Escolar Documentos
Profissional Documentos
Cultura Documentos
Autores:
Guilherme Sant Anna, Tonyvan de
Carvalho Oliveira
Aula 09
7 de Abril de 2020
1619643
Sumário
Motivação da Aula ............................................................................................................. 2
1. Gestão de risco e Controles Internos: COSO I ................................................................. 3
2. Gestão de risco e Controles Internos: COSO II .............................................................. 16
3. COSO – ERM (COSO 2017) ............................................................................................ 24
4. Governança no setor público ....................................................................................... 30
4.1 – Governança segundo referencial básico do TCU .................................................................... 30
4.2 – Instrução Normativa Conjunta MP/CGU nº 01/2016 ............................................................ 39
4.3 – Guia da política de Governança Pública da CGU ................................................................... 50
5. Normas da ISO sobre Gestão de Risco .......................................................................... 59
6. Lista de Questões de Concursos Anteriores .................................................................. 78
7. Gabarito....................................................................................................................... 89
8. Questões de Concursos Anteriores Resolvidas e Comentadas ...................................... 90
9. Respostas das questões subjetivas ............................................................................. 124
10. Resumo em mapas, esquemas e tópicos .................................................................. 132
MOTIVAÇÃO DA AULA
LISTA DE PERGUNTAS
1. O que é Controle Interno, segundo o Coso?
2. Defina Gerenciamento de Riscos Corporativos.
3. Quais os componentes do controle interno, segundo o Coso I?
4. Quais os componentes do gerenciamento de riscos corporativos, segundo o Coso II?
5. Quais as categorias de objetivos do Coso I?
6. Quais as categorias de objetivos do Coso II?
7. Quais as categorias de respostas aos riscos, segundo Coso II?
8. Quais os 17 princípios que representam os conceitos fundamentais associados a cada
componente da Estrutura do Coso I?
9. Defina evento, risco e oportunidade.
10. Há limitações na estrutura de controle interno? Explique.
11. Quais os requisitos para que um sistema de controle interno seja considerado eficaz,
segundo a estrutura do Coso I?
12. Segundo o Coso I, “Controle interno é um processo conduzido pela estrutura de governança,
administração e outros profissionais da entidade, e desenvolvido para proporcionar segurança
razoável com respeito à realização dos objetivos relacionados a operações, divulgação e
conformidade”. Quais os conceitos fundamentais associados a esta definição?
13. O que é Gestão de Risco?
14. Quais os mecanismos que a governança pública engloba?
15. Quais são os princípios da boa governança sugeridos pelo Banco Mundial?
17. Quais são princípios da boa governança que devem ser seguidos pelos órgãos e entidades
do Poder Executivo federal, segundo a IN Conjunta MP/CGU nº01/2016?
Essa definição é intencionalmente abrangente. Ela captura conceitos importantes que são
fundamentais para a forma como as organizações desenvolvem, implementam e conduzem o
controle interno, proporcionando uma base para aplicação a todas as organizações que operam
em diferentes estruturas de entidades, indústrias e regiões geográficas.
Objetivos
A Estrutura apresenta três categorias de objetivos, o que permite às organizações se
concentrarem em diferentes aspectos do controle interno:
• Operacional – Esses objetivos relacionam-se à eficácia e à eficiência das operações da
entidade, inclusive as metas de desempenho financeiro e operacional e a salvaguarda de perdas
de ativos.
• Divulgação – Esses objetivos relacionam-se a divulgações financeiras e não financeiras,
internas e externas, podendo abranger os requisitos de confiabilidade, oportunidade,
transparência ou outros termos estabelecidos pelas autoridades normativas, órgãos
normatizadores reconhecidos, ou às políticas da entidade.
• Conformidade – Esses objetivos relacionam-se ao cumprimento de leis e regulamentações às
quais a entidade está sujeita.
2) Avaliação de riscos
Toda entidade enfrenta vários riscos de origem tanto interna quanto externa. Define-se risco
como a possibilidade de que um evento ocorra e afete adversamente a realização dos objetivos.
A avaliação de riscos envolve um processo dinâmico e iterativo para identificar e avaliar os riscos
à realização dos objetivos.
Esses riscos de não se atingir os objetivos em toda a entidade são considerados em relação às
tolerâncias aos riscos estabelecidos. Dessa forma, a avaliação de riscos estabelece a base para
determinar a maneira como os riscos serão gerenciados.
Uma condição prévia à avaliação de riscos é o estabelecimento de objetivos, ligados aos diferentes
níveis da entidade. A administração especifica os objetivos dentro das categorias: operacional,
divulgação e conformidade, com clareza suficiente para identificar e analisar os riscos à realização
desses objetivos. A administração também considera a adequação dos objetivos à entidade. A
avaliação de riscos requer ainda que a administração considere o impacto de possíveis mudanças
no ambiente externo e dentro de seu próprio modelo de negócio que podem tornar o controle
interno ineficaz.
3) Atividades de controle
Atividades de controle são ações estabelecidas por meio de políticas e procedimentos que
ajudam a garantir o cumprimento das diretrizes determinadas pela administração para mitigar
os riscos à realização dos objetivos. As atividades de controle são desempenhadas em todos os
níveis da entidade, em vários estágios dentro dos processos corporativos e no ambiente
tecnológico. Podem ter natureza preventiva ou de detecção e abranger uma série de atividades
manuais e automáticas, como autorizações e aprovações, verificações, reconciliações e revisões
de desempenho do negócio. A segregação de funções é geralmente inserida na seleção e no
desenvolvimento das atividades de controle. Nos casos em que a segregação de funções seja
impraticável, a administração deverá selecionar e desenvolver atividades alternativas de controle.
4) Informação e comunicação
A informação é necessária para que a entidade cumpra responsabilidades de controle interno a
fim de apoiar a realização de seus objetivos.
A administração obtém ou gera e utiliza informações importantes e de qualidade, originadas
tanto de fontes internas quanto externas, a fim de apoiar o funcionamento de outros
componentes do controle interno. A comunicação é o processo contínuo e iterativo de
proporcionar, compartilhar e obter as informações necessárias. A comunicação interna é o meio
pelo qual as informações são transmitidas para a organização, fluindo em todas as direções da
entidade.
Ela permite que os funcionários recebam uma mensagem clara da alta administração de que as
responsabilidades pelo controle devem ser levadas a sério. A comunicação externa apresenta
duas vertentes: permite o recebimento, pela organização, de informações externas
significativas, e proporciona informações a partes externas em resposta a requisitos e
expectativas.
5) Atividades de monitoramento
Uma organização utiliza avaliações contínuas, independentes, ou uma combinação das duas,
para se certificar da presença e do funcionamento de cada um dos cinco componentes de
controle interno, inclusive a eficácia dos controles nos princípios relativos a cada componente. As
avaliações contínuas, inseridas nos processos corporativos nos diferentes níveis da entidade,
proporcionam informações oportunas. As avaliações independentes, conduzidas
periodicamente, terão escopos e frequências diferentes, dependendo da avaliação de riscos, da
eficácia das avaliações contínuas e de outras considerações da administração. Os resultados são
avaliados em relação a critérios estabelecidos pelas autoridades normativas, órgãos
normatizadores reconhecidos ou pela administração e a estrutura de governança, sendo que as
deficiências são comunicadas à estrutura de governança e administração, conforme aplicável.
Componentes e princípios
A Estrutura estabelece 17 princípios, que representam os conceitos fundamentais associados a
cada componente. Como esses princípios são originados diretamente dos componentes, uma
entidade poderá ter um controle interno eficaz ao aplicar todos os princípios. Todos os princípios
aplicam-se aos objetivos operacionais, divulgação e conformidade. Os princípios que apoiam os
componentes do controle interno estão relacionados a seguir.
Ambiente de controle
1. A organização demonstra ter comprometimento com a integridade e os valores éticos.
2. A estrutura de governança demonstra independência em relação aos seus executivos e
supervisiona o desenvolvimento e o desempenho do controle interno.
3. A administração estabelece, com a suspensão da estrutura de governança, as estruturas, os
níveis de subordinação e as autoridades e responsabilidades adequadas na busca dos objetivos.
4. A organização demonstra comprometimento para atrair, desenvolver e reter talentos
competentes, em linha com seus objetivos.
5. A organização faz com que as pessoas assumam responsabilidade por suas funções de
controle interno na busca pelos objetivos.
Avaliação de riscos
6. A organização especifica os objetivos com clareza suficiente, a fim de permitir a identificação
e a avaliação dos riscos associados aos objetivos.
7. A organização identifica os riscos à realização de seus objetivos por toda a entidade e analisa
os riscos como uma base para determinar a forma como devem ser gerenciados.
8. A organização considera o potencial para fraude na avaliação dos riscos à realização dos
objetivos.
9. A organização identifica e avalia as mudanças que poderiam afetar, de forma significativa, o
sistema de controle interno.
Atividades de controle
10. A organização seleciona e desenvolve atividades de controle que contribuem para a
redução, a níveis aceitáveis, dos riscos à realização dos objetivos.
11. A organização seleciona e desenvolve atividades gerais de controle sobre a tecnologia para
apoiar a realização dos objetivos.
12. A organização estabelece atividades de controle por meio de políticas que estabelecem o
que é esperado e os procedimentos que colocam em prática essas políticas.
Informação e comunicação
13. A organização obtém ou gera e utiliza informações significativas e de qualidade para apoiar
o funcionamento do controle interno.
14. A organização transmite internamente as informações necessárias para apoiar o
funcionamento do controle interno, inclusive os objetivos e responsabilidades pelo controle.
15. A organização comunica-se com os públicos externos sobre assuntos que afetam o
funcionamento do controle interno.
Atividades de monitoramento
16. A organização seleciona, desenvolve e realiza avaliações contínuas e/ou independentes para
se certificar da presença e do funcionamento dos componentes do controle interno.
17. A organização avalia e comunica deficiências no controle interno em tempo hábil aos
responsáveis por tomar ações corretivas, inclusive a estrutura de governança e alta
administração, conforme aplicável.
Limitações
A Estrutura reconhece que, embora o controle interno proporcione segurança razoável quanto à
realização dos objetivos da entidade, existem limitações.
