores aos de prestação terceirizada.
C) contratação de serviços de terceiros por valores inferiores aos dos
prestados diretamente pela própria entidade.
D) terceirização de serviços por impossibilidade de contratação de novos
empregados ou servidores.
E) incorrência de gastos não-produtivos com pesquisa e desenvolvimento.
Comentários:
Mais uma questão prática, resolvida com raciocínio, questionando o
candidato sobre o que seria uma má decisão operacional.
De todas as alternativas, somente a letra E traz uma afirmação com
essa característica.
As alternativas de A a D exemplificam boas decisões operacionais,
como comprar por preço baixo, reduzir custos, terceirização por
impossibilidade de prestação direta – falta de servidores.
Gabarito: E
51. (CESPE/CGE-PB/2008) Apesar das limitações de recursos, as

empresas menores enfrentam o desafio de manter um controle
interno, a custo razoável, de várias maneiras, entre as quais se
inclui
A) o exercício do controle de forma diluída e pelos diversos níveis da
organização.
B) a existência de estruturas menos complexas, por permitirem que os
dirigentes tenham amplo conhecimento das atividades e um vínculo mais
estreito com a organização.
C) a conjugação de funções, resultante de um menor número de
trabalhadores.
D) o desenvolvimento interno de sistemas de informação.
E) a desconsideração da abrangência das atividades de supervisão.
Comentários:
Outro caso de questão prática, dessa vez do CESPE, que é possível
de se resolver com raciocínio e muita atenção. O que não pode acontecer
na hora da prova é o famoso “ai, isso eu não sei”. Acalme-se e pense.
A grande dúvida é sobre qual das afirmações corresponde à
manutenção de um controle interno, a custo razoável, em uma empresa
pequena.
A alternativa A apresenta uma forma de controle que não seria
muito eficaz em uma empresa pequena – a diluição do controle. Em
organizações assim, a estrutura de controle, ainda que obrigatória,
poderá ser bastante reduzida, a fim de se economizar custos.

03413677373 - Thais
Claudenir Brito
Aula 06
A alternativa B apresenta com perfeição um exemplo de controle

eficiente e de baixo custo: a diminuição da estrutura, a fim de se manter
o controle do que “está acontecendo” na entidade.
Na alternativa C, a banca cita um oposto ao princípio do controle
interno da segregação de funções: a conjugação de funções, que não
deve ser utilizada sob o pretexto de redução de custos.
A alternativa D até que seria uma opção viável, se não fosse pelo
detalhe do custo, pois o desenvolvimento de um sistema de informações
costuma ser dispendioso.
Por fim, a alternativa E sugere desconsiderar a supervisão, o que
seria incoerente. Não há como se falar em controle sem supervisão.
Concordam?
Gabarito: B
52. (CESPE/TCU/2008) Segundo o COSO, as pequenas empresas

enfrentam desafios importantes para manter um controle interno
a custos razoáveis. Nesses casos, entretanto, não obstante a
limitação do número de empregados ou servidores, não há
comprometimento da segregação de funções, não havendo
necessidade de obtenção de recursos adicionais para assegurar a
adequada segregação de funções. Julgue CERTO ou ERRADO.
Comentários:
Questão na mesma linha da anterior, afirmando que o número
limitado de funcionários não compromete a segregação de funções, o que
é incorreto.
Gabarito: E
53. (CESPE/SEBRAE/2008) Os componentes do gerenciamento

de riscos corporativos somente são aplicados em organizações de
pequeno e de médio porte. Julgue CERTO ou ERRADO.
Comentários:
Os componentes do gerenciamento de riscos corporativos devem
ser observados em todas as organizações, independentemente de seu
tamanho. O que pode ocorrer é que, nas de menor porte, sejam mais
simples, menos estruturados.
Gabarito: E
54. (ESAF/CGU/2012) Da análise do conceito de risco, é correto

afirmar que:
a) eventos de impacto negativo podem originar-se a partir de condições
aparentemente positivas;
b) qualquer evento que cause impacto na organização deve ser
considerado um risco;
c) oportunidade é a possibilidade de que um evento ocorra e não
influencie a realização dos objetivos;

03413677373 - Thais
Claudenir Brito
Aula 06
d) um evento não pode causar um impacto positivo e negativo ao mesmo

tempo;
e) os efeitos dos riscos afetam apenas o futuro, não o presente.
Comentários:
Exemplificando a letra A, gabarito da questão, um aumento na
renda per capita do trabalhador (condição positiva) poderá gerar inflação
(evento negativo). Por esse motivo, a letra D está errada.
Conforme visto na parte teórica, um evento pode ser negativo
(riscos) ou positivo (oportunidades), o que faz com que a letra B esteja
incorreta.
A oportunidade é um evento considerado positivo e que, dessa
forma, impactará positivamente o objetivo da organização. Portanto, a
alternativa C está incorreta.
Por fim, os riscos afetam o presente da organização na medida em
que serão desencadeadas ações para dar respostas a esses riscos.
Gabarito: A
55. (ESAF/CGU/2012) De acordo com o COSO, o gerenciamento

de riscos corporativos é constituído de oito componentes inter-
relacionados. Um deles, realizado por meio de atividades
gerenciais contínuas, avaliações independentes ou uma
combinação desses dois procedimentos, cuida da integridade do
processo de gerenciamento de riscos corporativos, provendo suas
alterações, quando necessário. Trata-se da(o):
a) avaliação de riscos;
b) identificação de eventos;
c) atividade de controle;
d) monitoramento;
e) fixação de objetivos.
Comentários:
O monitoramento é realizado através de atividades gerenciais
contínuas e/ou de avaliações independentes.
O monitoramento contínuo ocorre no decurso normal das atividades
de administração. As deficiências no gerenciamento de riscos corporativos
são relatadas aos superiores, sendo as questões mais graves relatadas ao
Conselho de administração e à diretoria executiva.
Gabarito: D
56. (ESAF/CGU/2012) Acerca da aplicação da estrutura

conceitual de análise de risco, é correto afirmar que:
a) o gerenciamento de riscos corporativos é um processo em série, por
meio do qual um componente afeta apenas o próximo, e assim
sucessivamente;

