1 - Governança e Controles Internos Segundo o Coso I e II

AUDITORIA
GOVERNAMENTAL
Governança e Controles Internos
segundo o Coso I e II
Livro Eletrônico
Presidente: Gabriel Granjeiro
Vice-Presidente: Rodrigo Calado
Diretor Pedagógico: Erico Teixeira
Diretora de Produção Educacional: Vivian Higashi
Gerência de Produção de Conteúdo: Magno Coimbra
Coordenadora Pedagógica: Élica Lopes
Todo o material desta apostila (incluídos textos e imagens) está protegido por direitos autorais
do Gran. Será proibida toda forma de plágio, cópia, reprodução ou qualquer outra forma de
uso, não autorizada expressamente, seja ela onerosa ou não, sujeitando-se o transgressor às
penalidades previstas civil e criminalmente.
CÓDIGO:
230814537537
MARCELO ARAGÃO
Auditor Federal de Controle Externo do TCU desde 2006. Foi Analista de Finanças e
Controle do Sistema de Controle Interno do Poder Executivo Federal (SCI) durante 14
anos. No Tribunal, exerce atualmente a função de Ouvidor e já ocupou, entre outras,
as funções de assessor do Secretário-Geral de Controle Externo, coordenador do
projeto Controle Externo do Mercosul, chefe do Serviço de Coordenação de Redes
de Controle, coordenador das Ações de Controle sobre os projetos da Copa do
Mundo FIFA 2014 e secretário de Controle Externo no estado de Alagoas. É professor
das disciplinas Controle Interno e Externo e Auditoria Geral e Governamental em
diversas instituições de ensino. Além disso, é autor de dois livros de auditoria pela
editora Método. Graduado em Administração pela Universidade Federal Fluminense,
possui especialização em Administração Pública (FGV) e Auditoria Interna e Controle
Governamental (ISC/CEFOR).
O conteúdo deste livro eletrônico é licenciado para Foco - , vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
Auditoria Governamental
Governança e Controles Internos segundo o Coso I e II
Marcelo Aragão
SUMÁRIO
Apresentação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Governança e Controles Internos segundo o Coso I e II . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Governança no Setor Público . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Governança Corporativa Aplicada ao Setor Público. . . . . . . . . . . . . . . . . . . . . . . . . . 7
Governança no Setor Público . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Governança e Governabilidade. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Os Princípios da Boa Governança. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Referencial Básico de Governança no Setor Público . . . . . . . . . . . . . . . . . . . . . . . . 16
Política de Governança da Administração Pública. . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Outros Aspectos Relevantes do Decreto de Governança Pública. . . . . . . . . . . . . . 32
Modelo COSO de Controle Interno – Estrutura Integrada (COSO I) . . . . . . . . . . . . . . 35
Definição de Controle Interno. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Objetivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Limitações dos Controles Internos de uma Entidade . . . . . . . . . . . . . . . . . . . . . . . . . 42
Componentes de Controle Interno. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Ambiente de Controle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Avaliação de Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Atividades de Controle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Informação e Comunicação. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Monitoramento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Princípios Relacionados aos Componentes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Relacionamento entre Objetivos e Componentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Papéis e Responsabilidades. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Eficácia dos Controles Internos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Modelo COSO de Gerenciamento de Riscos – Enterprise Risk Management
FrameworK – ERM (COSO II). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Conceitos Básicos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
gran.com.br 3 de 150
Marcelo Aragão
Definição de Gerenciamento de Riscos Corporativos . . . . . . . . . . . . . . . . . . . . . . . 58

Apetite a Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Objetivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Objetivos Selecionados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Componentes do Gerenciamento de Riscos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Relacionamento entre Objetivos e Componentes – O Cubo do COSO. . . . . . . . . . . . 87
Abrangência do Controle Interno. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Eficácia do Gerenciamento de Riscos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Adoção do Gerenciamento de Riscos pelas Organizações. . . . . . . . . . . . . . . . . . . . . . 90
Limitações. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Gerenciamento e Monitoramento de Riscos Corporativos Segundo o COSO ERM
(2017). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Componentes do Novo Framework . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Componentes e Princípios Associados (COSO ERM 2017). . . . . . . . . . . . . . . . . . . . 94
O Que o Gerenciamento de Riscos Corporativos Já Alcançou . . . . . . . . . . . . . . . . 96
Benefícios do Efetivo Gerenciamento de Riscos Corporativos. . . . . . . . . . . . . . . . 96
O Papel do Risco na Definição da Estratégia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Resumo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Mapa Mental . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Questões Comentadas em Aula . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Questões de Concurso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
Gabarito. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Gabarito Comentado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
Marcelo Aragão
APRESENTAÇÃO
Olá, concurseiro(a),
Nesta aula abordaremos os seguintes assuntos:
• Governança no setor público. Papel e importância.
• Controles internos segundo o COSO I e o COSO II - ERM (Enterprise Risk Management).
Pensando na melhoria contínua de nossos cursos, gostaríamos do seu feedback em
relação à qualidade de nosso curso. Nesse sentido, pedimos que proceda à avaliação da
presente aula em nossa plataforma de ensino.
Então, vamos iniciar a aula!
Marcelo Aragão
GOVERNANÇA E CONTROLES INTERNOS SEGUNDO O

COSO I E II
GOVERNANÇA NO SETOR PÚBLICO

Para a melhor compreensão acerca da governança no setor público, deve-se entender
inicialmente a governança corporativa, que é aquela praticada nas empresas e organizações
de uma forma geral. Isso porque a governança no setor público derivou da governança
corporativa.
O foco da governança corporativa é a gestão e o controle das organizações do setor
privado. Nesse sentido, existem diferentes conceitos e definições sobre Governança
Corporativa, dependendo dos seus autores.
Segundo o Código das Melhores Práticas de Governança Corporativa do Instituto Brasileiro
de Governança Corporativa – IBGC (www.ibgc.org.br):
Governança Corporativa é o sistema pelo qual as sociedades são dirigidas e monitoradas,

envolvendo os relacionamentos entre Acionistas / Cotistas, Conselho de Administração, Diretoria,
Auditoria Independente e Conselho Fiscal. As boas práticas de Governança Corporativa têm a
finalidade de aumentar o valor da sociedade, facilitar seu acesso ao capital e contribuir para a
sua perenidade.
Para que os objetivos da governança, acima citados, sejam alcançados, torna-se

fundamental que os usuários da informação contábil divulgada tenham absoluta confiança
na sua veracidade e a responsabilidade por essa divulgação cabe à administração da empresa
e à auditoria.
Os usuários da informação contábil divulgada são os acionistas, conselho fiscal,
conselho de administração, fornecedores, clientes, empregados e outros stakeholders:
Governo, comunidade, ambientalistas, sindicatos etc.
Os responsáveis por informar e prestar contas (divulgar) são o Presidente, os diretores
e os auditores independentes.
As práticas de governança corporativa possuem objetivos que vão desde captar recursos
para as empresas ou cumprir suas metas estratégicas até a preocupação de, em longo
prazo, gerar valor para os acionistas e para a própria sociedade. A ética e o respeito e a
transparência aos direitos da sociedade como um todo são valores fundamentais da boa
governança.
A Comissão de Valores Mobiliários – CVM define Governança Corporativa como “um
conjunto de práticas que otimizam o desempenho de uma companhia protegendo todas
as partes interessadas, sejam elas investidores, empregados ou credores”.
Marcelo Aragão
Para a CVM, a adoção dessas práticas facilita o acesso das empresas ao capital. Para o
IBGC, a facilitação da captação de investimentos é resultante do fato de que as empresas
que possuem boa Governança Corporativa deixam os prováveis investidores tranquilos
quanto a eventuais problemas de agência.
Problemas de agência são conflitos de interesse, resultantes do afastamento dos acionistas

da administração cotidiana das empresas. Em função da Assimetria de Informações entre
os proprietários das empresas (principal) e os agentes gestores (agentes), surge o espaço
para o problema de agência. Invariavelmente, os agentes, que são os funcionários de uma
empresa, têm maior quantidade de informações sobre as operações do dia-a-dia do que
o principal. Para que possam se manter atualizados das operações da empresa e possam
ainda proteger os seus interesses de maximização de lucro, contra os possíveis interesses
dos agentes, que por muitas vezes são antagônicos e conflitantes, o principal é levado a
incorrer com custos.
Repare que o problema de agência se dá entre os proprietários da empresa (principal) e os
executivos ou agentes gestores (agente). O Conselho de Administração, o Conselho Fiscal e a
Auditoria podem ser considerados ferramentas de governança para diminuir esses conflitos
e dar mais segurança ao principal. O Conselho de Administração tem a atribuição formal de
definir as diretrizes estratégicas e de supervisionar o seu cumprimento; o Conselho Fiscal
possui a prerrogativa de fiscalizar; a Auditoria Independente constitui uma ferramenta ou
um mecanismo, cujo papel é o de apoiar o trabalho dos conselhos.
GOVERNANÇA CORPORATIVA APLICADA AO SETOR PÚBLICO

A governança corporativa no setor público refere-se à administração das agências do
setor público, por meio de princípios de governança corporativa do setor privado.
Alguns autores apresentam uma transposição do composto conceitual da governança
corporativa para a gestão do Estado. Nesse sentido, destaca-se a contribuição de Valmir
Slomski que afirma: “Ao se pensar na governança corporativa na gestão pública governamental
é preciso reorientar, criar novas formas de ver a coisa pública, haja vista que o cidadão não
paga impostos, integraliza capital”.
Esse autor nos ensina como devem ser vistos e aplicados os objetivos do código de
melhores práticas de governança corporativa, editado pelo IBGC, sob a ótica da gestão
pública governamental, a saber:
Marcelo Aragão
Aumentar o valor da sociedade – ações dos governantes na melhoria das condições

de habitação, saneamento, saúde, educação etc, sob a vigilância dos cidadãos (sócios),
produzirão agregação de valor à sociedade local.
Melhorar seu desempenho – as entidades governamentais podem melhorar seu
desempenho implementando melhorias nos ambientes interno (ações saneadoras,
desenvolvimento de potencialidades dos recursos públicos) e externo (com medidas que
atraiam investimentos da iniciativa privada).
Facilitar seu acesso ao capital a custos mais baixos – produzindo ações de aumentar
valor da sociedade e de melhorar seu desempenho, os investidores terão maiores garantias
ao emprestarem ao poder público, com custo mais baixo.
Contribuir para a sua perenidade – os serviços têm que ser prestados aos cidadãos
com qualidade e tempestividade (perenidade dos serviços)
Slomski defende ainda que todos os princípios da governança são aplicáveis a entidades
governamentais:
Transparência – A LRF já obriga a transparência, mas essa transparência pode ser
melhorada com instrumentos como a Demonstração do Resultado Econômico, o contracheque
econômico e o balanço social. Precisa haver simetria informacional entre o Estado e a
sociedade.
Equidade – a gestão pública deve pautar-se por políticas e ações dos governantes que
produzam a equidade entre os habitantes, para fins de bem-estar social.
Prestação de contas (accountability) – os agentes devem prestar contas de sua
atuação a quem os elegeu e respondem integralmente por todos os atos que praticarem
no exercício de seus mandatos.
Responsabilidade Corporativa – Os governantes devem zelar pela perenidade dos serviços
e bem estar da população, com visão de longo prazo, gerando riquezas, oportunidades de
emprego, melhoria da qualidade de vida por meio de ações educativas, culturais, assistenciais
e de defesa do meio ambiente.
Conselho Fiscal – Nas entidades públicas e nos Municípios já existe um Conselho Fiscal
que é a Câmara de Vereadores, que são eleitos para legislar e fiscalizar os atos do gestor
público, com o auxílio dos Tribunais de Contas. No entanto, os Tribunais de Contas realizam
poucas horas de trabalho in loco nos entes auditados. Assim, propõe as seguintes medidas
para melhorar e ampliar a atuação dos Tribunais:
• Formar auditores por área de atuação ou política pública;
• Ampliar os sistemas informatizados de suporte às auditorias;
• Ampliar os recursos financeiros dessas entidades de controle; e
• Contratar empresas de auditoria independentes para ampliar as horas de trabalho
de revisão das contas públicas.
Marcelo Aragão
Conselho de Administração – O Município já conta com um conjunto de Conselhos (de

Educação, de Saúde etc), no entanto, seria necessária a criação do Conselho Municipal de
Administração, que deveria ter um mandato diferente dos prefeitos e vereadores, para que
pudesse agir de maneira independente e exercer o acompanhamento das contas públicas e
que tivesse poderes para orientar e até de vetar ações do Executivo que pudessem afetar
o bem estar social, econômico e cultural ou a oferta dos serviços públicos.
GOVERNANÇA NO SETOR PÚBLICO

Com relação ao estudo da governança do setor público ou do Estado, uma dificuldade
que se observa na tentativa de conceituação ou definição de um modelo é que a Governança
Pública pode assumir diferentes dimensões em função dos objetivos dos órgãos públicos
e do seu papel dentro da estrutura governamental.
O conceito de governança pública utilizado com maior frequência é o adotado pelo Banco
Mundial, segundo o qual governança pode ser aceita como a forma com que os recursos
econômicos e sociais de um país são gerenciados, com vistas a promover o desenvolvimento.
GOVERNANÇA E GOVERNABILIDADE
Como lembra Matias-Pereira, para diversos autores, o conceito de governança não passa
de uma reformulação do conceito de governabilidade.
Nesse debate, a principal diferença entre governabilidade e governança está na forma
como a legitimidade das ações dos governos é entendida.
Na governabilidade, a legitimidade vem da capacidade do governo de representar
os interesses de suas próprias instituições. No conceito de governança, parcela de sua
legitimidade vem do processo do entendimento de que grupos específicos da população,
quando participam da elaboração e implantação de uma política pública, têm maior
possibilidade de obter sucesso nos seus objetivos.
O ponto de convergência, em termos de semelhança entre as duas, se refere à defesa
da participação institucionalizada como meio para se atingir a estabilidade política.
A literatura especializada define governança e governabilidade da seguinte forma:
Marcelo Aragão
Portanto, um governo pode ter governabilidade (legitimidade e apoio das instituições

e da sociedade), mas não significa que tem plena governança (capacidade de atender às
necessidades da sociedade).
Por fim, cabe transcrever o seguinte trecho da conclusão de Andrade e Rosseti, quando
abordam em seu livro a importância da governança na gestão do Estado:
A questão-chave do Estado não é de governabilidade, mas de governança. Enquanto a primeira

é uma conquista circunstancial e geralmente efêmera do poder estabelecido, a segunda é uma
conquista da sociedade estrutural e duradoura. E que estará necessariamente alicerçada nos
quatro princípios que definem a governança das corporações: transparência, equidade, prestação
de contas e conformidade.
Veja duas questões sobre governança e governabilidade.
001. (CESPE/CEBRASPE/EBC/TÉCNICO/2011) Governança e governabilidade são conceitos

distintos, contudo fortemente relacionados, até mesmo, complementares. O primeiro
refere-se às condições substantivas de exercício do poder e de legitimidade do Estado; o
segundo representa os aspectos instrumentais do exercício do poder, ou seja, a capacidade
do Estado de formular e implementar políticas públicas.
Marcelo Aragão
O item inverteu os conceitos. A governabilidade refere-se às condições substantivas de

exercício do poder e de legitimidade do Estado; a governança representa os aspectos
instrumentais do exercício do poder, ou seja, a capacidade do Estado de formular e
implementar políticas públicas.
Errado.
002. (CESPE/CEBRASPE/TCE-RJ/ANALISTA/2021) Governabilidade refere-se tanto à gestão

de instituições governamentais quanto a mecanismos formais não governamentais e seus
efeitos sobre a conduta das pessoas.
O item misturou os conceitos de governança e governabilidade. A gestão de instituições

governamentais está relacionada mais à governança do que à governabilidade.
Errado.
OS PRINCÍPIOS DA BOA GOVERNANÇA

Tendo como referência a literatura especializada e estudos nacionais e internacionais
acerca da governança, destacamos os seguintes princípios de governança:
ÉTICA (ETHICS)
A adoção de boas práticas de governança significa também a adoção de princípios éticos.
A ética é o pilar de toda a estrutura de governança. As entidades que não explicitarem as
condutas em um código de ética deverão explicitar as razões da não-adoção.
TRANSPARÊNCIA (DISCLOSURE)
A transparência é um pilar da governança. Não há como se falar em uma boa governança,
sem uma política e práticas para divulgação das ações públicas, permitindo o controle da
sociedade.
Mais do que “a obrigação de informar”, a administração deve cultivar o “desejo de
informar”, sabendo que da boa comunicação interna e externa, particularmente quando
espontânea franca e rápida, resultam um clima de confiança, tanto internamente, quando
nas relações da entidade com terceiros.
Relacionadas à transparência da gestão pública, tem-se ações do programa de Governo
Eletrônico (eGOV) que priorizam o uso das tecnologias da informação e comunicação (TICs)
para democratizar o acesso à informação, visando ampliar o debate e a participação
Marcelo Aragão
popular na construção das políticas públicas, como também aprimorar a qualidade dos
serviços e informações públicas prestadas.
A política de Governo Eletrônico do Estado brasileiro segue um conjunto de diretrizes
baseado em três ideias fundamentais: participação cidadã; melhoria do gerenciamento
interno do Estado; e integração com parceiros e fornecedores.
Transformar a relação do governo com a sociedade e promover interatividade com
cidadãos, empresas e órgãos governamentais melhora o processo de democratização do país,
dinamiza os serviços públicos e proporciona uma administração pública mais eficiente, já que,
agora, a sociedade possui instrumentos para se manifestar junto às ações governamentais.
A questão abaixo abordou esse princípio de governança.
003. (CESPE/CEBRASPE/TCE-RJ/ANALISTA/2021) O acesso à informação governamental

pelos cidadãos é uma estratégia de promoção da transparência pública.
A transparência pública é um dos pilares da democracia e ela se efetiva por meio do acesso
do cidadão à informação governamental.
Certo.
EQUIDADE (FAIRNESS)
No âmbito das empresas, a equidade caracteriza-se pelo tratamento justo e igualitário
de todos os grupos minoritários, sejam do capital ou das demais “partes interessadas”
(stakeholders), colaboradores, clientes, fornecedores ou credores. Atitudes ou políticas
discriminatórias, sob qualquer pretexto, são totalmente inaceitáveis. A governança busca
a implementação de controle em um ambiente de poder equilibrado entre todas as partes
interessadas na organização.
No setor público, a equidade é um princípio estabelecido na Constituição Federal,
devendo os programas e projetos governamentais levar em conta os interesses de toda a
população conforme as suas necessidades, independente da complexidade que cada caso
requeira e da região em que o indivíduo detenha sua residência.
Por meio do princípio da equidade, objetiva-se diminuir as desigualdades, porém não
significa que seja sinônimo de igualdade. Em que pese todos terem direito de acesso aos
serviços, independente de cor, raça ou religião e sem nenhum tipo de privilégio, as pessoas
não são iguais e, por isso, têm necessidades distintas.
Marcelo Aragão
A questão abaixo tratou desse princípio.
004. (FGV/TCE-AM/AUDITOR/OBRAS PÚBLICAS/2021) Os princípios básicos que definem

as boas práticas de governança foram concebidos no âmbito empresarial, mas podem ser
aplicados em larga medida às entidades da administração pública. No contexto da gestão
pública, a adoção de políticas e ações que promovam justiça social entre os habitantes de
um território, com vistas ao bem-estar social, está associada ao princípio do(a):
a) accountability;
b) equidade;
c) prestação de contas;
d) responsabilidade;
e) transparência.
No contexto da gestão pública, a adoção de políticas e ações que promovam justiça social
entre os habitantes de um território, com vistas ao bem-estar social, está associada ao
princípio da equidade.
Letra b.
PRESTAÇÃO DE CONTAS E RESPONSABILIZAÇÃO (ACCOUNTABILITY)
Os agentes de Governança devem prestar contas de sua atuação a quem os elegeu e

respondem integralmente por todos os atos que praticarem o exercício de seus mandatos.
A accountability, em que pese o esforço de tradução para a língua portuguesa como
responsabilidade, não possui uma tradução literal para o nosso idioma ou mesmo para
outras línguas de origem latina.
Todavia, pode-se afirmar que a accountability representa o compromisso ético e legal
de se responder por uma responsabilidade delegada. Alguns a associam ao dever de prestar
contas e outros apregoam que não é só a obrigação de prestar de contas, mas também de
responder por uma delegação de competência e de assumir boas práticas de gestão dos
recursos públicos, de forma transparente e responsável.
A accountability é uma forma de controle social, de sujeição do poder público a estruturas
formais e estruturas institucionalizadas de constrangimento de suas ações à frente da gestão
pública, estando obrigado a prestar contas e a tornar transparente a sua administração.
Marcelo Aragão
Accountability representa a responsabilidade objetiva de uma pessoa ou organização

responder perante outras pessoas ou organizações. Segundo Tavares Coelho, uma pessoa
ou instituição é accountable quando é responsável por decisões e pelas consequências
de suas ações e inações, e o de, portanto, ser um exemplo para os outros. Aquele que é
accountable aceita a responsabilidade e mantém a sua integridade, evitando a “aparência
de improbidade” e resguardando a sua reputação.
Veja a seguinte questão acerca do assunto.
005. (CESPE/CEBRASPE/TCE-RJ/ANALISTA/2021) Accountability refere-se aos mecanismos

disponíveis para a prestação de contas das ações realizadas em nome de políticas públicas.
Accountability refere-se aos mecanismos disponíveis para a prestação de contas das ações
realizadas em nome de políticas públicas e de responsabilização dos gestores.
Certo.
Pela frequência com que o assunto é cobrado em prova, veja mais uma questão acerca
do assunto.
006. (CESPE/CEBRASPE/FUNPRESP/ANALISTA/2016) O princípio de accountability estabelece

que os agentes de governança devem prestar contas de sua atuação e responder integralmente
por todos os atos praticados no exercício de suas funções.
O item estabelece corretamente o conceito de accountability pública, pelo qual se estabelece

Certo.
Um aspecto que geralmente é cobrado em prova de administração pública, mas que

também pode ser objeto de prova de auditoria é a classificação da accountability em
horizontal, vertical e societal, a depender da natureza e da hierarquia do controle exercido:
Marcelo Aragão
• Accountability vertical: se dá entre a população e o Estado, referindo-se ao controle

que aquela exerce sobre os agentes públicos e os governos e é relacionada à capacidade
da população de votar e de se manifestar de forma livre, tendo como exemplo o voto
e a ação popular.
• Accountability horizontal: se dá entre entes ou órgãos estatais, ocorrendo quando
um poder, órgão, agência reguladora etc., fiscaliza o outro. Como exemplo tem-se a
fiscalização realizada pelos tribunais de contas sobre todos os Poderes.
• Accountability societal: se dá entre a sociedade civil organizada e entes ou órgãos
estatais, em que aquela, muitas vezes representada por ONG’s, sindicatos, associações
etc, fiscaliza os agentes públicos e o os governos, exercendo “pressão” legítima sobre
a Administração Pública. A societal não está ligada ao cidadão e ao voto, mas às
diversas entidades sociais como associações, sindicatos, ONGs e mídia, que investigam
e denunciam abusos cometidos, e cobram responsabilização.
A questão abaixo tratou do assunto.
007. (CESPE/CEBRASPE/TCE-RJ/ANALISTA/2021) O controle da atividade dos políticos

e dos governos exercida pelos cidadãos por meio de voto constitui um mecanismo de
accountability horizontal.
O controle da atividade dos políticos e dos governos exercida pelos cidadãos por meio de
voto constitui um mecanismo de accountability vertical.
Errado
CUMPRIMENTO DAS LEIS (COMPLIANCE)
O princípio do compliance ou conformidade está relacionado à adoção pelas organizações

de um código de ética para a alta administração e gestores públicos, que deverá conter
formas de encaminhamento de questões relacionadas a conflitos de interesse, divulgação
de informações e cumprimentos das leis e regulamentos.
Portanto, a conformidade depende da integridade e da consciência dos gestores e
servidores quanto à importância de se respeitar as leis e as normas e de manter uma
atitude ética.
Marcelo Aragão
REFERENCIAL BÁSICO DE GOVERNANÇA NO SETOR PÚBLICO

Em 2014, o TCU publicou estudo denominado “Referencial Básico de Governança Aplicável
a Órgãos e Entidades da Administração Pública”, que passou a ser uma grande fonte para
a elaboração de questões acerca da governança pública, já tendo sido objeto de cobrança
em provas recentes.
A edição anterior de 2014 é a versão 2.0. Ocorre que o estudo está em sua 3ª edição,
publicada ao final de 2020 (versão 3.0).
Abordaremos nesta aula os aspectos conceituais mais relevantes constantes da 2ª e da
3ª edição do estudo (2.0 e 3.0, respectivamente) e que têm sido mais cobrados em prova.
CONCEITOS FUNDAMENTAIS
Em termos de conceito, o estudo apresentava algumas definições importantes, a saber:
Segundo a IFAC (2013), governança compreende a estrutura (administrativa, política,
econômica, social, ambiental, legal e outras) posta em prática para garantir que os resultados
pretendidos pelas partes interessadas sejam definidos e alcançados.
De acordo com o Plano Estratégico do Tribunal de Contas da União (BRASIL, 2011),
governança pode ser descrita como um sistema pelo qual as organizações são dirigidas,
monitoradas e incentivadas, envolvendo os relacionamentos entre sociedade, alta
administração, servidores ou colaboradores e órgãos de controle. Em essência, a boa
governança pública tem como propósitos conquistar e preservar a confiança da sociedade,
por meio de conjunto eficiente de mecanismos, a fim de assegurar que as ações executadas
estejam sempre alinhadas ao interesse público.
Governança corporativa: pode ser entendida como o sistema pelo qual as organizações
são dirigidas e controladas. Refere-se ao conjunto de mecanismos de convergência de
interesses de atores direta e indiretamente impactados pelas atividades das organizações,
mecanismos esses que protegem os investidores externos da expropriação pelos internos
(gestores e acionistas controladores).
Governança pública: pode ser entendida como o sistema que determina o equilíbrio
de poder entre os envolvidos — cidadãos, representantes eleitos (governantes), alta
administração, gestores e colaboradores — com vistas a permitir que o bem comum
prevaleça sobre os interesses de pessoas ou grupos.
Governança global: que pode ser entendida como o conjunto de instituições, mecanismos,
relacionamentos e processos, formais e informais, entre Estado, mercado, cidadãos e
organizações, internas ou externas ao setor público, através dos quais os interesses coletivos
são articulados, direitos e deveres são estabelecidos e diferenças são mediadas.
Governança no setor público refere-se, portanto, aos mecanismos de avaliação, direção e
monitoramento; e às interações entre estruturas, processos e tradições, as quais determinam
Marcelo Aragão
como cidadãos e outras partes interessadas são ouvidos, como as decisões são tomadas e
como o poder e as responsabilidades são exercidos. Preocupa-se, por conseguinte, com a
capacidade dos sistemas políticos e administrativos de agir efetiva e decisivamente para
resolver problemas públicos.
Anoto que a versão 3.0 do estudo (de dezembro de 2020) foca na definição de governança
de órgãos e entidades da administração pública, segundo a qual governança organizacional
é a aplicação de práticas de liderança, de estratégia e de controle, que permitem aos
mandatários de uma organização pública e às partes nela interessadas avaliar sua situação e
demandas, direcionar a sua atuação e monitorar o seu funcionamento, de modo a aumentar
as chances de entrega de bons resultados aos cidadãos, em termos de serviços e de políticas
públicas. Este conceito, derivado principalmente da governança corporativa, foi delineado
e adotado pelo TCU em virtude do propósito de apoiar a melhoria do desempenho das
organizações públicas jurisdicionadas.
PERSPECTIVAS DE OBSERVAÇÃO
Conforme o referencial (versão 2.0), a governança no setor público pode ser analisada sob
quatro perspectivas de observação: (a) sociedade e Estado; (b) entes federativos, esferas
de poder e políticas públicas; (c) órgãos e entidades; e (d) atividades intraorganizacionais.
Figura 1: Perspectivas de Observação da Governança

