Normas de Auditoria - Aula 09

Aula 09
Normas de Auditoria p/ TCE-AM (Analista

de Controle Externo. - Auditoria
Governamental) - FGV
Autores:
Guilherme Sant Anna, Tonyvan de
Carvalho Oliveira
Aula 09
7 de Abril de 2020
00411713221 - Janaína Miranda dos Santos

Guilherme Sant Anna, Tonyvan de Carvalho Oliveira
Aula 09
1619643
Sumário
Motivação da Aula ............................................................................................................. 2
1. Gestão de risco e Controles Internos: COSO I ................................................................. 3
2. Gestão de risco e Controles Internos: COSO II .............................................................. 16
3. COSO – ERM (COSO 2017) ............................................................................................ 24
4. Governança no setor público ....................................................................................... 30
4.1 – Governança segundo referencial básico do TCU .................................................................... 30
4.2 – Instrução Normativa Conjunta MP/CGU nº 01/2016 ............................................................ 39
4.3 – Guia da política de Governança Pública da CGU ................................................................... 50
5. Normas da ISO sobre Gestão de Risco .......................................................................... 59
6. Lista de Questões de Concursos Anteriores .................................................................. 78
7. Gabarito....................................................................................................................... 89
8. Questões de Concursos Anteriores Resolvidas e Comentadas ...................................... 90
9. Respostas das questões subjetivas ............................................................................. 124
10. Resumo em mapas, esquemas e tópicos .................................................................. 132
Normas de Auditoria p/ TCE-AM (Analista de Controle Externo. - Auditoria Governamental) - FGV

www.estrategiaconcursos.com.br

Aula 09
1619643
11. Bibliografia .............................................................................................................. 150
MOTIVAÇÃO DA AULA
LISTA DE PERGUNTAS
1. O que é Controle Interno, segundo o Coso?
2. Defina Gerenciamento de Riscos Corporativos.
3. Quais os componentes do controle interno, segundo o Coso I?
4. Quais os componentes do gerenciamento de riscos corporativos, segundo o Coso II?
5. Quais as categorias de objetivos do Coso I?
6. Quais as categorias de objetivos do Coso II?
7. Quais as categorias de respostas aos riscos, segundo Coso II?
8. Quais os 17 princípios que representam os conceitos fundamentais associados a cada
componente da Estrutura do Coso I?
9. Defina evento, risco e oportunidade.
10. Há limitações na estrutura de controle interno? Explique.
11. Quais os requisitos para que um sistema de controle interno seja considerado eficaz,
segundo a estrutura do Coso I?
12. Segundo o Coso I, “Controle interno é um processo conduzido pela estrutura de governança,
administração e outros profissionais da entidade, e desenvolvido para proporcionar segurança
razoável com respeito à realização dos objetivos relacionados a operações, divulgação e
conformidade”. Quais os conceitos fundamentais associados a esta definição?
13. O que é Gestão de Risco?
14. Quais os mecanismos que a governança pública engloba?
15. Quais são os princípios da boa governança sugeridos pelo Banco Mundial?
16. Exemplifique atividades de controles internos.
17. Quais são princípios da boa governança que devem ser seguidos pelos órgãos e entidades
do Poder Executivo federal, segundo a IN Conjunta MP/CGU nº01/2016?


Aula 09
1619643
1. GESTÃO DE RISCO E CONTROLES INTERNOS: COSO I

Gestão de riscos consiste em um conjunto de atividades coordenadas para identificar, analisar,
avaliar, tratar e monitorar riscos.
É o processo que visa conferir razoável segurança quanto ao alcance dos objetivos. Para lidar com
riscos e aumentar a chance de alcançar objetivos, as organizações adotam desde abordagens
informais até abordagens altamente estruturadas e sistematizadas de gestão de riscos, dependendo
de seu porte e da complexidade de suas operações.
Adotar padrões e boas práticas estabelecidos em modelos reconhecidos é uma maneira eficaz de
estabelecer uma abordagem sistemática, oportuna e estruturada para a gestão de riscos, que
contribua para a eficiência e a obtenção de resultados consistentes (ABNT, 2009). Isso evita que a
organização seja aparelhada com uma coleção de instrumentos e procedimentos burocráticos,
descoordenados, que podem levar à falsa impressão da existência de um sistema de gestão de riscos
e controle efetivo que, na prática, não garantem os benefícios desejados.
Neste tópico da aula, apresentaremos um dos principais modelos (internacionalmente reconhecidos
– e cobrados em provas de concursos ) utilizados pelas organizações para implementar a gestão
de riscos (e controles internos) de forma consistente e sistematizada.
No início dos anos 90, as bases para o que conhecemos hoje como gestão de riscos foram
estabelecidas mediante a publicação de três documentos que se tornaram referência mundial no
tema: o COSO I, o Cadbury e a AS/NZS 4360:1995.
O guia Internal Control - Integrated Framework (COSO I – doravante denominado Estrutura),
publicado em 1992 pelo Committee of Sponsoring Organizations of the Treadway Commission –
COSO, consolidou a ideia de gestão de risco corporativo e apresentou um conjunto de princípios e
boas práticas de gestão e controle interno (COSO, 1992). Essa primeira versão obteve grande
aceitação e tem sido aplicada amplamente em todo o mundo. Ela é reconhecida como uma estrutura
modelo para o desenvolvimento, implementação e condução do controle interno, bem como para a
avaliação de sua eficácia.
Apresentaremos, a seguir, um extrato dos tópicos principais do Coso I:
Definição de controle interno

Controle interno é um processo conduzido pela estrutura de governança, administração e
outros profissionais da entidade, e desenvolvido para proporcionar segurança razoável com
respeito à realização dos objetivos relacionados a operações, divulgação e conformidade.


Aula 09
1619643
Essa definição reflete alguns conceitos fundamentais. O controle interno é:

• Conduzido para atingir objetivos em uma ou mais categorias – operacional, divulgação e
conformidade.
• Um processo que consiste em tarefas e atividades contínuas – um meio para um fim, não um
fim em si mesmo.
• Realizado por pessoas – não se trata simplesmente de um manual de políticas e procedimentos,
sistemas e formulários, mas diz respeito a pessoas e às ações que elas tomam em cada nível da
organização para realizar o controle interno.
• Capaz de proporcionar segurança razoável - mas não absoluta, para a estrutura de governança
e alta administração de uma entidade.
• Adaptável à estrutura da entidade – flexível na aplicação para toda a entidade ou para uma
subsidiária, divisão, unidade operacional ou processo de negócio em particular.
Essa definição é intencionalmente abrangente. Ela captura conceitos importantes que são
fundamentais para a forma como as organizações desenvolvem, implementam e conduzem o
controle interno, proporcionando uma base para aplicação a todas as organizações que operam
em diferentes estruturas de entidades, indústrias e regiões geográficas.
Objetivos
A Estrutura apresenta três categorias de objetivos, o que permite às organizações se
concentrarem em diferentes aspectos do controle interno:
• Operacional – Esses objetivos relacionam-se à eficácia e à eficiência das operações da
entidade, inclusive as metas de desempenho financeiro e operacional e a salvaguarda de perdas
de ativos.
• Divulgação – Esses objetivos relacionam-se a divulgações financeiras e não financeiras,
internas e externas, podendo abranger os requisitos de confiabilidade, oportunidade,
transparência ou outros termos estabelecidos pelas autoridades normativas, órgãos
normatizadores reconhecidos, ou às políticas da entidade.
• Conformidade – Esses objetivos relacionam-se ao cumprimento de leis e regulamentações às
quais a entidade está sujeita.


Aula 09
1619643
Componentes do controle interno

O controle interno consiste em cinco componentes integrados.
1) Ambiente de controle
O ambiente de controle é um conjunto de normas, processos e estruturas que fornece a base
para a condução do controle interno por toda a organização. A estrutura de governança e a alta
administração estabelecem uma diretriz sobre a importância do controle interno, inclusive das
normas de conduta esperadas. A administração reforça as expectativas nos vários níveis da
organização.
O ambiente de controle abrange a integridade e os valores éticos da organização; os parâmetros
que permitem à estrutura de governança cumprir com suas responsabilidades de supervisionar a
governança; a estrutura organizacional e a delegação de autoridade e responsabilidade; o
processo de atrair, desenvolver e reter talentos competentes; e o rigor em torno de medidas,
incentivos e recompensas por performance. O ambiente de controle resultante tem impacto
pervasivo sobre todo o sistema de controle interno.
2) Avaliação de riscos
Toda entidade enfrenta vários riscos de origem tanto interna quanto externa. Define-se risco
como a possibilidade de que um evento ocorra e afete adversamente a realização dos objetivos.
A avaliação de riscos envolve um processo dinâmico e iterativo para identificar e avaliar os riscos
à realização dos objetivos.


Aula 09
1619643
Esses riscos de não se atingir os objetivos em toda a entidade são considerados em relação às
tolerâncias aos riscos estabelecidos. Dessa forma, a avaliação de riscos estabelece a base para
determinar a maneira como os riscos serão gerenciados.
Uma condição prévia à avaliação de riscos é o estabelecimento de objetivos, ligados aos diferentes
níveis da entidade. A administração especifica os objetivos dentro das categorias: operacional,
divulgação e conformidade, com clareza suficiente para identificar e analisar os riscos à realização
desses objetivos. A administração também considera a adequação dos objetivos à entidade. A
avaliação de riscos requer ainda que a administração considere o impacto de possíveis mudanças
no ambiente externo e dentro de seu próprio modelo de negócio que podem tornar o controle
interno ineficaz.
3) Atividades de controle
Atividades de controle são ações estabelecidas por meio de políticas e procedimentos que
ajudam a garantir o cumprimento das diretrizes determinadas pela administração para mitigar
os riscos à realização dos objetivos. As atividades de controle são desempenhadas em todos os
níveis da entidade, em vários estágios dentro dos processos corporativos e no ambiente
tecnológico. Podem ter natureza preventiva ou de detecção e abranger uma série de atividades
manuais e automáticas, como autorizações e aprovações, verificações, reconciliações e revisões
de desempenho do negócio. A segregação de funções é geralmente inserida na seleção e no
desenvolvimento das atividades de controle. Nos casos em que a segregação de funções seja
impraticável, a administração deverá selecionar e desenvolver atividades alternativas de controle.
4) Informação e comunicação
A informação é necessária para que a entidade cumpra responsabilidades de controle interno a
fim de apoiar a realização de seus objetivos.
A administração obtém ou gera e utiliza informações importantes e de qualidade, originadas
tanto de fontes internas quanto externas, a fim de apoiar o funcionamento de outros
componentes do controle interno. A comunicação é o processo contínuo e iterativo de
proporcionar, compartilhar e obter as informações necessárias. A comunicação interna é o meio
pelo qual as informações são transmitidas para a organização, fluindo em todas as direções da
entidade.
Ela permite que os funcionários recebam uma mensagem clara da alta administração de que as
responsabilidades pelo controle devem ser levadas a sério. A comunicação externa apresenta
duas vertentes: permite o recebimento, pela organização, de informações externas
significativas, e proporciona informações a partes externas em resposta a requisitos e
expectativas.


Aula 09
1619643
5) Atividades de monitoramento
Uma organização utiliza avaliações contínuas, independentes, ou uma combinação das duas,
para se certificar da presença e do funcionamento de cada um dos cinco componentes de
controle interno, inclusive a eficácia dos controles nos princípios relativos a cada componente. As
avaliações contínuas, inseridas nos processos corporativos nos diferentes níveis da entidade,
proporcionam informações oportunas. As avaliações independentes, conduzidas
periodicamente, terão escopos e frequências diferentes, dependendo da avaliação de riscos, da
eficácia das avaliações contínuas e de outras considerações da administração. Os resultados são
avaliados em relação a critérios estabelecidos pelas autoridades normativas, órgãos
normatizadores reconhecidos ou pela administração e a estrutura de governança, sendo que as
deficiências são comunicadas à estrutura de governança e administração, conforme aplicável.
Relação entre objetivos e componentes

Existe uma relação direta entre os objetivos (aquilo que a entidade busca alcançar), os
componentes (o que é necessário para se atingir os objetivos), e a estrutura organizacional da
entidade (as unidades operacionais e entidades legais, entre outras). Essa relação pode ser
ilustrada na forma de um cubo.
• As três categorias de objetivos – operacional, divulgação e conformidade – são representadas

pelas colunas.
• Os cinco componentes são representados pelas linhas.


Aula 09
1619643
• A estrutura organizacional da entidade é representada pela terceira dimensão.
Componentes e princípios
A Estrutura estabelece 17 princípios, que representam os conceitos fundamentais associados a
cada componente. Como esses princípios são originados diretamente dos componentes, uma
entidade poderá ter um controle interno eficaz ao aplicar todos os princípios. Todos os princípios
aplicam-se aos objetivos operacionais, divulgação e conformidade. Os princípios que apoiam os
componentes do controle interno estão relacionados a seguir.
Ambiente de controle
1. A organização demonstra ter comprometimento com a integridade e os valores éticos.
2. A estrutura de governança demonstra independência em relação aos seus executivos e
supervisiona o desenvolvimento e o desempenho do controle interno.
3. A administração estabelece, com a suspensão da estrutura de governança, as estruturas, os
níveis de subordinação e as autoridades e responsabilidades adequadas na busca dos objetivos.
4. A organização demonstra comprometimento para atrair, desenvolver e reter talentos
competentes, em linha com seus objetivos.
5. A organização faz com que as pessoas assumam responsabilidade por suas funções de
controle interno na busca pelos objetivos.
Avaliação de riscos
6. A organização especifica os objetivos com clareza suficiente, a fim de permitir a identificação
e a avaliação dos riscos associados aos objetivos.
7. A organização identifica os riscos à realização de seus objetivos por toda a entidade e analisa
os riscos como uma base para determinar a forma como devem ser gerenciados.
8. A organização considera o potencial para fraude na avaliação dos riscos à realização dos
objetivos.
9. A organização identifica e avalia as mudanças que poderiam afetar, de forma significativa, o
sistema de controle interno.
Atividades de controle
10. A organização seleciona e desenvolve atividades de controle que contribuem para a
redução, a níveis aceitáveis, dos riscos à realização dos objetivos.


Aula 09
1619643
11. A organização seleciona e desenvolve atividades gerais de controle sobre a tecnologia para
apoiar a realização dos objetivos.
12. A organização estabelece atividades de controle por meio de políticas que estabelecem o
que é esperado e os procedimentos que colocam em prática essas políticas.
Informação e comunicação
13. A organização obtém ou gera e utiliza informações significativas e de qualidade para apoiar
o funcionamento do controle interno.
14. A organização transmite internamente as informações necessárias para apoiar o
funcionamento do controle interno, inclusive os objetivos e responsabilidades pelo controle.
15. A organização comunica-se com os públicos externos sobre assuntos que afetam o
funcionamento do controle interno.
Atividades de monitoramento
16. A organização seleciona, desenvolve e realiza avaliações contínuas e/ou independentes para
se certificar da presença e do funcionamento dos componentes do controle interno.
17. A organização avalia e comunica deficiências no controle interno em tempo hábil aos
responsáveis por tomar ações corretivas, inclusive a estrutura de governança e alta
administração, conforme aplicável.
Controle interno eficaz

A Estrutura estabelece os requisitos para um sistema eficaz de controle interno, que proporciona
segurança razoável acerca da realização dos objetivos da entidade. Um sistema de controle
interno eficaz reduz, a um nível aceitável, o risco de não se atingir o objetivo de uma entidade e
pode estar relacionado a uma, duas ou todas as três categorias de objetivos. O sistema requer:
• A presença e o funcionamento de cada um dos cinco componentes e princípios relacionados.
“Presença” refere-se à determinação da existência dos componentes e princípios relacionados no
desenho e na implementação do sistema de controle interno para atingir objetivos especificados.
“Funcionamento” refere-se à determinação de que os componentes e princípios relacionados
continuem a existir na operação e na condução do sistema de controle interno para atingir
objetivos especificados;
• Os cinco componentes operam em conjunto de forma integrada. “Operam em conjunto”
refere-se à determinação de que todos os cinco componentes, em conjunto, reduzam a um nível
aceitável o risco de não se atingir o objetivo. Os componentes não devem ser considerados de
forma separada; eles operam em conjunto como um sistema integrado. Os componentes são


Aula 09
1619643
interdependentes e contam com uma profusão de inter-relacionamentos e ligações entre si,

especialmente a maneira como os princípios interagem dentro e entre todos os componentes.
Limitações
A Estrutura reconhece que, embora o controle interno proporcione segurança razoável quanto à
realização dos objetivos da entidade, existem limitações.
O controle interno não é capaz de evitar julgamentos errôneos ou más decisões, ou ainda eventos
externos que impeçam a organização de atingir suas metas operacionais. Em outras palavras, até
mesmo um sistema eficaz de controle interno pode apresentar falhas. As limitações podem ser
resultado de:
• adequação dos objetivos estabelecidos como uma condição prévia ao controle interno;
• realidade de que o julgamento humano na tomada de decisões pode ser falho e tendencioso;
• falhas que podem ocorrer devido a erros humanos, como enganos simples;
• capacidade da administração de sobrepassar o controle interno;
• capacidade da administração, outros funcionários e/ou terceiros transpassarem os controles
por meio de conluio entre as partes; e
• eventos externos fora do controle da organização.
Essas limitações impedem que a estrutura de governança e a administração tenha segurança
absoluta da realização dos objetivos da entidade – isto é, o controle interno proporciona
segurança razoável, mas não absoluta. Embora essas limitações sejam inerentes, a administração
deve estar ciente delas ao selecionar, desenvolver e aplicar controles na organização para
minimizar, dentro do possível, tais limitações.
1) O Conceito de Controle Interno;

2) As três categorias de objetivos;
3) As palavras-chaves de cada um dos cinco componentes do Controle Interno.
4) Os 17 princípios associados a cada componente do Controle Interno.
Esquematizamos a seguir algumas das informações trazidas nos dispositivos acima apresentados:
10


Aula 09
1619643
Ambiente de Controle:
• Conjunto de normas, processos e estruturas que fornece a base para a

condução do controle interno por toda a organização
• Abrange a integridade e os valores éticos da organização
• Inclui a estrutura organizacional
• Abrange ainda a delegação de autoridade e responsabilidade
Avaliação de riscos:
• Define-se risco como a possibilidade de que um evento ocorra e afete

adversamente a realização dos objetivos.
•Envolve um processo dinâmico e iterativo para identificar e avaliar os riscos.
• Requer que a administração considere o impacto de possíveis mudanças no

ambiente externo e dentro de seu próprio modelo de negócio que podem tornar
o Controle Interno ineficaz.
Atividades de controle:
• São ações estabelecidas por meio de políticas e procedimentos que ajudam

a garantir o cumprimento das diretrizes determinadas pela administração
para mitigar os riscos à realização dos objetivos.
• Tem natureza preventiva ou de detecção e abrangem uma série de

atividades manuais e automáticas, como autorizações e aprovações,
verificações, reconciliações e revisões de desempenho do negócio.
• A segregação de funções é geralmente inserida na seleção e no

desenvolvimento das atividades de controle.
11


Aula 09
1619643
Informação e comunicação:

componentes do controle interno.
A comunicação é o processo contínuo e iterativo de proporcionar, compartilhar e obter as

informações necessárias.
A comunicação interna é o meio pelo qual as informações são transmitidas para a

organização, fluindo em todas as direções da entidade.
A comunicação externa apresenta duas vertentes: permite o recebimento, pela organização,

de informações externas significativas, e proporciona informações a partes externas em
resposta a requisitos e expectativas.
Monitoramento:
• Uma organização utiliza avaliações contínuas, independentes, ou uma combinação das

duas, para se certificar da presença e do funcionamento de cada um dos cinco
componentes de controle interno.
• As avaliações contínuas, inseridas nos processos corporativos nos diferentes níveis da

entidade, proporcionam informações oportunas.
• As avaliações independentes, conduzidas periodicamente, terão escopos e

frequências diferentes, dependendo da avaliação de riscos, da eficácia das avaliações
contínuas e de outras considerações da administração.
12


Aula 09
1619643
(CESPE – AUDITOR DE CONTROLE INTERNO /CGE CE – 2019) Na relação entre objetivos e

componentes de controle de determinada entidade,
A) a estrutura de governança deve ser independente de seus executivos.
B) os níveis de subordinação devem obedecer aos padrões de mercado.
C) a identificação do potencial de fraude é responsabilidade da auditoria.
D) o objetivo do controle interno é eliminar os riscos à realização dos objetivos.
E) os assuntos que afetam o controle interno são vedados ao público externo.
Comentários:
Questão aborda aspectos gerais da relação entre objetivos e componentes da estrutura de
Controle Interno. Segundo a Estrutura do Coso I, existe uma relação direta entre os objetivos, que
são o que a entidade busca alcançar, os componentes, que representam o que é necessário para
atingir os objetivos, e a estrutura organizacional da entidade (as unidades operacionais e
entidades legais, entre outras). Nesse contexto, a Estrutura estabelece 17 princípios, que
representam os conceitos fundamentais associados a cada componente.
Analisando cada alternativa:
Letra A) CORRETA. Esse é um princípio associado ao Ambiente de Controle. Veja:
3. A administração estabelece, com a suspensão da estrutura de governança, as estruturas, os
níveis de subordinação e as autoridades e responsabilidades adequadas na busca dos objetivos.
4. [...] [Grifos não constantes no original]
Letra B) ERRADA. Quem estabelece os níveis de subordinação é a administração da entidade (e
não o mercado).
Letra C) ERRADA. Regra geral em auditoria: a responsabilidade principal pela identificação,
prevenção e detecção de fraudes e erros é do corpo diretivo da entidade (administração e
responsáveis pela governança).
Letra D) ERRADA. O correto seria dizer “reduzir a um nível aceitável” (ao invés de “eliminar”), uma
vez que o controle interno não é capaz de evitar julgamentos errôneos ou más decisões, ou ainda
13


Aula 09
1619643
eventos externos que impeçam a organização de atingir suas metas operacionais. Em outras
palavras, até mesmo um sistema eficaz de controle interno pode apresentar falhas.
Letra E) ERRADA. Não existe tal vedação. A administração obtém ou gera e utiliza informações
importantes e de qualidade, originadas tanto de fontes internas quanto externas, a fim de apoiar
o funcionamento de outros componentes do controle interno.
Gabarito: A.
(CESPE – AUDITOR DE CONTROLE INTERNO /CGE CE – 2019) Assinale a opção correta, relativa ao
ambiente de controle de uma organização.
A) O ambiente de controle deve ser delimitado em uma subdivisão da organização.
B) O sistema de controle deve estabelecer suas próprias normas de funcionamento.
C) Os valores éticos da organização são fatores exteriores ao controle interno.
D) Os parâmetros de supervisão da governança são definidos no ambiente de controle.
E) Os níveis operacionais devem desconhecer as expectativas do ambiente de controle.
Comentários:
Questão aborda aspectos relacionados ao ambiente de controle de uma organização. Analisando
cada alternativa:
Letra A) ERRADA. Não existe tal delimitação. O ambiente de controle tem impacto pervasivo sobre
todo o sistema de controle interno.
Letra B) ERRADA. A estrutura de governança e a alta administração estabelecem uma diretriz
sobre a importância do controle interno, inclusive das normas de conduta esperadas. A
administração reforça as expectativas nos vários níveis da organização. Dessa forma, quem
estabelece as normas sobre o sistema de controle é a estrutura de governança e a alta
administração.
Letra C) ERRADA. O ambiente de controle abrange, dentre outros, a integridade e os valores éticos
da organização. Os valores éticos são fatores intrínsecos à organização, sendo fatores interiores
(e não exteriores) ao controle interno.
Letra D) CORRETA. Está em conformidade com a Estrutura do Coso I. Veja:
O ambiente de controle abrange a integridade e os valores éticos da organização; os parâmetros
que permitem à estrutura de governança cumprir com suas responsabilidades de supervisionar
a governança; a estrutura organizacional e a delegação de autoridade e responsabilidade [...].
[Grifos não constantes no original]
14


Aula 09
1619643
Letra E) ERRADA. Segundo o COSO I, a administração reforça as expectativas (do controle) nos
vários níveis da organização. Dessa maneira, o correto seria dizer que os níveis operacionais devem
“conhecer” (ao invés de “desconhecer”) as expectativas do ambiente de controle.
Gabarito: D.
(CESPE – AUDITOR DE CONTROLE INTERNO /CGE CE – 2019) Assinale a opção correta, acerca de
atividades de controle.
A) As políticas da entidade têm influência indireta sobre as atividades de controle.
B) As atividades de controle se restringem ao sistema de controle interno.
C) É vedada a segregação de funções das atividades de controle.
D) As atividades de controle se destinam ao nível de governança.
E) A detecção de fraudes e risco resume as atividades de controle.
Comentários:
Questão aborda aspectos relacionados às atividades de controle (um dos componentes do
Controle Interno). Analisando cada alternativa:
Letra A) ERRADA. O correto seria influência “DIRETA” ao invés de “INDIRETA”, afinal atividades de
controle são ações estabelecidas por meio de políticas e procedimentos da organização.
Letra B) ERRADA. As atividades de controle são desempenhadas em todos os níveis da entidade,
em vários estágios dentro dos processos corporativos e no ambiente tecnológico.
Letra C) ERRADA. A segregação de funções é geralmente inserida na seleção e no desenvolvimento
das atividades de controle. Nos casos em que a segregação de funções seja impraticável, a
administração deverá selecionar e desenvolver atividades alternativas de controle.
Letra D) CORRETA. Estrutura (ou nível) de governança, de acordo com o COSO I, abrange o órgão
deliberativo, como conselho de administração, conselho consultivo, sócios, proprietários ou
conselho supervisor. Podemos entender então que assertiva está de acordo com o que prevê o
COSO I. Veja:
Atividades de controle são ações estabelecidas por meio de políticas e procedimentos que
ajudam a garantir o cumprimento das diretrizes determinadas pela administração para mitigar
os riscos à realização dos objetivos.
Letra E) ERRADA. Atividades de controle possuem escopo amplo, não se limitando à detecção de
fraudes e risco. Elas podem ter natureza preventiva ou de detecção e abranger uma série de
atividades manuais e automáticas, como autorizações e aprovações, verificações, reconciliações e
revisões de desempenho do negócio.
Gabarito: D.
15


Aula 09
1619643
2. GESTÃO DE RISCO E CONTROLES INTERNOS: COSO II

Em 2004, foi publicado pelo COSO o Enterprise Risk Management - Integrated Framework (conhecido
como COSO-ERM ou COSO II), referência que estendeu o escopo do COSO I, tendo como foco a
gestão de riscos corporativos. Em outros termos, acrescentou-se ao Coso I três novos elementos (a
seguir listados), transformando-o no Enterprise Risk Management – Integrated Framework (COSO
II): fixação de objetivos, identificação de eventos e resposta a risco.
A implantação e o aprimoramento da gestão de riscos em uma organização constitui um processo
de aprendizagem, que começa com o desenvolvimento de consciência sobre a importância de
gerenciar riscos e avança com a implementação de práticas e estruturas necessárias.
O ápice desse processo se dá quando a organização conta com uma abordagem sistêmica e
consistente para gerenciar riscos e com uma cultura organizacional profundamente consciente dos
princípios e práticas da gestão de riscos.
Para facilitar o alcance desses objetivos, sugere-se, sempre que possível, observar os modelos
existentes, lembrando que a aplicação de um modelo deve considerar o princípio básico de que a
gestão de riscos deve ser feita sob medida, alinhada com o contexto interno e externo da
organização e com o seu perfil de risco (ABNT, 2009).
O Gerenciamento de Riscos Corporativos – Estrutura Integrada (COSO II) trata de um modelo de
gestão de riscos predominante no cenário corporativo internacional, com o propósito de fornecer
estratégia de fácil utilização pelas organizações para avaliar e melhorar a gestão de riscos.
O modelo é apresentado na forma de matriz tridimensional (cubo), demonstrando uma visão
integrada dos componentes que os gestores precisam adotar para gerenciar os riscos de modo
eficaz, no contexto dos objetivos e da estrutura de cada organização.
Apresentamos, a seguir, um extrato dos principais tópicos do COSO II:
Definição de Gerenciamento de Riscos Corporativos
O gerenciamento de riscos corporativos é um processo conduzido em uma organização pelo

conselho de administração, diretoria e demais empregados, aplicado no estabelecimento de
estratégias, formuladas para identificar em toda a organização eventos em potencial, capazes
16


Aula 09
1619643
de afetá-la, e administrar os riscos de modo a mantê-los compatível com o apetite a risco da

organização e possibilitar garantia razoável do cumprimento dos seus objetivos.
Essa definição reflete certos conceitos fundamentais. O gerenciamento de riscos corporativos é:

• um processo contínuo e que flui através da organização;
• conduzido pelos profissionais em todos os níveis da organização;
• aplicado à definição das estratégias;
• aplicado em toda a organização, em todos os níveis e unidades, e inclui a formação de uma
visão de portfólio de todos os riscos a que ela está exposta;
• formulado para identificar eventos em potencial, cuja ocorrência poderá afetar a organização,
e
• para administrar os riscos de acordo com seu apetite a risco;
• capaz de propiciar garantia razoável para o conselho de administração e a diretoria executiva
de uma organização;
• orientado para a realização de objetivos em uma ou mais categorias distintas, mas
dependentes.
Realização de Objetivos
A estrutura de gerenciamento de riscos corporativos é orientada a fim de alcançar os objetivos
de uma organização e são classificados em quatro categorias:
• Estratégicos – metas gerais, alinhadas com o que suportem à sua missão.
• Operações – utilização eficaz e eficiente dos recursos.
• Comunicação – confiabilidade de relatórios.
• Conformidade – cumprimento de leis e regulamentos aplicáveis.
17