03413677373 - Thais
Claudenir Brito
Aula 06
b) uma fórmula bem sucedida de gerenciamento de riscos pode ser

replicada de maneira homogênea entre diversas organizações, desde que
elas atuem em campos semelhantes;
c) o controle interno, dado seu caráter fiscalizador, não pode ser tido
como parte integrante do gerenciamento de riscos corporativos;
d) um eficaz gerenciamento de riscos corporativos dita não só os
objetivos que a administração deve escolher, mas também sua
estratégia;
a) o fato de um agente externo contribuir diretamente para que uma
organização alcance seus objetivos não o torna parte do
gerenciamento de riscos corporativos.
Comentários:
Os oito componentes do COSO I não devem ser vistos em série.
Não afetam apenas o próximo. Todos eles estão integrados, o que faz
com que a alternativa A esteja incorreta.
Cada organização, independente de atuar ou não no mesmo setor,
deve realizar seu gerenciamento de riscos levando em conta suas
peculiaridades, forças, fraquezas etc. Portanto, a letra B está errada.
Conforme vimos, o controle interno é, sim, parte integrante do
gerenciamento de riscos. Atividades de controle bem instituídas na
organização fará com que as respostas aos riscos avaliados sejam dadas
de maneira adequada, fazendo com que a alternativa C esteja incorreta.
Por fim, primeiro a organização deve fixar seus objetivos e, então
começar a gestão de riscos. A letra D inverteu as etapas.
Gabarito: E
57. (FGV/PETROBRÁS/2008) A metodologia estabelecida pelo

COSO (Committee of Sponsoring Organizations of the Treadway
Commission) foi concebida com a finalidade de auxiliar na gestão
empresarial, estabelecendo um padrão de melhores práticas de
controles internos. Os cinco componentes básicos definidos pelo
COSO (1a Edição) devem estar alinhados para atender os
objetivos ligados a
A) produtividade operacional, transparência e confiabilidade dos relatórios
gerenciais e melhoria no ambiente de controle.
B) eficiência no processo de gestão de riscos, capacitação operacional e
transparência da alta administração.
C) conformidade legal (compliance), eficiência na avaliação de riscos e
transparência na comunicação interna.
D) eficácia e eficiência das operações, confiabilidade nas demonstrações
E) confiabilidade no ambiente de controle interno, capacitação e
Comentários:

03413677373 - Thais
Claudenir Brito
Aula 06
Questão bastante simples para quem estudou a matéria,

principalmente para quem está fazendo o nosso curso, espero. O
conhecimento necessário para resolvê-la foi sobre quais as categorias de
objetivos constantes da primeira edição do COSO, que, conforme já
vimos, são os seguintes:
3 – conformidade com a legislação e regulamentos aplicáveis.
Gabarito: D
58. (CESGRANRIO/FUNASA/2008) Sobre as técnicas de controle

e de auditoria no setor público, em especial do setor público
federal, no Brasil, analise as afirmativas a seguir:
I – São pressupostos para caracterização das boas práticas de
governança no setor público: a transparência, a equidade, a
accountability e o compliance.
II – A Declaração de Lima sobre Preceitos de Auditoria fornece as
bases filosóficas e conceituais dos trabalhos desenvolvidos pela
Organização Internacional de Entidades Fiscalizadoras – INTOSAI,
da qual o TCU não faz parte como membro.
III – Entre as dimensões que devem ser abrangidas em um
sistema de controles internos, na ótica do COSO, incluem-se:
ambiente de controle, estabelecimento de metas, identificação de
problemas, avaliação de risco e monitoramento.
Está incorreto o que se afirma em:
A) II, apenas.
B) III – apenas.
C) I e III, apenas.
D) II e III, apenas.
E) I, II e III.
Comentários:
Pra finalizar, trouxemos esta questão que aborda assunto não
tratado na aula de hoje, para comentarmos apenas os itens I e III.
Conforme visto em diversas questões, a afirmação contida no item I
e III estão corretas A I por trazer os pressupostos apresentados estão
diretamente ligados às boas práticas de governança no setor público. A
III por relacionar corretamente os componentes do COSO I.
O item II está incorreto, pois o TCU é integrante da INTOSAI (tema
não abordado “em sala”).
Resposta: A
59. (CGM-RJ/CGM-RJ/2007) Com base na missão ou na visão

estabelecida por uma organização, a administração estabelece os
planos principais, seleciona as estratégias e determina o
alinhamento dos objetivos nos níveis da organização. A estrutura

03413677373 - Thais
Claudenir Brito
Aula 06
de gerenciamento de riscos corporativos, baseada no COSO, é

orientada a fim de alcançar os objetivos de uma organização, que
são classificados em quatro categorias:
A) funcionais, de operações, ambientais e de cumprimento das leis e
regulamentos;
B) estratégicos, de operações, de cumprimento das leis e regulamentos e
de unidades de negócio.
C) de cumprimento das leis e regulamentos, de monitoração, estratégicos
e de unidade de negócio.
D) estratégicos, de operações, de informações financeiras e de
cumprimento das leis e regulamentos.
Comentários:
Questão que exige o conhecimento das categorias de objetivos
referentes ao COSO II, que, conforme vimos, estão corretamente
relacionados na letra D.
Gabarito: D
60. (CETRO/ANVISA/2013) Sobre Análise de Risco, é correto

afirmar que
a) Avaliação de Risco e Gerenciamento de Risco são seus componentes.
b) junto com Gerenciamento de Risco é um componente da Avaliação de
Risco.
c) a Comunicação de Risco não é seu componente.
d) possui o mesmo significado de Avaliação de Risco.
e) o Gerenciamento de Risco não é seu componente.
Comentários:
Como vimos, o gerenciamento de riscos (gestão de riscos), a
avaliação de riscos e a comunicação de riscos são componentes da
análise de risco.
Enquanto o gerenciamento de riscos é um processo de gestão dos
resultados obtidos na avaliação de risco, a comunicação do risco é uma
troca de informações entre diversos usuários acerca dos riscos.
Gabarito: A
Pessoal, chegamos ao final de nossa Aula 6. Espero que tenham gostado,

