Escolar Documentos
Profissional Documentos
Cultura Documentos
GOVERNAMENTAL
Governança e Controles Internos
segundo o Coso I e II
Livro Eletrônico
Presidente: Gabriel Granjeiro
Vice-Presidente: Rodrigo Calado
Diretor Pedagógico: Erico Teixeira
Diretora de Produção Educacional: Vivian Higashi
Gerência de Produção de Conteúdo: Magno Coimbra
Coordenadora Pedagógica: Élica Lopes
Todo o material desta apostila (incluídos textos e imagens) está protegido por direitos autorais
do Gran. Será proibida toda forma de plágio, cópia, reprodução ou qualquer outra forma de
uso, não autorizada expressamente, seja ela onerosa ou não, sujeitando-se o transgressor às
penalidades previstas civil e criminalmente.
CÓDIGO:
230814537537
MARCELO ARAGÃO
Auditor Federal de Controle Externo do TCU desde 2006. Foi Analista de Finanças e
Controle do Sistema de Controle Interno do Poder Executivo Federal (SCI) durante 14
anos. No Tribunal, exerce atualmente a função de Ouvidor e já ocupou, entre outras,
as funções de assessor do Secretário-Geral de Controle Externo, coordenador do
projeto Controle Externo do Mercosul, chefe do Serviço de Coordenação de Redes
de Controle, coordenador das Ações de Controle sobre os projetos da Copa do
Mundo FIFA 2014 e secretário de Controle Externo no estado de Alagoas. É professor
das disciplinas Controle Interno e Externo e Auditoria Geral e Governamental em
diversas instituições de ensino. Além disso, é autor de dois livros de auditoria pela
editora Método. Graduado em Administração pela Universidade Federal Fluminense,
possui especialização em Administração Pública (FGV) e Auditoria Interna e Controle
Governamental (ISC/CEFOR).
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
SUMÁRIO
Apresentação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Governança e Controles Internos segundo o Coso I e II . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Governança no Setor Público . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Governança Corporativa Aplicada ao Setor Público. . . . . . . . . . . . . . . . . . . . . . . . . . 7
Governança no Setor Público . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Governança e Governabilidade. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Os Princípios da Boa Governança. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Referencial Básico de Governança no Setor Público . . . . . . . . . . . . . . . . . . . . . . . . 16
Política de Governança da Administração Pública. . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Outros Aspectos Relevantes do Decreto de Governança Pública. . . . . . . . . . . . . . 32
Modelo COSO de Controle Interno – Estrutura Integrada (COSO I) . . . . . . . . . . . . . . 35
Definição de Controle Interno. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Objetivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Limitações dos Controles Internos de uma Entidade . . . . . . . . . . . . . . . . . . . . . . . . . 42
Componentes de Controle Interno. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Ambiente de Controle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Avaliação de Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Atividades de Controle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Informação e Comunicação. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Monitoramento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Princípios Relacionados aos Componentes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Relacionamento entre Objetivos e Componentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Papéis e Responsabilidades. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Eficácia dos Controles Internos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Modelo COSO de Gerenciamento de Riscos – Enterprise Risk Management
FrameworK – ERM (COSO II). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Conceitos Básicos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 3 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 4 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
APRESENTAÇÃO
Olá, concurseiro(a),
Nesta aula abordaremos os seguintes assuntos:
• Governança no setor público. Papel e importância.
• Controles internos segundo o COSO I e o COSO II - ERM (Enterprise Risk Management).
Pensando na melhoria contínua de nossos cursos, gostaríamos do seu feedback em
relação à qualidade de nosso curso. Nesse sentido, pedimos que proceda à avaliação da
presente aula em nossa plataforma de ensino.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 5 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 6 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
Para a CVM, a adoção dessas práticas facilita o acesso das empresas ao capital. Para o
IBGC, a facilitação da captação de investimentos é resultante do fato de que as empresas
que possuem boa Governança Corporativa deixam os prováveis investidores tranquilos
quanto a eventuais problemas de agência.
gran.com.br 7 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 8 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
GOVERNANÇA E GOVERNABILIDADE
Como lembra Matias-Pereira, para diversos autores, o conceito de governança não passa
de uma reformulação do conceito de governabilidade.
Nesse debate, a principal diferença entre governabilidade e governança está na forma
como a legitimidade das ações dos governos é entendida.
Na governabilidade, a legitimidade vem da capacidade do governo de representar
os interesses de suas próprias instituições. No conceito de governança, parcela de sua
legitimidade vem do processo do entendimento de que grupos específicos da população,
quando participam da elaboração e implantação de uma política pública, têm maior
possibilidade de obter sucesso nos seus objetivos.
O ponto de convergência, em termos de semelhança entre as duas, se refere à defesa
da participação institucionalizada como meio para se atingir a estabilidade política.
A literatura especializada define governança e governabilidade da seguinte forma:
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 9 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 10 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
ÉTICA (ETHICS)
A adoção de boas práticas de governança significa também a adoção de princípios éticos.
A ética é o pilar de toda a estrutura de governança. As entidades que não explicitarem as
condutas em um código de ética deverão explicitar as razões da não-adoção.
TRANSPARÊNCIA (DISCLOSURE)
A transparência é um pilar da governança. Não há como se falar em uma boa governança,
sem uma política e práticas para divulgação das ações públicas, permitindo o controle da
sociedade.
Mais do que “a obrigação de informar”, a administração deve cultivar o “desejo de
informar”, sabendo que da boa comunicação interna e externa, particularmente quando
espontânea franca e rápida, resultam um clima de confiança, tanto internamente, quando
nas relações da entidade com terceiros.
Relacionadas à transparência da gestão pública, tem-se ações do programa de Governo
Eletrônico (eGOV) que priorizam o uso das tecnologias da informação e comunicação (TICs)
para democratizar o acesso à informação, visando ampliar o debate e a participação
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 11 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
popular na construção das políticas públicas, como também aprimorar a qualidade dos
serviços e informações públicas prestadas.
A política de Governo Eletrônico do Estado brasileiro segue um conjunto de diretrizes
baseado em três ideias fundamentais: participação cidadã; melhoria do gerenciamento
interno do Estado; e integração com parceiros e fornecedores.
Transformar a relação do governo com a sociedade e promover interatividade com
cidadãos, empresas e órgãos governamentais melhora o processo de democratização do país,
dinamiza os serviços públicos e proporciona uma administração pública mais eficiente, já que,
agora, a sociedade possui instrumentos para se manifestar junto às ações governamentais.
A questão abaixo abordou esse princípio de governança.
A transparência pública é um dos pilares da democracia e ela se efetiva por meio do acesso
do cidadão à informação governamental.
Certo.
EQUIDADE (FAIRNESS)
No âmbito das empresas, a equidade caracteriza-se pelo tratamento justo e igualitário
de todos os grupos minoritários, sejam do capital ou das demais “partes interessadas”
(stakeholders), colaboradores, clientes, fornecedores ou credores. Atitudes ou políticas
discriminatórias, sob qualquer pretexto, são totalmente inaceitáveis. A governança busca
a implementação de controle em um ambiente de poder equilibrado entre todas as partes
interessadas na organização.
No setor público, a equidade é um princípio estabelecido na Constituição Federal,
devendo os programas e projetos governamentais levar em conta os interesses de toda a
população conforme as suas necessidades, independente da complexidade que cada caso
requeira e da região em que o indivíduo detenha sua residência.
Por meio do princípio da equidade, objetiva-se diminuir as desigualdades, porém não
significa que seja sinônimo de igualdade. Em que pese todos terem direito de acesso aos
serviços, independente de cor, raça ou religião e sem nenhum tipo de privilégio, as pessoas
não são iguais e, por isso, têm necessidades distintas.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 12 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
No contexto da gestão pública, a adoção de políticas e ações que promovam justiça social
entre os habitantes de um território, com vistas ao bem-estar social, está associada ao
princípio da equidade.
Letra b.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 13 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
Accountability refere-se aos mecanismos disponíveis para a prestação de contas das ações
realizadas em nome de políticas públicas e de responsabilização dos gestores.
Certo.
Pela frequência com que o assunto é cobrado em prova, veja mais uma questão acerca
do assunto.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 14 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
O controle da atividade dos políticos e dos governos exercida pelos cidadãos por meio de
voto constitui um mecanismo de accountability vertical.
Errado
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 15 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
CONCEITOS FUNDAMENTAIS
Em termos de conceito, o estudo apresentava algumas definições importantes, a saber:
Segundo a IFAC (2013), governança compreende a estrutura (administrativa, política,
econômica, social, ambiental, legal e outras) posta em prática para garantir que os resultados
pretendidos pelas partes interessadas sejam definidos e alcançados.
De acordo com o Plano Estratégico do Tribunal de Contas da União (BRASIL, 2011),
governança pode ser descrita como um sistema pelo qual as organizações são dirigidas,
monitoradas e incentivadas, envolvendo os relacionamentos entre sociedade, alta
administração, servidores ou colaboradores e órgãos de controle. Em essência, a boa
governança pública tem como propósitos conquistar e preservar a confiança da sociedade,
por meio de conjunto eficiente de mecanismos, a fim de assegurar que as ações executadas
estejam sempre alinhadas ao interesse público.
Governança corporativa: pode ser entendida como o sistema pelo qual as organizações
são dirigidas e controladas. Refere-se ao conjunto de mecanismos de convergência de
interesses de atores direta e indiretamente impactados pelas atividades das organizações,
mecanismos esses que protegem os investidores externos da expropriação pelos internos
(gestores e acionistas controladores).
Governança pública: pode ser entendida como o sistema que determina o equilíbrio
de poder entre os envolvidos — cidadãos, representantes eleitos (governantes), alta
administração, gestores e colaboradores — com vistas a permitir que o bem comum
prevaleça sobre os interesses de pessoas ou grupos.
Governança global: que pode ser entendida como o conjunto de instituições, mecanismos,
relacionamentos e processos, formais e informais, entre Estado, mercado, cidadãos e
organizações, internas ou externas ao setor público, através dos quais os interesses coletivos
são articulados, direitos e deveres são estabelecidos e diferenças são mediadas.
Governança no setor público refere-se, portanto, aos mecanismos de avaliação, direção e
monitoramento; e às interações entre estruturas, processos e tradições, as quais determinam
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 16 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
como cidadãos e outras partes interessadas são ouvidos, como as decisões são tomadas e
como o poder e as responsabilidades são exercidos. Preocupa-se, por conseguinte, com a
capacidade dos sistemas políticos e administrativos de agir efetiva e decisivamente para
resolver problemas públicos.
Anoto que a versão 3.0 do estudo (de dezembro de 2020) foca na definição de governança
de órgãos e entidades da administração pública, segundo a qual governança organizacional
é a aplicação de práticas de liderança, de estratégia e de controle, que permitem aos
mandatários de uma organização pública e às partes nela interessadas avaliar sua situação e
demandas, direcionar a sua atuação e monitorar o seu funcionamento, de modo a aumentar
as chances de entrega de bons resultados aos cidadãos, em termos de serviços e de políticas
públicas. Este conceito, derivado principalmente da governança corporativa, foi delineado
e adotado pelo TCU em virtude do propósito de apoiar a melhoria do desempenho das
organizações públicas jurisdicionadas.