Referencial de Governança – TCU, p. 18.
A perspectiva “sociedade e estado” é a vertente política da governança pública, focada

no desenvolvimento nacional, nas relações econômico-sociais, nas estruturas que garantam
a governabilidade de um Estado e o atendimento de demandas da sociedade. Ela define
as regras e os princípios que orientam a atuação dos agentes públicos e privados regidos
pela Constituição e cria as condições estruturais de administração e controle do Estado.
Marcelo Aragão
A perspectiva “entes federativos, esferas de poder e políticas públicas” é a vertente

político-administrativa da governança no setor público, com foco na formulação, na
implementação e na efetividade de políticas públicas; nas redes transorganizacionais,
que extrapolam as barreiras funcionais de uma organização; e na capacidade de auto-
organização dos envolvidos. Esta vertente se preocupa com as políticas públicas e com as
relações entre estruturas e setores, incluindo diferentes esferas, poderes, níveis de governo
e representantes da sociedade civil organizada.
A terceira perspectiva - órgãos e entidades – é a vertente corporativa da governança no
setor público, com foco nas organizações, na manutenção de propósitos e na otimização
dos resultados ofertados por elas aos cidadãos e aos usuários dos serviços. Ela garante que
cada órgão ou entidade cumpra seu papel.
Por fim, governança sob a perspectiva de atividades intraorganizacionais pode ser
entendida como o sistema pelo qual os recursos de uma organização são dirigidos,
controlados e avaliados. Sob esta perspectiva, são analisados os processos decisórios, as
estruturas específicas de governança e as relações intraorganizacionais, que visam, entre
outras coisas, otimizar o uso de recursos, reduzir riscos e agregar valor a órgãos e entidades
e contribuir para o alcance de resultados esperados por partes interessadas internas e
externas à organização.
Em que pese identificar as quatro perspectivas, o Referencial publicado pelo TCU tem
por objeto de análise a governança de órgãos e entidades da administração pública, podendo
ser aplicado, com adaptações, às outras perspectivas.
Chamo a sua atenção para o fato de a 3ª edição do referencial do TCU ter alterado as
perspectivas para observação da governança. Com a versão 3.0, as perspectivas ou dimensões
de governança passaram a ser denominadas da seguinte forma:
a) Perspectiva Organizacional (ou corporativa) - chamada na versão 2.0 (BRASIL, 2014)
de perspectiva de órgãos e entidades e de atividades intraorganizacionais, que trata do
desempenho individual das organizações públicas e outros entes jurisdicionados ao TCU;
b) Perspectiva de Políticas Públicas - chamada na versão 2.0 de perspectiva dos entes
federativos, esferas de poder e políticas públicas, que trata do desempenho dos programas
e políticas públicas, levando em conta a extensa rede de interações entre entes públicos e
privados para sua realização; e
c) Perspectiva de Centro de Governo - chamada na versão 2.0 de perspectiva de
sociedade e Estado, que trata do direcionamento que o governo é capaz de dar à nação e
da sua legitimação perante as partes interessadas.
Portanto, com a versão 3.0, as perspectivas de governança passaram a ser as seguintes,
tendo o TCU um referencial específico para cada uma dessas perspectivas:
Marcelo Aragão
Centro de Políticas
Governo Públicas
Organizacional
Figura 2: Perspectivas de Governança
SISTEMA DE GOVERNANÇA NO SETOR PÚBLICO

De acordo com a publicação do TCU, o sistema de governança reflete a maneira como
diversos atores se organizam, interagem e procedem para obter boa governança. Envolve,
portanto, as estruturas administrativas (instâncias), os processos de trabalho, os instrumentos
(ferramentas, documentos etc.), o fluxo de informações e o comportamento de pessoas
envolvidas direta, ou indiretamente, na avaliação, no direcionamento e no monitoramento
da organização. De forma simplificada, esse sistema pode ser assim representado (Figura 3):
Marcelo Aragão
Figura 3: Sistema de Governança em órgãos e entidades da Adm. Pública
Nota-se, nesse sistema, que algumas instâncias foram destacadas: as instâncias externas
de governança; as instâncias externas de apoio à governança; as instâncias internas de
governança; e as instâncias internas de apoio à governança.
As instâncias externas de governança são responsáveis pela fiscalização, pelo controle
e pela regulação, desempenhando importante papel para promoção da governança das
organizações públicas. São autônomas e independentes, não estando vinculadas apenas a
uma organização. Exemplos típicos dessas estruturas são o Congresso Nacional e o Tribunal
de Contas da União.
Marcelo Aragão
As instâncias externas de apoio à governança são responsáveis pela avaliação, auditoria

e monitoramento independente e, nos casos em que disfunções são identificadas, pela
comunicação dos fatos às instâncias superiores de governança. Exemplos típicos dessas
estruturas as auditorias independentes e o controle social organizado.
As instâncias internas de governança são responsáveis por definir ou avaliar a
estratégia e as políticas, bem como monitorar a conformidade e o desempenho destas,
devendo agir nos casos em que desvios forem identificados. São, também, responsáveis por
garantir que a estratégia e as políticas formuladas atendam ao interesse público servindo
de elo entre principal e agente. Exemplos típicos dessas estruturas são os conselhos de
administração ou equivalentes e, na falta desses, a alta administração.
As instâncias internas de apoio à governança realizam a comunicação entre partes
interessadas internas e externas à administração, bem como auditorias internas que
avaliam e monitoram riscos e controles internos, comunicando quaisquer disfunções
identificadas à alta administração. Exemplos típicos dessas estruturas são a ouvidoria, a
auditoria interna, o conselho fiscal, as comissões e os comitês.
Além dessas instâncias, existem outras estruturas que contribuem para a boa governança
da organização: a administração executiva, a gestão tática e a gestão operacional.
A administração executiva é responsável por avaliar, direcionar e monitorar, internamente,
o órgão ou a entidade. A autoridade máxima da organização e os dirigentes superiores são
os agentes públicos que, tipicamente, atuam nessa estrutura. De forma geral, enquanto
a autoridade máxima é a principal responsável pela gestão da organização, os dirigentes
superiores (gestores de nível estratégico e administradores executivos diretamente ligados
à autoridade máxima) são responsáveis por estabelecer políticas e objetivos e prover
direcionamento para a organização.
A gestão tática é responsável por coordenar a gestão operacional em áreas específicas.
Os dirigentes que integram o nível tático da organização (p. ex. secretários) são os agentes
públicos que, tipicamente, atuam nessa estrutura.
A gestão operacional é responsável pela execução de processos produtivos finalísticos
e de apoio. Os gerentes, membros da organização que ocupam cargos ou funções a partir do
nível operacional (p. ex. diretores, gerentes, supervisores, chefes), são os agentes públicos
que, tipicamente, atuam nessa estrutura.
Acerca das instâncias de governança, veja as seguintes questões.
(CESPE/CEBRASPE/EMAP/ANALISTA/2018) Com relação à governança no setor público,

julgue os itens a seguir.
Marcelo Aragão
008. A gestão tática é responsável pela execução de processos produtivos finalísticos

e de apoio.
De acordo com o Referencial Básico de Governança de órgãos e entidades do TCU, a gestão

tática é responsável por coordenar a gestão operacional em áreas específicas. Os dirigentes
que integram o nível tático da organização (p. ex. secretários) são os agentes públicos que,
tipicamente, atuam nessa estrutura.
Errado.
009. As instâncias externas de governança são responsáveis por definir ou avaliar a estratégia
e as políticas, bem como por monitorar sua conformidade e o desempenho.
As instâncias externas de governança são responsáveis pela fiscalização, pelo controle

e pela regulação, desempenhando importante papel para promoção da governança das
organizações públicas. São autônomas e independentes, não estando vinculadas apenas
a uma organização. Exemplos típicos dessas estruturas são o Congresso Nacional e o
Tribunal de Contas da União. As instâncias internas de governança são responsáveis
por definir ou avaliar a estratégia e as políticas, bem como monitorar a conformidade e
o desempenho destas, devendo agir nos casos em que desvios forem identificados. São,
também, responsáveis por garantir que a estratégia e as políticas formuladas atendam ao
interesse público servindo de elo entre principal e agente. Exemplos típicos dessas estruturas
são os conselhos de administração ou equivalentes e, na falta desses, a alta administração.
Errado.
FUNÇÕES DE GOVERNANÇA E GESTÃO
A governança de órgãos e entidades da administração pública envolve três funções

básicas, alinhadas às tarefas sugeridas pela ISO/IEC 38500:2008:
a) avaliar o ambiente, os cenários, o desempenho e os resultados atuais e futuros;
b) direcionar e orientar a preparação, a articulação e a coordenação de políticas e
planos, alinhando as funções organizacionais às necessidades das partes interessadas
(usuários dos serviços, cidadãos e sociedade em geral) e assegurando o alcance dos objetivos
estabelecidos; e
c) monitorar os resultados, o desempenho e o cumprimento de políticas e planos,
confrontando-os com as metas estabelecidas e as expectativas das partes interessadas.
Marcelo Aragão
De acordo com o Banco Mundial, governança diz respeito a estruturas, funções, processos
e tradições organizacionais que visam garantir que as ações planejadas (programas) sejam
executadas de tal maneira que atinjam seus objetivos e resultados de forma transparente.
Busca, portanto, maior efetividade (produzir os efeitos pretendidos) e maior economicidade
(obter o maior benefício possível da utilização dos recursos disponíveis) das ações.
São funções da governança:
• definir o direcionamento estratégico;
• supervisionar a gestão;
• envolver as partes interessadas;
• gerenciar riscos estratégicos;
• gerenciar conflitos internos;
• auditar e avaliar o sistema de gestão e controle; e
• promover a accountability (prestação de contas e responsabilidade) e a transparência.
Governança, neste sentido, relaciona-se com processos de comunicação; de análise

e avaliação; de liderança, tomada de decisão e direção; de controle, monitoramento e
prestação de contas.
De modo complementar, gestão diz respeito ao funcionamento do dia a dia de programas
e de organizações no contexto de estratégias, políticas, processos e procedimentos que
foram estabelecidos pelo órgão (WORLD BANK, 2013); preocupa-se com a eficácia (cumprir
as ações priorizadas) e a eficiência das ações (realizar as ações da melhor forma possível,
em termos de custo-benefício).
São funções da gestão:
• implementar programas;
• garantir a conformidade com as regulamentações;
• revisar e reportar o progresso de ações;
• garantir a eficiência administrativa;
• manter a comunicação com as partes interessadas; e
• avaliar o desempenho e aprender.
Enquanto a gestão é inerente e integrada aos processos organizacionais, sendo responsável

pelo planejamento, execução, controle, ação, enfim, pelo manejo dos recursos e poderes
colocados à disposição de órgãos e entidades para a consecução de seus objetivos, a
governança provê direcionamento, monitora, supervisiona e avalia a atuação da gestão,
com vistas ao atendimento das necessidades e expectativas dos cidadãos e demais partes
interessadas.
Marcelo Aragão
Figura 4: Relação entre Governança e Gestão

Fonte: Referencial Básico de Governança do TCU
Governança também se preocupa com a qualidade do processo decisório e sua efetividade:

Como obter o maior valor possível? Como, por quem e por que as decisões foram tomadas?
Os resultados esperados foram alcançados?
A gestão, por sua vez, parte da premissa de que já existe um direcionamento superior e
que aos agentes públicos cabe garantir que ele seja executado da melhor maneira possível
em termos de eficiência.
PRINCÍPIOS BÁSICOS DE GOVERNANÇA PARA O SETOR PÚBLICO

O referencial de governança do TCU ampliou o rol de princípios de governança, em
comparação com os princípios previstos no Código de Boas Práticas de Governança Corporativa
do IBGC e no Estudo do IFAC.
Com a publicação da versão 3.0, houve uma redefinição dos princípios de governança
no setor público. Da literatura internacional (principalmente de organismos multilaterais
e de referência nas áreas de controle e auditoria) e do Decreto 9.203/2017 (norma pública
de governança), o tribunal extraiu um conjunto abrangente de princípios que funcionam
como valores interdependentes, servindo de guia para a atuação das organizações públicas
e outros entes jurisdicionados ao Tribunal de Contas na busca dos resultados pretendidos
e fortalecendo a confiança da sociedade nessas organizações: capacidade de resposta;
integridade; transparência; equidade e participação; accountability; confiabilidade; e
melhoria regulatória.
a) capacidade de resposta: é a capacidade de responder de forma eficiente e eficaz
às necessidades das partes interessadas. A colaboração entre entes estatais, não estatais
Marcelo Aragão
e sociedade civil contribui para obter um maior entendimento a respeito das demandas
da sociedade, para equilibrar os interesses, priorizar o atendimento das necessidades e
aumentar a confiança das partes interessadas nas instituições públicas. O princípio da
capacidade de resposta depende, portanto, diretamente do princípio da participação.
b) integridade: diz respeito às ações organizacionais e ao comportamento do agente
público, referindo-se à adesão e alinhamento consistente aos valores, princípios e normas
éticas comuns para sustentar e priorizar o interesse público sobre os interesses privados.
A OCDE sugere a adoção de políticas de integridade baseadas em contexto, evidências e
riscos, evitando-se programas de conformidade excessivamente rígidos, pois tendem a
ser limitados e falham como impedimento ao comportamento antiético. A estratégia de
integridade pública deve ser fundamentada em três pilares: implementar um sistema de
integridade amplo e coerente; cultivar uma cultura de integridade pública; possibilitar a
prestação de contas, a responsabilização e a transparência;
c) transparência: diz respeito a permitir que a sociedade obtenha informações atualizadas
sobre operações, estruturas, processos decisórios, resultados e desempenho do setor
público. Consiste em disponibilizar, inclusive na forma de dados abertos, para as partes
interessadas, as informações que sejam de seu interesse (arts. 3º, I e II, 5º, 8º e 10 da Lei
12.527/2011) e não apenas aquelas impostas por disposições de leis ou regulamentos.
Caracteriza-se pela possibilidade de acesso a todas as informações relativas à organização
pública, em uma linguagem cidadã, sendo um dos requisitos de controle do Estado pela
sociedade civil. A adequada transparência resulta em clima de confiança, tanto internamente
quanto nas relações de órgãos e entidades com terceiros. A organização transparente
se obriga voluntariamente à divulgação oportuna de todas as questões relevantes a ela
relacionadas, inclusive situação financeira, desempenho, composição e governança da
organização. Abrange várias iniciativas, como: acesso à informação, divulgação de natureza
obrigatória; divulgação de natureza proativa e voluntária, incluindo dados abertos do
governo; e transparência fiscal e orçamentária.
d) equidade e participação: diz respeito a promover tratamento justo a todas as partes
interessadas, levando em consideração seus direitos, deveres, necessidades, interesses e
expectativas. A participação efetiva das partes interessadas no processo de tomada de
decisão e na formulação de políticas públicas é um dos princípios do Governo Aberto e
facilita a equidade nesses processos.
e) accountability (prestação de contas e responsabilidade): diz respeito à obrigação
que têm as pessoas ou entidades às quais se tenham confiado recursos, incluídas as
empresas e corporações públicas, de assumir as responsabilidades de ordem fiscal, gerencial
e programática que lhes foram conferidas, e de informar o cumprimento dessas a quem
lhes delegou essas responsabilidades. Espera-se que os agentes públicos prestem contas
Marcelo Aragão
de sua atuação espontaneamente, de forma clara e tempestiva, assumindo integralmente

as consequências de seus atos e omissões.
f) confiabilidade: previsto pelo Decreto 9.203/2017, da Presidência da República, e
pelo Decreto 39.736/2019, do Governador do DF, representa a capacidade das instituições
de minimizar as incertezas para os cidadãos nos ambientes econômico, social e político.
Por isso, uma instituição confiável tem que se manter o mais fiel possível aos objetivos e
diretrizes previamente definidos, passar segurança à sociedade em relação a sua atuação
e, por fim, manter ações consistentes com a sua missão institucional. A OCDE orienta que
há duas condições a serem satisfeitas para promover a confiabilidade: (i) as organizações
devem ser competentes, ou seja, fornecer serviços públicos acessíveis, eficientes e que
atendem às necessidades e expectativas dos seus usuários; (ii) as organizações devem atuar
com base em valores, promovendo a integridade e o compromisso com o interesse público.
g) melhoria regulatória: também previsto pelos Decretos 9.203/2017, da Presidência
da República, e 39.736/2019, do Governador do DF, representa o desenvolvimento e a
avaliação de políticas e de atos normativos em um processo transparente, baseado em
evidências e orientado pela visão de cidadãos e partes diretamente interessadas. Não se
restringe, portanto, à regulação econômica de setores específicos realizada pelas agências
reguladoras. Para além disso, uma regulação bem direcionada, baseada em evidências e
escrita de forma simples, tem maior probabilidade de ser adequadamente implementada
e atingir seus objetivos, sejam econômicos, sociais ou ambientais.
DIRETRIZES PARA A BOA GOVERNANÇA
Para alcançar boa governança em órgãos e entidades da administração pública é

importante atender às seguintes diretrizes:
• definir formalmente e comunicar claramente os papéis e responsabilidades das
instâncias internas e de apoio à governança, e assegurar que sejam desempenhados
de forma efetiva;
• estabelecer processos decisórios transparentes, baseados em evidências e orientados
a riscos, motivados pela equidade e pelo compromisso de atender ao interesse público;
• promover valores de integridade e implementar elevados padrões de comportamento,
começando pela demonstração de conduta exemplar da liderança da organização e
de apoio às políticas e programa de integridade;
• aprimorar a capacidade da liderança da organização, garantindo que seus membros
tenham habilidade, conhecimentos e experiências necessários ao desempenho
de suas funções; avaliando o desempenho deles como indivíduos e como grupo; e
equilibrando, na composição da liderança, continuidade e renovação;
Marcelo Aragão
• desenvolver continuamente a capacidade da organização, assegurando a eficácia e

eficiência da gestão dos recursos organizacionais, como a gestão e a sustentabilidade do
orçamento, das pessoas, das contratações e da tecnologia e segurança da informação;
• apoiar e viabilizar a inovação para agregar valor público e lidar com as limitações de
recursos e com novas ameaças e oportunidades;
• estabelecer um sistema eficaz de gestão de riscos e controles internos;
• estabelecer objetivos organizacionais alinhados ao interesse público, e comunicá-los
de modo que o planejamento e a execução das operações reflitam o propósito da
organização e contribuam para alcançar os resultados pretendidos;
• monitorar o desempenho da organização e utilizar os resultados para identificar
oportunidades de melhoria e avaliar as estratégias organizacionais estabelecidas;
• considerar os interesses, direitos e expectativas das partes interessadas nos processos
de tomada de decisão;
• implementar boas práticas de transparência;
• prestar contas às partes interessadas e implementar mecanismos eficazes de
responsabilização dos agentes;
• apoiar o uso das ferramentas digitais para aumentar e facilitar a participação das
partes interessadas nas decisões públicas e aprimorar a prestação de serviços públicos;
• promover a simplificação administrativa, a modernização da gestão pública e a
integração dos serviços públicos, especialmente aqueles prestados por meio eletrônico;
• editar e revisar atos normativos, pautando-se pelas boas práticas regulatórias e pela
legitimidade, estabilidade e coerência do ordenamento jurídico e realizando consultas
públicas, sempre que conveniente.
NÍVEIS DE ANÁLISE
Considerando que a governança não é isenta de custos e que os mecanismos, isoladamente,

não produzem todos os resultados potencialmente esperados, concebeu-se o referencial
tomando por base quatro níveis de análise: os mecanismos de governança, os componentes,
as práticas e os itens de controle (Figura 5).
Figura 5: Níveis de Análise
Marcelo Aragão
MECANISMOS DE GOVERNANÇA
Para que as funções de governança (avaliar, direcionar e monitorar) sejam executadas
de forma satisfatória, alguns mecanismos devem ser adotados: a liderança, a estratégia
e o controle.
Figura 6: Mecanismos de Governança

Fonte: Referencial Básico de Governança do TCU
Liderança refere-se ao conjunto de práticas, de natureza humana ou comportamental,

que assegura a existência das condições mínimas para o exercício da boa governança, quais
sejam: pessoas íntegras, capacitadas, competentes, responsáveis e motivadas ocupando
os principais cargos das organizações e liderando os processos de trabalho.
Esses líderes são responsáveis por conduzir o processo de estabelecimento da estratégia
necessária à boa governança, envolvendo aspectos como: escuta ativa de demandas,
necessidades e expectativas das partes interessadas; avaliação do ambiente interno e
externo da organização; avaliação e prospecção de cenários; definição e alcance da estratégia;
definição e monitoramento de objetivos de curto, médio e longo prazo; alinhamento de
estratégias e operações das unidades de negócio e organizações envolvidas ou afetadas.
Entretanto, para que esses processos sejam executados, existem riscos, os quais devem
ser avaliados e tratados. Para isso, é conveniente o estabelecimento de controles e sua
avaliação, transparência e accountability, que envolve, entre outras coisas, a prestação
de contas das ações e a responsabilização pelos atos praticados.
De forma geral os três mecanismos propostos (liderança, estratégia e controle) podem
ser aplicados a qualquer uma das quatro perspectivas de observação (sociedade e Estado;
entes federativos, esferas de poder e políticas públicas; órgãos e entidades; e atividades
intraorganizacionais), devendo, no entanto, estarem alinhados de forma a garantir que
direcionamentos de altos níveis se reflitam em ações práticas pelos níveis subalternos.
A questão abaixo tratou dos mecanismos de governança.
Marcelo Aragão
(CESPE/CEBRASPE/IPHAN/ANALISTA/2018) No que se refere aos mecanismos de governança,

julgue o item a seguir.
010. Liderança, estratégia e controle são considerados exemplos de mecanismos de

governança.
De acordo com o referencial do TCU e o Decreto 9.203, de 22/11/2017, que dispõe sobre a
política de governança da administração pública federal direta, autárquica e fundacional
liderança, estratégia e controle são considerados exemplos de mecanismos de governança.
Certo.
COMPONENTES DOS MECANISMOS DE GOVERNANÇA

A cada um dos mecanismos de governança foi associado um conjunto de componentes
que contribuem direta, ou indiretamente, para o alcance dos objetivos. São eles:
Figura 7: Componentes dos Mecanismos de Governança
Liderança
• Pessoas e competências (L1);
• Princípios e comportamentos (L2);
• Liderança organizacional (L3).
• Sistema de Governança (L4)
Estratégia
• relacionamento com partes interessadas (E1);
• estratégia organizacional (E2);
• alinhamento transorganizacional (E3).
Marcelo Aragão
Controle
• gestão de riscos e controle interno (C1);
• auditoria interna (C2); e
• accountability e transparência (C3).
Vinculados a cada componente, foi associado um conjunto de práticas de governança,

que são descritas no referencial, que têm a finalidade de contribuir para que os resultados
pretendidos pelas partes interessadas sejam alcançados. Cabe destacar que as práticas
apresentadas representam um referencial básico, não sendo, portanto, exaustivas.
Para fins de concisão desta aula, deixaremos de listar aqui as práticas descritas no
referencial. O importante é que você saiba que a governança pública significa a adoção de
boas práticas de liderança, estratégia e controle.
POLÍTICA DE GOVERNANÇA DA ADMINISTRAÇÃO PÚBLICA

Seguindo as orientações do TCU, o governo federal publicou o Decreto 9.203, de
22/11/2017, que dispõe sobre a política de governança da administração pública federal
direta, autárquica e fundacional. Posteriormente, o governo do Distrito Federal publicou
o Decreto 39.736, de 28/03/2019, que dispõe sobre a política de governança e compliance
no âmbito da administração direta, autárquica e fundacional do Poder Executivo do
Distrito Federal.
Segundo os decretos, governança pública é o conjunto de mecanismos de liderança,
estratégia e controle postos em prática para avaliar, direcionar e monitorar a gestão, com
vistas à condução de políticas públicas e à prestação de serviços de interesse da sociedade.
A questão a seguir abordou essa definição.
011. (CESPE/CEBRASPE/TCDF/CONSELHEIRO-SUBST/2021) Considerando os princípios

básicos de auditoria no âmbito do setor público, julgue os itens a seguir.
A governança no setor público tem por objetivo conduzir as políticas públicas na direção
da prestação de serviços de interesse da sociedade.
Conforme a legislação, governança pública é o conjunto de mecanismos de liderança,

estratégia e controle postos em prática para avaliar, direcionar e monitorar a gestão, com
vistas à condução de políticas públicas e à prestação de serviços de interesse da sociedade.
Certo.
Marcelo Aragão
Nos termos do art. 3º do Decreto 39.736/2019, os princípios de governança são:

• capacidade de resposta;
• integridade;
• confiabilidade;
• melhoria regulatória;
• transparência; e
• prestação de contas e responsabilidade.
O art. 4º dispõe sobre as seguintes diretrizes da governança pública:
• direcionar ações para a busca de resultados para a sociedade, propondo soluções
tempestivas e inovadoras para lidar com a limitação de recursos e com as mudanças
de prioridades;
• promover a desburocratização, a racionalização administrativa, a modernização da
gestão pública e a integração dos serviços públicos, especialmente aqueles prestados
por meio eletrônico, conforme orientações do órgão central de planejamento;
• monitorar o desempenho e avaliar a concepção, a implementação e os resultados das
políticas públicas e das ações prioritárias para assegurar que as diretrizes estratégicas
sejam observadas;
• promover a integração entre os diferentes níveis e esferas do setor público, com
vistas a gerar, preservar e entregar valor público;
• fazer incorporar padrões elevados de conduta pela alta administração para orientar
o comportamento dos agentes públicos, em consonância com as funções e as
competências dos órgãos e entidades;
• implementar controles internos fundamentados na gestão de risco, que privilegiará
ações estratégicas de prevenção e correção antes de processos sancionadores;
• avaliar as propostas de criação, expansão ou aperfeiçoamento de políticas públicas
e aferir, sempre que possível, seus custos e benefícios;
• avaliar a conformidade da execução das políticas públicas com as diretrizes de
planejamento estratégico;
• manter processo decisório orientado pelas evidências, pela conformidade legal, pela
qualidade regulatória, pela desburocratização e pelo apoio à participação da sociedade;
• editar e revisar atos normativos, pautando-se pelas boas práticas regulatórias e pela
legitimidade, estabilidade e coerência do ordenamento jurídico e realizando consultas
públicas sempre que conveniente;
• promover a participação social por meio de comunicação aberta, voluntária e
transparente das atividades e dos resultados do órgão ou entidade, de maneira a
fortalecer o acesso público à informação; e
• promover a tomada de decisão levando em consideração a avaliação dos ambientes
interno e externo do órgão ou entidade e dos diferentes interesses da sociedade.
Marcelo Aragão
Já o art. 5º do decreto trata dos mecanismos para o exercício da governança pública,

quais sejam:
• Liderança: compreende conjunto de práticas de natureza humana ou comportamental
para o exercício da boa governança (integridade; competência; responsabilidade; e
motivação);
• Estratégia: compreende a definição de diretrizes, objetivos, planos e ações, além de
critérios de priorização e alinhamento entre organizações e partes interessadas, para
que os serviços e produtos de responsabilidade da organização alcancem o resultado
pretendido; e
• Controle: processos estruturados para mitigar os possíveis riscos com vistas ao alcance
dos objetivos institucionais e para garantir a execução ordenada, ética, econômica,
eficiente e eficaz das atividades da organização, com preservação da legalidade e da
economicidade no dispêndio de recursos públicos.
OUTROS ASPECTOS RELEVANTES DO DECRETO DE GOVERNANÇA PÚBLICA

O art. 6º do decreto define que compete à alta administração implementar e manter
mecanismos, instâncias e práticas de governança compreendendo, no mínimo: (i) formas
de acompanhamento de resultados, inclusive por meio do Índice Integrado de Governança
e Gestão Públicas - IGG; (ii) soluções para melhoria do desempenho do órgão ou entidade;
(iii) mecanismos institucionais para mapeamento de processos; (iv) instrumentos de
promoção do processo decisório com base em evidências; e (v) elaboração e implementação
de planejamento estratégico do órgão ou entidade.
O art. 7º estabelece que compete aos órgãos e às entidades integrantes da administração
direta, autárquica e fundacional do Poder Executivo do Distrito Federal:
• executar a Política de Governança Pública e Compliance, de maneira a incorporar os
princípios e as diretrizes definidos neste Decreto, e as recomendações oriundas de
manuais, guias e resoluções do Conselho de Governança Pública - CGov; e
• encaminhar ao CGov propostas relacionadas às competências previstas no artigo 10
do Decreto, com a justificativa da proposição e a minuta da resolução pertinente,
se for o caso.
O art. 8º institui o Conselho de Governança Pública - CGov com a finalidade de assessorar

o Governador na condução da Política de Governança Pública e Compliance da Administração
Direta, Autárquica e Fundacional do Poder Executivo do Distrito Federal. O CGov é composto
pelos seguintes membros titulares permanentes: I - Secretário de Estado-Chefe da Casa
Civil do Distrito Federal, na qualidade de Coordenador do CGov; II - Secretário de Estado de
Fazenda, Planejamento, Orçamento e Gestão do Distrito Federal; III - Secretário de Estado
Marcelo Aragão
Controlador-Geral do Distrito Federal; IV - Secretário de Estado de Saúde do Distrito Federal;

V - Secretário de Estado de Educação do Distrito Federal; e VI - Secretário de Estado de
Segurança Pública do Distrito Federal.
Dentre as principais competências do conselho encontra-se propor medidas, mecanismos
e práticas organizacionais para o atendimento aos princípios e às diretrizes de governança
pública, bem como incentivar e monitorar a aplicação das melhores práticas de governança
no DF. Suas resoluções contribuem para formulação de ações com intuito de trazer melhorias
na gestão pública, prover maior transparência, governo aberto e acesso à informação pública
e ainda incentivar a integridade de seus membros e maior enfrentamento da corrupção de
modo a trazer melhores resultados e acompanhamento da aplicação dos recursos públicos.
Entretanto sua principal atribuição é sugerir medidas e procedimentos destinados a
valorizar a articulação intragovernamental na execução, monitoramento e avaliação de
ações conjuntas, e políticas públicas.
Conforme descrito no portal da Controladoria-Geral do DF, o sistema de Governança
funciona sobre os pilares da tríade: Conselho de Governança Pública, que atua no
assessoramento do governador como um centro de Governo na condução das políticas e
serviços públicos, com a Alta Administração que é responsável pela implementação da
política de governança nos seus respectivos órgãos, junto com seus Comitês Internos de
Governança que promove e monitora essa política.
Marcelo Aragão
SISTEMA DE GESTÃO DE RISCOS

Segundo o art. 17 do decreto, cabe à alta administração instituir, manter, monitorar
e aprimorar sistema de gestão de riscos e controles internos com vistas à identificação,
à avaliação, ao tratamento, ao monitoramento e à análise crítica de riscos que possam
impactar a implementação da estratégia e a consecução dos objetivos do órgão ou entidade
no cumprimento da sua missão institucional, observados os seguintes princípios:
• implementação e aplicação de forma sistemática, estruturada, oportuna e
documentada, subordinada ao interesse público;
• integração da gestão de riscos ao processo de planejamento estratégico e aos seus
desdobramentos, às atividades, aos processos de trabalho e aos projetos em todos
os níveis do órgão ou entidade, relevantes para a execução da estratégia e o alcance
dos objetivos institucionais;
• estabelecimento de controles internos proporcionais aos riscos, de maneira a considerar
suas causas, fontes, consequências e impactos, observada a relação custo-benefício; e
• utilização dos resultados da gestão de riscos para apoio à melhoria contínua do
desempenho e dos processos de gerenciamento de risco, controle e governança.
TRANSPARÊNCIA PÚBLICA
O art. 18 do mesmo diploma autoriza os órgãos e entidades da administração direta e
indireta do Poder Executivo do Distrito Federal a conceder acesso a suas bases de dados
e informações para a Secretaria Executiva de Governança e Compliance da Casa Civil do
Distrito Federal, observadas as restrições legais de acesso à informação.
COMPLIANCE PÚBLICO
Nos termos do art. 19, os órgãos e entidades da administração direta, autárquica e
fundacional do Poder Executivo do Distrito Federal devem atuar alinhados aos padrões de
compliance e probidade na gestão pública, estruturando controles internos baseados na
gestão de riscos e garantindo a prestação de serviços públicos de qualidade.
O art. 21 estabelece que os órgãos e as entidades da administração direta, autárquica e
fundacional do Poder Executivo do Distrito Federal devem instituir programa de integridade
com o objetivo de adotar medidas destinadas à prevenção, à detecção e à punição de
fraudes e atos de corrupção, estruturado nos seguintes eixos:
I – comprometimento e apoio permanente da alta administração;

II – definição de unidade responsável pela implementação e acompanhamento do programa no
órgão ou entidade, sem prejuízo das demais atividades nela exercidas;
III – identificação, análise, avaliação e tratamento de riscos de integridade sob orientação técnica
da Controladoria-Geral do Distrito Federal;
Marcelo Aragão
IV – promoção de treinamentos e eventos que disseminem, incentivem e reconheçam boas

práticas na gestão pública; e
V – monitoramento contínuo do programa de integridade por meio de indicadores.
A instituição de programas de integridade deve ser realizada sob coordenação da Casa

Civil e da Controladoria-Geral do Distrito Federal.
MODELO COSO DE CONTROLE INTERNO – ESTRUTURA

INTEGRADA (COSO I)
COSO é a sigla de Committee of Sponsoring Organizations da National Comission on
Fraudlent Financial Reporting, também conhecida como Treadeway Comission. Traduzindo,
significa “Comitê das Entidades Patrocinadoras”.
Criado em 1985, constitui uma entidade do setor privado, sem fins lucrativos, voltada para
o aperfeiçoamento da qualidade de relatórios financeiros por meio de éticas profissionais,
implementação de controles internos e governança corporativa.
São cinco as organizações norte-americanas que patrocinam o citado comitê:
• American Institute of Certified Public Accountants – AICPA;
• American Accounting Association – AAA;
• The Institute of Internal Auditors – IIA;
• Institute of Management Accountants – IMA; e
• Financial Executives Institute – FEI.
Em 1992, o COSO publicou um estudo relevante sobre controle interno intitulado

“Controles Internos – Estrutura Integrada”, para ajudar empresas e outras organizações a
avaliar e aperfeiçoar seus sistemas de controle interno. Desde então, a referida estrutura
foi incorporada em políticas, normas e regulamentos adotados por milhares de organizações
para controlar melhor suas atividades visando ao cumprimento dos objetivos estabelecidos.
Esse estudo é muitas vezes chamado de Relatório COSO e muitos profissionais do ramo
de contabilidade e de auditoria o denominam de COSO I, em virtude do Comitê ter publicado
posteriormente outro estudo relevante sobre Gerenciamento de Risco. Em maio de 2013,
o COSO publicou uma nova versão do estudo acerca dos Controles Internos: Estrutura
Integrada de Controles Internos 2013.
Em 2004, o COSO publicou o estudo denominado Gerenciamento de Riscos - Estrutura
Integrada (ERM – Enterprise Risk Management), comumente denominado de COSO II,
atualizado em 2017.
Marcelo Aragão
DEFINIÇÃO DE CONTROLE INTERNO

Controle interno é um processo, conduzido pelo conselho de administração, diretoria
e por todo o pessoal da organização, projetado para fornecer segurança razoável quanto
à realização de objetivos nas seguintes categorias:
• operacional (eficácia e eficiência das operações);
• comunicação (confiabilidade das informações e relatórios);
• conformidade (cumprimento de leis e regulamentações aplicáveis).
Essa definição reflete certos conceitos fundamentais. Segundo o COSO, o controle
interno é:
• um processo constituído de tarefas e atividades contínuas
• O controle interno um meio para um fim, não um fim em si. O controle não é um fato
ou circunstância ou um fim em si mesmo, mas uma série de ações que permeiam
as atividades da entidade com determinado fim. Essas ações se dão em todas as
operações da entidade, de modo contínuo. São ações inerentes à maneira pela qual a
gerência administra a organização. O sistema de controle interno deve ser interligado
às atividades da entidade e torna-se mais efetivo quando é concebido dentro da
estrutura organizacional da entidade e é parte integrante da essência da organização.
O controle interno é, portanto, diferente da perspectiva daqueles que o veem como
uma atividade adicional da organização ou como uma obrigação necessária. O sistema de
controle interno deve ser interligado às atividades da entidade e torna-se mais efetivo
quando é concebido dentro da estrutura organizacional da entidade e é parte integrante
da essência da organização.
O controle interno deve ser estruturado internamente e não superposto às atividades.
O controle interno, ao ser estruturado internamente, torna-se parte integrante dos
processos gerenciais de planejamento, execução e monitoramento.
Ademais, sua concepção de forma intrínseca às atividades apresenta importantes
implicações para a contenção de custos, pois adicionar novos procedimentos de controle,
distintos dos procedimentos existentes, incrementa os custos. Uma organização pode
evitar procedimentos e custos desnecessários ao focalizar sua atenção na contribuição
que as atividades existentes podem dar para um controle interno eficaz e ao integrar os
diferentes controles às operações básicas.
• orientado para a consecução de objetivos em uma ou mais categorias

O controle interno é direcionado para o alcance de uma série de objetivos gerais,
distintos, mas ao mesmo tempo integrados. Esses objetivos gerais são implementados
através de numerosos objetivos específicos, funções, processos e atividades.
Marcelo Aragão
Portanto, controle existe para propiciar que as organizações alcancem determinados

objetivos, que podem ser organizados em três categorias: operacionais, informacionais
e de conformidade.
• efetuado por pessoas
São as pessoas que realizam o trabalho de controle interno. O controle é realizado pelos
indivíduos dentro de uma organização, pelo que eles fazem e dizem. Consequentemente, o
controle interno é efetuado pelas pessoas. As pessoas devem conhecer seus papéis, suas
responsabilidades e os limites de autoridade.
As pessoas de uma organização incluem a gerência e os demais funcionários. Embora
o primeiro objetivo da gerência seja a supervisão, ela também estabelece os objetivos da
entidade e tem a responsabilidade sobre o conjunto do sistema de controle interno. Uma
vez que o controle interno oferece os mecanismos necessários para auxiliar a compreender
o risco no contexto dos objetivos da entidade, a gerência deve implementar procedimentos
de controle e realizar seu monitoramento e avaliação.
A implementação do controle interno requer muita iniciativa da gerência e intensa
comunicação entre esta e os funcionários. Desse modo, o controle interno é uma ferramenta
utilizada pela gerência e diretamente relacionada aos objetivos da entidade. Como tal, o
gerenciamento é elemento importante do controle interno. De qualquer forma, todo o
corpo funcional desempenha um papel importante na execução do controle.
Do mesmo modo, o controle interno é afetado pela natureza humana. As diretrizes
para o controle interno reconhecem que as pessoas nem sempre compreendem, comunicam
e atuam de modo consistente. Cada indivíduo traz para seu local de trabalho uma história
pessoal e habilidades técnicas próprias, possuindo necessidades e prioridades distintas.
Essas realidades afetam e são afetadas pelo controle interno.
Portanto, controle interno não se trata apenas de políticas e manuais acerca de
procedimentos, sistemas e formulários, mas de pessoas e as ações que elas tomam em
todos os níveis de uma organização para efetuar o controle interno.
• capaz de fornecer uma garantia ou segurança razoável
Não importa quão bem planejado ou executado esteja, o controle interno não pode dar
segurança absoluta à gerência, em relação ao alcance dos objetivos gerais. Em vez disso, as
diretrizes reconhecem que apenas um nível razoável de segurança pode ser alcançado. A
segurança razoável reflete a noção sobre incerteza e os riscos futuros que não podem ser
previstos com segurança absoluta e reconhece que o custo do controle interno não deve
exceder os benefícios que dele derivam.
Marcelo Aragão
A segurança razoável equivale a um nível satisfatório de confiança sob certas condições

de custos, benefícios e riscos. Definir qual o grau de segurança que pode ser considerado
razoável apenas é possível mediante avaliações. Ao exercitarem sua capacidade de avaliação,
os executivos devem identificar os riscos inerentes às operações e os níveis aceitáveis
de risco sob circunstâncias distintas, além de avaliar os riscos, tanto quantitativa como
qualitativamente.
A segurança razoável reflete a noção sobre a incerteza e os riscos futuros que não
podem ser previstos com segurança absoluta. Além disso, existem fatores que estão fora
do controle ou da influência da organização e que podem afetar sua capacidade de alcançar
os objetivos. As limitações são também decorrentes das seguintes realidades: o julgamento
humano é passível de erro; as crises podem ser consequência de simples erros ou equívocos;
controles podem ser suprimidos pela conivência de duas ou mais pessoas, ou a gerência
pode anular o sistema de controle interno.
Adicionalmente, os compromissos no sistema de controle interno refletem o fato de
que os controles têm um custo. Essas limitações impedem que a gerência tenha segurança
absoluta sobre o alcance dos objetivos.
A segurança razoável reconhece que o custo do controle interno não deve exceder os
benefícios que dele derivam. As decisões acerca da resposta ao risco e da implantação
de controles devem considerar os respectivos custos e benefícios. O custo se refere à
quantidade de recursos financeiros consumidos para lograr um propósito específico e
ao impacto econômico de uma oportunidade perdida, tais como o atraso nas operações,
uma diminuição nos níveis de serviço ou na produtividade ou clima organizacional adverso.
Um benefício é medido pelo grau em que o risco de não se alcançar um determinado
objetivo é reduzido. Os exemplos incluem um incremento na probabilidade de detecção de
fraude, desperdício, abuso ou erro, prevenindo uma atividade imprópria, ou fortalecendo
o cumprimento dos regulamentos.
A estruturação dos controles internos que tenham benefícios superiores aos custos, em
virtude de reduzir o risco até um nível aceitável, requer que os gerentes entendam claramente
o conjunto dos objetivos a serem alcançados. Caso contrário, os gerentes governamentais
podem conceber sistemas com controles excessivos em uma área operacional e que podem
afetar negativamente outras áreas.
EXEMPLO
Os empregados podem tentar burlar certos procedimentos incômodos, as operações
ineficientes podem causar atrasos, o excesso de procedimentos pode reprimir a criatividade
dos funcionários ou a capacidade de solucionar problemas e prejudicar a qualidade dos serviços
prestados aos beneficiários. Dessa forma, os benefícios derivados dos controles excessivos
em uma área podem ser anulados pelo incremento de custos em outras atividades.
Marcelo Aragão
Entretanto, também se devem fazer considerações qualitativas.
EXEMPLO
Pode ser importante ter os controles adequados sobre as transações com alto risco/baixo
valor monetário, tais como os salários, viagens e gastos de representação. Os custos de
adequados controles podem parecer excessivos em relação ao volume de recursos que se
administra no conjunto dos gastos governamentais, mas podem ser críticos para a manutenção
da confiança dos acionistas e investidores (organizações privadas) e cidadãos nos governos
e na sua administração (organizações públicas).
012. (CESPE/CEBRASPE/TELEBRAS/AUDITOR/2013) A implementação do controle interno

em uma entidade garante que os objetivos da organização sejam alcançados.
Em razão de suas limitações inerentes e da necessidade de consideração dos custos e

benefícios relativos de sua implantação, pode-se esperar que o controle interno forneça
apenas segurança razoável, não segurança absoluta, à administração e ao conselho de
administração de uma entidade quanto ao alcance dos objetivos.
Errado.
• adaptável à estrutura da entidade
O controle interno é uma aplicação flexível para toda a entidade ou uma subsidiária,
divisão, unidade operacional ou um processo de negócio. Portanto, O controle interno não
é responsabilidade apenas de um setor ou departamento especializado da entidade, mas
de todas as áreas e unidades dessa organização.
Essa definição é intencionalmente abrangente. Ela captura conceitos importantes que são
fundamentais para a forma como as organizações desenvolvem, implementam e conduzem
o controle interno, proporcionando uma base para aplicação a todas as organizações que
operam em diferentes estruturas de entidades, indústrias e regiões geográficas.
O fator humano é fundamental na definição de controle interno. Assim, controle interno
não é apenas um manual ou um formulário, mas abrange todo o conjunto de pessoas que
interagem com a organização, independentemente do nível em que atuam.
Cuidado em prova com afirmação de que somente a alta administração, a gerência e/
ou a auditoria possuem responsabilidade perante o controle interno.
Marcelo Aragão
As pessoas que conduzem os controles internos incluem o conselho de administração,

a administração, a gerência e todos os empregados e membros do quadro de pessoal em
geral. Portanto, todas as pessoas que pertencem à organização têm responsabilidades
quanto aos controles internos e todos desempenham um papel importante na execução
do controle. As pessoas devem conhecer seus papéis, suas responsabilidades e os limites
de autoridade.
Segundo o estudo do COSO, o controle interno não é um processo em série, mas sim um
processo dinâmico e integrado. A estrutura de controle interno proposta pelo Comitê aplica-
se a todas as entidades de grande, médio e pequeno portes, com e sem fins lucrativos, além
de órgãos governamentais. Cada organização, entretanto, pode escolher implementar o
controle interno de forma diferente. Por exemplo, o sistema de controle interno de uma
entidade de pequeno porte pode ser menos formal e estruturado, mas ainda ser eficaz.
As questões abaixo tratam da definição de controle interno.
013. (CESPE/CEBRASPE/TELEBRAS/AUDITOR/2013) O termo controle interno significa,

basicamente, a automação das rotinas operacionais da entidade. Por meio dessa automação
é obtida a redução de custos, a redução da probabilidade de erros e o aprimoramento das
atividades desenvolvidas.
O termo controle interno não significa, basicamente, a automação das rotinas operacionais
da entidade. Controle interno é um processo conduzido pelo conselho de administração,
pela administração e pelo corpo de empregados de uma organização, com a finalidade de
possibilitar uma garantia razoável quanto à realização dos objetivos nas seguintes categorias:
a) Eficácia e eficiência das operações; b) Confiabilidade das informações e relatórios; e c)
Conformidade com leis e regulamentos cabíveis.
Errado.
014. (CESPE/CEBRASPE/TELEBRAS/AUDITOR/2013) O controle interno é um processo que

envolve toda a organização, principalmente a alta administração.
Marcelo Aragão
Controle interno é um processo operado por pessoas em todos os níveis da organização,

inclusive o conselho de administração, a administração e os membros do quadro de pessoal
em geral. Assim, todas as pessoas em uma organização têm alguma responsabilidade pelos
controles internos e, na realidade, fazem parte deles, sendo que é responsabilidade da
administração estabelecer controles internos eficazes.
Certo.
OBJETIVOS
Como vimos, as organizações devem implantar controles internos para garantir que os
seus objetivos sejam alcançados.
Segundo o Coso, são três as categorias de objetivos:
• Operacional: Esses objetivos são relacionados com a eficiência e eficácia dos processos
operacionais, incluindo o desempenho quanto ao alcance das metas financeiras e/ou
operacionais, bem como com a salvaguarda dos ativos contra a ameaça de perdas.
• Comunicação ou Divulgação: Esses objetivos relacionam-se a divulgações financeiras e
não financeiras, internas e externas, podendo abranger os requisitos de confiabilidade,
oportunidade, transparência ou outros termos estabelecidos pelas autoridades
normativas, órgãos normatizadores reconhecidos, ou às políticas da entidade.
• Conformidade: Esses objetivos dizem respeito à aderência a normas, leis e regulamentos
em que a organização tem obrigação.
015. (CESPE/CEBRASPE/TELEBRAS/AUDITOR/2013) Promover a confiabilidade nos relatórios

financeiros é um dos objetivos do controle interno.
Uma das categorias de objetivos associada a controles internos é a confiabilidade de

informações financeiras. Assim, de particular importância são controles que visam a fornecer
segurança razoável de que as demonstrações contábeis preparadas pela administração
para usuários externos encontram-se adequadamente apresentadas de acordo com os
princípios contábeis geralmente aceitos.
Certo.
Marcelo Aragão
Comparando a estrutura de 1992 com a de 2013, quando o primeiro estudo foi atualizado,
a grande mudança é que a estrutura original tinha como meta apenas a comunicação
financeira. Assim, de particular importância eram os controles que visam a fornecer
segurança razoável de que as demonstrações contábeis preparadas pela administração para
usuários externos encontram-se adequadamente apresentadas de acordo com princípios
contábeis geralmente aceitos. Na nova estrutura (2013), o objetivo se torna mais abrangente,
considerando as informações tanto financeiras quanto não financeiras.
LIMITAÇÕES DOS CONTROLES INTERNOS DE UMA

ENTIDADE
Vimos que controles internos podem fornecer segurança razoável para a administração
e para o conselho de administração quanto à consecução dos objetivos de uma entidade
e não segurança absoluta!
Isto se deve às seguintes limitações inerentes:
• erros de julgamento - pela administração ou por outras pessoas, ao tomar decisões,
em razão de informações inadequadas, restrições de tempo e outros motivos;
• falhas – cometidas por pessoas que não entendem instruções corretamente ou
cometem erros por falta de cuidado, distração ou cansaço;
• conluio – indivíduos que agem conjuntamente, podem praticar fraude e de forma
que ela não seja detectada pelos controles internos;
• atropelamento pela administração – que burla ou passa por cima de procedimentos
ou de políticas, com objetivos ilegítimos;
• eventos externos – acontecimentos externos, fora do controle da organização,
podem limitar os controles;
• custos versus benefícios – o custo dos controles internos de uma entidade não deve
superior aos benefícios que deles se esperam. Assume-se certos riscos, quando se
reduz os procedimentos de controle em função dos benefícios esperados.
Portanto, a despeito de oferecer importantes benefícios, o controle interno está sujeito
a limitações. Além de outros fatores, as limitações originam-se do fato de que o julgamento
humano, no processo decisório, pode ser falho e o estabelecimento dos controles necessita
levar em conta os custos e benefícios relativos.
Pode, ainda, ocorrer falhas causadas por erro ou engano humano, os controles podem
ser anulados por conluio entre duas ou mais pessoas, e a administração tem o poder de
recusar-se a aceitar as decisões de implantar e observar controles internos. Essas limitações
impedem que o conselho de administração e a diretoria executiva tenham absoluta garantia
da realização dos objetivos da organização.
Marcelo Aragão
016. (CESPE/CEBRASPE/TELEBRAS/AUDITOR/2015) Caso uma organização venha a ser

vítima de condutas que objetivem fraudar ou fragilizar seus controles, o aprimoramento
dos controles internos dessa empresa constituirá uma medida efetiva para evitar que tais
condutas se verifiquem novamente.
Questão interessante! O erro está na expressão “constituirá uma medida efetiva para evitar
que tais condutas se verifiquem novamente”. Como uma das limitações inerentes dos
controles é o conluio, a probabilidade de fraude sempre vai existir, mesmo que a organização
aprimore os seus controles internos.
Errado.
COMPONENTES DE CONTROLE INTERNO