e vejo vocês na próxima aula.
Abraços e bons estudos.
Claudenir

03413677373 - Thais
Claudenir Brito
Aula 06
QUESTÕES COMENTADAS DURANTE A AULA
1. (CESPE/MPU/2015) No que se refere a definição, objetivos e

componentes do controle interno, julgue o item a seguir. De
acordo com as diretrizes de controle interno definidas pelo COSO
(Committee of Sponsoring Organization), constituem
componentes inter-relacionados não somente o ambiente de
controle, a avaliação de riscos, informação e comunicação, mas
também o monitoramento.
2. (CESPE/FUB-DF/2013) Controles internos podem ser

corretamente conceituados como um processo desenvolvido pelas
organizações com o objetivo de garantir com total certeza que os
objetivos organizacionais sejam alcançados.
3. (CESPE/FUB-DF/2013) Se uma organização adotar ações

destinadas a melhorar sua produtividade e seus resultados
financeiros, segundo o COSO, a citada organização estará
buscando alcançar seus objetivos operacionais.
4. (CESPE/FUB-DF/2013) Por se tratar de assunto afeto à

segurança de operações e de sistemas, as ações de prevenção
contra fraudes não são consideradas nos controles internos das
organizações.
5. (CESPE/FUB-DF/2013) O descumprimento de leis ou normas

que regulamentam o negócio de uma organização caracteriza
situação conflitante com os objetivos de compliance ou
conformidade.
6. (CESPE/FUB-DF/2013) A implantação adequada e efetiva

por uma organização da estrutura de controles internos proposta
pelo COSO possibilita maior segurança na identificação e
tratamento de mudanças nos cenários de negócio.

avaliação de riscos na organização, julgue o item. Um efetivo
ambiente de controle é influenciado por fatores intangíveis, entre
os quais se destacam os valores éticos das pessoas nele inseridas.

03413677373 - Thais
Claudenir Brito
Aula 06

avaliação de riscos na organização, julgue o item. A alta
administração, que exerce a função de governança da entidade, é
responsável pela definição de um adequado ambiente de controle,
que independe da atuação da auditoria interna ou externa.

avaliação de riscos na organização, julgue o item. Embora o
ambiente de controle da organização seja formado por pessoas
cujas experiências e habilidades técnicas recebem influência do
próprio ambiente de trabalho, a cultura organizacional não pode
influenciar os padrões de controles internos definidos.

avaliação de riscos, julgue o item. Uma adequada avaliação de
riscos pressupõe estudo dos acontecimentos já vivenciados pela
organização para a correta definição de seus objetivos, uma vez
que a ocorrência de eventos futuros incertos não é administrável.

avaliação de riscos, julgue o item. Na atividade de controle, lidar
com o risco é tratar de algo intangível, porém passível de ser
quantificado.
12. (CESPE/BACEN/2013) Acerca das regras de controle interno

e gerenciamento de riscos estabelecidas pelo Committee of
Sponsoring Organizations of the Treadway Commission, julgue os
itens a seguir. Entre os elementos do processo de controle interno
inclui-se a atividade de controle, que pode ser voltada tanto para
a prevenção quanto para a detecção. A execução a tempo e de
maneira adequada da atividade de controle permite a redução ou
administração de riscos.
13. (CESPE/BACEN/2013) Entre os elementos do processo de

controle interno inclui se a atividade de controle, que pode ser
voltada tanto para a prevenção quanto para a detecção. A
execução a tempo e de maneira adequada da atividade de controle
permite a redução ou administração de riscos.

comunicação e a monitoramento nos sistemas de controle interno,
julgue o item subsecutivo. A atuação de gerentes e auditores
internos e externos, bem como a realização de seminários fazem

03413677373 - Thais
Claudenir Brito
Aula 06
parte das atividades de monitoramento contínuo das operações

objeto dos sistemas de controle interno.

comunicação e a monitoramento nos sistemas de controle interno,
julgue o item subsecutivo. Se os elementos do gerenciamento de
riscos corporativos não estiverem inteiramente documentados,
eles não poderão ser testados, nem executados de forma eficaz, o
que impossibilitará a avaliação dos riscos envolvidos.

monitoramento, informação e comunicação. Uma alternativa
bastante difundida, antigamente, pelos administradores das
organizações era o uso de papéis de trabalho como base física da
documentação das atividades de monitoramento; no entanto, com
a evolução da informatização, essa prática caiu em desuso.

monitoramento, informação e comunicação. Por meio do
monitoramento, em especial, no que se refere à autoavaliação, o
corpo gerencial de uma organização pode se certificar da origem,
presença e regularidade do funcionamento de determinado
componente de controle interno.
18. (CESGRANRIO/TRANSPETRO/2016) A Estrutura Integrada

de Controle Interno proposta pelo Committee of Sponsoring
Organizations of the Treadway Commission (COSO) apresenta três
categorias de objetivos, o que permite às organizações
concentrarem-se em diferentes aspectos do controle interno. Os
objetivos relacionados à eficácia e à eficiência das operações da
entidade, inclusive as metas de desempenho e a salvaguarda de
perdas de ativos, referem-se à categoria
(A) de avaliação
(B) de divulgação
(C) de conformidade
(D) estratégica
(E) operacional
19. (CESGRANRIO/TRANSPETRO/2016) Na implementação de

um sistema de controle interno, um dos primeiros elementos a ser
considerado deve ser a avaliação do ambiente de controle. A
forma pela qual a administração de uma entidade atribui alçadas e