Aula 09
1619643
Componentes do Gerenciamento de Riscos Corporativos
1) Ambiente Interno – o ambiente interno compreende o tom de uma organização e fornece a

base pela qual os riscos são identificados e abordados pelo seu pessoal, inclusive a filosofia de
gerenciamento de riscos, o apetite a risco, a integridade e os valores éticos, além do ambiente
em que estes estão.
2) Fixação de Objetivos – os objetivos devem existir antes que a administração possa identificar
os eventos em potencial que poderão afetar a sua realização. O gerenciamento de riscos
corporativos assegura que a administração disponha de um processo implementado para
estabelecer os objetivos que propiciem suporte e estejam alinhados com a missão da
organização e sejam compatíveis com o seu apetite a riscos.
3) Identificação de Eventos – os eventos internos e externos que influenciam o cumprimento
dos objetivos de uma organização devem ser identificados e classificados entre riscos e
oportunidades. Essas oportunidades são canalizadas para os processos de estabelecimento de
estratégias da administração ou de seus objetivos.
4) Avaliação de Riscos – os riscos são analisados, considerando-se a sua probabilidade e o
impacto como base para determinar o modo pelo qual deverão ser administrados. Esses riscos
são avaliados quanto à sua condição de inerentes e residuais.
5) Resposta a Risco – a administração escolhe as respostas aos riscos - evitando, aceitando,
reduzindo ou compartilhando – desenvolvendo uma série de medidas para alinhar os riscos com
a tolerância e com o apetite a risco. As respostas a riscos classificam-se nas seguintes categorias:
Evitar – Descontinuação das atividades que geram os riscos. Evitar riscos pode implicar a
descontinuação de uma linha de produtos, o declínio da expansão em um novo mercado
geográfico ou a venda de uma divisão.
Reduzir – São adotadas medidas para reduzir a probabilidade ou o impacto dos riscos, ou, até
mesmo, ambos. Tipicamente, esse procedimento abrange qualquer uma das centenas de
decisões do negócio no dia-a-dia.
18


Aula 09
1619643
Compartilhar – Redução da probabilidade ou do impacto dos riscos pela transferência ou pelo

compartilhamento de uma porção do risco. As técnicas comuns compreendem a aquisição de
produtos de seguro, a realização de transações de headging ou a terceirização de uma atividade.
Aceitar – Nenhuma medida é adotada para afetar a probabilidade ou o grau de impacto dos
riscos.
6) Atividades de Controle – políticas e procedimentos são estabelecidos e implementados para

assegurar que as respostas aos riscos sejam executadas com eficácia.
7) Informações e Comunicações – as informações relevantes são identificadas, colhidas e
comunicadas de forma e no prazo que permitam que cumpram suas responsabilidades. A
comunicação eficaz também ocorre em um sentido mais amplo, fluindo em todos níveis da
organização.
8) Monitoramento – a integridade da gestão de riscos corporativos é monitorada e são feitas as
modificações necessárias. O monitoramento é realizado através de atividades gerenciais
contínuas ou avaliações independentes ou de ambas as formas.
Relacionamento entre Objetivos e Componentes

Existe um relacionamento direto entre os objetivos, que uma organização empenha-se em
alcançar, e os componentes do gerenciamento de riscos corporativos, que representam aquilo
que é necessário para o seu alcance. Esse relacionamento é apresentado em uma matriz
tridimensional em forma de cubo.
19


Aula 09
1619643
As quatro categorias de objetivos (estratégicos, operacionais, de comunicação e conformidade)

estão representadas nas colunas verticais. Os oito componentes nas linhas horizontais e as
unidades de uma organização na terceira dimensão. Essa representação ilustra a capacidade de
manter o enfoque na totalidade do gerenciamento de riscos de uma organização, ou na categoria
de objetivos, componentes, unidade da organização ou qualquer um dos subconjuntos.
Eventos – Riscos e Oportunidades

Um evento é um incidente ou uma ocorrência gerada com base em fontes internas ou externas,
que afeta a realização dos objetivos. Os eventos podem causar impacto negativo, positivo ou
ambos. Os eventos que geram impacto negativo representam riscos.
O risco é representado pela possibilidade de que um evento ocorrerá e afetará negativamente
a realização dos objetivos.
Os eventos cujo impacto é positivo podem contrabalançar os impactos negativos ou representar
oportunidades.
Oportunidade é a possibilidade de que um evento ocorra e influencie favoravelmente a
realização dos objetivos.
20


Aula 09
1619643
21


Aula 09
1619643
Os componentes de 1 a 5 são comuns ao COSO I e COSO II. Já os componentes de 6 a 8 são

inerentes, exclusivamente, ao COSO II.
(FUNDATEC – BRDE – Analista de Projetos – 2017) De acordo com o Committee Of Sponsoring

Organizations Of The Treadway Commission (COSO), são componentes de gerenciamento de
riscos:
a) Estrutura Organizacional, Filosofia de Gerenciamento, Classificação de Riscos e Apetite ao Risco.
b) Atividade de Controle, Identificação de Eventos, Gestão Financeira de Liquidez e Avaliação.
c) Ambiente Interno, Fixação de Objetivos, Identificação de Eventos, Avaliação de Riscos, Resposta
aos Riscos, Atividade de Controle, Informações e Comunicações.
d) Análise de Riscos, Probabilidade e Impacto, Tolerância e Apetite ao Risco.
e) Identificação de Eventos, Avaliação de Riscos, Atividades Gerenciais Contínuas, Avaliações
Independentes e Processos Informatizados.
Comentários:
22


Aula 09
1619643
Segundo o COSO II, o gerenciamento de riscos corporativos é constituído de oito componentes

inter-relacionados, que se originam com base na maneira como a administração gerencia a
organização, e que se integram ao processo de gestão. Esses componentes são os seguintes:
Ambiente Interno; Fixação de Objetivos; Identificação de Eventos; Avaliação de Riscos; Resposta
a Risco; Atividades de Controle; Informações e Comunicações; e Monitoramento.
Gabarito: C.
(CESPE – AUDITOR DE CONTROLE INTERNO /CGE CE – 2019) As entidades enfrentam vários riscos
de origem interna e externa. Define-se risco como
A) a possibilidade de um evento ocorrer e afetar adversamente a realização dos objetivos.
B) a base para determinar a maneira como os objetivos serão alcançados.
C) as metas de desempenho financeiro e a salvaguarda de perdas de ativos.
D) um processo conduzido pela administração para garantir a realização dos objetivos.
E) os requisitos de transparência estabelecidos pelas autoridades normativas.
Comentários:
Questão aborda o conceito de Risco, segundo a estrutura do Coso II. Veja:
O risco é representado pela possibilidade de que um evento ocorrerá e afetará negativamente
a realização dos objetivos. [Grifos não constantes do original]
Gabarito: A.
(CESPE – AUDITOR DE CONTROLE INTERNO /CGE CE – 2019) As políticas e os procedimentos
estabelecidos e postos em prática para assegurar a execução eficaz das respostas aos riscos
selecionadas pela administração correspondem ao componente do gerenciamento de riscos
corporativos estabelecido pelo COSO conhecido como
A) ambiente interno.
B) atividades de controle.
C) informações e comunicações.
D) identificação de eventos.
E) avaliação de riscos.
Comentários:
Questão aborda o conceito de um dos componentes do gerenciamento de riscos corporativos – a
Atividade de Controle. Segundo a estrutura do COSO II:
Atividades de Controle – políticas e procedimentos são estabelecidos e implementados para
Gabarito: B.
23


Aula 09
1619643
3. COSO – ERM (COSO 2017)

A nova versão do COSO ERM – Integrating with Strategy and Performance (Gerenciamento de Riscos
Corporativos Integrado com Estratégia e Performance), também denominado como Framework,
destaca a importância de considerar os riscos tanto no processo de estabelecimento da estratégia
quanto na melhoria da performance.
A primeira parte da publicação oferece uma perspectiva dos conceitos atuais e em desenvolvimento,
além de aplicações do gerenciamento de riscos corporativos. A segunda parte da publicação
apresenta 20 princípios, organizados em 05 componentes inter-relacionados, quais sejam:
Governança e cultura; Estratégia e definição de objetivos; Performance; Monitoramento do
desempenho e revisão; e Informação, comunicação e divulgação.
De acordo com o documento, aderir a estes princípios pode conferir a organização uma razoável
expectativa de que ela entende e se esforça para gerenciar os riscos associados à sua estratégia e
objetivos de negócios.
O gerenciamento de riscos corporativos envolve tanto entender as implicações da estratégia1 e a
possibilidade de seu eventual desalinhamento2, como gerenciar os riscos associados aos objetivos
de negócios. A figura a seguir ilustra essas considerações no contexto da missão, visão e valores
fundamentais, e como determinantes dos direcionadores estratégicos e da performance da
entidade.
i
1
Deriva do fato de que cada estratégia possui um perfil de risco próprio, cabendo à administração e ao conselho
determinar se a estratégia funciona levando em conta o apetita ao risco da organização e como ela irá direcionar a
organização a definir objetivos e alocar recursos com eficiência.
2
A estratégia adotada pela organização precisa estar alinhada com sua visão e missão. Uma estratégia desalinhada
aumenta a possibilidade de a organização não conseguir concretizar sua missão e sua visão, ou comprometer seus
valores, mesmo que a estratégia seja executada de forma satisfatória.
24


Aula 09
1619643
Benefícios do efetivo gerenciamento de riscos corporativos

Todas as organizações precisam definir sua estratégia e ajustá-la periodicamente, ficando sempre
atentas às oportunidades de criação de valor e aos desafios que encontram. Para tanto, elas
precisam do melhor framework possível para otimizar a estratégia e a performance.
É aí que entra o gerenciamento de riscos corporativos. Quando ele é integrado em toda a
organização, podem ser obtidos muitos benefícios, entre eles:
 Aumento do leque de oportunidades: ao considerar todas as possibilidades – tanto os
aspectos positivos como os negativos do risco – a administração pode identificar novas
oportunidades e os desafios específicos relacionados às oportunidades atuais.
 Identificação e gestão do risco na entidade como um todo: toda entidade está sujeita a vários
tipos de riscos, que podem afetar diversas partes da organização. Às vezes, um risco pode ser
originário de uma parte da entidade, mas impactar outra parte. Dessa forma, a administração
identifica e gerencia os riscos na entidade como um todo para manter e melhorar a
performance.
 Aumento dos resultados positivos e da vantagem com a diminuição das surpresas
negativas: o gerenciamento de riscos corporativos permite às entidades melhorar sua
capacidade de identificar riscos e definir as respostas adequadas, diminuindo as surpresas e
os custos ou prejuízos correspondentes, e tirando proveito dos demais desdobramentos
favoráveis.
 Diminuição da oscilação da performance: para algumas entidades, os desafios não são as
surpresas e os prejuízos, mas sim a oscilação da performance. Uma performance além das
expectativas pode causar tanta preocupação quanto uma performance aquém das
expectativas. O gerenciamento de riscos corporativos permite prever os riscos que poderiam
afetar a performance e colocar em prática as medidas necessárias para minimizar a disrupção
e maximizar a oportunidade.
 Melhor distribuição de recursos: todo risco poderia ser considerado uma demanda por
recursos. A obtenção de informações rigorosas sobre riscos permite que a administração,
diante de recursos finitos, avalie as necessidades, priorize a distribuição e melhore a alocação
de recursos.
 Aumento da resiliência da empresa: a viabilidade da entidade no médio e longo prazos
depende de sua capacidade de prever mudanças e responder a elas – não apenas para
sobreviver, mas também para evoluir e prosperar. Em parte, isso é viabilizado pela eficácia
no gerenciamento de riscos corporativos e adquire importância cada vez maior à medida que
se acelera o ritmo da mudança e aumenta a complexidade dos negócios.
Esses benefícios ressaltam o fato de que o risco não deve ser encarado unicamente como uma
possível restrição ou obstáculo à definição e à execução de uma estratégia. Pelo contrário, a
mudança trazida pela avaliação do risco e a correspondente resposta organizacional dão origem a
oportunidades estratégicas, bem como a importantes competências diferenciadoras.
25


Aula 09
1619643
Um Framework orientado
O Gerenciamento de Riscos Corporativos integrado com Estratégia e Performance realça a
importância do gerenciamento de riscos corporativos no planejamento estratégico e da sua
incorporação em toda a organização – porque o risco influencia e alinha estratégia e performance
em todos os departamentos e funções.
O Framework, representado por uma espiral dupla, tal qual as moléculas de DNA, é um conjunto de
princípios organizados em cinco componentes inter-relacionados:
1. Governance and Culture (Governança e cultura): a governança dá o tom da organização,
reforçando a importância e instituindo responsabilidades de supervisão sobre o gerenciamento de
riscos corporativos. A cultura diz respeito a valores éticos, a comportamentos esperados e ao
entendimento do risco em toda a entidade.
Observação: o componente acima nos remete ao conceito do ambiente de controle (COSO I) ou
ambiente interno (COSO II). Reparem que são mencionados valores éticos (um dos elementos do
ambiente de controle), “tom” ou “clima” da organização, além da instituição (ou delegação) de
responsabilidades.
2. Strategy and Objective-Setting (Estratégia e definição de objetivos): gerenciamento de riscos
corporativos, estratégia e definição de objetivos atuam juntos no processo de planejamento
estratégico. O apetite a risco é estabelecido e alinhado com a estratégia; os objetivos de negócios
colocam a estratégia em prática e, ao mesmo tempo, servem como base para identificar, avaliar e
responder aos riscos.
3. Performance: os riscos que podem impactar a realização da estratégia e dos objetivos de negócios
precisam ser identificados e avaliados. Os riscos são priorizados com base no grau de severidade, no
contexto do apetite a risco. A organização determina as respostas aos riscos e, por fim, alcança uma
26


Aula 09
1619643
visão consolidada do portfólio e do montante total dos riscos assumidos. Os resultados desse
processo são comunicados aos principais stakeholders3 envolvidos com a supervisão dos riscos.
4. Review and Revision (Análise e revisão): ao analisar sua performance, a organização tem a
oportunidade de refletir sobre até que ponto os componentes do gerenciamento de riscos
corporativos estão funcionando bem ao longo do tempo e no contexto de mudanças relevantes, e
quais correções são necessárias.
5. Information, Communication, and Reporting (Informação, comunicação e divulgação): o
gerenciamento de riscos corporativos demanda um processo contínuo de obtenção e
compartilhamento de informações precisas, provenientes de fontes internas e externas, originadas
das mais diversas camadas e processos de negócios da organização.
Os cinco componentes do novo Framework se combinam em um conjunto de princípios. Esses
princípios abrangem desde a governança até o monitoramento. Eles descrevem práticas que podem
ser aplicadas de diferentes formas nas organizações, independentemente do seu tamanho, tipo ou
setor econômico.
A adoção dos princípios pode trazer ao conselho e à administração a segurança de que a organização
é capaz de gerenciar de modo aceitável os riscos associados à estratégia e aos objetivos de negócios.
Componentes e princípios
1° COMPONENTE: GOVERNANÇA E CULTURA
A Governança define o tom da organização, reforçando a importância e estabelecendo
responsabilidades de supervisão do gerenciamento de riscos corporativo. A cultura perpassa por
valores éticos, comportamentos desejáveis e entendimento do risco na entidade.
O componente Governança e Cultura possui 5 princípios:
3
Pessoa ou grupo que detém interesse na organização, tendo ou não participação (investimento) na empresa.
27


Aula 09
1619643
1. Exerce supervisão do risco por intermédio do conselho — O conselho de administração

supervisiona a estratégia e cumpre responsabilidades de governança para ajudar a administração
a atingir a estratégia e os objetivos de negócios.
2. Estabelece estruturas operacionais — A organização estabelece estruturas operacionais para
atingir a estratégia e os objetivos de negócios.
3. Define a cultura desejada — A organização define os comportamentos esperados que
caracterizam a cultura desejada pela entidade.
4. Demonstra compromisso com os valores fundamentais — A organização demonstra
compromisso com os valores fundamentais da entidade.
5. Atrai, desenvolve e retém pessoas capazes — A organização tem o compromisso de formar
capital humano de acordo com a estratégia e os objetivos de negócios.
2° COMPONENTE: ESTRATÉGIA E DEFINIÇÃO DE OBJETIVOS
Gerenciamento de Riscos Corporativos, estratégia e definição de objetivos trabalham juntos em um
processo de planejamento estratégico. O apetite a risco é estabelecido e alinhado com a estratégia;
os objetivos do negócio colocam a estratégia em prática enquanto servem de base para identificar,
avaliar e responder a risco.
O componente Estratégia e Definição de Objetivos possui 4 princípios:
6. Analisa o contexto de negócios — A organização leva em conta os possíveis efeitos do contexto
de negócios sobre o perfil de riscos.
7. Define o apetite a risco — A organização define o apetite a risco no contexto da criação, da
preservação e da realização de valor.
8. Avalia estratégias alternativas — A organização avalia estratégias alternativas e seu possível
impacto no perfil de riscos.
9. Formula objetivos de negócios —A organização considera o risco enquanto estabelece os
objetivos de negócios nos diversos níveis, que se alinham e suportam a estratégia.
3° COMPONENTE: PERFORMANCE (OU DESEMPENHO)
Riscos que possam impactar no atingimento da estratégia e objetivos do negócio devem ser
identificados e avaliados. Os riscos devem ser priorizados por severidade no contexto do apetite a
risco. A organização seleciona então as respostas a riscos e elabora um portfólio com a quantidade
de risco que resolveu assumir. O resultado desse processo é relatado às principais partes
interessadas.
O componente Desempenho possui 5 princípios:
10. Identifica o risco — A organização identifica os riscos que impactam a execução da estratégia e
os objetivos de negócios.
11.Avalia a severidade do risco — A organização avalia a severidade do risco.
28


Aula 09
1619643
12.Prioriza os riscos — A organização prioriza os riscos como base para a seleção das respostas a
eles.
13.Implementa respostas aos riscos — A organização identifica e seleciona respostas aos riscos.
14.Adota uma visão de portfólio — A organização adota e avalia uma visão consolidada do portfólio
de riscos.
4° COMPONENTE: ANÁLISE E REVISÃO
Por meio da revisão do desempenho da entidade, a organização pode considerar quão bem os
componentes do gerenciamento de riscos corporativos estão funcionando ao longo do tempo e
avaliar quais revisões são necessárias.
O componente Revisão possui 3 princípios:
15.Avalia mudanças importantes — A organização identifica e avalia mudanças capazes de afetar de
forma relevante a estratégia e os objetivos de negócios.
16.Analisa riscos e performance — A organização analisa a performance da entidade e considera o
risco como parte desse processo.
17.Busca o aprimoramento no gerenciamento de riscos corporativos — A organização busca o
aprimoramento contínuo do gerenciamento de riscos corporativos.
5° COMPONENTE: INFORMAÇÃO, COMUNICAÇÃO, DIVULGAÇÃO
Gerenciamento de Riscos Corporativos requer um processo contínuo de obtenção e
compartilhamento necessário de informação, de fontes tanto internas quanto externas, que circula
por toda a organização.
O componente Informação, Comunicação e Divulgação possui 3 princípios:
18. Alavanca sistemas de informação — A organização maximiza a utilização dos sistemas de
informação e tecnologias existentes na entidade para impulsionar o gerenciamento de riscos
corporativos.
19.Comunica informações sobre riscos — A organização utiliza canais de comunicação para suportar
o gerenciamento de riscos corporativos.
20.Divulga informações de riscos, cultura e performance — A organização elabora e divulga
informações sobre riscos, cultura e performance abrangendo todos os níveis e a entidade como
um todo.
29


Aula 09
1619643
4. GOVERNANÇA NO SETOR PÚBLICO

Exploraremos nesta aula dois normativos importantes para a Governança no Setor Público, quais
sejam: o Referencial Básico de Governança do TCU e a Instrução Normativa Conjunta MP/CGU Nº
01/2016 (norma que trata dos controles internos, gestão de riscos e governança no âmbito do Poder
Executivo federal), além do Guia da CGU.
4.1 – GOVERNANÇA SEGUNDO REFERENCIAL BÁSICO DO TCU
Segundo o Referencial Básico de Governança (TCU, 2014), “GOVERNANÇA NO SETOR PÚBLICO

compreende essencialmente os mecanismos de liderança, estratégia e controle postos em prática
para AVALIAR, DIRECIONAR E MONITORAR a gestão, com vistas à condução de políticas públicas e à
prestação de serviços de interesse da sociedade”.
A origem da governança está associada ao momento em que organizações deixaram de ser geridas
diretamente por seus proprietários (p. ex. donos do capital) e passaram à administração de terceiros,
a quem foi delegada autoridade e poder para administrar recursos pertencentes àqueles. Em muitos
casos há divergência de interesses entre proprietários e administradores, o que, em decorrência do
desequilíbrio de informação, poder e autoridade, leva a um potencial conflito de interesse entre
eles, na medida em que ambos tentam maximizar seus próprios benefícios.
Para melhorar o desempenho organizacional, reduzir conflitos, alinhar ações e trazer mais segurança
para proprietários, foram realizados estudos e desenvolvidas múltiplas estruturas de governança.
A seguir, apresentaremos um extrato dos principais tópicos do Referencial Básico de Governança
do TCU (2014), aplicável a Órgãos e Entidades da Administração Pública:
DEFINIÇÃO DE GOVERNANÇA NO SETOR PÚBLICO
Governança no setor público refere-se, portanto, aos mecanismos de avaliação, direção e

monitoramento; e às interações entre estruturas, processos e tradições, as quais determinam
como cidadãos e outras partes interessadas são ouvidos, como as decisões são tomadas e como
o poder e as responsabilidades são exercidos (GRAHN; AMOS; PLUMPTRE, 2003). Preocupa-se,
por conseguinte, com a capacidade dos sistemas políticos e administrativos de agir efetiva e
decisivamente para resolver problemas públicos (PETERS, 2012).
30


Aula 09
1619643
Governança no setor público compreende essencialmente os mecanismos de liderança, estratégia

e controle postos em prática para avaliar, direcionar e monitorar a atuação da gestão, com vistas
à condução de políticas públicas e à prestação de serviços de interesse da sociedade.
PERSPECTIVAS DE OBSERVAÇÃO DA GOVERNANÇA NO SETOR PÚBLICO
A governança no setor público pode ser analisada sob quatro perspectivas de observação:
(a) sociedade e Estado;
(b) entes federativos, esferas de poder e políticas públicas;
(c) órgãos e entidades; e
(d) atividades intraorganizacionais.
SISTEMA DE GOVERNANÇA NO SETOR PÚBLICO
O sistema de governança reflete a maneira como diversos atores se organizam, interagem e

procedem para obter boa governança. Envolve, portanto, as estruturas administrativas
(instâncias), os processos de trabalho, os instrumentos (ferramentas, documentos etc), o fluxo de
informações e o comportamento de pessoas envolvidas direta, ou indiretamente, na avaliação,
no direcionamento e no monitoramento da organização. De forma simplificada, esse sistema
pode ser assim representado:
31


Aula 09
1619643
Nota-se, nesse sistema, que algumas instâncias foram destacadas: as instâncias externas de
governança; as instâncias externas de apoio à governança; as instâncias internas de governança;
e as instâncias internas de apoio à governança.
a) As instâncias externas de governança são responsáveis pela fiscalização, pelo controle e pela
regulação, desempenhando importante papel para promoção da governança das organizações
32


Aula 09
1619643
públicas. São autônomas e independentes, não estando vinculadas apenas a uma organização.
Exemplos típicos dessas estruturas são o Congresso Nacional e o Tribunal de Contas da União.
b) As instâncias externas de apoio à governança são responsáveis pela avaliação, auditoria e
monitoramento independente e, nos casos em que disfunções são identificadas, pela
comunicação dos fatos às instâncias superiores de governança. Exemplos típicos dessas
estruturas as auditorias independentes e o controle social organizado.
c) As instâncias internas de governança são responsáveis por definir ou avaliar a estratégia e as

políticas, bem como monitorar a conformidade e o desempenho destas, devendo agir nos casos
em que desvios forem identificados. São, também, responsáveis por garantir que a estratégia e
as políticas formuladas atendam ao interesse público servindo de elo entre principal e agente.
Exemplos típicos dessas estruturas são os conselhos de administração ou equivalentes e, na
falta desses, a alta administração.
d) As instâncias internas de apoio à governança realizam a comunicação entre partes

interessadas internas e externas à administração, bem como auditorias internas que avaliam e
monitoram riscos e controles internos, comunicando quaisquer disfunções identificadas à alta
administração. Exemplos típicos dessas estruturas são a ouvidoria, a auditoria interna, o
conselho fiscal, as comissões e os comitês.
PRINCÍPIOS BÁSICOS DE GOVERNANÇA PARA O SETOR PÚBLICO
A governança pública, para ser efetiva, pressupõe a existência de um Estado de Direito; de uma
sociedade civil participativa no que tange aos assuntos públicos; de uma burocracia imbuída de
ética profissional; de políticas planejadas de forma previsível, aberta e transparente; e de um
braço executivo que se responsabilize por suas ações (WORLD BANK, 2007).
Conforme sugerido pelo Banco Mundial, são princípios da boa governança: a legitimidade, a
equidade, a responsabilidade, a eficiência, a probidade, a transparência e a accountability.
a) Legitimidade: princípio jurídico fundamental do Estado Democrático de Direito e critério

informativo do controle externo da administração pública que amplia a incidência do controle
para além da aplicação isolada do critério da legalidade. Não basta verificar se a lei foi cumprida,
mas se o interesse público, o bem comum, foi alcançado. Admite o ceticismo profissional de que
nem sempre o que é legal é legítimo (BRASIL, 2012).
33


Aula 09
1619643
b) Equidade: promover a equidade é garantir as condições para que todos tenham acesso ao
exercício de seus direitos civis - liberdade de expressão, de acesso à informação, de associação,
de voto, igualdade entre gêneros -, políticos e sociais - saúde, educação, moradia, segurança
(BRASIL, 2010c).
c) Responsabilidade: diz respeito ao zelo que os agentes de governança devem ter pela
sustentabilidade das organizações, visando sua longevidade, incorporando considerações de
ordem social e ambiental na definição dos negócios e operações (IBGC, 2010).
d) Eficiência: é fazer o que é preciso ser feito com qualidade adequada ao menor custo possível.
Não se trata de redução de custo de qualquer maneira, mas de buscar a melhor relação entre
qualidade do serviço e qualidade do gasto (BRASIL, 2010c).
e) Probidade: trata-se do dever dos servidores públicos de demonstrar probidade, zelo,

economia e observância às regras e aos procedimentos do órgão ao utilizar, arrecadar, gerenciar
e administrar bens e valores públicos. Enfim, refere-se à obrigação que têm os servidores de
demonstrar serem dignos de confiança (IFAC, 2001).
f) Transparência: caracteriza-se pela possibilidade de acesso a todas as informações relativas à

organização pública, sendo um dos requisitos de controle do Estado pela sociedade civil. A
adequada transparência resulta em um clima de confiança, tanto internamente quanto nas
relações de órgãos e entidades com terceiros.
g) Accountability: As normas de auditoria da Intosai conceituam accountability como a

obrigação que têm as pessoas ou entidades às quais se tenham confiado recursos, incluídas as
empresas e organizações públicas, de assumir as responsabilidades de ordem fiscal, gerencial e
programática que lhes foram conferidas, e de informar a quem lhes delegou essas
responsabilidades (BRASIL, 2011). Espera-se que os agentes de governança prestem contas de
sua atuação de forma voluntária, assumindo integralmente as consequências de seus atos e
omissões (IBGC, 2010).
MECANISMOS DE GOVERNANÇA
34


Aula 09
1619643
Liderança refere-se ao conjunto de práticas, de natureza humana ou comportamental, que

assegura a existência das condições mínimas para o exercício da boa governança, quais sejam:
pessoas íntegras, capacitadas, competentes, responsáveis e motivadas ocupando os
principais cargos das organizações e liderando os processos de trabalho.
Esses líderes são responsáveis por conduzir o processo de estabelecimento da estratégia,
considerando, para isso, aspectos como: escuta ativa de demandas, necessidades e
expectativas das partes interessadas; avaliação do ambiente interno e externo da organização;
avaliação e prospecção de cenários; definição e alcance da estratégia; definição e monitoramento
de objetivos de curto, médio e longo prazo; alinhamento de estratégias e operações das
unidades de negócio e organizações envolvidas ou afetadas.
Entretanto, para que esses processos sejam executados, existem riscos, os quais devem ser
avaliados e tratados. Para isso, é conveniente o estabelecimento de controles e o estímulo
à transparência e à accountability, que envolvem entre outras coisas, a prestação de contas
das ações e a responsabilização pelos atos praticados.
COMPONENTES DE GOVERNANÇA
Pessoas e competências. No contexto da governança, é fundamental mobilizar conhecimentos,
habilidades e atitudes dos dirigentes em prol da otimização dos resultados organizacionais. Para
isso, as boas práticas preconizam que os membros da alta administração devem ter as
competências necessárias para o exercício do cargo.
Princípios e comportamentos. Os padrões de comportamento exigidos das pessoas vinculadas
às organizações do setor público devem estar definidos em códigos de ética e conduta
formalmente instituídos, claros e suficientemente detalhados, que deverão ser observados
pelos membros da alta administração, gestores e colaboradores.
Liderança organizacional. A responsabilidade final pelos resultados produzidos sempre
permanece com a autoridade delegante. Por isso, a alta administração é responsável pela
definição e avaliação dos controles internos que mitigarão o risco de mau uso do poder
delegado, sendo a auditoria interna uma estrutura de apoio comumente utilizada para esse fim.
Sistema de governança. O sistema de governança reflete a maneira como diversos agentes se
organizam, interagem e procedem para obter boa governança. No setor público, abrange as
estruturas e os processos diretamente relacionados às instâncias internas e externas de
governança.
Relacionamento com partes interessadas. Considerando o crescente foco das organizações na
prestação de serviços com eficiência, o alinhamento de suas ações com as expectativas das
partes interessadas é fundamental para a otimização de resultados.
Estratégia organizacional. A organização, a partir de sua visão de futuro, da análise dos
ambientes interno e externo e da sua missão institucional, formula suas estratégias, as
35


Aula 09
1619643
desdobra em planos de ação de longo e curto prazos e acompanha sua implementação, visando
o atendimento de sua missão e a satisfação das partes interessadas.
Alinhamento transorganizacional. Cada um dos múltiplos agentes dentro do governo tem seus
próprios objetivos. Assim, para a governança efetiva, é preciso definir objetivos coerentes e
alinhados entre todos os envolvidos na implementação da estratégia para que os resultados
esperados possam ser alcançados.
Gestão de riscos e controle interno. Risco é o efeito da incerteza sobre os objetivos da
organização. Logo, determinar quanto risco aceitar na busca do melhor valor para a sociedade
e definir controles internos para mitigar riscos inerentes não aceitáveis são desafios da
governança nas organizações e responsabilidades da alta administração.
Auditoria Interna. Existe basicamente para avaliar a eficácia dos controles internos implantados
pelos gestores. Trata-se de uma atividade independente e objetiva de avaliação (assurance) e
de consultoria, desenhada para adicionar valor e melhorar as operações de uma organização.
Accountability e transparência. Os membros das organizações de governança interna e da
administração executiva são os responsáveis por prestar contas de sua atuação e devem
assumir, integralmente, as consequências de seus atos e omissões.
Esquematizamos, a seguir, algumas das informações trazidas nos dispositivos acima apresentados:
A governança no setor público pode ser analisada sob quatro

perspectivas de observação:
• Sociedade e Estado
•Entes federativos, esferas de poder e políticas públicas
• Órgãos e entidades
• Atividades intraorganizacionais.
36


Aula 09
1619643
Instâncias do Sistema de Governança do Setor Público:
• Instâncias externas de governança: fiscalização, controle e regulação. Ex:

Congresso Nacional e Tribunais de Contas.
•Instâncias externas de opoio à governança: avaliação, auditoria e

monitoramento independente. Ex: auditorias independentes e o controle
social organizado.
• Instâncias internas de governança: avaliar a estratégia e as políticas, bem

como monitorar a conformidade e o desempenho destas. Ex: conselhos de
administração ou equivalentes e, na falta desses, a alta administração.
• Instâncias internas de opoio à governança: realizam a comunicação

entre partes interessadas internas e externas à administração, bem como
auditorias internas . Ex: a ouvidoria, a auditoria interna, o conselho fiscal,
as comissões e os comitês.
Princípios da boa governança, segundo o Banco Mundial:
• Legitimidade
•Equidade
• Responsabilidade
• Eficiência
• Probidade
• Transparência
• Accountability
37


Aula 09
1619643
Componentes de governança:
• Pessoas e competências.
•Princípios e comportamentos.
• Liderança organizacional.
• Sistema de governança.
• Relacionamento com partes interessadas.
• Estratégia organizacional.
• Alinhamento transorganizacional.
• Gestão de riscos e controle interno.
• Auditoria Interna.
• Accountability e transparência
(CESPE – Analista Portuário (EMAP) /Financeira e Auditoria Interna – 2018) Com relação à
governança no setor público, julgue o item a seguir.
A gestão tática é responsável pela execução de processos produtivos finalísticos e de apoio
Comentários:
De acordo com o Referencial Básico de Governança aplicável a Órgãos e Entidades da
Administração Pública, há estruturas que contribuem para a boa governança da organização,
38


Aula 09
1619643
dentre as quais se encontram: a administração executiva, a gestão tática e a gestão operacional.

