Escolar Documentos
Profissional Documentos
Cultura Documentos
Atualizações no Documento
2
Especificação Resumo ISO 31000:2018 janeiro 2019
Sumário
Atualizações no Documento ........................................................................................................................................................ 2
Resumo da ISO 31000:2018 .......................................................................................................................................................... 4
1. Introdução ..........................................................................................................................................................................4
3
Especificação Resumo ISO 31000:2018 janeiro 2019
Nesta evolução, salientamos também a importância da Norma Neozelandesa e Australiana AS/NZS 4630:2004
que serviu como base para a primeira versão da ISO 31000 de 2009 que unificou os conceitos e padrões do
processo de gestão de riscos, influenciando as outras normas que se seguiram.
Outro organismo de grande importância também alinhado com a ISO 31000:2018 é a OCEG – Open Compliance
and Ethic Group2, responsável por cunhar o termo GRC – Governance, Risk and Compliance com o conceito de
abordagem integrada na organização para os processos de GRC, evitando-se o que se chamam de “silos” ou
áreas e processos isolados.
2 OCEG – Open Compliance and Ethic Group. Link: https://www.oceg.org/ Acesso em: Novembro de 2018
4
Especificação Resumo ISO 31000:2018 janeiro 2019
Em uma análise geral, os modelos de referência de gestão de riscos estão sempre alinhados à ISO 31000:2018
pelo fato da mesma ser um documento genérico de alto nível que fornece diretrizes para gerenciar riscos de
todos os tipos em todas as diversas organizações, podendo a sua aplicação ser personalizada para qualquer
tipo e tamanho de organização, não sendo específica para uma indústria ou setor, e que pode ser usada e
aplicada em qualquer atividade em todos os níveis.
Em resumo, a “gestão de riscos” é uma disciplina que deve ser incorporada aos diversos processos e
atividades da organização, apoiando os tomadores de decisão a alcançar seus objetivos, protegendo e criando
valor para as organizações.
Mas o que seria o “efeito no objetivo”? Pela norma, a Consequência é definida como “o resultado de um
Evento que afeta os objetivos”. Uma consequência pode ser certa ou incerta e pode ter efeitos positivos ou
5
Especificação Resumo ISO 31000:2018 janeiro 2019
negativos, diretos ou indiretos, nos objetivos. Na mesma figura, pode-se visualizar a linha cheia vermelha
representando este efeito nos objetivos.
O Evento pela norma é definido como uma “ocorrência ou mudança em um conjunto específico de
circunstâncias”, sendo que um evento pode consistir em uma ou mais ocorrências e pode ter várias causas e
várias Consequências em diversos objetivos. Um evento pode também ser algo que é esperado, mas não
acontece, ou algo que não é esperado, mas acontece.
A Incerteza está presente quando não sabemos se um Evento ocorrerá e se vai gerar consequências. O
principal ponto da gestão de riscos é apoiar a tomada de decisão sobre o que deve ser feito para modificar o
risco, ou reduzir a incerteza que afete os meus objetivos.
Para isso, é necessário compreender e fazer a identificação, análise e avaliação de algum Evento incerto
ocorrer e gerar efeito nos objetivos. A forma de fazer isso é através de métricas e critérios que apoiem a
análise e avaliação. A palavra Probabilidade traduz a métrica utilizada para referir-se à chance de algo
acontecer, não importando se definida, medida ou determinada, ainda que objetiva ou subjetivamente,
qualitativa ou quantitativamente.
A palavra Impacto traduz a métrica que é utilizada para referir-se ao nível de consequência aos objetivos. Ao
se multiplicar ambas obtém-se uma métrica, possui um valor denominado de nível de Risco. Esta métrica
traduz um nível de risco que será usado na
avaliação de risco para definir a estratégia
de tratamento e, consequentemente o
plano de Tratamento (caso o Risco não seja
tolerado). Veremos estes processos mais
adiante, ao evoluirmos as orientações da
norma.
A gestão de riscos baseia-se nos
componentes: Princípios, Estrutura e
Processos, como ilustrado no seu
relacionamento na Figura a seguir.
Estes componentes podem já existir na
organização, mas podem necessitar ser
adaptados ou melhorados, de forma que a
gestão de riscos seja eficiente, eficaz e
consistente.