03413677373 - Thais
Claudenir Brito
Aula 06
responsabilidades é uma das características do ambiente de

controle. Desse modo, a atribuição de alçada e responsabilidade
(A) deve ser deslocada para o nível de autoridade mais alto para trazer o
processo decisório ao pessoal da linha de frente.
(B) inclui até que ponto pessoas e equipes estão autorizadas e são
incentivadas a solucionar problemas, bem como os limites dessa
autoridade.
(C) não deve ser adotada quando a entidade visa a tornar-se mais
orientada ao mercado e concentrada na qualidade.
(D) necessita de enxugamento da estrutura organizacional para sua
adoção.
(E) requer menos monitoramento em decorrência das responsabilidades
individuais.
20. (CESGRANRIO/TRANSPETRO/2016) A Cia. Alfa atua no ramo

de varejo e lançou uma campanha de marketing com o objetivo de
incrementar as vendas no segmento de bombons e chocolates
finos, de alto padrão, que foram iniciadas no mês de janeiro.
Nesse novo segmento de vendas, a Cia. Alfa elaborou um
orçamento com metas de vendas para alcançar o lucro pretendido
com o segmento. As atividades de controle mais adequadas para
acompanhar o comportamento dos objetivos e metas orçados para
esse novo segmento de vendas da Cia. Alfa são:
(A) administração funcional direta e processamento da informação
(B) indicadores de desempenho e segregação de funções
(C) indicadores de desempenho e processamento da informação
(D) revisões da alta direção e administração funcional direta
(E) revisões da alta direção e processamento da informação
21. (FGV/IBGE-Auditoria/2016) Uma determinada entidade está

realizando reestruturação das suas atividades. Um dos pontos de
reestruturação foi a incorporação de novos serviços, que exigirá a
contratação de mais pessoas e a aquisição de novos materiais. Em
decorrência disso, a entidade identifica e avalia as mudanças que
poderiam afetar, de forma significativa, o sistema de controle
interno. Essa postura da entidade está relacionada ao seguinte
componente da estrutura de controle interno:
(A) ambiente de controle;
(B) avaliação de riscos;
(C) atividades de controle;
(D) atividades de monitoramento;
(E) informação e comunicação.
22. (CESPE/CGE-PI/2015) Julgue o próximo item, referente a

estrutura organizacional, objetivos e componentes que

03413677373 - Thais
Claudenir Brito
Aula 06
fundamentam o controle interno. Caso esteja estruturado

formalmente, o controle interno de uma instituição pode ser
representado sob a forma de um cubo. Nessa representação, as
categorias de objetivos relacionam-se indiretamente com os
componentes, em que pese estarem no mesmo plano;
diferentemente da estrutura organizacional, que está em outra
dimensão.
23. (CESPE/FUB/2015) Segundo a INTOSAI, as auditorias do

setor público contribuem para a boa governança e, por
conseguinte, para o aperfeiçoamento da administração pública.
Com relação a auditorias e governança no setor público, julgue o
item subsequente. O componente monitoramento, por propiciar
disciplina e estrutura, minimizando os riscos e assegurando que
os controles internos funcionem como o previsto, está posicionado
estrategicamente na base do cubo tridimensional proposto pelo
COSO ERM (COSO II), com o propósito de suportar todos os outros
componentes do sistema.
24. (CESPE/Câmara dos Deputados/2014) Com relação aos

sistemas de controle interno e externo e aos princípios, normas e
procedimentos de auditoria, julgue o item a seguir. De acordo com
a metodologia COSO em uma organização, o modo como o
conselho de administração e a alta administração atuam em
relação à cultura de controle e a atenção por eles dada a esse
aspecto integram o componente denominado ambiente de
controle.
25. (CESPE/TCDF/2012) Com relação aos controles internos,

segundo o COSO (Committee of Sponsoring Organization of the
Treadway Commission), julgue o item seguinte. Segundo o COSO,
accountability, operações ordenadas e éticas e salvaguarda de
recursos são os componentes do controle interno e representam o
que é necessário para se alcançar um bom sistema de controle
interno.
26. (FCC/TCE-RS/2014) O Modelo The Committee of Sponsoring

Organizations of the Treadway Commission − COSO é mecanismo
de auditoria que tem como foco os riscos corporativos. Dentre os
componentes do COSO 1 estão: a definição de uma filosofia de
tratamento dos riscos e a observação do sistema de controle
interno. Esses componentes são denominados, respectivamente;
a) monitoramento e ambiente de controle.
b) atividade de controle e monitoramento.
c) ambiente de controle e identificação de riscos.

03413677373 - Thais
Claudenir Brito
Aula 06
d) identificação de riscos e avaliação de riscos.

e) ambiente de controle e monitoramento.
27. (FCC/TRT-13ªRegião/2014) A referência mundial para

sistemas de controle interno é o Modelo The Committee of
Sponsoring Organizations of the Treadway Commission − COSO,
que traz especificações relacionadas a uma:
a) estrutura voltada para a gestão de riscos.
b) padronização de papéis de trabalho.
c) metodologia de circularização de informações de acesso restrito.
d) metodologia de processamento digital de dados.
e) padronização de técnicas de amostragem.
28. (FCC/TRT-13ªRegião/2014) O Modelo COSO é estruturado

sob a forma de componentes relacionados ao controle interno. É
componente que diferencia o Modelo COSO I do COSO II,
a) a informação e comunicação.
b) o procedimento de controle.
c) o ambiente de controle.
d) o monitoramento.
e) a definição dos objetivos.
29. (FGV/CGE-MA/2014) Exemplos de políticas e de

procedimentos que uma entidade pode implementar para auxiliar
na prevenção e detecção de não conformidade com leis e
regulamentos estão listados a seguir, à exceção de um. Assinale-
o.
a) Manutenção de controle das leis e regulamentos importantes que a
entidade tenha que cumprir no seu setor de atividade e registro de
ocorrências.
b) Instituição ou operação de sistemas apropriados de controle interno e
externo dos órgãos governamentais.
c) Desenvolvimento, divulgação e acompanhamento de código de
conduta.
d) Confirmação que os empregados sejam adequadamente treinados e
entendam o código de conduta.
e) Monitoramento da conformidade do código de conduta e agir
apropriadamente para disciplinar os empregados que deixem de cumpri-
lo.
30. (FGV/HEMOCENTRO-SP/2013) Um dos objetivos do controle

interno é auxiliar a administração na condução ordenada de suas
atividades operacionais, utilizando, como controle do tipo
administrativo,
a) uma auditoria interna.