PERSPECTIVAS DE OBSERVAÇÃO
Conforme o referencial (versão 2.0), a governança no setor público pode ser analisada sob
quatro perspectivas de observação: (a) sociedade e Estado; (b) entes federativos, esferas
de poder e políticas públicas; (c) órgãos e entidades; e (d) atividades intraorganizacionais.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 17 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 18 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
Centro de Políticas
Governo Públicas
Organizacional
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 19 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
Nota-se, nesse sistema, que algumas instâncias foram destacadas: as instâncias externas
de governança; as instâncias externas de apoio à governança; as instâncias internas de
governança; e as instâncias internas de apoio à governança.
As instâncias externas de governança são responsáveis pela fiscalização, pelo controle
e pela regulação, desempenhando importante papel para promoção da governança das
organizações públicas. São autônomas e independentes, não estando vinculadas apenas a
uma organização. Exemplos típicos dessas estruturas são o Congresso Nacional e o Tribunal
de Contas da União.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 20 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 21 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
009. As instâncias externas de governança são responsáveis por definir ou avaliar a estratégia
e as políticas, bem como por monitorar sua conformidade e o desempenho.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 22 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
De acordo com o Banco Mundial, governança diz respeito a estruturas, funções, processos
e tradições organizacionais que visam garantir que as ações planejadas (programas) sejam
executadas de tal maneira que atinjam seus objetivos e resultados de forma transparente.
Busca, portanto, maior efetividade (produzir os efeitos pretendidos) e maior economicidade
(obter o maior benefício possível da utilização dos recursos disponíveis) das ações.
São funções da governança:
• definir o direcionamento estratégico;
• supervisionar a gestão;
• envolver as partes interessadas;
• gerenciar riscos estratégicos;
• gerenciar conflitos internos;
• auditar e avaliar o sistema de gestão e controle; e
• promover a accountability (prestação de contas e responsabilidade) e a transparência.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 23 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 24 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
e sociedade civil contribui para obter um maior entendimento a respeito das demandas
da sociedade, para equilibrar os interesses, priorizar o atendimento das necessidades e
aumentar a confiança das partes interessadas nas instituições públicas. O princípio da
capacidade de resposta depende, portanto, diretamente do princípio da participação.
b) integridade: diz respeito às ações organizacionais e ao comportamento do agente
público, referindo-se à adesão e alinhamento consistente aos valores, princípios e normas
éticas comuns para sustentar e priorizar o interesse público sobre os interesses privados.
A OCDE sugere a adoção de políticas de integridade baseadas em contexto, evidências e
riscos, evitando-se programas de conformidade excessivamente rígidos, pois tendem a
ser limitados e falham como impedimento ao comportamento antiético. A estratégia de
integridade pública deve ser fundamentada em três pilares: implementar um sistema de
integridade amplo e coerente; cultivar uma cultura de integridade pública; possibilitar a
prestação de contas, a responsabilização e a transparência;
c) transparência: diz respeito a permitir que a sociedade obtenha informações atualizadas
sobre operações, estruturas, processos decisórios, resultados e desempenho do setor
público. Consiste em disponibilizar, inclusive na forma de dados abertos, para as partes
interessadas, as informações que sejam de seu interesse (arts. 3º, I e II, 5º, 8º e 10 da Lei
12.527/2011) e não apenas aquelas impostas por disposições de leis ou regulamentos.
Caracteriza-se pela possibilidade de acesso a todas as informações relativas à organização
pública, em uma linguagem cidadã, sendo um dos requisitos de controle do Estado pela
sociedade civil. A adequada transparência resulta em clima de confiança, tanto internamente
quanto nas relações de órgãos e entidades com terceiros. A organização transparente
se obriga voluntariamente à divulgação oportuna de todas as questões relevantes a ela
relacionadas, inclusive situação financeira, desempenho, composição e governança da
organização. Abrange várias iniciativas, como: acesso à informação, divulgação de natureza
obrigatória; divulgação de natureza proativa e voluntária, incluindo dados abertos do
governo; e transparência fiscal e orçamentária.
d) equidade e participação: diz respeito a promover tratamento justo a todas as partes
interessadas, levando em consideração seus direitos, deveres, necessidades, interesses e
expectativas. A participação efetiva das partes interessadas no processo de tomada de
decisão e na formulação de políticas públicas é um dos princípios do Governo Aberto e
facilita a equidade nesses processos.
e) accountability (prestação de contas e responsabilidade): diz respeito à obrigação
que têm as pessoas ou entidades às quais se tenham confiado recursos, incluídas as
empresas e corporações públicas, de assumir as responsabilidades de ordem fiscal, gerencial
e programática que lhes foram conferidas, e de informar o cumprimento dessas a quem
lhes delegou essas responsabilidades. Espera-se que os agentes públicos prestem contas
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 25 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 26 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
NÍVEIS DE ANÁLISE
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 27 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
MECANISMOS DE GOVERNANÇA
Para que as funções de governança (avaliar, direcionar e monitorar) sejam executadas
de forma satisfatória, alguns mecanismos devem ser adotados: a liderança, a estratégia
e o controle.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 28 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
De acordo com o referencial do TCU e o Decreto 9.203, de 22/11/2017, que dispõe sobre a
política de governança da administração pública federal direta, autárquica e fundacional
liderança, estratégia e controle são considerados exemplos de mecanismos de governança.
Certo.
Liderança
• Pessoas e competências (L1);
• Princípios e comportamentos (L2);
• Liderança organizacional (L3).
• Sistema de Governança (L4)
Estratégia
• relacionamento com partes interessadas (E1);
• estratégia organizacional (E2);
• alinhamento transorganizacional (E3).
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 29 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
Controle
• gestão de riscos e controle interno (C1);
• auditoria interna (C2); e
• accountability e transparência (C3).
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 30 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 31 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 32 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 33 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
TRANSPARÊNCIA PÚBLICA
O art. 18 do mesmo diploma autoriza os órgãos e entidades da administração direta e
indireta do Poder Executivo do Distrito Federal a conceder acesso a suas bases de dados
e informações para a Secretaria Executiva de Governança e Compliance da Casa Civil do
Distrito Federal, observadas as restrições legais de acesso à informação.
COMPLIANCE PÚBLICO
Nos termos do art. 19, os órgãos e entidades da administração direta, autárquica e
fundacional do Poder Executivo do Distrito Federal devem atuar alinhados aos padrões de
compliance e probidade na gestão pública, estruturando controles internos baseados na
gestão de riscos e garantindo a prestação de serviços públicos de qualidade.
O art. 21 estabelece que os órgãos e as entidades da administração direta, autárquica e
fundacional do Poder Executivo do Distrito Federal devem instituir programa de integridade
com o objetivo de adotar medidas destinadas à prevenção, à detecção e à punição de
fraudes e atos de corrupção, estruturado nos seguintes eixos:
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 34 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 35 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
gran.com.br 36 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
São as pessoas que realizam o trabalho de controle interno. O controle é realizado pelos
indivíduos dentro de uma organização, pelo que eles fazem e dizem. Consequentemente, o
controle interno é efetuado pelas pessoas. As pessoas devem conhecer seus papéis, suas
responsabilidades e os limites de autoridade.
As pessoas de uma organização incluem a gerência e os demais funcionários. Embora
o primeiro objetivo da gerência seja a supervisão, ela também estabelece os objetivos da
entidade e tem a responsabilidade sobre o conjunto do sistema de controle interno. Uma
vez que o controle interno oferece os mecanismos necessários para auxiliar a compreender
o risco no contexto dos objetivos da entidade, a gerência deve implementar procedimentos
de controle e realizar seu monitoramento e avaliação.
A implementação do controle interno requer muita iniciativa da gerência e intensa
comunicação entre esta e os funcionários. Desse modo, o controle interno é uma ferramenta
utilizada pela gerência e diretamente relacionada aos objetivos da entidade. Como tal, o
gerenciamento é elemento importante do controle interno. De qualquer forma, todo o
corpo funcional desempenha um papel importante na execução do controle.
Do mesmo modo, o controle interno é afetado pela natureza humana. As diretrizes
para o controle interno reconhecem que as pessoas nem sempre compreendem, comunicam
e atuam de modo consistente. Cada indivíduo traz para seu local de trabalho uma história
pessoal e habilidades técnicas próprias, possuindo necessidades e prioridades distintas.
Essas realidades afetam e são afetadas pelo controle interno.
Portanto, controle interno não se trata apenas de políticas e manuais acerca de
procedimentos, sistemas e formulários, mas de pessoas e as ações que elas tomam em
todos os níveis de uma organização para efetuar o controle interno.
Não importa quão bem planejado ou executado esteja, o controle interno não pode dar
segurança absoluta à gerência, em relação ao alcance dos objetivos gerais. Em vez disso, as
diretrizes reconhecem que apenas um nível razoável de segurança pode ser alcançado. A
segurança razoável reflete a noção sobre incerteza e os riscos futuros que não podem ser
previstos com segurança absoluta e reconhece que o custo do controle interno não deve
exceder os benefícios que dele derivam.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 37 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
EXEMPLO
Os empregados podem tentar burlar certos procedimentos incômodos, as operações
ineficientes podem causar atrasos, o excesso de procedimentos pode reprimir a criatividade
dos funcionários ou a capacidade de solucionar problemas e prejudicar a qualidade dos serviços
prestados aos beneficiários. Dessa forma, os benefícios derivados dos controles excessivos
em uma área podem ser anulados pelo incremento de custos em outras atividades.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 38 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
EXEMPLO
Pode ser importante ter os controles adequados sobre as transações com alto risco/baixo
valor monetário, tais como os salários, viagens e gastos de representação. Os custos de
adequados controles podem parecer excessivos em relação ao volume de recursos que se
administra no conjunto dos gastos governamentais, mas podem ser críticos para a manutenção
da confiança dos acionistas e investidores (organizações privadas) e cidadãos nos governos
e na sua administração (organizações públicas).
O controle interno é uma aplicação flexível para toda a entidade ou uma subsidiária,
divisão, unidade operacional ou um processo de negócio. Portanto, O controle interno não
é responsabilidade apenas de um setor ou departamento especializado da entidade, mas
de todas as áreas e unidades dessa organização.
Essa definição é intencionalmente abrangente. Ela captura conceitos importantes que são
fundamentais para a forma como as organizações desenvolvem, implementam e conduzem
o controle interno, proporcionando uma base para aplicação a todas as organizações que
operam em diferentes estruturas de entidades, indústrias e regiões geográficas.
O fator humano é fundamental na definição de controle interno. Assim, controle interno
não é apenas um manual ou um formulário, mas abrange todo o conjunto de pessoas que
interagem com a organização, independentemente do nível em que atuam.
Cuidado em prova com afirmação de que somente a alta administração, a gerência e/
ou a auditoria possuem responsabilidade perante o controle interno.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 39 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
Segundo o estudo do COSO, o controle interno não é um processo em série, mas sim um
processo dinâmico e integrado. A estrutura de controle interno proposta pelo Comitê aplica-
se a todas as entidades de grande, médio e pequeno portes, com e sem fins lucrativos, além
de órgãos governamentais. Cada organização, entretanto, pode escolher implementar o
controle interno de forma diferente. Por exemplo, o sistema de controle interno de uma
entidade de pequeno porte pode ser menos formal e estruturado, mas ainda ser eficaz.