A gestão tática é responsável por coordenar a gestão operacional em áreas específicas. Por outro
lado, a gestão operacional é quem fica responsável pela execução de processos produtivos
finalísticos e de apoio. Dessa forma, o item inverteu a finalidade da gestão tática com a
operacional.
Gabarito: ERRADO
4.2 – INSTRUÇÃO NORMATIVA CONJUNTA MP/CGU Nº 01/2016
A Controladoria-Geral da União (CGU) e o Ministério do Planejamento, Orçamento e Gestão (MP)

determinaram, aos órgãos e entidades do Poder Executivo Federal, a adoção de uma série de
medidas para a sistematização de práticas relacionadas a gestão de riscos, controles internos e
governança, por meio da Instrução Normativa Conjunta nº 1.
A partir da publicação do normativo, o dirigente máximo de cada órgão ou entidade passa a ser o
principal responsável pelo estabelecimento da estratégia de organização e da estrutura de
gerenciamento de riscos. Dentro deste cenário, também será papel do dirigente máximo
estabelecer, de forma continuada, o monitoramento e o aperfeiçoamento dos controles internos da
gestão.
Cada risco mapeado e avaliado deve estar associado a um agente responsável (formalmente
identificado). O agente responsável pelo risco deve ser um gestor com alçada suficiente para orientar
e acompanhar as ações de mapeamento, avaliação e mitigação do risco. As tipologias de risco
abrangem: riscos operacionais, de imagem/reputação do órgão, legais e financeiros/orçamentários.
A IN Conjunta MP/CGU nº 01/2016 tem como finalidades fortalecer a gestão, aperfeiçoar os
processos e o alcance dos objetivos organizacionais, por meio de criação e aprimoramento dos
controles internos da gestão, da governança e sistematização da gestão de riscos. As referências
para gestão de riscos a serem utilizadas para sua implementação podem ser: a norma ABNT NBR
ISO/IEC 31000 – Gestão de Riscos – Princípios e Diretrizes, o COSO ERM – ou COSO II (Enterprise Risk
Management), o modelo de gestão de riscos do Reino Unido - The Orange Book Management of Risk
- Principles and Concepts, o modelo de gestão de riscos do governo canadense, entre outros,
lembrando-se da importância que a estrutura e seus processos sejam feitos sob medida para a
necessidade da organização.
A seguir, apresentaremos um extrato dos principais tópicos da Instrução Normativa Conjunta
MP/CGU Nº 01/2016:
39


Aula 09
1619643
DEFINIÇÕES:
I – accountability: conjunto de procedimentos adotados pelas organizações públicas e

pelos indivíduos que as integram que evidenciam sua responsabilidade por decisões
tomadas e ações implementadas, incluindo a salvaguarda de recursos públicos, a
imparcialidade e o desempenho das organizações;
II – apetite a risco: nível de risco que uma organização está disposta a aceitar;
III – auditoria interna: atividade independente e objetiva de avaliação e de consultoria,

desenhada para adicionar valor e melhorar as operações de uma organização. Ela auxilia
a organização a realizar seus objetivos, a partir da aplicação de uma abordagem
sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de
gerenciamento de riscos, de controles internos, de integridade e de governança. As
auditorias internas no âmbito da Administração Pública se constituem na terceira linha
ou camada de defesa das organizações, uma vez que são responsáveis por proceder à
avaliação da operacionalização dos controles internos da gestão (primeira linha ou
camada de defesa, executada por todos os níveis de gestão dentro da organização) e da
supervisão dos controles internos (segunda linha ou camada de defesa, executada por
instâncias específicas, como comitês de risco e controles internos). Compete às auditorias
internas oferecer avaliações e assessoramento às organizações públicas, destinada são
aprimoramento dos controles internos, de forma que controles mais eficientes e eficazes
mitiguem os principais riscos de que os órgãos e entidades não alcancem seus objetivos;
IV – componentes dos controles internos da gestão: são o ambiente de controle interno

da entidade, a avaliação de risco, as atividades de controles internos, a informação e
comunicação e o monitoramento;
V – controles internos da gestão: conjunto de regras, procedimentos, diretrizes,

protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos
e informações, entre outros, operacionalizados de forma integrada pela direção e pelo
corpo de servidores das organizações, destinados a enfrentar os riscos e fornecer
segurança razoável de que, na consecução da missão da entidade, os seguintes objetivos
gerais serão alcançados:
a) execução ordenada, ética, econômica, eficiente e eficaz das operações;
b) cumprimento das obrigações de accountability;
c) cumprimento das leis e regulamentos aplicáveis; e
40


Aula 09
1619643
d) salvaguarda dos recursos para evitar perdas, mau uso e danos. O estabelecimento de
controles internos no âmbito da gestão pública visa essencialmente aumentar a
probabilidade de que os objetivos e metas estabelecidos sejam alcançados, de forma
eficaz, eficiente, efetiva e econômica;
VI – fraude: quaisquer atos ilegais caracterizados por desonestidade, dissimulação ou

quebra de confiança. Estes atos não implicam o uso de ameaça de violência ou de força
física;
VII – gerenciamento de riscos: processo para identificar, avaliar, administrar e controlar

potenciais eventos ou situações, para fornecer razoável certeza quanto ao alcance dos
objetivos da organização;
VIII – governança: combinação de processos e estruturas implantadas pela alta

administração, para informar, dirigir, administrar e monitorar as atividades da
organização, com o intuito de alcançar os seus objetivos;
IX – governança no setor público: compreende essencialmente os mecanismos de

liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar a
atuação da gestão, com vistas à condução de políticas públicas e à prestação de serviços
de interesse da sociedade;
X – incerteza: incapacidade de saber com antecedência a real probabilidade ou impacto

de eventos futuros;
XI – mensuração de risco: significa estimar a importância de um risco e calcular a

probabilidade e o impacto de sua ocorrência;
XII – Política de gestão de riscos: declaração das intenções e diretrizes gerais de uma
organização relacionadas à gestão de riscos;
XIII – risco: possibilidade de ocorrência de um evento que venha a ter impacto no

cumprimento dos objetivos. O risco é medido em termos de impacto e de probabilidade;
XIV – risco inerente: risco a que uma organização está exposta sem considerar quaisquer
ações gerenciais que possam reduzir a probabilidade de sua ocorrência ou seu impacto;
XV – risco residual: risco a que uma organização está exposta após a implementação de
ações gerenciais para o tratamento do risco; e
41


Aula 09
1619643
XVI – Sistema de Controle Interno do Poder Executivo federal: compreende as atividades

de avaliação do cumprimento das metas previstas no plano plurianual, da execução dos
programas de governo e dos orçamentos da União e de avaliação da gestão dos
administradores públicos federais, utilizando como instrumentos a auditoria e a
fiscalização, e tendo como órgão central a Controladoria Geral da União. Não se confunde
com os controles internos da gestão, de responsabilidade de cada órgão e entidade do
Poder Executivo federal.
PRINCÍPIOS DOS CONTROLES INTERNOS DA GESTÃO
Os controles internos da gestão do órgão ou entidade devem ser desenhados e

implementados em consonância com os seguintes princípios:
I – aderência à integridade e a valores éticos;
II – competência da alta administração em exercer a supervisão do desenvolvimento e do

desempenho dos controles internos da gestão;
III – coerência e harmonização da estrutura de competências e reponsabilidades dos

diversos níveis de gestão do órgão ou entidade;
IV – compromisso da alta administração em atrair, desenvolver e reter pessoas com

competências técnicas, em alinhamento com os objetivos da organização;
V – clara definição dos responsáveis pelos diversos controles internos da gestão no

âmbito da organização;
VI – clara definição de objetivos que possibilitem o eficaz gerenciamento de riscos;
VII – mapeamento das vulnerabilidades que impactam os objetivos, de forma que sejam
adequadamente identificados os riscos a serem geridos;
VIII – identificação e avaliação das mudanças internas e externas ao órgão ou entidade

que possam afetar significativamente os controles internos da gestão;
IX – desenvolvimento e implementação de atividades de controle que contribuam para a

obtenção de níveis aceitáveis de riscos;
X – adequado suporte de tecnologia da informação para apoiar a implementação dos

controles internos da gestão;
XI – definição de políticas e normas que suportem as atividades de controles internos da

gestão;
42


Aula 09
1619643
XII – utilização de informações relevantes e de qualidade para apoiar o funcionamento

dos controles internos da gestão;
XIII – disseminação de informações necessárias ao fortalecimento da cultura e da

valorização dos controles internos da gestão;
XIV– realização de avaliações periódicas para verificar a eficácia do funcionamento dos
controles internos da gestão; e
XV – comunicação do resultado da avaliação dos controles internos da gestão aos

responsáveis pela adoção de ações corretivas, incluindo a alta administração.
DOS OBJETIVOS DOS CONTROLES INTERNOS DA GESTÃO
Os controles internos da gestão devem ser estruturados para oferecer segurança razoável
de que os objetivos da organização serão alcançados. A existência de objetivos claros é
pré-requisito para a eficácia do funcionamento dos controles internos da gestão.
Os objetivos dos controles internos da gestão são:
I – dar suporte à missão, à continuidade e à sustentabilidade institucional, pela garantia

razoável de atingimento dos objetivos estratégicos do órgão ou entidade;
II – proporcionar a eficiência, a eficácia e a efetividade operacional, mediante execução
ordenada, ética e econômica das operações;
III – assegurar que as informações produzidas sejam íntegras e confiáveis à tomada de
decisões, ao cumprimento de obrigações de transparência e à prestação de contas;
IV – assegurar a conformidade com as leis e regulamentos aplicáveis, incluindo normas,
políticas, programas, planos e procedimentos de governo e da própria organização; e
V – salvaguardar e proteger bens, ativos e recursos públicos contra desperdício, perda,
mau uso, dano, utilização não autorizada ou apropriação indevida.
DA ESTRUTURA DOS CONTROLES INTERNOS DA GESTÃO
Na implementação dos controles internos da gestão, a alta administração, bem como os

servidores da organização, deverá observar os componentes da estrutura de controles
internos, a seguir descritos:
I - ambiente de controle: é a base de todos os controles internos da gestão, sendo

formado pelo conjunto de regras e estrutura que determinam a qualidade dos controles
internos da gestão. O ambiente de controle deve influenciar a forma pela qual se
43


Aula 09
1619643
estabelecem as estratégias e os objetivos e na maneira como os procedimentos de

controle interno são estruturados. Alguns dos elementos do ambiente de controle são:
a) integridade pessoal e profissional e valores éticos assumidos pela direção e pelo
quadro de servidores, incluindo inequívoca atitude de apoio à manutenção de adequados
controles internos da gestão, durante todo o tempo e por toda a organização;
b) comprometimento para reunir, desenvolver e manter colaboradores competentes;
c) filosofia da direção e estilo gerencial, com clara assunção da responsabilidade de

supervisionar os controles internos da gestão;
d) estrutura organizacional na qual estejam claramente atribuídas responsabilidades e

delegação de autoridade, para que sejam alcançados os objetivos da organização ou das
políticas públicas; e
e) políticas e práticas de recursos humanos, especialmente a avaliação do desempenho e
prestação de contas dos colaboradores pelas suas responsabilidades pelos controles
internos da gestão da organização ou política pública;
II – avaliação de risco: é o processo permanente de identificação e análise dos riscos

relevantes que impactam o alcance dos objetivos da organização e determina a resposta
apropriada ao risco. Envolve identificação, avaliação e resposta aos riscos, devendo ser
um processo permanente;
III – atividades de controles internos: são atividades materiais e formais, como políticas,
procedimentos, técnicas e ferramentas, implementadas pela gestão para diminuir os
riscos e assegurar o alcance de objetivos organizacionais e de políticas públicas. Essas
atividades podem ser preventivas (reduzem a ocorrência de eventos de risco) ou
detectivas (possibilitam a identificação da ocorrência dos eventos de risco),
implementadas de forma manual ou automatizada. As atividades de controles internos
devem ser apropriadas, funcionar consistentemente de acordo com um plano de longo
prazo, ter custo adequado, ser abrangentes, razoáveis e diretamente relacionadas aos
objetivos de controle. São exemplos de atividades de controles internos:
a) procedimentos de autorização e aprovação;

b) segregação de funções (autorização, execução, registro, controle);
c) controles de acesso a recursos e registros;
d) verificações;
e) conciliações;
f) avaliação de desempenho operacional;
44


Aula 09
1619643
g) avaliação das operações, dos processos e das atividades; e

h) supervisão;
IV - informação e comunicação: as informações produzidas pelo órgão ou entidade

devem ser apropriadas, tempestivas, atuais, precisas e acessíveis, devendo ser
identificadas, armazenadas e comunicadas de forma que, em determinado prazo,
permitam que os funcionários e servidores cumpram suas responsabilidades, inclusive a
de execução dos procedimentos de controle interno. A comunicação eficaz deve fluir para
baixo, para cima e através da organização, por todos seus componentes e pela estrutura
inteira. Todos os servidores/funcionários devem receber mensagem clara da alta
administração sobre as responsabilidades de cada agente no que concerne aos controles
internos da gestão. A organização deve comunicar as informações necessárias ao alcance
dos seus objetivos para todas as partes interessadas, independentemente no nível
hierárquico em que se encontram;
V – monitoramento: é obtido por meio de revisões específicas ou monitoramento

contínuo, independente ou não, realizados sobre todos os demais componentes de
controles internos, com o fim de aferir sua eficácia, eficiência, efetividade,
economicidade, excelência ou execução na implementação dos seus componentes e
corrigir tempestivamente as deficiências dos controles internos:
a) monitoramento contínuo: é realizado nas operações normais e de natureza contínua

da organização. Inclui a administração e as atividades de supervisão e outras ações que
os servidores executam ao cumprir suas responsabilidades. Abrange cada um dos
componentes da estrutura do controle interno, fortalecendo os controles internos da
gestão contra ações irregulares, antiéticas, antieconômicas, ineficientes e ineficazes.
Pode ser realizado pela própria Administração por intermédio de instâncias de
conformidade, como comitês específicos, que atuam como segunda linha (ou camada) de
defesa da organização; e
b) avaliações específicas: são realizadas com base em métodos e procedimentos

predefinidos, cuja abrangência e frequência dependerão da avaliação de risco e da
eficácia dos procedimentos de monitoramento contínuo. Abrangem, também, a avaliação
realizada pelas unidades de auditoria interna dos órgãos e entidades e pelos órgãos do
Sistema de Controle Interno (SCI) do Poder Executivo federal para aferição da eficácia dos
controles internos da gestão quanto ao alcance dos resultados desejados.
DAS RESPONSABILIDADES
A responsabilidade por estabelecer, manter, monitorar e aperfeiçoar os controles

internos da gestão é da alta administração da organização, sem prejuízo das
45


Aula 09
1619643
responsabilidades dos gestores dos processos organizacionais e de programas de

governos nos seus respectivos âmbitos de atuação. Cabe aos demais funcionários e
servidores a responsabilidade pela operacionalização dos controles internos da gestão e
pela identificação e comunicação de deficiências às instâncias superiores.
DA GESTÃO DE RISCOS
Os órgãos e entidades do Poder Executivo federal deverão implementar, manter,

monitorar e revisar o processo de gestão de riscos, compatível com sua missão e seus
objetivos estratégicos, observadas as diretrizes estabelecidas nesta Instrução Normativa.
DOS PRINCÍPIOS DA GESTÃO DE RISCOS
A gestão de riscos do órgão ou entidade observará os seguintes princípios:
I – gestão de riscos de forma sistemática, estruturada e oportuna, subordinada ao

interesse público;
II – estabelecimento de níveis de exposição a riscos adequados;
III – estabelecimento de procedimentos de controle interno proporcionais ao risco,
observada a relação custo-benefício, e destinados a agregar valor à organização;
IV – utilização do mapeamento de riscos para apoio à tomada de decisão e à elaboração
do planejamento estratégico; e
V – utilização da gestão de riscos para apoio à melhoria contínua dos processos
organizacionais.
DOS OBJETIVOS DA GESTÃO DE RISCOS
São objetivos da gestão de riscos:
I – assegurar que os responsáveis pela tomada de decisão, em todos os níveis do órgão

ou entidade, tenham acesso tempestivo a informações suficientes quanto aos riscos aos
quais está exposta a organização, inclusive para determinar questões relativas à
delegação, se for o caso;
II – aumentar a probabilidade de alcance dos objetivos da organização, reduzindo os
riscos a níveis aceitáveis; e
III – agregar valor à organização por meio da melhoria dos processos de tomada de
decisão e do tratamento adequado dos riscos e dos impactos negativos decorrentes de
sua materialização.
46


Aula 09
1619643
DA ESTRUTURA DO MODELO DE GESTÃO DE RISCOS
Na implementação e atualização do modelo de gestão de riscos, a alta administração,

bem como seus servidores ou funcionários, deverá observar os seguintes componentes
da estrutura de gestão de riscos:
I – ambiente interno: inclui, entre outros elementos, integridade, valores éticos e

competência das pessoas, maneira pela qual a gestão delega autoridade e
responsabilidades, estrutura de governança organizacional e políticas e práticas de
recursos humanos. O ambiente interno é a base para todos os outros componentes da
estrutura de gestão de riscos, provendo disciplina e prontidão para a gestão de riscos;
II– fixação de objetivos: todos os níveis da organização (departamentos, divisões,

processos e atividades) devem ter objetivos fixados e comunicados. A explicitação de
objetivos, alinhados à missão e à visão da organização, é necessária para permitir a
identificação de eventos que potencialmente impeçam sua consecução;
III – identificação de eventos: devem ser identificados e relacionados os riscos inerentes

à própria atividade da organização, em seus diversos níveis;
IV – avaliação de riscos: os eventos devem ser avaliados sob a perspectiva de

probabilidade e impacto de sua ocorrência. A avaliação de riscos deve ser feita por meio
de análises qualitativas, quantitativas ou da combinação de ambas. Os riscos devem ser
avaliados quando à sua condição de inerentes e residuais;
V – resposta a riscos: o órgão/entidade deve identificar qual estratégia seguir (evitar,

transferir, aceitar ou tratar) em relação aos riscos mapeados e avaliados. A escolha da
estratégia dependerá do nível de exposição a riscos previamente estabelecido pela
organização em confronto com a avaliação que se fez do risco;
VI – atividades de controles internos: são as políticas e os procedimentos estabelecidos

e executados para mitigar os riscos que a organização tenha optado por tratar. Também
denominadas de procedimentos de controle, devem estar distribuídas por toda a
organização, em todos os níveis e em todas as funções. Incluem uma gama de controles
internos da gestão preventivos e detectivos, bem como a preparação prévia de planos de
contingência e resposta à materialização dos riscos;
VII – informação e comunicação: informações relevantes devem ser identificadas,
coletadas e comunicadas, a tempo de permitir que as pessoas cumpram suas
responsabilidades, não apenas com dados produzidos internamente, mas, também, com
informações sobre eventos, atividades e condições externas, que possibilitem o
47


Aula 09
1619643
gerenciamento de riscos e a tomada de decisão. A comunicação das informações

produzidas deve atingir todos os níveis, por meio de canais claros e abertos que permitam
que a informação flua em todos os sentidos; e
VIII – monitoramento: tem como objetivo avaliar a qualidade da gestão de riscos e dos
controles internos da gestão, por meio de atividades gerenciais contínuas e/ou avaliações
independentes, buscando assegurar que estes funcionem como previsto e que sejam
modificados apropriadamente, de acordo com mudanças nas condições que alterem o
nível de exposição a riscos.
DA POLÍTICA DE GESTÃO DE RISCOS
Os órgãos e entidades, ao efetuarem o mapeamento e avaliação dos riscos, deverão

considerar, entre outras possíveis, as seguintes tipologias de riscos:
a) riscos operacionais: eventos que podem comprometer as atividades do órgão ou

entidade, normalmente associados a falhas, deficiência ou inadequação de processos
internos, pessoas, infraestrutura e sistemas;
b) riscos de imagem/reputação do órgão: eventos que podem comprometer a confiança

da sociedade (ou de parceiros, de clientes ou de fornecedores) em relação à capacidade
do órgão ou da entidade em cumprir sua missão institucional;
c) riscos legais: eventos derivados de alterações legislativas ou normativas que podem

comprometer as atividades do órgão ou entidade; e
d) riscos financeiros/orçamentários: eventos que podem comprometer a capacidade do

órgão ou entidade de contar com os recursos orçamentários e financeiros necessários à
realização de suas atividades, ou eventos que possam comprometer a própria execução
orçamentária, como atrasos no cronograma de licitações.
DAS RESPONSABILIDADES
O dirigente máximo da organização é o principal responsável pelo estabelecimento da

estratégia da organização e da estrutura de gerenciamento de riscos, incluindo o
estabelecimento, a manutenção, o monitoramento e o aperfeiçoamento dos controles
internos da gestão.
DOS PRINCÍPIOS DA GOVERNANÇA
48


Aula 09
1619643
São princípios da boa governança, devendo ser seguidos pelos órgãos e entidades do
Poder Executivo federal:
I – liderança: deve ser desenvolvida em todos os níveis da administração. As

competências e responsabilidades devem estar identificadas para todos os que gerem
recursos públicos, de forma a se obter resultados adequados;
II – integridade: tem como base a honestidade e objetividade, elevando os padrões de

decência e probidade na gestão dos recursos públicos e das atividades da organização,
com reflexo tanto nos processos de tomada de decisão, quanto na qualidade de seus
relatórios financeiros e de desempenho;
III – responsabilidade: diz respeito ao zelo que se espera dos agentes de governança na
definição de estratégias e na execução de ações para a aplicação de recursos públicos,
com vistas ao melhor atendimento dos interesses da sociedade;
IV – compromisso: dever de todo o agente público de se vincular, assumir, agir ou decidir

pautado em valores éticos que norteiam a relação com os envolvidos na prestação de
serviços à sociedade, prática indispensável à implementação da governança;
V – transparência: caracterizada pela possibilidade de acesso a todas as informações

relativas à organização pública, sendo um dos requisitos de controle do Estado pela
sociedade civil. As informações devem ser completas, precisas e claras para a adequada
tomada de decisão das partes interessas na gestão das atividades; e
VI – Accountability: obrigação dos agentes ou organizações que gerenciam recursos

públicos de assumir responsabilidades por suas decisões e pela prestação de contas de
sua atuação de forma voluntária, assumindo integralmente a consequência de seus atos
e omissões.
49


Aula 09
1619643
4.3 – GUIA DA POLÍTICA DE GOVERNANÇA PÚBLICA DA CGU
O Decreto nº 9.203/2017 trata a governança pública como um “conjunto de mecanismos de

liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar a gestão,
com vistas à condução de políticas públicas e à prestação de serviços de interesse da sociedade”.
O conceito, retirado do Referencial Básico de Governança Aplicável a Órgãos e Entidades da
Administração Pública, do Tribunal de Contas da União (TCU, 2014), fixa alguns dos mecanismos
considerados importantes para o sucesso de uma política de governança e reforça a importância da
construção e da coordenação de políticas focadas no cidadão.
O Decreto supracitado instituiu a política de governança da administração pública federal direta,
autárquica e fundacional. Entender as razões que justificam a instituição de uma política específica
para orientar a governança pública é fundamental para não se afastar, na condução dessa política,
dos objetivos que lhe deram origem.
Nesse sentido, as principais motivações para criação da política de governança foram:
i) a necessidade de se fortalecer a confiança da sociedade nas instituições públicas;
Um dos problemas gerados pela inobservância de boas práticas de governança – e, talvez, o principal
deles – é o da perda de confiança da sociedade na instituição. Essa confiança é o elemento
fundamental da legitimidade da atuação pública.
Para o Banco Mundial, essa legitimidade deriva de três fontes:
i) a constante entrega de resultados previamente pactuados;
ii) a percepção de que as políticas e as leis foram desenvolvidas e implementadas de forma justa e
imparcial; e
iii) a autoridade gerada pelo compartilhamento de um conjunto de valores e costumes entre os
indivíduos e o governante (Banco Mundial, 2017).
Portanto, uma atuação pública deslegitimada tende a gerar políticas e regras com um custo maior
de implementação, já que a adesão voluntária fica comprometida. Isso afeta a confiança do cidadão
na instituição e alimenta o ciclo vicioso de desconfiança recíproca, que fomenta a burocracia e a
desconformidade.
ii) a busca por maior coordenação das iniciativas de aprimoramento institucional;

Um dos problemas que a política de governança busca enfrentar é a falta de coordenação e
coerência entre os diversos modelos de governança existentes no âmbito da administração pública
federal. Duas premissas foram fundamentais para que não fossem gerados problemas ainda maiores
a partir dessa tentativa de harmonização.
50


Aula 09
1619643
A primeira é a de que órgãos e entidades têm características, objetivos e níveis de maturidade

institucional distintos. Dessa forma, não caberia uma solução única, a partir de um modelo genérico
e universal. Por isso, foi privilegiada a construção de patamares mínimos de boa governança e a
criação de um arranjo institucional flexível que permitisse adequações e particularizações. A
segunda premissa é de que é impossível estabelecer um modelo definitivo – pronto e acabado – de
governança.
A política, embora orientada por princípios e diretrizes predefinidos, direciona a atuação estatal para
a construção permanente de boas práticas de governança. Com isso, reconhece-se a natureza
dinâmica da governança e privilegia-se a adaptabilidade dos modelos adotados às mudanças de
contexto.
iii) a utilidade de se estabelecer patamares mínimos de governança.