03413677373 - Thais
Claudenir Brito
Aula 06
b) a análise das variações entre os valores orçados e os incorridos.

c) o controle físico sobre os ativos.
d) sistemas de conferência, aprovação e autorização contábil.
e) os inventários de bens tangíveis.
31. (FUNDATEC/CAGE-RS/2014) Ambiente de Controle,

estabelecimento de metas, identificação de problemas, avaliação
de risco, atividades de controle, informação, comunicação e
monitoramento são as oito dimensões do modelo internacional
que serve de parâmetro para a auditoria na avaliação da estrutura
de controles internos.
Assim, esse modelo denomina-se:
a) COSO – Committee of Sponsoring Organizations of the Treadway
Comission
b) COBIT – Control Objectives for Information and Related Technology
c) SOX – Sarbanes-Oxley
d) SEC – Security Exchange Comission
e) AICPA – American Institute of Certified Public Accountants
32. (FUNDATEC/CAGE-RS/2014) São exemplos de deficiências

significativas nos controles internos e que requerem comunicação
por parte da auditoria independente, conforme estabelece a NBC
TA 265 – Comunicação de deficiências no controle interno:
a) Avaliação de risco e evidência de que o processo é eficaz.
b) Distorção detectada pela auditoria, que foi prevenida ou detectada e
corrigida pelo controle interno.
c) Controles sobre riscos identificados.
d) Incapacidade da administração em elaborar demonstrações financeiras
de acordo com a estrutura que seja aplicável.
e) Implementação de medidas corretivas para deficiências comunicadas
anteriormente pela auditoria.
33. (Cesgranrio/BNDES/2011) Na gestão empresarial, cabe à

Administração da empresa estabelecer o sistema de controle
interno e o respectivo acompanhamento de sua correta adoção
por parte dos executores, como um todo, visando a adaptá-lo
rapidamente a novas circunstâncias gerenciais, se necessário.
Ao se dizer que os acessos aos ativos e aos registros contábeis
devem ser realizados por indivíduos distintos, está sendo
enunciado o princípio do controle interno do(a):
a) acesso aos ativos;
b) confronto dos ativos com os registros;
c) responsabilidade;
d) rotina interna;
e) segregação de funções.

03413677373 - Thais
Claudenir Brito
Aula 06
34. (Cesgranrio/Transpetro/2011) Os objetivos do controle

interno são: proteger os ativos, produzir dados contábeis
confiáveis e ajudar a equipe gestora na condução organizada dos
negócios da empresa. Para atingir esses objetivos, torna-se
necessária a realização de:
a) testes substantivos e de testes de observância;
b) controles contábeis e de controles administrativos;
c) controles físicos e de controles documentais;
d) padronização de procedimentos e de cumprimento de normas;
e) inspeção física e de análise de contas.
35. (Cesgranrio/Petrobrás/2008) A metodologia estabelecida

pelo COSO (Committee of Sponsoring Organizations of the
Treadway Commission) foi concebida com a finalidade de auxiliar
na gestão empresarial, estabelecendo um padrão de melhores
práticas de controles internos. Os cinco componentes básicos
definidos pelo COSO (1a Edição) devem estar alinhados para
atender os objetivos ligados a:
a) produtividade operacional, transparência e confiabilidade dos relatórios
gerenciais e melhoria no ambiente de controle;
b) eficiência no processo de gestão de riscos, capacitação operacional e
transparência da alta administração;
c) conformidade legal (compliance), eficiência na avaliação de riscos e
transparência na comunicação interna;
d) eficácia e eficiência das operações, confiabilidade nas demonstrações
e) confiabilidade no ambiente de controle interno, capacitação e
36. (Cesgranrio/Petrobrás/2011) Os controles internos podem

ser classificados como preventivos ou detectivos, dependendo do
objetivo e do momento em que são aplicados. Observe os
controles apresentados a seguir.
I – Segregação de funções
II – Limites e alçadas
III – Autorizações
IV – Conciliações
V – Revisões de desempenho
São exemplos de controles preventivos APENAS os apresentados
em:
a) I, II e III.
b) II, III e IV.
c) III, IV e V.
d) I, II, III e V.

03413677373 - Thais
Claudenir Brito
Aula 06
e) I, II, IV e V.
37. (CESPE/SEBRAE/2008) Caso uma companhia seguradora

que opera uma grande frota de automóveis mantenha uma base
de dados de reclamações de acidentes e, mediante análise,
constate que uma porcentagem desproporcional de acidentes está
associada a motoristas de determinada unidade, área geográfica e
faixa etária, nessa situação, a referida análise estará relacionada
ao componente informações e comunicações. Julgue CERTO ou
ERRADO.
38. (CESPE/CGE-PB/2008) Considerando que o objetivo

principal de uma informação é influenciar decisões e que
informação é um tratamento especial que se dá a um dado ou a
um conjunto de dados à disposição do respectivo usuário, assinale
a opção correta.
a) A capacidade de a informação reduzir incertezas está associada com a
oportunidade de sua distribuição e, portanto, com uma relação
benefício/custo maior do que um.
b) Em razão da multiplicidade e diversidade de usuários das informações
de uma entidade, cada interessado deverá buscar a apreensão do
conteúdo e da forma da mensagem.
c) Os dados coletados de fontes internas são sempre mais confiáveis que
os obtidos de fontes externas.
d) Os dados disponíveis não devem passar por processos de filtragem,
para permitir ao usuário da informação que faça as suas próprias
escolhas.
e) As informações geradas no âmbito da entidade devem ser
disponibilizadas indistintamente a todos os níveis e setores, de acordo
com o princípio de que é ao usuário que cabe a seleção das informações
que lhe possam interessar.
39. (CESPE/CGE-PB/2008) A comunicação, por ser a troca de

informações entre os indivíduos, é uma atividade administrativa
que visa tornar comum uma mensagem ou informação. Com
relação à comunicação em uma entidade, é correto afirmar que:
A) o fluxo ascendente — dos subordinados aos dirigentes — é menos
confiável que o descendente — dos dirigentes aos subordinados.
B) o entendimento sobre a forma de realização das tarefas deve ser
necessariamente diferente entre chefias e servidores.
C) as informações que visam à compreensão das tarefas a realizar são
independentes e incompatíveis com o grau de motivação que se possa
transmitir aos responsáveis pela execução dessas tarefas.