O controle interno não é capaz de evitar julgamentos errôneos ou más decisões, ou ainda eventos
externos que impeçam a organização de atingir suas metas operacionais. Em outras palavras, até
mesmo um sistema eficaz de controle interno pode apresentar falhas. As limitações podem ser
resultado de:
• adequação dos objetivos estabelecidos como uma condição prévia ao controle interno;
• realidade de que o julgamento humano na tomada de decisões pode ser falho e tendencioso;
• falhas que podem ocorrer devido a erros humanos, como enganos simples;
• capacidade da administração de sobrepassar o controle interno;
• capacidade da administração, outros funcionários e/ou terceiros transpassarem os controles
por meio de conluio entre as partes; e
• eventos externos fora do controle da organização.
Essas limitações impedem que a estrutura de governança e a administração tenha segurança
absoluta da realização dos objetivos da entidade – isto é, o controle interno proporciona
segurança razoável, mas não absoluta. Embora essas limitações sejam inerentes, a administração
deve estar ciente delas ao selecionar, desenvolver e aplicar controles na organização para
minimizar, dentro do possível, tais limitações.
Esquematizamos a seguir algumas das informações trazidas nos dispositivos acima apresentados:
10
Ambiente de Controle:
Avaliação de riscos:
Atividades de controle:
Informação e comunicação:
Monitoramento:
12
13
eventos externos que impeçam a organização de atingir suas metas operacionais. Em outras
palavras, até mesmo um sistema eficaz de controle interno pode apresentar falhas.
Letra E) ERRADA. Não existe tal vedação. A administração obtém ou gera e utiliza informações
importantes e de qualidade, originadas tanto de fontes internas quanto externas, a fim de apoiar
o funcionamento de outros componentes do controle interno.
Gabarito: A.
(CESPE – AUDITOR DE CONTROLE INTERNO /CGE CE – 2019) Assinale a opção correta, relativa ao
ambiente de controle de uma organização.
A) O ambiente de controle deve ser delimitado em uma subdivisão da organização.
B) O sistema de controle deve estabelecer suas próprias normas de funcionamento.
C) Os valores éticos da organização são fatores exteriores ao controle interno.
D) Os parâmetros de supervisão da governança são definidos no ambiente de controle.
E) Os níveis operacionais devem desconhecer as expectativas do ambiente de controle.
Comentários:
Questão aborda aspectos relacionados ao ambiente de controle de uma organização. Analisando
cada alternativa:
Letra A) ERRADA. Não existe tal delimitação. O ambiente de controle tem impacto pervasivo sobre
todo o sistema de controle interno.
Letra B) ERRADA. A estrutura de governança e a alta administração estabelecem uma diretriz
sobre a importância do controle interno, inclusive das normas de conduta esperadas. A
administração reforça as expectativas nos vários níveis da organização. Dessa forma, quem
estabelece as normas sobre o sistema de controle é a estrutura de governança e a alta
administração.
Letra C) ERRADA. O ambiente de controle abrange, dentre outros, a integridade e os valores éticos
da organização. Os valores éticos são fatores intrínsecos à organização, sendo fatores interiores
(e não exteriores) ao controle interno.
Letra D) CORRETA. Está em conformidade com a Estrutura do Coso I. Veja:
O ambiente de controle abrange a integridade e os valores éticos da organização; os parâmetros
que permitem à estrutura de governança cumprir com suas responsabilidades de supervisionar
a governança; a estrutura organizacional e a delegação de autoridade e responsabilidade [...].
[Grifos não constantes no original]
14
Letra E) ERRADA. Segundo o COSO I, a administração reforça as expectativas (do controle) nos
vários níveis da organização. Dessa maneira, o correto seria dizer que os níveis operacionais devem
“conhecer” (ao invés de “desconhecer”) as expectativas do ambiente de controle.
Gabarito: D.
(CESPE – AUDITOR DE CONTROLE INTERNO /CGE CE – 2019) Assinale a opção correta, acerca de
atividades de controle.
A) As políticas da entidade têm influência indireta sobre as atividades de controle.
B) As atividades de controle se restringem ao sistema de controle interno.
C) É vedada a segregação de funções das atividades de controle.
D) As atividades de controle se destinam ao nível de governança.
E) A detecção de fraudes e risco resume as atividades de controle.
Comentários:
Questão aborda aspectos relacionados às atividades de controle (um dos componentes do
Controle Interno). Analisando cada alternativa:
Letra A) ERRADA. O correto seria influência “DIRETA” ao invés de “INDIRETA”, afinal atividades de
controle são ações estabelecidas por meio de políticas e procedimentos da organização.
Letra B) ERRADA. As atividades de controle são desempenhadas em todos os níveis da entidade,
em vários estágios dentro dos processos corporativos e no ambiente tecnológico.
Letra C) ERRADA. A segregação de funções é geralmente inserida na seleção e no desenvolvimento
das atividades de controle. Nos casos em que a segregação de funções seja impraticável, a
administração deverá selecionar e desenvolver atividades alternativas de controle.
Letra D) CORRETA. Estrutura (ou nível) de governança, de acordo com o COSO I, abrange o órgão
deliberativo, como conselho de administração, conselho consultivo, sócios, proprietários ou
conselho supervisor. Podemos entender então que assertiva está de acordo com o que prevê o
COSO I. Veja:
Atividades de controle são ações estabelecidas por meio de políticas e procedimentos que
ajudam a garantir o cumprimento das diretrizes determinadas pela administração para mitigar
os riscos à realização dos objetivos.
Letra E) ERRADA. Atividades de controle possuem escopo amplo, não se limitando à detecção de
fraudes e risco. Elas podem ter natureza preventiva ou de detecção e abranger uma série de
atividades manuais e automáticas, como autorizações e aprovações, verificações, reconciliações e
revisões de desempenho do negócio.
Gabarito: D.
15
16
Realização de Objetivos
A estrutura de gerenciamento de riscos corporativos é orientada a fim de alcançar os objetivos
de uma organização e são classificados em quatro categorias:
• Estratégicos – metas gerais, alinhadas com o que suportem à sua missão.
• Operações – utilização eficaz e eficiente dos recursos.
• Comunicação – confiabilidade de relatórios.
• Conformidade – cumprimento de leis e regulamentos aplicáveis.
17
18
19
20
21
22
23
1
Deriva do fato de que cada estratégia possui um perfil de risco próprio, cabendo à administração e ao conselho
determinar se a estratégia funciona levando em conta o apetita ao risco da organização e como ela irá direcionar a
organização a definir objetivos e alocar recursos com eficiência.
2
A estratégia adotada pela organização precisa estar alinhada com sua visão e missão. Uma estratégia desalinhada
aumenta a possibilidade de a organização não conseguir concretizar sua missão e sua visão, ou comprometer seus
valores, mesmo que a estratégia seja executada de forma satisfatória.
24
Um Framework orientado
O Gerenciamento de Riscos Corporativos integrado com Estratégia e Performance realça a
importância do gerenciamento de riscos corporativos no planejamento estratégico e da sua
incorporação em toda a organização – porque o risco influencia e alinha estratégia e performance
em todos os departamentos e funções.
O Framework, representado por uma espiral dupla, tal qual as moléculas de DNA, é um conjunto de
princípios organizados em cinco componentes inter-relacionados:
1. Governance and Culture (Governança e cultura): a governança dá o tom da organização,
reforçando a importância e instituindo responsabilidades de supervisão sobre o gerenciamento de
riscos corporativos. A cultura diz respeito a valores éticos, a comportamentos esperados e ao
entendimento do risco em toda a entidade.
Observação: o componente acima nos remete ao conceito do ambiente de controle (COSO I) ou
ambiente interno (COSO II). Reparem que são mencionados valores éticos (um dos elementos do
ambiente de controle), “tom” ou “clima” da organização, além da instituição (ou delegação) de
responsabilidades.
2. Strategy and Objective-Setting (Estratégia e definição de objetivos): gerenciamento de riscos
corporativos, estratégia e definição de objetivos atuam juntos no processo de planejamento
estratégico. O apetite a risco é estabelecido e alinhado com a estratégia; os objetivos de negócios
colocam a estratégia em prática e, ao mesmo tempo, servem como base para identificar, avaliar e
responder aos riscos.
3. Performance: os riscos que podem impactar a realização da estratégia e dos objetivos de negócios
precisam ser identificados e avaliados. Os riscos são priorizados com base no grau de severidade, no
contexto do apetite a risco. A organização determina as respostas aos riscos e, por fim, alcança uma
26
visão consolidada do portfólio e do montante total dos riscos assumidos. Os resultados desse
processo são comunicados aos principais stakeholders3 envolvidos com a supervisão dos riscos.
4. Review and Revision (Análise e revisão): ao analisar sua performance, a organização tem a
oportunidade de refletir sobre até que ponto os componentes do gerenciamento de riscos
corporativos estão funcionando bem ao longo do tempo e no contexto de mudanças relevantes, e
quais correções são necessárias.
5. Information, Communication, and Reporting (Informação, comunicação e divulgação): o
gerenciamento de riscos corporativos demanda um processo contínuo de obtenção e
compartilhamento de informações precisas, provenientes de fontes internas e externas, originadas
das mais diversas camadas e processos de negócios da organização.
Os cinco componentes do novo Framework se combinam em um conjunto de princípios. Esses
princípios abrangem desde a governança até o monitoramento. Eles descrevem práticas que podem
ser aplicadas de diferentes formas nas organizações, independentemente do seu tamanho, tipo ou
setor econômico.
A adoção dos princípios pode trazer ao conselho e à administração a segurança de que a organização
é capaz de gerenciar de modo aceitável os riscos associados à estratégia e aos objetivos de negócios.
Componentes e princípios
1° COMPONENTE: GOVERNANÇA E CULTURA
A Governança define o tom da organização, reforçando a importância e estabelecendo
responsabilidades de supervisão do gerenciamento de riscos corporativo. A cultura perpassa por
valores éticos, comportamentos desejáveis e entendimento do risco na entidade.
O componente Governança e Cultura possui 5 princípios:
3
Pessoa ou grupo que detém interesse na organização, tendo ou não participação (investimento) na empresa.
27
12.Prioriza os riscos — A organização prioriza os riscos como base para a seleção das respostas a
eles.