Um dos problemas para os quais se buscaram respostas na política de governança é o da grande
diferença de maturidade institucional entre órgãos e entidades da administração pública federal. A
partir da premissa de que o cidadão não diferencia estruturas administrativas ou instâncias
governamentais, buscou-se estabelecer um conjunto de medidas que reduz as fragilidades de
modelos de governança menos desenvolvidos e permite a entrega de serviços menos discrepantes
e mais conectados entre si.
Dessa forma, embora deixe grande espaço para que os próprios órgãos e entidades definam as suas
boas práticas de governança, a política fixa alguns elementos mínimos a serem considerados por
todos. Esses patamares mínimos de governança envolvem a fixação de formas de acompanhamento
de resultados, a busca de soluções para melhoria do desempenho das organizações e a utilização de
instrumentos de promoção do processo decisório baseado em evidências, conforme indicado no art.
6º, parágrafo único, do Decreto nº 9.203/2017.
Os Princípios e as Diretrizes de Governança

O Decreto no 9.203/2017 apresenta uma lista sintética de princípios e diretrizes de governança,
definida a partir:
i) das recomendações mais atuais de organizações internacionais especializadas no tema, em
especial a OCDE e o Banco Mundial;
ii) de referenciais de governança do Tribunal de Contas da União; e
iii) de uma revisão da literatura especializada.
51


Aula 09
1619643
A seguir, apresentaremos os principais tópicos do Decreto nº 9.203/2017 (política de governança

da administração pública federal):
Definições:
I - governança pública - conjunto de mecanismos de liderança, estratégia e controle postos em
prática para avaliar, direcionar e monitorar a gestão, com vistas à condução de políticas públicas
e à prestação de serviços de interesse da sociedade;
II - valor público - produtos e resultados gerados, preservados ou entregues pelas atividades de

uma organização que representem respostas efetivas e úteis às necessidades ou às demandas de
interesse público e modifiquem aspectos do conjunto da sociedade ou de alguns grupos
específicos reconhecidos como destinatários legítimos de bens e serviços públicos;
III - alta administração - Ministros de Estado, ocupantes de cargos de natureza especial,

ocupantes de cargo de nível 6 do Grupo-Direção e Assessoramento Superiores - DAS e presidentes
e diretores de autarquias, inclusive as especiais, e de fundações públicas ou autoridades de
hierarquia equivalente; e
IV - gestão de riscos - processo de natureza permanente, estabelecido, direcionado e monitorado

pela alta administração, que contempla as atividades de identificar, avaliar e gerenciar potenciais
eventos que possam afetar a organização, destinado a fornecer segurança razoável quanto à
realização de seus objetivos.
São princípios da governança pública:

I - capacidade de resposta;
II - integridade;
52


Aula 09
1619643
III - confiabilidade;
IV - melhoria regulatória;
V - prestação de contas e responsabilidade; e
VI - transparência.
São diretrizes da governança pública:

I - direcionar ações para a busca de resultados para a sociedade, encontrando soluções
tempestivas e inovadoras para lidar com a limitação de recursos e com as mudanças de
prioridades;
II - promover a simplificação administrativa, a modernização da gestão pública e a integração dos
serviços públicos, especialmente aqueles prestados por meio eletrônico;
III - monitorar o desempenho e avaliar a concepção, a implementação e os resultados das políticas
e das ações prioritárias para assegurar que as diretrizes estratégicas sejam observadas;
IV - articular instituições e coordenar processos para melhorar a integração entre os diferentes
níveis e esferas do setor público, com vistas a gerar, preservar e entregar valor público;
V - fazer incorporar padrões elevados de conduta pela alta administração para orientar o
comportamento dos agentes públicos, em consonância com as funções e as atribuições de seus
órgãos e de suas entidades;
VI - implementar controles internos fundamentados na gestão de risco, que privilegiará ações
estratégicas de prevenção antes de processos sancionadores;
VII - avaliar as propostas de criação, expansão ou aperfeiçoamento de políticas públicas e de
concessão de incentivos fiscais e aferir, sempre que possível, seus custos e benefícios;
VIII - manter processo decisório orientado pelas evidências, pela conformidade legal, pela
qualidade regulatória, pela desburocratização e pelo apoio à participação da sociedade;
IX - editar e revisar atos normativos, pautando-se pelas boas práticas regulatórias e pela
legitimidade, estabilidade e coerência do ordenamento jurídico e realizando consultas públicas
sempre que conveniente;
X - definir formalmente as funções, as competências e as responsabilidades das estruturas e dos
arranjos institucionais; e
XI - promover a comunicação aberta, voluntária e transparente das atividades e dos resultados da
organização, de maneira a fortalecer o acesso público à informação.
São mecanismos para o exercício da governança pública:
53


Aula 09
1619643
I - liderança, que compreende conjunto de práticas de natureza humana ou comportamental

exercida nos principais cargos das organizações, para assegurar a existência das condições
mínimas para o exercício da boa governança, quais sejam:
a) integridade;
b) competência;
c) responsabilidade; e
d) motivação
II - estratégia, que compreende a definição de diretrizes, objetivos, planos e ações, além de

==18b6bb==
critérios de priorização e alinhamento entre organizações e partes interessadas, para que os

serviços e produtos de responsabilidade da organização alcancem o resultado pretendido; e
III - controle, que compreende processos estruturados para mitigar os possíveis riscos com vistas
ao alcance dos objetivos institucionais e para garantir a execução ordenada, ética, econômica,
eficiente e eficaz das atividades da organização, com preservação da legalidade e da
economicidade no dispêndio de recursos públicos.
54


Aula 09
1619643
55


Aula 09
1619643
O Comitê Interministerial de Governança – CIG

O Decreto nº 9.203/2017, em seu art. 8º, prevê a criação do CIG, órgão colegiado responsável pelo
assessoramento do presidente da República na condução da política de governança da
administração pública federal. Cabe, portanto, ao presidente definir os rumos da governança
pública no âmbito do Poder Executivo federal; a função do CIG é assessorá-lo nessa tarefa.
O colegiado tem como membros titulares o ministro de Estado chefe da Casa Civil da Presidência da
República, que o coordena, o ministro de Estado da Fazenda, o ministro de Estado do Planejamento,
Desenvolvimento e Gestão e o ministro de Estado da Transparência e Controladoria Geral da União.
A suplência é exercida pelos respectivos secretários executivos.
Segue uma representação esquemática do processo de internalização das boas práticas de

governança coordenado pelo Comitê (fluxograma 1).
56


Aula 09
1619643
Embora o CIG seja o principal componente da política de governança, existem outros atores e
estruturas que desempenham um papel relevante na sua execução. A tabela abaixo traz uma síntese
das funções desempenhadas pelos principais atores e estruturas envolvidos na condução da política
de governança.
Funções dos principais atores e estruturas da política de governança

Atores/estruturas Funções
Responsável, em última instância, pela condução da política de
Presidente da República
governança.
Assessora o presidente da República na condução da política de
CIG
governança (coordenação).
Órgãos e entidades da
administração pública federal Executam a política de governança,
(APF)
Responsável pela implementação da política de governança
Alta administração
nos respectivos órgãos e entidades.
Promove e monitora a política de governança em seus
Comitê Interno de Governança
respectivos órgãos e entidades.
Atenção: a estrutura de controles internos dos órgãos e das entidades da administração pública
federal deve contemplar as três linhas de defesa da gestão, comunicando, de maneira clara, as
responsabilidades de todos os envolvidos e provendo uma atuação coordenada e eficiente, sem
sobreposições ou lacunas. O esquema abaixo apresenta de forma sintética o conceito das três linhas
de defesa.
Linhas de defesa da gestão :
A primeira linha de defesa é responsável por identificar, avaliar, controlar e

mitigar os riscos, guiando o desenvolvimento e a implementação de políticas e
procedimentos internos destinados a garantir que as atividades sejam realizadas
de acordo com as metas e objetivos da organização.
As instâncias de segunda linha de defesa estão situadas ao nível da gestão e

objetivam assegurar que as atividades realizadas pela primeira linha sejam
desenvolvidas e executadas de forma apropriada.
A terceira linha de defesa é representada pela atividade de auditoria interna

governamental, que presta serviços de avaliação e de consultoria com base nos
pressupostos de autonomia técnica e de objetividade.
57


Aula 09
1619643
Linha de Defesa
Situada ao nível da gestão, a primeira linha de defesa é responsável por identificar, avaliar,
controlar e mitigar os riscos, guiando o desenvolvimento e a implementação de políticas e
procedimentos internos destinados a garantir que as atividades sejam realizadas de acordo com
as metas e objetivos da organização.
Primeira linha A primeira linha contempla os controles primários, que devem ser instituídos e mantidos pelos
de defesa gestores responsáveis pela implementação das políticas públicas durante a execução de atividades
e tarefas, no âmbito de seus macroprocessos finalísticos e de apoio.
De forma a assegurar sua adequação e eficácia, os controles internos devem ser integrados ao
processo de gestão, dimensionados e desenvolvidos na proporção requerida pelos riscos, de
acordo com a natureza, a complexidade, a estrutura e a missão da organização.
As instâncias de segunda linha de defesa estão situadas ao nível da gestão e objetivam assegurar
que as atividades realizadas pela primeira linha sejam desenvolvidas e executadas de forma
apropriada.
Essas instâncias são destinadas a apoiar o desenvolvimento dos controles internos da gestão e
Segunda linha realizar atividades de supervisão e de monitoramento das ações desenvolvidas no âmbito da
de defesa primeira linha de defesa, que incluem gerenciamento de riscos, conformidade, verificação de
qualidade, controle financeiro, orientação e treinamento.
Os assessores e as Assessorias Especiais de Controle Interno (AECIs) nos ministérios integram a

segunda linha de defesa e podem ter sua atuação complementada por outras estruturas
específicas definidas pelas próprias organizações.
A terceira linha de defesa é representada pela atividade de auditoria interna governamental, que
presta serviços de avaliação e de consultoria com base nos pressupostos de autonomia técnica e
de objetividade.
A atividade de auditoria deve ser desempenhada com o propósito de contribuir para o
aprimoramento das políticas públicas e a atuação das organizações que as gerenciam. Os
Terceira linha destinatários dos serviços de avaliação e de consultoria prestados pelas unidades são a alta
de defesa administração, os gestores das organizações e entidades públicas federais e a sociedade.
As unidades de auditoria interna governamental devem apoiar os órgãos e as entidades do Poder
Executivo federal na estruturação e no efetivo funcionamento da primeira e da segunda linha de
defesa da gestão, por meio da prestação de serviços de consultoria e avaliação dos processos de
governança, gerenciamento de riscos e controles internos.
58


Aula 09
1619643
5. NORMAS DA ISO SOBRE GESTÃO DE RISCO

Nessa parte da nossa aula, exploraremos conceitos importantes relacionados ao tema Gestão de
Risco no contexto da ISO, especificamente a Norma ABNT - NBR ISO 31000: 2009 – Princípios e
Diretrizes da Gestão de Riscos e Norma ABNT ISO GUIA 73: 2009 – Gestão de Riscos: Vocabulário.
Veja, a seguir, os “Termos e definições” da ABNT - NBR ISO 31000: 2009 – Princípios e Diretrizes da
Gestão de Riscos (fornece princípios e diretrizes genéricas para a gestão de riscos). Várias definições
apresentadas também se encontram no vocabulário trazido pela ISO GUIA 73:2009:
Risco: efeito da incerteza nos objetivos

NOTA 1 Um efeito é um desvio em relação ao esperado – positivo e/ou negativo.
NOTA 2 Os objetivos podem ter diferentes aspectos (tais como metas financeiras, de saúde e
segurança e ambientais) e podem aplicar–se em diferentes níveis (tais como estratégico, em toda
a organização, de projeto, de produto e de processo).
NOTA 3 O risco é muitas vezes caracterizado pela referência aos eventos potenciais e às
consequências ou uma combinação destes.
NOTA 4 O risco é muitas vezes expresso em termos de uma combinação de consequências de um
evento (incluindo mudanças nas circunstâncias) e a probabilidade de ocorrência associada.
NOTA 5 A incerteza é o estado, mesmo que parcial, da deficiência das informações relacionadas
a um evento, sua compreensão, seu conhecimento, sua consequência ou sua probabilidade.
Gestão de riscos: atividades coordenadas para dirigir e controlar uma organização no que se
refere a riscos.
Estrutura da gestão de riscos: conjunto de componentes que fornecem os fundamentos e os

arranjos organizacionais para a concepção, implementação, monitoramento, análise crítica e
melhoria contínua da gestão de riscos através de toda a organização
NOTA 1 Os fundamentos incluem a política, objetivos, mandatos e comprometimento para
gerenciar riscos.
59


Aula 09
1619643
NOTA 2 Os arranjos organizacionais incluem planos, relacionamentos, responsabilidades,

recursos, processos e atividades.
NOTA 3 A estrutura da gestão de riscos está incorporada no âmbito das políticas e práticas
estratégicas e operacionais de toda a organização.
Plano de gestão de riscos: esquema dentro da estrutura da gestão de riscos, que especifica a
abordagem, os componentes de gestão e os recursos a serem aplicados para gerenciar riscos
NOTA 1 Os componentes de gestão tipicamente incluem procedimentos, práticas, atribuição de
responsabilidades, sequência e cronologia das atividades.
NOTA 2 O plano de gestão de riscos pode ser aplicado a um determinado produto, processo e
projeto, em parte ou em toda a organização.
Processo de gestão de riscos: aplicação sistemática de políticas, procedimentos e práticas de

gestão para as atividades de comunicação, consulta, estabelecimento do contexto, e na
identificação, análise, avaliação, tratamento, monitoramento e análise crítica dos riscos
Comunicação e consulta: processos contínuos e iterativos que uma organização conduz para
fornecer, compartilhar ou obter informações e se envolver no diálogo com as partes interessadas
e outros, com relação a gerenciar riscos
NOTA 1 As informações podem referir-se à existência, natureza, forma, probabilidade,
significância, avaliação, aceitabilidade, tratamento ou outros aspectos da gestão de riscos.
NOTA 2 A consulta é um processo bidirecional de comunicação sistematizada entre uma
organização e suas partes interessadas ou outros, antes de tomar uma decisão ou direcionar uma
questão específica.
A consulta é: um processo que impacta uma decisão através da influência ao invés do poder; e
uma entrada para o processo de tomada de decisão, e não uma tomada de decisão em conjunto.
Processo de avaliação de riscos: processo global de identificação de riscos, análise de riscos e

avaliação de riscos
Identificação de riscos: processo de busca, reconhecimento e descrição de riscos

NOTA 1 A identificação de riscos envolve a identificação das fontes de risco, eventos, suas causas
e suas consequências potenciais.
60


Aula 09
1619643
NOTA 2 A identificação de riscos pode envolver dados históricos, análises teóricas, opiniões de
pessoas informadas e especialistas, e as necessidades das partes interessadas.
Evento ocorrência ou mudança em um conjunto específico de circunstâncias

NOTA 1 Um evento pode consistir em uma ou mais ocorrências e pode ter várias causas.
NOTA 2 Um evento pode consistir em alguma coisa não acontecer.
NOTA 3 Um evento pode algumas vezes ser referido como um "incidente" ou um "acidente".
NOTA 4 Um evento sem consequências também pode ser referido como um "quase acidente", ou
um "incidente" ou "por um triz".
Consequência: resultado de um evento que afeta os objetivos

NOTA 1 Um evento pode levar a uma série de consequências.
NOTA 2 Uma consequência pode ser certa ou incerta e pode ter efeitos positivos ou negativos
sobre os objetivos.
NOTA 3 As consequências podem ser expressas qualitativa ou quantitativamente.
NOTA 4 As consequências iniciais podem desencadear reações em cadeia
Análise de riscos: processo de compreender a natureza do risco e determinar o nível de risco

NOTA 1 A análise de riscos fornece a base para a avaliação de riscos e para as decisões sobre o
tratamento de riscos.
NOTA 2 A análise de riscos inclui a estimativa de riscos.
Risco residual: risco remanescente após o tratamento do risco

NOTA 1 O risco residual pode conter riscos não identificados.
NOTA 2 O risco residual também pode ser conhecido como "risco retido".
Monitoramento: verificação, supervisão, observação crítica ou identificação da situação,

executadas de forma contínua, a fim de identificar mudanças no nível de desempenho requerido
ou esperado.
NOTA O monitoramento pode ser aplicado à estrutura da gestão de riscos, ao processo de gestão
de riscos, ao risco ou ao controle.
61


Aula 09
1619643
Processo de avaliação de riscos:
Processo global de identificação de riscos: gera uma lista abrangente de riscos

baseada nos eventos que possam criar, aumentar, evitar, reduzir, acelerar ou
atrasar a realização dos objetivos.
Análise de riscos: fornece uma entrada para a avaliação de riscos e para as decisões
sobre a necessidade dos riscos serem tratados, e sobre as estratégias e métodos
mais adequados de tratamento de riscos.
Avaliação de riscos: auxilia na tomada de decisões com base nos resultados da

análise de riscos, sobre quais riscos necessitam de tratamento e a prioridade para
a implementação do tratamento.
Princípios para que uma gestão de riscos seja eficaz:
a) A gestão de riscos cria e protege valor.

A gestão de riscos contribui para a realização demonstrável dos objetivos e para a melhoria
do desempenho referente, por exemplo, à segurança e saúde das pessoas, à segurança, à
conformidade legal e regulatória, à aceitação pública, à proteção do meio ambiente, à
qualidade do produto, ao gerenciamento de projetos, à eficiência nas operações, à
governança e à reputação.
b) A gestão de riscos é parte integrante de todos os processos organizacionais.

A gestão de riscos não é uma atividade autônoma separada das principais atividades e
processos da organização. A gestão de riscos faz parte das responsabilidades da
administração e é parte integrante de todos os processos organizacionais, incluindo o
planejamento estratégico e todos os processos de gestão de projetos e gestão de
mudanças.
c) A gestão de riscos é parte da tomada de decisões.

A gestão de riscos auxilia os tomadores de decisão a fazer escolhas conscientes, priorizar
ações e distinguir entre formas alternativas de ação.
d) A gestão de riscos aborda explicitamente a incerteza.
62


Aula 09
1619643
A gestão de riscos explicitamente leva em consideração a incerteza, a natureza dessa

incerteza, e como ela pode ser tratada.
e) A gestão de riscos é sistemática, estruturada e oportuna.

Uma abordagem sistemática, oportuna e estruturada para a gestão de riscos contribui para
a eficiência e para os resultados consistentes, comparáveis e confiáveis.
f) A gestão de riscos baseia-se nas melhores informações disponíveis.

As entradas para o processo de gerenciar riscos são baseadas em fontes de informação, tais
como dados históricos, experiências, retroalimentação das partes interessadas,
observações, previsões, e opiniões de especialistas. Entretanto, convém que os tomadores
de decisão se informem e levem em consideração quaisquer limitações dos dados ou
modelagem utilizados, ou a possibilidade de divergências entre especialistas.
g) A gestão de riscos é feita sob medida.

A gestão de riscos está alinhada com o contexto interno e externo da organização e com o
perfil do risco.
h) A gestão de riscos considera fatores humanos e culturais.

A gestão de riscos reconhece as capacidades, percepções e intenções do pessoal interno e
externo que podem facilitar ou dificultar a realização dos objetivos da organização.
i) A gestão de riscos é transparente e inclusiva.

O envolvimento apropriado e oportuno de partes interessadas e, em particular, dos
tomadores de decisão em todos os níveis da organização assegura que a gestão de riscos
permaneça pertinente e atualizada. O envolvimento também permite que as partes
interessadas sejam devidamente representadas e terem suas opiniões levadas em
consideração na determinação dos critérios de risco.
j) A gestão de riscos é dinâmica, iterativa e capaz de reagir a mudanças.

A gestão de riscos continuamente percebe e reage às mudanças. Na medida em que
acontecem eventos externos e internos, o contexto e o conhecimento modificam-se, o
monitoramento e a análise crítica de riscos são realizados, novos riscos surgem, alguns se
modificam e outros desaparecem.
k) A gestão de riscos facilita a melhoria contínua da organização.

Convém que as organizações desenvolvam e implementem estratégias para melhorar a sua
maturidade na gestão de riscos juntamente com todos os demais aspectos da sua
organização.
63


Aula 09
1619643
Atributos de uma gestão de riscos avançada:
Melhoria contínua: a ênfase é colocada sobre a melhoria contínua na gestão de riscos

através do estabelecimento de metas de desempenho organizacional, através da
mensuração e de análises críticas, além das subsequentes mudanças de processos,
sistemas, recursos, capacidade e habilidades.
Responsabilização integral pelos riscos: responsabilização abrangente,

integralmente aceita e muito bem definida, relativa aos riscos, controles e tarefas do
tratamento dos riscos.
Aplicação da gestão de riscos em todas as tomadas de decisão: o processo de tomada

de decisão dentro da organização, seja qual for o nível de sua importância e
significância, envolve explicitamente a consideração dos riscos e aplicação da gestão
de riscos em algum grau apropriado.
Comunicação contínua: comunicações contínuas com partes interessadas internas e

externas, incluindo informativos ou relatórios abrangentes e freqüentes a respeito do
desempenho da gestão de riscos, como parte da boa governança.
Integração total na estrutura de governança da organização: gestão de riscos eficaz é

considerada por gestores como sendo essencial para a realização dos objetivos da
organização.
A norma técnica ISO 31000:2009 resultou de esforço da International Organization for

Standardization (ISO) para criar um padrão internacional para a gestão de riscos corporativos, tendo
sido publicada no Brasil sob o nome ABNT NBR ISO 31000:2009 Gestão de riscos – Princípios e
diretrizes.
O processo de gestão de riscos preconizado na ISO 31000:2009 não difere muito do que já era
previsto em normas técnicas regionais que a antecederam e contempla as seguintes fases ou
atividades: estabelecimento do contexto, identificação, análise, avaliação e tratamento de riscos,
comunicação e consulta, monitoramento e análise crítica.
Também em 2009, a ISO publicou versão atualizada – e compatível com a ISO 31000 – do guia ISO
Guide 73 - Risk Management Vocabulary, instrumento importante para a sedimentação de uma
linguagem comum e padronizada relativa ao tema.
64


Aula 09
1619643
Em 2018, a ISO 2009 foi revisada e seu conteúdo foi totalmente substituído pela nova versão. Na
essência, o processo de gestão de riscos continua o mesmo, incluindo as etapas relativas às
atividades de comunicação e consulta, ao estabelecimento do contexto, avaliação dos riscos
(identificar, analisar e avaliar os riscos), uma etapa relativa ao monitoramento e, por fim, registro e
relato dos riscos. Veja os principais tópicos da norma ABNT - NBR ISO 31000: 2018 – Princípios e
Diretrizes da Gestão de Riscos:
Gerenciar riscos é iterativo e auxilia as organizações no estabelecimento de estratégias, no

alcance de objetivos e na tomada de decisões fundamentadas.
Gerenciar riscos é parte da governança e liderança, e é fundamental para a maneira como a

organização é gerenciada em todos os níveis. Isto contribui para a melhoria dos sistemas de
gestão.
Gerenciar riscos é parte de todas as atividades associadas com uma organização e inclui
interação com as partes interessadas.
Gerenciar riscos considera os contextos externo e interno da organização, incluindo o

comportamento humano e os fatores culturais.
Gerenciar riscos baseia-se nos princípios, estrutura e processos delineados neste documento,
como ilustrado na Figura 1. Estes componentes podem já existir total ou parcialmente na
organização; contudo, podem necessitar ser adaptados ou melhorados, de forma que gerenciar
riscos seja eficiente, eficaz e consistente.
65


Aula 09
1619643
Princípios
O propósito da gestão de riscos é a criação e proteção de valor. Ela melhora o desempenho,

encoraja a inovação e apoia o alcance de objetivos.
Os princípios descritos na Figura 2 fornecem orientações sobre as características da gestão de

riscos eficaz e eficiente, comunicando seu valor e explicando sua intenção e propósito. Os
princípios são a base para gerenciar riscos e convém que sejam considerados quando se
estabelecerem a estrutura e os processos de gestão de riscos da organização. Convém que estes
princípios possibilitem uma organização a gerenciar os efeitos da incerteza nos seus objetivos.
66


Aula 09
1619643
a) Integrada
A gestão de riscos é parte integrante de todas as atividades organizacionais.
b) Estruturada e abrangente
Uma abordagem estruturada e abrangente para a gestão de riscos contribui para resultados
consistentes e comparáveis.
c) Personalizada
A estrutura e o processo de gestão de riscos são personalizados e proporcionais aos contextos
externo e interno da organização relacionados aos seus objetivos.
d) Inclusiva
67


Aula 09
1619643
O envolvimento apropriado e oportuno das partes interessadas possibilita que seus

conhecimentos, pontos de vista e percepções sejam considerados. Isto resulta em melhor
conscientização e gestão de riscos fundamentada.
e) Dinâmica
Riscos podem emergir, mudar ou desaparecer à medida que os contextos externo e interno de
uma organização mudem. A gestão de riscos antecipa, detecta, reconhece e responde a estas
mudanças e eventos de uma maneira apropriada e oportuna.
f) Melhor informação disponível

As entradas para a gestão de riscos são baseadas em informações históricas e atuais, bem como
em expectativas futuras. A gestão de riscos explicitamente leva em consideração quaisquer
limitações e incertezas associadas a estas informações e expectativas. Convém que a informação
seja oportuna, clara e disponível para as partes interessadas pertinentes.
g) Fatores humanos e culturais

O comportamento humano e a cultura influenciam significativamente todos os aspetos da gestão
de riscos em cada nível e estágio.
h) Melhoria contínua
A gestão de riscos é melhorada continuamente por meio do aprendizado e experiências.
Estrutura
O propósito da estrutura da gestão de riscos é apoiar a organização na integração da gestão de

riscos em atividades significativas e funções. A eficácia da gestão de riscos dependerá da sua
integração na governança e em todas as atividades da organização, incluindo a tomada de
decisão. Isto requer apoio das partes interessadas, em particular da Alta Direção. O
desenvolvimento da estrutura engloba integração, concepção, implementação, avaliação e
melhoria da gestão de riscos através da organização. A Figura 3 ilustra os componentes de uma
estrutura.
68


Aula 09
1619643
Liderança e comprometimento
Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, assegurem que a gestão de
riscos esteja integrada em todas as atividades da organização, e convém que demonstrem
liderança e comprometimento por:
— personalizar e implementar todos os componentes da estrutura;
— emitir uma declaração ou política que estabeleça uma abordagem, plano ou curso de ação da
gestão de riscos;
— assegurar que os recursos necessários sejam alocados para gerenciar riscos;
— atribuir autoridades, responsabilidades e responsabilização nos níveis apropriados dentro da
organização; Isto vai ajudar a organização a:
— alinhar a gestão de riscos com seus objetivos, estratégia e cultura;
— reconhecer e abordar todas as obrigações, bem como seus compromissos voluntários;
— estabelecer a quantidade e o tipo de risco que pode ou não ser assumido para orientar o
desenvolvimento de critérios, assegurando que sejam comunicados à organização e às suas partes
interessadas;
— comunicar o valor da gestão de riscos para a organização e suas partes interessadas;
— promover o monitoramento sistemático de riscos;
69


Aula 09
1619643
— assegurar que a estrutura de gestão de riscos permaneça apropriada ao contexto da

organização.
Integração
A integração da gestão de riscos apoia-se em uma compreensão das estruturas e do contexto
organizacional. Estruturas diferem, dependendo do propósito, metas e complexidade da
organização. O risco é gerenciado em todas as partes da estrutura da organização. Todos na
organização têm responsabilidade por gerenciar riscos.
Concepção
Entendendo a organização e seu contexto: ao conceber a estrutura para gerenciar riscos, convém
que a organização examine e entenda seus contextos externo e interno.
Articulando o comprometimento com a gestão de riscos: convém que a Alta Direção e os órgãos
de supervisão, onde aplicável, demonstrem e articulem o seu comprometimento contínuo com a
gestão de riscos por meio de uma política, uma declaração ou outras formas que claramente
transmitam os objetivos e o comprometimento com a gestão de riscos de uma organização.
Atribuindo papéis organizacionais, autoridades, responsabilidades e responsabilizações:
convém que a Alta Direção e os órgãos de supervisão, onde aplicável, assegurem que as
autoridades, responsabilidades e responsabilizações para os papéis pertinentes à gestão de riscos
sejam atribuídas e comunicadas a todos os níveis da organização.
Alocando recursos: convém que a Alta Direção e os órgãos de supervisão, onde aplicável,
assegurem a alocação de recursos apropriados para a gestão de riscos.
Estabelecendo comunicação e consulta: convém que a organização estabeleça uma abordagem
aprovada para comunicação e consulta para apoiar a estrutura e facilitar a aplicação eficaz da
gestão de riscos. Comunicação envolve compartilhar informação com públicos-alvo. A consulta
também envolve o fornecimento de retorno pelos participantes, com a expectativa de que isto
contribuirá para as decisões e sua formulação ou outras atividades. Convém que os métodos e
conteúdo da comunicação e consulta reflitam as expectativas das partes interessadas, onde for
pertinente.
Implementação
Convém que a organização implemente a estrutura de gestão de riscos por meio de:
— desenvolvimento de um plano apropriado, incluindo prazos e recursos;
70