2.2 Princípios
A finalidade principal da gestão de riscos é a criação e proteção de
valor na organização. Ela melhora o desempenho, encoraja a
inovação e apoia o alcance de objetivos.
Os Princípios descritos na norma e abaixo relacionados fornecem
orientações sobre as características da gestão de riscos eficaz e
eficiente, comunicando seu valor e explicando sua intenção e
objetivo.
Pela norma, os Princípios são a base para gerenciar riscos e devem
ser considerados quando se estabelecerem a Estrutura e os
Processo de gestão de riscos da organização. Estes princípios
devem permitir que uma organização gerencie “os efeitos da
incerteza nos seus objetivos”.
6
Especificação Resumo ISO 31000:2018 janeiro 2019
2.3 Estrutura
A finalidade da Estrutura da gestão de riscos é apoiar a
organização na integração da gestão de riscos em suas
atividades e funções. A eficácia da gestão de riscos dependerá
da sua integração na governança e em todas as atividades da
organização, incluindo a tomada de decisão. Isto requer apoio
das partes interessadas, em particular da Alta Direção.
O desenvolvimento da estrutura envolve integração,
concepção, implementação, avaliação e melhoria da gestão de
riscos através da organização. A figura anterior da estrutura
ilustra os componentes de uma estrutura. As observações extraídas da norma a seguir devem ser seguidas
pela Alta Direção.
Liderança e Comprometimento
A Alta Direção e os órgãos de supervisão, devem assegurar que a gestão de riscos esteja integrada em todas
as atividades da organização, e deve demonstrar a liderança e comprometimento por:
7
Especificação Resumo ISO 31000:2018 janeiro 2019
Estabelecer a quantidade e o tipo de risco que pode ou não ser assumido para orientar o
desenvolvimento de critérios, assegurando que sejam comunicados à organização e às suas partes
interessadas;
Comunicar o valor da gestão de riscos para a organização e suas partes interessadas;
Promover o monitoramento sistemático de riscos;
Assegurar que a estrutura de gestão de riscos permaneça apropriada ao contexto da organização.
A Alta Direção possui a responsabilidade3 de gerenciar riscos, enquanto os órgãos de supervisão são
responsáveis por supervisionar a gestão de riscos. Com frequência, é requerido ou esperado que os órgãos de
supervisão:
Assegurem que os riscos sejam adequadamente considerados no estabelecimento dos objetivos da
organização;
Compreendam os riscos aos quais a organização está exposta na busca de seus objetivos;
Assegurem que sistemas para gerenciar estes riscos estejam implementados e operem eficazmente;
Assegurem que estes riscos sejam apropriados no contexto dos objetivos da organização;
Assegurem que a informação sobre estes riscos e sua gestão seja apropriadamente comunicada.
Integração
A integração da gestão de riscos deve apoiar-se em uma compreensão das estruturas e do contexto
organizacional. Estruturas diferem, dependendo do propósito, metas e complexidade da organização. O risco
é gerenciado em todas as partes da estrutura da organização. Todos na organização têm responsabilidade por
gerenciar riscos.
A governança orienta o rumo da organização, suas relações externas e internas, e as regras, processos e
práticas necessárias para alcançar o seu propósito. As estruturas de gestão traduzem a direção da governança
para a estratégia e os objetivos associados requeridos para alcançar níveis desejados de desempenho
sustentável e viabilidade a longo prazo.
A determinação da responsabilização pela gestão de riscos e dos papéis de supervisão no âmbito de uma
organização é parte integrante da governança da organização.
A integração da gestão de riscos em uma organização é um processo dinâmico e iterativo, e recomenda-se
que seja personalizado para as necessidades e cultura da organização. Orienta-se que a gestão de riscos seja
uma parte, e não separada, do propósito organizacional, governança, liderança e comprometimento,
estratégia, objetivos e operações.
Concepção
Recomenda a Norma que para conceber a estrutura para gerenciar riscos, a organização deve examinar e
entender seus contextos externo e interno.
Ao examinar o contexto externo da organização deve incluir: (i) fatores sociais, culturais, políticos, jurídicos,
regulatórios, financeiros, tecnológicos, econômicos e ambientais, em âmbito internacional, nacional, regional
ou local; (ii) direcionadores-chave e tendências que afetem os objetivos da organização; (iii) relacionamentos,
percepções, valores, necessidades e expectativas das partes interessadas externas; (iv) relações e
compromissos contratuais; (v) complexidade das redes de relacionamento e dependências.