13.Implementa respostas aos riscos — A organização identifica e seleciona respostas aos riscos.
14.Adota uma visão de portfólio — A organização adota e avalia uma visão consolidada do portfólio
de riscos.
4° COMPONENTE: ANÁLISE E REVISÃO
Por meio da revisão do desempenho da entidade, a organização pode considerar quão bem os
componentes do gerenciamento de riscos corporativos estão funcionando ao longo do tempo e
avaliar quais revisões são necessárias.
O componente Revisão possui 3 princípios:
15.Avalia mudanças importantes — A organização identifica e avalia mudanças capazes de afetar de
forma relevante a estratégia e os objetivos de negócios.
16.Analisa riscos e performance — A organização analisa a performance da entidade e considera o
risco como parte desse processo.
17.Busca o aprimoramento no gerenciamento de riscos corporativos — A organização busca o
aprimoramento contínuo do gerenciamento de riscos corporativos.
5° COMPONENTE: INFORMAÇÃO, COMUNICAÇÃO, DIVULGAÇÃO
Gerenciamento de Riscos Corporativos requer um processo contínuo de obtenção e
compartilhamento necessário de informação, de fontes tanto internas quanto externas, que circula
por toda a organização.
O componente Informação, Comunicação e Divulgação possui 3 princípios:
18. Alavanca sistemas de informação — A organização maximiza a utilização dos sistemas de
informação e tecnologias existentes na entidade para impulsionar o gerenciamento de riscos
corporativos.
19.Comunica informações sobre riscos — A organização utiliza canais de comunicação para suportar
o gerenciamento de riscos corporativos.
20.Divulga informações de riscos, cultura e performance — A organização elabora e divulga
informações sobre riscos, cultura e performance abrangendo todos os níveis e a entidade como
um todo.
29
30
A governança no setor público pode ser analisada sob quatro perspectivas de observação:
(a) sociedade e Estado;
(b) entes federativos, esferas de poder e políticas públicas;
(c) órgãos e entidades; e
(d) atividades intraorganizacionais.
31
Nota-se, nesse sistema, que algumas instâncias foram destacadas: as instâncias externas de
governança; as instâncias externas de apoio à governança; as instâncias internas de governança;
e as instâncias internas de apoio à governança.
a) As instâncias externas de governança são responsáveis pela fiscalização, pelo controle e pela
regulação, desempenhando importante papel para promoção da governança das organizações
32
públicas. São autônomas e independentes, não estando vinculadas apenas a uma organização.
Exemplos típicos dessas estruturas são o Congresso Nacional e o Tribunal de Contas da União.
b) As instâncias externas de apoio à governança são responsáveis pela avaliação, auditoria e
monitoramento independente e, nos casos em que disfunções são identificadas, pela
comunicação dos fatos às instâncias superiores de governança. Exemplos típicos dessas
estruturas as auditorias independentes e o controle social organizado.
A governança pública, para ser efetiva, pressupõe a existência de um Estado de Direito; de uma
sociedade civil participativa no que tange aos assuntos públicos; de uma burocracia imbuída de
ética profissional; de políticas planejadas de forma previsível, aberta e transparente; e de um
braço executivo que se responsabilize por suas ações (WORLD BANK, 2007).
Conforme sugerido pelo Banco Mundial, são princípios da boa governança: a legitimidade, a
equidade, a responsabilidade, a eficiência, a probidade, a transparência e a accountability.
33
b) Equidade: promover a equidade é garantir as condições para que todos tenham acesso ao
exercício de seus direitos civis - liberdade de expressão, de acesso à informação, de associação,
de voto, igualdade entre gêneros -, políticos e sociais - saúde, educação, moradia, segurança
(BRASIL, 2010c).
c) Responsabilidade: diz respeito ao zelo que os agentes de governança devem ter pela
sustentabilidade das organizações, visando sua longevidade, incorporando considerações de
ordem social e ambiental na definição dos negócios e operações (IBGC, 2010).
d) Eficiência: é fazer o que é preciso ser feito com qualidade adequada ao menor custo possível.
Não se trata de redução de custo de qualquer maneira, mas de buscar a melhor relação entre
qualidade do serviço e qualidade do gasto (BRASIL, 2010c).
MECANISMOS DE GOVERNANÇA
34
COMPONENTES DE GOVERNANÇA
Pessoas e competências. No contexto da governança, é fundamental mobilizar conhecimentos,
habilidades e atitudes dos dirigentes em prol da otimização dos resultados organizacionais. Para
isso, as boas práticas preconizam que os membros da alta administração devem ter as
competências necessárias para o exercício do cargo.
Princípios e comportamentos. Os padrões de comportamento exigidos das pessoas vinculadas
às organizações do setor público devem estar definidos em códigos de ética e conduta
formalmente instituídos, claros e suficientemente detalhados, que deverão ser observados
pelos membros da alta administração, gestores e colaboradores.
Liderança organizacional. A responsabilidade final pelos resultados produzidos sempre
permanece com a autoridade delegante. Por isso, a alta administração é responsável pela
definição e avaliação dos controles internos que mitigarão o risco de mau uso do poder
delegado, sendo a auditoria interna uma estrutura de apoio comumente utilizada para esse fim.
Sistema de governança. O sistema de governança reflete a maneira como diversos agentes se
organizam, interagem e procedem para obter boa governança. No setor público, abrange as
estruturas e os processos diretamente relacionados às instâncias internas e externas de
governança.
Relacionamento com partes interessadas. Considerando o crescente foco das organizações na
prestação de serviços com eficiência, o alinhamento de suas ações com as expectativas das
partes interessadas é fundamental para a otimização de resultados.
Estratégia organizacional. A organização, a partir de sua visão de futuro, da análise dos
ambientes interno e externo e da sua missão institucional, formula suas estratégias, as
35
desdobra em planos de ação de longo e curto prazos e acompanha sua implementação, visando
o atendimento de sua missão e a satisfação das partes interessadas.
Alinhamento transorganizacional. Cada um dos múltiplos agentes dentro do governo tem seus
próprios objetivos. Assim, para a governança efetiva, é preciso definir objetivos coerentes e
alinhados entre todos os envolvidos na implementação da estratégia para que os resultados
esperados possam ser alcançados.
Gestão de riscos e controle interno. Risco é o efeito da incerteza sobre os objetivos da
organização. Logo, determinar quanto risco aceitar na busca do melhor valor para a sociedade
e definir controles internos para mitigar riscos inerentes não aceitáveis são desafios da
governança nas organizações e responsabilidades da alta administração.
Auditoria Interna. Existe basicamente para avaliar a eficácia dos controles internos implantados
pelos gestores. Trata-se de uma atividade independente e objetiva de avaliação (assurance) e
de consultoria, desenhada para adicionar valor e melhorar as operações de uma organização.
Accountability e transparência. Os membros das organizações de governança interna e da
administração executiva são os responsáveis por prestar contas de sua atuação e devem
assumir, integralmente, as consequências de seus atos e omissões.
Esquematizamos, a seguir, algumas das informações trazidas nos dispositivos acima apresentados:
• Sociedade e Estado
• Órgãos e entidades
• Atividades intraorganizacionais.
36
• Legitimidade
•Equidade
• Responsabilidade
• Eficiência
• Probidade
• Transparência
• Accountability
37
Componentes de governança:
• Pessoas e competências.
•Princípios e comportamentos.
• Liderança organizacional.
• Sistema de governança.
• Estratégia organizacional.
• Alinhamento transorganizacional.
• Auditoria Interna.
• Accountability e transparência
(CESPE – Analista Portuário (EMAP) /Financeira e Auditoria Interna – 2018) Com relação à
governança no setor público, julgue o item a seguir.
A gestão tática é responsável pela execução de processos produtivos finalísticos e de apoio
Comentários:
De acordo com o Referencial Básico de Governança aplicável a Órgãos e Entidades da
Administração Pública, há estruturas que contribuem para a boa governança da organização,
38
39
DEFINIÇÕES:
II – apetite a risco: nível de risco que uma organização está disposta a aceitar;
d) salvaguarda dos recursos para evitar perdas, mau uso e danos. O estabelecimento de
controles internos no âmbito da gestão pública visa essencialmente aumentar a
probabilidade de que os objetivos e metas estabelecidos sejam alcançados, de forma
eficaz, eficiente, efetiva e econômica;
XII – Política de gestão de riscos: declaração das intenções e diretrizes gerais de uma
organização relacionadas à gestão de riscos;
XIV – risco inerente: risco a que uma organização está exposta sem considerar quaisquer
ações gerenciais que possam reduzir a probabilidade de sua ocorrência ou seu impacto;
XV – risco residual: risco a que uma organização está exposta após a implementação de
ações gerenciais para o tratamento do risco; e
41
VII – mapeamento das vulnerabilidades que impactam os objetivos, de forma que sejam
adequadamente identificados os riscos a serem geridos;
Os controles internos da gestão devem ser estruturados para oferecer segurança razoável
de que os objetivos da organização serão alcançados. A existência de objetivos claros é
pré-requisito para a eficácia do funcionamento dos controles internos da gestão.
43
III – atividades de controles internos: são atividades materiais e formais, como políticas,
procedimentos, técnicas e ferramentas, implementadas pela gestão para diminuir os
riscos e assegurar o alcance de objetivos organizacionais e de políticas públicas. Essas
atividades podem ser preventivas (reduzem a ocorrência de eventos de risco) ou
detectivas (possibilitam a identificação da ocorrência dos eventos de risco),
implementadas de forma manual ou automatizada. As atividades de controles internos
devem ser apropriadas, funcionar consistentemente de acordo com um plano de longo
prazo, ter custo adequado, ser abrangentes, razoáveis e diretamente relacionadas aos
objetivos de controle. São exemplos de atividades de controles internos:
44
DA GESTÃO DE RISCOS
46
VIII – monitoramento: tem como objetivo avaliar a qualidade da gestão de riscos e dos
controles internos da gestão, por meio de atividades gerenciais contínuas e/ou avaliações
independentes, buscando assegurar que estes funcionem como previsto e que sejam
modificados apropriadamente, de acordo com mudanças nas condições que alterem o
nível de exposição a riscos.