Aula 09
1619643
— identificação de onde, quando e como diferentes tipos de decisões são tomadas pela
organização, e por quem;
— modificação dos processos de tomada de decisão aplicáveis, onde necessário;
— garantia de que os arranjos da organização para gerenciar riscos sejam claramente
compreendidos e praticados.
Avaliação
Para avaliar a eficácia da estrutura de gestão de riscos, convém que a organização:
— mensure periodicamente o desempenho da estrutura de gestão de riscos em relação ao seu
propósito, planos de implementação, indicadores e comportamento esperado;
— determine se permanece adequada para apoiar o alcance dos objetivos da organização.
Melhoria
Adaptação: convém que a organização monitore e adapte continuamente a estrutura de gestão
de riscos para abordar as mudanças externas e internas. Ao fazer isso, a organização pode
melhorar seu valor.
Melhoria contínua: convém que organização melhore continuamente a adequação, suficiência e
eficácia da estrutura de gestão de riscos e a forma como o processo de gestão de riscos é
integrado.
À medida que lacunas ou oportunidades de melhoria pertinentes são identificadas, convém que
a organização desenvolva planos e tarefas e os atribua àqueles responsabilizados pela
implementação. Uma vez implementadas, convém que estas melhorias contribuam para o
aprimoramento da gestão de riscos.
Processo
O processo de gestão de riscos envolve a aplicação sistemática de políticas, procedimentos e
práticas para as atividades de comunicação e consulta, estabelecimento do contexto e avaliação,
tratamento, monitoramento, análise crítica, registro e relato de riscos. Este processo é ilustrado
na Figura 4.
71


Aula 09
1619643
Comunicação e consulta
O propósito da comunicação e consulta é auxiliar as partes interessadas pertinentes na
compreensão do risco, na base sobre a qual decisões são tomadas e nas razões pelas quais ações
específicas são requeridas. A comunicação busca promover a conscientização e o entendimento
do risco, enquanto a consulta envolve obter retorno e informação para auxiliar a tomada de
decisão. Convém que uma coordenação estreita entre as duas facilite a troca de informações
factuais, oportunas, pertinentes, precisas e compreensíveis, levando em consideração a
confidencialidade e integridade da informação, bem como os direitos de privacidade dos
indivíduos.
Escopo, contexto e critérios

O propósito do estabelecimento do escopo, contexto e critérios é personalizar o processo de
gestão de riscos, permitindo um processo de avaliação de riscos eficaz e um tratamento de riscos
apropriado. Escopo, contexto e critérios envolvem a definição do escopo do processo, a
compreensão dos contextos externo e interno.
Definindo o escopo
72


Aula 09
1619643
Convém que a organização defina o escopo de suas atividades de gestão de riscos. Como o
processo de gestão de riscos pode ser aplicado em diferentes níveis (por exemplo, estratégico,
operacional, programa, projeto ou outras atividades), é importante ser claro sobre o escopo em
consideração, os objetivos pertinentes a serem considerados e o seu alinhamento aos objetivos
organizacionais.
Contextos externo e interno

Os contextos externo e interno são o ambiente no qual a organização procura definir e alcançar
seus objetivos. Convém que o contexto do processo de gestão de riscos seja estabelecido a partir
da compreensão dos ambientes externo e interno no qual a organização opera, e convém que
reflita o ambiente específico da atividade ao qual o processo de gestão de riscos é aplicado.
Definindo critérios de risco

Convém que a organização especifique a quantidade e o tipo de risco que podem ou não assumir
relação aos objetivos. Convém também que estabeleça critérios para avaliar a significância do
risco e para apoiar os processos de tomada de decisão.
Convém que os critérios de risco sejam alinhados à estrutura de gestão de riscos e sejam
personalizados para o propósito específico e o escopo da atividade em consideração.
Convém que os critérios de risco reflitam os valores, objetivos e recursos da organização e sejam
consistentes com as políticas e declarações sobre gestão de riscos.
Convém que os critérios de risco sejam estabelecidos levando em consideração as obrigações da
organização e os pontos de vista das partes interessadas.
Embora convenha que os critérios de risco sejam estabelecidos no início do processo de avaliação
de riscos, eles são dinâmicos; e convém que sejam continuamente analisados criticamente e
alterados, se necessário.
Processo de avaliação de riscos

O processo de avaliação de riscos é o processo global de identificação de riscos, análise de riscos
e avaliação de riscos. Convém que o processo de avaliação de riscos seja conduzido de forma
sistemática, iterativa e colaborativa, com base no conhecimento e nos pontos de vista das partes
interessadas.
Convém que use a melhor informação disponível, complementada por investigação adicional,
como necessário.
Identificação de riscos
73


Aula 09
1619643
O propósito da identificação de riscos é encontrar, reconhecer e descrever riscos que possam

ajudar ou impedir que uma organização alcance seus objetivos. Informações pertinentes,
apropriadas e atualizadas são importantes na identificação de riscos.
Análise de riscos
O propósito da análise de riscos é compreender a natureza do risco e suas características,
incluindo o nível de risco, onde apropriado. A análise de riscos envolve a consideração detalhada
de incertezas, fontes de risco, consequências, probabilidade, eventos, cenários, controles e sua
eficácia. Um evento pode ter múltiplas causas e consequências e pode afetar múltiplos objetivos.
A análise de riscos pode ser realizada com vários graus de detalhamento e complexidade,
dependendo do propósito da análise, da disponibilidade e confiabilidade da informação, e dos
recursos disponíveis. As técnicas de análise podem ser qualitativas, quantitativas ou uma
combinação destas, dependendo das circunstâncias e do uso pretendido.
O propósito da avaliação de riscos é apoiar decisões. A avaliação de riscos envolve a comparação
dos resultados da análise de riscos com os critérios de risco estabelecidos para determinar onde
é necessária ação adicional.
Tratamento de riscos
O propósito do tratamento de riscos é selecionar e implementar opções para abordar riscos.
O tratamento de riscos envolve um processo iterativo de:
— formular e selecionar opções para tratamento do risco;
— planejar e implementar o tratamento do risco;
— avaliar a eficácia deste tratamento;
— decidir se o risco remanescente é aceitável;
— se não for aceitável, realizar tratamento adicional.
Seleção de opções de tratamento de riscos

Selecionar a(s) opção(ões) mais apropriada(s) de tratamento de riscos envolve balancear os
benefícios potenciais derivados em relação ao alcance dos objetivos ,face aos custos, esforço ou
desvantagens da implementação. As opções de tratamento de riscos não são necessariamente
mutuamente exclusivas ou apropriadas em todas as circunstâncias.
Preparando e implementando planos de tratamento de riscos
74


Aula 09
1619643
O propósito dos planos de tratamento de riscos é especificar como as opções de tratamento

escolhidas serão implementadas de maneira que os arranjos sejam compreendidos pelos
envolvidos, e o progresso em relação ao plano possa ser monitorado. Convém que o plano de
tratamento identifique claramente a ordem em que o tratamento de riscos será implementado.
Monitoramento e análise crítica

O propósito do monitoramento e análise crítica é assegurar e melhorar a qualidade e eficácia da
concepção, implementação e resultados do processo. Convém que o monitoramento contínuo e
a análise crítica periódica do processo de gestão de riscos e seus resultados sejam uma parte
planejada do processo de gestão de riscos, com responsabilidades claramente estabelecidas.
Convém que monitoramento e análise crítica ocorram em todos os estágios do processo.
Monitoramento e análise crítica incluem planejamento, coleta e análise de informações, registro
de resultados e fornecimento de retorno.
Convém que os resultados do monitoramento e análise crítica sejam incorporados em todas as
atividades de gestão de desempenho, medição e relatos da organização.
Registro e relato
Convém que o processo de gestão de riscos e seus resultados sejam documentados e relatados
por meio de mecanismos apropriados.
O registro e o relato visam:
— comunicar atividades e resultados de gestão de riscos em toda a organização;
— fornecer informações para a tomada de decisão;
— melhorar as atividades de gestão de riscos;
— auxiliar a interação com as partes interessadas, incluindo aquelas com responsabilidade e com
responsabilização por atividades de gestão de riscos.
75


Aula 09
1619643
(VUNESP - Auditor Municipal de Controle Interno (SP) - 2015) O processo de análise de riscos, em
conformidade com a estrutura de gestão de riscos, é precedida e sucedida, respectivamente,
a) pelo tratamento de riscos e pela avaliação de riscos.
b) pela avaliação de riscos e pelo tratamento de riscos.
c) pela identificação de riscos e pelo tratamento de riscos.
d) pela avaliação de riscos e pela identificação de riscos.
e) pela identificação de riscos e pela avaliação de riscos.
Comentários:
A ISO 31000 é a norma internacional que fornece princípios e diretrizes para a gestão de riscos.
Segundo essa norma, o processo de avaliação de riscos é o processo global composto de 03 (três)
etapas, a saber:
a) Identificação de riscos cuja finalidade é gerar uma lista abrangente de riscos baseada nestes
eventos que possam criar, aumentar, evitar, reduzir, acelerar ou atrasar a realização dos objetivos.
b) Análise de riscos cuja finalidade é fornecer uma entrada para a avaliação de riscos e para as
decisões sobre a necessidade dos riscos serem tratados, e sobre as estratégias e métodos mais
adequados de tratamento de riscos.
c) Avaliação de riscos cuja finalidade é auxiliar na tomada de decisões com base nos resultados da
análise de riscos, sobre quais riscos necessitam de tratamento e a prioridade para a
implementação do tratamento.
76


Aula 09
1619643
Concluímos que o processo de análise de riscos é precedido e sucedido, respectivamente, pela

identificação de riscos e pela avaliação de riscos.
Gabarito: E
(CS UFG – Auditor (UFG) – 2017) A gestão de riscos refere-se ao processo de aplicação sistemática
de políticas, procedimentos e práticas de gestão para as atividades de comunicação,
estabelecimento do contexto, avaliação, tratamento, monitoramento e análise crítica dos riscos.
A gestão de riscos envolve também a contínua avaliação da eficácia dos controles internos
implantados na organização para
a) uniformizar os riscos gerenciais.
b) mitigar os riscos relevantes.
c) eliminar os riscos críticos.
d) corrigir os riscos inerentes.
Comentários:
Questão aborda o objetivo da gestão de risco quando envolve a contínua avaliação da eficácia dos
controles internos implantados na organização. Segundo Informativo do TCU acerca de GESTÃO
DE RISCOS - LEVANTAMENTO DE GOVERNANÇA PÚBLICA:
“Organizações de todos os tipos e tamanhos enfrentam influências e fatores internos e externos
que tornam incertos se e quando atingirão seus objetivos. O efeito que esta incerteza tem sobre os
objetivos da organização é chamado de risco” (ABNT NBR ISO 31000:2009).
A gestão de riscos refere-se ao processo de aplicação sistemática de políticas, procedimentos e
práticas de gestão para as atividades de comunicação, consulta, estabelecimento do contexto,
e na identificação, avaliação, tratamento, monitoramento e análise crítica dos riscos (ABNT NBR
ISO 31000:2009). Além da identificação e decisão quanto ao tratamento dos riscos, a gestão de
riscos envolve também a contínua avaliação da eficácia dos controles internos implantados na
organização para mitigar os riscos relevantes. [grifo nosso]
Gabarito: B
77


Aula 09
1619643
6. LISTA DE QUESTÕES DE CONCURSOS ANTERIORES
1. (CESPE - Auditor Estadual (TCM-BA) / Infraestrutura - 2018)

De acordo com o COSO (Committee of Sponsoring Organizations of the Treadway Commission),
o controle interno é um processo conduzido pela estrutura de governança, administração e
respeito à realização dos objetivos relacionados a operações, divulgação e conformidade. O
componente de controle interno em que se avaliam e se comunicam as deficiências no controle
interno aos responsáveis por tomar ações corretivas, inclusive a estrutura de governança e alta
administração, é designado
a) ambiente de controle.
b) avaliação de riscos.
c) atividades de controle.
d) informação e comunicação.
e) atividades de monitoramento.
Um sistema de controle interno eficaz reduz, a níveis aceitáveis, o risco de não se atingir o
objetivo de uma entidade e pode estar relacionado a uma, a duas ou a todas as três categorias
de objetivos. Nesse contexto, a determinação de que os componentes e princípios relacionados
objetivos especificados refere-se
a) à presença.
b) ao funcionamento.
c) ao monitoramento.
d) à abrangência.
e) à estrutura.
3. (CESPE – Analista Portuário (EMAP) /Financeira e Auditoria Interna – 2018)
Com relação à governança no setor público, julgue o item a seguir.
78


Aula 09
1619643

As instâncias externas de governança são responsáveis por definir ou avaliar a estratégia e as
políticas, bem como por monitorar sua conformidade e o desempenho
5. (CESPE - Auditor Estadual (TCM-BA) /Controle Externo - 2018)
A metodologia de avaliação dos controles internos de determinada entidade, que tem por
objetivo garantir a adequação e a consistência desses controles, prevê a execução de diversas
etapas, em uma sequência lógica. Nessa avaliação, a última etapa a ser executada consiste na
a) realização de testes de observância das normas internas e legais.
b) execução de entrevistas com os empregados da entidade.
c) elaboração de fluxogramas.
d) identificação dos controles essenciais ao sistema.
e) inspeção física da operação normal da entidade.
Segundo o COSO ICIF 2013 (Internal Control – Integrated Framework), o ambiente de controle é
um conjunto de normas, processos e estruturas que fornece a base para a condução do controle
interno por toda a organização
7. (CESPE - Técnico Municipal de Controle Interno (CGM João Pessoa) - 2018)
De acordo com o COSO ICIF 2013 (Internal Control — Integrated Framework), julgue o item
subsequente, relativo a controles internos.
Controle interno consiste no conjunto de processos desenhados para promover uma asseguração
razoável quanto ao alcance dos objetivos relacionados a operações, relatórios financeiros e
cumprimento das leis.
8. (CESPE - Auditor Municipal de Controle Interno (CGM João Pessoa) - 2018)
De acordo com o art. 74 da Constituição Federal de 1988 (CF), os Poderes Legislativo, Executivo
e Judiciário manterão, de forma integrada, sistema de controle interno com algumas
finalidades. Nesse sentido, julgue o item a seguir, a respeito da governança no setor público.
O COSO ICIF 2013 está em consonância com o referido artigo constitucional, ao descrever os
objetivos operacionais como aqueles relacionados à eficiência e à eficácia das operações da
entidade, incluídos operações e desempenho (performance.) das metas e salvaguardados os
ativos contra perdas.
79


Aula 09
1619643
De acordo com o art. 74 da Constituição Federal de 1988 (CF), os Poderes Legislativo, Executivo e
Judiciário manterão, de forma integrada, sistema de controle interno com algumas finalidades.
Nesse sentido, julgue o item a seguir, a respeito da governança no setor público.
Ao mencionar que os controles internos devem “avaliar o cumprimento das metas previstas no
plano plurianual, a execução dos programas de governo e dos orçamentos da União”, o inciso I
do artigo constitucional em questão mostra-se contraditório com as características descritas pelo
COSO ICIF 2013, em que o controle interno é planejado para assegurar tanto o alcance dos
objetivos relacionados às operações, quanto a produção de relatórios e a adequação às normas
10. (CESPE – Auditor do Estado (CAGE RS) – 2018)
Entre as quatro categorias de objetivos organizacionais estabelecidas pelo COSO inclui-se a
categoria dos objetivos operacionais, cujo propósito é
a) assegurar o cumprimento das leis e dos regulamentos.
b) utilizar de forma eficaz e eficiente os recursos.
c) viabilizar o atingimento de metas no nível mais elevado, alinhando-se e fornecendo apoio à
missão.
d) evitar a perda de ativos ou recursos da organização.
e) atestar a confiabilidade dos relatórios.
Determinado componente do gerenciamento de riscos corporativos permite que a organização
considere até que ponto eventos em potencial podem impactar o atingimento de seus objetivos.
O COSO denomina esse componente de
a) monitoramento.
b) atividades de controle.
c) avaliação de riscos.
d) identificação de eventos.
e) informações e comunicações.
Diversos tipos de alterações, como, por exemplo, nas condições demográficas, nos costumes
sociais, nas estruturas das famílias, nas prioridades de trabalho, podem provocar mudanças na
demanda de produtos e serviços, novos locais de compra, demandas relacionadas a recursos
humanos e paralisações da produção. De acordo com o COSO, as relações entre essas
alterações e seus efeitos são consideradas eventos
a) políticos.
b) de meio ambiente.
80


Aula 09
1619643
c) sociais.
d) pessoais.
e) econômicos.
A administração de uma universidade estadual identificou e avaliou os riscos associados com a
gerência da residência estudantil: concluiu que a referida gerência não possuía internamente
os requisitos necessários e as funcionalidades para administrar eficazmente essa grande
propriedade residencial, razão pela qual optou por terceirizar a administração da residência
para uma empresa especializada, que, entre outros fatores, tivesse condições de reduzir o
impacto e a probabilidade de riscos.
De acordo com o COSO, a categoria de resposta a risco descrita na situação hipotética
apresentada é
a) compartilhar.
b) evitar.
c) reduzir.
d) aceitar.
e) acolher.
14. (CESPE - Analista de Controle (TCE-PR)/Contábil - 2016)
A respeito de controles internos, de acordo com o Manual de Gerenciamento de Riscos
Corporativos — Estrutura Integrada (COSO II), do Committee of Sponsoring Organization,
assinale a opção correta.
a) Nas atividades de monitoramento, a organização deve escolher e executar avaliações para
averiguar se os componentes do controle externo estão em operação.
b) Segundo o COSO II, são quatro os componentes para o gerenciamento de riscos
corporativos: ambiente externo; fixação de objetivos; estabelecimento de riscos; atividades de
controle; e monitoramento.
c) No gerenciamento de riscos corporativos, a fixação dos objetivos será realizada após a
identificação dos eventos, a fim de se determinar quais ações serão realizadas para cada tipo
de risco.
d) Risco inerente é aquele que perdura mesmo depois da resposta dos dirigentes da
organização.
e) Em uma organização, o gerenciamento de riscos corporativos, processo conduzido pelos
seus membros, consiste em estabelecer estratégias para identificar e administrar potenciais
eventos capazes de afetá-la.
81


Aula 09
1619643
15. (CESPE – TCE PA – Analista de Controle Externo – Direito – 2016)

Tendo como referência os conceitos relacionados a auditoria governamental adotados por
entidades internacionais, julgue o item a seguir.
Para o COSO, uma das situações capazes de impedir que o controle interno proporcione
segurança absoluta à organização é a limitação resultante de adequação dos objetivos
estabelecidos como condição prévia ao controle interno.
16. (CESPE – TCE PR – Analista de Controle – Contábil – 2016)
Assinale a opção correta, a respeito de governança no setor público.
a) A auditoria é entendida como um instrumento de verificação da governança.
b) Um dos princípios de governança no setor público, a prestação de contas por
responsabilidade conferida ao gestor público será obrigatória apenas em determinadas
situações.
c) As instâncias externas de governança responsáveis pelo exercício de fiscalização e controle
são autônomas, mas podem depender de outras organizações.
d) As instâncias internas de governança responsáveis pela avaliação de estratégias e políticas
e pelo monitoramento de conformidade estão impedidas de atuar nas situações em que
desvios forem identificados.
e) No setor público, a governança é analisada sob três perspectivas: sociedade e Estado;
atividades extraorganizacionais; e órgãos e entidades.
17. (CESPE - Auditor Governamental (CGE PI)/Geral/2015)
Julgue o próximo item, referente a estrutura organizacional, objetivos e componentes que
fundamentam o controle interno.
Os canais normais são veículos de comunicação utilizados pelas organizações para retransmitir
aos usuários as informações pessoais, sigilosas, e as relativas aos riscos identificados, ao passo
que os canais alternativos são meios adequados para comunicar as informações geradas no
curso das operações e as decorrentes de atos ilegais.
Na avaliação de riscos, que é uma categoria de objetivos do controle interno, uma condição
prévia é apurar o nível de impacto de possíveis mudanças no resultado decorrente dos
componentes, já que os insumos se originam em diferentes níveis da entidade.
82


Aula 09
1619643
Em uma organização, entre os controles mais conhecidos e difundidos estão os preventivos e

os detectivos. Além desses, encontram-se as ações corretivas, que são utilizadas para
complementar tanto as atividades quanto os procedimentos de controle.
A categorização dos usuários segundo os perfis e o uso de softwares licenciados são tipos de
controles estruturados pela administração para auxiliar a gestão dos sistemas de informações.
21. (CESPE- Auditor Governamental (CGE PI)/Geral/2015)
Caso esteja estruturado formalmente, o controle interno de uma instituição pode ser
representado sob a forma de um cubo. Nessa representação, as categorias de objetivos
relacionam-se indiretamente com os componentes, em que pese estarem no mesmo plano;
diferentemente da estrutura organizacional, que está em outra dimensão.
22. (FUNDATEC / BRDE – Analista de Projetos – 2017)
De acordo com o Committee Of Sponsoring Organizations Of The Treadway Commission
(COSO), são componentes de gerenciamento de riscos:
a) Estrutura Organizacional, Filosofia de Gerenciamento, Classificação de Riscos e Apetite ao
Risco.
c) Ambiente Interno, Fixação de Objetivos, Identificação de Eventos, Avaliação de Riscos,
Resposta aos Riscos, Atividade de Controle, Informações e Comunicações.
23. (FUNDATEC / CAGE RS – Auditor – 2014)
Ambiente de controle, estabelecimento de metas, identificação de problemas, avaliação de
risco, atividades de controle, informação, comunicação e monitoramento são as oito
dimensões do modelo internacional que serve de parâmetro para a auditoria na avaliação da
estrutura de controles internos.
Assim, este modelo denomina-se:
a) COSO – Committee of Sponsoring Organizations of the Treadway Comission.
b) COBIT – Control Objectives for Information and Related Technology.
83


Aula 09
1619643
c) SOX – Sarbanes-Oxley.
d) SEC – Security Exchange Comission.
e) AICPA – American Institute of Certified Public Accountants.
Por meio do Enterprise Risk Management (ERM), é possível fazer-se o gerenciamento dos riscos
corporativos. Vários são os seus componentes. Assim, NÃO faz parte do gerenciamento de
riscos:
a) Identificação de eventos.
b) Fixação de objetivos.
c) Aproveitamento das oportunidades.
d) Atividades de controle.
e) Informações e comunicações.
25. (FGV / CM Salvador – Analista Legislativo – 2018)
A estrutura integrada de controle interno e gerenciamento de risco proposta pelo Committee
Of Sponsoring Organizations of the Treadway Commission (COSO) está baseada em quatro
categorias de objetivos.
A categoria de objetivo relacionada à sobrevivência, continuidade e sustentabilidade
organizacional é o(a):
a) comunicação;
b) conformidade;
c) desempenho;
d) estratégica;
e) operacional.
A Estrutura Integrada de Controle Interno proposta pelo Committee Of Sponsoring
Organizations of the Treadway Commission (COSO) organiza o controle interno em cinco
componentes.
Quando uma entidade que organizou o seu controle interno a partir da estrutura do COSO
realiza avaliações contínuas e/ou independentes para se certificar da presença e do
funcionamento dos componentes do controle interno, está atendendo diretamente ao
componente de:
a) ambiente de controle;
b) avaliação de riscos;
84


Aula 09
1619643
c) atividades de controle;
d) atividades de monitoramento;
e) informação e comunicação.
27. (FGV / ALERJ – Especialista Legislativo – 2017)
Na avaliação de sistemas de controle interno concebidos a partir da Estrutura Integrada
proposta pelo Committee of Sponsoring Organizations of the Treadway Commission (COSO), a
análise sobre as iniciativas da organização para que as pessoas assumam responsabilidade por
suas funções de controle interno na busca por objetivos está relacionada ao componente:
a) avaliação de riscos;
b) atividades de controle;
c) ambiente de controle;
d) fixação de objetivos;
e) monitoramento.
O governo de um ente estatal definiu como uma das políticas quadrienais o desenvolvimento
do artesanato em uma região do Estado, conhecida pela tradição com cerâmicas, rendas e
bordados. Para tanto, ele pretende subsidiar recursos para treinamento, construção de
instalações e aquisição de matérias-primas.
O governo estadual, por meio da Secretaria Estadual de Desenvolvimento Econômico e Social,
realizou uma análise quanto à disponibilidade de pessoal para compor um departamento
apropriado para implementar, conduzir e acompanhar a operação de concessão de subsídios.
Sob a perspectiva do documento Guidelines for Internal Control Standards for the Public Sector,
emitido pelo International Organization of Supreme Audit Institutions (INTOSAI), a análise
efetuada está relacionada ao seguinte componente:
a) monitoramento;
d) informação e comunicação;
e) procedimentos de controle.
29. (FGV / TCM SP – Agente de Fiscalização – 2015)
O Comitê das Organizações Patrocinadoras da Comissão Treadway (COSO, na sigla em inglês)
apresentou, em 1992, um modelo amplamente aceito para o estabelecimento de controles
internos denominado “Controle Interno – Estrutura Integrada” – aplicável a entidades de
85


Aula 09
1619643
grande, médio e pequeno portes, com ou sem fins lucrativos, bem como ao setor público –,
que ficou popularmente conhecido como COSO I.
Segundo esse modelo, controle interno:
a) é um processo de trabalho que deve ficar a cargo da unidade de auditoria interna de cada
entidade;
b) é um processo conduzido pela estrutura de governança, pela administração e por pessoas
da organização;
c) é um processo que consiste de tarefas que devem ser realizadas ao menos uma vez em cada
exercício financeiro;
d) visa proporcionar certeza de que os objetivos da entidade serão alcançados;
e) não auxilia a organização a prever eventos externos que possam afetar negativamente o
alcance de seus objetivos.
publicou, em 2004, o modelo denominado “Gerenciamento de Riscos Corporativos” (ERM, na
sigla em inglês), popularizado como COSO II.
Segundo esse modelo, as quatro categorias de objetivos comuns à maioria das organizações
são:
a) objetivos contábeis; objetivos de controle; objetivos estratégicos e objetivos de salvaguarda
de ativos;
b) objetivos estratégicos; objetivos sociais; objetivos de lucro e objetivos de divulgação;
c) objetivos estratégicos; objetivos operacionais; objetivos de comunicação e objetivos de
conformidade;
d) objetivos de conformidade; objetivos de comunicação; objetivos de relacionamento com
partes interessadas e objetivos ambientais e de sustentabilidade;
e) objetivos de comunicação; objetivos operacionais; objetivos de relacionamento com partes
interessadas e objetivos ambientais e de sustentabilidade.
31. (FGV / CODEMIG – Analista de Desenvolvimento Econômico – 2015)
A definição mais amplamente aceita de controles internos é a proposta pelo Committee of
Sponsoring Organizations of the Treadway Commission (COSO), que concebe o controle interno
como um processo integrado, executado pela administração e outras pessoas da entidade,
desenhado para fornecer razoável segurança sobre o alcance de objetivos nas seguintes
categorias: eficácia e eficiência operacional, mensuração de desempenho e divulgação
financeira, proteção de ativos e cumprimento de leis e regulamentações.
86


Aula 09
1619643
Quando, em uma entidade, se procede à avaliação quanto à definição adequada de

competências e atribuições de cada função no regimento interno de uma entidade, o
componente do Controle Interno da Estrutura de COSO contemplado é:
c) procedimentos de controle;
e) monitoramento.
32. (FGV / TJ PI – Auditor – 2015)
Uma entidade fez a opção de implantar seu sistema de controle interno a partir da Estrutura
Integrada de Controle Interno proposta pelo COSO. A Estrutura proposta pelo COSO se
desdobra em princípios, que representam os conceitos fundamentais associados a cada
componente do Controle Interno.
Dentre as iniciativas da entidade, está a criação de um plano para desenvolvimento e retenção
de talentos humanos. Essa iniciativa está em consonância com o componente:
c) avaliação de riscos;
e) monitoramento.
33. (FGV / CM Recife – Consultor Legislativo – 2014)
De acordo com as diretrizes para as normas de controle interno divulgadas pelo COSO
(Committee of Sponsoring Organizations of the Treadway Commission) e pela INTOSAI
(International Organisation of Supreme Audit Institutions), o controle interno é estruturado
para oferecer segurança razoável de que os objetivos gerais da entidade estão sendo
alcançados e compreende cinco componentes interrelacionados. O princípio que preconiza
que a organização faz com que as pessoas assumam responsabilidade por suas funções de
controle interno na busca pelos objetivos está relacionado ao componente de:
c) atividades de monitoramento;
d) avaliação de riscos;
87


Aula 09
1619643
34. (FGV / CM Recife – Gestor de Controle Interno – 2014)

A Assessoria de Tecnologia da Informação de uma prefeitura municipal está desenvolvendo
protocolos de segurança para envio, recebimento e armazenagem de informações
relacionadas às atividades desenvolvidas pelas secretarias e demais órgãos do município. Do
ponto de vista dos componentes do controle interno, esse procedimento está circunscrito ao
componente de:
35. (CESGRANRIO - Auditor (PETROBRAS)/Júnior /2018)
Tendo em vista a estrutura integrada de controle interno proposta pelo Committee of
Sponsoring Organization of the Treadway Commission (COSO), o compromisso da
administração em obter ou gerar e utilizar informações importantes e de qualidade, originadas
tanto de fontes internas quanto externas, está relacionado ao componente de
a) ambiente de controle
b) conformidade do controle
c) informação e comunicação
d) monitoramento
e) unidade operacional
Uma das necessidades para assegurar o cumprimento dos objetivos do controle interno é o
monitoramento contínuo do sistema de controle adotado. Em relação ao controle interno,
considere os seguintes itens de verificação:
I - A organização demonstra ter comprometimento com a integridade e os valores.
II - A organização seleciona e desenvolve atividades gerais de controle sobre a tecnologia para
III - As verificações internas protegem adequadamente os ativos da entidade contra fraudes.
IV - O potencial para fraude é considerado na avaliação dos riscos à realização dos objetivos da
entidade.
V - Os controles contábeis asseguram o correto registro das transações financeiras.
88


Aula 09
1619643
Os itens de verificação que se referem a atividades típicas de monitoramento são, APENAS, as

de números:
a) I e II
b) II e III
c) II e IV
d) III e V
e) IV e V
7. GABARITO
1. E 14. E 27. C
2. B 15. CERTO 28. C
3. ERRADO 16. A 29. B
4. ERRADO 17. ERRADO 30. C
5. A 18. ERRADO 31. A
6. CERTO 19. CERTO 32. A
7. CERTO 20. CERTO 33. A
8. ANULADA 21. ERRADO 34. B
9. ERRADO 22. C 35. C
10. B 23. A 36. D
11. C 24. C
12. C 25. D
13. A 26. D
89


Aula 09
1619643
8. QUESTÕES DE CONCURSOS ANTERIORES RESOLVIDAS E COMENTADAS

De acordo com o COSO (Committee of Sponsoring Organizations of the Treadway Commission),
o controle interno é um processo conduzido pela estrutura de governança, administração e
respeito à realização dos objetivos relacionados a operações, divulgação e conformidade. O
componente de controle interno em que se avaliam e se comunicam as deficiências no controle
interno aos responsáveis por tomar ações corretivas, inclusive a estrutura de governança e alta
administração, é designado
a) ambiente de controle.
b) avaliação de riscos.
c) atividades de controle.
d) informação e comunicação.
e) atividades de monitoramento.
Comentários
COSO é o Comitê das Organizações Patrocinadas, da Comissão Nacional sobre Fraudes em
Relatórios Financeiros. É uma entidade do setor privado, sem fins lucrativos, voltada para
o aperfeiçoamento da qualidade de relatórios financeiros.
Segundo o COSO I, “existe uma relação direta entre os objetivos, que são o que a entidade
busca alcançar, os componentes, que representam o que é necessário para atingir os
objetivos, e a estrutura organizacional da entidade (as unidades operacionais e entidades
legais, entre outras). Essa relação pode ser ilustrada na forma de um cubo.”
Normas de Auditoria p/ TCE-AM (Analista de Controle Externo. - Auditoria Governamental) - FGV 90


Aula 09
1619643
A Estrutura estabelece 17 princípios, que representam os conceitos fundamentais

associados a cada componente. Como esses princípios são originados diretamente dos
componentes, uma entidade poderá ter um controle interno eficaz ao aplicar todos os
princípios. Todos os princípios aplicam-se aos objetivos operacionais, divulgação e
conformidade. Os princípios que apoiam os componentes do controle interno estão
relacionados a seguir.
a) Ambiente de controle:
2.A estrutura de governança demonstra independência em relação aos seus executivos e
3. A administração estabelece, com a suspensão da estrutura de governança, as estruturas,
os níveis de subordinação e as autoridades e responsabilidades adequadas na busca dos
objetivos.
b) Avaliação de riscos:
6. A organização especifica os objetivos com clareza suficiente, a fim de permitir a
identificação e a avaliação dos riscos associados aos objetivos.
7. A organização identifica os riscos à realização de seus objetivos por toda a entidade e
analisa os riscos como uma base para determinar a forma como devem ser gerenciados.
91


Aula 09
1619643
8. A organização considera o potencial para fraude na avaliação dos riscos à realização dos
objetivos.
9. A organização identifica e avalia as mudanças que poderiam afetar, de forma
significativa, o sistema de controle interno.
c) Atividades de controle:
10. A organização seleciona e desenvolve atividades de controle que contribuem para a
redução, a níveis aceitáveis, dos riscos à realização dos objetivos.
11. A organização seleciona e desenvolve atividades gerais de controle sobre a tecnologia
para apoiar a realização dos objetivos.
12. A organização estabelece atividades de controle por meio de políticas que estabelecem
o que é esperado e os procedimentos que colocam em prática essas políticas.
d) Informação e comunicação:
13. A organização obtém ou gera e utiliza informações significativas e de qualidade para
apoiar o funcionamento do controle interno.
14. A organização transmite internamente as informações necessárias para apoiar o
funcionamento do controle interno, inclusive os objetivos e responsabilidades pelo controle.
e) Atividades de monitoramento:
16. A organização seleciona, desenvolve e realiza avaliações contínuas e/ou independentes
para se certificar da presença e do funcionamento dos componentes do controle interno.
responsáveis por tomar ações corretivas, inclusive a estrutura de governança e alta
administração, conforme aplicável. [grifo nosso]
Gabarito: “E”.