O termo controle interno não significa, basicamente, a automação das rotinas operacionais
da entidade. Controle interno é um processo conduzido pelo conselho de administração,
pela administração e pelo corpo de empregados de uma organização, com a finalidade de
possibilitar uma garantia razoável quanto à realização dos objetivos nas seguintes categorias:
a) Eficácia e eficiência das operações; b) Confiabilidade das informações e relatórios; e c)
Conformidade com leis e regulamentos cabíveis.
Errado.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 40 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
OBJETIVOS
Como vimos, as organizações devem implantar controles internos para garantir que os
seus objetivos sejam alcançados.
Segundo o Coso, são três as categorias de objetivos:
• Operacional: Esses objetivos são relacionados com a eficiência e eficácia dos processos
operacionais, incluindo o desempenho quanto ao alcance das metas financeiras e/ou
operacionais, bem como com a salvaguarda dos ativos contra a ameaça de perdas.
• Comunicação ou Divulgação: Esses objetivos relacionam-se a divulgações financeiras e
não financeiras, internas e externas, podendo abranger os requisitos de confiabilidade,
oportunidade, transparência ou outros termos estabelecidos pelas autoridades
normativas, órgãos normatizadores reconhecidos, ou às políticas da entidade.
• Conformidade: Esses objetivos dizem respeito à aderência a normas, leis e regulamentos
em que a organização tem obrigação.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 41 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
Comparando a estrutura de 1992 com a de 2013, quando o primeiro estudo foi atualizado,
a grande mudança é que a estrutura original tinha como meta apenas a comunicação
financeira. Assim, de particular importância eram os controles que visam a fornecer
segurança razoável de que as demonstrações contábeis preparadas pela administração para
usuários externos encontram-se adequadamente apresentadas de acordo com princípios
contábeis geralmente aceitos. Na nova estrutura (2013), o objetivo se torna mais abrangente,
considerando as informações tanto financeiras quanto não financeiras.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 42 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
Questão interessante! O erro está na expressão “constituirá uma medida efetiva para evitar
que tais condutas se verifiquem novamente”. Como uma das limitações inerentes dos
controles é o conluio, a probabilidade de fraude sempre vai existir, mesmo que a organização
aprimore os seus controles internos.
Errado.
AMBIENTE DE CONTROLE
O ambiente dá o tom de uma organização, influenciando a consciência de controle das
pessoas que nela trabalham. Representa o alicerce dos demais componentes, disciplinando-
os e estruturando-os.
O ambiente de controle é a base de todo o sistema de controle interno. Ele fornece o
conjunto de regras e a estrutura, além de criar um clima que influi na qualidade do controle
interno em seu conjunto.
Os elementos do ambiente de controle são:
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 43 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 44 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
AVALIAÇÃO DE RISCO
Toda entidade enfrenta vários riscos de origem tanto interna quanto externa.
Define-se risco como a possibilidade de que um evento ocorra e afete adversamente
a realização dos objetivos.
A avaliação de riscos envolve um processo dinâmico e iterativo para identificar e avaliar
os riscos à realização dos objetivos. Esses riscos de não atingir os objetivos em toda a
entidade são considerados em relação às tolerâncias aos riscos estabelecidos. Dessa forma,
a avaliação de riscos estabelece a base para determinar a maneira como os riscos serão
gerenciados.
A avaliação de risco é o processo de identificação e análise dos riscos relevantes para o
alcance dos objetivos da entidade e para determinar uma resposta apropriada. Portanto,
a organização deve definir e especificar os objetivos com clareza suficiente para permitir
a identificação e a avaliação dos riscos associados aos objetivos.
Toda entidade enfrenta vários riscos de origem tanto interna quanto externa. Define-se
risco como a possibilidade de que um evento ocorra e afete adversamente a realização dos
objetivos. A avaliação de riscos envolve um processo dinâmico e iterativo para identificar
e avaliar os riscos à realização dos objetivos.
Esses riscos de não atingir os objetivos em toda a entidade são considerados em relação
às tolerâncias aos riscos estabelecidos. Dessa forma, a avaliação de riscos estabelece a
base para determinar a maneira como os riscos serão gerenciados.
Uma condição prévia à avaliação de riscos é o estabelecimento de objetivos, ligados aos
diferentes níveis da entidade. A administração especifica os objetivos dentro das categorias:
operacional, divulgação e conformidade, com clareza suficiente para identificar e analisar
os riscos à realização desses objetivos.
A administração também considera a adequação dos objetivos à entidade. A avaliação
de riscos requer ainda que a administração considere o impacto de possíveis mudanças no
ambiente externo e dentro de seu próprio modelo de negócio que podem tornar o controle
interno ineficaz.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 45 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
ATIVIDADES DE CONTROLE
Atividades de controle são ações estabelecidas por meio de políticas e procedimentos
que ajudam a garantir o cumprimento das diretrizes determinadas pela administração para
mitigar os riscos à realização dos objetivos.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 46 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
EXEMPLO
Esses controles também podem assegurar relatórios confiáveis, que, por sua vez, podem
servir para assegurar o seu cumprimento e assim por diante.
gran.com.br 47 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
INFORMAÇÃO E COMUNICAÇÃO
A informação e a comunicação são essenciais para a concretização de todos os objetivos
do controle interno. A identificação, a captura e a troca de informações sob forma e em
época tais, que permitam que as pessoas cumpram suas responsabilidades.
A informação é necessária para que a entidade cumpra responsabilidades de controle
interno a fim de apoiar a realização de seus objetivos. A administração obtém ou gera e
utiliza informações importantes e de qualidade, originadas tanto de fontes internas quanto
externas, a fim de apoiar o funcionamento de outros componentes do controle interno.
A comunicação é o processo contínuo e iterativo de proporcionar, compartilhar e obter
as informações necessárias.
A comunicação interna é o meio pelo qual as informações são transmitidas para a
organização, fluindo em todas as direções da entidade. Ela permite que os funcionários
recebam uma mensagem clara da alta administração de que as responsabilidades pelo
controle devem ser levadas a sério.
A comunicação externa apresenta duas vertentes: permite o recebimento, pela
organização, de informações externas significativas, e proporciona informações a partes
externas em resposta a requisitos e expectativas.
A questão abaixo tratou desse componente.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 48 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
MONITORAMENTO
Monitoramento ou monitoração é um processo que avalia a qualidade do desempenho
dos controles internos ao longo do tempo. Envolve avaliação do desenho e da tempestividade
de operação dos controles e a tomada de ações corretivas.
A estrutura integrada de controle interno de uma organização modifica-se com o passar
do tempo e as atividades de controle podem perder a eficácia ou deixar de ser executadas;
ou os objetivos podem mudar. Essas modificações podem ser causadas pela chegada de
novos profissionais, pelas mudanças na estrutura ou no direcionamento da organização
ou, ainda, pela introdução de novos processos.
Diante dessas mudanças, a administração necessita determinar se o funcionamento
do controle interno permanece eficaz. O monitoramento pode ser conduzido de duas
maneiras: mediante atividades contínuas ou de avaliações independentes, ou ainda pela
combinação de ambas as avaliações.
As avaliações contínuas, inseridas nos processos corporativos nos diferentes níveis da
entidade, proporcionam informações oportunas. As avaliações independentes, conduzidas
periodicamente, terão escopos e frequências diferentes, dependendo da avaliação de riscos,
da eficácia das avaliações contínuas e de outras considerações da administração.
Os resultados são avaliados em relação a critérios estabelecidos pelas autoridades
normativas, órgãos normatizadores reconhecidos ou pela administração e a estrutura
de governança, sendo que as deficiências são comunicadas à estrutura de governança e
administração, conforme aplicável.
Acerca do componente de monitoramento, veja os itens seguintes.
Um bom sistema de controle interno jamais chega ao nível de acabado, ele precisa passar por
constantes testes e aprimoramentos, à medida que novos cenários se tornam conhecidos
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 49 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
O componente que está na base do cubo do COSO e tem o propósito de suportar todos os
outros componentes do sistema é o ambiente de controle.
Errado.
COMPONENTE PRINCÍPIOS
1. A organização demonstra ter comprometimento com a integridade e os valores
éticos.
2. A estrutura de governança demonstra independência em relação aos seus
executivos e supervisiona o desenvolvimento e o desempenho do controle interno.
3. A administração estabelece, com a supervisão da estrutura de governança,
AMBIENTE DE
as estruturas, os níveis de subordinação e as autoridades e responsabilidades
CONTROLE
adequadas na busca dos objetivos.
4. A organização demonstra comprometimento para atrair, desenvolver e reter
talentos competentes, em linha com seus objetivos.
5. A organização faz com que as pessoas assumam responsabilidade por suas
funções de controle interno na busca pelos objetivos.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 50 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
COMPONENTE PRINCÍPIOS
6. A organização especifica os objetivos com clareza suficiente, a fim de permitir
a identificação e a avaliação dos riscos associados aos objetivos.
7. A organização identifica os riscos à realização de seus objetivos por toda a
entidade e analisa os riscos como uma base para determinar a forma como devem
AVALIAÇÃO DE RISCOS ser gerenciados.
8. A organização considera o potencial para fraude na avaliação dos riscos à
realização dos objetivos.
9. A organização identifica e avalia as mudanças que poderiam afetar, de forma
significativa, o sistema de controle interno.
10. A organização seleciona e desenvolve atividades de controle que contribuem
para a redução, a níveis aceitáveis, dos riscos à realização dos objetivos.
11. A organização seleciona e desenvolve atividades gerais de controle sobre a
ATIVIDADES DE
tecnologia para apoiar a realização dos objetivos.
CONTROLE
12. A organização estabelece atividades de controle por meio de políticas que
estabelecem o que é esperado e os procedimentos que colocam em prática essas
políticas.
13. A organização obtém ou gera e utiliza informações significativas e de qualidade
para apoiar o funcionamento do controle interno.
14. A organização transmite internamente as informações necessárias para apoiar
INFORMAÇÃO E
o funcionamento do controle interno, inclusive os objetivos e responsabilidades
COMUNICAÇÃO
pelo controle.
15. A organização comunica-se com os públicos externos sobre assuntos que
afetam o funcionamento do controle interno.
16. A organização seleciona, desenvolve e realiza avaliações contínuas e/ou
independentes para se certificar da presença e do funcionamento dos componentes
do controle interno.
MONITORAMENTO
17. A organização avalia e comunica deficiências no controle interno em tempo hábil
aos responsáveis por tomar ações corretivas, inclusive a estrutura de governança
e alta administração, conforme aplicável.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 51 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
Existe uma relação direta entre os objetivos, que são o que a entidade busca alcançar, os
componentes, que representam o que é necessário para atingir os objetivos, e a estrutura
organizacional da entidade (as unidades operacionais e entidades legais, entre outras).
Essa relação pode ser ilustrada na forma de um CUBO, como na figura 8.
• As três categorias de objetivos – operacional, divulgação e conformidade – são
representadas pelas colunas.
• Os cinco componentes são representados pelas linhas.
• A estrutura organizacional da entidade é representada pela terceira dimensão.
A questão abaixo abordou esse relacionamento.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 52 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
PAPÉIS E RESPONSABILIDADES
Como vimos anteriormente, o relatório do COSO conclui que todas as pessoas em uma
organização têm alguma responsabilidade pelos controles internos e que, na realidade,
fazem parte deles.