DAS RESPONSABILIDADES
48
São princípios da boa governança, devendo ser seguidos pelos órgãos e entidades do
Poder Executivo federal:
III – responsabilidade: diz respeito ao zelo que se espera dos agentes de governança na
definição de estratégias e na execução de ações para a aplicação de recursos públicos,
com vistas ao melhor atendimento dos interesses da sociedade;
49
50
51
Definições:
I - governança pública - conjunto de mecanismos de liderança, estratégia e controle postos em
prática para avaliar, direcionar e monitorar a gestão, com vistas à condução de políticas públicas
e à prestação de serviços de interesse da sociedade;
III - confiabilidade;
IV - melhoria regulatória;
V - prestação de contas e responsabilidade; e
VI - transparência.
53
III - controle, que compreende processos estruturados para mitigar os possíveis riscos com vistas
ao alcance dos objetivos institucionais e para garantir a execução ordenada, ética, econômica,
eficiente e eficaz das atividades da organização, com preservação da legalidade e da
economicidade no dispêndio de recursos públicos.
54
55
O colegiado tem como membros titulares o ministro de Estado chefe da Casa Civil da Presidência da
República, que o coordena, o ministro de Estado da Fazenda, o ministro de Estado do Planejamento,
Desenvolvimento e Gestão e o ministro de Estado da Transparência e Controladoria Geral da União.
A suplência é exercida pelos respectivos secretários executivos.
56
Embora o CIG seja o principal componente da política de governança, existem outros atores e
estruturas que desempenham um papel relevante na sua execução. A tabela abaixo traz uma síntese
das funções desempenhadas pelos principais atores e estruturas envolvidos na condução da política
de governança.
Atenção: a estrutura de controles internos dos órgãos e das entidades da administração pública
federal deve contemplar as três linhas de defesa da gestão, comunicando, de maneira clara, as
responsabilidades de todos os envolvidos e provendo uma atuação coordenada e eficiente, sem
sobreposições ou lacunas. O esquema abaixo apresenta de forma sintética o conceito das três linhas
de defesa.
57
Linha de Defesa
Situada ao nível da gestão, a primeira linha de defesa é responsável por identificar, avaliar,
controlar e mitigar os riscos, guiando o desenvolvimento e a implementação de políticas e
procedimentos internos destinados a garantir que as atividades sejam realizadas de acordo com
as metas e objetivos da organização.
Primeira linha A primeira linha contempla os controles primários, que devem ser instituídos e mantidos pelos
de defesa gestores responsáveis pela implementação das políticas públicas durante a execução de atividades
e tarefas, no âmbito de seus macroprocessos finalísticos e de apoio.
De forma a assegurar sua adequação e eficácia, os controles internos devem ser integrados ao
processo de gestão, dimensionados e desenvolvidos na proporção requerida pelos riscos, de
acordo com a natureza, a complexidade, a estrutura e a missão da organização.
As instâncias de segunda linha de defesa estão situadas ao nível da gestão e objetivam assegurar
que as atividades realizadas pela primeira linha sejam desenvolvidas e executadas de forma
apropriada.
Essas instâncias são destinadas a apoiar o desenvolvimento dos controles internos da gestão e
Segunda linha realizar atividades de supervisão e de monitoramento das ações desenvolvidas no âmbito da
de defesa primeira linha de defesa, que incluem gerenciamento de riscos, conformidade, verificação de
qualidade, controle financeiro, orientação e treinamento.
A terceira linha de defesa é representada pela atividade de auditoria interna governamental, que
presta serviços de avaliação e de consultoria com base nos pressupostos de autonomia técnica e
de objetividade.
A atividade de auditoria deve ser desempenhada com o propósito de contribuir para o
aprimoramento das políticas públicas e a atuação das organizações que as gerenciam. Os
Terceira linha destinatários dos serviços de avaliação e de consultoria prestados pelas unidades são a alta
de defesa administração, os gestores das organizações e entidades públicas federais e a sociedade.
As unidades de auditoria interna governamental devem apoiar os órgãos e as entidades do Poder
Executivo federal na estruturação e no efetivo funcionamento da primeira e da segunda linha de
defesa da gestão, por meio da prestação de serviços de consultoria e avaliação dos processos de
governança, gerenciamento de riscos e controles internos.
58
Veja, a seguir, os “Termos e definições” da ABNT - NBR ISO 31000: 2009 – Princípios e Diretrizes da
Gestão de Riscos (fornece princípios e diretrizes genéricas para a gestão de riscos). Várias definições
apresentadas também se encontram no vocabulário trazido pela ISO GUIA 73:2009:
Gestão de riscos: atividades coordenadas para dirigir e controlar uma organização no que se
refere a riscos.
59
Plano de gestão de riscos: esquema dentro da estrutura da gestão de riscos, que especifica a
abordagem, os componentes de gestão e os recursos a serem aplicados para gerenciar riscos
NOTA 1 Os componentes de gestão tipicamente incluem procedimentos, práticas, atribuição de
responsabilidades, sequência e cronologia das atividades.
NOTA 2 O plano de gestão de riscos pode ser aplicado a um determinado produto, processo e
projeto, em parte ou em toda a organização.
Comunicação e consulta: processos contínuos e iterativos que uma organização conduz para
fornecer, compartilhar ou obter informações e se envolver no diálogo com as partes interessadas
e outros, com relação a gerenciar riscos
NOTA 1 As informações podem referir-se à existência, natureza, forma, probabilidade,
significância, avaliação, aceitabilidade, tratamento ou outros aspectos da gestão de riscos.
NOTA 2 A consulta é um processo bidirecional de comunicação sistematizada entre uma
organização e suas partes interessadas ou outros, antes de tomar uma decisão ou direcionar uma
questão específica.
A consulta é: um processo que impacta uma decisão através da influência ao invés do poder; e
uma entrada para o processo de tomada de decisão, e não uma tomada de decisão em conjunto.
60
NOTA 2 A identificação de riscos pode envolver dados históricos, análises teóricas, opiniões de
pessoas informadas e especialistas, e as necessidades das partes interessadas.
61
Análise de riscos: fornece uma entrada para a avaliação de riscos e para as decisões
sobre a necessidade dos riscos serem tratados, e sobre as estratégias e métodos
mais adequados de tratamento de riscos.
62
Também em 2009, a ISO publicou versão atualizada – e compatível com a ISO 31000 – do guia ISO
Guide 73 - Risk Management Vocabulary, instrumento importante para a sedimentação de uma
linguagem comum e padronizada relativa ao tema.
64
Em 2018, a ISO 2009 foi revisada e seu conteúdo foi totalmente substituído pela nova versão. Na
essência, o processo de gestão de riscos continua o mesmo, incluindo as etapas relativas às
atividades de comunicação e consulta, ao estabelecimento do contexto, avaliação dos riscos
(identificar, analisar e avaliar os riscos), uma etapa relativa ao monitoramento e, por fim, registro e
relato dos riscos. Veja os principais tópicos da norma ABNT - NBR ISO 31000: 2018 – Princípios e
Diretrizes da Gestão de Riscos:
Gerenciar riscos é parte de todas as atividades associadas com uma organização e inclui
interação com as partes interessadas.
Gerenciar riscos baseia-se nos princípios, estrutura e processos delineados neste documento,
como ilustrado na Figura 1. Estes componentes podem já existir total ou parcialmente na
organização; contudo, podem necessitar ser adaptados ou melhorados, de forma que gerenciar
riscos seja eficiente, eficaz e consistente.
65
Princípios
66
a) Integrada
A gestão de riscos é parte integrante de todas as atividades organizacionais.
b) Estruturada e abrangente
Uma abordagem estruturada e abrangente para a gestão de riscos contribui para resultados
consistentes e comparáveis.
c) Personalizada
A estrutura e o processo de gestão de riscos são personalizados e proporcionais aos contextos
externo e interno da organização relacionados aos seus objetivos.
d) Inclusiva
67
e) Dinâmica
Riscos podem emergir, mudar ou desaparecer à medida que os contextos externo e interno de
uma organização mudem. A gestão de riscos antecipa, detecta, reconhece e responde a estas
mudanças e eventos de uma maneira apropriada e oportuna.
h) Melhoria contínua
A gestão de riscos é melhorada continuamente por meio do aprendizado e experiências.
Estrutura
68
Liderança e comprometimento
Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, assegurem que a gestão de
riscos esteja integrada em todas as atividades da organização, e convém que demonstrem
liderança e comprometimento por:
— personalizar e implementar todos os componentes da estrutura;
— emitir uma declaração ou política que estabeleça uma abordagem, plano ou curso de ação da
gestão de riscos;
— assegurar que os recursos necessários sejam alocados para gerenciar riscos;
— atribuir autoridades, responsabilidades e responsabilização nos níveis apropriados dentro da
organização; Isto vai ajudar a organização a:
— alinhar a gestão de riscos com seus objetivos, estratégia e cultura;
— reconhecer e abordar todas as obrigações, bem como seus compromissos voluntários;
— estabelecer a quantidade e o tipo de risco que pode ou não ser assumido para orientar o
desenvolvimento de critérios, assegurando que sejam comunicados à organização e às suas partes
interessadas;
— comunicar o valor da gestão de riscos para a organização e suas partes interessadas;
— promover o monitoramento sistemático de riscos;
69
Integração
A integração da gestão de riscos apoia-se em uma compreensão das estruturas e do contexto
organizacional. Estruturas diferem, dependendo do propósito, metas e complexidade da
organização. O risco é gerenciado em todas as partes da estrutura da organização. Todos na
organização têm responsabilidade por gerenciar riscos.
Concepção
Entendendo a organização e seu contexto: ao conceber a estrutura para gerenciar riscos, convém
que a organização examine e entenda seus contextos externo e interno.
Articulando o comprometimento com a gestão de riscos: convém que a Alta Direção e os órgãos
de supervisão, onde aplicável, demonstrem e articulem o seu comprometimento contínuo com a
gestão de riscos por meio de uma política, uma declaração ou outras formas que claramente
transmitam os objetivos e o comprometimento com a gestão de riscos de uma organização.