03413677373 - Thais
Claudenir Brito
Aula 06
D) as tarefas serão executadas com mais eficiência sempre que os

padrões de desempenho forem estabelecidos segundo um entendimento
comum entre chefias e subordinados.
E) os subordinados só devem receber informações dos superiores por
iniciativa própria, à medida que as julgarem necessárias.

corporativos trata de riscos e oportunidades que afetam a criação
ou a preservação do valor, refletindo certos conceitos
fundamentais. Desse modo, o gerenciamento corporativo é
A) conduzido por um grupo especializado de profissionais que constitui
um setor autônomo da organização.
B) um modo de atuação que trata dos eventos cuja ocorrência afetou a
organização, mas cujos efeitos ainda não foram completamente
avaliados.
C) um processo destinado a compatibilizar os riscos de eventos em
potencial aos riscos admitidos pela organização, sem maiores prejuízos ao
cumprimento de seus objetivos.
D) orientado para a realização de objetivos distintos e independentes.
E) um processo que se desencadeia sempre que a organização se sinta
ameaçada pela ocorrência de eventos externos.
41. (CESPE/SEBRAE/2008) As respostas a riscos classificam-se

nas seguintes categorias: evitar, reduzir, compartilhar e aceitar.
42. (CESGRANRIO/TRANSPETRO/2016) Uma entidade da

administração pública indireta avaliou as opções de prestação de
serviços de assistência médica a seus colaboradores. A opção
considerada inicialmente seria a de criar um departamento para
gerir as contribuições recebidas e o acesso aos profissionais e
estabelecimentos de saúde. Porém, a essa medida estão
associados alguns riscos de grande probabilidade e médio
impacto. Assim, a entidade considerou a opção de contratar um
plano de saúde para gerir o acesso dos seus colaboradores aos
profissionais e estabelecimentos de saúde. Essa opção
considerada constitui uma resposta aos riscos identificados
referente a
(A) aceitar os riscos
(B) compartilhar os riscos
(C) evitar os riscos
(D) gerenciar os riscos
(E) reduzir os riscos

03413677373 - Thais
Claudenir Brito
Aula 06
43. (CESPE/SEBRAE/2008) Duas organizações podem gerenciar

seus riscos corporativos de forma idêntica, mesmo que possuam
culturas administrativas diferentes. Julgue CERTO ou ERRADO.
44. (CESPE/SEBRAE/2008) As políticas e práticas de recursos

humanos, bem como a competência do pessoal, não constituem
elementos do ambiente de controle. Julgue CERTO ou ERRADO.
45. (CESPE/UNIPAMPA/2009) O ambiente de controle, cuja

avaliação é necessária para determinar o risco da auditoria,
compreende, entre outros aspectos, os critérios para a escolha
dos responsáveis pelos setores que preparam as informações
contábeis e suas relações com a auditoria interna. Julgue CERTO
ou ERRADO.
46. (CESPE/SEBRAE/2008) Constitui atividade de

monitoramento a realização de seminários de treinamento, de
sessões de planejamento e de outras reuniões que forneçam à
administração retorno que lhe permita determinar se o
gerenciamento de riscos corporativos permanece eficaz. Julgue
CERTO ou ERRADO.
47. (CESPE/SEBRAE/2008) O monitoramento é a base para

corporativos, o que propicia disciplina e estrutura. Julgue CERTO
ou ERRADO.
48. (CESPE/SEBRAE/2008) A segregação de funções é um tipo

do componente denominado atividades de controle e pode ser
observada quando se constata que o gerente que autoriza vendas
a crédito não é o responsável por manter o registro de contas a
pagar nem pela distribuição de recibos de pagamentos. Julgue
CERTO ou ERRADO.

corporativos é constituído de vários componentes inter-
relacionados, que se originam com base na maneira como a
administração gerencia a organização e que se integram ao
processo de gestão. Entre esses componentes, destaca-se
A) o ambiente externo, que determina a forma como os riscos e os
controles serão percebidos pelos empregados da organização.
B) a escolha dos objetivos, condicionada à identificação das situações de
risco, aos quais a missão da organização deve alinhar-se.

03413677373 - Thais
Claudenir Brito
Aula 06
C) a avaliação de riscos, que devem ser identificados, administrados e

associados aos objetivos passíveis de ser influenciados e seus respectivos
impactos.
D) a resposta aos riscos, que a administração tratará de compartilhar com
os clientes e usuários, ou, sendo o caso, transferir para os empregados.
E) a comunicação, que deve fluir sempre de baixo para cima, mantendo
informados os dirigentes dos níveis hierárquicos superiores.
50. (CESPE/CGE-PB/2008) Controles desenhados unicamente

para reduzir o risco de más decisões operacionais, especialmente
relacionados à eficiência e à eficácia, geralmente não são
considerados relevantes para uma auditoria de demonstração
contábil, o que não os torna menos relevantes para avaliar a
continuidade das atividades ou a agregação de benefício para o
usuário, entre outros aspectos. Pode ser considerado um exemplo
de má decisão operacional a:
A) a compra de um produto por preço excessivamente baixo.
B) manutenção da oferta de serviços prestados diretamente a custos
inferiores aos de prestação terceirizada.
C) contratação de serviços de terceiros por valores inferiores aos dos
prestados diretamente pela própria entidade.
D) terceirização de serviços por impossibilidade de contratação de novos
empregados ou servidores.
E) incorrência de gastos não-produtivos com pesquisa e desenvolvimento.
51. (CESPE/CGE-PB/2008) Apesar das limitações de recursos, as

empresas menores enfrentam o desafio de manter um controle
interno, a custo razoável, de várias maneiras, entre as quais se
inclui
A) o exercício do controle de forma diluída e pelos diversos níveis da
organização.
B) a existência de estruturas menos complexas, por permitirem que os
dirigentes tenham amplo conhecimento das atividades e um vínculo mais
estreito com a organização.
C) a conjugação de funções, resultante de um menor número de
trabalhadores.
D) o desenvolvimento interno de sistemas de informação.
E) a desconsideração da abrangência das atividades de supervisão.
52. (CESPE/TCU/2008) Segundo o COSO, as pequenas empresas

enfrentam desafios importantes para manter um controle interno
a custos razoáveis. Nesses casos, entretanto, não obstante a
limitação do número de empregados ou servidores, não há
comprometimento da segregação de funções, não havendo