Registra, contudo, que várias partes externas, tais como auditores independentes e
reguladores, podem trazer informações úteis para os controles, mas não têm responsabilidade
por sua eficácia.
As responsabilidades e papéis desempenhados pelas partes interessadas são os
seguintes:
• Estrutura de governança - Deve deliberar sobre a situação do sistema de controle
interno da entidade com a alta administração e supervisioná-lo, conforme necessário.
A alta administração é responsável pelo controle interno, e a estrutura de governança
precisa estabelecer suas políticas e expectativas sobre como os membros devem
supervisionar o controle interno da entidade. A estrutura de governança deve ser
informada sobre os riscos à realização dos objetivos da entidade, as avaliações
das deficiências do controle interno, as medidas tomadas pela administração para
mitigar esses riscos e deficiências e sobre como a administração avalia a eficácia do
sistema de controle interno da entidade. A estrutura de governança deve questionar
a administração e fazer as perguntas difíceis, conforme necessário, além de buscar
informações e o suporte dos auditores internos e auditores externos, entre outros.
Muitas vezes, os subcomitês da estrutura de governança podem auxiliá-lo assumindo
algumas dessas atividades de supervisão.
• Alta Administração - Deve avaliar o sistema de controle interno da entidade em
relação à Estrutura, concentrando-se em como aplicar os 17 princípios em apoio aos
componentes do controle interno.
• Outros Profissionais (Demais funcionários) - O controle interno é parte implícita
ou explícita das funções de cada um. Todos os membros da equipe exercem um
papel na execução do controle e devem ser responsáveis por relatar problemas
operacionais, de descumprimento de código de conduta ou de violações da política.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 53 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 54 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 55 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
CONCEITOS BÁSICOS
O estudo do COSO acerca de gerenciamento de riscos mudou o conceito tradicional
de “controles internos” e chamou a atenção para o fato de que eles tinham de fornecer
proteção contra riscos.
O modelo, ao definir risco como a possibilidade que um evento ocorra e afete de
modo adverso o alcance dos objetivos da entidade, introduziu a noção de que controles
internos devem ser ferramentas de gestão e monitoração de riscos em relação ao alcance
de objetivos e não mais devem ser dirigidos apenas para riscos de origem financeira ou
vinculados a resultados escriturais. O papel do controle interno foi, assim, ampliado e
reconhecido como um instrumento de gerenciamento de riscos indispensável à governança
corporativa.
A premissa inerente ao gerenciamento de riscos corporativos é que toda organização
existe para gerar valor às partes interessadas.
Todas as organizações enfrentam incertezas, e o desafio de seus administradores é
determinar até que ponto aceitar essa incerteza, assim como definir como essa incerteza
pode interferir no esforço para gerar valor às partes interessadas.
Incertezas representam riscos e oportunidades, com potencial para destruir ou agregar
valor. O gerenciamento de riscos corporativos possibilita aos administradores tratar com
eficácia as incertezas, bem como os riscos e as oportunidades a elas associadas, a fim de
melhorar a capacidade de gerar valor.
O valor é maximizado quando a organização estabelece estratégias e objetivos para
alcançar o equilíbrio ideal entre as metas de crescimento e de retorno de investimentos
e os riscos a elas associados, e para explorar os seus recursos com eficácia e eficiência na
busca dos objetivos da organização.
O gerenciamento de riscos corporativos tem por finalidade:
• Alinhar o apetite a risco com a estratégia adotada – os administradores avaliam
o apetite a risco da organização ao analisar as estratégias, definindo os objetivos a
elas relacionados e desenvolvendo mecanismos para gerenciar esses riscos.
• Fortalecer as decisões em resposta aos riscos – o gerenciamento de riscos corporativos
possibilita o rigor na identificação e na seleção de alternativas de respostas aos riscos
– como evitar, reduzir, compartilhar e aceitar os riscos.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 56 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 57 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
APETITE A RISCO
Da definição de gerenciamento de riscos, cabe ressaltar o apetite a risco, que é a
quantidade de riscos, no sentido mais amplo, que uma organização está disposta a aceitar
em sua busca para agregar valor. O apetite a risco reflete toda a filosofia administrativa de
uma organização e, por sua vez, influencia a cultura e o estilo operacional desta.
Muitas organizações consideram esse apetite de forma qualitativa, categorizando-o
como elevado, moderado ou baixo, enquanto outras organizações adotam uma abordagem
quantitativa que reflete e equilibra as metas de crescimento, retorno e risco.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 58 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
Uma organização dotada de um maior apetite a risco poderá desejar alocar grande
parcela de seu capital para áreas de alto risco como mercados recém-emergentes. Por
outro lado, uma organização com um reduzido apetite a risco poderá limitar seu risco de
curto prazo investindo apenas em mercados maduros e mais estáveis.
O apetite a risco está diretamente relacionado à estratégia da organização e é levado
em conta na ocasião de definir as estratégias, visto que a estas expõem a organização a
diferentes riscos. O gerenciamento destes ajuda a administração a selecionar uma estratégia
capaz de alinhar a criação de valor com o apetite a risco.
Associadas aos objetivos da organização, a tolerância a riscos representa o nível aceitável
de variação em relação à meta para o cumprimento de um objetivo específico, e, via de regra,
é mensurada nas mesmas unidades utilizadas para avaliar o objetivo a que está vinculada.
Ao estabelecer a tolerância a riscos, a administração considera o grau de importância
do objetivo relacionado e alinha essas tolerâncias ao apetite a risco global. Tal operação
ajuda a assegurar que a organização permaneça dentro de seus limites de apetite a risco
e, por sua vez, consiga atingir os seus objetivos.
OBJETIVOS
A fixação de objetivos é uma precondição à identificação de evento, à avaliação de
riscos e às respostas aos riscos. Em primeiro lugar, é necessário que os objetivos existam
para que a administração possa identificar e avaliar os riscos quanto a sua realização, bem
como adotar as medidas necessárias para administrá-los.
No ERM, os objetivos podem ser agrupados em quatro categorias:
• Estratégicos - referem-se às metas no nível mais elevado. Alinham-se e fornecem
apoio à missão.
• Operacionais - têm como meta a utilização eficaz e eficiente dos recursos.
• De comunicação - relacionam-se com a confiabilidade dos relatórios. Incluem relatórios
internos e externos e podem, ainda, conter informações financeiras e não financeiras.
• De conformidade - relacionam-se com o cumprimento de leis e regulamentos. Em
alguns casos dependem de fatores externos e tendem a ser semelhantes em todas
as organizações
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 59 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
Apesar de essas categorias serem distintas, elas se inter-relacionam, uma vez que um
dado objetivo poderá estar presente em mais de uma categoria, elas tratam de necessidades
empresariais diferentes, cuja responsabilidade direta poderá ser atribuída a diversos
executivos.
Essa classificação também possibilita distinguir o que se espera do gerenciamento de
riscos corporativos.
Algumas organizações utilizam outra categoria de objetivos, “a salvaguarda de recursos
ou de ativos”. De modo geral, esses objetivos têm como meta evitar a perda de ativos ou
recursos da organização, seja por meio de furto, desperdício, ineficiência, ou simplesmente,
por meio de decisões empresariais equivocadas, como vender um produto a preço demasiado
baixo, deixar de conservar empregados de importância fundamental, evitar infrações a
patentes, ou incorrer em passivos imprevistos.
A questão a seguir cobrou esse assunto.
Uma das categorias de objetivos é a de operações (objetivos operacionais) que têm como
meta a utilização eficaz e eficiente dos recursos. Vale notar que a alternativa “d” apresenta o
objetivo de “evitar perda de ativos ou recursos da organização”. O estudo do COSO estabelece
que algumas organizações utilizam outra categoria de objetivos, “a salvaguarda de recursos”,
que também é denominada “salvaguarda de ativos”, que têm como meta evitar a perda de
ativos ou recursos da organização.
Letra b.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 60 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
OBJETIVOS SELECIONADOS
Como parte do gerenciamento de riscos, a administração não apenas seleciona objetivos
e considera o modo pelo qual estes darão suporte à missão da organização, mas também
se assegura de que esses objetivos estão em conformidade com o apetite a risco. Um
alinhamento falho poderá fazer que os riscos aceitos sejam demasiadamente baixos para
alcançar os objetivos, ou, por outro lado, que aceite riscos em demasia.
O gerenciamento de riscos corporativos eficaz NÃO dita os objetivos que a administração
deve escolher, mas certifica-se que a referida administração dispõe de um processo
que alinhe objetivos estratégicos com a sua missão e que esses objetivos e os correlatos
selecionados estejam de acordo com o apetite a risco.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 61 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
estão integrados com o processo de gestão. De acordo com o Sumário Executivo do COSO
ERM, esses componentes são:
1. Ambiente Interno – o ambiente interno compreende o tom de uma organização e
fornece a base pela qual os riscos são identificados e abordados pelo seu pessoal, inclusive
a filosofia de gerenciamento de riscos, o apetite a risco, a integridade e os valores éticos,
além do ambiente em que estes estão.
2. Fixação de Objetivos – os objetivos devem existir antes que a administração possa
identificar os eventos em potencial que poderão afetar a sua realização. O gerenciamento de
riscos corporativos assegura que a administração disponha de um processo implementado
para estabelecer os objetivos que propiciem suporte e estejam alinhados com a missão da
organização e sejam compatíveis com o seu apetite a riscos.
3. Identificação de Eventos – os eventos internos e externos que influenciam o
cumprimento dos objetivos de uma organização devem ser identificados e classificados
entre riscos e oportunidades. Essas oportunidades são canalizadas para os processos de
estabelecimento de estratégias da administração ou de seus objetivos.
4. Avaliação de Riscos – os riscos são analisados, considerando-se a sua probabilidade
e o impacto como base para determinar o modo pelo qual deverão ser administrados. Esses
riscos são avaliados quanto à sua condição de inerentes e residuais.
5. Resposta a Risco – a administração escolhe as respostas aos riscos - evitando,
aceitando, reduzindo ou compartilhando – desenvolvendo uma série de medidas para alinhar
os riscos com a tolerância e com o apetite a risco.
6. Atividades de Controle – políticas e procedimentos são estabelecidos e implementados
para assegurar que as respostas aos riscos sejam executadas com eficácia.
7. Informações e Comunicações – as informações relevantes são identificadas, colhidas
e comunicadas de forma e no prazo que permitam que cumpram suas responsabilidades. A
comunicação eficaz também ocorre em um sentido mais amplo, fluindo em todos os níveis
da organização.
8. Monitoramento – a integridade da gestão de riscos corporativos é monitorada e são
feitas as modificações necessárias. O monitoramento é realizado através de atividades
gerenciais contínuas ou avaliações independentes ou de ambas as formas.
Vamos estudar mais um pouco a respeito de cada um dos oito componentes da estrutura
de gerenciamento de riscos.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 62 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
das pessoas. É a base para todos os outros componentes do sistema, provendo disciplina
e estrutura.
Os fatores que compõem o ambiente interno incluem integridade, valores éticos e
competência das pessoas, maneira pela qual a gestão delega autoridade e responsabilidades,
estrutura de governança e organizacional, o “perfil dos superiores” (ou seja, a filosofia da
direção e o estilo gerencial), as políticas e práticas de recursos humanos etc.