Para o COSO, o processo de controles internos deve ser constituído de cinco componentes,
que se inter-relacionam:
• AMBIENTE DE CONTROLE;
• AVALIAÇÃO DE RISCOS;
• ATIVIDADES OU PROCEDIMENTOS DE CONTROLE;
• INFORMAÇÃO E COMUNICAÇÃO;
• MONITORAÇÃO OU MONITORAMENTO.
Trata-se de uma estrutura ideal de controles internos, ou seja, o sistema de controle

interno da organização será eficaz se todos os componentes estiverem presentes e
funcionando adequadamente.
AMBIENTE DE CONTROLE
O ambiente dá o tom de uma organização, influenciando a consciência de controle das
pessoas que nela trabalham. Representa o alicerce dos demais componentes, disciplinando-
os e estruturando-os.
O ambiente de controle é a base de todo o sistema de controle interno. Ele fornece o
conjunto de regras e a estrutura, além de criar um clima que influi na qualidade do controle
interno em seu conjunto.
Os elementos do ambiente de controle são:
Marcelo Aragão
• a integridade pessoal e profissional e os valores éticos da direção e do quadro de

pessoal, incluindo uma atitude de apoio ao controle interno, durante todo o tempo
e por toda a organização;
• o comprometimento com a competência - A competência dos empregados da
organização reflete o conhecimento e as habilidades necessárias para a execução
das tarefas designadas. A administração alinha competência ao custo;
• o perfil dos superiores (ou seja, a filosofia da direção e o estilo gerencial);
• a estrutura organizacional da entidade que fornece o arcabouço para planejamento,
execução, controle e monitoração das atividades de uma entidade. Sua estrutura
contribui para que atinja seus objetivos. A estrutura organizacional define as áreas
fundamentais de responsabilidade. Estabelece as linhas de comunicação e a definição
de autoridade e responsabilidade;
• a atribuição de autoridade e responsabilidade que representa uma extensão do
desenvolvimento de uma estrutura organizacional e envolve aspectos específicos de
como e a quem autoridade e responsabilidade por todas as atividades da entidade
serão atribuídas;
• as políticas e práticas de recursos humanos, cujas normas tratam de admissão,
orientação, treinamento, avaliação, aconselhamento, promoção, compensação e
medidas corretivas, conduzindo os níveis previstos de integridade, de comportamento
ético e de competência. As medidas disciplinares transmitem a mensagem de que
as infrações ao comportamento esperado não serão toleradas.
017. (FGV/TJ-PI/ANALISTA/2016) De acordo com as Normas internacionais para a prática

profissional de auditoria interna, emitidas pelo Institute of Internal Auditors, a avaliação
do ambiente de controle é componente essencial para se atingir os principais objetivos do
sistema de controle interno. São elementos constituintes do ambiente de controle, EXCETO:
a) atividades de controle sobre a tecnologia;
b) atribuição de autoridade e responsabilidade;
c) estilo operacional da administração;
d) integridade e valores éticos;
e) políticas e práticas de recursos humanos.
O ambiente de controle abrange a integridade e os valores éticos da organização; os

parâmetros que permitem à estrutura de governança cumprir com suas responsabilidades
Marcelo Aragão
de supervisionar a governança; a estrutura organizacional e a delegação de autoridade

e responsabilidade; o processo de atrair, desenvolver e reter talentos competentes; e o
rigor em torno de medidas, incentivos e recompensas por performance. As atividades de
controle sobre a tecnologia fazem parte do componente atividades de controle e não do
ambiente de controle.
Letra a.
AVALIAÇÃO DE RISCO
Toda entidade enfrenta vários riscos de origem tanto interna quanto externa.
Define-se risco como a possibilidade de que um evento ocorra e afete adversamente
a realização dos objetivos.
A avaliação de riscos envolve um processo dinâmico e iterativo para identificar e avaliar
os riscos à realização dos objetivos. Esses riscos de não atingir os objetivos em toda a
entidade são considerados em relação às tolerâncias aos riscos estabelecidos. Dessa forma,
a avaliação de riscos estabelece a base para determinar a maneira como os riscos serão
gerenciados.
A avaliação de risco é o processo de identificação e análise dos riscos relevantes para o
alcance dos objetivos da entidade e para determinar uma resposta apropriada. Portanto,
a organização deve definir e especificar os objetivos com clareza suficiente para permitir
a identificação e a avaliação dos riscos associados aos objetivos.
Toda entidade enfrenta vários riscos de origem tanto interna quanto externa. Define-se
risco como a possibilidade de que um evento ocorra e afete adversamente a realização dos
objetivos. A avaliação de riscos envolve um processo dinâmico e iterativo para identificar
e avaliar os riscos à realização dos objetivos.
Esses riscos de não atingir os objetivos em toda a entidade são considerados em relação
às tolerâncias aos riscos estabelecidos. Dessa forma, a avaliação de riscos estabelece a
base para determinar a maneira como os riscos serão gerenciados.
Uma condição prévia à avaliação de riscos é o estabelecimento de objetivos, ligados aos
diferentes níveis da entidade. A administração especifica os objetivos dentro das categorias:
operacional, divulgação e conformidade, com clareza suficiente para identificar e analisar
os riscos à realização desses objetivos.
A administração também considera a adequação dos objetivos à entidade. A avaliação
de riscos requer ainda que a administração considere o impacto de possíveis mudanças no
ambiente externo e dentro de seu próprio modelo de negócio que podem tornar o controle
interno ineficaz.
Marcelo Aragão
018. (CESPE/CEBRASPE/TELEBRAS/AUDITOR/2015) Caso uma organização tenha o alcance de

seus objetivos prejudicado pela ocorrência de alterações inesperadas no ambiente externo,
como aumento da inflação e do desemprego, então ela precisará implementar melhorias
no componente avaliação de riscos.
A avaliação de riscos requer ainda que a administração considere o impacto de possíveis

mudanças no ambiente externo e dentro de seu próprio modelo de negócio que podem
tornar o controle interno ineficaz.
Certo.
ATIVIDADES DE CONTROLE
Atividades de controle são ações estabelecidas por meio de políticas e procedimentos
que ajudam a garantir o cumprimento das diretrizes determinadas pela administração para
mitigar os riscos à realização dos objetivos.
019. (CESPE/CEBRASPE/TELEBRAS/AUDITOR/2013) As atividades de controle são políticas

e procedimentos que têm o propósito de assegurar que as diretrizes necessárias para
responder aos riscos sejam implementadas.
As atividades de controle são as políticas e os procedimentos que contribuem para assegurar

que as diretrizes da administração sejam realmente seguidas. Ajudam a assegurar a adoção
de medidas dirigidas contra os riscos de que os objetivos da entidade não sejam atingidos.
Funcionam, assim, como respostas aos riscos.
Certo.
A despeito do fato de que algumas atividades de controle se relacionam exclusivamente

com uma categoria, sempre haverá alguma sobreposição. Dependendo das circunstâncias,
uma determinada atividade de controle pode ajudar a atender aos objetivos da organização
em mais de uma categoria.
Marcelo Aragão
EXEMPLO
Esses controles também podem assegurar relatórios confiáveis, que, por sua vez, podem
servir para assegurar o seu cumprimento e assim por diante.
Ao selecionar os riscos e as respostas aos riscos, a administração identifica as atividades

de controle necessárias para assegurar que estas sejam executadas de forma adequada e
oportuna e os riscos sejam mitigados.
As atividades de controle são desempenhadas em todos os níveis da entidade, em
vários estágios dentro dos processos corporativos e no ambiente tecnológico. Podem
ter natureza preventiva ou de detecção e abranger uma série de atividades manuais e
automáticas, como autorizações e aprovações, verificações, reconciliações e revisões
de desempenho do negócio.
A segregação de funções é geralmente inserida na seleção e no desenvolvimento das
atividades de controle. Nos casos em que a segregação de funções seja impraticável, a
administração deverá selecionar e desenvolver atividades alternativas de controle.
A questão abaixo trata dos elementos e características do componente de atividades
de controle.
020. (CESPE/CEBRASPE/CGE-CE/AUDITOR/2019) Assinale a opção correta, acerca de

atividades de controle.
a) As políticas da entidade têm influência indireta sobre as atividades de controle.
b) As atividades de controle se restringem ao sistema de controle interno.
c) É vedada a segregação de funções das atividades de controle.
d) As atividades de controle se destinam ao nível de governança.
e) A detecção de fraudes e risco resume as atividades de controle.
a) Errada. As políticas da entidade têm influência indireta sobre as atividades de controle.

b) Errada. As atividades de controle são desempenhadas em todos os níveis da entidade,
em vários estágios dentro dos processos corporativos e no ambiente tecnológico.
c) Errada. A segregação de funções é geralmente inserida na seleção e no desenvolvimento
das atividades de controle. Nos casos em que a segregação de funções seja impraticável, a
administração deverá selecionar e desenvolver atividades alternativas de controle.
d) Certa. Atividades de controle são ações estabelecidas por meio de políticas e procedimentos
que ajudam a garantir o cumprimento das diretrizes determinadas pela administração para
mitigar os riscos à realização dos objetivos.
Marcelo Aragão
e) Errada. As atividades de controle podem ter natureza preventiva ou de detecção e

abranger uma série de atividades manuais e automáticas, como autorizações e aprovações,
verificações, reconciliações e revisões de desempenho do negócio.
Letra d.
INFORMAÇÃO E COMUNICAÇÃO
A informação e a comunicação são essenciais para a concretização de todos os objetivos
do controle interno. A identificação, a captura e a troca de informações sob forma e em
época tais, que permitam que as pessoas cumpram suas responsabilidades.
A informação é necessária para que a entidade cumpra responsabilidades de controle
interno a fim de apoiar a realização de seus objetivos. A administração obtém ou gera e
utiliza informações importantes e de qualidade, originadas tanto de fontes internas quanto
externas, a fim de apoiar o funcionamento de outros componentes do controle interno.
A comunicação é o processo contínuo e iterativo de proporcionar, compartilhar e obter
as informações necessárias.
A comunicação interna é o meio pelo qual as informações são transmitidas para a
organização, fluindo em todas as direções da entidade. Ela permite que os funcionários
recebam uma mensagem clara da alta administração de que as responsabilidades pelo
controle devem ser levadas a sério.
A comunicação externa apresenta duas vertentes: permite o recebimento, pela
organização, de informações externas significativas, e proporciona informações a partes
externas em resposta a requisitos e expectativas.
A questão abaixo tratou desse componente.
021. (CESPE/CEBRASPE/TELEBRAS/AUDITOR/2013) Um dos requisitos do componente

informação e comunicação é assegurar que os sistemas informatizados sejam periodicamente
revisados, atualizados e validados, para garantir a produção de informações adequadas e
confiáveis.
A avaliação do componente “informação e comunicação” tem como propósito verificar

se as informações pertinentes são identificadas, coletadas e comunicadas de forma
coerente e no prazo, a fim de permitir que as pessoas cumpram as suas responsabilidades.
Entre as perguntas que devem ser elaboradas para se avaliar o componente “informação
Marcelo Aragão
e comunicação” inclui-se: Os sistemas informatizados são periodicamente revisados,

atualizados e validados, no sentido de garantir a produção de informações adequadas e
confiáveis?
Certo.
MONITORAMENTO
Monitoramento ou monitoração é um processo que avalia a qualidade do desempenho
dos controles internos ao longo do tempo. Envolve avaliação do desenho e da tempestividade
de operação dos controles e a tomada de ações corretivas.
A estrutura integrada de controle interno de uma organização modifica-se com o passar
do tempo e as atividades de controle podem perder a eficácia ou deixar de ser executadas;
ou os objetivos podem mudar. Essas modificações podem ser causadas pela chegada de
novos profissionais, pelas mudanças na estrutura ou no direcionamento da organização
ou, ainda, pela introdução de novos processos.
Diante dessas mudanças, a administração necessita determinar se o funcionamento
do controle interno permanece eficaz. O monitoramento pode ser conduzido de duas
maneiras: mediante atividades contínuas ou de avaliações independentes, ou ainda pela
combinação de ambas as avaliações.
As avaliações contínuas, inseridas nos processos corporativos nos diferentes níveis da
entidade, proporcionam informações oportunas. As avaliações independentes, conduzidas
periodicamente, terão escopos e frequências diferentes, dependendo da avaliação de riscos,
da eficácia das avaliações contínuas e de outras considerações da administração.
Os resultados são avaliados em relação a critérios estabelecidos pelas autoridades
normativas, órgãos normatizadores reconhecidos ou pela administração e a estrutura
de governança, sendo que as deficiências são comunicadas à estrutura de governança e
administração, conforme aplicável.
Acerca do componente de monitoramento, veja os itens seguintes.
022. (CESPE/CEBRASPE/TELEBRAS/AUDITOR/2013) Para assegurar que o sistema de controle

interno seja efetivo, as instituições devem implementar ações de monitoramento.
Um bom sistema de controle interno jamais chega ao nível de acabado, ele precisa passar por
constantes testes e aprimoramentos, à medida que novos cenários se tornam conhecidos
Marcelo Aragão
ou que fragilidades são identificadas. Logo, um componente importante do controle interno

é o monitoramento, que visa a avaliar a qualidade do desempenho dos controles internos
ao longo do tempo com vistas ao seu contínuo aperfeiçoamento.
Certo.
023. (CESPE/CEBRASPE/FUB/AUDITOR/2015) O componente monitoramento, por propiciar

disciplina e estrutura, minimizando os riscos e assegurando que os controles internos
funcionem como o previsto, está posicionado estrategicamente na base do cubo tridimensional
proposto pelo COSO ERM (COSO II), com o propósito de suportar todos os outros componentes
do sistema.
O componente que está na base do cubo do COSO e tem o propósito de suportar todos os
outros componentes do sistema é o ambiente de controle.
Errado.
PRINCÍPIOS RELACIONADOS AOS COMPONENTES

A Estrutura de Controle Interno do COSO estabelece 17 princípios, que representam
os conceitos fundamentais associados a cada componente. Como esses princípios são
originados diretamente dos componentes, uma entidade poderá ter um controle interno
eficaz ao aplicar todos os princípios.
Todos os princípios aplicam-se aos objetivos operacionais, divulgação e conformidade.
Os princípios que apoiam os componentes do controle interno estão relacionados na
tabela a seguir.
COMPONENTE PRINCÍPIOS
1. A organização demonstra ter comprometimento com a integridade e os valores
éticos.
2. A estrutura de governança demonstra independência em relação aos seus
executivos e supervisiona o desenvolvimento e o desempenho do controle interno.
3. A administração estabelece, com a supervisão da estrutura de governança,
AMBIENTE DE
as estruturas, os níveis de subordinação e as autoridades e responsabilidades
CONTROLE
adequadas na busca dos objetivos.
4. A organização demonstra comprometimento para atrair, desenvolver e reter
talentos competentes, em linha com seus objetivos.
5. A organização faz com que as pessoas assumam responsabilidade por suas
funções de controle interno na busca pelos objetivos.
Marcelo Aragão
COMPONENTE PRINCÍPIOS
6. A organização especifica os objetivos com clareza suficiente, a fim de permitir
a identificação e a avaliação dos riscos associados aos objetivos.
7. A organização identifica os riscos à realização de seus objetivos por toda a
entidade e analisa os riscos como uma base para determinar a forma como devem
AVALIAÇÃO DE RISCOS ser gerenciados.
8. A organização considera o potencial para fraude na avaliação dos riscos à
realização dos objetivos.
9. A organização identifica e avalia as mudanças que poderiam afetar, de forma
significativa, o sistema de controle interno.
10. A organização seleciona e desenvolve atividades de controle que contribuem
para a redução, a níveis aceitáveis, dos riscos à realização dos objetivos.
11. A organização seleciona e desenvolve atividades gerais de controle sobre a
ATIVIDADES DE
tecnologia para apoiar a realização dos objetivos.
CONTROLE
12. A organização estabelece atividades de controle por meio de políticas que
estabelecem o que é esperado e os procedimentos que colocam em prática essas
políticas.
13. A organização obtém ou gera e utiliza informações significativas e de qualidade
para apoiar o funcionamento do controle interno.
14. A organização transmite internamente as informações necessárias para apoiar
INFORMAÇÃO E
o funcionamento do controle interno, inclusive os objetivos e responsabilidades
COMUNICAÇÃO
pelo controle.
15. A organização comunica-se com os públicos externos sobre assuntos que
afetam o funcionamento do controle interno.
16. A organização seleciona, desenvolve e realiza avaliações contínuas e/ou
independentes para se certificar da presença e do funcionamento dos componentes
do controle interno.
MONITORAMENTO
17. A organização avalia e comunica deficiências no controle interno em tempo hábil
aos responsáveis por tomar ações corretivas, inclusive a estrutura de governança
e alta administração, conforme aplicável.
Veja a relação entre objetivos e componentes do Controle Interno.
Marcelo Aragão
RELACIONAMENTO ENTRE OBJETIVOS E COMPONENTES
Figura 8: Cubo do Coso
Existe uma relação direta entre os objetivos, que são o que a entidade busca alcançar, os
componentes, que representam o que é necessário para atingir os objetivos, e a estrutura
organizacional da entidade (as unidades operacionais e entidades legais, entre outras).
Essa relação pode ser ilustrada na forma de um CUBO, como na figura 8.
• As três categorias de objetivos – operacional, divulgação e conformidade – são
representadas pelas colunas.
• Os cinco componentes são representados pelas linhas.
• A estrutura organizacional da entidade é representada pela terceira dimensão.
A questão abaixo abordou esse relacionamento.
024. (CESPE/CEBRASPE/TELEBRAS/AUDITOR/2013) No modelo COSO de controle interno,

existe um relacionamento direto entre os objetivos organizacionais, os componentes do
controle e as unidades de negócio ou atividades, formando uma matriz tridimensional.
Existe um relacionamento direto entre os objetivos, que uma organização se empenha em

alcançar, e os componentes dos controles internos, que representam aquilo que é necessário
para o seu alcance. Esse relacionamento é apresentado em uma matriz tridimensional em
forma de cubo, comumente denominado de cubo do COSO.
Marcelo Aragão
A primeira dimensão está relacionada com os objetivos organizacionais, ou seja, aquilo

que deve ser atingido; a 2ª dimensão refere-se aos níveis organizacionais, cujos objetivos e
controles devem estar relacionados; a 3ª dimensão representa os componentes de controle
interno, ou, o que é necessário para atingir os objetivos. Trata-se de uma visão integrada
dos elementos que compõem uma estrutura ideal de controle interno.
Certo.
PAPÉIS E RESPONSABILIDADES
Como vimos anteriormente, o relatório do COSO conclui que todas as pessoas em uma
organização têm alguma responsabilidade pelos controles internos e que, na realidade,
fazem parte deles.
Registra, contudo, que várias partes externas, tais como auditores independentes e
reguladores, podem trazer informações úteis para os controles, mas não têm responsabilidade
por sua eficácia.
As responsabilidades e papéis desempenhados pelas partes interessadas são os
seguintes:
• Estrutura de governança - Deve deliberar sobre a situação do sistema de controle
interno da entidade com a alta administração e supervisioná-lo, conforme necessário.
A alta administração é responsável pelo controle interno, e a estrutura de governança
precisa estabelecer suas políticas e expectativas sobre como os membros devem
supervisionar o controle interno da entidade. A estrutura de governança deve ser
informada sobre os riscos à realização dos objetivos da entidade, as avaliações
das deficiências do controle interno, as medidas tomadas pela administração para
mitigar esses riscos e deficiências e sobre como a administração avalia a eficácia do
sistema de controle interno da entidade. A estrutura de governança deve questionar
a administração e fazer as perguntas difíceis, conforme necessário, além de buscar
informações e o suporte dos auditores internos e auditores externos, entre outros.
Muitas vezes, os subcomitês da estrutura de governança podem auxiliá-lo assumindo
algumas dessas atividades de supervisão.
• Alta Administração - Deve avaliar o sistema de controle interno da entidade em
relação à Estrutura, concentrando-se em como aplicar os 17 princípios em apoio aos
componentes do controle interno.
• Outros Profissionais (Demais funcionários) - O controle interno é parte implícita
ou explícita das funções de cada um. Todos os membros da equipe exercem um
papel na execução do controle e devem ser responsáveis por relatar problemas
operacionais, de descumprimento de código de conduta ou de violações da política.
Marcelo Aragão
Devem considerar como estão conduzindo suas responsabilidades à luz da Estrutura

e discutir, com profissionais mais seniores, ideias para fortalecer o controle interno.
Mais especificamente, devem pensar em como os controles atuais afetam os princípios
relacionados aos cinco componentes do controle interno.
• Auditores internos - Auditores internos devem periodicamente examinar e avaliar
a adequação dos controles internos da entidade e fazer recomendações para
aperfeiçoamentos, mas não têm responsabilidade principal pelo seu estabelecimento
e manutenção. Eles desempenham um papel importante em um sistema de controle
interno eficaz, mas não têm a responsabilidade gerencial primeira sobre o planejamento,
manutenção e documentação do controle interno.
• Auditores independentes - Em algumas jurisdições, o auditor independente é
contratado para revisar ou examinar a eficácia do controle interno do cliente sobre as
divulgações financeiras, além de auditar as demonstrações financeiras da entidade.
Os auditores podem avaliar o sistema de controle interno da entidade em relação à
Estrutura, concentrando-se em como a entidade selecionou, desenvolveu e aplicou
os controles que afetam os princípios dentro dos componentes do controle interno.
• Partes externas - Diversas partes externas, como clientes, revendedores, parceiros
comerciais, auditores externos, agentes normativos e analistas financeiros
frequentemente fornecem informações úteis para a condução e aperfeiçoamento
dos controles internos, porém não são responsáveis pela sua eficácia e nem fazem
parte do gerenciamento de riscos da organização.
• Educadores – Pressupondo que a Estrutura tem uma ampla aceitação, seus conceitos
e termos devem passar a fazer parte dos currículos universitários.
EFICÁCIA DOS CONTROLES INTERNOS

A Estrutura estabelece os requisitos para um sistema eficaz de controle interno, que
proporciona segurança razoável acerca da realização dos objetivos da entidade. Um sistema
de controle interno eficaz reduz, a um nível aceitável, o risco de não se atingir o objetivo
de uma entidade e pode estar relacionado a uma, duas ou todas as três categorias de
objetivos. O sistema requer:
• A presença e o funcionamento de cada um dos cinco componentes e princípios
relacionados. “Presença” refere-se à determinação da existência dos componentes e
princípios relacionados no desenho e na implementação do sistema de controle interno
para atingir objetivos especificados. “Funcionamento” refere-se à determinação de
que os componentes e princípios relacionados continuem a existir na operação e na
condução do sistema de controle interno para atingir objetivos especificados;
Marcelo Aragão
• Os cinco componentes operam em conjunto de forma integrada. “Operam em

conjunto” refere-se à determinação de que todos os cinco componentes, em conjunto,
reduzam a um nível aceitável o risco de não se atingir o objetivo. Os componentes
não devem ser considerados de forma separada; eles operam em conjunto como
um sistema integrado. Os componentes são interdependentes e contam com uma
profusão de inter-relacionamentos e ligações entre si, especialmente a maneira como
os princípios interagem dentro e entre todos os componentes.
Quando existe uma deficiência maior com respeito à presença e ao funcionamento de um
componente ou princípio relevante, ou com respeito à operação conjunta dos componentes
de uma forma integrada, a organização não pode concluir que já possui um sistema eficaz
de controle interno.
Ao determinar que um sistema de controle interno é eficaz, a alta administração e
a estrutura de governança têm segurança razoável, com relação à aplicação dentro da
estrutura da entidade, de que a organização:
• conta com operações eficazes e eficientes quando se considera improvável que
eventos externos tenham impacto significativo sobre a realização dos objetivos ou
quando a organização pode prever, com razoabilidade, a natureza e a oportunidade
dos eventos externos e reduzir seu impacto a um nível aceitável;
• entende a abrangência do gerenciamento eficaz e eficiente das operações quando
eventos externos podem ter um impacto significativo sobre a realização dos objetivos
ou quando a organização pode prever, com razoabilidade, a natureza e a oportunidade
dos eventos externos e reduzir seu impacto a um nível aceitável;
• elabora divulgações em conformidade com regras, regulamentações e normas aplicáveis
ou com os objetivos de divulgações específicas da entidade; e
• observa as leis, regras, regulamentações e normas externas aplicáveis.
A estrutura requer que haja julgamento no desenho, implementação e condução do
controle interno e na avaliação de sua eficácia. O uso de julgamento, dentro das limitações
estabelecidas pelas leis, regras, regulamentações e normas, aumenta a capacidade da
administração de tomar melhores decisões sobre o controle interno, embora não possa
assegurar que o resultado será perfeito.
MODELO COSO DE GERENCIAMENTO DE RISCOS –

ENTERPRISE RISK MANAGEMENT FRAMEWORK – ERM
(COSO II)
O COSO é o modelo de gestão de riscos predominante no cenário corporativo internacional,
especialmente na América do Norte. Foi desenvolvido pela PricewaterhouseCoopers LLP, sob
Marcelo Aragão
encomenda do COSO – Comitê das Organizações Patrocinadoras (Committe Of Sponsoring

Organizations of the Treadway Commission), com o propósito de fornecer uma estratégia
de fácil utilização pelas organizações para avaliar e melhorar o gerenciamento de riscos.
Esse modelo é denominado de Enterprise Risk Management Framework (ERM), cuja
tradução para português é Estrutura Integrada de Gerenciamento de Riscos. Nesta aula,
chamaremos simplemente de COSO ERM.
CONCEITOS BÁSICOS
O estudo do COSO acerca de gerenciamento de riscos mudou o conceito tradicional
de “controles internos” e chamou a atenção para o fato de que eles tinham de fornecer
proteção contra riscos.
O modelo, ao definir risco como a possibilidade que um evento ocorra e afete de
modo adverso o alcance dos objetivos da entidade, introduziu a noção de que controles
internos devem ser ferramentas de gestão e monitoração de riscos em relação ao alcance
de objetivos e não mais devem ser dirigidos apenas para riscos de origem financeira ou
vinculados a resultados escriturais. O papel do controle interno foi, assim, ampliado e
reconhecido como um instrumento de gerenciamento de riscos indispensável à governança
corporativa.
A premissa inerente ao gerenciamento de riscos corporativos é que toda organização
existe para gerar valor às partes interessadas.
Todas as organizações enfrentam incertezas, e o desafio de seus administradores é
determinar até que ponto aceitar essa incerteza, assim como definir como essa incerteza
pode interferir no esforço para gerar valor às partes interessadas.
Incertezas representam riscos e oportunidades, com potencial para destruir ou agregar
valor. O gerenciamento de riscos corporativos possibilita aos administradores tratar com
eficácia as incertezas, bem como os riscos e as oportunidades a elas associadas, a fim de
melhorar a capacidade de gerar valor.
O valor é maximizado quando a organização estabelece estratégias e objetivos para
alcançar o equilíbrio ideal entre as metas de crescimento e de retorno de investimentos
e os riscos a elas associados, e para explorar os seus recursos com eficácia e eficiência na
busca dos objetivos da organização.
O gerenciamento de riscos corporativos tem por finalidade:
• Alinhar o apetite a risco com a estratégia adotada – os administradores avaliam
o apetite a risco da organização ao analisar as estratégias, definindo os objetivos a
elas relacionados e desenvolvendo mecanismos para gerenciar esses riscos.
• Fortalecer as decisões em resposta aos riscos – o gerenciamento de riscos corporativos
possibilita o rigor na identificação e na seleção de alternativas de respostas aos riscos
– como evitar, reduzir, compartilhar e aceitar os riscos.
Marcelo Aragão
• Reduzir as surpresas e prejuízos operacionais – as organizações adquirem melhor

capacidade para identificar eventos em potencial e estabelecer respostas a estes,
reduzindo surpresas e custos ou prejuízos associados.
• Identificar e administrar riscos múltiplos e entre empreendimentos – toda
organização enfrenta uma gama de riscos que podem afetar diferentes áreas da
organização. A gestão de riscos corporativos possibilita uma resposta eficaz a impactos
inter-relacionados e, também, respostas integradas aos diversos riscos.
• Aproveitar oportunidades – pelo fato de considerar todos os eventos em potencial,
a organização posiciona-se para identificar e aproveitar as oportunidades de forma
proativa.
• Otimizar o capital – a obtenção de informações adequadas a respeito de riscos
possibilita à administração conduzir uma avaliação eficaz das necessidades de capital
como um todo e aprimorar a alocação desse capital.
Essas qualidades, inerentes ao gerenciamento de riscos corporativos ajudam os
administradores a atingirem as metas de desempenho e de lucratividade da organização,
e evitam a perda de recursos.
O gerenciamento de riscos corporativos contribui para assegurar comunicação eficaz e
o cumprimento de leis e regulamentos, bem como evitar danos à reputação da organização
e suas consequências.
Em suma, o gerenciamento de riscos corporativos ajuda a organização a atingir seus
objetivos e a evitar os perigos e surpresas em seu percurso.
RISCO É A PROBABILIDADE DE PERDA OU INCERTEZA ASSOCIADA AO