Atribuindo papéis organizacionais, autoridades, responsabilidades e responsabilizações:
convém que a Alta Direção e os órgãos de supervisão, onde aplicável, assegurem que as
autoridades, responsabilidades e responsabilizações para os papéis pertinentes à gestão de riscos
sejam atribuídas e comunicadas a todos os níveis da organização.
Alocando recursos: convém que a Alta Direção e os órgãos de supervisão, onde aplicável,
assegurem a alocação de recursos apropriados para a gestão de riscos.
Estabelecendo comunicação e consulta: convém que a organização estabeleça uma abordagem
aprovada para comunicação e consulta para apoiar a estrutura e facilitar a aplicação eficaz da
gestão de riscos. Comunicação envolve compartilhar informação com públicos-alvo. A consulta
também envolve o fornecimento de retorno pelos participantes, com a expectativa de que isto
contribuirá para as decisões e sua formulação ou outras atividades. Convém que os métodos e
conteúdo da comunicação e consulta reflitam as expectativas das partes interessadas, onde for
pertinente.
Implementação
Convém que a organização implemente a estrutura de gestão de riscos por meio de:
— desenvolvimento de um plano apropriado, incluindo prazos e recursos;
70
— identificação de onde, quando e como diferentes tipos de decisões são tomadas pela
organização, e por quem;
— modificação dos processos de tomada de decisão aplicáveis, onde necessário;
— garantia de que os arranjos da organização para gerenciar riscos sejam claramente
compreendidos e praticados.
Avaliação
Para avaliar a eficácia da estrutura de gestão de riscos, convém que a organização:
— mensure periodicamente o desempenho da estrutura de gestão de riscos em relação ao seu
propósito, planos de implementação, indicadores e comportamento esperado;
— determine se permanece adequada para apoiar o alcance dos objetivos da organização.
Melhoria
Adaptação: convém que a organização monitore e adapte continuamente a estrutura de gestão
de riscos para abordar as mudanças externas e internas. Ao fazer isso, a organização pode
melhorar seu valor.
Melhoria contínua: convém que organização melhore continuamente a adequação, suficiência e
eficácia da estrutura de gestão de riscos e a forma como o processo de gestão de riscos é
integrado.
À medida que lacunas ou oportunidades de melhoria pertinentes são identificadas, convém que
a organização desenvolva planos e tarefas e os atribua àqueles responsabilizados pela
implementação. Uma vez implementadas, convém que estas melhorias contribuam para o
aprimoramento da gestão de riscos.
Processo
O processo de gestão de riscos envolve a aplicação sistemática de políticas, procedimentos e
práticas para as atividades de comunicação e consulta, estabelecimento do contexto e avaliação,
tratamento, monitoramento, análise crítica, registro e relato de riscos. Este processo é ilustrado
na Figura 4.
71
Comunicação e consulta
O propósito da comunicação e consulta é auxiliar as partes interessadas pertinentes na
compreensão do risco, na base sobre a qual decisões são tomadas e nas razões pelas quais ações
específicas são requeridas. A comunicação busca promover a conscientização e o entendimento
do risco, enquanto a consulta envolve obter retorno e informação para auxiliar a tomada de
decisão. Convém que uma coordenação estreita entre as duas facilite a troca de informações
factuais, oportunas, pertinentes, precisas e compreensíveis, levando em consideração a
confidencialidade e integridade da informação, bem como os direitos de privacidade dos
indivíduos.
Convém que a organização defina o escopo de suas atividades de gestão de riscos. Como o
processo de gestão de riscos pode ser aplicado em diferentes níveis (por exemplo, estratégico,
operacional, programa, projeto ou outras atividades), é importante ser claro sobre o escopo em
consideração, os objetivos pertinentes a serem considerados e o seu alinhamento aos objetivos
organizacionais.
Análise de riscos
O propósito da análise de riscos é compreender a natureza do risco e suas características,
incluindo o nível de risco, onde apropriado. A análise de riscos envolve a consideração detalhada
de incertezas, fontes de risco, consequências, probabilidade, eventos, cenários, controles e sua
eficácia. Um evento pode ter múltiplas causas e consequências e pode afetar múltiplos objetivos.
A análise de riscos pode ser realizada com vários graus de detalhamento e complexidade,
dependendo do propósito da análise, da disponibilidade e confiabilidade da informação, e dos
recursos disponíveis. As técnicas de análise podem ser qualitativas, quantitativas ou uma
combinação destas, dependendo das circunstâncias e do uso pretendido.
Avaliação de riscos
O propósito da avaliação de riscos é apoiar decisões. A avaliação de riscos envolve a comparação
dos resultados da análise de riscos com os critérios de risco estabelecidos para determinar onde
é necessária ação adicional.
Tratamento de riscos
O propósito do tratamento de riscos é selecionar e implementar opções para abordar riscos.
O tratamento de riscos envolve um processo iterativo de:
— formular e selecionar opções para tratamento do risco;
— planejar e implementar o tratamento do risco;
— avaliar a eficácia deste tratamento;
— decidir se o risco remanescente é aceitável;
— se não for aceitável, realizar tratamento adicional.
Registro e relato
Convém que o processo de gestão de riscos e seus resultados sejam documentados e relatados
por meio de mecanismos apropriados.
O registro e o relato visam:
— comunicar atividades e resultados de gestão de riscos em toda a organização;
— fornecer informações para a tomada de decisão;
— melhorar as atividades de gestão de riscos;
— auxiliar a interação com as partes interessadas, incluindo aquelas com responsabilidade e com
responsabilização por atividades de gestão de riscos.
75
(VUNESP - Auditor Municipal de Controle Interno (SP) - 2015) O processo de análise de riscos, em
conformidade com a estrutura de gestão de riscos, é precedida e sucedida, respectivamente,
a) pelo tratamento de riscos e pela avaliação de riscos.
b) pela avaliação de riscos e pelo tratamento de riscos.
c) pela identificação de riscos e pelo tratamento de riscos.
d) pela avaliação de riscos e pela identificação de riscos.
e) pela identificação de riscos e pela avaliação de riscos.
Comentários:
A ISO 31000 é a norma internacional que fornece princípios e diretrizes para a gestão de riscos.
Segundo essa norma, o processo de avaliação de riscos é o processo global composto de 03 (três)
etapas, a saber:
a) Identificação de riscos cuja finalidade é gerar uma lista abrangente de riscos baseada nestes
eventos que possam criar, aumentar, evitar, reduzir, acelerar ou atrasar a realização dos objetivos.
b) Análise de riscos cuja finalidade é fornecer uma entrada para a avaliação de riscos e para as
decisões sobre a necessidade dos riscos serem tratados, e sobre as estratégias e métodos mais
adequados de tratamento de riscos.
c) Avaliação de riscos cuja finalidade é auxiliar na tomada de decisões com base nos resultados da
análise de riscos, sobre quais riscos necessitam de tratamento e a prioridade para a
implementação do tratamento.
76
(CS UFG – Auditor (UFG) – 2017) A gestão de riscos refere-se ao processo de aplicação sistemática
de políticas, procedimentos e práticas de gestão para as atividades de comunicação,
estabelecimento do contexto, avaliação, tratamento, monitoramento e análise crítica dos riscos.
A gestão de riscos envolve também a contínua avaliação da eficácia dos controles internos
implantados na organização para
a) uniformizar os riscos gerenciais.
b) mitigar os riscos relevantes.
c) eliminar os riscos críticos.
d) corrigir os riscos inerentes.
Comentários:
Questão aborda o objetivo da gestão de risco quando envolve a contínua avaliação da eficácia dos
controles internos implantados na organização. Segundo Informativo do TCU acerca de GESTÃO
DE RISCOS - LEVANTAMENTO DE GOVERNANÇA PÚBLICA:
“Organizações de todos os tipos e tamanhos enfrentam influências e fatores internos e externos
que tornam incertos se e quando atingirão seus objetivos. O efeito que esta incerteza tem sobre os
objetivos da organização é chamado de risco” (ABNT NBR ISO 31000:2009).
A gestão de riscos refere-se ao processo de aplicação sistemática de políticas, procedimentos e
práticas de gestão para as atividades de comunicação, consulta, estabelecimento do contexto,
e na identificação, avaliação, tratamento, monitoramento e análise crítica dos riscos (ABNT NBR
ISO 31000:2009). Além da identificação e decisão quanto ao tratamento dos riscos, a gestão de
riscos envolve também a contínua avaliação da eficácia dos controles internos implantados na
organização para mitigar os riscos relevantes. [grifo nosso]
Gabarito: B
77
79
De acordo com o art. 74 da Constituição Federal de 1988 (CF), os Poderes Legislativo, Executivo e
Judiciário manterão, de forma integrada, sistema de controle interno com algumas finalidades.
Nesse sentido, julgue o item a seguir, a respeito da governança no setor público.
Ao mencionar que os controles internos devem “avaliar o cumprimento das metas previstas no
plano plurianual, a execução dos programas de governo e dos orçamentos da União”, o inciso I
do artigo constitucional em questão mostra-se contraditório com as características descritas pelo
COSO ICIF 2013, em que o controle interno é planejado para assegurar tanto o alcance dos
objetivos relacionados às operações, quanto a produção de relatórios e a adequação às normas
10. (CESPE – Auditor do Estado (CAGE RS) – 2018)
Entre as quatro categorias de objetivos organizacionais estabelecidas pelo COSO inclui-se a
categoria dos objetivos operacionais, cujo propósito é
a) assegurar o cumprimento das leis e dos regulamentos.
b) utilizar de forma eficaz e eficiente os recursos.
c) viabilizar o atingimento de metas no nível mais elevado, alinhando-se e fornecendo apoio à
missão.
d) evitar a perda de ativos ou recursos da organização.
e) atestar a confiabilidade dos relatórios.
11. (CESPE – Auditor do Estado (CAGE RS) – 2018)
Determinado componente do gerenciamento de riscos corporativos permite que a organização
considere até que ponto eventos em potencial podem impactar o atingimento de seus objetivos.
O COSO denomina esse componente de
a) monitoramento.
b) atividades de controle.
c) avaliação de riscos.
d) identificação de eventos.
e) informações e comunicações.