O conselho de administração é parte crítica do ambiente interno e influencia muito os
demais elementos de ambiente interno.
Organizações com ambientes de controle efetivos fixam um tom (“tom do topo”)
positivo, contratam e mantém pessoas competentes, formalizam e comunicam políticas
e procedimentos de modo claro, adotam integridade e consciência de controle, resultando
em valores compartilhados e trabalho em equipe para efetivação de objetivos.
Embora todos os elementos sejam importantes, o grau de tratamento de cada um deles
variará de acordo com a organização.
EXEMPLO
O presidente-executivo de uma corporação, dotada de uma pequena força de trabalho e
de operações centralizadas, poderá não estabelecer linhas formais de responsabilidade ou
políticas operacionais detalhadas. Entretanto, a Companhia pode dispor de um ambiente
interno capaz de possibilitar uma base adequada para o gerenciamento de riscos corporativos.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 63 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
APETITE A RISCO
O apetite a risco refere-se ao nível de riscos, que de forma ampla, uma organização
dispõe-se a aceitar na busca de valor. O apetite a risco reflete na filosofia de gestão de
riscos corporativos e, por sua vez, influencia a cultura e o estilo de operação.
O apetite a risco é considerado no estabelecimento da estratégia, quando o retorno
desejado de uma estratégia deve estar alinhado ao apetite a risco da organização. Diferentes
estratégias exporão a organização a diferentes níveis de riscos, e o gerenciamento de riscos
corporativos aplicado à fixação da estratégia ajuda a administração a optar pela solução
que seja consistente com o apetite a risco.
As organizações consideram o apetite a risco de forma qualitativa, classificando-o em
categorias como elevado, moderado ou baixo, ou adotam, ainda, uma abordagem quantitativa,
que reflete e equilibra as metas de crescimento e retorno aos riscos.
CONSELHO DE ADMINISTRAÇÃO
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 64 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
EXEMPLO
O fornecimento de um produto essencial (petróleo, madeira ou alimento) pode gerar
preocupações ambientais.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 65 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
ESTRUTURA ORGANIZACIONAL
EXEMPLO
Uma função de auditoria interna deve ser estruturada a fim de poder alcançar objetividade
organizacional e permitir acesso irrestrito à alta administração e ao comitê de auditoria
do conselho de administração, devendo o executivo chefe de auditoria reportar-se a um
nível da organização que permita à atividade de auditoria interna cumprir com as suas
responsabilidades.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 66 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 67 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
EXEMPLO
Se um gerente de vendas regional decide que a autorização para vender com um desconto de
35% no preço de tabela justifica um desconto temporário de 4% para ganhar participação
de mercado, a administração deverá saber dessas decisões com antecedência para poder
aceitá-las ou rejeitá-las.
O ambiente interno é bem influenciado até o ponto que as pessoas reconhecem que
serão responsabilizadas. Este conceito é perfeitamente verdadeiro para o Presidente, o qual,
com a supervisão do conselho de administração, tem a responsabilidade final de todas as
atividades em uma organização.
EXEMPLO
Normas de admissão dos indivíduos mais qualificados, com ênfase no histórico educacional,
experiência de trabalho anterior, realizações anteriores, bem como comprovação da integridade
e do comportamento ético, demonstrarão o compromisso de uma entidade com o profissional
competente e digno de confiança. Isso é verdadeiro se as práticas de recrutamento incluem
entrevistas formais de profundidade e treinamento na história da organização, sua cultura
e seu estilo operacional.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 68 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 69 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
gran.com.br 70 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 71 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
A alternativa correta afirma que os eventos cujo impacto é positivo podem contrabalançar os
impactos negativos. Eventos com impacto positivo podem ainda representar oportunidades.
Letra b.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 72 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 73 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 74 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 75 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
EXEMPLO
Uma Companhia que atua na Califórnia poderá considerar o risco de que um terremoto
possa paralisar as suas operações comerciais. Sem um horizonte de tempo especificado
para a avaliação de riscos, será elevada a probabilidade de um terremoto cuja intensidade
na escala Richter seja superior a 6.0, talvez essa probabilidade esteja praticamente certa.
Por outro lado, a probabilidade de que esse tipo de terremoto ocorra dentro de dois anos é,
substancialmente, mais baixa. Ao estabelecer um horizonte de tempo, a organização adquire
mais informação em relação à importância relativa do risco e uma maior habilidade para
comparar diversos riscos.
EXEMPLO
Uma Companhia com um objetivo de manter um nível específico de serviço ao cliente terá
arquitetado uma classificação ou outra medida para esse objetivo, como o índice de satisfação
de cliente, quantidade de reclamações, ou quantidade de repetição de compras. Ao avaliar o
impacto de um risco que poderia afetar o serviço ao cliente – como seria o caso da possibilidade
de que o site da companhia pode manter-se indisponível por um certo tempo, o impacto será
determinado melhor utilizando-se as mesmas medidas.
FONTES DE DADOS
Via de regra, as estimativas de probabilidade e grau de impacto de riscos são conduzidas
utilizando dados de eventos passados observáveis, os quais fornecem uma base mais objetiva
do que as estimativas inteiramente subjetivas. Os dados gerados internamente e embasados
na experiência passada da própria organização, podem refletir qualidades pessoais menos
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 76 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
EXEMPLO
A administração de uma organização, ao avaliar o risco de paralisações da produção em
razão de falhas de equipamentos, verifica primeiramente a frequência e o impacto de falhas
anteriores de seus próprios equipamentos de manufatura. Em seguida, suplementa esses
dados com indicadores de desempenho para a indústria. Esse procedimento possibilita uma
estimativa mais precisa da probabilidade e do impacto de falhas, bem como, mais eficaz
da manutenção preventiva. Deve-se ter cautela ao se utilizar eventos passados para fazer
previsões futuras, visto que os fatores que influenciam os eventos podem modificar-se com
o passar do tempo.
PERSPECTIVA
Os gestores sempre fazem julgamentos subjetivos sobre a incerteza e ao julgar devem
reconhecer as limitações inerentes. As constatações feitas na pesquisa psicológica indicam
que os tomadores de decisão em diversas funções, inclusive administradores de corporações,
mostram-se muito confiantes ao realizar estimativas e não reconhecem a quantidade
de incerteza que realmente existe. Estudos demonstram um notável “viés de confiança
excessiva,” que leva a intervalos indevidamente estreitos para o impacto e as probabilidades
estimadas, por exemplo, as metodologias de valor em risco. Essa tendência ao excesso
de confiança ao estimar a incerteza pode ser minimizada pela utilização eficaz de dados
empíricos obtidos externa ou internamente. Na falta desses dados, uma consciência aguçada
da penetrabilidade do viés poderá ajudar a mitigar esses efeitos.
As tendências humanas relacionadas ao ato de decidir são apresentadas de outra
forma, na qual não é incomum que as pessoas façam escolhas diferentes ao buscar ganhos
a fim de evitar perdas. Ao reconhecer essas tendências humanas, o gestor pode destacar
as informações para reforçar o apetite e o comportamento perante risco em toda a
organização. A forma pela qual as informações são apresentadas ou “estruturadas” podem
afetar significativamente a sua interpretação e a forma pela qual os riscos associados ou
as oportunidades são vistos.
TÉCNICAS DE AVALIAÇÃO
A metodologia de avaliação de riscos de uma organização inclui uma combinação de
técnicas qualitativas e quantitativas. Geralmente, a administração emprega técnicas
qualitativas de avaliação se os riscos não se prestam a quantificação, ou se não há dados
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 77 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
confiáveis em quantidade suficiente para a realização das avaliações quantitativas, ou, ainda,
se a relação custo-benefício para obtenção e análise de dados não for viável. Tipicamente,
as técnicas quantitativas emprestam maior precisão e são utilizadas em atividades mais
complexas e sofisticadas para suplementar as técnicas qualitativas.
As técnicas quantitativas de avaliação geralmente requerem mais esforço e rigor, muitas
vezes utilizando modelos matemáticos não triviais. As técnicas quantitativas dependem
sobremaneira da qualidade dos dados e das premissas adotadas e são mais relevantes para
exposições que apresentem um histórico conhecido, uma frequência de sua variabilidade
e permitam uma previsão confiável. São exemplos de técnicas quantitativas de avaliação
de riscos:
Comparação com Referências de Mercado (Benchmarking) – É um processo cooperativo
entre um grupo de organizações. O benchmarking enfoca eventos ou processos específicos,
compara medições e resultados utilizando métricas comuns, bem como identifica
oportunidades de melhoria. Dados de eventos, processos e medidas são desenvolvidos
para a comparação de desempenho. Algumas Companhias utilizam o benchmarking para
avaliar a probabilidade e o impacto de eventos em potencial em uma indústria.
Modelos Probabilísticos – Os modelos probabilísticos associam a uma gama de eventos
e seu respectivo impacto, a probabilidade de ocorrência sob determinadas premissas.
A probabilidade e o impacto são avaliados com base em dados históricos ou resultados
simulados que refletem hipóteses de comportamento futuro. Os exemplos de modelos
probabilísticos incluem valor em risco (value-at-risk), fluxo de caixa em risco, receitas em
risco e distribuições de prejuízo operacional e de crédito. Os modelos probabilísticos podem
ser utilizados com diferentes horizontes de tempo para estimar os seus resultados, como
a faixa de prazos dos instrumentos financeiros disponíveis. Os modelos probabilísticos
também podem ser usados para avaliar resultados esperados ou médias em relação a
impactos imprevistos ou extremos.
Modelos Não Probabilísticos – Os modelos não probabilísticos empregam critérios
subjetivos para estimar o impacto de eventos, sem quantificar uma probabilidade associada.
A avaliação do impacto de eventos baseia-se em dados históricos ou simulados a partir de
hipóteses sobre o comportamento futuro. Os exemplos de modelos não probabilísticos
incluem medições de sensibilidade, testes de estresse e análises de cenários.
Para obter consenso sobre a probabilidade e o impacto de eventos de risco pelo uso de
técnicas qualitativas de avaliação, as organizações poderão utilizar a mesma abordagem
que usam na identificação dos eventos, como entrevistas e seminários. Um processo de
auto avaliação de riscos colhe as opiniões dos participantes a respeito da probabilidade
em potencial e do impacto de eventos futuros, utilizando escalas descritivas ou numéricas.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 78 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 79 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 80 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
EXEMPLO
Uma política poderá requerer a revisão das atividades de negociação do cliente pelo gerente de
varejo da filial com a corretora. O procedimento é a própria revisão, realizada oportunamente
e com especial atenção para os fatores estabelecidos na política, como a natureza e o volume
dos títulos transacionados e o volume destes em relação ao patrimônio líquido e à idade do
cliente.
Muitas vezes, as políticas são comunicadas verbalmente. As que não são escritas podem
ser eficazes quando existem há muito tempo e são adequadamente entendidas, e nas
pequenas organizações em que os canais de comunicação envolvem poucas camadas
gerenciais e existe uma estreita interação e supervisão dos empregados. No entanto,
independentemente do fato de estar escrita ou não, uma política deve ser implementada
com atenção, de forma conscienciosa e consistente.