Um sistema de controle interno eficaz reduz, a níveis aceitáveis, o risco de não se atingir o
objetivo de uma entidade e pode estar relacionado a uma, a duas ou a todas as três categorias
de objetivos. Nesse contexto, a determinação de que os componentes e princípios relacionados
objetivos especificados refere-se
a) à presença.
b) ao funcionamento.
c) ao monitoramento.
92


Aula 09
1619643
d) à abrangência.
e) à estrutura.
Comentários
O Sumário Executivo de Controle Interno - Estrutura Integrada (2013, p.11), do
Committee of Sponsoring Organization, Coso I, estabelece os requisitos para um sistema
eficaz de controle interno. A questão aborda um desses requisitos – o funcionamento.
Veja:
Controle interno eficaz
A Estrutura estabelece os requisitos para um sistema eficaz de controle interno, que
proporciona segurança razoável acerca da realização dos objetivos da entidade. Um
sistema de controle interno eficaz reduz, a um nível aceitável, o risco de não se atingir o
objetivo de uma entidade e pode estar relacionado a uma, duas ou todas as três
categorias de objetivos. O sistema requer:
• A presença e o funcionamento de cada um dos cinco componentes e princípios
relacionados. “Presença” refere-se à determinação da existência dos componentes e
princípios relacionados no desenho e na implementação do sistema de controle interno
para atingir objetivos especificados. “Funcionamento” refere-se à determinação de que
os componentes e princípios relacionados continuem a existir na operação e na condução
do sistema de controle interno para atingir objetivos especificados;
• Os cinco componentes operam em conjunto de forma integrada. “Operam em conjunto”
refere-se à determinação de que todos os cinco componentes, em conjunto, reduzam a um
nível aceitável o risco de não se atingir o objetivo. Os componentes não devem ser
considerados de forma separada; eles operam em conjunto como um sistema integrado.
Os componentes são interdependentes e contam com uma profusão de inter-
relacionamentos e ligações entre si, especialmente a maneira como os princípios interagem
dentro e entre todos os componentes. [...]]
Ressalta-se que o controle interno da entidade é composto por cinco componentes inter-
relacionados, quais sejam: Ambiente de controle, Processo de avaliação de risco da
entidade, Sistema de informação e comunicação, Atividade de controle e Monitoramento.
Portanto, alternativa correta é B.
Gabarito: “B”.

Comentários
93


Aula 09
1619643
Item errado. De acordo com o Referencial Básico de Governança aplicável a Órgãos e

Entidades da Administração Pública, há estruturas que contribuem para a boa governança
da organização, dentre as quais se encontram: a administração executiva, a gestão tática
e a gestão operacional. A gestão tática é responsável por coordenar a gestão operacional
em áreas específicas. Por outro lado, a gestão operacional é quem fica responsável pela
execução de processos produtivos finalísticos e de apoio. Dessa forma, o item inverteu a
finalidade da gestão tática com a operacional.
Gabarito: “ERRADO”.

As instâncias externas de governança são responsáveis por definir ou avaliar a estratégia e as
políticas, bem como por monitorar sua conformidade e o desempenho
Comentários
Item errado. De acordo com o Referencial Básico de Governança aplicável a Órgãos e
Entidades da Administração Pública, há estruturas que contribuem para a boa governança
da organização, dentre as quais se encontram: as instâncias externas de governança; as
instâncias externas de apoio à governança; as instâncias internas de governança; e as
instâncias internas de apoio à governança.
As instâncias internas de governança são responsáveis por definir ou avaliar a estratégia e
as políticas, bem como monitorar a conformidade e o desempenho destas, devendo agir
nos casos em que desvios forem identificados. Por outro lado, as instâncias externas de
governança são responsáveis pela fiscalização, pelo controle e pela regulação,
desempenhando importante papel para promoção da governança das organizações
públicas.
O item inverteu a finalidade da instância interna com a externa.
5. (CESPE - Auditor Estadual (TCM-BA) /Controle Externo - 2018)

A metodologia de avaliação dos controles internos de determinada entidade, que tem por
objetivo garantir a adequação e a consistência desses controles, prevê a execução de diversas
etapas, em uma sequência lógica. Nessa avaliação, a última etapa a ser executada consiste na
a) realização de testes de observância das normas internas e legais.
b) execução de entrevistas com os empregados da entidade.
c) elaboração de fluxogramas.
d) identificação dos controles essenciais ao sistema.
94


Aula 09
1619643
e) inspeção física da operação normal da entidade.

Comentários
Tomando por base o COSO I, a etapa (ou componente) final do controle interno seria o
Monitoramento. Nessa fase, são efetuadas avaliações contínuas, independentes, ou uma
combinação das duas, para se certificar da presença e do funcionamento de cada um dos
cinco componentes de controle interno, inclusive a eficácia dos controles nos princípios
relativos a cada componente.
Nesse contexto, os testes de observância visam à obtenção de razoável segurança de que
os controles internos estabelecidos pela administração estão em efetivo funcionamento,
inclusive quanto ao seu cumprimento pelos funcionários e administradores da entidade.
Dessa forma, a assertiva mais aplicável ao contexto das atividades de monitoramento é a
letra A (testes de observância das normas internas e legais).
Gabarito: “A”.

Segundo o COSO ICIF 2013 (Internal Control – Integrated Framework), o ambiente de controle é
um conjunto de normas, processos e estruturas que fornece a base para a condução do controle
interno por toda a organização
Comentários
Item certo. Segundo o Manual de Controle Interno - Estrutura Integrada – Sumário
Executivo (COSO I, 2013), “o ambiente de controle é um conjunto de normas, processos e
estruturas que fornece a base para a condução do controle interno por toda a
organização. A estrutura de governança e a alta administração estabelecem uma diretriz
sobre a importância do controle interno, inclusive das normas de conduta esperadas. A
administração reforça as expectativas nos vários níveis da organização”.
Gabarito: “CERTO”.
7. (CESPE - Técnico Municipal de Controle Interno (CGM João Pessoa) - 2018)

De acordo com o COSO ICIF 2013 (Internal Control — Integrated Framework), julgue o item
subsequente, relativo a controles internos.
Controle interno consiste no conjunto de processos desenhados para promover uma asseguração
razoável quanto ao alcance dos objetivos relacionados a operações, relatórios financeiros e
cumprimento das leis.
Comentários
95


Aula 09
1619643
Item certo. Os controles internos da entidade são desenvolvidos ou realizados com o

objetivo de garantir, com segurança razoável (e não “absoluta” ou “total”), que seus
objetivos serão alcançados. O Sumário Executivo de Controle Interno - Estrutura
Integrada (2013, p.6), do Committee of Sponsoring Organization, corrobora tal
entendimento com a definição de controle interno. Veja:
Controle interno é um processo conduzido pela estrutura de governança, administração e
outros profissionais da entidade, e desenvolvido para proporcionar segurança razoável
com respeito à realização dos objetivos relacionados a operações, divulgação e
conformidade. [grifo nosso]
A Estrutura apresenta três categorias de objetivos, o que permite às organizações se
concentrarem em diferentes aspectos do controle interno:
entidade, inclusive as metas de desempenho financeiro e operacional e a salvaguarda de
perdas de ativos.
• Conformidade – Esses objetivos relacionam-se ao cumprimento de leis e
regulamentações às quais a entidade está sujeita.[grifo nosso]

De acordo com o art. 74 da Constituição Federal de 1988 (CF), os Poderes Legislativo, Executivo
e Judiciário manterão, de forma integrada, sistema de controle interno com algumas
finalidades. Nesse sentido, julgue o item a seguir, a respeito da governança no setor público.
O COSO ICIF 2013 está em consonância com o referido artigo constitucional, ao descrever os
objetivos operacionais como aqueles relacionados à eficiência e à eficácia das operações da
entidade, incluídos operações e desempenho (performance.) das metas e salvaguardados os
ativos contra perdas.
96


Aula 09
1619643
Comentários
A Estrutura COSO I (ou COSO ICIF) apresenta três categorias de objetivos, o que permite às
organizações se concentrarem em diferentes aspectos do controle interno:
perdas de ativos.
• Conformidade – Esses objetivos relacionam-se ao cumprimento de leis e regulamentações
às quais a entidade está sujeita.[grifo nosso]
A Constituição Federal de 1988 descreve as finalidades do controle interno da seguinte

forma:
Art. 74. Os Poderes Legislativo, Executivo e Judiciário manterão, de forma integrada,
sistema de controle interno com a finalidade de:
I - avaliar o cumprimento das metas previstas no plano plurianual, a execução dos
programas de governo e dos orçamentos da União;
II - comprovar a legalidade e avaliar os resultados, quanto à eficácia e eficiência, da gestão
orçamentária, financeira e patrimonial nos órgãos e entidades da administração federal,
bem como da aplicação de recursos públicos por entidades de direito privado;
III - exercer o controle das operações de crédito, avais e garantias, bem como dos direitos
e haveres da União;
IV - apoiar o controle externo no exercício de sua missão institucional.
Veja que somente os incisos I e II, do Art.74, CF/88 estão alinhados ao COSO ICIF 2013 no
que concerne ao aspecto operacional.
A banca optou por anular a questão com a seguinte justificativa:
97


Aula 09
1619643
“Gabarito definitivo: Deferido com anulação A redação do item prejudicou seu julgamento
objetivo.”
Gabarito: “ANULADO”.

De acordo com o art. 74 da Constituição Federal de 1988 (CF), os Poderes Legislativo, Executivo e
Judiciário manterão, de forma integrada, sistema de controle interno com algumas finalidades.
Nesse sentido, julgue o item a seguir, a respeito da governança no setor público.
Ao mencionar que os controles internos devem “avaliar o cumprimento das metas previstas no
plano plurianual, a execução dos programas de governo e dos orçamentos da União”, o inciso I
do artigo constitucional em questão mostra-se contraditório com as características descritas pelo
COSO ICIF 2013, em que o controle interno é planejado para assegurar tanto o alcance dos
objetivos relacionados às operações, quanto a produção de relatórios e a adequação às normas
Comentários
Vejamos mais uma vez as três categorias de objetivos previstas no COSO I (ou COSO ICIF):
perdas de ativos.
• Conformidade – Esses objetivos relacionam-se ao cumprimento de leis e
regulamentações às quais a entidade está sujeita. [grifo nosso]
A Constituição Federal de 1988 descreve como finalidade do controle interno “avaliar o
cumprimento das metas previstas no plano plurianual, a execução dos programas de
governo e dos orçamentos da União”.
Quando o auditor está avaliando o cumprimento das metas previstas nos instrumentos de
planejamento, bem como os programas de governo, verifica-se se eles estão em
conformidade com a legislação pertinente e, posteriormente, é feita a comunicação dos
resultados por meio de relatórios.
Veja que o inciso I, do Art.74, CF/88 está alinhado ao COSO ICIF 2013 no que concerne às
categorias do controle interno (operacional, divulgação e conformidade).
98


Aula 09
1619643
Entre as quatro categorias de objetivos organizacionais estabelecidas pelo COSO inclui-se a

categoria dos objetivos operacionais, cujo propósito é
a) assegurar o cumprimento das leis e dos regulamentos.
b) utilizar de forma eficaz e eficiente os recursos.
c) viabilizar o atingimento de metas no nível mais elevado, alinhando-se e fornecendo apoio à
missão.
d) evitar a perda de ativos ou recursos da organização.
e) atestar a confiabilidade dos relatórios.
Comentários
Inicialmente, podemos identificar que o enunciado está fazendo menção ao COSO II, que
prevê quatro categorias de objetivos (o COSO I prevê apenas 3 categorias de objetivos).
Segundo o Manual de Gerenciamento de Riscos Corporativos — Estrutura Integrada
(COSO II):
Com base na missão ou visão estabelecida por uma organização, a administração
estabelece os planos principais, seleciona as estratégias e determina o alinhamento dos
objetivos nos níveis da organização. Essa estrutura de gerenciamento de riscos corporativos
é orientada a fim de alcançar os objetivos de uma organização e são classificados em
quatro categorias:
Estratégicos – metas gerais, alinhadas com o que suportem à sua missão.
Operações – utilização eficaz e eficiente dos recursos.
Comunicação – confiabilidade de relatórios.
Conformidade – cumprimento de leis e regulamentos aplicáveis.
Portanto, alternativa correta é B.

Em relação às demais alternativas quanto às categorias dos objetivos:
Letra A) ERRADA. Conformidade.
99


Aula 09
1619643
Letra C) ERRADA. Estratégicos.

Letra D) ERRADA. Assertiva faz menção à categoria de objetivos operacionais, conforme a
estrutura do COSO I. Veja:
O Sumário Executivo de Controle Interno - Estrutura Integrada (2013, p.6), do Committee
of Sponsoring Organization, apresenta três categorias de objetivos, o que permite às
organizações se concentrarem em diferentes aspectos do controle interno:
perdas de ativos.
[...].
Letra E) ERRADA. Comunicação.
Gabarito: “B”.

Determinado componente do gerenciamento de riscos corporativos permite que a organização
considere até que ponto eventos em potencial podem impactar o atingimento de seus objetivos.
O COSO denomina esse componente de
a) monitoramento.
b) atividades de controle.
c) avaliação de riscos.
d) identificação de eventos.
e) informações e comunicações.
Comentários
A questão aborda um dos oito componentes que compõem o gerenciamento de riscos
corporativos. De acordo com o COSO II:
O gerenciamento de riscos corporativos é constituído de oito componentes inter-
relacionados, que se originam com base na maneira como a administração gerencia a
organização, e que se integram ao processo de gestão. Esses componentes são os
seguintes:
Ambiente Interno – A administração estabelece uma filosofia quanto ao tratamento de
riscos e estabelece um limite de apetite a risco. O ambiente interno determina os conceitos
básicos sobre a forma como os riscos e os controles serão vistos e abordados pelos
empregados da organização.
Fixação de Objetivos – Os objetivos devem existir antes que a administração identifique as
situações em potencial que poderão afetar a realização destes.
100


Aula 09
1619643
Identificação de Eventos – Os eventos em potencial que podem impactar a organização

devem ser identificados, uma vez que esses possíveis eventos, gerados por fontes internas
ou externas, afetam a realização dos objetivos.
Avaliação de Riscos – Os riscos identificados são analisados com a finalidade de
determinar a forma como serão administrados e, depois, serão associados aos objetivos
que podem influenciar.
Resposta a Risco – Os empregados identificam e avaliam as possíveis respostas aos riscos:
evitar, aceitar, reduzir ou compartilhar. A administração seleciona o conjunto de ações
destinadas a alinhar os riscos às respectivas tolerâncias e ao apetite a risco.
Atividades de Controle – Políticas e procedimentos são estabelecidos e implementados para
assegurar que as respostas aos riscos selecionados pela administração sejam executadas
com eficácia.
Informações e Comunicações – A forma e o prazo em que as informações relevantes são
identificadas, colhidas e comunicadas permitam que as pessoas cumpram com suas
atribuições.
Monitoramento – A integridade do processo de gerenciamento de riscos corporativos é
monitorada e as modificações necessárias são realizadas. Desse modo, a organização
poderá reagir ativamente e mudar segundo as circunstâncias. O monitoramento é
realizado por meio de atividades gerenciais contínuas, avaliações independentes ou uma
combinação desses dois procedimentos.
Ainda de acordo com a publicação, a avaliação de riscos permite que uma organização
considere até que ponto eventos em potencial podem impactar a realização dos objetivos.
Portanto, alternativa correta é C.
Gabarito: “C”.

Diversos tipos de alterações, como, por exemplo, nas condições demográficas, nos costumes
sociais, nas estruturas das famílias, nas prioridades de trabalho, podem provocar mudanças na
demanda de produtos e serviços, novos locais de compra, demandas relacionadas a recursos
humanos e paralisações da produção. De acordo com o COSO, as relações entre essas
alterações e seus efeitos são consideradas eventos
a) políticos.
b) de meio ambiente.
c) sociais.
d) pessoais.
e) econômicos.
101


Aula 09
1619643
Comentários
Eventos são incidentes ou ocorrências originadas a partir de fontes internas ou externas
que afetam a implementação da estratégia ou a realização dos objetivos de uma
organização. Os eventos podem provocar impacto positivo, negativo ou ambos. A questão
aborda um desses eventos - os sociais.
(COSO II):
Os fatores externos, com os exemplos de eventos correlatos e as suas implicações, incluem
o seguinte:
Identificação de Eventos
Econômicos – os eventos relacionados contemplam: oscilações de preços, disponibilidade
de capital, ou redução nas barreiras à entrada da concorrência, cujo resultado se traduz
em um custo de capital mais elevado ou mais reduzido, e em novos concorrentes.
Meio ambiente – refere-se aos seguintes eventos: incêndios, inundações ou terremotos,
que provocam danos a fábricas ou edificações, restrição quanto ao uso de matérias-primas
e perda de capital humano.
Políticos – eleição de agentes do governo com novas agendas políticas e novas leis e
regulamentos, resultando, por exemplo, na abertura ou na restrição ao acesso a mercados
estrangeiros, ou elevação ou redução na carga tributária.
Sociais – são alterações nas condições demográficas, nos costumes sociais, nas estruturas
da família, nas prioridades de trabalho/ vida e a atividade terrorista, que, por sua vez,
podem provocar mudanças na demanda de produtos e serviços, novos locais de compra,
demandas relacionadas a recursos humanos e paralisações da produção.
Tecnológicos – são novas formas de comércio eletrônico, que podem provocar aumento na
disponibilidade de dados, reduções de custos de infraestrutura e aumento da demanda de
serviços com base em tecnologia.
Gabarito: “C”.

A administração de uma universidade estadual identificou e avaliou os riscos associados com a
gerência da residência estudantil: concluiu que a referida gerência não possuía internamente
os requisitos necessários e as funcionalidades para administrar eficazmente essa grande
propriedade residencial, razão pela qual optou por terceirizar a administração da residência
para uma empresa especializada, que, entre outros fatores, tivesse condições de reduzir o
impacto e a probabilidade de riscos.
102


Aula 09
1619643
De acordo com o COSO, a categoria de resposta a risco descrita na situação hipotética

apresentada é
a) compartilhar.
b) evitar.
c) reduzir.
d) aceitar.
e) acolher.
Comentários
Segundo o COSO II, o gerenciamento de riscos apresenta oito componentes, sendo um
deles a Resposta ao Risco. Veja:
Resposta ao risco: para cada risco identificado, será prevista uma resposta, que pode ser
de 4 tipos: evitar, aceitar, compartilhar ou reduzir.
Evitar – Descontinuação das atividades que geram os riscos. Evitar riscos pode implicar a
descontinuação de uma linha de produtos, o declínio da expansão em um novo mercado
geográfico ou a venda de uma divisão.
Reduzir – São adotadas medidas para reduzir a probabilidade ou o impacto dos riscos, ou,
até mesmo, ambos. Tipicamente, esse procedimento abrange qualquer uma das centenas
de decisões do negócio no dia-a-dia.
Compartilhar – Redução da probabilidade ou do impacto dos riscos pela transferência ou
pelo compartilhamento de uma porção do risco. As técnicas comuns compreendem a
aquisição de produtos de seguro, a realização de transações de headging ou a terceirização
de uma atividade.
Aceitar – Nenhuma medida é adotada para afetar a probabilidade ou o grau de impacto
dos riscos.
103


Aula 09
1619643
Assim, a categoria de resposta a risco descrita na situação hipotética apresentada é

compartilhar (terceirizar a administração da residência para uma empresa especializada).
Portanto, alternativa correta é A.
Gabarito: “A”.
14. (CESPE - Analista de Controle (TCE-PR)/Contábil - 2016)

A respeito de controles internos, de acordo com o Manual de Gerenciamento de Riscos
Corporativos — Estrutura Integrada (COSO II), do Committee of Sponsoring Organization,
assinale a opção correta.
a) Nas atividades de monitoramento, a organização deve escolher e executar avaliações para
averiguar se os componentes do controle externo estão em operação.
b) Segundo o COSO II, são quatro os componentes para o gerenciamento de riscos
corporativos: ambiente externo; fixação de objetivos; estabelecimento de riscos; atividades de
controle; e monitoramento.
c) No gerenciamento de riscos corporativos, a fixação dos objetivos será realizada após a
identificação dos eventos, a fim de se determinar quais ações serão realizadas para cada tipo
de risco.
d) Risco inerente é aquele que perdura mesmo depois da resposta dos dirigentes da
organização.
e) Em uma organização, o gerenciamento de riscos corporativos, processo conduzido pelos
seus membros, consiste em estabelecer estratégias para identificar e administrar potenciais
eventos capazes de afetá-la.
Comentários
Letra A) ERRADA. Na fase de monitoramento, é averiguado se os demais componentes do
controle INTERNO estão em operação.
Letra B) ERRADA. Segundo o COSO II, são 08 (oito) os componentes do Gerenciamento de
Riscos Corporativos.
Letra C) ERRADA. Os objetivos devem existir ANTES que a administração possa identificar
os eventos em potencial que poderão afetar a sua realização.
Letra D) ERRADA. Assertiva trouxe o conceito de Risco Residual. Risco inerente é o risco
que uma organização terá de enfrentar na falta de medidas que a administração possa
adotar para alterar a probabilidade ou o impacto dos eventos.
Letra E) CORRETA. Essa informação está alinhada à definição de gerenciamento de risco
coorporativo.
Conforme o Manual de Gerenciamento de Riscos Corporativos — Estrutura Integrada
(COSO II):
104


Aula 09
1619643
O gerenciamento de riscos corporativos é um processo conduzido em uma organização

pelo conselho de administração, diretoria e demais empregados, aplicado no
estabelecimento de estratégias, formuladas para identificar em toda a organização
eventos em potencial, capazes de afetá-la, e administrar os riscos de modo a mantê-los
compatível com o apetite a risco da organização e possibilitar garantia razoável do
cumprimento dos seus objetivos. [Grifos nosso]
Gabarito: “E”.
15. (CESPE – TCE PA – Analista de Controle Externo – Direito – 2016)

Tendo como referência os conceitos relacionados a auditoria governamental adotados por
entidades internacionais, julgue o item a seguir.
Para o COSO, uma das situações capazes de impedir que o controle interno proporcione
segurança absoluta à organização é a limitação resultante de adequação dos objetivos
estabelecidos como condição prévia ao controle interno.
Comentários
Item certo. A Estrutura do COSO I reconhece que, embora o controle interno proporcione
segurança razoável quanto à realização dos objetivos da entidade, existem limitações.
O controle interno não é capaz de evitar julgamentos errôneos ou más decisões, ou ainda
eventos externos que impeçam a organização de atingir suas metas operacionais. Em
outras palavras, até mesmo um sistema eficaz de controle interno pode apresentar falhas.
As limitações podem ser resultado de:
-- Adequação dos objetivos estabelecidos como uma condição prévia ao controle interno;
-- Realidade de que o julgamento humano na tomada de decisões pode ser falho e
tendencioso;
-- Falhas que podem ocorrer devido a erros humanos, como enganos simples;
[...]
16. (CESPE – TCE PR – Analista de Controle – Contábil – 2016)

Assinale a opção correta, a respeito de governança no setor público.
a) A auditoria é entendida como um instrumento de verificação da governança.
b) Um dos princípios de governança no setor público, a prestação de contas por
responsabilidade conferida ao gestor público será obrigatória apenas em determinadas
situações.
c) As instâncias externas de governança responsáveis pelo exercício de fiscalização e controle
são autônomas, mas podem depender de outras organizações.
105


Aula 09
1619643
d) As instâncias internas de governança responsáveis pela avaliação de estratégias e políticas

e pelo monitoramento de conformidade estão impedidas de atuar nas situações em que
desvios forem identificados.
e) No setor público, a governança é analisada sob três perspectivas: sociedade e Estado;
atividades extraorganizacionais; e órgãos e entidades.
Comentários
Segundo o Referencial Básico de Governança aplicável a órgãos e entidades da
administração pública, “o sistema de governança reflete a maneira como diversos atores
se organizam, interagem e procedem para obter boa governança. Envolve, portanto, as
estruturas administrativas (instâncias), os processos de trabalho, os instrumentos
(ferramentas, documentos etc.), o fluxo de informações e o comportamento de pessoas
envolvidas direta, ou indiretamente, na avaliação, no direcionamento e no monitoramento
da organização. De forma simplificada, esse sistema pode ser assim representado (Figura
5):”
Além disso, na mesma direção, esse Referencial explica que:
106


Aula 09
1619643
Nota-se, nesse sistema, que algumas instâncias foram destacadas: as instâncias externas
de governança; as instâncias externas de apoio à governança; as instâncias internas de
governança; e as instâncias internas de apoio à governança.
a) As instâncias externas de governança são responsáveis pela fiscalização, pelo controle
e pela regulação, desempenhando importante papel para promoção da governança das
organizações públicas. São autônomas e independentes, não estando vinculadas apenas
a uma organização. Exemplos típicos dessas estruturas são o Congresso Nacional e o
Tribunal de Contas da União.
b) As instâncias externas de apoio à governança são responsáveis pela avaliação, auditoria
e monitoramento independente e, nos casos em que disfunções são identificadas, pela
comunicação dos fatos às instâncias superiores de governança. Exemplos típicos dessas
estruturas as auditorias independentes e o controle social organizado.
c) As instâncias internas de governança são responsáveis por definir ou avaliar a estratégia
e as políticas, bem como monitorar a conformidade e o desempenho destas, devendo agir
nos casos em que desvios forem identificados. São, também, responsáveis por garantir que
a estratégia e as políticas formuladas atendam ao interesse público servindo de elo entre
principal e agente. Exemplos típicos dessas estruturas são os conselhos de administração
ou equivalentes e, na falta desses, a alta administração.
d) As instâncias internas de apoio à governança realizam a comunicação entre partes
interessadas internas e externas à administração, bem como auditorias internas que
avaliam e monitoram riscos e controles internos, comunicando quaisquer disfunções
identificadas à alta administração. Exemplos típicos dessas estruturas são a ouvidoria, a
auditoria interna, o conselho fiscal, as comissões e os comitês. [grifo nosso]
Após essas considerações iniciais, analisaremos cada alternativa:
Letra A) CORRETA. Tanto a auditoria externa (instância externa) quanto à interna
(instância interna) servem de instrumento de verificação da governança, uma vez que
ambos compõem o Sistema de Governança e estão em conformidade com o Referencial.
Letra B) ERRADA. Segundo o Referencial, todas as pessoas ou entidades que tenham
recebido recursos públicos devem prestar contas. Veja:
Accountability: As normas de auditoria da Intosai conceituam accountability como a
obrigação que têm as pessoas ou entidades às quais se tenham confiado recursos, incluídas
as empresas e organizações públicas, de assumir as responsabilidades de ordem fiscal,
gerencial e programática que lhes foram conferidas, e de informar a quem lhes delegou
essas responsabilidades (BRASIL, 2011). Espera-se que os agentes de governança prestem
contas de sua atuação de forma voluntária, assumindo integralmente as consequências de
seus atos e omissões (IBGC, 2010).
Letra C) ERRADA. A instâncias externas são autônomas e independentes, não estando
vinculadas apenas a uma organização.
107


Aula 09
1619643
Letra D) ERRADA. As instâncias internas de governança são responsáveis por definir ou

avaliar a estratégia e as políticas, bem como monitorar a conformidade e o desempenho
destas, devendo agir nos casos em que desvios forem identificados.
Letra E) ERRADA. São quatro perspectivas, ao invés de três. Uma das perspectivas são as
atividades intraorganizacionais (e não extraorganizacionais). Veja:
De forma geral os três mecanismos propostos (liderança, estratégia e controle) podem ser
aplicados a qualquer uma das quatro perspectivas de observação (sociedade e Estado;
entes federativos, esferas de poder e políticas públicas; órgãos e entidades; e atividades
intraorganizacionais), devendo, no entanto, estarem alinhados de forma a garantir que
direcionamentos de altos níveis se reflitam em ações práticas pelos níveis subalternos.
[grifo nosso]
Gabarito: “A”.