CUMPRIMENTO DE UM OBJETIVO
025. (CESPE/CEBRASPE/TELEBRAS/AUDITOR/2013) Risco é a probabilidade de perda ou

incerteza associada ao cumprimento de um objetivo.
Risco é a probabilidade de ocorrência de eventos que possam impedir ou dificultar o

alcance de um objetivo. As incertezas geram riscos com potencial para destruir valor. O
gerenciamento de riscos e o controle interno possibilitam aos administradores tratarem com
eficácia as incertezas, os riscos e as oportunidades a elas associados de forma a aprimorar
a capacidade de geração de valor.
Certo.
Marcelo Aragão
DEFINIÇÃO DE GERENCIAMENTO DE RISCOS CORPORATIVOS

Segundo o COSO, o gerenciamento de riscos corporativos trata de riscos e oportunidades
que afetam a criação ou a preservação de valor, sendo definido como um processo conduzido
em uma organização pelo conselho de administração, diretoria e demais empregados,
aplicado no estabelecimento de estratégias, formuladas para identificar em toda a
organização eventos em potencial, capazes de afetá-la, e administrar os riscos de modo
a mantê-los compatível com o apetite a risco da organização e possibilitar garantia
razoável do cumprimento dos seus objetivos.
Essa definição reflete certos conceitos fundamentais. O gerenciamento de riscos
corporativos é:
• um processo contínuo e que flui através da organização;
• conduzido pelos profissionais em todos os níveis da organização;
• aplicado à definição das estratégias;
• aplicado em toda a organização, em todos os níveis e unidades, e inclui a formação
de uma visão de portfólio de todos os riscos a que ela está exposta;
• formulado para identificar eventos em potencial, cuja ocorrência poderá afetar a
organização e para administrar os riscos de acordo com seu apetite a risco;
• capaz de propiciar garantia razoável para o conselho de administração e a diretoria
executiva de uma organização;
• orientado para a realização de objetivos em uma ou mais categorias distintas.
Essa definição é intencionalmente ampla e adota conceitos fundamentais sobre a forma

como as empresas e outras organizações administram riscos, possibilitando uma base para
sua aplicação em organizações, indústrias e setores. O gerenciamento de riscos corporativos
orienta seu enfoque diretamente para o cumprimento dos objetivos estabelecidos por uma
organização específica e fornece parâmetros para definir a eficácia desse gerenciamento
de riscos.
APETITE A RISCO
Da definição de gerenciamento de riscos, cabe ressaltar o apetite a risco, que é a
quantidade de riscos, no sentido mais amplo, que uma organização está disposta a aceitar
em sua busca para agregar valor. O apetite a risco reflete toda a filosofia administrativa de
uma organização e, por sua vez, influencia a cultura e o estilo operacional desta.
Muitas organizações consideram esse apetite de forma qualitativa, categorizando-o
como elevado, moderado ou baixo, enquanto outras organizações adotam uma abordagem
quantitativa que reflete e equilibra as metas de crescimento, retorno e risco.
Marcelo Aragão
Uma organização dotada de um maior apetite a risco poderá desejar alocar grande
parcela de seu capital para áreas de alto risco como mercados recém-emergentes. Por
outro lado, uma organização com um reduzido apetite a risco poderá limitar seu risco de
curto prazo investindo apenas em mercados maduros e mais estáveis.
O apetite a risco está diretamente relacionado à estratégia da organização e é levado
em conta na ocasião de definir as estratégias, visto que a estas expõem a organização a
diferentes riscos. O gerenciamento destes ajuda a administração a selecionar uma estratégia
capaz de alinhar a criação de valor com o apetite a risco.
Associadas aos objetivos da organização, a tolerância a riscos representa o nível aceitável
de variação em relação à meta para o cumprimento de um objetivo específico, e, via de regra,
é mensurada nas mesmas unidades utilizadas para avaliar o objetivo a que está vinculada.
Ao estabelecer a tolerância a riscos, a administração considera o grau de importância
do objetivo relacionado e alinha essas tolerâncias ao apetite a risco global. Tal operação
ajuda a assegurar que a organização permaneça dentro de seus limites de apetite a risco
e, por sua vez, consiga atingir os seus objetivos.
Apetite a risco é a Tolerância a risco

quantidade de riscos que uma representa o nível aceitável
organização está disposta a de variação em relação à
aceitar em sua busca para meta para o cumprimento de
agregar valor um objetivo
OBJETIVOS
A fixação de objetivos é uma precondição à identificação de evento, à avaliação de
riscos e às respostas aos riscos. Em primeiro lugar, é necessário que os objetivos existam
para que a administração possa identificar e avaliar os riscos quanto a sua realização, bem
como adotar as medidas necessárias para administrá-los.
No ERM, os objetivos podem ser agrupados em quatro categorias:
• Estratégicos - referem-se às metas no nível mais elevado. Alinham-se e fornecem
apoio à missão.
• Operacionais - têm como meta a utilização eficaz e eficiente dos recursos.
• De comunicação - relacionam-se com a confiabilidade dos relatórios. Incluem relatórios
internos e externos e podem, ainda, conter informações financeiras e não financeiras.
• De conformidade - relacionam-se com o cumprimento de leis e regulamentos. Em
alguns casos dependem de fatores externos e tendem a ser semelhantes em todas
as organizações
Marcelo Aragão
Apesar de essas categorias serem distintas, elas se inter-relacionam, uma vez que um
dado objetivo poderá estar presente em mais de uma categoria, elas tratam de necessidades
empresariais diferentes, cuja responsabilidade direta poderá ser atribuída a diversos
executivos.
Essa classificação também possibilita distinguir o que se espera do gerenciamento de
riscos corporativos.
Algumas organizações utilizam outra categoria de objetivos, “a salvaguarda de recursos
ou de ativos”. De modo geral, esses objetivos têm como meta evitar a perda de ativos ou
recursos da organização, seja por meio de furto, desperdício, ineficiência, ou simplesmente,
por meio de decisões empresariais equivocadas, como vender um produto a preço demasiado
baixo, deixar de conservar empregados de importância fundamental, evitar infrações a
patentes, ou incorrer em passivos imprevistos.
A questão a seguir cobrou esse assunto.
026. (CESPE/CEBRASPE/SEFAZ-RS/AUDITOR/2018) Entre as quatro categorias de objetivos

organizacionais estabelecidas pelo COSO inclui-se a categoria dos objetivos operacionais,
cujo propósito é
a) assegurar o cumprimento das leis e dos regulamentos.
b) utilizar de forma eficaz e eficiente os recursos.
c) viabilizar o atingimento de metas no nível mais elevado, alinhando-se e fornecendo apoio
à missão.
d) evitar perda de ativos ou recursos da organização.
e) atestar a confiabilidade dos relatórios.
Uma das categorias de objetivos é a de operações (objetivos operacionais) que têm como
meta a utilização eficaz e eficiente dos recursos. Vale notar que a alternativa “d” apresenta o
objetivo de “evitar perda de ativos ou recursos da organização”. O estudo do COSO estabelece
que algumas organizações utilizam outra categoria de objetivos, “a salvaguarda de recursos”,
que também é denominada “salvaguarda de ativos”, que têm como meta evitar a perda de
ativos ou recursos da organização.
Letra b.
Esses objetivos são essencialmente de natureza operacional, embora determinados

aspectos de salvaguarda possam ser classificados em outras categorias. Nos casos da
Marcelo Aragão
aplicação de exigências legais ou regulamentares, os referidos objetivos tornam-se itens

de compliance.
Quando considerados em conjunto com informações públicas, utiliza-se uma definição
mais rigorosa para a salvaguarda de ativos. Essa definição trata da prevenção ou constatação
oportuna, de aquisição, do uso ou da alienação não autorizada dos bens de uma organização,
que poderia produzir impacto relevante nas demonstrações financeiras.
Espera-se que o gerenciamento de riscos corporativos ofereça garantia razoável do
cumprimento dos objetivos relacionados à confiabilidade dos informes e ao cumprimento
de leis e regulamentos. O atendimento dessas categorias de objetivos está sob o controle
da organização e depende da qualidade da execução das atividades a elas relacionadas.
Entretanto, o alcance de objetivos estratégicos, como, por exemplo, a conquista de uma
determinada participação de mercado, e de objetivos operacionais, como o lançamento
bem-sucedido de uma nova linha de produtos, nem sempre está sob total controle da
organização. O gerenciamento de riscos corporativos não consegue neutralizar julgamentos
ou decisões equivocadas, nem eventos externos, responsáveis por levar um negócio a deixar
de alcançar suas metas operacionais. No entanto, esse gerenciamento é capaz de aumentar
a probabilidade da administração tomar decisões melhor fundamentadas.
Em relação a esses objetivos, o gerenciamento de riscos pode oferecer garantia razoável
para que a diretoria executiva e o conselho de administração, na função de supervisores,
sejam oportunamente notificados se a organização está na direção do cumprimento dos
objetivos.
OBJETIVOS SELECIONADOS
Como parte do gerenciamento de riscos, a administração não apenas seleciona objetivos
e considera o modo pelo qual estes darão suporte à missão da organização, mas também
se assegura de que esses objetivos estão em conformidade com o apetite a risco. Um
alinhamento falho poderá fazer que os riscos aceitos sejam demasiadamente baixos para
alcançar os objetivos, ou, por outro lado, que aceite riscos em demasia.
O gerenciamento de riscos corporativos eficaz NÃO dita os objetivos que a administração
deve escolher, mas certifica-se que a referida administração dispõe de um processo
que alinhe objetivos estratégicos com a sua missão e que esses objetivos e os correlatos
selecionados estejam de acordo com o apetite a risco.
COMPONENTES DO GERENCIAMENTO DE RISCOS

A estrutura integrada de gerenciamento de riscos corporativos é constituída de oito
componentes inter-relacionados, pelos quais a administração gerencia a organização, e
Marcelo Aragão
estão integrados com o processo de gestão. De acordo com o Sumário Executivo do COSO
ERM, esses componentes são:
1. Ambiente Interno – o ambiente interno compreende o tom de uma organização e
fornece a base pela qual os riscos são identificados e abordados pelo seu pessoal, inclusive
a filosofia de gerenciamento de riscos, o apetite a risco, a integridade e os valores éticos,
além do ambiente em que estes estão.
2. Fixação de Objetivos – os objetivos devem existir antes que a administração possa
identificar os eventos em potencial que poderão afetar a sua realização. O gerenciamento de
riscos corporativos assegura que a administração disponha de um processo implementado
para estabelecer os objetivos que propiciem suporte e estejam alinhados com a missão da
organização e sejam compatíveis com o seu apetite a riscos.
3. Identificação de Eventos – os eventos internos e externos que influenciam o
cumprimento dos objetivos de uma organização devem ser identificados e classificados
entre riscos e oportunidades. Essas oportunidades são canalizadas para os processos de
estabelecimento de estratégias da administração ou de seus objetivos.
4. Avaliação de Riscos – os riscos são analisados, considerando-se a sua probabilidade
e o impacto como base para determinar o modo pelo qual deverão ser administrados. Esses
riscos são avaliados quanto à sua condição de inerentes e residuais.
5. Resposta a Risco – a administração escolhe as respostas aos riscos - evitando,
aceitando, reduzindo ou compartilhando – desenvolvendo uma série de medidas para alinhar
os riscos com a tolerância e com o apetite a risco.
6. Atividades de Controle – políticas e procedimentos são estabelecidos e implementados
para assegurar que as respostas aos riscos sejam executadas com eficácia.
7. Informações e Comunicações – as informações relevantes são identificadas, colhidas
e comunicadas de forma e no prazo que permitam que cumpram suas responsabilidades. A
comunicação eficaz também ocorre em um sentido mais amplo, fluindo em todos os níveis
da organização.
8. Monitoramento – a integridade da gestão de riscos corporativos é monitorada e são
feitas as modificações necessárias. O monitoramento é realizado através de atividades
gerenciais contínuas ou avaliações independentes ou de ambas as formas.
Vamos estudar mais um pouco a respeito de cada um dos oito componentes da estrutura
de gerenciamento de riscos.
COMPONENTE: AMBIENTE INTERNO

O ambiente interno é moldado pela história e cultura da organização e, por sua vez,
molda, de maneira explícita ou não, a cultura de riscos da organização e a forma como eles
são encarados e gerenciados (tom da organização), influenciando a consciência de controle
Marcelo Aragão
das pessoas. É a base para todos os outros componentes do sistema, provendo disciplina
e estrutura.
Os fatores que compõem o ambiente interno incluem integridade, valores éticos e
competência das pessoas, maneira pela qual a gestão delega autoridade e responsabilidades,
estrutura de governança e organizacional, o “perfil dos superiores” (ou seja, a filosofia da
direção e o estilo gerencial), as políticas e práticas de recursos humanos etc.
O conselho de administração é parte crítica do ambiente interno e influencia muito os
demais elementos de ambiente interno.
Organizações com ambientes de controle efetivos fixam um tom (“tom do topo”)
positivo, contratam e mantém pessoas competentes, formalizam e comunicam políticas
e procedimentos de modo claro, adotam integridade e consciência de controle, resultando
em valores compartilhados e trabalho em equipe para efetivação de objetivos.
Embora todos os elementos sejam importantes, o grau de tratamento de cada um deles
variará de acordo com a organização.
EXEMPLO
O presidente-executivo de uma corporação, dotada de uma pequena força de trabalho e
de operações centralizadas, poderá não estabelecer linhas formais de responsabilidade ou
políticas operacionais detalhadas. Entretanto, a Companhia pode dispor de um ambiente
interno capaz de possibilitar uma base adequada para o gerenciamento de riscos corporativos.
FILOSOFIA DE GESTÃO DE RISCOS

A filosofia de gestão de riscos de uma organização é representada pelo conjunto de
convicções e atitudes compartilhadas que caracterizam a forma pela qual a referida
organização considera o risco em tudo aquilo que faz, do desenvolvimento e da implementação
de estratégias às suas atividades do dia-a-dia. Sua filosofia de administração de riscos
reflete em seus valores, influencia a sua cultura e seu estilo de operação, bem como afeta
a forma que os componentes de gestão de riscos são aplicados inclusive como os riscos são
identificados, os tipos de riscos aceitáveis e a forma pela qual são administrados.
Uma organização que tenha sido bem-sucedida em aceitar riscos significativos
provavelmente terá uma visão diferente de gestão de riscos do que aquela que tenha
enfrentado consequências severas, econômicas ou legais, como resultado de sua aventura em
território perigoso. Embora algumas organizações busquem alcançar um gerenciamento de
riscos corporativos eficaz para atender aos requerimentos de uma parte externa interessada,
como a sua controladora ou o órgão regulador, a administração, frequentemente, reconhece
que a gestão de riscos corporativos eficaz contribuirá para criação ou preservação de valor
da organização.
Marcelo Aragão
APETITE A RISCO
O apetite a risco refere-se ao nível de riscos, que de forma ampla, uma organização
dispõe-se a aceitar na busca de valor. O apetite a risco reflete na filosofia de gestão de
riscos corporativos e, por sua vez, influencia a cultura e o estilo de operação.
O apetite a risco é considerado no estabelecimento da estratégia, quando o retorno
desejado de uma estratégia deve estar alinhado ao apetite a risco da organização. Diferentes
estratégias exporão a organização a diferentes níveis de riscos, e o gerenciamento de riscos
corporativos aplicado à fixação da estratégia ajuda a administração a optar pela solução
que seja consistente com o apetite a risco.
As organizações consideram o apetite a risco de forma qualitativa, classificando-o em
categorias como elevado, moderado ou baixo, ou adotam, ainda, uma abordagem quantitativa,
que reflete e equilibra as metas de crescimento e retorno aos riscos.
CONSELHO DE ADMINISTRAÇÃO
O conselho de administração de uma organização representa uma parte crítica do

ambiente interno e é capaz de influenciar os seus elementos de forma significativa. Cada
fator, como a independência do conselho em relação à administração, à experiência e ao
desenvolvimento de seus membros, o grau de participação e exame das atividades, bem
como a adequação de suas ações, tem a sua importância. Outros fatores são, até que ponto
questões complexas são levantadas e são abordadas com a diretoria executiva, no que se
diz respeito a estratégia, planos, desempenho, bem como a interação que o conselho de
administração ou comitê de auditoria possui com os auditores internos e externos.
Um conselho de administração ativo e empenhado, ou órgão similar, poderiam ter um grau
adequado de conhecimento gerencial, técnico ou de outro tema específico com a disposição
necessária para o desempenho de suas responsabilidades de supervisão. Esses fatores são
críticos a um ambiente eficaz de gerenciamento de riscos corporativos. E, em razão dos
membros do conselho estarem preparados para questionar e examinar as atividades da
administração, apresentar opiniões alternativas e atuar em caso de gestão inadequada,
conselho de administração deve incluir diretores-executivos de outras organizações.
Membros de diretorias executivas poderão tornar-se membros eficazes do conselho de
administração, ao oferecer seus conhecimentos profundos em benefício da organização.
Porém, deverá existir um número suficiente de membros externos e independentes, não
apenas para propiciar orientação, aconselhamento e instruções adequados, como também
para atuar com controle e equilíbrio necessários para a administração. Para que o ambiente
interno seja eficaz, o conselho de administração deverá ser, no mínimo, composta em sua
maioria por membros externos independentes.
Marcelo Aragão
Conselhos eficazes garantem que a administração mantenha um gerenciamento de riscos

eficaz. A despeito do fato que, historicamente, uma organização não tenha incorrido em
prejuízos e nem se exponha muito a riscos, os membros do conselho não devem sucumbir
à noção mítica de que eventos que trazem sérias consequências adversas não “vão ocorrer
aqui.” Eles reconhecem que, embora uma organização possa ter uma estratégia perfeita,
empregados competentes, processos íntegros e tecnologia confiável, ela, como qualquer
outra entidade, é vulnerável a risco e necessita de um processo de gestão de riscos eficaz.
INTEGRIDADE E VALORES ÉTICOS

A estratégia e os objetivos de uma organização e o modo pelo qual são implementados
baseiam-se em preferências, julgamentos de valor e estilos gerenciais. A integridade e o
compromisso da administração com valores éticos influenciam essas preferências e esses
julgamentos, os quais são traduzidos em normas de comportamento. A boa reputação de uma
organização pode ser tão valiosa que os seus padrões de comportamento devem estender-
se além do mero cumprimento de normas. Os gerentes de organizações bem administradas
aceitam cada vez mais o conceito que a ética compensa e que o comportamento ético é
um bom negócio.
A integridade da administração é um pré-requisito para o comportamento ético em
todos os aspectos das atividades de uma organização. A eficácia do gerenciamento de
riscos corporativos não deve estar acima da integridade e dos valores éticos das pessoas
que criam, administram e monitoram as atividades da organização. Integridade e valores
éticos são elementos essenciais ao ambiente interno das organizações, que influenciam o
traçado, a administração e o monitoramento dos outros componentes do gerenciamento
de riscos corporativos.
Via de regra, é difícil estabelecer valores éticos, dada a necessidade de levarem-se em
conta os interesses de várias partes. Os valores administrativos devem equilibrar os interesses
da organização, dos empregados, dos fornecedores, dos clientes, dos concorrentes e do
público em geral. Tentar equilibrar esses interesses pode revelar-se uma tarefa complexa
e frustrante por causa de frequentes conflitos de interesses.
EXEMPLO
O fornecimento de um produto essencial (petróleo, madeira ou alimento) pode gerar
preocupações ambientais.
COMPROMISSO COM A COMPETÊNCIA

A competência reflete no conhecimento e nas habilidades necessárias à execução
de tarefas designadas. A administração decide quão bem essas tarefas necessitam ser
Marcelo Aragão
executadas, ponderando a estratégia e os objetivos da organização, bem como os planos para

a sua implementação e realização. Frequentemente haverá um dilema entre competência e
custo – não é necessário, por exemplo, contratar um engenheiro para trocar uma lâmpada.
A administração estipula os níveis de competência para determinados trabalhos e traduz
esses níveis em habilidades e conhecimentos necessários. As habilidades e os conhecimentos
necessários, por sua vez, podem depender do grau de inteligência, treinamento e experiência
individuais. Os fatores considerados no desenvolvimento dos níveis de conhecimentos e
habilidades incluem a natureza e o grau de julgamento utilizado em uma função específica.
Frequentemente, pode-se efetuar uma troca entre a extensão da supervisão e os requisitos
de competência do indivíduo.
ESTRUTURA ORGANIZACIONAL
A estrutura organizacional de uma entidade provê o arcabouço para planejar, executar,

controlar e monitorar as suas atividades. Uma estrutura organizacional relevante inclui a
definição de áreas fundamentais de autoridade e responsabilidade, bem como a definição
de linhas apropriadas de comunicação.
EXEMPLO
Uma função de auditoria interna deve ser estruturada a fim de poder alcançar objetividade
organizacional e permitir acesso irrestrito à alta administração e ao comitê de auditoria
do conselho de administração, devendo o executivo chefe de auditoria reportar-se a um
nível da organização que permita à atividade de auditoria interna cumprir com as suas
responsabilidades.
As corporações desenvolvem estruturas organizacionais compatíveis com as suas

necessidades. Algumas são centralizadas, outras descentralizadas; algumas apresentam
reporte direto, enquanto outras são matriciais. Determinadas organizações são estruturadas
por ramo industrial ou linha de produto, localização geográfica ou por uma rede especial de
distribuição ou de marketing. Outras organizações, inclusive muitas unidades governamentais
municipais e estaduais e instituições sem fins lucrativos, são estruturadas por função. A
administração estipula os níveis de competência para determinados trabalhos e traduz
esses níveis em habilidades e conhecimentos necessários. As habilidades e os conhecimentos
necessários, por sua vez, podem depender do grau de inteligência, treinamento e experiência
individuais. Os fatores considerados no desenvolvimento dos níveis de conhecimentos e
habilidades incluem a natureza e o grau de julgamento utilizado em uma função específica.
Frequentemente, pode-se efetuar uma troca entre a extensão da supervisão e os requisitos
de competência do indivíduo.
Marcelo Aragão
A adequação da estrutura organizacional de uma entidade depende em parte de seu

tamanho e da natureza de suas atividades. Uma organização altamente estruturada,
com linhas formais de comunicação e responsabilidades, poderá ser adequada para uma
organização de grande porte com numerosas divisões operacionais, inclusive operações no
exterior. Porém, esse tipo de estrutura pode prejudicar o fluxo necessário de informações
em uma organização de pequeno porte. Qualquer que seja a estrutura, a entidade deve
estar organizada de modo a possibilitar um gerenciamento de riscos corporativos eficaz e
desempenhar as suas atividades de modo a atingir os seus objetivos.
ATRIBUIÇÃO DE ALÇADA E RESPONSABILIDADE

A atribuição de alçada e responsabilidade inclui até que ponto pessoas e equipes estão
autorizadas e são incentivadas a adotar sua própria iniciativa ao abordar questões, bem
como a solucionar problemas e os limites dessa autoridade. Esse procedimento também
inclui as relações de comunicação e protocolos de autorização, bem como as políticas que
descrevem práticas apropriadas de negócios, conhecimento e experiência dos funcionários
essenciais e os recursos fornecidos para cumprir as suas obrigações.
Algumas organizações deslocaram o nível de autoridade para baixo a fim de trazer o
processo decisório ao pessoal da linha de frente. Uma Companhia poderá valer-se desse
artifício para tornar-se mais orientada ao mercado e concentrada na qualidade – talvez
para eliminar defeitos, reduzir o período do ciclo do negócio, ou aumentar a satisfação
do cliente. O alinhamento da alçada e da responsabilidade é geralmente realizado para
incentivar iniciativas individuais, dentro dos limites correspondentes. A delegação de
autoridade significa passar o controle central de determinadas decisões aos escalões
inferiores – para as pessoas que estão mais próximas das transações comerciais cotidianas.
Isso pode envolver a delegação de poderes para vender produtos com desconto, negociar
contratos de fornecimento, licenças, ou patentes em longo prazo, ou, ainda, ingressar em
alianças ou empreendimentos conjuntos.
O desafio crucial é delegar apenas até o grau necessário ao alcance dos objetivos.
Isso significa assegurar que o processo decisório esteja embasado em práticas sadias de
identificação e avaliação de riscos, inclusive o dimensionamento de riscos e a comparação
entre o potencial de prejuízo com os ganhos na determinação de quais riscos aceitar e de
como serão administrados.
Outro desafio é assegurar que todo o pessoal entenda os objetivos da organização.
É essencial que as pessoas entendam de que forma suas ações se inter-relacionam e
contribuem para a realização dos objetivos.
Às vezes, o aumento da delegação é intencionalmente seguido da dinamização ou do
“enxugamento” da estrutura organizacional. Uma mudança propositada para incentivar a
Marcelo Aragão
criatividade, a iniciativa individual e os tempos de resposta mais curtos podem intensificar

a competitividade e melhorar a satisfação do cliente. Esse aumento do grau de delegação
pode trazer um requisito implícito de um nível mais elevado de competência dos empregados,
e uma maior responsabilidade. Além disso, requer procedimentos eficazes para que a
administração monitore os resultados e possa, desse modo, aceitar ou rejeitar decisões,
quando necessário. Com as melhores decisões orientadas ao mercado, a delegação pode
aumentar a quantidade de decisões indesejáveis ou não antecipadas.
EXEMPLO
Se um gerente de vendas regional decide que a autorização para vender com um desconto de
35% no preço de tabela justifica um desconto temporário de 4% para ganhar participação
de mercado, a administração deverá saber dessas decisões com antecedência para poder
aceitá-las ou rejeitá-las.
O ambiente interno é bem influenciado até o ponto que as pessoas reconhecem que
serão responsabilizadas. Este conceito é perfeitamente verdadeiro para o Presidente, o qual,
com a supervisão do conselho de administração, tem a responsabilidade final de todas as
atividades em uma organização.
PADRÕES DE RECURSOS HUMANOS