Ao examinar o contexto interno da organização deve incluir: (i) visão, missão e valores; (ii) governança,
estrutura organizacional, papéis e responsabilizações; (iii) estratégia, objetivos e políticas; (iv) cultura da
3
Pela Norma ISO 31000:2018, o termo “accountability” foi traduzido como “responsabilização” com o sentido de “responsabilidade por atribuições e atos”, ou seja, por prestar
contas. Assim, o termo “accountable” é entendido como ”responsabilizado”
8
Especificação Resumo ISO 31000:2018 janeiro 2019
organização; (v) normas, diretrizes e modelos adotados pela organização; (vi) capacidades entendidas em
termos de recursos e conhecimento (por exemplo, capital, tempo, pessoas, propriedade intelectual,
processos, sistemas e tecnologias); (vii) dados, sistemas de informação e fluxos de informação; (viii)
relacionamentos com partes interessadas internas, levando em consideração suas percepções e valores; (ix)
relações contratuais e compromissos; (x) interdependências e interconexões.
Comprometimento
Para garantir comprometimento, a Alta Direção e os órgãos de supervisão, onde aplicável, devem demonstrar
e articular o seu comprometimento contínuo com a gestão de riscos por meio de uma política, uma
declaração ou outras formas que claramente transmitam os objetivos e o comprometimento com a gestão de
riscos de uma organização.
É de suma importância que o comprometimento com a gestão de riscos seja comunicado na organização e às
partes interessadas, como apropriado.
Papéis organizacionais, autoridades e responsabilidades
A Alta Direção e os órgãos de supervisão, onde aplicável, deve garantir que as autoridades, responsabilidades
e responsabilizações para os papéis pertinentes à gestão de riscos sejam atribuídas e comunicadas a todos os
níveis da organização, e (i) enfatize que a gestão de riscos é uma responsabilidade principal, e (ii) identifique
indivíduos que possuam responsabilização e tenham autoridade para gerenciar riscos (proprietários dos
riscos, do inglês “Risk Owners”).
Alocação de Recursos
A Alta Direção e os órgãos de supervisão, onde aplicável, deve garantir a alocação de recursos apropriados
para a gestão de riscos, que devem incluir, mas não estão limitados a: (i) pessoas, habilidades, experiência e
competência; (ii) processos, métodos e ferramentas da organização a serem usados na gestão de riscos; (iii)
processos e procedimentos documentados; (iv) sistemas de gestão da informação e do conhecimento; (v)
necessidades de treinamento e desenvolvimento profissional.
Comunicação e consulta
A organização deve estabelecer uma abordagem aprovada para comunicação e consulta para apoiar a
estrutura e facilitar a aplicação eficaz da gestão de riscos. A Comunicação envolve compartilhar informação
com públicos-alvo. A Consulta também envolve o fornecimento de retorno (feedback) pelos participantes,
com a expectativa de que contribua para as decisões e sua formulação ou outras atividades. Os métodos e
conteúdo da comunicação e consulta devem refletir as expectativas das partes interessadas, onde for
pertinente.
A comunicação e a consulta devem ser oportunas e assegurar que a informação pertinente seja coletada,
consolidada, sintetizada e compartilhada, como apropriado, e que o retorno seja fornecido e as melhorias
sejam implementadas.
Implementação
A organização deve implementar a estrutura de gestão de riscos por meio de: (i) desenvolvimento de um
plano apropriado, incluindo prazos e recursos; (ii) identificação de onde, quando e como diferentes tipos de
decisões são tomadas pela organização, e por quem; (iii) modificação dos processos de tomada de decisão
aplicáveis, onde necessário; (iv) garantia de que os arranjos da organização para gerenciar riscos sejam
claramente compreendidos e praticados.
A implementação bem-sucedida da estrutura requer o engajamento e a conscientização das partes
interessadas. Isso permite que as organizações abordem explicitamente a incerteza na tomada de decisão,
enquanto também asseguram que qualquer incerteza nova ou posterior possa ser levada em consideração à
medida que ela surja.