Os canais normais são veículos de comunicação utilizados pelas organizações para retransmitir
aos usuários as informações pessoais, sigilosas, e as relativas aos riscos identificados, ao passo
que os canais alternativos são meios adequados para comunicar as informações geradas no
curso das operações e as decorrentes de atos ilegais.
Comentários
Item errado. Segundo o COSO (Gerenciamento de Riscos Corporativos - Estrutura
Integrada), a administração fornece comunicações específicas e dirigidas que abordam as
expectativas de comportamento e as responsabilidades do pessoal. Isso inclui uma clara
definição da filosofia e da abordagem do gerenciamento de riscos corporativos, além de
uma clara delegação de autoridade. A comunicação referente aos processos e aos
procedimentos deverá alinhar-se e apoiar a cultura desejada.
As informações geradas no decorrer das atividades operacionais são geralmente
comunicadas pelos canais normais aos superiores imediatos. Estes, por sua vez, podem
estender a comunicação em direção ascendente ou lateral na organização, de modo que
as informações acabem nas mãos de pessoas que podem e devem atuar em relação a estas.
Canais de comunicação alternativos também devem existir para o relato de informações
sensíveis, como atos ilegais ou impróprios.
Item inverteu os canais de comunicação com as informações correspondentes.
108


Aula 09
1619643

Na avaliação de riscos, que é uma categoria de objetivos do controle interno, uma condição
prévia é apurar o nível de impacto de possíveis mudanças no resultado decorrente dos
componentes, já que os insumos se originam em diferentes níveis da entidade.
Comentários
Segundo o COSO II (Gerenciamento de Riscos Corporativos - Estrutura Integrada), são 4
(quatro) as categorias de objetivos (estratégicos, operacionais, de comunicação e
conformidade). De cara, o item erra ao dizer que a avaliação de riscos é uma categoria de
objetivos. A avaliação de riscos é, na verdade, um dos componentes do gerenciamento de
riscos corporativos.
Além disso, na Avaliação de Riscos – os riscos identificados são analisados com a finalidade
de determinar a forma como serão administrados e, depois, serão associados aos objetivos
que podem influenciar.

Em uma organização, entre os controles mais conhecidos e difundidos estão os preventivos e
os detectivos. Além desses, encontram-se as ações corretivas, que são utilizadas para
complementar tanto as atividades quanto os procedimentos de controle.
Comentários
Item certo. Segundo o COSO II (Gerenciamento de Riscos Corporativos - Estrutura
Integrada), geralmente, implementa-se uma combinação de controles para tratar das
respostas relacionadas a riscos. As atividades de controle incluem os preventivos, que
evitam a concretização de determinadas transações, e os de detecção, que identificam
outras transações discrepantes oportunamente. Além disso, de modo geral, as atividades
de controle incluem dois elementos: uma política que estabelece aquilo que deverá ser
feito e os procedimentos para fazê-la ser cumprida. O procedimento é a própria revisão,
realizada oportunamente e com especial atenção para os fatores estabelecidos na política,
como a natureza e o volume dos títulos transacionados e o volume destes em relação ao
patrimônio líquido e à idade do cliente. Ademais, é essencial que as condições
identificadas em razão do procedimento sejam analisadas e que medidas corretivas
apropriadas sejam adotadas.

109


Aula 09
1619643

A categorização dos usuários segundo os perfis e o uso de softwares licenciados são tipos de
controles estruturados pela administração para auxiliar a gestão dos sistemas de informações.
Comentários
Item certo. Segundo o COSO (Gerenciamento de Riscos Corporativos - Estrutura
Integrada), “a dependência cada vez maior em relação a sistemas de informações para
auxiliar a operação de uma organização e para atender aos objetivos de comunicação e ao
cumprimento de políticas traz a necessidade de controle dos sistemas mais significativos.
Dois grupos amplos de atividades de controle dos sistemas de informação podem ser
utilizados. O primeiro diz respeito aos controles gerais, que se aplicam a praticamente
todos os sistemas e contribuem para assegurar uma operação adequada e contínua”. O
segundo grupo é o dos controles de aplicativos, que incluem etapas para avaliar o
processo por meio de códigos de programação dentro do software. Os controles gerais e
os de aplicativos, em conjunto com os processos de controle manual, quando
necessários, asseguram a integridade, a precisão e a validade das informações.
Os controles gerais estendem-se pela administração da tecnologia da informação, pela
infraestrutura da tecnologia da informação, pela administração da segurança, pela
aquisição de software, pelo desenvolvimento e pela manutenção. Esses controles aplicam-
se a todos os sistemas: os de grande porte ou mainframe para cliente/servidor aos
ambientes de computadores portáteis e os de mesa. Alguns exemplos de controles comuns
nessas categorias: Administração da Tecnologia da Informática, Infraestrutura da
Tecnologia da Informática (categorização dos usuários segundo os perfis), Administração
da Segurança; Aquisição, Desenvolvimento e Manutenção de Software (uso de softwares
licenciados).
21. (CESPE- Auditor Governamental (CGE PI)/Geral/2015)

Caso esteja estruturado formalmente, o controle interno de uma instituição pode ser
representado sob a forma de um cubo. Nessa representação, as categorias de objetivos
relacionam-se indiretamente com os componentes, em que pese estarem no mesmo plano;
diferentemente da estrutura organizacional, que está em outra dimensão.
Comentários
Item errado. Segundo o COSO (Gerenciamento de Riscos Corporativos - Estrutura
Integrada), existe um relacionamento direto entre os objetivos, que uma organização
empenha-se em alcançar, e os componentes do gerenciamento de riscos corporativos, que
110


Aula 09
1619643
representam aquilo que é necessário para o seu alcance. Esse relacionamento é

apresentado em uma matriz tridimensional em forma de cubo.
Dessa forma, o item erra ao dizer que o relacionamento entre as categorias de objetivos e
os componentes é indireto (ele é, na verdade, direto). Ademais, as categorias e os
componentes não se encontram no mesmo plano.
22. (FUNDATEC / BRDE – Analista de Projetos – 2017)

De acordo com o Committee Of Sponsoring Organizations Of The Treadway Commission
(COSO), são componentes de gerenciamento de riscos:
a) Estrutura Organizacional, Filosofia de Gerenciamento, Classificação de Riscos e Apetite ao
Risco.
c) Ambiente Interno, Fixação de Objetivos, Identificação de Eventos, Avaliação de Riscos,
Resposta aos Riscos, Atividade de Controle, Informações e Comunicações.
Comentários
Segundo o COSO II, o gerenciamento de riscos corporativos é constituído de oito
componentes inter-relacionados, que se originam com base na maneira como a
administração gerencia a organização, e que se integram ao processo de gestão. Esses
componentes são os seguintes: Ambiente Interno; Fixação de Objetivos; Identificação de
Eventos; Avaliação de Riscos; Resposta a Risco; Atividades de Controle; Informações e
Comunicações; e Monitoramento.
Gabarito: “C”.

Ambiente de controle, estabelecimento de metas, identificação de problemas, avaliação de
risco, atividades de controle, informação, comunicação e monitoramento são as oito
dimensões do modelo internacional que serve de parâmetro para a auditoria na avaliação da
estrutura de controles internos.
Assim, este modelo denomina-se:
a) COSO – Committee of Sponsoring Organizations of the Treadway Comission.
b) COBIT – Control Objectives for Information and Related Technology.
111


Aula 09
1619643
c) SOX – Sarbanes-Oxley.
d) SEC – Security Exchange Comission.
e) AICPA – American Institute of Certified Public Accountants.
Comentários
Enunciado apresenta um “mix” dos componentes do Controle Interno trazidos pelo COSO
I e dos componentes da Gestão de Riscos Corporativos trazidos pelo COSO II.
Gabarito: “A”.

Por meio do Enterprise Risk Management (ERM), é possível fazer-se o gerenciamento dos riscos
corporativos. Vários são os seus componentes. Assim, NÃO faz parte do gerenciamento de
riscos:
a) Identificação de eventos.
b) Fixação de objetivos.
c) Aproveitamento das oportunidades.
d) Atividades de controle.
e) Informações e comunicações.
Comentários
Todas as assertivas, com exceção da letra C, trazem componentes do gerenciamento de
riscos corporativos trazidos pelo COSO II.
Gabarito: “C”.

A estrutura integrada de controle interno e gerenciamento de risco proposta pelo Committee
Of Sponsoring Organizations of the Treadway Commission (COSO) está baseada em quatro
categorias de objetivos.
A categoria de objetivo relacionada à sobrevivência, continuidade e sustentabilidade
organizacional é o(a):
a) comunicação;
b) conformidade;
c) desempenho;
d) estratégica;
e) operacional.
112


Aula 09
1619643
Comentários
Inicialmente, podemos identificar que o enunciado está fazendo menção ao COSO II, que
prevê quatro categorias de objetivos (o COSO I prevê apenas 3 categorias de objetivos).
(COSO II):
Essa estrutura de gerenciamento de riscos corporativos é orientada a fim de alcançar os
objetivos de uma organização e são classificados em quatro categorias:
Apesar do COSO II não utilizar as expressões “sobrevivência”, “continuidade” e

“sustentabilidade organizacional”, podemos tranquilamente associá-las ao nível mais
macro de categorias de objetivos: os objetivos estratégicos.
Gabarito: “D”.

A Estrutura Integrada de Controle Interno proposta pelo Committee Of Sponsoring
Organizations of the Treadway Commission (COSO) organiza o controle interno em cinco
componentes.
Quando uma entidade que organizou o seu controle interno a partir da estrutura do COSO
realiza avaliações contínuas e/ou independentes para se certificar da presença e do
funcionamento dos componentes do controle interno, está atendendo diretamente ao
componente de:
c) atividades de controle;
d) atividades de monitoramento;
113


Aula 09
1619643
Comentários
Segundo o COSO I, o controle interno consiste em 05 (cinco) componentes integrados,
conforme descrito a seguir:
a) Ambiente de controle
b) Avaliação de riscos
c) Atividades de controle
d) Informação e comunicação
e) Atividades de monitoramento: uma organização utiliza avaliações contínuas,
independentes, ou uma combinação das duas, para se certificar da presença e do
funcionamento de cada um dos cinco componentes de controle interno, inclusive a
eficácia dos controles nos princípios relativos a cada componente. As avaliações contínuas,
inseridas nos processos corporativos nos diferentes níveis da entidade, proporcionam
informações oportunas. As avaliações independentes, conduzidas periodicamente, terão
escopos e frequências diferentes, dependendo da avaliação de riscos, da eficácia das
avaliações contínuas e de outras considerações da administração.
Percebe-se, claramente, que o enunciado faz menção ao componente Monitoramento. (ou
Atividades de Monitoramento).
Gabarito: “D”.

Na avaliação de sistemas de controle interno concebidos a partir da Estrutura Integrada
proposta pelo Committee of Sponsoring Organizations of the Treadway Commission (COSO), a
análise sobre as iniciativas da organização para que as pessoas assumam responsabilidade por
suas funções de controle interno na busca por objetivos está relacionada ao componente:
a) avaliação de riscos;
d) fixação de objetivos;
e) monitoramento.
Comentários
A Estrutura (COSO I) estabelece 17 princípios, que representam os conceitos fundamentais
associados a cada componente (ambiente de controle, avaliação de riscos, atividades de
controle, informação e comunicação, e monitoramento). Um dos princípios associados ao
Ambiente de controle é justamente o trazido pelo enunciado. Veja:
114


Aula 09
1619643
a) Ambiente de controle:
2.A estrutura de governança demonstra independência em relação aos seus executivos e
3. A administração estabelece, com a suspensão da estrutura de governança, as estruturas,
os níveis de subordinação e as autoridades e responsabilidades adequadas na busca dos
objetivos.
(...)
Gabarito: “C”.

O governo de um ente estatal definiu como uma das políticas quadrienais o desenvolvimento
do artesanato em uma região do Estado, conhecida pela tradição com cerâmicas, rendas e
bordados. Para tanto, ele pretende subsidiar recursos para treinamento, construção de
instalações e aquisição de matérias-primas.
O governo estadual, por meio da Secretaria Estadual de Desenvolvimento Econômico e Social,
realizou uma análise quanto à disponibilidade de pessoal para compor um departamento
apropriado para implementar, conduzir e acompanhar a operação de concessão de subsídios.
Sob a perspectiva do documento Guidelines for Internal Control Standards for the Public Sector,
emitido pelo International Organization of Supreme Audit Institutions (INTOSAI), a análise
efetuada está relacionada ao seguinte componente:
a) monitoramento;
e) procedimentos de controle.
Comentários
O documento Guidelines for Internal Control Standards for the Public Sector (da Intosai)
traz informações alinhadas às diretrizes do COSO I, com algumas diferenças. Vejamos
alguns de seus pontos importantes:
115


Aula 09
1619643
Controle interno é um processo integrado efetuado pela direção e corpo de funcionários, e

é estruturado para enfrentar os riscos e fornecer razoável segurança de que na consecução
da missão da entidade os seguintes objetivos gerais serão alcançados:
• execução ordenada, ética, econômica, eficiente e eficaz das operações;
• cumprimento das obrigações de accountability;
• cumprimento das leis e regulamentos aplicáveis;
• salvaguarda dos recursos para evitar perdas, mau uso e dano.
Percebam que são apresentados 04 (quatro) “objetivos gerais” (ao invés das 03 “categorias
de objetivos trazidas pelo COSO I).
Já os componentes do Controle Interno são os mesmos 05 previstos no COSO I (ambiente
de controle, avaliação de riscos, procedimentos de controle, informação e comunicação, e
monitoramento).
O documento prevê ainda, como elementos do ambiente de controle, o seguinte:
(1) a integridade pessoal e profissional e os valores éticos da direção e do quadro de
pessoal, incluindo uma atitude de apoio ao controle interno, durante todo o tempo e por
toda a organização;
(2) competência;
(3) o "perfil dos superiores" (ou seja, a filosofia da direção e o estilo gerencial);
(4) estrutura organizacional;
(5) políticas e práticas de recursos humanos.
Reparem então que a “análise quanto à disponibilidade de pessoal para compor um
departamento” está ligada ao componente Ambiente de controle, uma vez que este inclui,
entre outros elementos, integridade, valores éticos e competência das pessoas, a maneira
pela qual a gestão delega autoridade e responsabilidades, a estrutura de governança
organizacional e as políticas e práticas de recursos humanos.
Gabarito: “C”.

apresentou, em 1992, um modelo amplamente aceito para o estabelecimento de controles
internos denominado “Controle Interno – Estrutura Integrada” – aplicável a entidades de
grande, médio e pequeno portes, com ou sem fins lucrativos, bem como ao setor público –,
que ficou popularmente conhecido como COSO I.
Segundo esse modelo, controle interno:
116


Aula 09
1619643
a) é um processo de trabalho que deve ficar a cargo da unidade de auditoria interna de cada
entidade;
b) é um processo conduzido pela estrutura de governança, pela administração e por pessoas
da organização;
c) é um processo que consiste de tarefas que devem ser realizadas ao menos uma vez em cada
exercício financeiro;
d) visa proporcionar certeza de que os objetivos da entidade serão alcançados;
e) não auxilia a organização a prever eventos externos que possam afetar negativamente o
alcance de seus objetivos.
Comentários
De acordo com o COSO I, Controle interno é um processo conduzido pela estrutura de
governança, administração e outros profissionais da entidade, e desenvolvido para
proporcionar segurança razoável com respeito à realização dos objetivos relacionados a
operações, divulgação e conformidade.
Gabarito: “B”.

publicou, em 2004, o modelo denominado “Gerenciamento de Riscos Corporativos” (ERM, na
sigla em inglês), popularizado como COSO II.
Segundo esse modelo, as quatro categorias de objetivos comuns à maioria das organizações
são:
a) objetivos contábeis; objetivos de controle; objetivos estratégicos e objetivos de salvaguarda
de ativos;
b) objetivos estratégicos; objetivos sociais; objetivos de lucro e objetivos de divulgação;
c) objetivos estratégicos; objetivos operacionais; objetivos de comunicação e objetivos de
conformidade;
d) objetivos de conformidade; objetivos de comunicação; objetivos de relacionamento com
partes interessadas e objetivos ambientais e de sustentabilidade;
e) objetivos de comunicação; objetivos operacionais; objetivos de relacionamento com partes
interessadas e objetivos ambientais e de sustentabilidade.
Comentários
(COSO II):
117


Aula 09
1619643
Essa estrutura de gerenciamento de riscos corporativos é orientada a fim de alcançar os

objetivos de uma organização e são classificados em quatro categorias:
Gabarito: “C”.
31. (FGV / CODEMIG – Analista de Desenvolvimento Econômico – 2015)

A definição mais amplamente aceita de controles internos é a proposta pelo Committee of
Sponsoring Organizations of the Treadway Commission (COSO), que concebe o controle interno
como um processo integrado, executado pela administração e outras pessoas da entidade,
desenhado para fornecer razoável segurança sobre o alcance de objetivos nas seguintes
categorias: eficácia e eficiência operacional, mensuração de desempenho e divulgação
financeira, proteção de ativos e cumprimento de leis e regulamentações.
Quando, em uma entidade, se procede à avaliação quanto à definição adequada de
competências e atribuições de cada função no regimento interno de uma entidade, o
componente do Controle Interno da Estrutura de COSO contemplado é:
c) procedimentos de controle;
e) monitoramento.
Comentários
Como vimos ao longo da aula, competência (atração, retenção e desenvolvimento de
talentos competentes) e atribuição de funções (delegação de autoridade e
responsabilidade) são elementos do Ambiente de Controle.
Gabarito: “A”.
32. (FGV / TJ PI – Auditor – 2015)

Uma entidade fez a opção de implantar seu sistema de controle interno a partir da Estrutura
Integrada de Controle Interno proposta pelo COSO. A Estrutura proposta pelo COSO se
desdobra em princípios, que representam os conceitos fundamentais associados a cada
componente do Controle Interno.
118


Aula 09
1619643
Dentre as iniciativas da entidade, está a criação de um plano para desenvolvimento e retenção

de talentos humanos. Essa iniciativa está em consonância com o componente:
c) avaliação de riscos;
e) monitoramento.
Comentários
Um dos princípios que apoiam os componentes do Controle Interno, relacionado ao
Ambiente de controle, é o comprometimento que a organização demonstra para atrair,
desenvolver e reter talentos competentes, em linha com seus objetivos.
Gabarito: “A”.
33. (FGV / CM Recife – Consultor Legislativo – 2014)

De acordo com as diretrizes para as normas de controle interno divulgadas pelo COSO
(Committee of Sponsoring Organizations of the Treadway Commission) e pela INTOSAI
(International Organisation of Supreme Audit Institutions), o controle interno é estruturado
para oferecer segurança razoável de que os objetivos gerais da entidade estão sendo
alcançados e compreende cinco componentes interrelacionados. O princípio que preconiza
que a organização faz com que as pessoas assumam responsabilidade por suas funções de
controle interno na busca pelos objetivos está relacionado ao componente de:
Comentários
Um dos princípios que apoiam os componentes do Controle Interno, relacionado ao
Ambiente de controle, é o que preconiza que a organização faz com que as pessoas
assumam responsabilidade por suas funções de controle interno na busca pelos
objetivos.
Gabarito: “A”.
34. (FGV / CM Recife – Gestor de Controle Interno – 2014)
119


Aula 09
1619643
A Assessoria de Tecnologia da Informação de uma prefeitura municipal está desenvolvendo

protocolos de segurança para envio, recebimento e armazenagem de informações
relacionadas às atividades desenvolvidas pelas secretarias e demais órgãos do município. Do
ponto de vista dos componentes do controle interno, esse procedimento está circunscrito ao
componente de:
Comentários
No caso do enunciado, a entidade está desenvolvendo uma atividade de controle,
relacionada a procedimentos de segurança de informações. Vejam que, de acordo com a
definição abaixo, as atividades de controle são desempenhadas também no ambiente
tecnológico (como no caso do enunciado).
Segundo o COSO I, atividades de controle são ações estabelecidas por meio de políticas e
procedimentos que ajudam a garantir o cumprimento das diretrizes determinadas pela
administração para mitigar os riscos à realização dos objetivos. As atividades de controle
são desempenhadas em todos os níveis da entidade, em vários estágios dentro dos
processos corporativos e no ambiente tecnológico. Podem ter natureza preventiva ou de
detecção e abranger uma série de atividades manuais e automáticas, como autorizações e
aprovações, verificações, reconciliações e revisões de desempenho do negócio.
Gabarito: “B”.

Tendo em vista a estrutura integrada de controle interno proposta pelo Committee of
Sponsoring Organization of the Treadway Commission (COSO), o compromisso da
administração em obter ou gerar e utilizar informações importantes e de qualidade, originadas
tanto de fontes internas quanto externas, está relacionado ao componente de
a) ambiente de controle
b) conformidade do controle
c) informação e comunicação
d) monitoramento
e) unidade operacional
Comentários
120


Aula 09
1619643
Segundo o COSO I, o controle interno consiste em 05 (cinco) componentes integrados,

conforme descrito a seguir:
a) Ambiente de controle: é um conjunto de normas, processos e estruturas que fornece a
base para a condução do controle interno por toda a organização. A estrutura de
governança e a alta administração estabelecem uma diretriz sobre a importância do
controle interno, inclusive das normas de conduta esperadas. A administração reforça as
expectativas nos vários níveis da organização.
O ambiente de controle abrange a integridade e os valores éticos da organização; os
parâmetros que permitem à estrutura de governança cumprir com suas responsabilidades
de supervisionar a governança; a estrutura organizacional e a delegação de autoridade e
responsabilidade; o processo de atrair, desenvolver e reter talentos competentes; e o rigor
em torno de medidas, incentivos e recompensas por performance. O ambiente de controle
resultante tem impacto pervasivo sobre todo o sistema de controle interno.
b) Avaliação de riscos: Toda entidade enfrenta vários riscos de origem tanto interna quanto
externa. Define-se risco como a possibilidade de que um evento ocorra e afete
adversamente a realização dos objetivos. A avaliação de riscos envolve um processo
dinâmico e iterativo para identificar e avaliar os riscos à realização dos objetivos.
c) Atividades de controle: são ações estabelecidas por meio de políticas e procedimentos
que ajudam a garantir o cumprimento das diretrizes determinadas pela administração para
mitigar os riscos à realização dos objetivos. As atividades de controle são desempenhadas
em todos os níveis da entidade, em vários estágios dentro dos processos corporativos e no
ambiente tecnológico. Podem ter natureza preventiva ou de detecção e abranger uma série
de atividades manuais e automáticas, como autorizações e aprovações, verificações,
reconciliações e revisões de desempenho do negócio. A segregação de funções é
geralmente inserida na seleção e no desenvolvimento das atividades de controle.
d) Informação e comunicação: a informação é necessária para que a entidade cumpra
responsabilidades de controle interno a fim de apoiar a realização de seus objetivos. A
administração obtém ou gera e utiliza informações importantes e de qualidade,
originadas tanto de fontes internas quanto externas, a fim de apoiar o funcionamento de
outros componentes do controle interno. A comunicação é o processo contínuo e iterativo
de proporcionar, compartilhar e obter as informações necessárias. A comunicação interna
é o meio pelo qual as informações são transmitidas para a organização, fluindo em todas
as direções da entidade. Ela permite que os funcionários recebam uma mensagem clara da
alta administração de que as responsabilidades pelo controle devem ser levadas a sério. A
comunicação externa apresenta duas vertentes: permite o recebimento, pela organização,
e) Atividades de monitoramento: uma organização utiliza avaliações contínuas,
independentes, ou uma combinação das duas, para se certificar da presença e do
121


Aula 09
1619643
funcionamento de cada um dos cinco componentes de controle interno, inclusive a eficácia

dos controles nos princípios relativos a cada componente. As avaliações contínuas,
inseridas nos processos corporativos nos diferentes níveis da entidade, proporcionam
informações oportunas. As avaliações independentes, conduzidas periodicamente, terão
escopos e frequências diferentes, dependendo da avaliação de riscos, da eficácia das
avaliações contínuas e de outras considerações da administração.
Gabarito: “C”.

Uma das necessidades para assegurar o cumprimento dos objetivos do controle interno é o
monitoramento contínuo do sistema de controle adotado. Em relação ao controle interno,
considere os seguintes itens de verificação:
I - A organização demonstra ter comprometimento com a integridade e os valores.
II - A organização seleciona e desenvolve atividades gerais de controle sobre a tecnologia para
III - As verificações internas protegem adequadamente os ativos da entidade contra fraudes.
IV - O potencial para fraude é considerado na avaliação dos riscos à realização dos objetivos da
entidade.
V - Os controles contábeis asseguram o correto registro das transações financeiras.
Os itens de verificação que se referem a atividades típicas de monitoramento são, APENAS, as
de números:
a) I e II
b) II e III
c) II e IV
d) III e V
e) IV e V
Comentários
Analisando os itens e relacionando-os a cada componente do controle interno, segundo a
estrutura do Coso I, temos o seguinte:
I - A organização demonstra ter comprometimento com a integridade e os valores. Refere-
se ao ambiente de controle.
II - A organização seleciona e desenvolve atividades gerais de controle sobre a tecnologia
para apoiar a realização dos objetivos. Refere-se à atividade de controle.
122


Aula 09
1619643
III - As verificações internas protegem adequadamente os ativos da entidade contra

fraudes. Isso é feito com avaliações contínuas. Refere-se às atividades de monitoramento.
IV - O potencial para fraude é considerado na avaliação dos riscos à realização dos objetivos
da entidade. Refere-se à avaliação de riscos.
V - Os controles contábeis asseguram o correto registro das transações financeiras.
Referem-se às atividades de monitoramento.
Portanto, alternativa correta é D.
Gabarito: “D”.
123


Aula 09
1619643
9. RESPOSTAS DAS QUESTÕES SUBJETIVAS

1. O que é Controle Interno, segundo o Coso?
Resposta: Controle interno é um processo conduzido pela estrutura de governança, administração
e outros profissionais da entidade, e desenvolvido para proporcionar segurança razoável com
respeito à realização dos objetivos relacionados a operações, divulgação e conformidade.
2. Defina Gerenciamento de Riscos Corporativos.

Resposta: o gerenciamento de riscos corporativos é um processo conduzido em uma organização
pelo conselho de administração, diretoria e demais empregados, aplicado no estabelecimento de
estratégias, formuladas para identificar em toda a organização eventos em potencial, capazes de
afetá-la, e administrar os riscos de modo a mantê-los compatível com o apetite a risco da
organização e possibilitar garantia razoável do cumprimento dos seus objetivos.
3. Quais os componentes do controle interno, segundo o Coso I?

1. Ambiente de Controle: demonstra o grau e comprometimento em todos os níveis da
administração, com a qualidade do controle interno em seu conjunto.
2. Avaliação de Riscos: identifica os eventos ou das condições que podem afetar a qualidade da
informação contábil e avaliação dos riscos identificados.
3. Atividades de Controle: medidas e ações integrantes de um sistema de controle que, se
estabelecidas de forma tempestiva e adequada, podem vir a prevenir ou administrar os riscos
inerentes ou em potencial da entidade.
4. Informações e Comunicações: identifica, armazena e comunica toda informação relevante, a fim
de permitir a realização dos procedimentos estabelecidos.
5. Monitoramento: compreende o acompanhamento da qualidade do controle interno, visando
assegurar a sua adequação aos objetivos, ao ambiente, aos recursos e aos riscos. Pressupõe uma
atividade desenvolvida ao longo do tempo.
4. Quais os componentes do gerenciamento de riscos corporativos, segundo o Coso II?