03413677373 - Thais
Claudenir Brito
Aula 06
necessidade de obtenção de recursos adicionais para assegurar a

adequada segregação de funções. Julgue CERTO ou ERRADO.
53. (CESPE/SEBRAE/2008) Os componentes do gerenciamento

de riscos corporativos somente são aplicados em organizações de
pequeno e de médio porte. Julgue CERTO ou ERRADO.
54. (ESAF/CGU/2012) Da análise do conceito de risco, é correto

afirmar que:
a) eventos de impacto negativo podem originar-se a partir de condições
aparentemente positivas;
b) qualquer evento que cause impacto na organização deve ser
considerado um risco;
c) oportunidade é a possibilidade de que um evento ocorra e não
influencie a realização dos objetivos;
d) um evento não pode causar um impacto positivo e negativo ao mesmo
tempo;
e) os efeitos dos riscos afetam apenas o futuro, não o presente.
55. (ESAF/CGU/2012) De acordo com o COSO, o gerenciamento

de riscos corporativos é constituído de oito componentes inter-
relacionados. Um deles, realizado por meio de atividades
gerenciais contínuas, avaliações independentes ou uma
combinação desses dois procedimentos, cuida da integridade do
processo de gerenciamento de riscos corporativos, provendo suas
alterações, quando necessário. Trata-se da(o):
a) avaliação de riscos;
b) identificação de eventos;
c) atividade de controle;
d) monitoramento;
e) fixação de objetivos.
56. (ESAF/CGU/2012) Acerca da aplicação da estrutura

conceitual de análise de risco, é correto afirmar que:
a) o gerenciamento de riscos corporativos é um processo em série, por
meio do qual um componente afeta apenas o próximo, e assim
sucessivamente;
b) uma fórmula bem sucedida de gerenciamento de riscos pode ser
replicada de maneira homogênea entre diversas organizações, desde que
elas atuem em campos semelhantes;
c) o controle interno, dado seu caráter fiscalizador, não pode ser tido
como parte integrante do gerenciamento de riscos corporativos;
d) um eficaz gerenciamento de riscos corporativos dita não só os
objetivos que a administração deve escolher, mas também sua
estratégia;

03413677373 - Thais
Claudenir Brito
Aula 06
e) o fato de um agente externo contribuir diretamente para que uma

organização alcance seus objetivos não o torna parte do gerenciamento
de riscos corporativos.
57. (FGV/PETROBRÁS/2008) A metodologia estabelecida pelo

COSO (Committee of Sponsoring Organizations of the Treadway
Commission) foi concebida com a finalidade de auxiliar na gestão
empresarial, estabelecendo um padrão de melhores práticas de
controles internos. Os cinco componentes básicos definidos pelo
COSO (1a Edição) devem estar alinhados para atender os
objetivos ligados a
A) produtividade operacional, transparência e confiabilidade dos relatórios
gerenciais e melhoria no ambiente de controle.
B) eficiência no processo de gestão de riscos, capacitação operacional e
transparência da alta administração.
C) conformidade legal (compliance), eficiência na avaliação de riscos e
transparência na comunicação interna.
D) eficácia e eficiência das operações, confiabilidade nas demonstrações
E) confiabilidade no ambiente de controle interno, capacitação e
58. (CESGRANRIO/FUNASA/2008) Sobre as técnicas de controle

e de auditoria no setor público, em especial do setor público
federal, no Brasil, analise as afirmativas a seguir:
I – São pressupostos para caracterização das boas práticas de
governança no setor público: a transparência, a equidade, a
accountability e o compliance.
II – A Declaração de Lima sobre Preceitos de Auditoria fornece as
bases filosóficas e conceituais dos trabalhos desenvolvidos pela
Organização Internacional de Entidades Fiscalizadoras – INTOSAI,
da qual o TCU não faz parte como membro.
III – Entre as dimensões que devem ser abrangidas em um
sistema de controles internos, na ótica do COSO, incluem-se:
ambiente de controle, estabelecimento de metas, identificação de
problemas, avaliação de risco e monitoramento.
Está incorreto o que se afirma em:
A) II, apenas.
B) III – apenas.
C) I e III, apenas.
D) II e III, apenas.
E) I, II e III.
59. (CGM-RJ/CGM-RJ/2007) Com base na missão ou na visão

estabelecida por uma organização, a administração estabelece os

03413677373 - Thais
Claudenir Brito
Aula 06
planos principais, seleciona as estratégias e determina o

alinhamento dos objetivos nos níveis da organização. A estrutura
de gerenciamento de riscos corporativos, baseada no COSO, é
orientada a fim de alcançar os objetivos de uma organização, que
são classificados em quatro categorias:
A) funcionais, de operações, ambientais e de cumprimento das leis e
regulamentos;
B) estratégicos, de operações, de cumprimento das leis e regulamentos e
de unidades de negócio.
C) de cumprimento das leis e regulamentos, de monitoração, estratégicos
e de unidade de negócio.
D) estratégicos, de operações, de informações financeiras e de
cumprimento das leis e regulamentos.
60. (CETRO/ANVISA/2013) Sobre Análise de Risco, é correto

afirmar que
a) Avaliação de Risco e Gerenciamento de Risco são seus componentes.
b) junto com Gerenciamento de Risco é um componente da Avaliação de
Risco.
c) a Comunicação de Risco não é seu componente.
d) possui o mesmo significado de Avaliação de Risco.
e) o Gerenciamento de Risco não é seu componente.

03413677373 - Thais
Claudenir Brito
Aula 06
RESUMO DO PROF. CLAUDENIR

1 - COSO I:
“Controle Interno é o processo conduzido pela Diretoria, Conselhos ou outros

empregados de uma companhia, no intuito de fornecer uma garantia razoável
de que os objetivos da entidade estão sendo alcançados, com relação às
seguintes categorias:
3 – conformidade com a legislação e regulamentos aplicáveis.”
2-
3-
1ª dimensão: categorias de objetivos

(operações, relatórios financeiros e
conformidade).
2ª categoria: níveis de avaliação.
3ª categoria: componentes de
controle (ambiente de controle,
avaliação de risco, atividades de
controle, informação e comunicação,
além de monitoramento).
4 - Para cada risco identificado, será prevista uma resposta, que pode ser de 4 tipos:
evitar, aceitar, compartilhar ou reduzir.