9
Especificação Resumo ISO 31000:2018 janeiro 2019
Uma estrutura de gestão de riscos, adequadamente concebida e implementada, assegurará que o processo
de gestão de riscos é parte de todas as atividades da organização, incluindo a tomada de decisão, e que as
mudanças nos contextos externo e interno serão adequadamente monitoradas e capturadas.
Avaliação
Para avaliar a eficácia da estrutura de gestão de riscos, a organização deve: (i) mensurar periodicamente o
desempenho da estrutura de gestão de riscos em relação ao seu propósito, planos de implementação,
indicadores e comportamento esperado; (ii) determinar se permanece adequada para apoiar o alcance dos
objetivos da organização.
Melhoria
A organização deve monitorar e adaptar continuamente a estrutura de gestão de riscos para abordar as
mudanças externas e internas. Ao fazer isso, a organização pode melhorar seu valor.
A organização deve melhorar continuamente a adequação, suficiência e eficácia da estrutura de gestão de
riscos e a forma como o processo de gestão de riscos é integrado.
À medida que lacunas ou oportunidades de melhoria pertinentes são identificadas, recomenda-se que a
organização desenvolva planos e tarefas e os atribua àqueles responsabilizados pela implementação.
10
Especificação Resumo ISO 31000:2018 janeiro 2019
Comunicação e consulta visam: (i) reunir diferentes áreas de especialização para cada etapa do processo de
gestão de riscos; (ii) assegurar que pontos de vista diferentes sejam considerados apropriadamente ao se
definirem critérios de risco e ao se avaliarem riscos; (iii) fornecer informações suficientes para facilitar a
supervisão dos riscos e a tomada de decisão; (v) construir um senso de inclusão e propriedade entre os
afetados pelo risco.
11
Especificação Resumo ISO 31000:2018 janeiro 2019
12
Especificação Resumo ISO 31000:2018 janeiro 2019
As decisões devem levar em consideração o contexto mais amplo e as consequências reais e percebidas para
as partes interessadas externas e internas. Convém que o resultado da avaliação de riscos seja registrado,
comunicado e então validado nos níveis apropriados da organização.
13
Especificação Resumo ISO 31000:2018 janeiro 2019
esperados a serem obtidos; (ii) aqueles que são responsabilizáveis e responsáveis por aprovar e implementar
o plano; (iii) as ações propostas; (iv) os recursos requeridos, incluindo contingências; (v) as medidas de
desempenho; (vi) as restrições; (vii) os relatos e monitoramento requeridos; (viii) quando se espera que ações
sejam tomadas e concluídas (prazo).
14
Especificação Resumo ISO 31000:2018 janeiro 2019
Na falta de uma abordagem coesa, coordenada e integrada, os recursos limitados de riscos e controle podem
não ser aplicados com eficácia e os riscos significantes podem não ser identificados e gerenciados de forma
correta. Nos piores casos, a comunicação entre os diversos grupos de riscos e controle pode regredir a um
debate contínuo para entender de quem é o trabalho de realizar tarefas específicas.
Isso pode existir em qualquer organização, não importando se é usada uma estrutura formal de gestão de
riscos corporativos. Embora estruturas de gestão de riscos possam identificar com eficácia os tipos de riscos
que os negócios modernos devem controlar, elas não definem como e quais responsabilidades específicas
devem ser delegadas e coordenadas dentro da organização.
O modelo de Três Linhas de Defesa4 é uma forma simples e eficaz de melhorar a comunicação da gestão de
riscos e controle por meio da definição clara dos papéis e responsabilidades essenciais.
O modelo apresenta uma visão inovadora sobre as operações, ajudando a garantir o sucesso contínuo das
atividades de gestão de riscos, e é aplicável a qualquer organização - não importando seu tamanho ou
complexidade. Mesmo em empresas em que não haja uma estrutura ou sistema formal de gestão de riscos, o
modelo de Três Linhas de Defesa pode melhorar a clareza dos riscos e controles e ajudar a aumentar a eficácia
dos sistemas de gestão de riscos. Em resumo, o modelo orienta as organizações à como delegar e coordenar
tarefas essenciais de gestão de riscos com uma abordagem efetiva e sistemática.
O modelo foi concebido por dois importantes institutos europeus para atender a “Guidance on the 8th EU
Company Law Directive article 41”: Federation of European Risk Management Associations (FERMA) e a
European Confederation of Institutes of Internal Auditing (ECIIA)5.