Os processos relacionados a recursos humanos, como admissão, orientação, treinamento,
avaliação, aconselhamento, promoção, compensação e adoção de medidas corretivas,
enviam mensagens aos empregados; em relação aos níveis esperados de integridade,
comportamento ético e competência.
EXEMPLO
Normas de admissão dos indivíduos mais qualificados, com ênfase no histórico educacional,
experiência de trabalho anterior, realizações anteriores, bem como comprovação da integridade
e do comportamento ético, demonstrarão o compromisso de uma entidade com o profissional
competente e digno de confiança. Isso é verdadeiro se as práticas de recrutamento incluem
entrevistas formais de profundidade e treinamento na história da organização, sua cultura
e seu estilo operacional.
Políticas de treinamento podem reforçar os níveis de desempenho esperados e o

comportamento ao comunicarem as funções e as responsabilidades em perspectiva, bem
como ao incluir práticas como cursos de treinamento e seminários, simulações de estudos
de caso e exercícios de desempenho de papéis. Transferências e promoções fundamentadas
em avaliações de desempenho demonstram o empenho da organização com o progresso dos
empregados qualificados. Programas de compensação competitiva que incluem incentivos
Marcelo Aragão
sob a forma de bonificações servem para motivar e reforçar os desempenhos de nível

elevado – a despeito do fato de que os sistemas de prêmios devam ser estruturados e ter
seus controles implementados para evitar tentações indevidas de efetuar manipulações
de resultados. As medidas disciplinares transmitem a mensagem que as infrações aos
comportamentos esperados não serão toleradas.
É essencial que os empregados estejam preparados para enfrentar novos desafios na
medida em que as questões e os riscos por meio da organização modificam-se e adquirem
maior complexidade - em parte devido à rápida mudança de tecnologias e da intensificação
da concorrência. Ensino e treinamento, sejam eles mediante instruções na sala de aula,
no auto estudo ou treinamento na própria função devem contribuir para que o pessoal
se mantenha atualizado e trate com eficácia um ambiente em fase de transição. Não é
suficiente admitir pessoal competente e fornecer-lhe treinamento somente uma vez. O
processo de aprendizado é contínuo.
COMPONENTE: FIXAÇÃO DE OBJETIVOS
Os objetivos são fixados no âmbito estratégico, operacionais, de comunicação e de

cumprimento de normas. Toda organização enfrenta uma variedade de riscos oriundos de
fontes externas e internas, sendo a fixação de objetivos um pré-requisito à identificação
eficaz de eventos, a avaliação de riscos e resposta a risco. Os objetivos são alinhados com
o apetite a risco, o qual direciona os níveis de tolerância a riscos para a organização.
Portanto, a fixação de objetivos é uma precondição à identificação de evento, à
avaliação de riscos e às respostas aos riscos. Em primeiro lugar, é necessário que os
objetivos existam para que a administração possa identificar e avaliar os riscos quanto a
sua realização, bem como adotar as medidas necessárias para administrá-los.
COMPONENTE: IDENTIFICAÇÃO DE EVENTOS
A administração identifica os eventos em potencial que, se ocorrerem, afetarão a

organização e determina se estes representam oportunidades ou se podem ter algum
efeito adverso na sua capacidade de implementar adequadamente a estratégia e alcançar
os objetivos.
Eventos de impacto negativo representam riscos que exigem avaliação e resposta
da administração. Os eventos de impacto positivo representam oportunidades que são
canalizadas de volta aos processos de fixação das estratégias e dos objetivos.
Ao identificar eventos, a administração considera uma variedade de fatores internos e
externos que podem dar origem a riscos e a oportunidades no contexto de toda a organização.
Marcelo Aragão
São exemplos de fatores externos:

• Econômicos – os eventos relacionados contemplam: oscilações de preços, disponibilidade
de capital, ou redução nas barreiras à entrada da concorrência, cujo resultado se traduz
em um custo de capital mais elevado ou mais reduzido, e em novos concorrentes.
• Meio ambiente – refere-se aos seguintes eventos: incêndios, inundações ou terremotos,
que provocam danos a fábricas ou edificações, restrição quanto ao uso de matérias-
primas e perda de capital humano.
• Políticos – eleição de agentes do governo com novas agendas políticas e novas leis
e regulamentos, resultando, por exemplo, na abertura ou na restrição ao acesso a
mercados estrangeiros, ou elevação ou redução na carga tributária.
• Sociais – são alterações nas condições demográficas, nos costumes sociais, nas
estruturas da família, nas prioridades de trabalho/vida e a atividade terrorista, que,
por sua vez, podem provocar mudanças na demanda de produtos e serviços, novos
locais de compra, demandas relacionadas a recursos humanos e paralisações da
produção.
• Tecnológicos – são novas formas de comércio eletrônico, que podem provocar aumento
na disponibilidade de dados, reduções de custos de infraestrutura e aumento da
demanda de serviços com base em tecnologia.
A questão abaixo tratou dos fatores de eventos externos.
027. (CESPE/CEBRASPE/SEFAZ-RS/AUDITOR/2018) Diversos tipos de alterações, como, por

exemplo, nas condições demográficas, nos costumes sociais, nas estruturas das famílias,
nas prioridades de trabalho, podem provocar mudanças na demanda de produtos e serviços,
novos locais de compra, demandas relacionadas a recursos humanos e paralisações da
produção. De acordo com o COSO, as relações entre essas alterações e seus efeitos são
consideradas eventos
a) políticos.
b) de meio ambiente.
c) sociais.
d) pessoais.
e) econômicos.
Os eventos decorrem de fatores internos e externos. Quanto aos fatores externos, os

“sociais” correspondem a alterações nas condições demográficas, nos costumes sociais,
Marcelo Aragão
nas estruturas da família, nas prioridades de trabalho/vida e a atividade terrorista, que,

por sua vez, podem provocar mudanças na demanda de produtos e serviços, novos locais
de compra, demandas relacionadas a recursos humanos e paralisações da produção.
Letra c.
Os eventos também se originam das escolhas que a administração faz em relação ao

seu funcionamento. A capacidade e habilidade de gestão da organização refletem suas
escolhas passadas, influenciam eventos futuros e afetam as decisões gerenciais. Os fatores
internos e os exemplos de eventos correlatos e de suas implicações incluem o seguinte:
• Infraestrutura – aumento da alocação de capital em manutenção preventiva e suporte
ao call center, reduzindo o tempo de paralisação de equipamentos e aumentando a
satisfação do cliente.
• Pessoal – acidentes de trabalho, atividades fraudulentas e expiração de acordos de
trabalho, causando redução de pessoal disponível, danos pessoais, monetários ou à
reputação da organização e paralisações da produção.
• Processo – modificações de processos sem alteração adequada nos protocolos
administrativos, erros de execução de processo e terceirização da entrega a clientes
sem uma supervisão adequada, implicando perda de participação de mercado,
ineficiência, insatisfação do cliente e diminuição da fidelidade deste.
• Tecnologia – aumento de recursos para fazer face à variabilidade de volume, violações
da segurança e paralisação, em potencial, de sistemas, provocando redução da carteira
de pedidos, transações fraudulentas e incapacidade de se manter as operações.
Segundo Vania Borgerth, quanto à identificação de eventos, que a autora chama de

problemas, os sistemas precisam ter a capacidade de sinalizar sempre algum fato fora do
padrão esperado que venha a ocorrer.
Um evento é um incidente ou uma ocorrência gerada com base em fontes internas
ou externas, que afeta a realização dos objetivos. Os eventos podem causar impacto
negativo, positivo ou ambos. Os eventos que geram impacto negativo representam riscos.
Da mesma forma, o risco é representado pela possibilidade de que um evento ocorra e
afete negativamente a realização dos objetivos.
Os eventos cujo impacto é positivo podem contrabalançar os impactos negativos ou
representar oportunidades. A oportunidade é definida como a possibilidade de que um
evento ocorra e influencie favoravelmente a realização dos objetivos.
A questão abaixo tratou dessa relação.
Marcelo Aragão
028. (FGV/TCE-AM/AUDITOR/OBRAS PÚBLICAS/2021) Um dos componentes da Estrutura

Integrada de Gerenciamento de Riscos proposta pelo COSO é a Identificação de Eventos.
De acordo com as diretrizes desse componente:
a) as técnicas de identificação de eventos devem ter foco em perspectivas futuras;
b) eventos cujo impacto é positivo contrabalançam os impactos negativos dos riscos;
c) eventos ocorridos no nível estratégico se sobrepõem aos ocorridos no nível operacional;
d) eventos que representam oportunidades devem ser mais enfatizados do que eventos
que representam riscos;
e) o grau de profundidade na identificação de eventos deve ser homogêneo em organizações
com objetivos semelhantes.
A alternativa correta afirma que os eventos cujo impacto é positivo podem contrabalançar os
impactos negativos. Eventos com impacto positivo podem ainda representar oportunidades.
Letra b.
As oportunidades favorecem a criação ou a preservação de valor. A direção da organização

canaliza as oportunidades para seus processos de fixação de estratégias ou objetivos,
formulando planos que visam ao seu aproveitamento.
Os eventos que causam impacto desfavorável são obstáculos à criação de valor ou
desgastam o valor existente. Os exemplos incluem paradas no maquinário da fábrica,
incêndio e perdas de créditos.
Os eventos de impacto negativo podem originar-se a partir de condições aparentemente
positivas, como nos casos em que a demanda de produto pelo consumidor é superior à
capacidade de produção, o que provoca o não atendimento da demanda, o desgaste na
fidelidade do cliente e o declínio de pedidos futuros.
Veja uma interessante questão acerca do componente de identificação de eventos.
029. (ESAF/CGU/ANALISTA/2012) Da análise do conceito de risco, é correto afirmar que

a) eventos de impacto negativo podem originar-se a partir de condições aparentemente
positivas.
b) qualquer evento que cause impacto na organização deve ser considerado um risco.
Marcelo Aragão
c) oportunidade é a possibilidade de que um evento ocorra e não influencie a realização

dos objetivos.
d) um evento não pode causar um impacto positivo e negativo ao mesmo tempo.
e) os efeitos dos riscos afetam apenas o futuro, não o presente.
a) Certa. Segundo o COSO, os eventos de impacto negativo podem originar-se a partir de

condições aparentemente positivas, como nos casos em que a demanda de produto pelo
consumidor é superior à capacidade de produção, o que provoca o não atendimento da
demanda, o desgaste na fidelidade do cliente e o declínio de pedidos futuros.
b) Errada. Podem ocorrer eventos que causam impacto positivo, que são considerados
oportunidades.
c) Errada. Oportunidade é a possibilidade de que um evento ocorra e influencie positivamente
d) Errada. Os eventos podem causar impacto negativo, positivo ou ambos.
e) Errada. Em que pese o gerenciamento de riscos ser um processo contínuo, devendo a
organização prever antecipadamente possíveis eventos, alguns riscos não identificados
podem já ter afetado ou afetar os objetivos da organização no presente.
Letra a.
COMPONENTE: AVALIAÇÃO DE RISCOS

A avaliação de riscos permite que uma organização considere até que ponto eventos
em potencial podem impactar a realização dos objetivos. A administração avalia os eventos
com base em duas perspectivas – probabilidade e impacto – e, geralmente, utiliza uma
combinação de métodos qualitativos e quantitativos.
Os impactos positivos e negativos dos eventos em potencial devem ser analisados
isoladamente ou por categoria em toda a organização. Os riscos são avaliados com base
em suas características inerentes e residuais.
CONTEXTO PARA A AVALIAÇÃO DE RISCOS

Fatores externos e internos influenciam os eventos que poderão ocorrer, e até que
ponto os referidos eventos podem afetar os objetivos de uma organização. Embora alguns
fatores sejam comuns às organizações, via de regra, os eventos resultantes são singulares
em relação a uma determinada organização tendo em vista seus objetivos estabelecidos
e decisões anteriores.
Ao avaliar riscos, a administração considera o composto dos futuros eventos em potencial
pertinentes à organização e às suas atividades no contexto das questões que dão forma
Marcelo Aragão
ao perfil de riscos, como tamanho da organização, complexidade das operações e grau de

regulamentação de suas atividades.
Ao avaliar riscos, a administração leva em consideração eventos previstos e imprevistos.
Muitos eventos são rotineiros e recorrentes e já foram abordados nos programas de gestão
e orçamentos operacionais, enquanto outros são imprevistos. A administração avalia os
riscos em potencial de eventos imprevistos e, caso ainda não tenha feito essa avaliação,
até os previstos que podem causar um impacto significativo na organização.
Embora o termo “avaliação de riscos” tenha sido usado em conexão com uma atividade
realizada, uma única vez, no contexto de “avaliação de riscos corporativos”, o componente
de “avaliação de riscos” é uma interação contínua e repetida das ações que ocorrem em
toda a organização.
RISCO INERENTE E RESIDUAL
A administração leva em conta tanto o risco inerente quanto o residual.

Risco inerente é o risco que uma organização terá de enfrentar na falta de medidas
que a administração possa adotar para alterar a probabilidade ou o impacto dos eventos.
Risco residual é aquele que ainda permanece após a resposta da administração. A
avaliação de riscos é aplicada primeiramente aos riscos inerentes.
Após o desenvolvimento das respostas aos riscos, a administração passará a considerar
os riscos residuais.
ESTIMATIVA DA PROBABILIDADE E DO IMPACTO
A incerteza de eventos em potencial é avaliada a partir de duas perspectivas – probabilidade

e impacto. A probabilidade representa a possibilidade de que um determinado evento
ocorrerá, enquanto o impacto representa o seu efeito.
A determinação do grau de atenção depende da avaliação de uma série de riscos que uma
organização enfrenta. A administração reconhece que um risco com reduzida probabilidade
de ocorrência e baixo potencial de impacto, geralmente, não requer maiores considerações.
Por outro lado, um risco com elevada probabilidade de ocorrência e um potencial de impacto
significativo demanda atenção considerável.
O risco, portanto, é uma função tanto da probabilidade como das consequências,
portanto, o nível do risco é expresso pela combinação da probabilidade de ocorrência do
evento e de suas consequências, em termos da magnitude do impacto nos objetivos.
Risco = ƒunção (Probabilidade e Impacto)
Em sua forma qualitativa mais simples, a relação entre o nível de risco e as variáveis
que o compõe pode ser ilustrada por meio de uma matriz como a que segue.
Marcelo Aragão
Figura 9: Matriz de Riscos Simples
A questão abaixo abordou a avaliação do risco.
030. (CESPE/CEBRASPE/EMAP/ANALISTA PORTUÁRIO/2018) Acerca da gestão de riscos,

julgue o item seguinte.
Se uma equipe de gerenciamento de um projeto identificar vários riscos e suas probabilidades
de ocorrência, então ela terá condições de elaborar a avaliação desses riscos para identificar
aqueles mais relevantes.
Ao avaliar a probabilidade e o impacto dos riscos identificados, o gestor terá condições

de identificar aqueles cujo nível de risco é mais significativo e vão requerer uma resposta
adequada.
Certo.
A determinação do grau de atenção depende da avaliação de uma série de riscos que

uma organização enfrenta, e isso é uma tarefa difícil e desafiadora. A administração
reconhece que um risco com reduzida probabilidade de ocorrência e baixo potencial de
impacto, geralmente, não requer maiores considerações. Por outro lado, um risco com
elevada probabilidade de ocorrência e um potencial de impacto significativo demanda
Marcelo Aragão
atenção considerável. As circunstâncias situadas entre esses extremos geralmente são

difíceis de julgar. É importante que a análise seja racional e cuidadosa.
O horizonte de tempo empregado para avaliar riscos deverá ser consistente com o
tempo das estratégias e objetivos relacionados a esses riscos. Em razão das estratégias
e objetivos de muitas organizações considerarem horizontes de tempo de curta a média
duração, a administração naturalmente concentra-se nos riscos associados com esses
períodos de tempo. Contudo, alguns aspectos do direcionamento estratégico e dos objetivos
estendem-se a prazo mais longo. Consequentemente, a administração precisa levar em conta
os cenários de prazos mais longos para não ignorar riscos que possam estar mais adiante.
EXEMPLO
Uma Companhia que atua na Califórnia poderá considerar o risco de que um terremoto
possa paralisar as suas operações comerciais. Sem um horizonte de tempo especificado
para a avaliação de riscos, será elevada a probabilidade de um terremoto cuja intensidade
na escala Richter seja superior a 6.0, talvez essa probabilidade esteja praticamente certa.
Por outro lado, a probabilidade de que esse tipo de terremoto ocorra dentro de dois anos é,
substancialmente, mais baixa. Ao estabelecer um horizonte de tempo, a organização adquire
mais informação em relação à importância relativa do risco e uma maior habilidade para
comparar diversos riscos.
Frequentemente, a administração emprega medições de desempenho na determinação

de quais objetivos estão sendo alcançados e, geralmente, utiliza uma mesma unidade de
medida, ou uma unidade compatível ao considerar o impacto em potencial de um risco
para a realização de um objetivo específico.
EXEMPLO
Uma Companhia com um objetivo de manter um nível específico de serviço ao cliente terá
arquitetado uma classificação ou outra medida para esse objetivo, como o índice de satisfação
de cliente, quantidade de reclamações, ou quantidade de repetição de compras. Ao avaliar o
impacto de um risco que poderia afetar o serviço ao cliente – como seria o caso da possibilidade
de que o site da companhia pode manter-se indisponível por um certo tempo, o impacto será
determinado melhor utilizando-se as mesmas medidas.
FONTES DE DADOS
Via de regra, as estimativas de probabilidade e grau de impacto de riscos são conduzidas
utilizando dados de eventos passados observáveis, os quais fornecem uma base mais objetiva
do que as estimativas inteiramente subjetivas. Os dados gerados internamente e embasados
na experiência passada da própria organização, podem refletir qualidades pessoais menos
Marcelo Aragão
subjetivas e propiciar melhores resultados do que os dados de fontes externas. Contudo,

mesmo que os dados gerados internamente sejam um dado primário, os externos podem
ser úteis como um ponto de controle, ou para aprimorar a análise.
EXEMPLO
A administração de uma organização, ao avaliar o risco de paralisações da produção em
razão de falhas de equipamentos, verifica primeiramente a frequência e o impacto de falhas
anteriores de seus próprios equipamentos de manufatura. Em seguida, suplementa esses
dados com indicadores de desempenho para a indústria. Esse procedimento possibilita uma
estimativa mais precisa da probabilidade e do impacto de falhas, bem como, mais eficaz
da manutenção preventiva. Deve-se ter cautela ao se utilizar eventos passados para fazer
previsões futuras, visto que os fatores que influenciam os eventos podem modificar-se com
o passar do tempo.
PERSPECTIVA
Os gestores sempre fazem julgamentos subjetivos sobre a incerteza e ao julgar devem
reconhecer as limitações inerentes. As constatações feitas na pesquisa psicológica indicam
que os tomadores de decisão em diversas funções, inclusive administradores de corporações,
mostram-se muito confiantes ao realizar estimativas e não reconhecem a quantidade
de incerteza que realmente existe. Estudos demonstram um notável “viés de confiança
excessiva,” que leva a intervalos indevidamente estreitos para o impacto e as probabilidades
estimadas, por exemplo, as metodologias de valor em risco. Essa tendência ao excesso
de confiança ao estimar a incerteza pode ser minimizada pela utilização eficaz de dados
empíricos obtidos externa ou internamente. Na falta desses dados, uma consciência aguçada
da penetrabilidade do viés poderá ajudar a mitigar esses efeitos.
As tendências humanas relacionadas ao ato de decidir são apresentadas de outra
forma, na qual não é incomum que as pessoas façam escolhas diferentes ao buscar ganhos
a fim de evitar perdas. Ao reconhecer essas tendências humanas, o gestor pode destacar
as informações para reforçar o apetite e o comportamento perante risco em toda a
organização. A forma pela qual as informações são apresentadas ou “estruturadas” podem
afetar significativamente a sua interpretação e a forma pela qual os riscos associados ou
as oportunidades são vistos.
TÉCNICAS DE AVALIAÇÃO
A metodologia de avaliação de riscos de uma organização inclui uma combinação de
técnicas qualitativas e quantitativas. Geralmente, a administração emprega técnicas
qualitativas de avaliação se os riscos não se prestam a quantificação, ou se não há dados
Marcelo Aragão
confiáveis em quantidade suficiente para a realização das avaliações quantitativas, ou, ainda,
se a relação custo-benefício para obtenção e análise de dados não for viável. Tipicamente,
as técnicas quantitativas emprestam maior precisão e são utilizadas em atividades mais
complexas e sofisticadas para suplementar as técnicas qualitativas.
As técnicas quantitativas de avaliação geralmente requerem mais esforço e rigor, muitas
vezes utilizando modelos matemáticos não triviais. As técnicas quantitativas dependem
sobremaneira da qualidade dos dados e das premissas adotadas e são mais relevantes para
exposições que apresentem um histórico conhecido, uma frequência de sua variabilidade
e permitam uma previsão confiável. São exemplos de técnicas quantitativas de avaliação
de riscos:
Comparação com Referências de Mercado (Benchmarking) – É um processo cooperativo
entre um grupo de organizações. O benchmarking enfoca eventos ou processos específicos,
compara medições e resultados utilizando métricas comuns, bem como identifica
oportunidades de melhoria. Dados de eventos, processos e medidas são desenvolvidos
para a comparação de desempenho. Algumas Companhias utilizam o benchmarking para
avaliar a probabilidade e o impacto de eventos em potencial em uma indústria.
Modelos Probabilísticos – Os modelos probabilísticos associam a uma gama de eventos
e seu respectivo impacto, a probabilidade de ocorrência sob determinadas premissas.
A probabilidade e o impacto são avaliados com base em dados históricos ou resultados
simulados que refletem hipóteses de comportamento futuro. Os exemplos de modelos
probabilísticos incluem valor em risco (value-at-risk), fluxo de caixa em risco, receitas em
risco e distribuições de prejuízo operacional e de crédito. Os modelos probabilísticos podem
ser utilizados com diferentes horizontes de tempo para estimar os seus resultados, como
a faixa de prazos dos instrumentos financeiros disponíveis. Os modelos probabilísticos
também podem ser usados para avaliar resultados esperados ou médias em relação a
impactos imprevistos ou extremos.
Modelos Não Probabilísticos – Os modelos não probabilísticos empregam critérios
subjetivos para estimar o impacto de eventos, sem quantificar uma probabilidade associada.
A avaliação do impacto de eventos baseia-se em dados históricos ou simulados a partir de
hipóteses sobre o comportamento futuro. Os exemplos de modelos não probabilísticos
incluem medições de sensibilidade, testes de estresse e análises de cenários.
Para obter consenso sobre a probabilidade e o impacto de eventos de risco pelo uso de
técnicas qualitativas de avaliação, as organizações poderão utilizar a mesma abordagem
que usam na identificação dos eventos, como entrevistas e seminários. Um processo de
auto avaliação de riscos colhe as opiniões dos participantes a respeito da probabilidade
em potencial e do impacto de eventos futuros, utilizando escalas descritivas ou numéricas.
Marcelo Aragão
COMPONENTE: RESPOSTA A RISCO

Após ter conduzido uma avaliação dos riscos pertinentes, a administração determina
como responderá aos riscos. As respostas incluem evitar, reduzir, compartilhar ou aceitar os
riscos. Ao considerar a própria resposta, a administração avalia o efeito sobre a probabilidade
de ocorrência e o impacto do risco, assim como os custos e benefícios, selecionando,
dessa forma, uma resposta que mantenha os riscos residuais dentro das tolerâncias a
risco desejadas. A administração identifica as oportunidades que possam existir e obtêm,
assim, uma visão dos riscos em toda organização ou de portfólio, determinando se os riscos
residuais gerais são compatíveis com o apetite a riscos da organização.
As respostas a riscos classificam-se nas seguintes categorias:
• Evitar – Descontinuação das atividades que geram os riscos. Evitar riscos pode
implicar a descontinuação de uma linha de produtos, o declínio da expansão em um
novo mercado geográfico ou a venda de uma divisão.
• Reduzir – São adotadas medidas para reduzir a probabilidade ou o impacto dos riscos,
ou, até mesmo, ambos. Tipicamente, esse procedimento abrange qualquer uma das
centenas de decisões do negócio no dia-a-dia.
• Compartilhar – Redução da probabilidade ou do impacto dos riscos pela transferência
ou pelo compartilhamento de uma porção do risco. As técnicas comuns compreendem
a aquisição de produtos de seguro, a realização de transações de headging ou a
terceirização de uma atividade.
• Aceitar – Nenhuma medida é adotada para afetar a probabilidade ou o grau de impacto
dos riscos, já que se encontram compatíveis com o apetite a risco da organização.
Evitar sugere que nenhuma opção de resposta tenha sido identificada para reduzir o
impacto e a probabilidade a um nível aceitável.
Reduzir ou Compartilhar reduzem o risco residual a um nível compatível com as
tolerâncias desejadas ao risco, enquanto aceitar indica que o risco inerente já esteja dentro
das tolerâncias ao risco.
Segundo Borgerth, as empresas, uma vez conhecidos os riscos e probabilidades a que
estão sujeitas, devem elaborar planos de contingência que venham a mitigar a perda na
ocorrência de um sinistro. Esse plano de contingência pode se referir a riscos que devem
ser evitados, mantidos, reduzidos ou transferidos, de acordo com a avaliação de impacto
x probabilidade.
Quando... Estratégia de resposta:

Os custos de melhorias internas são mais altos do que a perda
TRANSFERIR PARTE DO RISCO
esperada (PROBABILIDADE BAIXA, MAS IMPACTO ALTO)
Marcelo Aragão
Quando... Estratégia de resposta:

As perdas esperadas são menores do que o custo a mitigar
MANTER / CONTROLAR
(PROBABILIDADE E IMPACTO BAIXOS)
As perdas esperadas excedem o custo do negócio
EVITAR / SAIR
(PROBABILIDADE E IMPACTO ALTOS)
As perdas esperadas podem ser reduzidas com melhoria nos
MITIGAR
processos (PROBABILIDADE ALTA, MAS IMPACTO BAIXO)
Veja uma interessante questão acerca das respostas ao risco.
031. (CESPE/CEBRASPE/SEFAZ-RS/AUDITOR/2018) A administração de uma universidade

estadual identificou e avaliou os riscos associados com a gerência da residência estudantil:
concluiu que a referida gerência não possuía internamente os requisitos necessários e as
funcionalidades para administrar eficazmente essa grande propriedade residencial, razão pela
qual optou por terceirizar a administração da residência para uma empresa especializada,
que, entre outros fatores, tivesse condições de reduzir o impacto e a probabilidade de riscos.
De acordo com o COSO, a categoria de resposta a risco descrita na situação hipotética
apresentada é
a) compartilhar.
b) evitar.
c) reduzir.
d) aceitar.
e) acolher.
De acordo com o estudo do COSO, as respostas a riscos classificam-se nas seguintes

categorias: evitar, reduzir, compartilhar e aceitar. Compartilhar corresponde à redução da
probabilidade ou do impacto dos riscos pela transferência ou pelo compartilhamento de
uma porção do risco. As técnicas comuns compreendem a aquisição de produtos de seguro,
a realização de transações de headging ou a terceirização de uma atividade.
Letra a.
COMPONENTE: ATIVIDADES DE CONTROLE