1) Ambiente Interno – o ambiente interno compreende o tom de uma organização e fornece a base
pela qual os riscos são identificados e abordados pelo seu pessoal, inclusive a filosofia de
gerenciamento de riscos, o apetite a risco, a integridade e os valores éticos, além do ambiente em
que estes estão.
2) Fixação de Objetivos – os objetivos devem existir antes que a administração possa identificar os
eventos em potencial que poderão afetar a sua realização. O gerenciamento de riscos corporativos
assegura que a administração disponha de um processo implementado para estabelecer os objetivos
que propiciem suporte e estejam alinhados com a missão da organização e sejam compatíveis com
o seu apetite a riscos.
124


Aula 09
1619643
3) Identificação de Eventos – os eventos internos e externos que influenciam o cumprimento dos

objetivos de uma organização devem ser identificados e classificados entre riscos e oportunidades.
Essas oportunidades são canalizadas para os processos de estabelecimento de estratégias da
administração ou de seus objetivos.
4) Avaliação de Riscos – os riscos são analisados, considerando-se a sua probabilidade e o impacto
como base para determinar o modo pelo qual deverão ser administrados. Esses riscos são avaliados
quanto à sua condição de inerentes e residuais.
5) Resposta a Risco – a administração escolhe as respostas aos riscos - evitando, aceitando,
reduzindo ou compartilhando – desenvolvendo uma série de medidas para alinhar os riscos com a
tolerância e com o apetite a risco. As respostas a riscos classificam-se nas seguintes categorias:
6) Atividades de Controle – políticas e procedimentos são estabelecidos e implementados para
7) Informações e Comunicações – as informações relevantes são identificadas, colhidas e
comunicadas de forma e no prazo que permitam que cumpram suas responsabilidades. A
comunicação eficaz também ocorre em um sentido mais amplo, fluindo em todos níveis da
organização.
8) Monitoramento – a integridade da gestão de riscos corporativos é monitorada e são feitas as
modificações necessárias. O monitoramento é realizado através de atividades gerenciais contínuas
ou avaliações independentes ou de ambas as formas.
5. Quais as categorias de objetivos do Coso I?

CATEGORIAS DE OBJETIVOS
Eficácia e à eficiência das

OPERACIONAL
operações da entidade.
Divulgações financeiras
COSO I DIVULGAÇÃO
e não financeiras.
Cumprimento de leis e
CONFORMIDADE
regulamentos aplicáveis.
125


Aula 09
1619643
6. Quais as categorias de objetivos do Coso II?

CATEGORIAS DE OBJETIVOS
Metas gerais, alinhadas

ESTRATÉGICOS com o que suportem à
sua missão.
Utilização eficaz e
OPERACÕES
eficiente dos recursos.
COSO II
Confiabilidade de
COMUNICAÇÃO
relatórios.
Cumprimento de leis e
CONFORMIDADE
regulamentos aplicáveis.
7. Quais as categorias de respostas aos riscos, segundo Coso II?

CATEGORIAS DE RESPOSTAS
Descontinuação das
EVITAR atividades que geram os
riscos.
Medidas para reduzir a

AO RISCOS
REDUZIR probabilidade ou o
impacto dos riscos.
TIPOS
Transferência de uma
COMPARTILHAR
porção do risco.
Nenhuma medida é
adotada para afetar a
ACEITAR
probabilidade/grau de
impacto dos riscos.
126


Aula 09
1619643
8. Quais os 17 princípios que representam os conceitos fundamentais associados a cada

componente da Estrutura do Coso I?
3. A administração estabelece, com a suspensão da estrutura de governança, as estruturas, os níveis
de subordinação e as autoridades e responsabilidades adequadas na busca dos objetivos.
5. A organização faz com que as pessoas assumam responsabilidade por suas funções de controle
interno na busca pelos objetivos.
6. A organização especifica os objetivos com clareza suficiente, a fim de permitir a identificação e a
avaliação dos riscos associados aos objetivos.
7. A organização identifica os riscos à realização de seus objetivos por toda a entidade e analisa os
riscos como uma base para determinar a forma como devem ser gerenciados.
8. A organização considera o potencial para fraude na avaliação dos riscos à realização dos objetivos.
9. A organização identifica e avalia as mudanças que poderiam afetar, de forma significativa, o
sistema de controle interno.
Atividades de controle
10. A organização seleciona e desenvolve atividades de controle que contribuem para a redução, a
níveis aceitáveis, dos riscos à realização dos objetivos.
11. A organização seleciona e desenvolve atividades gerais de controle sobre a tecnologia para
12. A organização estabelece atividades de controle por meio de políticas que estabelecem o que é
esperado e os procedimentos que colocam em prática essas políticas.
Informação e comunicação
13. A organização obtém ou gera e utiliza informações significativas e de qualidade para apoiar o
14. A organização transmite internamente as informações necessárias para apoiar o funcionamento
do controle interno, inclusive os objetivos e responsabilidades pelo controle.
127


Aula 09
1619643
Atividades de monitoramento
16. A organização seleciona, desenvolve e realiza avaliações contínuas e/ou independentes para se
certificar da presença e do funcionamento dos componentes do controle interno.
responsáveis por tomar ações corretivas, inclusive a estrutura de governança e alta administração,
conforme aplicável.
9. Defina evento, risco e oportunidade.

Um evento é um incidente ou uma ocorrência gerada com base em fontes internas ou externas, que
afeta a realização dos objetivos. Os eventos podem causar impacto negativo, positivo ou ambos. Os
eventos que geram impacto negativo representam riscos. Da mesma forma, o risco é definido como
segue:
O risco é representado pela possibilidade de que um evento ocorrerá e afetará negativamente a
realização dos objetivos.
Oportunidade é a possibilidade de que um evento ocorra e influencie favoravelmente a realização
dos objetivos.
10. Há limitações na estrutura de controle interno? Explique.

Resposta: embora o controle interno proporcione segurança razoável quanto à realização dos
objetivos da entidade, existem limitações.
O controle interno não é capaz de evitar julgamentos errôneos ou más decisões, ou ainda eventos
externos que impeçam a organização de atingir suas metas operacionais. Em outras palavras, até
mesmo um sistema eficaz de controle interno pode apresentar falhas. As limitações podem ser
resultado de:
• adequação dos objetivos estabelecidos como uma condição prévia ao controle interno;
• realidade de que o julgamento humano na tomada de decisões pode ser falho e tendencioso;
• falhas que podem ocorrer devido a erros humanos, como enganos simples;
• capacidade da administração de sobrepassar o controle interno;
• capacidade da administração, outros funcionários e/ou terceiros transpassarem os controles por
meio de conluio entre as partes; e
• eventos externos fora do controle da organização.
Essas limitações impedem que a estrutura de governança e a administração tenha segurança
absoluta da realização dos objetivos da entidade – isto é, o controle interno proporciona segurança
razoável, mas não absoluta. Embora essas limitações sejam inerentes, a administração deve estar
ciente delas ao selecionar, desenvolver e aplicar controles na organização para minimizar, dentro do
possível, tais limitações.
128


Aula 09
1619643
11. Quais os requisitos para que um sistema de controle interno seja considerado eficaz, segundo
a estrutura do Coso I?
Resposta: um sistema de controle interno eficaz reduz, a um nível aceitável, o risco de não se atingir
o objetivo de uma entidade e pode estar relacionado a uma, duas ou todas as três categorias de
objetivos. O sistema requer:
• A presença e o funcionamento de cada um dos cinco componentes e princípios relacionados.
“Presença” refere-se à determinação da existência dos componentes e princípios relacionados no
desenho e na implementação do sistema de controle interno para atingir objetivos especificados.
“Funcionamento” refere-se à determinação de que os componentes e princípios relacionados
continuem a existir na operação e na condução do sistema de controle interno para atingir objetivos
especificados;
• Os cinco componentes operam em conjunto de forma integrada. “Operam em conjunto” refere-
se à determinação de que todos os cinco componentes, em conjunto, reduzam a um nível aceitável
o risco de não se atingir o objetivo. Os componentes não devem ser considerados de forma
separada; eles operam em conjunto como um sistema integrado. Os componentes são
interdependentes e contam com uma profusão de inter-relacionamentos e ligações entre si,
especialmente a maneira como os princípios interagem dentro e entre todos os componentes.
12. Segundo o Coso I, “Controle interno é um processo conduzido pela estrutura de governança,
administração e outros profissionais da entidade, e desenvolvido para proporcionar segurança
razoável com respeito à realização dos objetivos relacionados a operações, divulgação e
conformidade”. Quais os conceitos fundamentais associados a esta definição?
Resposta: a definição de controle interno reflete alguns conceitos fundamentais. O controle interno
é:
• Conduzido para atingir objetivos em uma ou mais categorias – operacional, divulgação e
conformidade.
• Um processo que consiste em tarefas e atividades contínuas – um meio para um fim, não um fim
em si mesmo.
• Realizado por pessoas – não se trata simplesmente de um manual de políticas e procedimentos,
sistemas e formulários, mas diz respeito a pessoas e às ações que elas tomam em cada nível da
organização para realizar o controle interno.
• Capaz de proporcionar segurança razoável - mas não absoluta, para a estrutura de governança e
alta administração de uma entidade.
• Adaptável à estrutura da entidade – flexível na aplicação para toda a entidade ou para uma
subsidiária, divisão, unidade operacional ou processo de negócio em particular.
13. O que é Gestão de Risco?
129


Aula 09
1619643
Resposta: Gestão de riscos consiste em um conjunto de atividades coordenadas para identificar,

analisar, avaliar, tratar e monitorar riscos. É o processo que visa conferir razoável segurança quanto
ao alcance dos objetivos.
14. Quais os mecanismos que a governança pública engloba?

Resposta: A governança pública engloba três mecanismos: liderança, estratégia e controle. A cada
um deles foi associado um conjunto de componentes que contribuem direta, ou indiretamente, para
o alcance dos objetivos. São eles: (a) pessoas e competências; (b) princípios e comportamentos; (c)
liderança organizacional; (d) sistema de governança; (e) relacionamento com partes interessadas;
(f) estratégia organizacional; (g) alinhamento transorganizacional; (h) gestão de riscos e controle
interno; (i) auditoria interna; e (j) accountability e transparência.
15. Quais são os princípios da boa governança sugeridos pelo Banco Mundial?
Resposta: A legitimidade, a equidade, a responsabilidade, a eficiência, a probidade, a transparência.
16. Exemplifique atividades de controles internos.

a) procedimentos de autorização e aprovação;
b) segregação de funções (autorização, execução, registro, controle);
c) controles de acesso a recursos e registros;
d) verificações;
e) conciliações;
f) avaliação de desempenho operacional;
g) avaliação das operações, dos processos e das atividades; e
h) supervisão;
17. Quais são princípios da boa governança que devem ser seguidos pelos órgãos e entidades do
Poder Executivo federal, segundo a IN Conjunta MP/CGU nº01/2016?
I – liderança: deve ser desenvolvida em todos os níveis da administração. As competências e
responsabilidades devem estar identificadas para todos os que gerem recursos públicos, de forma a
se obter resultados adequados;
II – integridade: tem como base a honestidade e objetividade, elevando os padrões de decência e
probidade na gestão dos recursos públicos e das atividades da organização, com reflexo tanto nos
processos de tomada de decisão, quanto na qualidade de seus relatórios financeiros e de
desempenho;
III – responsabilidade: diz respeito ao zelo que se espera dos agentes de governança na
130


Aula 09
1619643
definição de estratégias e na execução de ações para a aplicação de recursos públicos, com vistas ao
melhor atendimento dos interesses da sociedade;
IV – compromisso: dever de todo o agente público de se vincular, assumir, agir ou decidir pautado
em valores éticos que norteiam a relação com os envolvidos na prestação de serviços à sociedade,
prática indispensável à implementação da governança;
V – transparência: caracterizada pela possibilidade de acesso a todas as informações
relativas à organização pública, sendo um dos requisitos de controle do Estado pela sociedade civil.
As informações devem ser completas, precisas e claras para a adequada tomada de decisão das
partes interessas na gestão das atividades; e
VI – Accountability: obrigação dos agentes ou organizações que gerenciam recursos públicos de
assumir responsabilidades por suas decisões e pela prestação de contas de sua atuação de forma
voluntária, assumindo integralmente a consequência de seus atos e omissões.
131


Aula 09
1619643
10. RESUMO EM MAPAS, ESQUEMAS E TÓPICOS
1.
2.
132


Aula 09
1619643
3.
Ambiente de Controle:
• Conjunto de normas, processos e estruturas que fornece a base para a

condução do controle interno por toda a organização
• Abrange a integridade e os valores éticos da organização
• Inclui a estrutura organizacional
• Abrange ainda a delegação de autoridade e responsabilidade
4.
Avaliação de riscos:
• Define-se risco como a possibilidade de que um evento ocorra e afete

adversamente a realização dos objetivos.
•Envolve um processo dinâmico e iterativo para identificar e avaliar os riscos.
• Requer que a administração considere o impacto de possíveis mudanças no

ambiente externo e dentro de seu próprio modelo de negócio que podem tornar
o Controle Interno ineficaz.
133


Aula 09
1619643
5.
Atividades de controle:
• São ações estabelecidas por meio de políticas e procedimentos que ajudam

a garantir o cumprimento das diretrizes determinadas pela administração
para mitigar os riscos à realização dos objetivos.
• Tem natureza preventiva ou de detecção e abrangem uma série de

atividades manuais e automáticas, como autorizações e aprovações,
verificações, reconciliações e revisões de desempenho do negócio.
• A segregação de funções é geralmente inserida na seleção e no

desenvolvimento das atividades de controle.
6.
Informação e comunicação:

componentes do controle interno.
A comunicação é o processo contínuo e iterativo de proporcionar, compartilhar e obter as

informações necessárias.
A comunicação interna é o meio pelo qual as informações são transmitidas para a

organização, fluindo em todas as direções da entidade.
A comunicação externa apresenta duas vertentes: permite o recebimento, pela organização,

134


Aula 09
1619643
7.
Monitoramento:
• Uma organização utiliza avaliações contínuas, independentes, ou uma combinação das

duas, para se certificar da presença e do funcionamento de cada um dos cinco
componentes de controle interno.
• As avaliações contínuas, inseridas nos processos corporativos nos diferentes níveis da

entidade, proporcionam informações oportunas.
• As avaliações independentes, conduzidas periodicamente, terão escopos e

frequências diferentes, dependendo da avaliação de riscos, da eficácia das avaliações
contínuas e de outras considerações da administração.
8.
135


Aula 09
1619643
9.
10.
136


Aula 09
1619643
11.
137


Aula 09
1619643
12.
11
138


Aula 09
1619643
13.
A governança no setor público pode ser analisada sob quatro

perspectivas de observação:
• Sociedade e Estado
•Entes federativos, esferas de poder e políticas públicas
• Órgãos e entidades
• Atividades intraorganizacionais.
14.
Instâncias do Sistema de Governança do Setor Público:
• Instâncias externas de governança: fiscalização, controle e regulação. Ex:

Congresso Nacional e Tribunais de Contas.
•Instâncias externas de opoio à governança: avaliação, auditoria e

monitoramento independente. Ex: auditorias independentes e o controle
social organizado.
• Instâncias internas de governança: avaliar a estratégia e as políticas, bem

como monitorar a conformidade e o desempenho destas. Ex: conselhos de
administração ou equivalentes e, na falta desses, a alta administração.
• Instâncias internas de opoio à governança: realizam a comunicação

entre partes interessadas internas e externas à administração, bem como
auditorias internas . Ex: a ouvidoria, a auditoria interna, o conselho fiscal,
as comissões e os comitês.
139


Aula 09
1619643
15.
Princípios da boa governança, segundo o Banco Mundial:
• Legitimidade
•Equidade
• Responsabilidade
• Eficiência
• Probidade
• Transparência
• Accountability
140


Aula 09
1619643
16.
Componentes de governança:
• Pessoas e competências.
•Princípios e comportamentos.
• Liderança organizacional.
• Sistema de governança.
• Relacionamento com partes interessadas.
• Estratégia organizacional.
• Alinhamento transorganizacional.
• Gestão de riscos e controle interno.
• Auditoria Interna.
• Accountability e transparência
141


Aula 09
1619643
17.
Processo de avaliação de riscos:
Processo global de identificação de riscos: gera uma lista abrangente

de riscos baseada nos eventos que possam criar, aumentar, evitar,
reduzir, acelerar ou atrasar a realização dos objetivos.
Análise de riscos: fornece uma entrada para a avaliação de riscos e para

as decisões sobre a necessidade dos riscos serem tratados, e sobre as
estratégias e métodos mais adequados de tratamento de riscos.
Avaliação de riscos: auxilia na tomada de decisões com base nos

resultados da análise de riscos, sobre quais riscos necessitam de
tratamento e a prioridade para a implementação do tratamento.
18.
142


Aula 09
1619643
Atributos de uma gestão de riscos avançada:
Melhoria contínua: a ênfase é colocada sobre a melhoria contínua na gestão de

riscos através do estabelecimento de metas de desempenho organizacional,
através da mensuração e de análises críticas, além das subsequentes mudanças
de processos, sistemas, recursos, capacidade e habilidades.
Responsabilização integral pelos riscos: responsabilização abrangente,

integralmente aceita e muito bem definida, relativa aos riscos, controles e
tarefas do tratamento dos riscos.
Aplicação da gestão de riscos em todas as tomadas de decisão: o processo de

tomada de decisão dentro da organização, seja qual for o nível de sua
importância e significância, envolve explicitamente a consideração dos riscos e
aplicação da gestão de riscos em algum grau apropriado.
Comunicação contínua: comunicações contínuas com partes interessadas

internas e externas, incluindo informativos ou relatórios abrangentes e
freqüentes a respeito do desempenho da gestão de riscos, como parte da boa
governança.
Integração total na estrutura de governança da organização: gestão de riscos

eficaz é considerada por gestores como sendo essencial para a realização dos
objetivos da organização.
19.
143


Aula 09
1619643
20.
144


Aula 09
1619643
21.
22.
Funções dos principais atores e estruturas da política de governança

Atores/estruturas Funções
Responsável, em última instância, pela condução da política de
Presidente da República
governança.
Assessora o presidente da República na condução da política de
CIG
governança (coordenação).
Órgãos e entidades da
administração pública federal Executam a política de governança,
(APF)
Responsável pela implementação da política de governança
Alta administração
nos respectivos órgãos e entidades.
Promove e monitora a política de governança em seus
Comitê Interno de Governança
respectivos órgãos e entidades.
145


Aula 09
1619643
23.
Linha de Defesa
Situada ao nível da gestão, a primeira linha de defesa é responsável por identificar, avaliar,
controlar e mitigar os riscos, guiando o desenvolvimento e a implementação de políticas e
procedimentos internos destinados a garantir que as atividades sejam realizadas de acordo com
as metas e objetivos da organização.
Primeira linha A primeira linha contempla os controles primários, que devem ser instituídos e mantidos pelos
de defesa gestores responsáveis pela implementação das políticas públicas durante a execução de atividades
e tarefas, no âmbito de seus macroprocessos finalísticos e de apoio.
De forma a assegurar sua adequação e eficácia, os controles internos devem ser integrados ao
processo de gestão, dimensionados e desenvolvidos na proporção requerida pelos riscos, de
acordo com a natureza, a complexidade, a estrutura e a missão da organização.
As instâncias de segunda linha de defesa estão situadas ao nível da gestão e objetivam assegurar
que as atividades realizadas pela primeira linha sejam desenvolvidas e executadas de forma
apropriada.
Essas instâncias são destinadas a apoiar o desenvolvimento dos controles internos da gestão e
Segunda linha realizar atividades de supervisão e de monitoramento das ações desenvolvidas no âmbito da
de defesa primeira linha de defesa, que incluem gerenciamento de riscos, conformidade, verificação de
qualidade, controle financeiro, orientação e treinamento.
Os assessores e as Assessorias Especiais de Controle Interno (AECIs) nos ministérios integram a

segunda linha de defesa e podem ter sua atuação complementada por outras estruturas
específicas definidas pelas próprias organizações.
A terceira linha de defesa é representada pela atividade de auditoria interna governamental, que
presta serviços de avaliação e de consultoria com base nos pressupostos de autonomia técnica e
de objetividade.
A atividade de auditoria deve ser desempenhada com o propósito de contribuir para o
aprimoramento das políticas públicas e a atuação das organizações que as gerenciam. Os
Terceira linha destinatários dos serviços de avaliação e de consultoria prestados pelas unidades são a alta
de defesa administração, os gestores das organizações e entidades públicas federais e a sociedade.
As unidades de auditoria interna governamental devem apoiar os órgãos e as entidades do Poder
Executivo federal na estruturação e no efetivo funcionamento da primeira e da segunda linha de
defesa da gestão, por meio da prestação de serviços de consultoria e avaliação dos processos de
governança, gerenciamento de riscos e controles internos.
146


Aula 09
1619643
24.
Linhas de defesa da gestão :
A primeira linha de defesa é responsável por identificar, avaliar, controlar e

mitigar os riscos, guiando o desenvolvimento e a implementação de políticas e
procedimentos internos destinados a garantir que as atividades sejam realizadas
de acordo com as metas e objetivos da organização.
As instâncias de segunda linha de defesa estão situadas ao nível da gestão e

objetivam assegurar que as atividades realizadas pela primeira linha sejam
desenvolvidas e executadas de forma apropriada.
A terceira linha de defesa é representada pela atividade de auditoria interna

governamental, que presta serviços de avaliação e de consultoria com base nos
pressupostos de autonomia técnica e de objetividade.
25.
147


Aula 09
1619643
26.
27.
148


Aula 09
1619643
28.
149


Aula 09
1619643
11. BIBLIOGRAFIA
BRASIL. Tribunal de Contas da União. REFERENCIAL BÁSICO DE GESTÃO DE RISCOS. Brasília, 2018.
Disponível em: <http://portal.tcu.gov.br/biblioteca-digital/referencial-basico-de-gestao-de-riscos-
FF8080816364D7980163BDC34BE55F20.htm>. Acesso em 12 de setembro de 2019.
_______. Committee of Sponsoring Organizations of the Treadway Commission (COSO). Manual de

Controle Interno - Estrutura Integrada – Sumário Executivo (COSO I). 2013. Disponível em: <
http://www.auditoria.mpu.mp.br/bases/legislacao/COSO-I-ICIF_2013_Sumario_Executivo.pdf>.
Acesso em 12 de setembro de 2019.
_______. Committee of Sponsoring Organizations of the Treadway Commission (COSO). Manual de

Gerenciamento de Riscos Corporativos – Estrutura Integrada (COSO II). 2007. Disponível em: <
https://www.coso.org/Documents/COSO-ERM-Executive-Summary-Portuguese.pdf>. Acesso em 12
de setembro de 2019.
_______. Committee of Sponsoring Organizations of the Treadway Commission (COSO).

Gerenciamento de Riscos Corporativos Integrado com Estratégia e Performance (COSO 2017).
Disponível em: <
https://auditoriaderisco7icfex.files.wordpress.com/2018/02/coso_portugues_17.pdf>. Acesso em
12 de setembro de 2019.
_______. Tribunal de Contas da União. Referencial Básico de Governança, Brasília, DF, 2014.
Disponível em:< http://portal.tcu.gov.br/comunidades/governanca/entendendo-a-
governanca/referencial-de-governanca/>. Acesso em 12 de setembro de 2019.
_______. Ministério da Transparência e Controladoria Geral da União. Instrução Normativa Conjunta

MP/CGU nº01, Brasília, DF, 2016. Disponível em:<
https://www.cgu.gov.br/sobre/legislacao/arquivos/instrucoes-
normativas/in_cgu_mpog_01_2016.pdf>. Acesso em 12 de setembro de 2019.
_______. Ministério da Transparência e Controladoria Geral da União. Guia da política de

Governança Pública. 2018. Disponível em:< https://www.cgu.gov.br/noticias/2018/12/governo-
federal-lanca-guia-sobre-a-politica-de-governanca-publica/guia-politica-governanca-publica.pdf>.
Acesso em 12 de setembro de 2019.
150


Aula 09
1619643
_______. ABNT NBR ISO 31000:2009. Gestão de riscos – Princípios e Diretrizes. Disponível em:
< https://www.abntcatalogo.com.br/norma.aspx?ID=57311>. Acesso em 12 de setembro de 2019.
_______. ABNT ISO GUIA 73: 2009. Gestão de riscos - Vocabulário. Disponível em:
< https://www.abntcatalogo.com.br/norma.aspx?ID=57312>. Acesso em 12 de setembro de 2019.
_______.ABNT NBR ISO 31000:2018. Gestão de riscos – Princípios e Diretrizes. Disponível em:
< https://portaldagestaoderiscos.com/wp-content/uploads/2018/02/ISO-31000.pdf>. Acesso em
12 de setembro de 2019.
_______. DECRETO Nº 9.203, DE 22 DE NOVEMBRO DE 2017. Governança da administração pública

federal direta, autárquica e fundacional. Disponível em: <
http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2017/Decreto/D9203.htm>. Acesso em 12
de setembro de 2019.
151


Normas de Auditoria - Aula 09

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Normas de Auditoria - Aula 09

Enviado por

Direitos autorais:

Formatos disponíveis

Aula 09

Normas de Auditoria p/ TCE-AM (Analista

00411713221 - Janaína Miranda dos Santos

Normas de Auditoria p/ TCE-AM (Analista de Controle Externo. - Auditoria Governamental) - FGV

00411713221 - Janaína Miranda dos Santos

11. Bibliografia .............................................................................................................. 150

16. Exemplifique atividades de controles internos.

Normas de Auditoria p/ TCE-AM (Analista de Controle Externo. - Auditoria Governamental) - FGV

00411713221 - Janaína Miranda dos Santos

1. GESTÃO DE RISCO E CONTROLES INTERNOS: COSO I

Definição de controle interno

Normas de Auditoria p/ TCE-AM (Analista de Controle Externo. - Auditoria Governamental) - FGV

00411713221 - Janaína Miranda dos Santos

Essa definição reflete alguns conceitos fundamentais. O controle interno é:

Normas de Auditoria p/ TCE-AM (Analista de Controle Externo. - Auditoria Governamental) - FGV

00411713221 - Janaína Miranda dos Santos

Componentes do controle interno

Normas de Auditoria p/ TCE-AM (Analista de Controle Externo. - Auditoria Governamental) - FGV

00411713221 - Janaína Miranda dos Santos

Normas de Auditoria p/ TCE-AM (Analista de Controle Externo. - Auditoria Governamental) - FGV

00411713221 - Janaína Miranda dos Santos

Relação entre objetivos e componentes

• As três categorias de objetivos – operacional, divulgação e conformidade – são representadas

Normas de Auditoria p/ TCE-AM (Analista de Controle Externo. - Auditoria Governamental) - FGV

00411713221 - Janaína Miranda dos Santos

• A estrutura organizacional da entidade é representada pela terceira dimensão.

Normas de Auditoria p/ TCE-AM (Analista de Controle Externo. - Auditoria Governamental) - FGV

00411713221 - Janaína Miranda dos Santos

Controle interno eficaz

Normas de Auditoria p/ TCE-AM (Analista de Controle Externo. - Auditoria Governamental) - FGV

00411713221 - Janaína Miranda dos Santos

interdependentes e contam com uma profusão de inter-relacionamentos e ligações entre si,

1) O Conceito de Controle Interno;

Normas de Auditoria p/ TCE-AM (Analista de Controle Externo. - Auditoria Governamental) - FGV

00411713221 - Janaína Miranda dos Santos

• Conjunto de normas, processos e estruturas que fornece a base para a

• Abrange a integridade e os valores éticos da organização

• Inclui a estrutura organizacional

• Abrange ainda a delegação de autoridade e responsabilidade

• Define-se risco como a possibilidade de que um evento ocorra e afete

•Envolve um processo dinâmico e iterativo para identificar e avaliar os riscos.

• Requer que a administração considere o impacto de possíveis mudanças no

• São ações estabelecidas por meio de políticas e procedimentos que ajudam

• Tem natureza preventiva ou de detecção e abrangem uma série de

• A segregação de funções é geralmente inserida na seleção e no

Normas de Auditoria p/ TCE-AM (Analista de Controle Externo. - Auditoria Governamental) - FGV

00411713221 - Janaína Miranda dos Santos

A administração obtém ou gera e utiliza informações importantes e de qualidade, originadas

A comunicação é o processo contínuo e iterativo de proporcionar, compartilhar e obter as

A comunicação interna é o meio pelo qual as informações são transmitidas para a

A comunicação externa apresenta duas vertentes: permite o recebimento, pela organização,

• Uma organização utiliza avaliações contínuas, independentes, ou uma combinação das

• As avaliações contínuas, inseridas nos processos corporativos nos diferentes níveis da

• As avaliações independentes, conduzidas periodicamente, terão escopos e

Normas de Auditoria p/ TCE-AM (Analista de Controle Externo. - Auditoria Governamental) - FGV

00411713221 - Janaína Miranda dos Santos

(CESPE – AUDITOR DE CONTROLE INTERNO /CGE CE – 2019) Na relação entre objetivos e

Normas de Auditoria p/ TCE-AM (Analista de Controle Externo. - Auditoria Governamental) - FGV

00411713221 - Janaína Miranda dos Santos

Normas de Auditoria p/ TCE-AM (Analista de Controle Externo. - Auditoria Governamental) - FGV

00411713221 - Janaína Miranda dos Santos

Normas de Auditoria p/ TCE-AM (Analista de Controle Externo. - Auditoria Governamental) - FGV

00411713221 - Janaína Miranda dos Santos

2. GESTÃO DE RISCO E CONTROLES INTERNOS: COSO II