As atividades de controle incluem:
Procedimentos de autorização e aprovação – A autorização e a execução de transações
e eventos devem ser realizadas somente por pessoas que detenham essa autoridade. A
autorização é o principal meio para assegurar que apenas as transações e eventos que a
administração tem a intenção de realizar sejam iniciados. Os procedimentos de autorização,
que devem ser documentados e claramente comunicados aos gerentes e funcionários, devem
incluir as condições especiais e os termos, segundo os quais eles devem ser realizados.
Revisões da Alta Direção – a alta direção compara o desempenho atual em relação ao
orçado, às previsões, aos períodos anteriores e aos de concorrentes. As principais iniciativas
são acompanhadas, como campanhas de marketing, processos de melhoria de produção e
programas de contenção ou de redução de custo, para medir até que ponto as metas estão
sendo alcançadas. A implementação de planos é monitorada no caso de desenvolvimento
de novos produtos, join ventures ou novos financiamentos.
Administração Funcional Direta ou de Atividade – gerentes, no exercício de suas
funções ou atividades examinam relatórios de desempenho. Um gerente responsável
pelos empréstimos bancários a consumidores revisa os relatórios por filial, região e tipo de
empréstimo (com caução), verificando resumos e identificando tendências e associando os
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 81 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
resultados a estatísticas econômicas e metas. Por sua vez, os gerentes de filiais também
se concentram em questões de cumprimento de políticas, revisando relatórios exigidos
por órgãos reguladores a respeito de novos depósitos acima de um determinado valor. São
realizadas reconciliações dos fluxos de caixa diários, com as posições líquidas relatadas
centralmente para transferências e investimentos.
Processamento da Informação – uma variedade de controles é realizada para verificar
a precisão, a integridade e a autorização das transações. Os dados inseridos ficam sujeitos
a verificações de edição on-line ou à combinação com arquivos aprovados de controle.
Um pedido de cliente, por exemplo, somente poderá ser aceito após fazer referência a um
arquivo de cliente e ao limite de crédito aprovado. As sequências numéricas das transações
são levadas em conta, sendo as exceções acompanhadas e relatadas aos supervisores. O
desenvolvimento de novos sistemas e as mudanças nos já existentes são controlados da
mesma forma que o acesso a dados, arquivos e programas.
Controles Físicos – os equipamentos, estoques, títulos, dinheiro e outros bens são
protegidos fisicamente, contados periodicamente e comparados com os valores apresentados
nos registros de controle.
Indicadores de Desempenho – relacionar diferentes conjuntos de dados, sejam eles
operacionais sejam financeiros, em conjunto com a realização de análises dos relacionamentos
e das medidas de investigação e correção, funciona como uma atividade de controle.
Os indicadores de desempenho incluem, por exemplo, índices de rotação de pessoal por
unidade. Ao investigar resultados inesperados ou tendências incomuns, a administração
poderá identificar circunstâncias nas quais a falta de capacidade para concluir processos
fundamentais pode significar menor probabilidade dos objetivos serem alcançados. A forma
como a administração utiliza essas informações – somente no caso de decisões operacionais
ou, também, no caso do acompanhamento de resultados imprevistos nos sistemas de
comunicações – determinará se a análise dos indicadores de desempenho por si só atenderá
às finalidades operacionais, bem como às finalidades de controle da comunicação.
Segregação de funções (autorização, execução, registro, controle) – as obrigações
são atribuídas ou divididas entre pessoas diferentes com a finalidade de reduzir o risco de
erro ou de fraude.
Contudo, existem mecanismos de controle que possuem tanto função de prevenção
quanto de detecção, tais como: segurança física e sistemas/controles informatizados.
gran.com.br 82 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
Dois grupos amplos de atividades de controle dos sistemas de informação podem ser
utilizados. O primeiro diz respeito aos controles gerais, que se aplicam a praticamente todos
os sistemas e contribuem para assegurar uma operação adequada e contínua. O segundo
grupo é o dos controles de aplicativos, que incluem etapas para avaliar o processo por
meio de códigos de programação dentro do software. Os controles gerais e os de aplicativos,
em conjunto com os processos de controle manual, quando necessários, asseguram a
integridade, a precisão e a validade das informações.
INFORMAÇÕES
As informações são necessárias em todos os níveis de uma organização, para identificar,
avaliar e responder a riscos, administrá-la e alcançar seus objetivos. Uma ampla série de
informações é utilizada, pertinente a uma ou mais categorias de objetivos.
As informações operacionais de fontes internas e externas, de natureza financeira e
não-financeira, são relevantes a diversos objetivos comerciais.
As informações financeiras, por exemplo, são empregadas no desenvolvimento de
demonstrações financeiras para fins de comunicação e decisões operacionais como o
monitoramento do desempenho e da alocação de recursos. As informações financeiras
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 83 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 84 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
COMUNICAÇÕES
A comunicação é inerente a todos os sistemas de informações e estes devem
fornecer informações ao pessoal apropriado para que este possa desincumbir-se de suas
responsabilidades operacionais, de comunicação e de conformidade. Porém a comunicação
também deve ocorrer em um sentido mais amplo, tratando de expectativas, responsabilidades
de indivíduos e grupos, bem como outras questões importantes.
INTERNAS
A administração fornece comunicações específicas e dirigidas que abordam as expectativas
de comportamento e as responsabilidades do pessoal. Isso inclui uma clara definição da
filosofia e da abordagem do gerenciamento de riscos corporativos, além de uma clara
delegação de autoridade. A comunicação referente aos processos e aos procedimentos
deverá alinhar-se e apoiar a cultura desejada.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 85 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
EXTERNAS
EXEMPLO
Reclamações ou indagações de clientes ou fornecedores relacionadas a embarques, recebimentos,
faturamento ou outras atividades, geralmente, indicam a existência de problemas operacionais
e, possivelmente, práticas fraudulentas ou outras indevidas. A administração deverá estar
sempre pronta para reconhecer as implicações dessas circunstâncias, investigar e adotar
as medidas corretivas necessárias, tendo em mente o impacto destas sobre os relatórios
financeiros, de conformidade e objetivos operacionais.
MEIOS DE COMUNICAÇÃO
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 86 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
atos, por sua vez, são influenciados pelo histórico e pela cultura da organização, baseando-se
em observações anteriores de como os seus mentores enfrentaram situações semelhantes.
Uma organização com um histórico de integridade nas operações e uma cultura bem
entendida pelas pessoas não encontrará muita dificuldade em passar a sua mensagem. Outra
sem tradição terá de pôr mais energia na forma em que as mensagens são comunicadas.
COMPONENTE: MONITORAMENTO
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 87 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
EXEMPLO
Os dados financeiros e não financeiros gerados a partir de fontes internas e externas,
pertencentes ao componente de informação e comunicação, são necessários para estabelecer
a estratégia, administrar as operações comerciais com eficácia, comunicar com eficácia e
certificar-se de que a organização esteja cumprindo as leis aplicáveis.
gran.com.br 88 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
EXEMPLO
Poderíamos considerar que a célula superior posterior direita represente o ambiente interno,
visto estar relacionada com os objetivos de compliance de uma dada subsidiária.
O COSO II não substituiu o COSO I como guia de melhores práticas na gestão de riscos e
controles internos. Além do controle interno ser parte integrante do gerenciamento de
riscos corporativos, a estrutura do COSO I continua existente e presente no cotidiano das
organizações.
Errado.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 89 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
A questão faz uma afirmação forte de que a atuação da auditoria no ambiente de controle
e gestão de riscos surgiu a partir das recomendações do COSO II. Vale lembrar que a gestão
de riscos antecede ao estudo do COSO e que a estrutura de controle interno (COSO I)
estabelece a avaliação de riscos como um dos componentes de controle interno. De todo
modo, é inegável que com o surgimento do COSO II, a auditoria de uma geral passou a contar
com um grande referencial para avaliação. O gabarito da questão é certo, porém, com as
ressalvas que fizemos.
Certo.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 90 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
EXEMPLO
Entidades pequenas não dispõem de auditoria interna para monitorar os controles internos
e a o gerenciamento de riscos, mas o dono ou o administrador tem que monitorar. Portanto,
a forma de implementar o componente “monitoramento” pode variar, mas o monitoramento
tem que ser realizado, para que a estrutura seja considerada eficaz.
LIMITAÇÕES
A despeito de oferecer importantes benefícios, o gerenciamento de riscos corporativos
está sujeito a limitações. Além dos fatores vistos anteriormente, as limitações originam-se
do fato de que o julgamento humano, no processo decisório, pode ser falho, as decisões de
respostas a risco e o estabelecimento dos controles necessitam levar em conta os custos
e benefícios relativos. Essas limitações impedem que o conselho e a alta administração
tenham absoluta garantia da realização dos objetivos da organização.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 91 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
Com a revisão, o modelo passa a integrar o gerenciamento de riscos com outros processos
organizacionais, sobretudo os processos de governança, de definição da estratégia, de
definição dos objetivos e de gestão do desempenho, indo além da tradicional aplicação
do gerenciamento de riscos aos vários níveis da organização (por exemplo, no nível da
entidade, de unidades de negócios, divisões etc.). A versão final, publicada em junho de
2017, recebeu o nome oficial de Gerenciamento de Riscos Corporativos - Integrado com
Estratégia e Desempenho.
Conforme esclarece o TCU, em seu roteiro de Gestão de Riscos, o novo modelo explora
o papel do risco na seleção da estratégia, enfatizando dois aspectos principais que podem
ter um grande efeito no valor da organização: a possibilidade da estratégia não se alinhar e
as implicações das escolhas estratégicas. Isso torna ainda mais claras as responsabilidades
da governança e da alta administração no seu papel de supervisionar e no seu dever de se
envolver no processo de gerenciamento do risco corporativo de modo efetivo.
Os aspectos enfatizados são:
• a possibilidade da estratégia – e, assim, os objetivos estratégicos e de negócios – não
se alinhar com a missão, a visão e os valores fundamentais da organização; e
• as implicações da estratégica escolhida.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 92 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 93 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
Desempenho
• Identifica o risco — A organização identifica os riscos que impactam a execução da
estratégia e os objetivos de negócios.
• Avalia a severidade do risco — A organização avalia a severidade do risco.
• Prioriza os riscos — A organização prioriza os riscos como base para a seleção das
respostas a eles.
• Implementa respostas aos riscos — A organização identifica e seleciona respostas
aos riscos.
• Adota uma visão de portfólio — A organização adota e avalia uma visão consolidada
do portfólio de riscos.
Análise e revisão
• Avalia mudanças importantes — A organização identifica e avalia mudanças capazes
de afetar de forma relevante a estratégia e os objetivos de negócios.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 94 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
A qual componente esses princípios se referem, com base no COSO ERM 2017?
a) Estratégia e definição de objetivos.
b) Análise e revisão.
c) Governança e cultura.
d) Informação, comunicação e divulgação.
e) Performance.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 95 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
Por fim, vale destacar ainda os seguintes trechos do Sumário Executivo do COSO ERM
2017, que esclarecem a importância e os benefícios da nova estrutura de gerenciamento
de riscos integrada com a estratégia da organização.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 96 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
ao buscá-los. Para tanto, elas precisam do melhor framework possível para otimizar a
estratégia e a performance.
É aí que entra o gerenciamento de riscos corporativos. Quando ele é integrado em toda
a organização, podem ser obtidos muitos benefícios, entre eles:
• Aumento do leque de oportunidades: ao considerar todas as possibilidades – tanto
os aspectos positivos como os negativos do risco – a administração pode identificar
novas oportunidades e os desafios específicos relacionados às oportunidades atuais.