03413677373 - Thais
Claudenir Brito
Aula 06

03413677373 - Thais
Claudenir Brito
Aula 06
Gabarito:
1–C 13 – C 25 – E 37 – E 49 – C
2–E 14 – C 26 – E 38 – A 50 – E
3–C 15 – E 27 – A 39 – D 51 – B
4–E 16 – E 28 – E 40 – C 52 – E
5–C 17 – E 29 – B 41 – C 53 – E
6–C 18 – E 30 – B 42 – B 54 – A
7–C 19 – B 31 – A 43 – E 55 – D
8–E 20 – D 32 – D 44 – E 56 – E
9–E 21 – B 33 – E 45 – C 57 – D
10 – E 22 – E 34 – B 46 – C 58 – A
11 – C 23 – E 35 – D 47 – E 59 – D
12 – C 24 – C 36 – A 48 – C 60 – A
Referências utilizadas na elaboração das aulas
ALMEIDA, Marcelo Cavalcanti. Auditoria: um curso moderno e completo.

7. ed. São Paulo: Atlas, 2010.
ATTIE, William. Auditoria Interna. 2. ed. São Paulo: Atlas, 2009.
BRITO, Claudenir e FONTENELLE, Rodrigo. Auditoria privada e

governamental: teoria de forma objetiva e mais de 500 questões
comentadas. 3. ed. Niterói: Impetus, 2016.
CONTROLADORIA-GERAL DA UNIÃO. Instrução Normativa 01, de 06 de

abril de 2001. Brasília, 2001.
CONSELHO FEDERAL DE CONTABILIDADE. NBC TA 200.
________. NBC TI 01.
CREPALDI, Sílvio Aparecido. Auditoria contábil: teoria e prática. 6. ed.

São Paulo: Atlas, 2010.
MACHADO, Marcus Vinícius Veras e PETER, Maria da Glória Arrais. Manual

de auditoria governamental. 1. ed. São Paulo: Atlas, 2008.
Ś, Antônio Lopes de. Curso de Auditoria. São Paulo: Atlas, 2000.

03413677373 - Thais

Curso 75948 Aula 06 v1

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Curso 75948 Aula 06 v1

Enviado por

Direitos autorais:

Formatos disponíveis

Livro Eletrônico

Técnicas de Controle p/ CGE-CE (Auditor - Governamental) Com

AULA 06: Controles internos e avaliação de

Observação importante: este curso é protegido por direitos autorais

Grupos de rateio e pirataria são clandestinos, violam a lei e prejudicam

Na aula de hoje vamos estudar os conceitos de Controles Internos e

No decorrer da aula, vocês vão perceber que não se tratam de assuntos

Resolvam os exercícios e marquem aqueles que possam ter trazido

A aula está totalmente atualizada, inclusive com as mudanças mais

Prof. Claudenir Brito www.estrategiaconcursos.com.br 1 de 72

Dúvidas que forem surgindo, só perguntar no fórum do curso. Quem

Siga-nos nas redes sociais, pois publicamos diariamente temas

Prof Claudenir Brito profclaudenirbrito

Além disso, se quiser fazer parte da nossa lista exclusiva de e-mails,

Receba dicas de estudo e conteúdo gratuito de Auditoria

Uma boa aula para todos nós.

1. Controles internos segundo o COSO

COSO significa Committee of Sponsoring Organizations da National

Criado em 1985, é uma entidade do setor privado – ou seja, foi uma

Prof. Claudenir Brito www.estrategiaconcursos.com.br 2 de 72

principalmente para estudar as causas da ocorrência de fraudes em

As organizações que patrocinam o Comitê são:

– Instituto Americano de Contadores Públicos Certificados;

As recomendações do COSO são referência para os controles internos. De

“Controle Interno é o processo conduzido pela Diretoria,

Em 1992, o COSO publicou um trabalho denominado “Controle Interno:

1. (CESPE/MPU/2015) No que se refere a definição, objetivos

Prof. Claudenir Brito www.estrategiaconcursos.com.br 3 de 72

acordo com as diretrizes de controle interno definidas pelo COSO

2. (CESPE/FUB-DF/2013) Controles internos podem ser

3. (CESPE/FUB-DF/2013) Se uma organização adotar ações

4. (CESPE/FUB-DF/2013) Por se tratar de assunto afeto à

Prof. Claudenir Brito www.estrategiaconcursos.com.br 4 de 72

5. (CESPE/FUB-DF/2013) O descumprimento de leis ou

6. (CESPE/FUB-DF/2013) A implantação adequada e efetiva

Vamos entender cada um desses componentes na visão da própria

1.1 Ambiente de Controle

O ambiente interno abrange a cultura de uma organização, a influência

O ambiente de controle é um conjunto de normas, processos e estruturas

O ambiente de controle abrange a integridade e os valores éticos da

Prof. Claudenir Brito www.estrategiaconcursos.com.br 5 de 72

cumprir com suas responsabilidades de supervisionar a governança; a

Ou seja, o ambiente de controle deve demonstrar o grau e

– integridade e valores éticos;

1.1.1 Integridade e Ética

A integridade da administração é um pré-requisito para o comportamento

Integridade e valores éticos são elementos essenciais ao ambiente interno

O comportamento ético e a integridade administrativa são subprodutos da

A cultura corporativa determina aquilo que efetivamente ocorre e quais

Uma das causas para práticas duvidosas é a ignorância. Os valores éticos

Prof. Claudenir Brito www.estrategiaconcursos.com.br 6 de 72

não devem ser apenas comunicados, mas acompanhados de orientação

Os códigos formais de conduta corporativa também são importantes para

1.1.2 Governança corporativa

Das definições de Governança Corporativa que se encontram na

“Governança Corporativa é o sistema pelo qual as sociedades

Segundo Slomski et al (2008), “a governança corporativa é um sistema

Como podemos ver, a governança não é representada por um grupo

O IBGC ressalta que as boas práticas

1.1.3 Estrutura Organizacional

A estrutura organizacional de uma entidade provê o arcabouço para

Prof. Claudenir Brito www.estrategiaconcursos.com.br 7 de 72

planejar, executar, controlar e monitorar as suas atividades. Uma