12. (CESPE – Auditor do Estado (CAGE RS) – 2018)
Diversos tipos de alterações, como, por exemplo, nas condições demográficas, nos costumes
sociais, nas estruturas das famílias, nas prioridades de trabalho, podem provocar mudanças na
demanda de produtos e serviços, novos locais de compra, demandas relacionadas a recursos
humanos e paralisações da produção. De acordo com o COSO, as relações entre essas
alterações e seus efeitos são consideradas eventos
a) políticos.
b) de meio ambiente.
80
c) sociais.
d) pessoais.
e) econômicos.
13. (CESPE – Auditor do Estado (CAGE RS) – 2018)
A administração de uma universidade estadual identificou e avaliou os riscos associados com a
gerência da residência estudantil: concluiu que a referida gerência não possuía internamente
os requisitos necessários e as funcionalidades para administrar eficazmente essa grande
propriedade residencial, razão pela qual optou por terceirizar a administração da residência
para uma empresa especializada, que, entre outros fatores, tivesse condições de reduzir o
impacto e a probabilidade de riscos.
De acordo com o COSO, a categoria de resposta a risco descrita na situação hipotética
apresentada é
a) compartilhar.
b) evitar.
c) reduzir.
d) aceitar.
e) acolher.
14. (CESPE - Analista de Controle (TCE-PR)/Contábil - 2016)
A respeito de controles internos, de acordo com o Manual de Gerenciamento de Riscos
Corporativos — Estrutura Integrada (COSO II), do Committee of Sponsoring Organization,
assinale a opção correta.
a) Nas atividades de monitoramento, a organização deve escolher e executar avaliações para
averiguar se os componentes do controle externo estão em operação.
b) Segundo o COSO II, são quatro os componentes para o gerenciamento de riscos
corporativos: ambiente externo; fixação de objetivos; estabelecimento de riscos; atividades de
controle; e monitoramento.
c) No gerenciamento de riscos corporativos, a fixação dos objetivos será realizada após a
identificação dos eventos, a fim de se determinar quais ações serão realizadas para cada tipo
de risco.
d) Risco inerente é aquele que perdura mesmo depois da resposta dos dirigentes da
organização.
e) Em uma organização, o gerenciamento de riscos corporativos, processo conduzido pelos
seus membros, consiste em estabelecer estratégias para identificar e administrar potenciais
eventos capazes de afetá-la.
81
83
c) SOX – Sarbanes-Oxley.
d) SEC – Security Exchange Comission.
e) AICPA – American Institute of Certified Public Accountants.
24. (FUNDATEC / CAGE RS – Auditor – 2014)
Por meio do Enterprise Risk Management (ERM), é possível fazer-se o gerenciamento dos riscos
corporativos. Vários são os seus componentes. Assim, NÃO faz parte do gerenciamento de
riscos:
a) Identificação de eventos.
b) Fixação de objetivos.
c) Aproveitamento das oportunidades.
d) Atividades de controle.
e) Informações e comunicações.
25. (FGV / CM Salvador – Analista Legislativo – 2018)
A estrutura integrada de controle interno e gerenciamento de risco proposta pelo Committee
Of Sponsoring Organizations of the Treadway Commission (COSO) está baseada em quatro
categorias de objetivos.
A categoria de objetivo relacionada à sobrevivência, continuidade e sustentabilidade
organizacional é o(a):
a) comunicação;
b) conformidade;
c) desempenho;
d) estratégica;
e) operacional.
26. (FGV / CM Salvador – Analista Legislativo – 2018)
A Estrutura Integrada de Controle Interno proposta pelo Committee Of Sponsoring
Organizations of the Treadway Commission (COSO) organiza o controle interno em cinco
componentes.
Quando uma entidade que organizou o seu controle interno a partir da estrutura do COSO
realiza avaliações contínuas e/ou independentes para se certificar da presença e do
funcionamento dos componentes do controle interno, está atendendo diretamente ao
componente de:
a) ambiente de controle;
b) avaliação de riscos;
84
c) atividades de controle;
d) atividades de monitoramento;
e) informação e comunicação.
27. (FGV / ALERJ – Especialista Legislativo – 2017)
Na avaliação de sistemas de controle interno concebidos a partir da Estrutura Integrada
proposta pelo Committee of Sponsoring Organizations of the Treadway Commission (COSO), a
análise sobre as iniciativas da organização para que as pessoas assumam responsabilidade por
suas funções de controle interno na busca por objetivos está relacionada ao componente:
a) avaliação de riscos;
b) atividades de controle;
c) ambiente de controle;
d) fixação de objetivos;
e) monitoramento.
28. (FGV / ALERJ – Especialista Legislativo – 2017)
O governo de um ente estatal definiu como uma das políticas quadrienais o desenvolvimento
do artesanato em uma região do Estado, conhecida pela tradição com cerâmicas, rendas e
bordados. Para tanto, ele pretende subsidiar recursos para treinamento, construção de
instalações e aquisição de matérias-primas.
O governo estadual, por meio da Secretaria Estadual de Desenvolvimento Econômico e Social,
realizou uma análise quanto à disponibilidade de pessoal para compor um departamento
apropriado para implementar, conduzir e acompanhar a operação de concessão de subsídios.
Sob a perspectiva do documento Guidelines for Internal Control Standards for the Public Sector,
emitido pelo International Organization of Supreme Audit Institutions (INTOSAI), a análise
efetuada está relacionada ao seguinte componente:
a) monitoramento;
b) avaliação de riscos;
c) ambiente de controle;
d) informação e comunicação;
e) procedimentos de controle.
29. (FGV / TCM SP – Agente de Fiscalização – 2015)
O Comitê das Organizações Patrocinadoras da Comissão Treadway (COSO, na sigla em inglês)
apresentou, em 1992, um modelo amplamente aceito para o estabelecimento de controles
internos denominado “Controle Interno – Estrutura Integrada” – aplicável a entidades de
85
grande, médio e pequeno portes, com ou sem fins lucrativos, bem como ao setor público –,
que ficou popularmente conhecido como COSO I.
Segundo esse modelo, controle interno:
a) é um processo de trabalho que deve ficar a cargo da unidade de auditoria interna de cada
entidade;
b) é um processo conduzido pela estrutura de governança, pela administração e por pessoas
da organização;
c) é um processo que consiste de tarefas que devem ser realizadas ao menos uma vez em cada
exercício financeiro;
d) visa proporcionar certeza de que os objetivos da entidade serão alcançados;
e) não auxilia a organização a prever eventos externos que possam afetar negativamente o
alcance de seus objetivos.
30. (FGV / TCM SP – Agente de Fiscalização – 2015)
O Comitê das Organizações Patrocinadoras da Comissão Treadway (COSO, na sigla em inglês)
publicou, em 2004, o modelo denominado “Gerenciamento de Riscos Corporativos” (ERM, na
sigla em inglês), popularizado como COSO II.
Segundo esse modelo, as quatro categorias de objetivos comuns à maioria das organizações
são:
a) objetivos contábeis; objetivos de controle; objetivos estratégicos e objetivos de salvaguarda
de ativos;
b) objetivos estratégicos; objetivos sociais; objetivos de lucro e objetivos de divulgação;
c) objetivos estratégicos; objetivos operacionais; objetivos de comunicação e objetivos de
conformidade;
d) objetivos de conformidade; objetivos de comunicação; objetivos de relacionamento com
partes interessadas e objetivos ambientais e de sustentabilidade;
e) objetivos de comunicação; objetivos operacionais; objetivos de relacionamento com partes
interessadas e objetivos ambientais e de sustentabilidade.
31. (FGV / CODEMIG – Analista de Desenvolvimento Econômico – 2015)
A definição mais amplamente aceita de controles internos é a proposta pelo Committee of
Sponsoring Organizations of the Treadway Commission (COSO), que concebe o controle interno
como um processo integrado, executado pela administração e outras pessoas da entidade,
desenhado para fornecer razoável segurança sobre o alcance de objetivos nas seguintes
categorias: eficácia e eficiência operacional, mensuração de desempenho e divulgação
financeira, proteção de ativos e cumprimento de leis e regulamentações.
86
87
88
7. GABARITO
1. E 14. E 27. C
2. B 15. CERTO 28. C
3. ERRADO 16. A 29. B
4. ERRADO 17. ERRADO 30. C
5. A 18. ERRADO 31. A
6. CERTO 19. CERTO 32. A
7. CERTO 20. CERTO 33. A
8. ANULADA 21. ERRADO 34. B
9. ERRADO 22. C 35. C
10. B 23. A 36. D
11. C 24. C
12. C 25. D
13. A 26. D
89
8. A organização considera o potencial para fraude na avaliação dos riscos à realização dos
objetivos.
9. A organização identifica e avalia as mudanças que poderiam afetar, de forma
significativa, o sistema de controle interno.
c) Atividades de controle:
10. A organização seleciona e desenvolve atividades de controle que contribuem para a
redução, a níveis aceitáveis, dos riscos à realização dos objetivos.
11. A organização seleciona e desenvolve atividades gerais de controle sobre a tecnologia
para apoiar a realização dos objetivos.
12. A organização estabelece atividades de controle por meio de políticas que estabelecem
o que é esperado e os procedimentos que colocam em prática essas políticas.
d) Informação e comunicação:
13. A organização obtém ou gera e utiliza informações significativas e de qualidade para
apoiar o funcionamento do controle interno.
14. A organização transmite internamente as informações necessárias para apoiar o
funcionamento do controle interno, inclusive os objetivos e responsabilidades pelo controle.
15. A organização comunica-se com os públicos externos sobre assuntos que afetam o
funcionamento do controle interno.
e) Atividades de monitoramento:
16. A organização seleciona, desenvolve e realiza avaliações contínuas e/ou independentes
para se certificar da presença e do funcionamento dos componentes do controle interno.
17. A organização avalia e comunica deficiências no controle interno em tempo hábil aos
responsáveis por tomar ações corretivas, inclusive a estrutura de governança e alta
administração, conforme aplicável. [grifo nosso]
Gabarito: “E”.
d) à abrangência.
e) à estrutura.
Comentários
O Sumário Executivo de Controle Interno - Estrutura Integrada (2013, p.11), do
Committee of Sponsoring Organization, Coso I, estabelece os requisitos para um sistema
eficaz de controle interno. A questão aborda um desses requisitos – o funcionamento.