• Identificação e gestão do risco na entidade como um todo: toda entidade está
sujeita a vários tipos de riscos, que podem afetar diversas partes da organização. Às
vezes, um risco pode ser originário de uma parte da entidade, mas impactar outra
parte. Dessa forma, a administração identifica e gerencia os riscos na entidade como
um todo para manter e melhorar a performance.
• Aumento dos resultados positivos e da vantagem com a diminuição das surpresas
negativas: o gerenciamento de riscos corporativos permite às entidades melhorarem
sua capacidade de identificar riscos e definir as respostas adequadas, diminuindo as
surpresas e os custos ou prejuízos correspondentes e tirando proveito dos demais
desdobramentos favoráveis.
• Diminuição da oscilação da performance: para algumas entidades, os desafios não
são as surpresas e os prejuízos, mas sim a oscilação da performance. Uma performance
além das expectativas pode causar tanta preocupação quanto uma performance
aquém das expectativas. O gerenciamento de riscos corporativos permite prever os
riscos que poderiam afetar a performance e colocar em prática as medidas necessárias
para minimizar a disrupção e maximizar a oportunidade.
• Melhor distribuição de recursos: todo risco poderia ser considerado uma demanda
por recursos. A obtenção de informações rigorosas sobre riscos permite que a
administração, diante de recursos finitos, avalie as necessidades, priorize a distribuição
e melhore a alocação de recursos.
• Aumento da resiliência da empresa: a viabilidade da entidade no médio e longo prazo
depende de sua capacidade de prever mudanças e responder a elas – não apenas
para sobreviver, mas também para evoluir e prosperar. Em parte, isso é viabilizado
pela eficácia no gerenciamento de riscos corporativos e adquire importância cada
vez maior à medida que se acelera o ritmo da mudança e aumenta a complexidade
dos negócios.
Esses benefícios ressaltam o fato de que o risco não deve ser encarado unicamente como
uma possível restrição ou obstáculo à definição e à execução de uma estratégia. Pelo contrário,
a mudança trazida pela avaliação do risco e a correspondente resposta organizacional dão
origem a oportunidades estratégicas e a importantes competências diferenciadoras.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 97 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 98 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
gran.com.br 99 de 150
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
RESUMO
GOVERNANÇA
Segundo o IBGC, governança Corporativa é o sistema pelo qual as sociedades são dirigidas
e monitoradas, envolvendo os relacionamentos entre Acionistas / Cotistas, Conselho de
Administração, Diretoria, Auditoria Independente e Conselho Fiscal. As boas práticas de
Governança Corporativa têm a finalidade de aumentar o valor da sociedade, facilitar seu
acesso ao capital e contribuir para a sua perenidade.
Governança visa reduzir o chamado conflito de agência:
• O desenvolvimento das teorias sobre governança visa encontrar melhores respostas
à seguinte pergunta:
• Como maximizar a probabilidade de que o comportamento (ações) do Agente (altos
administradores) seja dirigido pelo atendimento dos interesses do Principal, e não
pelos seus próprios interesses ou de outrem?
GOVERNANÇA X GOVERNABILIDADE
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
DEFINIÇÃO
Controle interno é um processo, conduzido pelo conselho de administração, diretoria
e por todo o pessoal da organização, projetado para fornecer segurança razoável quanto
à realização de objetivos nas seguintes categorias:
• operacionais (eficácia e eficiência das operações);
• de comunicação (confiabilidade das informações e relatórios);
• de conformidade (cumprimento de leis e regulamentações aplicáveis).
LIMITAÇÕES INERENTES
CATEGORIAS DE OBJETIVOS
• Operacional: Esses objetivos são relacionados com a eficiência e eficácia dos processos
operacionais, incluindo o desempenho quanto ao alcance das metas financeiras e/ou
operacionais, bem como com a salvaguarda dos ativos contra a ameaça de perdas.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
• Ambiente de controle.
• Avaliação de riscos.
• Atividades ou procedimentos de controle.
• Informação e comunicação.
• Atividades de monitoramento.
Ambiente de controle
• A organização demonstra ter compromisso com a integridade e os valores éticos.
• O conselho de administração mantém independência em relação à diretoria e exerce
a supervisão do desenvolvimento e desempenho do controle interno.
• A administração estabelece, com a supervisão do conselho, estruturas, níveis de
subordinação e as autoridades e responsabilidades adequadas na busca dos objetivos.
• A organização demonstra um compromisso de atrair, desenvolver e manter pessoas
competentes, em alinhamento com os objetivos.
• A organização faz com que as pessoas assumam responsabilidade por suas funções
de controle interno na busca pelos objetivos.
Avaliação de riscos
• A organização especifica os objetivos com clareza suficiente para permitir a identificação
e avaliação dos riscos associados aos objetivos.
• A organização identifica os riscos para a concretização dos objetivos da entidade e
analisa riscos como uma base para determinar como os riscos devem ser gerenciados.
• A organização considera potenciais fraudes na avaliação dos riscos quanto à realização
dos objetivos.
• A organização identifica e avalia as mudanças que poderiam afetar significativamente
o sistema de controle interno.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
Atividades de controle
• A organização seleciona e desenvolve atividades de controle que contribuem para a
redução, a níveis aceitáveis, de riscos para a realização dos objetivos.
• A organização seleciona e desenvolve atividades gerais de controle sobre a tecnologia
da informação para apoiar a realização dos objetivos.
• A organização implanta atividades de controle por meio de políticas que estabelecem
o que é esperado e os procedimentos que devem ser aplicados.
Informação e comunicação
• A organização obtém ou gera e utiliza informação de qualidade relevante para apoiar
o funcionamento do controle interno.
• A organização comunica internamente as informações, incluindo os objetivos e
responsabilidades perante os controles, para apoiar o funcionamento do controle
interno.
• A organização comunica às partes externas sobre assuntos que afetam o funcionamento
do controle interno.
Atividades de monitoramento
• A organização seleciona, desenvolve e realiza avaliações contínuas e/ou independentes
para se certificar da presença e do funcionamento dos componentes da estrutura
de controle interno.
• A organização avalia e comunica deficiências no controle interno em tempo hábil
objetivando que as partes responsáveis adotem medidas corretivas, incluindo a alta
administração e o conselho de administração, conforme o caso.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
• Função de compliance - pode haver uma função de compliance que monitora riscos
específicos de não conformidade com leis e regulamentos, reportando diretamente
aos órgãos de governança, reguladores ou à alta administração, ou múltiplas funções
com responsabilidades por tipos específicos de monitoramento da conformidade,
como saúde e segurança, meio ambiente, licitações e contratos, controle de qualidade;
bem como uma função de controladoria que monitore os riscos financeiros e questões
de reporte financeiro.
• Função de auditoria interna - tem o papel de auxiliar a organização a realizar seus
objetivos a partir da aplicação de uma abordagem sistemática e disciplinada para
avaliar e melhorar a eficácia dos processos de gerenciamento de riscos, controle e
governança.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
009. As instâncias externas de governança são responsáveis por definir ou avaliar a estratégia
e as políticas, bem como por monitorar sua conformidade e o desempenho.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
A qual componente esses princípios se referem, com base no COSO ERM 2017?
a) Estratégia e definição de objetivos.
b) Análise e revisão.
c) Governança e cultura.
d) Informação, comunicação e divulgação.
e) Performance.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
QUESTÕES DE CONCURSO
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
d) responsabilidade civil, que se refere à pressão popular para o cumprimento das normas
da administração pública.
e) economia de custos, o que exige que o Estado privilegie o menor custo em todas as suas
compras e contratos.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
c) governança e accountability.
d) governabilidade e governança.
e) accountability e governança.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
048. Controle interno consiste no conjunto de processos desenhados para promover uma
asseguração razoável quanto ao alcance dos objetivos relacionados a operações, relatórios
financeiros e cumprimento das leis.
049. Para atender aos objetivos relacionados ao termo compliance, que se refere basicamente
à adesão de determinada instituição a leis e regulamentos, um auditor, ao analisar o
cumprimento de aspectos legais por parte de determinada prefeitura, deve, por exemplo,
verificar se o município está destinando o percentual mínimo de recursos que, de acordo
com a lei, deve ser aplicado em áreas como saúde e educação.
Considerando que o apetite ao risco seja de exposição máxima de até 10 unidades, julgue
os itens a seguir, relativos à matriz apresentada.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
050. Se, após a adoção de controles internos, o nível de exposição ao risco cair de 20 unidades
para 10 unidades, então o risco residual estará dentro do apetite ao risco.
051. Os processos ou procedimentos com nível de exposição maior que 10 unidades devem
ser imediatamente interrompidos.
052. O resultado da matriz de riscos oferece uma medida cardinal, portanto os riscos ali
mensurados podem ser quantificados.
054. A ocorrência de eventos externos sobre os quais a organização não tem ingerência
representa uma limitação à efetividade dos controles internos.
056. O ambiente de controle representa a base dos controles internos e incorpora a estrutura
e um conjunto de regras que determinam a qualidade do processo de controle em uma
organização.
059. A avaliação dos riscos e a determinação das respostas a esses riscos dependem da
identificação eficaz dos eventos, que, por sua vez, está condicionada à fixação de objetivos
por parte da gestão.
060. De acordo com o COSO, a tolerância ao risco representa o grau de risco que uma
organização está disposta a aceitar com vistas ao atingimento dos seus objetivos estratégicos
e à criação de valor para as partes interessadas.
061. De acordo com o COSO, a estrutura de governança é a responsável pelo controle interno
da organização, cabendo à alta administração supervisioná-lo.
063. A avaliação da rotação de pessoal em uma organização pode ser realizada com a
contribuição da atividade de controle conhecida por indicadores de desempenho.
064. Informações que digam respeito ao apetite a riscos e às tolerâncias a riscos devem
ficar restritas ao ambiente interno da organização.
066. Um vendedor que altera, por vontade própria, taxas de comissão e planilhas de preços
pratica conduta contrária ao pressuposto da segregação de função.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
067. A administração deve avaliar os riscos que potencialmente podem impactar o futuro
da organização em eventos previstos e imprevistos.
068. O risco residual, ou risco retido, contempla apenas os riscos não identificados
remanescentes após o tratamento dos riscos detectados.
070. O avaliador responsável pela elaboração do sistema deve determinar o modo como
o sistema funcionará, contudo não tem a obrigação de documentar todo o processo, ao
contrário do que ocorre no caso de o descritor do sistema não ser o avaliador, hipótese na
qual todo novo procedimento encartado no processo deverá ser documentado.
071. O monitoramento pode ser conduzido por meio de avaliações recorrentes, cabendo à
administração somente definir a sua periodicidade, uma vez que, quanto maiores o alcance
e o índice de eficiência do monitoramento contínuo, menor a quantidade necessária de
avaliações recorrentes.
073. Os riscos de a organização não atingir seus objetivos podem ser minimizados pelos
controles internos, devido à sua natureza versátil, e pelo efeito cumulativo de respostas a
riscos que atendam a tais propósitos.