Políticas e procedimentos são estabelecidos e implementados para assegurar que as
respostas aos riscos sejam executadas com eficácia.
Marcelo Aragão
Existe uma variedade de descrições distintas quanto aos tipos de atividades de

controle, inclusive as preventivas, as detectivas, as manuais, as computadorizadas e as
de controles administrativos. Essas atividades também podem ser classificadas com base
nos objetivos de controle especificados, como o de assegurar a integridade e a precisão
do processamento de dados.
De modo geral, as atividades de controle incluem dois elementos: uma política que
estabelece aquilo que deverá ser feito e os procedimentos para fazê-la ser cumprida.
EXEMPLO
Uma política poderá requerer a revisão das atividades de negociação do cliente pelo gerente de
varejo da filial com a corretora. O procedimento é a própria revisão, realizada oportunamente
e com especial atenção para os fatores estabelecidos na política, como a natureza e o volume
dos títulos transacionados e o volume destes em relação ao patrimônio líquido e à idade do
cliente.
Muitas vezes, as políticas são comunicadas verbalmente. As que não são escritas podem
ser eficazes quando existem há muito tempo e são adequadamente entendidas, e nas
pequenas organizações em que os canais de comunicação envolvem poucas camadas
gerenciais e existe uma estreita interação e supervisão dos empregados. No entanto,
independentemente do fato de estar escrita ou não, uma política deve ser implementada
com atenção, de forma conscienciosa e consistente.
As atividades de controle incluem:
Procedimentos de autorização e aprovação – A autorização e a execução de transações
e eventos devem ser realizadas somente por pessoas que detenham essa autoridade. A
autorização é o principal meio para assegurar que apenas as transações e eventos que a
administração tem a intenção de realizar sejam iniciados. Os procedimentos de autorização,
que devem ser documentados e claramente comunicados aos gerentes e funcionários, devem
incluir as condições especiais e os termos, segundo os quais eles devem ser realizados.
Revisões da Alta Direção – a alta direção compara o desempenho atual em relação ao
orçado, às previsões, aos períodos anteriores e aos de concorrentes. As principais iniciativas
são acompanhadas, como campanhas de marketing, processos de melhoria de produção e
programas de contenção ou de redução de custo, para medir até que ponto as metas estão
sendo alcançadas. A implementação de planos é monitorada no caso de desenvolvimento
de novos produtos, join ventures ou novos financiamentos.
Administração Funcional Direta ou de Atividade – gerentes, no exercício de suas
funções ou atividades examinam relatórios de desempenho. Um gerente responsável
pelos empréstimos bancários a consumidores revisa os relatórios por filial, região e tipo de
empréstimo (com caução), verificando resumos e identificando tendências e associando os
Marcelo Aragão
resultados a estatísticas econômicas e metas. Por sua vez, os gerentes de filiais também
se concentram em questões de cumprimento de políticas, revisando relatórios exigidos
por órgãos reguladores a respeito de novos depósitos acima de um determinado valor. São
realizadas reconciliações dos fluxos de caixa diários, com as posições líquidas relatadas
centralmente para transferências e investimentos.
Processamento da Informação – uma variedade de controles é realizada para verificar
a precisão, a integridade e a autorização das transações. Os dados inseridos ficam sujeitos
a verificações de edição on-line ou à combinação com arquivos aprovados de controle.
Um pedido de cliente, por exemplo, somente poderá ser aceito após fazer referência a um
arquivo de cliente e ao limite de crédito aprovado. As sequências numéricas das transações
são levadas em conta, sendo as exceções acompanhadas e relatadas aos supervisores. O
desenvolvimento de novos sistemas e as mudanças nos já existentes são controlados da
mesma forma que o acesso a dados, arquivos e programas.
Controles Físicos – os equipamentos, estoques, títulos, dinheiro e outros bens são
protegidos fisicamente, contados periodicamente e comparados com os valores apresentados
nos registros de controle.
Indicadores de Desempenho – relacionar diferentes conjuntos de dados, sejam eles
operacionais sejam financeiros, em conjunto com a realização de análises dos relacionamentos
e das medidas de investigação e correção, funciona como uma atividade de controle.
Os indicadores de desempenho incluem, por exemplo, índices de rotação de pessoal por
unidade. Ao investigar resultados inesperados ou tendências incomuns, a administração
poderá identificar circunstâncias nas quais a falta de capacidade para concluir processos
fundamentais pode significar menor probabilidade dos objetivos serem alcançados. A forma
como a administração utiliza essas informações – somente no caso de decisões operacionais
ou, também, no caso do acompanhamento de resultados imprevistos nos sistemas de
comunicações – determinará se a análise dos indicadores de desempenho por si só atenderá
às finalidades operacionais, bem como às finalidades de controle da comunicação.
Segregação de funções (autorização, execução, registro, controle) – as obrigações
são atribuídas ou divididas entre pessoas diferentes com a finalidade de reduzir o risco de
erro ou de fraude.
Contudo, existem mecanismos de controle que possuem tanto função de prevenção
quanto de detecção, tais como: segurança física e sistemas/controles informatizados.
CONTROLES DOS SISTEMAS DE INFORMAÇÕES

A dependência cada vez maior em relação a sistemas de informações para auxiliar a
operação de uma organização e para atender aos objetivos de comunicação e ao cumprimento
de políticas traz a necessidade de controle dos sistemas mais significativos.
Marcelo Aragão
Dois grupos amplos de atividades de controle dos sistemas de informação podem ser
utilizados. O primeiro diz respeito aos controles gerais, que se aplicam a praticamente todos
os sistemas e contribuem para assegurar uma operação adequada e contínua. O segundo
grupo é o dos controles de aplicativos, que incluem etapas para avaliar o processo por
meio de códigos de programação dentro do software. Os controles gerais e os de aplicativos,
em conjunto com os processos de controle manual, quando necessários, asseguram a
integridade, a precisão e a validade das informações.
COMPONENTE: INFORMAÇÕES E COMUNICAÇÕES

As informações relevantes são identificadas, colhidas e comunicadas de forma e no
prazo que permitam que cumpram suas responsabilidades.
Os sistemas de informática geralmente empregam dados gerados internamente e
informações de fontes externas, possibilitando, dessa forma, esclarecimentos para o
gerenciamento de riscos e tomada de decisão baseadas em dados relacionados aos objetivos.
A comunicação eficaz também ocorre ao fluir em todos os níveis da organização.
Todo o pessoal recebe uma mensagem clara da alta administração, alertando que as
responsabilidades do gerenciamento de riscos corporativos devem ser levadas a sério. Cada
um entende a sua própria função no gerenciamento de riscos corporativos, assim como
as atividades individuais que se relacionam com o trabalho dos demais. Abrange tanto a
comunicação interna quanto a externa.
As pessoas deverão ter uma forma de comunicar informações significativas dos escalões
inferiores aos superiores. Deve haver, também, uma comunicação eficaz com terceiros,
como clientes, fornecedores, órgãos reguladores e acionistas.
Toda organização identifica e coleta uma ampla gama de informações relacionadas a
atividades e eventos externos e internos, pertinentes à administração. Essas informações
são transmitidas ao pessoal em uma forma e um prazo que lhes permita desempenhar suas
responsabilidades na administração de riscos corporativos e outras.
INFORMAÇÕES
As informações são necessárias em todos os níveis de uma organização, para identificar,
avaliar e responder a riscos, administrá-la e alcançar seus objetivos. Uma ampla série de
informações é utilizada, pertinente a uma ou mais categorias de objetivos.
As informações operacionais de fontes internas e externas, de natureza financeira e
não-financeira, são relevantes a diversos objetivos comerciais.
As informações financeiras, por exemplo, são empregadas no desenvolvimento de
demonstrações financeiras para fins de comunicação e decisões operacionais como o
monitoramento do desempenho e da alocação de recursos. As informações financeiras
Marcelo Aragão
confiáveis são fundamentais ao planejamento, à elaboração de orçamentos, à fixação de

preços, às avaliações do desempenho de vendedores, à avaliação de empreendimentos
conjuntos e alianças, bem como uma faixa de outras atividades gerenciais.
As informações originam-se de muitas fontes – internas e externas, e nas formas
quantitativas e qualitativas – e facilitam as respostas às condições alteradas. Um dos
desafios que se apresenta à administração é o processamento e a depuração de grandes
volumes de dados em informações úteis. Esse processo analisa e relata as informações
relevantes. Esses sistemas de informações – geralmente informatizados, mas que se
utilizam de entradas ou interfaces manuais – comumente são considerados no contexto
do processamento de dados gerados internamente. Porém os sistemas de informações
possuem uma aplicação muito mais ampla. Esses sistemas também tratam de informações
referentes a eventos internos e externos, por exemplo, dados econômicos específicos a
um mercado ou uma indústria que apontam para mudanças na demanda dos produtos
ou serviços de uma Companhia, dados de bens e serviços para processos de produção,
informações de inteligência de mercado sobre mudanças nas preferências ou exigências
de consumidores, informações relacionadas às atividades de desenvolvimento de produtos
da concorrência e iniciativas legislativas ou reguladoras.
Os sistemas de informações podem ser formais ou informais. Conversas com clientes,
fornecedores, órgãos reguladores e empregados da organização frequentemente provêm
informações críticas necessárias à identificação de riscos e de oportunidades. Da mesma
forma, a participação em seminários de profissionais ou da indústria, bem como o ingresso
em associações comerciais e outras podem ser fontes valiosas de informações.
É, particularmente, importante manter as informações compatíveis com as necessidades,
quando uma Companhia enfrenta mudanças fundamentais no setor, concorrentes altamente
inovadores e rápidos ou mudanças significativas na demanda dos clientes. Os sistemas
de informações modificam-se conforme necessário para o suporte de novos objetivos.
Eles identificam e capturam as informações necessárias, financeiras e não-financeiras,
processando e relatando-as na forma e no tempo que as torne úteis ao controle da atividade
da empresa.
QUALIDADE DAS INFORMAÇÕES
Em face da crescente dependência em relação a sistemas sofisticados de informações

e sistemas e processos automatizados de decisão, acionados por dados, a confiabilidade
dos dados é um fator crítico. Dados imprecisos podem gerar riscos não identificados ou
avaliações deficientes e decisões gerenciais inadequadas. A qualidade das informações
implica verificar se:
Marcelo Aragão
Para aprimorar a qualidade dos dados, as organizações estabelecem programas de

gerenciamento de dados do âmbito de toda a organização, abrangendo a aquisição, a
manutenção e a distribuição de informações relevantes. Sem esses programas, os sistemas
de informações não seriam capazes de fornecer as informações que a administração e
outros empregados venham a necessitar.
São muitos os desafios: necessidades funcionais conflitantes, limitações de sistema e
processos não integrados podem inibir a aquisição de dados e o uso eficaz. Para atender
a esses desafios, a administração estabelece um plano estratégico com clara definição de
responsabilidades pela integridade dos dados e executa avaliações periódicas da qualidade
dos dados.
De posse das informações corretas oportunamente e no local adequado, é essencial
conduzir o gerenciamento de riscos corporativos. Por esse motivo, os sistemas de informações,
apesar de serem um componente do gerenciamento de riscos corporativos, devem também
ser controlados.
COMUNICAÇÕES
A comunicação é inerente a todos os sistemas de informações e estes devem
fornecer informações ao pessoal apropriado para que este possa desincumbir-se de suas
responsabilidades operacionais, de comunicação e de conformidade. Porém a comunicação
também deve ocorrer em um sentido mais amplo, tratando de expectativas, responsabilidades
de indivíduos e grupos, bem como outras questões importantes.
INTERNAS
A administração fornece comunicações específicas e dirigidas que abordam as expectativas
de comportamento e as responsabilidades do pessoal. Isso inclui uma clara definição da
filosofia e da abordagem do gerenciamento de riscos corporativos, além de uma clara
delegação de autoridade. A comunicação referente aos processos e aos procedimentos
deverá alinhar-se e apoiar a cultura desejada.
Marcelo Aragão
As comunicações devem transmitir com eficácia:

• a importância e a pertinência do gerenciamento de riscos corporativos eficaz;
• os objetivos da organização;
• o apetite a riscos e a respectiva tolerância;
• uma linguagem comum de riscos;
• as funções e as responsabilidades do pessoal ao conduzir e apoiar os componentes
do gerenciamento de riscos corporativos.
Todos os empregados, especialmente os indivíduos aos quais foram atribuídas importantes

responsabilidades de gestão operacional ou financeira, necessitam receber uma mensagem
clara da alta administração alertando que o gerenciamento de riscos corporativos deve
ser levado a sério. Tanto a clareza da mensagem e a eficácia com a qual é comunicada são
fatores importantes.
EXTERNAS
Uma comunicação apropriada é necessária, não somente dentro da organização, como

também fora dela. Por meio de canais de comunicação abertos, clientes e fornecedores
podem fornecer informações altamente significativas referentes ao design ou à qualidade
dos produtos ou serviços, possibilitando, assim, a abordagem da organização em relação
à evolução das exigências ou preferências do cliente.
EXEMPLO
Reclamações ou indagações de clientes ou fornecedores relacionadas a embarques, recebimentos,
faturamento ou outras atividades, geralmente, indicam a existência de problemas operacionais
e, possivelmente, práticas fraudulentas ou outras indevidas. A administração deverá estar
sempre pronta para reconhecer as implicações dessas circunstâncias, investigar e adotar
as medidas corretivas necessárias, tendo em mente o impacto destas sobre os relatórios
financeiros, de conformidade e objetivos operacionais.
MEIOS DE COMUNICAÇÃO
A comunicação pode surgir sob a forma de manuais de políticas, memorandos, mensagens

de correio eletrônico, notificações em quadros de avisos, mensagens pela Internet e
mensagens gravadas em vídeo. Se as mensagens são transmitidas verbalmente – em grandes
grupos, pequenas reuniões ou sessões individuais – o tom de voz e a linguagem corporal
enfatizam aquilo que está sendo transmitido.
A forma pela qual a administração trata o seu pessoal pode transmitir uma mensagem
poderosa. Cabe aos gestores lembrarem que os atos dizem mais do que as palavras. Seus
Marcelo Aragão
atos, por sua vez, são influenciados pelo histórico e pela cultura da organização, baseando-se
em observações anteriores de como os seus mentores enfrentaram situações semelhantes.
Uma organização com um histórico de integridade nas operações e uma cultura bem
entendida pelas pessoas não encontrará muita dificuldade em passar a sua mensagem. Outra
sem tradição terá de pôr mais energia na forma em que as mensagens são comunicadas.
COMPONENTE: MONITORAMENTO
A integridade da gestão de riscos corporativos é monitorada e são feitas as modificações

necessárias.
Segundo Borgerth, um bom sistema de controle interno ou de gestão de riscos jamais
chega ao nível acabado, ele precisa passar por constantes testes e aprimoramentos, à
medida que novos cenários se tornam conhecidos ou que fragilidades são identificadas.
O monitoramento é realizado através de atividades gerenciais contínuas ou avaliações
independentes ou de ambas as formas.
Geralmente, os mecanismos de administração de riscos corporativos são estruturados
para fazer o próprio monitoramento de forma contínua, no mínimo até um certo ponto.
Quanto maior o alcance e a eficácia do monitoramento contínuo, menor a necessidade de
avaliações independentes.
Fica a critério da administração definir a frequência necessária de avaliações
independentes, de forma a ter garantia razoável da eficácia do gerenciamento de riscos
corporativos. Ao fazer essa determinação, a administração leva em conta a natureza e
a extensão das mudanças que estão ocorrendo, os riscos associados, a competência e a
experiência do pessoal que implementa as respostas a risco e os controles pertinentes,
além dos resultados do monitoramento contínuo.
Via de regra, uma combinação de monitoramento contínuo e avaliações independentes
será capaz de assegurar que o gerenciamento de riscos corporativos mantenha a sua eficácia
com o passar do tempo.
RELACIONAMENTO ENTRE OBJETIVOS E COMPONENTES –

O CUBO DO COSO
Segundo o COSO, existe um relacionamento direto entre os objetivos, que uma organização
se empenha em alcançar, e os componentes do gerenciamento de riscos, que representam
aquilo que é necessário para o seu alcance.
O modelo é apresentado na forma de uma matriz tridimensional, demonstrando uma
visão integrada dos componentes que uma administração precisa adotar para gerenciar
riscos de modo eficaz, no contexto dos objetivos e da estrutura em uma organização.
Marcelo Aragão
Esse relacionamento apresentado em uma matriz tridimensional em forma de cubo é

demonstrado na figura 10.
Figura 10: Modelo de Gestão de Riscos do COSO
• As quatro categorias de objetivos (estratégicos, operacionais, de comunicação e

conformidade) estão representadas nas colunas verticais.
• Os oito componentes nas linhas horizontais.
• As unidades de uma organização na terceira dimensão do cubo.
Essa representação ilustra a capacidade de manter o enfoque na totalidade do
gerenciamento de riscos de uma organização, ou na categoria de objetivos, componentes,
unidade da organização ou qualquer um dos subconjuntos.
A linha de cada componente “atravessa” e se aplica a todas as quatro categorias de
objetivos.
EXEMPLO
Os dados financeiros e não financeiros gerados a partir de fontes internas e externas,
pertencentes ao componente de informação e comunicação, são necessários para estabelecer
a estratégia, administrar as operações comerciais com eficácia, comunicar com eficácia e
certificar-se de que a organização esteja cumprindo as leis aplicáveis.
Da mesma forma, se observarmos as categorias de objetivos, todos os oito componentes

são relevantes entre si. Se tomarmos a categoria eficácia e eficiência das operações, por
exemplo, todos os oito componentes inter-relacionam-se e são importantes para sua
realização.
O gerenciamento de riscos corporativos é relevante a toda a organização ou a qualquer
uma de suas unidades. Esse relacionamento é ilustrado pela terceira dimensão, que
Marcelo Aragão
representa subsidiárias, divisões e outras unidades de negócios. Consequentemente, é

possível concentrar-se em qualquer uma das células dessa matriz.
EXEMPLO
Poderíamos considerar que a célula superior posterior direita represente o ambiente interno,
visto estar relacionada com os objetivos de compliance de uma dada subsidiária.
Deve-se reconhecer que as quatro colunas representam categorias de objetivos de uma

organização e não partes das unidades desta. Consequentemente, ao considerarmos a
categoria de objetivos relacionados à comunicação, por exemplo, será necessário conhecer
uma ampla gama de informações referentes às operações da organização.
ABRANGÊNCIA DO CONTROLE INTERNO

O controle interno é parte integrante do gerenciamento de riscos corporativos. A
estrutura do gerenciamento de riscos abrange o controle interno, originando dessa forma
uma conceituação e uma ferramenta de gestão mais eficiente. Os cinco componentes da
estrutura de controles internos (COSO 1) estão compreendidos dentre os oito componentes
da estrutura de gerenciamento de riscos.
Veja duas questões recentes do Cebraspe acerca da estrutura de gerenciamento de
riscos do COSO.
032. (CESPE/CEBRASPE/TCDF/AUDITOR/2021) Publicado em 2004, o COSO II substituiu o

COSO I como guia de melhores práticas na gestão de riscos e controles internos.
O COSO II não substituiu o COSO I como guia de melhores práticas na gestão de riscos e
controles internos. Além do controle interno ser parte integrante do gerenciamento de
riscos corporativos, a estrutura do COSO I continua existente e presente no cotidiano das
organizações.
Errado.
033. (CESPE/CEBRASPE/TCDF/AUDITOR/2021) A atuação da auditoria no ambiente de

controle e gestão de riscos surgiu a partir das recomendações do COSO II.
Marcelo Aragão
A questão faz uma afirmação forte de que a atuação da auditoria no ambiente de controle
e gestão de riscos surgiu a partir das recomendações do COSO II. Vale lembrar que a gestão
de riscos antecede ao estudo do COSO e que a estrutura de controle interno (COSO I)
estabelece a avaliação de riscos como um dos componentes de controle interno. De todo
modo, é inegável que com o surgimento do COSO II, a auditoria de uma geral passou a contar
com um grande referencial para avaliação. O gabarito da questão é certo, porém, com as
ressalvas que fizemos.
Certo.
EFICÁCIA DO GERENCIAMENTO DE RISCOS

A determinação do grau de eficácia do gerenciamento de riscos corporativos de uma
organização corresponde ao julgamento decorrente da avaliação da presença e da eficácia do
funcionamento dos oito componentes. Desse modo, os componentes também são critérios
para o gerenciamento eficaz de riscos corporativos. Para que os componentes possam
estar presentes e funcionar adequadamente, não poderá haver fraquezas significantes, e
os riscos necessitam ser enquadrados no apetite a risco da organização.
Quando se constata que o gerenciamento de riscos corporativos é eficaz em cada uma
das quatro categorias de objetivos, isso significa que a alta administração terá garantia
razoável de que entenderam até que ponto, os objetivos estratégicos e operacionais não
estão realmente sendo alcançados, o sistema de comunicação da empresa é confiável, e
todas as leis e regulamentos cabíveis estão sendo observados.
ADOÇÃO DO GERENCIAMENTO DE RISCOS PELAS

ORGANIZAÇÕES
Os oito componentes não funcionarão de forma idêntica em todas as organizações. A
sua aplicação em organizações de pequeno e médio portes, por exemplo, poderá ser menos
formal e menos estruturada.
Não obstante, as pequenas organizações podem apresentar um gerenciamento de
riscos eficaz, desde que cada um de seus componentes esteja presente e funcionando
adequadamente.
Portanto, a forma de implementar os componentes varia de acordo com o tamanho
da organização, mas todos os componentes devem ser mantidos por uma organização,
independente do seu porte.
Marcelo Aragão
EXEMPLO
Entidades pequenas não dispõem de auditoria interna para monitorar os controles internos
e a o gerenciamento de riscos, mas o dono ou o administrador tem que monitorar. Portanto,
a forma de implementar o componente “monitoramento” pode variar, mas o monitoramento
tem que ser realizado, para que a estrutura seja considerada eficaz.
LIMITAÇÕES
A despeito de oferecer importantes benefícios, o gerenciamento de riscos corporativos
está sujeito a limitações. Além dos fatores vistos anteriormente, as limitações originam-se
do fato de que o julgamento humano, no processo decisório, pode ser falho, as decisões de
respostas a risco e o estabelecimento dos controles necessitam levar em conta os custos
e benefícios relativos. Essas limitações impedem que o conselho e a alta administração
tenham absoluta garantia da realização dos objetivos da organização.
GERENCIAMENTO E MONITORAMENTO DE RISCOS

CORPORATIVOS SEGUNDO O COSO ERM (2017)
Em 2017, o COSO publicou a revisão do modelo de Gerenciamento de Risco de 2004,
intitulado Enterprise Risk Management - Alinhando Risco com Estratégia e Resultado (ERM
2017), que aborda diferentes pontos de vista da estrutura organizacional e contemplam
meios de alinhamento da gestão de riscos com a estratégia e tomada de decisões.
Dessa forma, o comitê destaca a importância do gerenciamento de riscos tanto na definição
quanto na execução da estratégia e no gerenciamento do desempenho organizacional.
Com a incorporação dessa perspectiva, o modelo proporciona maior alinhamento às
expectativas em torno das responsabilidades da governança e da alta administração no
cumprimento das suas obrigações de accountability.
A revisão atualiza os componentes, adota princípios, simplifica definições, enfatiza
o papel da cultura e melhora o foco no valor: como as organizações criam, preservam e
entregam valor, inserindo o gerenciamento de riscos em três dimensões fundamentais para
a gestão eficaz de uma organização:
• a missão, a visão e os valores fundamentais;
• os objetivos estratégicos e de negócios; e
• o desempenho organizacional.
Marcelo Aragão
Figura 11: COSO GRC 2017

Fonte: Roteiro de Gestão de Riscos – Avaliação da Maturidade – TCU, 2018
Com a revisão, o modelo passa a integrar o gerenciamento de riscos com outros processos
organizacionais, sobretudo os processos de governança, de definição da estratégia, de
definição dos objetivos e de gestão do desempenho, indo além da tradicional aplicação
do gerenciamento de riscos aos vários níveis da organização (por exemplo, no nível da
entidade, de unidades de negócios, divisões etc.). A versão final, publicada em junho de
2017, recebeu o nome oficial de Gerenciamento de Riscos Corporativos - Integrado com
Estratégia e Desempenho.
Conforme esclarece o TCU, em seu roteiro de Gestão de Riscos, o novo modelo explora
o papel do risco na seleção da estratégia, enfatizando dois aspectos principais que podem
ter um grande efeito no valor da organização: a possibilidade da estratégia não se alinhar e
as implicações das escolhas estratégicas. Isso torna ainda mais claras as responsabilidades
da governança e da alta administração no seu papel de supervisionar e no seu dever de se
envolver no processo de gerenciamento do risco corporativo de modo efetivo.
Os aspectos enfatizados são:
• a possibilidade da estratégia – e, assim, os objetivos estratégicos e de negócios – não
se alinhar com a missão, a visão e os valores fundamentais da organização; e
• as implicações da estratégica escolhida.
O novo modelo também melhora a integração da gestão de riscos com a gestão do

desempenho, explorando como as práticas de gerenciamento de riscos apoiam a identificação
e avaliação de riscos que impactam a implementação da estratégia e o alcance dos objetivos
de negócios.
Marcelo Aragão
COMPONENTES DO NOVO FRAMEWORK

Muita atenção em prova quanto aos componentes da nova estrutura, por ser o aspecto
mais cobrado pelas bancas organizadoras.
O modelo revisado reduz os componentes do gerenciamento de riscos de oito para cinco
componentes inter-relacionados:
Governance and Culture (Governança e cultura): a governança dá o tom da organização,
reforçando a importância e instituindo responsabilidades de supervisão sobre o gerenciamento
de riscos corporativos. A cultura diz respeito a valores éticos, a comportamentos esperados
e ao entendimento do risco em toda a entidade.
Strategy and Objective-Setting (Estratégia e definição de objetivos): gerenciamento
de riscos corporativos, estratégia e definição de objetivos atuam juntos no processo de
planejamento estratégico. O apetite a risco é estabelecido e alinhado com a estratégia; os
objetivos de negócios colocam a estratégia em prática e, ao mesmo tempo, servem como
base para identificar, avaliar e responder aos riscos.
Performance (Desempenho): os riscos que podem impactar a realização da estratégia
e dos objetivos de negócios precisam ser identificados e avaliados. Os riscos são priorizados
com base no grau de severidade, no contexto do apetite a risco. A organização determina as
respostas aos riscos e, por fim, alcança uma visão consolidada do portfólio e do montante
total dos riscos assumidos. Os resultados desse processo são comunicados aos principais
stakeholders envolvidos com a supervisão dos riscos.
Review and Revision (Análise e revisão): ao analisar sua performance, a organização
tem a oportunidade de refletir sobre até que ponto os componentes do gerenciamento de
riscos corporativos estão funcionando bem ao longo do tempo e no contexto de mudanças
relevantes, e quais correções são necessárias.
Information, Communication, and Reporting (Informação, comunicação e divulgação):
o gerenciamento de riscos corporativos demanda um processo contínuo de obtenção e
compartilhamento de informações precisas, provenientes de fontes internas e externas,
originadas das mais diversas camadas e processos de negócios da organização.
Os cinco componentes do novo Framework se combinam em um conjunto de princípios.
Esses princípios abrangem desde a governança até o monitoramento. Eles descrevem práticas
que podem ser aplicadas de diferentes formas nas organizações, independentemente do
seu tamanho, tipo ou setor econômico. A adoção dos princípios pode trazer ao conselho e
à administração a segurança de que a organização é capaz de gerenciar de modo aceitável
os riscos associados à estratégia e aos objetivos de negócios.
O COSO GRC 2004 continua sendo utilizado, porém a evolução das práticas, para convergir
ao novo modelo, é um esforço fortemente recomendável.
Marcelo Aragão
COMPONENTES E PRINCÍPIOS ASSOCIADOS (COSO ERM 2017)