Este modelo mostra a real integração entre a Gestão de riscos e Auditoria que executa o papel de avaliar a
operação dos controles internos da empesa. Este posicionamento é tão bem considerado pelas empresas
públicas e privadas que o link informado no rodapé do Artigo do IIA das três linhas de defesa é do Ministério
do Planejamento.
A Módulo entende que como em qualquer empresa, a CAESB deve implantar estruturas e funções do
processo de gestão de riscos que considere a divisão de funções na forma definida no modelo das Três Linhas
Defesa.
3.2 O Modelo
No modelo de Três Linhas de Defesa, o controle da gerência é a primeira linha de defesa no gestão de riscos,
as diversas funções de controle de riscos e supervisão de conformidade estabelecidas pela gerência são a
segunda linha de defesa e a avaliação independente é a terceira linha de defesa. Cada uma dessas três
“linhas” desempenha um papel distinto dentro da estrutura mais ampla de governança da organização.
4
Três Linhas de Defesa, Posicionamento do IIA – Instituto de Auditores Internos. Link: <http://www.planejamento.gov.br/assuntos/empresas-estatais/palestras-e-
apresentacoes/2-complemento-papeis-das-areas-de-gestao-de-riscos-controles-internos-e-auditoria-interna.pdf> Acesso em: Novembro de 2018
5
Guidance on the 8th EU Company Law Directive article 41. Link: <http://www.eciia.eu/wp-content/uploads/2013/09/Blog-4.4-Avoid-reg-part-2.pdf> Acesso em Novembro de
2018.
15
Especificação Resumo ISO 31000:2018 janeiro 2019
IIA - Adaptação da Guidance on the 8th EU Company Law Directive da ECIIA/FERMA, artigo 41
Embora os órgãos de governança e a alta administração não sejam considerados dentre as três “linhas” desse
modelo, nenhuma discussão sobre sistemas de gestão de riscos estaria pronto sem considerar os papéis
essenciais dos órgãos de governança (i.e., conselho de administração e órgãos equivalentes) e da alta
administração.
Os órgãos de governança e a alta administração (Alta Direção) são as principais partes interessadas atendidas
pelas “linhas” e são as partes em melhor posição para ajudar a garantir que o modelo de Três Linhas de
Defesa seja aplicado aos processos de gestão de riscos e controle da organização.
A alta administração e os órgãos de governança têm, coletivamente, a responsabilidade e o dever de
prestação de contas sobre o estabelecimento dos objetivos da organização, a definição de estratégias para
alcançar esses objetivos e o estabelecimento de estruturas e processos de governança para melhor gerenciar
os riscos durante a realização desses objetivos. O modelo de Três Linhas de Defesa deve ser implementado
com o apoio ativo e a orientação do órgão de governança e da alta administração da organização.
O modelo de Três Linhas de Defesa diferencia três grupos (ou linhas) envolvidos no gestão eficaz de riscos:
Funções que gerenciam e têm propriedade sobre riscos.
Funções que supervisionam riscos.
Funções que fornecem avaliações independentes.
16
Especificação Resumo ISO 31000:2018 janeiro 2019
gestão e de supervisão adequados em prática, para garantir a conformidade e para enfatizar colapsos de
controle, processos inadequados e eventos inesperados.
Uma função de controladoria que monitore os riscos financeiros e questões de reporte financeiro.
A gerência estabelece essas funções para garantir que a primeira linha de defesa seja apropriadamente
desenvolvida e posta em prática e que opere conforme intencionado. Cada uma dessas funções tem seu nível
de independência em relação à primeira linha de defesa, mas são, por natureza, funções de gestão.
Como funções de gestão, elas podem intervir diretamente, de modo a modificar e desenvolver o controle
interno e os sistemas de riscos. Portanto, a segunda linha de defesa tem um propósito vital, mas não pode
oferecer análises verdadeiramente independentes aos órgãos de governança acerca do gestão de riscos e dos
controles internos.
As responsabilidades dessas funções variam em sua natureza específica, mas podem incluir:
Apoiar as políticas de gestão, definir papéis e responsabilidades e estabelecer metas para
implementação.
Fornecer estruturas de gestão de riscos.
Identificar questões atuais e emergentes.
Identificar mudanças no apetite ao risco implícito da organização.
Auxiliar a gerência a desenvolver processos e controles para gerenciar riscos e questões.