074. A resposta ao risco deve incluir controles internos de gestão preventivos, específicos
e definitivos, bem como rotina que contemple a preparação e a avaliação recorrente de
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
GABARITO
1. E 35. e 69. C
2. E 36. c 70. E
3. C 37. a 71. E
4. b 38. d 72. C
5. C 39. a 73. C
6. C 40. a 74. E
7. E 41. d 75. c
8. E 42. b 76. a
9. E 43. c
10. C 44. d
11. C 45. a
12. E 46. b
13. E 47. E
14. C 48. C
15. C 49. C
16. E 50. C
17. a 51. E
18. C 52. C
19. C 53. E
20. b 54. C
21. C 55. C
22. C 56. C
23. E 57. E
24. C 58. C
25. C 59. C
26. b 60. E
27. c 61. E
28. b 62. E
29. a 63. C
30. C 64. E
31. a 65. E
32. E 66. C
33. C 67. C
34. b 68. E
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
GABARITO COMENTADO
a) Errada. A competência para alocar os recursos necessários para que a gestão de riscos
aconteça é da alta administração do órgão/entidade e não do comitê de gestão de riscos
b) Errada. Existem diferentes alternativas para tratar os riscos, conforme o resultado da
avaliação de probabilidade e impacto e comparação com o apetite a risco da organização.
c) Errada. Risco relaciona-se à incerteza de algo pode ou não acontecer.
d) Errada. O tratamento apropriado do risco não se refere a sua completa eliminação,
podendo ser mitigado de forma a estar compatível com o apetite a risco da organização.
e) Certa. O dirigente máximo da instituição deve nomear o comitê de gestão de riscos.
Letra e.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
c) o termo accountability está relacionado aos lançamentos contábeis das receitas e despesas
de um órgão público para controle orçamentário, cuja finalidade primordial é a elaboração
de demonstrações financeiras.
d) as câmaras setoriais existentes no Brasil, por possuírem integrantes de sindicatos e
empresariados, são exemplos de corporativismo e visam reforçar a governabilidade, embora
representem ameaça para a governança do país.
e) as entidades sindicais, legitimadas pelo governo, retratam um exemplo típico de
clientelismo, uma vez que possuem poderes para representar classes trabalhistas e defender
os interesses governamentais.
A única alternativa correta é a letra ‘a’. A governança pública é caracterizada pelo atendimento
dos interesses dos cidadãos por meio da implantação de políticas públicas, preservando-se
o equilíbrio financeiro e os interesses do governo.
Letra a.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
de elo entre principal e agente. Exemplos típicos dessas estruturas são os conselhos de
administração ou equivalentes e, na falta desses, a alta administração.
c) Errada. No setor público, a governança pode ser analisada sob quatro perspectivas de
observação: (a) sociedade e Estado; (b) entes federativos, esferas de poder e políticas
públicas; (c) órgãos e entidades; e (d) atividades intraorganizacionais.
d) Certa. A auditoria é entendida como um instrumento de verificação da governança. De
acordo com o referencial do TCU, as auditorias interna e externa são instrumentos de apoio
à governança.
e) Errada. Um dos princípios de governança no setor público, a prestação de contas por
responsabilidade conferida ao gestor público será obrigatória apenas em determinadas
situações.
Letra d.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
d) A governança no setor público pode ser analisada sob as seguintes perspectivas: sociedade
e Estado; entes federativos, esferas de poder e políticas públicas; órgãos e entidades; e
atividades intraorganizacionais.
e) Os componentes dos mecanismos de governança pública são assinalados pela liderança,
pelo comando e pelo controle.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
c) governança e accountability.
d) governabilidade e governança.
e) accountability e governança.
A avaliação de riscos permite que uma organização considere até que ponto eventos em
potencial podem impactar a realização dos objetivos.
Letra c.
a) Errada. O ambiente interno de controle e gestão de riscos não fica delimitado em uma
subdivisão da organização. Todos os setores têm papel relevante perante controles e gestão
de riscos.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
048. Controle interno consiste no conjunto de processos desenhados para promover uma
asseguração razoável quanto ao alcance dos objetivos relacionados a operações, relatórios
financeiros e cumprimento das leis.
049. Para atender aos objetivos relacionados ao termo compliance, que se refere basicamente
à adesão de determinada instituição a leis e regulamentos, um auditor, ao analisar o
cumprimento de aspectos legais por parte de determinada prefeitura, deve, por exemplo,
verificar se o município está destinando o percentual mínimo de recursos que, de acordo
com a lei, deve ser aplicado em áreas como saúde e educação.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
Considerando que o apetite ao risco seja de exposição máxima de até 10 unidades, julgue
os itens a seguir, relativos à matriz apresentada.
050. Se, após a adoção de controles internos, o nível de exposição ao risco cair de 20 unidades
para 10 unidades, então o risco residual estará dentro do apetite ao risco.
051. Os processos ou procedimentos com nível de exposição maior que 10 unidades devem
ser imediatamente interrompidos.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
052. O resultado da matriz de riscos oferece uma medida cardinal, portanto os riscos ali
mensurados podem ser quantificados.
054. A ocorrência de eventos externos sobre os quais a organização não tem ingerência
representa uma limitação à efetividade dos controles internos.
O controle interno não é capaz de evitar julgamentos errôneos ou más decisões, ou ainda
eventos externos que impeçam a organização de atingir suas metas operacionais. Em outras
palavras, até mesmo um sistema eficaz de controle interno pode apresentar falhas. As
limitações podem ser resultado, entre outros fatores, de eventos externos fora do controle
da organização.
Certo.
A Estrutura proposta pelo Comitê, apresenta três categorias de objetivos, o que permite às
organizações se concentrarem em diferentes aspectos do controle interno: (i) Operacional –
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
056. O ambiente de controle representa a base dos controles internos e incorpora a estrutura
e um conjunto de regras que determinam a qualidade do processo de controle em uma
organização.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
059. A avaliação dos riscos e a determinação das respostas a esses riscos dependem da
identificação eficaz dos eventos, que, por sua vez, está condicionada à fixação de objetivos
por parte da gestão.
060. De acordo com o COSO, a tolerância ao risco representa o grau de risco que uma
organização está disposta a aceitar com vistas ao atingimento dos seus objetivos estratégicos
e à criação de valor para as partes interessadas.
De acordo com o COSO, o apetite a risco representa o grau de risco que uma organização
está disposta a aceitar com vistas ao atingimento dos seus objetivos estratégicos e à criação
de valor para as partes interessadas.
A tolerância a risco é o nível de variação aceitável quanto à realização de um determinado
objetivo. As tolerâncias aos riscos podem ser mensuradas e, frequentemente, com as
mesmas unidades de medida aplicadas às metas dos objetivos associados.
Errado.
061. De acordo com o COSO, a estrutura de governança é a responsável pelo controle interno
da organização, cabendo à alta administração supervisioná-lo.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
Segundo o COSO ERM, em regra, é difícil estabelecer valores éticos, dada a necessidade
de levarem-se em conta os interesses de várias partes. Os valores administrativos devem
equilibrar os interesses da organização, dos empregados, dos fornecedores, dos clientes,
dos concorrentes e do público em geral.
Errado.
063. A avaliação da rotação de pessoal em uma organização pode ser realizada com a
contribuição da atividade de controle conhecida por indicadores de desempenho.
064. Informações que digam respeito ao apetite a riscos e às tolerâncias a riscos devem
ficar restritas ao ambiente interno da organização.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
066. Um vendedor que altera, por vontade própria, taxas de comissão e planilhas de preços
pratica conduta contrária ao pressuposto da segregação de função.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
067. A administração deve avaliar os riscos que potencialmente podem impactar o futuro
da organização em eventos previstos e imprevistos.
068. O risco residual, ou risco retido, contempla apenas os riscos não identificados
remanescentes após o tratamento dos riscos detectados.
Risco residual é o risco retido de forma consciente ou não pela administração, que remanesce
mesmo após o tratamento de riscos. Logo, não contempla apenas os riscos não identificados.
Pelo contrário, contempla os riscos identificados ou detectados e remanescentes após o
tratamento dos riscos.
Errado.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
Certo.
070. O avaliador responsável pela elaboração do sistema deve determinar o modo como
o sistema funcionará, contudo não tem a obrigação de documentar todo o processo, ao
contrário do que ocorre no caso de o descritor do sistema não ser o avaliador, hipótese na
qual todo novo procedimento encartado no processo deverá ser documentado.
Segundo o COSO ERM, o avaliador deve determinar o modo em que o sistema funciona.
Os procedimentos destinados a operar de uma certa forma podem ser modificados com o
tempo para operar de modo diferente ou podem não ser mais executados. Às vezes, novos
procedimentos são estabelecidos, mas não são conhecidos por aqueles que descreveram o
processo e não estão incluídos na documentação existente. A determinação do funcionamento
real pode ser realizada mediante discussões com o pessoal que executa, ou é afetado pelo
gerenciamento de riscos corporativos, mediante exame de registros sobre desempenho
ou, ainda, uma combinação de procedimentos.
Errado.
071. O monitoramento pode ser conduzido por meio de avaliações recorrentes, cabendo à
administração somente definir a sua periodicidade, uma vez que, quanto maiores o alcance
e o índice de eficiência do monitoramento contínuo, menor a quantidade necessária de
avaliações recorrentes.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
O controle interno não é capaz de evitar julgamentos errôneos ou más decisões, ou ainda
eventos externos que impeçam a organização de atingir suas metas operacionais. Em outras
palavras, até mesmo um sistema eficaz de controle interno pode apresentar falhas. As
limitações podem ser resultado de:
• adequação dos objetivos estabelecidos como uma condição prévia ao controle interno;
• realidade de que o julgamento humano na tomada de decisões pode ser falho e
tendencioso;
• falhas que podem ocorrer devido a erros humanos, como enganos simples;
• capacidade da administração de sobrepassar o controle interno;
• capacidade da administração, outros funcionários e/ou terceiros transpassarem os
controles por meio de conluio entre as partes (grifo meu); e
• eventos externos fora do controle da organização.
Certo.
073. Os riscos de a organização não atingir seus objetivos podem ser minimizados pelos
controles internos, devido à sua natureza versátil, e pelo efeito cumulativo de respostas a
riscos que atendam a tais propósitos.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
074. A resposta ao risco deve incluir controles internos de gestão preventivos, específicos
e definitivos, bem como rotina que contemple a preparação e a avaliação recorrente de
planos de contingência/continuidade, com vistas a minimizar o impacto de eventos não
detectados e(ou) evitar a sua consubstanciação.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
A alternativa ‘a’ corresponde uma das categorias de objetivos relacoonadas aoas controles
internos. O “Internal Control – Integrated Framework” conceitua controle interno como um
processo conduzido pela alta administração e pelos colaboradores de uma organização,
com a finalidade de possibilitar uma garantia razoável quanto à realização dos objetivos
nas seguintes categorias: (i) Eficácia e eficiência das operações; (ii) Confiabilidade das
demonstrações financeiras; e (iii) Conformidade com leis e regulamentos cabíveis Dessa
forma, o descumprimento de requisitos legais e regulamentares deve ser objeto de atenção
por parte de qualquer sistema de controle interno tido como razoável.
As letras ‘b’, ‘c’ e ‘d’ correspondem a limitações inerentes de qualquer sistema de controle
interno, ainda que seja considerado como razoável e adequado.
Letra a.
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
caminhos
crie
futuros
gran.com.br
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.