Veja:
Controle interno eficaz
A Estrutura estabelece os requisitos para um sistema eficaz de controle interno, que
proporciona segurança razoável acerca da realização dos objetivos da entidade. Um
sistema de controle interno eficaz reduz, a um nível aceitável, o risco de não se atingir o
objetivo de uma entidade e pode estar relacionado a uma, duas ou todas as três
categorias de objetivos. O sistema requer:
• A presença e o funcionamento de cada um dos cinco componentes e princípios
relacionados. “Presença” refere-se à determinação da existência dos componentes e
princípios relacionados no desenho e na implementação do sistema de controle interno
para atingir objetivos especificados. “Funcionamento” refere-se à determinação de que
os componentes e princípios relacionados continuem a existir na operação e na condução
do sistema de controle interno para atingir objetivos especificados;
• Os cinco componentes operam em conjunto de forma integrada. “Operam em conjunto”
refere-se à determinação de que todos os cinco componentes, em conjunto, reduzam a um
nível aceitável o risco de não se atingir o objetivo. Os componentes não devem ser
considerados de forma separada; eles operam em conjunto como um sistema integrado.
Os componentes são interdependentes e contam com uma profusão de inter-
relacionamentos e ligações entre si, especialmente a maneira como os princípios interagem
dentro e entre todos os componentes. [...]]
Ressalta-se que o controle interno da entidade é composto por cinco componentes inter-
relacionados, quais sejam: Ambiente de controle, Processo de avaliação de risco da
entidade, Sistema de informação e comunicação, Atividade de controle e Monitoramento.
Portanto, alternativa correta é B.
Gabarito: “B”.
93
94
95
Gabarito: “CERTO”.
Comentários
A Estrutura COSO I (ou COSO ICIF) apresenta três categorias de objetivos, o que permite às
organizações se concentrarem em diferentes aspectos do controle interno:
• Operacional – Esses objetivos relacionam-se à eficácia e à eficiência das operações da
entidade, inclusive as metas de desempenho financeiro e operacional e a salvaguarda de
perdas de ativos.
• Divulgação – Esses objetivos relacionam-se a divulgações financeiras e não financeiras,
internas e externas, podendo abranger os requisitos de confiabilidade, oportunidade,
transparência ou outros termos estabelecidos pelas autoridades normativas, órgãos
normatizadores reconhecidos, ou às políticas da entidade.
• Conformidade – Esses objetivos relacionam-se ao cumprimento de leis e regulamentações
às quais a entidade está sujeita.[grifo nosso]
97
“Gabarito definitivo: Deferido com anulação A redação do item prejudicou seu julgamento
objetivo.”
Gabarito: “ANULADO”.
98
99
100
Comentários
Eventos são incidentes ou ocorrências originadas a partir de fontes internas ou externas
que afetam a implementação da estratégia ou a realização dos objetivos de uma
organização. Os eventos podem provocar impacto positivo, negativo ou ambos. A questão
aborda um desses eventos - os sociais.
Segundo o Manual de Gerenciamento de Riscos Corporativos — Estrutura Integrada
(COSO II):
Os fatores externos, com os exemplos de eventos correlatos e as suas implicações, incluem
o seguinte:
Identificação de Eventos
Econômicos – os eventos relacionados contemplam: oscilações de preços, disponibilidade
de capital, ou redução nas barreiras à entrada da concorrência, cujo resultado se traduz
em um custo de capital mais elevado ou mais reduzido, e em novos concorrentes.
Meio ambiente – refere-se aos seguintes eventos: incêndios, inundações ou terremotos,
que provocam danos a fábricas ou edificações, restrição quanto ao uso de matérias-primas
e perda de capital humano.
Políticos – eleição de agentes do governo com novas agendas políticas e novas leis e
regulamentos, resultando, por exemplo, na abertura ou na restrição ao acesso a mercados
estrangeiros, ou elevação ou redução na carga tributária.
Sociais – são alterações nas condições demográficas, nos costumes sociais, nas estruturas
da família, nas prioridades de trabalho/ vida e a atividade terrorista, que, por sua vez,
podem provocar mudanças na demanda de produtos e serviços, novos locais de compra,
demandas relacionadas a recursos humanos e paralisações da produção.
Tecnológicos – são novas formas de comércio eletrônico, que podem provocar aumento na
disponibilidade de dados, reduções de custos de infraestrutura e aumento da demanda de
serviços com base em tecnologia.
Portanto, alternativa correta é C.
Gabarito: “C”.
102
103
106
Nota-se, nesse sistema, que algumas instâncias foram destacadas: as instâncias externas
de governança; as instâncias externas de apoio à governança; as instâncias internas de
governança; e as instâncias internas de apoio à governança.
a) As instâncias externas de governança são responsáveis pela fiscalização, pelo controle
e pela regulação, desempenhando importante papel para promoção da governança das
organizações públicas. São autônomas e independentes, não estando vinculadas apenas
a uma organização. Exemplos típicos dessas estruturas são o Congresso Nacional e o
Tribunal de Contas da União.
b) As instâncias externas de apoio à governança são responsáveis pela avaliação, auditoria
e monitoramento independente e, nos casos em que disfunções são identificadas, pela
comunicação dos fatos às instâncias superiores de governança. Exemplos típicos dessas
estruturas as auditorias independentes e o controle social organizado.
c) As instâncias internas de governança são responsáveis por definir ou avaliar a estratégia
e as políticas, bem como monitorar a conformidade e o desempenho destas, devendo agir
nos casos em que desvios forem identificados. São, também, responsáveis por garantir que
a estratégia e as políticas formuladas atendam ao interesse público servindo de elo entre
principal e agente. Exemplos típicos dessas estruturas são os conselhos de administração
ou equivalentes e, na falta desses, a alta administração.
d) As instâncias internas de apoio à governança realizam a comunicação entre partes
interessadas internas e externas à administração, bem como auditorias internas que
avaliam e monitoram riscos e controles internos, comunicando quaisquer disfunções
identificadas à alta administração. Exemplos típicos dessas estruturas são a ouvidoria, a
auditoria interna, o conselho fiscal, as comissões e os comitês. [grifo nosso]
Após essas considerações iniciais, analisaremos cada alternativa:
Letra A) CORRETA. Tanto a auditoria externa (instância externa) quanto à interna
(instância interna) servem de instrumento de verificação da governança, uma vez que
ambos compõem o Sistema de Governança e estão em conformidade com o Referencial.
Letra B) ERRADA. Segundo o Referencial, todas as pessoas ou entidades que tenham
recebido recursos públicos devem prestar contas. Veja:
Accountability: As normas de auditoria da Intosai conceituam accountability como a
obrigação que têm as pessoas ou entidades às quais se tenham confiado recursos, incluídas
as empresas e organizações públicas, de assumir as responsabilidades de ordem fiscal,
gerencial e programática que lhes foram conferidas, e de informar a quem lhes delegou
essas responsabilidades (BRASIL, 2011). Espera-se que os agentes de governança prestem
contas de sua atuação de forma voluntária, assumindo integralmente as consequências de
seus atos e omissões (IBGC, 2010).
Letra C) ERRADA. A instâncias externas são autônomas e independentes, não estando
vinculadas apenas a uma organização.
107
108
111
c) SOX – Sarbanes-Oxley.
d) SEC – Security Exchange Comission.
e) AICPA – American Institute of Certified Public Accountants.
Comentários
Enunciado apresenta um “mix” dos componentes do Controle Interno trazidos pelo COSO
I e dos componentes da Gestão de Riscos Corporativos trazidos pelo COSO II.
Gabarito: “A”.
112
Comentários
Inicialmente, podemos identificar que o enunciado está fazendo menção ao COSO II, que
prevê quatro categorias de objetivos (o COSO I prevê apenas 3 categorias de objetivos).
Segundo o Manual de Gerenciamento de Riscos Corporativos — Estrutura Integrada
(COSO II):
Essa estrutura de gerenciamento de riscos corporativos é orientada a fim de alcançar os
objetivos de uma organização e são classificados em quatro categorias:
Estratégicos – metas gerais, alinhadas com o que suportem à sua missão.
Operações – utilização eficaz e eficiente dos recursos.
Comunicação – confiabilidade de relatórios.
Conformidade – cumprimento de leis e regulamentos aplicáveis.
e) informação e comunicação.
Comentários
Segundo o COSO I, o controle interno consiste em 05 (cinco) componentes integrados,
conforme descrito a seguir:
a) Ambiente de controle
b) Avaliação de riscos
c) Atividades de controle
d) Informação e comunicação
e) Atividades de monitoramento: uma organização utiliza avaliações contínuas,
independentes, ou uma combinação das duas, para se certificar da presença e do
funcionamento de cada um dos cinco componentes de controle interno, inclusive a
eficácia dos controles nos princípios relativos a cada componente. As avaliações contínuas,
inseridas nos processos corporativos nos diferentes níveis da entidade, proporcionam
informações oportunas. As avaliações independentes, conduzidas periodicamente, terão
escopos e frequências diferentes, dependendo da avaliação de riscos, da eficácia das
avaliações contínuas e de outras considerações da administração.
Percebe-se, claramente, que o enunciado faz menção ao componente Monitoramento. (ou
Atividades de Monitoramento).
Gabarito: “D”.
a) Ambiente de controle:
1. A organização demonstra ter comprometimento com a integridade e os valores éticos.
2.A estrutura de governança demonstra independência em relação aos seus executivos e
supervisiona o desenvolvimento e o desempenho do controle interno.
3. A administração estabelece, com a suspensão da estrutura de governança, as estruturas,
os níveis de subordinação e as autoridades e responsabilidades adequadas na busca dos
objetivos.
4. A organização demonstra comprometimento para atrair, desenvolver e reter talentos
competentes, em linha com seus objetivos.
5. A organização faz com que as pessoas assumam responsabilidade por suas funções de
controle interno na busca pelos objetivos.
(...)
Gabarito: “C”.
115
116
a) é um processo de trabalho que deve ficar a cargo da unidade de auditoria interna de cada
entidade;
b) é um processo conduzido pela estrutura de governança, pela administração e por pessoas
da organização;
c) é um processo que consiste de tarefas que devem ser realizadas ao menos uma vez em cada
exercício financeiro;
d) visa proporcionar certeza de que os objetivos da entidade serão alcançados;
e) não auxilia a organização a prever eventos externos que possam afetar negativamente o
alcance de seus objetivos.