Fornecer orientações e treinamento sobre processos de gestão de riscos.
Facilitar e monitorar a implementação de práticas eficazes de gestão de riscos por parte da gerência
operacional.
Alertar a gerência operacional para questões emergentes e para as mudanças no cenário regulatório e de
riscos.
Monitorar a adequação e a eficácia do controle interno, a precisão e a integridade do reporte, a
conformidade com leis e regulamentos e a resolução oportuna de deficiências.
17
Especificação Resumo ISO 31000:2018 janeiro 2019
A auditoria interna provê avaliações sobre a eficácia da governança, do gerenciamento de riscos e dos
controles internos, incluindo a forma como a primeira e a segunda linhas de defesa alcançam os objetivos de
gerenciamento de riscos e controle. O escopo dessa avaliação, que é reportada à alta administração e ao
órgão de governança, normalmente cobre:
Uma grande variedade de objetivos, incluindo a eficiência e a eficácia das operações; a salvaguarda de
ativos; a confiabilidade e a integridade dos processos de reporte; e a conformidade com leis,
regulamentos, políticas, procedimentos e contratos.
Todos os elementos da estrutura de gerenciamento de riscos e controle interno inclui: (i) o escopo,
contexto e critérios (ambiente de controle interno); (ii) todos os elementos da estrutura de
gerenciamento de riscos da organização (i.e. identificação de riscos, análise e avaliação de riscos, e
tratamento); (iii) comunicação e consulta ; (iv) monitoramento e análise crítica; e (v) registro e relato.
Auditores externos, reguladores e outros órgãos externos estão fora da estrutura da organização, mas
podem desempenhar um papel importante em sua estrutura geral de governança e controle. Isso vale
principalmente para indústrias regulamentadas, como a de serviços financeiros ou seguros.
Os reguladores, às vezes, estabelecem requisitos com a intenção de fortalecer os controles em uma empresa
e, em outras ocasiões, têm uma função independente e objetiva, para avaliar o todo ou parte da primeira,
segunda ou terceira linha de defesa no que tange a esses requisitos.
Quando coordenados com sucesso, os auditores externos, reguladores e outros grupos externos à
organização podem ser considerados linhas adicionais de defesa, que fornecem avaliações às partes
interessadas da organização, incluindo o órgão de governança e a alta administração.
Considerando o escopo e objetivos específicos de suas missões, as informações de riscos reunidas são, em
geral, menos extensas do que o escopo abordado pelas três linhas internas de defesa de uma organização.
18
Especificação Resumo ISO 31000:2018 janeiro 2019
As três linhas devem existir em todas as organizações, não importando tamanho ou complexidade. O
gerenciamento de riscos, normalmente, é mais sólido quando há três linhas de defesa separadas e claramente
identificadas. No entanto, em situações excepcionais que podem surgir, especialmente em pequenas
empresas, certas linhas de defesa podem ser combinadas.
Independente de como o modelo de Três Linhas de Defesa é implementado, a alta administração e os órgãos
de governança devem comunicar claramente a expectativa de compartilhamento de informações e
coordenação de atividades entre cada um dos grupos responsáveis por gerenciar os riscos e controles da
organização. Os processos de riscos e controle devem ser estruturados de acordo com o modelo de Três
Linhas de Defesa.
Em resumo, recomenda-se adotar as seguintes práticas:
Cada linha de defesa deve ser apoiada por políticas e definições de papéis apropriadas.
Deve haver a coordenação apropriada entre as diferentes linhas de defesa para promover a eficiência e a
eficácia.
As funções de riscos e controle em operação nas diferentes linhas devem compartilhar conhecimento e
informações apropriadamente, para auxiliar todas as funções a desempenhar melhor seus papéis de
forma eficiente.
As linhas de defesa não devem ser combinadas ou coordenadas de uma forma que comprometa sua
eficácia.
Em situações em que as funções de diferentes linhas forem combinadas, o órgão de governança deve ser
aconselhado a respeito da estrutura e seu impacto. Em organizações que ainda não tenham uma
atividade de auditoria interna estabelecida, deve-se exigir que a gerência e/ou o órgão de governança
explique e divulgue às suas partes interessadas que consideraram como será obtida a avaliação adequada
da eficácia das estruturas de governança, gerenciamento de riscos e controle da organização.
19