Comentários
De acordo com o COSO I, Controle interno é um processo conduzido pela estrutura de
governança, administração e outros profissionais da entidade, e desenvolvido para
proporcionar segurança razoável com respeito à realização dos objetivos relacionados a
operações, divulgação e conformidade.
Gabarito: “B”.
117
118
119
120
122
123
124
Divulgações financeiras
COSO I DIVULGAÇÃO
e não financeiras.
Cumprimento de leis e
CONFORMIDADE
regulamentos aplicáveis.
125
Utilização eficaz e
OPERACÕES
eficiente dos recursos.
COSO II
Confiabilidade de
COMUNICAÇÃO
relatórios.
Cumprimento de leis e
CONFORMIDADE
regulamentos aplicáveis.
Descontinuação das
EVITAR atividades que geram os
riscos.
REDUZIR probabilidade ou o
impacto dos riscos.
TIPOS
Transferência de uma
COMPARTILHAR
porção do risco.
Nenhuma medida é
adotada para afetar a
ACEITAR
probabilidade/grau de
impacto dos riscos.
126
Atividades de monitoramento
16. A organização seleciona, desenvolve e realiza avaliações contínuas e/ou independentes para se
certificar da presença e do funcionamento dos componentes do controle interno.
17. A organização avalia e comunica deficiências no controle interno em tempo hábil aos
responsáveis por tomar ações corretivas, inclusive a estrutura de governança e alta administração,
conforme aplicável.
128
11. Quais os requisitos para que um sistema de controle interno seja considerado eficaz, segundo
a estrutura do Coso I?
Resposta: um sistema de controle interno eficaz reduz, a um nível aceitável, o risco de não se atingir
o objetivo de uma entidade e pode estar relacionado a uma, duas ou todas as três categorias de
objetivos. O sistema requer:
• A presença e o funcionamento de cada um dos cinco componentes e princípios relacionados.
“Presença” refere-se à determinação da existência dos componentes e princípios relacionados no
desenho e na implementação do sistema de controle interno para atingir objetivos especificados.
“Funcionamento” refere-se à determinação de que os componentes e princípios relacionados
continuem a existir na operação e na condução do sistema de controle interno para atingir objetivos
especificados;
• Os cinco componentes operam em conjunto de forma integrada. “Operam em conjunto” refere-
se à determinação de que todos os cinco componentes, em conjunto, reduzam a um nível aceitável
o risco de não se atingir o objetivo. Os componentes não devem ser considerados de forma
separada; eles operam em conjunto como um sistema integrado. Os componentes são
interdependentes e contam com uma profusão de inter-relacionamentos e ligações entre si,
especialmente a maneira como os princípios interagem dentro e entre todos os componentes.
12. Segundo o Coso I, “Controle interno é um processo conduzido pela estrutura de governança,
administração e outros profissionais da entidade, e desenvolvido para proporcionar segurança
razoável com respeito à realização dos objetivos relacionados a operações, divulgação e
conformidade”. Quais os conceitos fundamentais associados a esta definição?
Resposta: a definição de controle interno reflete alguns conceitos fundamentais. O controle interno
é:
• Conduzido para atingir objetivos em uma ou mais categorias – operacional, divulgação e
conformidade.
• Um processo que consiste em tarefas e atividades contínuas – um meio para um fim, não um fim
em si mesmo.
• Realizado por pessoas – não se trata simplesmente de um manual de políticas e procedimentos,
sistemas e formulários, mas diz respeito a pessoas e às ações que elas tomam em cada nível da
organização para realizar o controle interno.
• Capaz de proporcionar segurança razoável - mas não absoluta, para a estrutura de governança e
alta administração de uma entidade.
• Adaptável à estrutura da entidade – flexível na aplicação para toda a entidade ou para uma
subsidiária, divisão, unidade operacional ou processo de negócio em particular.
13. O que é Gestão de Risco?
129
15. Quais são os princípios da boa governança sugeridos pelo Banco Mundial?
Resposta: A legitimidade, a equidade, a responsabilidade, a eficiência, a probidade, a transparência.
17. Quais são princípios da boa governança que devem ser seguidos pelos órgãos e entidades do
Poder Executivo federal, segundo a IN Conjunta MP/CGU nº01/2016?
I – liderança: deve ser desenvolvida em todos os níveis da administração. As competências e
responsabilidades devem estar identificadas para todos os que gerem recursos públicos, de forma a
se obter resultados adequados;
II – integridade: tem como base a honestidade e objetividade, elevando os padrões de decência e
probidade na gestão dos recursos públicos e das atividades da organização, com reflexo tanto nos
processos de tomada de decisão, quanto na qualidade de seus relatórios financeiros e de
desempenho;
III – responsabilidade: diz respeito ao zelo que se espera dos agentes de governança na
130
definição de estratégias e na execução de ações para a aplicação de recursos públicos, com vistas ao
melhor atendimento dos interesses da sociedade;
IV – compromisso: dever de todo o agente público de se vincular, assumir, agir ou decidir pautado
em valores éticos que norteiam a relação com os envolvidos na prestação de serviços à sociedade,
prática indispensável à implementação da governança;
V – transparência: caracterizada pela possibilidade de acesso a todas as informações
relativas à organização pública, sendo um dos requisitos de controle do Estado pela sociedade civil.
As informações devem ser completas, precisas e claras para a adequada tomada de decisão das
partes interessas na gestão das atividades; e
VI – Accountability: obrigação dos agentes ou organizações que gerenciam recursos públicos de
assumir responsabilidades por suas decisões e pela prestação de contas de sua atuação de forma
voluntária, assumindo integralmente a consequência de seus atos e omissões.
131
1.
2.
132
3.
Ambiente de Controle:
4.
Avaliação de riscos:
133
5.
Atividades de controle:
6.
Informação e comunicação:
134
7.
Monitoramento:
135
9.
10.
136
11.
137
12.
11
138
13.
• Sociedade e Estado
• Órgãos e entidades
• Atividades intraorganizacionais.
14.
139
15.
• Legitimidade
•Equidade
• Responsabilidade
• Eficiência
• Probidade
• Transparência
• Accountability
140
16.
Componentes de governança:
• Pessoas e competências.
•Princípios e comportamentos.
• Liderança organizacional.
• Sistema de governança.
• Estratégia organizacional.
• Alinhamento transorganizacional.
• Auditoria Interna.
• Accountability e transparência
141
17.
18.
142
19.
143
20.
144
21.
22.
145
23.
Linha de Defesa
Situada ao nível da gestão, a primeira linha de defesa é responsável por identificar, avaliar,
controlar e mitigar os riscos, guiando o desenvolvimento e a implementação de políticas e
procedimentos internos destinados a garantir que as atividades sejam realizadas de acordo com
as metas e objetivos da organização.
Primeira linha A primeira linha contempla os controles primários, que devem ser instituídos e mantidos pelos
de defesa gestores responsáveis pela implementação das políticas públicas durante a execução de atividades
e tarefas, no âmbito de seus macroprocessos finalísticos e de apoio.
De forma a assegurar sua adequação e eficácia, os controles internos devem ser integrados ao
processo de gestão, dimensionados e desenvolvidos na proporção requerida pelos riscos, de
acordo com a natureza, a complexidade, a estrutura e a missão da organização.
As instâncias de segunda linha de defesa estão situadas ao nível da gestão e objetivam assegurar
que as atividades realizadas pela primeira linha sejam desenvolvidas e executadas de forma
apropriada.
Essas instâncias são destinadas a apoiar o desenvolvimento dos controles internos da gestão e
Segunda linha realizar atividades de supervisão e de monitoramento das ações desenvolvidas no âmbito da
de defesa primeira linha de defesa, que incluem gerenciamento de riscos, conformidade, verificação de
qualidade, controle financeiro, orientação e treinamento.
A terceira linha de defesa é representada pela atividade de auditoria interna governamental, que
presta serviços de avaliação e de consultoria com base nos pressupostos de autonomia técnica e
de objetividade.
A atividade de auditoria deve ser desempenhada com o propósito de contribuir para o
aprimoramento das políticas públicas e a atuação das organizações que as gerenciam. Os
Terceira linha destinatários dos serviços de avaliação e de consultoria prestados pelas unidades são a alta
de defesa administração, os gestores das organizações e entidades públicas federais e a sociedade.
As unidades de auditoria interna governamental devem apoiar os órgãos e as entidades do Poder
Executivo federal na estruturação e no efetivo funcionamento da primeira e da segunda linha de
defesa da gestão, por meio da prestação de serviços de consultoria e avaliação dos processos de
governança, gerenciamento de riscos e controles internos.
146
24.
25.
147
26.
27.
148
28.
149
11. BIBLIOGRAFIA
BRASIL. Tribunal de Contas da União. REFERENCIAL BÁSICO DE GESTÃO DE RISCOS. Brasília, 2018.
Disponível em: <http://portal.tcu.gov.br/biblioteca-digital/referencial-basico-de-gestao-de-riscos-
FF8080816364D7980163BDC34BE55F20.htm>. Acesso em 12 de setembro de 2019.
_______. Tribunal de Contas da União. Referencial Básico de Governança, Brasília, DF, 2014.
Disponível em:< http://portal.tcu.gov.br/comunidades/governanca/entendendo-a-
governanca/referencial-de-governanca/>. Acesso em 12 de setembro de 2019.
150
_______. ABNT NBR ISO 31000:2009. Gestão de riscos – Princípios e Diretrizes. Disponível em:
< https://www.abntcatalogo.com.br/norma.aspx?ID=57311>. Acesso em 12 de setembro de 2019.
_______. ABNT ISO GUIA 73: 2009. Gestão de riscos - Vocabulário. Disponível em:
< https://www.abntcatalogo.com.br/norma.aspx?ID=57312>. Acesso em 12 de setembro de 2019.
_______.ABNT NBR ISO 31000:2018. Gestão de riscos – Princípios e Diretrizes. Disponível em:
< https://portaldagestaoderiscos.com/wp-content/uploads/2018/02/ISO-31000.pdf>. Acesso em
12 de setembro de 2019.
151