Governança e cultura:
• Exerce supervisão do risco por intermédio do conselho — O conselho de administração
supervisiona a estratégia e cumpre responsabilidades de governança para ajudar a
administração a atingir a estratégia e os objetivos de negócios.
• Estabelece estruturas operacionais — A organização estabelece estruturas operacionais
para atingir a estratégia e os objetivos de negócios.
• Define a cultura desejada — A organização define os comportamentos esperados
que caracterizam a cultura desejada pela entidade.
• Demonstra compromisso com os valores fundamentais — A organização demonstra
compromisso com os valores fundamentais da entidade.
• Atrai, desenvolve e retém pessoas capazes — A organização tem o compromisso de
formar capital humano de acordo com a estratégia e os objetivos de negócios.
Estratégia e definição de objetivos

• Analisa o contexto de negócios — A organização leva em conta os possíveis efeitos
do contexto de negócios sobre o perfil de riscos.
• Define o apetite a risco — A organização define o apetite a risco no contexto da
criação, da preservação e da realização de valor.
• Avalia estratégias alternativas — A organização avalia estratégias alternativas e seu
possível impacto no perfil de riscos.
• Formula objetivos de negócios — A organização considera o risco enquanto estabelece
os objetivos de negócios nos diversos níveis, que se alinham e suportam a estratégia.
Desempenho
• Identifica o risco — A organização identifica os riscos que impactam a execução da
estratégia e os objetivos de negócios.
• Avalia a severidade do risco — A organização avalia a severidade do risco.
• Prioriza os riscos — A organização prioriza os riscos como base para a seleção das
respostas a eles.
• Implementa respostas aos riscos — A organização identifica e seleciona respostas
aos riscos.
• Adota uma visão de portfólio — A organização adota e avalia uma visão consolidada
do portfólio de riscos.
Análise e revisão
• Avalia mudanças importantes — A organização identifica e avalia mudanças capazes
de afetar de forma relevante a estratégia e os objetivos de negócios.
Marcelo Aragão
• Analisa riscos e performance — A organização analisa a performance da entidade e

considera o risco como parte desse processo.
• Busca o aprimoramento no gerenciamento de riscos corporativos — A organização
busca o aprimoramento contínuo do gerenciamento de riscos corporativos.
Informação, comunicação e divulgação

• Alavanca sistemas de informação — A organização maximiza a utilização dos sistemas
de informação e tecnologias existentes na entidade para impulsionar o gerenciamento
de riscos corporativos.
• Comunica informações sobre riscos — A organização utiliza canais de comunicação
para suportar o gerenciamento de riscos corporativos.
• Divulga informações de riscos, cultura e performance — A organização elabora e
divulga informações sobre riscos, cultura e performance abrangendo todos os níveis
e a entidade como um todo.
034. (FUNDATEC/CIA CARRIS PORTO-ALEGRENSE/AUDITOR/2021) COSO ERM 2017 –

Gerenciamento dos Riscos Corporativos – Integrado com Estratégia e Performance é um
conjunto de princípios organizados em cinco componentes inter-relacionados. Nesse sentido,
analise os seguintes princípios:
• Analisa riscos e performance.
• Avalia mudanças importantes.
• Busca o aprimoramento no gerenciamento de riscos corporativos.
A qual componente esses princípios se referem, com base no COSO ERM 2017?
a) Estratégia e definição de objetivos.
b) Análise e revisão.
c) Governança e cultura.
d) Informação, comunicação e divulgação.
e) Performance.
O componente do COSO ERM 2017 de ‘Análise e revisão’ compreende os seguintes elementos

ou princípios:
• Avalia mudanças importantes — A organização identifica e avalia mudanças capazes
de afetar de forma relevante a estratégia e os objetivos de negócios.
Marcelo Aragão
• Analisa riscos e performance — A organização analisa a performance da entidade e

considera o risco como parte desse processo.
• Busca o aprimoramento no gerenciamento de riscos corporativos — A organização
busca o aprimoramento contínuo do gerenciamento de riscos corporativos.
Letra b.
Por fim, vale destacar ainda os seguintes trechos do Sumário Executivo do COSO ERM
2017, que esclarecem a importância e os benefícios da nova estrutura de gerenciamento
de riscos integrada com a estratégia da organização.
O QUE O GERENCIAMENTO DE RISCOS CORPORATIVOS JÁ ALCANÇOU

O COSO publicou em 2004 a obra Enterprise Risk Management – Integrated Framework.
A finalidade era ajudar as entidades a protegerem e aperfeiçoar o valor dos stakeholders.
A filosofia da obra era a de que “o valor é maximizado quando a administração define
a estratégia e os objetivos de negócio para alcançar o melhor equilíbrio possível entre
crescimento e retorno, considerando os respectivos riscos, e aloca recursos de maneira
eficiente e eficaz para alcançar os objetivos da organização”
Desde sua publicação, o COSO ERM 2004 foi usado com êxito pelo mundo todo, em todos
os setores e em organizações de todos os tipos e portes, para identificar riscos, gerenciá-
los de acordo com o apetite a risco definido, e contribuir para o atingimento dos objetivos.
Contudo, embora muitos tenham aplicado o COSO ERM 2004 na prática, seu uso poderia
ser mais extenso.
O avanço poderia vir da exploração de alguns aspectos com maior profundidade e
clareza, e da relação entre estratégia, risco e performance. Em resposta, a publicação do
Framework atualizado:
• faz uma ligação mais clara entre gerenciamento de riscos corporativos e uma série
de expectativas dos stakeholders;
• posiciona o risco no contexto da performance da organização, e não como foco de
um raciocínio isolado;
• permite às organizações se antecipar ao risco e tirar proveito disso, entendendo que
mudanças geram oportunidades e não apenas a possibilidade de crises.
Esta atualização também atende ao pedido de maior ênfase na maneira como o
gerenciamento de riscos corporativos influencia a estratégia e sua execução.
BENEFÍCIOS DO EFETIVO GERENCIAMENTO DE RISCOS CORPORATIVOS

Todas as organizações precisam definir sua estratégia e ajustá-la periodicamente,
ficando sempre atentas às oportunidades de criação de valor e aos desafios que encontram
Marcelo Aragão
ao buscá-los. Para tanto, elas precisam do melhor framework possível para otimizar a
estratégia e a performance.
É aí que entra o gerenciamento de riscos corporativos. Quando ele é integrado em toda
a organização, podem ser obtidos muitos benefícios, entre eles:
• Aumento do leque de oportunidades: ao considerar todas as possibilidades – tanto
os aspectos positivos como os negativos do risco – a administração pode identificar
novas oportunidades e os desafios específicos relacionados às oportunidades atuais.
• Identificação e gestão do risco na entidade como um todo: toda entidade está
sujeita a vários tipos de riscos, que podem afetar diversas partes da organização. Às
vezes, um risco pode ser originário de uma parte da entidade, mas impactar outra
parte. Dessa forma, a administração identifica e gerencia os riscos na entidade como
um todo para manter e melhorar a performance.
• Aumento dos resultados positivos e da vantagem com a diminuição das surpresas
negativas: o gerenciamento de riscos corporativos permite às entidades melhorarem
sua capacidade de identificar riscos e definir as respostas adequadas, diminuindo as
surpresas e os custos ou prejuízos correspondentes e tirando proveito dos demais
desdobramentos favoráveis.
• Diminuição da oscilação da performance: para algumas entidades, os desafios não
são as surpresas e os prejuízos, mas sim a oscilação da performance. Uma performance
além das expectativas pode causar tanta preocupação quanto uma performance
aquém das expectativas. O gerenciamento de riscos corporativos permite prever os
riscos que poderiam afetar a performance e colocar em prática as medidas necessárias
para minimizar a disrupção e maximizar a oportunidade.
• Melhor distribuição de recursos: todo risco poderia ser considerado uma demanda
por recursos. A obtenção de informações rigorosas sobre riscos permite que a
administração, diante de recursos finitos, avalie as necessidades, priorize a distribuição
e melhore a alocação de recursos.
• Aumento da resiliência da empresa: a viabilidade da entidade no médio e longo prazo
depende de sua capacidade de prever mudanças e responder a elas – não apenas
para sobreviver, mas também para evoluir e prosperar. Em parte, isso é viabilizado
pela eficácia no gerenciamento de riscos corporativos e adquire importância cada
vez maior à medida que se acelera o ritmo da mudança e aumenta a complexidade
dos negócios.
Esses benefícios ressaltam o fato de que o risco não deve ser encarado unicamente como
uma possível restrição ou obstáculo à definição e à execução de uma estratégia. Pelo contrário,
a mudança trazida pela avaliação do risco e a correspondente resposta organizacional dão
origem a oportunidades estratégicas e a importantes competências diferenciadoras.
Marcelo Aragão
O PAPEL DO RISCO NA DEFINIÇÃO DA ESTRATÉGIA

Definir uma estratégia implica fazer escolhas e aceitar trade-offs. Sendo assim, faz total
sentido aplicar o gerenciamento de riscos corporativos à estratégia, uma vez que essa é
a melhor abordagem para desvendar a arte e a ciência de fazer escolhas fundamentadas.
O risco deve ser levado em conta em diversos processos de definição estratégica.
No entanto, ele é avaliado costumeiramente em relação a seu possível efeito em uma
estratégia anteriormente determinada. Em outras palavras, as discussões relacionam os
riscos à estratégia existente: temos uma estratégia, o que poderia afetar sua relevância
e viabilidade?
Mas há outras perguntas sobre estratégia que as organizações estão aprendendo a fazer
melhor: modelamos corretamente a demanda dos clientes? Nossa cadeia de suprimentos
entregará os pedidos nos prazos acordados e dentro do orçamento? Surgirão novos
concorrentes? Nossa infraestrutura tecnológica está à altura das demandas? Esses são
tipos de perguntas com as quais os executivos se defrontam todos os dias, e cujas respostas
serão fundamentais para a execução da estratégia.
O risco da estratégia escolhida, contudo, é apenas um dos aspectos a considerar.
Como este Framework destaca, existem dois outros aspectos do gerenciamento de riscos
corporativos que podem ter um efeito muito maior sobre o valor da entidade: a possibilidade
de desalinhamento e as implicações da estratégia escolhida.
O primeiro deles, a possibilidade de desalinhamento entre a estratégia e a missão, a
visão e os valores fundamentais da organização, é essencial para as decisões que servem
como base para a definição da estratégia. Toda organização tem uma missão, uma visão
e valores fundamentais que definem o que ela procura atingir e como quer conduzir seus
negócios. Algumas organizações demonstram ser reticentes quanto à adoção ampla dos
seus códigos e valores corporativos. Entretanto, já ficou demonstrado que missão, visão e
valores fundamentais são importantes – ainda mais quando se trata de gerenciar riscos e
manter-se resiliente em períodos de mudanças relevantes.
A estratégia escolhida precisa suportar a missão e a visão da organização. Uma estratégia
desalinhada aumenta a possibilidade de a organização não conseguir concretizar sua
missão e sua visão, ou comprometer seus valores, mesmo que a estratégia seja executada
satisfatoriamente. Por esses aspectos, o gerenciamento de riscos corporativos considera
a possibilidade de a estratégia estar desalinhada com a missão e a visão da organização.
O outro aspecto são as implicações da estratégia escolhida. Quando a administração
formula uma estratégia e estuda as alternativas em conjunto com o conselho, decisões são
tomadas levando em conta os trade-offs inerentes à estratégia. Cada estratégia alternativa
tem um perfil de risco próprio – essas são as implicações que emanam da estratégia. O
conselho e a administração precisam determinar se a estratégia funciona levando em conta
Marcelo Aragão
o apetite ao risco da organização e como ela direcionará a organização a definir objetivos

e alocar recursos com eficiência.
Chegamos ao ponto mais importante: o gerenciamento de riscos corporativos envolve
tanto entender as implicações da estratégia e a possibilidade de seu eventual desalinhamento,
como gerenciar os riscos associados aos objetivos de negócios.
O gerenciamento de riscos corporativos, como vem sendo tipicamente praticado,
ajudou muitas organizações a identificarem, avaliar e gerenciar os riscos da estratégia. No
entanto, as causas mais importantes de destruição de valor residem na possibilidade de a
estratégia não suportar a missão e a visão da entidade, e nas implicações decorrentes da
estratégia escolhida.
O gerenciamento de riscos corporativos destaca a escolha da estratégia. A definição de
uma estratégia demanda um processo decisório estruturado que analise os riscos e alinhe
os recursos com a missão e a visão da organização.
Bom, encerramos aqui a parte teórica da presente aula.
A seguir, veja o resumo desta aula e exercite o que aprendeu.
Marcelo Aragão
RESUMO
GOVERNANÇA
Segundo o IBGC, governança Corporativa é o sistema pelo qual as sociedades são dirigidas
e monitoradas, envolvendo os relacionamentos entre Acionistas / Cotistas, Conselho de
Administração, Diretoria, Auditoria Independente e Conselho Fiscal. As boas práticas de
Governança Corporativa têm a finalidade de aumentar o valor da sociedade, facilitar seu
acesso ao capital e contribuir para a sua perenidade.
Governança visa reduzir o chamado conflito de agência:
• O desenvolvimento das teorias sobre governança visa encontrar melhores respostas
à seguinte pergunta:
• Como maximizar a probabilidade de que o comportamento (ações) do Agente (altos
administradores) seja dirigido pelo atendimento dos interesses do Principal, e não
pelos seus próprios interesses ou de outrem?
GOVERNANÇA X GOVERNABILIDADE
• Governança representa a capacidade do Estado de formular e implementar políticas

públicas. Representa as condições administrativas e de gestão do Estado de atender
as necessidades dos cidadãos.
• Governabilidade significa as próprias condições substantivas e materiais de exercício
do poder e de legitimidade do Estado e do seu governo perante a sociedade e o
mercado.
• Na governança do setor público, o papel essencial da auditoria pública é fomentar e
assegurar a accountability (prestação de contas responsável), o que inclui a disseminação
de boas práticas de gestão.
CONCEITOS FUNDAMENTAIS DE GOVERNANÇA (REFERENCIAL DO TCU)
• Segundo a IFAC (2013), governança compreende a estrutura (administrativa, política,

econômica, social, ambiental, legal e outras) posta em prática para garantir que os
resultados pretendidos pelas partes interessadas sejam definidos e alcançados.
• De acordo com o Plano Estratégico do Tribunal de Contas da União governança pode
ser descrita como um sistema pelo qual as organizações são dirigidas, monitoradas
e incentivadas, envolvendo os relacionamentos entre sociedade, alta administração,
servidores ou colaboradores e órgãos de controle. Em essência, a boa governança

Marcelo Aragão
pública tem como propósitos conquistar e preservar a confiança da sociedade, por

meio de conjunto eficiente de mecanismos, a fim de assegurar que as ações executadas
estejam sempre alinhadas ao interesse público.
• Governança é um termo amplamente utilizado em diversos setores da sociedade, com
diferentes significados dependendo da perspectiva de análise. Entre as definições
mais conhecidas e utilizadas estão as relacionadas à governança corporativa, pública
e global.
• Governança corporativa: pode ser entendida como o sistema pelo qual as organizações
são dirigidas e controladas. Refere-se ao conjunto de mecanismos de convergência
de interesses de atores direta e indiretamente impactados pelas atividades das
organizações, mecanismos esses que protegem os investidores externos da expropriação
pelos internos (gestores e acionistas controladores).
• Governança pública: pode ser entendida como o sistema que determina o equilíbrio
de poder entre os envolvidos — cidadãos, representantes eleitos (governantes), alta
administração, gestores e colaboradores — com vistas a permitir que o bem comum
prevaleça sobre os interesses de pessoas ou grupos.
• Governança global: que pode ser entendida como o conjunto de instituições,
mecanismos, relacionamentos e processos, formais e informais, entre Estado, mercado,
cidadãos e organizações, internas ou externas ao setor público, através dos quais os
interesses coletivos são articulados, direitos e deveres são estabelecidos e diferenças
são mediadas.
• Governança no setor público refere-se, portanto, aos mecanismos de avaliação,
direção e monitoramento; e às interações entre estruturas, processos e tradições, as
quais determinam como cidadãos e outras partes interessadas são ouvidos, como as
decisões são tomadas e como o poder e as responsabilidades são exercidos. Preocupa-
se, por conseguinte, com a capacidade dos sistemas políticos e administrativos de
agir efetiva e decisivamente para resolver problemas públicos.
PERSPECTIVAS DE OBSERVAÇÃO DA GOVERNANÇA

a) organizacional;
b) políticas públicas;
c) centro de governo.

Marcelo Aragão
SISTEMA DE GOVERNANÇA PÚBLICA
• As instâncias externas de governança são responsáveis pela fiscalização, pelo controle

e pela regulação, desempenhando importante papel para promoção da governança
das organizações públicas. São autônomas e independentes, não estando vinculadas
apenas a uma organização. Exemplos típicos dessas estruturas são o Congresso
Nacional e o Tribunal de Contas da União.

Marcelo Aragão
• As instâncias externas de apoio à governança são responsáveis pela avaliação,

auditoria e monitoramento independente e, nos casos em que disfunções são
identificadas, pela comunicação dos fatos às instâncias superiores de governança.
Exemplos típicos dessas estruturas as auditorias independentes e o controle social
organizado.
• As instâncias internas de governança são responsáveis por definir ou avaliar a
estratégia e as políticas, bem como monitorar a conformidade e o desempenho
destas, devendo agir nos casos em que desvios forem identificados. São, também,
responsáveis por garantir que a estratégia e as políticas formuladas atendam ao
interesse público servindo de elo entre principal e agente. Exemplos típicos dessas
estruturas são os conselhos de administração ou equivalentes e, na falta desses, a
alta administração.
• As instâncias internas de apoio à governança realizam a comunicação entre partes
interessadas internas e externas à administração, bem como auditorias internas que
avaliam e monitoram riscos e controles internos, comunicando quaisquer disfunções
identificadas à alta administração. Exemplos típicos dessas estruturas são a ouvidoria,
a auditoria interna, o conselho fiscal, as comissões e os comitês.
PRINCÍPIOS BÁSICOS DE GOVERNANÇA (REFERENCIAL DO TCU)
• Legitimidade: princípio jurídico fundamental do Estado Democrático de Direito

e critério informativo do controle externo da administração pública que amplia a
incidência do controle para além da aplicação isolada do critério da legalidade. Não
basta verificar se a lei foi cumprida, mas se o interesse público, o bem comum, foi
alcançado.
• Equidade: promover a equidade é garantir as condições para que todos tenham acesso
ao exercício de seus direitos civis - liberdade de expressão, de acesso à informação, de
associação, de voto, igualdade entre gêneros -, políticos e sociais - saúde, educação,
moradia, segurança.
• Responsabilidade: diz respeito ao zelo que os agentes de governança devem ter
pela sustentabilidade das organizações, visando sua longevidade, incorporando
considerações de ordem social e ambiental na definição dos negócios e operações.
• Eficiência: é fazer o que é preciso ser feito com qualidade adequada ao menor custo
possível. Não se trata de redução de custo de qualquer maneira, mas de buscar a
melhor relação entre qualidade do serviço e qualidade do gasto.
• Probidade: trata-se do dever dos servidores públicos de demonstrar probidade, zelo,
economia e observância às regras e aos procedimentos do órgão ao utilizar, arrecadar,

Marcelo Aragão
gerenciar e administrar bens e valores públicos. Enfim, refere-se à obrigação que

têm os servidores de demonstrar serem dignos de confiança.
• Transparência: caracteriza-se pela possibilidade de acesso a todas as informações
relativas à organização pública, sendo um dos requisitos de controle do Estado pela
sociedade civil. A adequada transparência resulta em um clima de confiança, tanto
internamente quanto nas relações de órgãos e entidades com terceiros.
• Accountability: refere-se à obrigação que têm as pessoas ou entidades às quais se
tenham confiado recursos, incluídas as empresas e organizações públicas, de assumir
as responsabilidades de ordem fiscal, gerencial e programática que lhes foram
conferidas, e de informar a quem lhes delegou essas responsabilidades. Espera-se
que os agentes de governança prestem contas de sua atuação de forma voluntária,
assumindo integralmente as consequências de seus atos e omissões.
• Confiabilidade: previsto pelo Decreto 9.203/2017, representa a capacidade das
instituições de minimizar as incertezas para os cidadãos nos ambientes econômico,
social e político. Por isso, uma instituição confiável tem que se manter o mais fiel
possível aos objetivos e diretrizes previamente definidos, passar segurança à sociedade
em relação a sua atuação e, por fim, manter ações consistentes com a sua missão
institucional.
• Melhoria regulatória: também previsto pelo Decreto 9.203/2017, representa o
desenvolvimento e a avaliação de políticas e de atos normativos em um processo
transparente, baseado em evidências e orientado pela visão de cidadãos e partes
diretamente interessadas. Uma regulação bem direcionada, baseada em evidências
e escrita de forma simples, tem maior probabilidade de ser adequadamente
implementada e atingir seus objetivos, sejam econômicos, sociais ou ambientais.
OS MECANISMOS PARA O EXERCÍCIO DA GOVERNANÇA PÚBLICA
Segundo decreto do Executivo Federal, governança pública é o conjunto de mecanismos

de liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar
a gestão, com vistas à condução de políticas públicas e à prestação de serviços de interesse
da sociedade.
• Liderança: compreende conjunto de práticas de natureza humana ou comportamental

para o exercício da boa governança (integridade; competência; responsabilidade; e
motivação);
• Estratégia: compreende a definição de diretrizes, objetivos, planos e ações, além de
critérios de priorização e alinhamento entre organizações e partes interessadas, para

Marcelo Aragão
que os serviços e produtos de responsabilidade da organização alcancem o resultado

pretendido; e
• Controle: processos estruturados para mitigar os possíveis riscos com vistas ao alcance
dos objetivos institucionais e para garantir a execução ordenada, ética, econômica,
eficiente e eficaz das atividades da organização, com preservação da legalidade e da
economicidade no dispêndio de recursos públicos.
ESTRUTURA INTEGRADA DE CONTROLE INTERNO – COSO I
DEFINIÇÃO
Controle interno é um processo, conduzido pelo conselho de administração, diretoria
e por todo o pessoal da organização, projetado para fornecer segurança razoável quanto
à realização de objetivos nas seguintes categorias:
• operacionais (eficácia e eficiência das operações);
• de comunicação (confiabilidade das informações e relatórios);
• de conformidade (cumprimento de leis e regulamentações aplicáveis).
LIMITAÇÕES INERENTES
• erros de julgamento - pela administração ou por outras pessoas, ao tomar decisões,

em razão de informações inadequadas, restrições de tempo e outros motivos;
• falhas – cometidas por pessoas que não entendem instruções corretamente ou
cometem erros por falta de cuidado, distração ou cansaço;
• conluio – indivíduos que agem conjuntamente, podem praticar fraude e de forma
que ela não seja detectada pelos controles internos;
• atropelamento pela administração – que burla ou passa por cima de procedimentos
ou de políticas, com objetivos ilegítimos;
• eventos externos – acontecimentos externos, fora do controle da organização,
podem limitar os controles;
• custos versus benefícios – o custo dos controles internos de uma entidade não deve
superior aos benefícios que deles se esperam. Assume-se certos riscos, quando se
reduz os procedimentos de controle em função dos benefícios esperados.
CATEGORIAS DE OBJETIVOS
• Operacional: Esses objetivos são relacionados com a eficiência e eficácia dos processos
operacionais, incluindo o desempenho quanto ao alcance das metas financeiras e/ou
operacionais, bem como com a salvaguarda dos ativos contra a ameaça de perdas.

Marcelo Aragão
• Comunicação ou Divulgação: Esses objetivos relacionam-se a divulgações financeiras e

não financeiras, internas e externas, podendo abranger os requisitos de confiabilidade,
oportunidade, transparência ou outros termos estabelecidos pelas autoridades
normativas, órgãos normatizadores reconhecidos, ou às políticas da entidade.
• Conformidade: Esses objetivos dizem respeito à aderência a normas, leis e regulamentos
em que a organização tem obrigação.
COMPONENTES DA ESTRUTURA DE CONTROLE INTERNO SEGUNDO O COSO
• Ambiente de controle.
• Avaliação de riscos.
• Atividades ou procedimentos de controle.
• Informação e comunicação.
• Atividades de monitoramento.
PRINCÍPIOS RELEVANTES ASSOCIADOS A CADA COMPONENTE
Ambiente de controle
• A organização demonstra ter compromisso com a integridade e os valores éticos.
• O conselho de administração mantém independência em relação à diretoria e exerce
a supervisão do desenvolvimento e desempenho do controle interno.
• A administração estabelece, com a supervisão do conselho, estruturas, níveis de
subordinação e as autoridades e responsabilidades adequadas na busca dos objetivos.
• A organização demonstra um compromisso de atrair, desenvolver e manter pessoas
competentes, em alinhamento com os objetivos.
• A organização faz com que as pessoas assumam responsabilidade por suas funções
de controle interno na busca pelos objetivos.
Avaliação de riscos
• A organização especifica os objetivos com clareza suficiente para permitir a identificação
e avaliação dos riscos associados aos objetivos.
• A organização identifica os riscos para a concretização dos objetivos da entidade e
analisa riscos como uma base para determinar como os riscos devem ser gerenciados.
• A organização considera potenciais fraudes na avaliação dos riscos quanto à realização
dos objetivos.
• A organização identifica e avalia as mudanças que poderiam afetar significativamente
o sistema de controle interno.

Marcelo Aragão
Atividades de controle
• A organização seleciona e desenvolve atividades de controle que contribuem para a
redução, a níveis aceitáveis, de riscos para a realização dos objetivos.
• A organização seleciona e desenvolve atividades gerais de controle sobre a tecnologia
da informação para apoiar a realização dos objetivos.
• A organização implanta atividades de controle por meio de políticas que estabelecem
o que é esperado e os procedimentos que devem ser aplicados.
Informação e comunicação
• A organização obtém ou gera e utiliza informação de qualidade relevante para apoiar
o funcionamento do controle interno.
• A organização comunica internamente as informações, incluindo os objetivos e
responsabilidades perante os controles, para apoiar o funcionamento do controle
interno.
• A organização comunica às partes externas sobre assuntos que afetam o funcionamento
do controle interno.
Atividades de monitoramento
• A organização seleciona, desenvolve e realiza avaliações contínuas e/ou independentes
para se certificar da presença e do funcionamento dos componentes da estrutura
de controle interno.
• A organização avalia e comunica deficiências no controle interno em tempo hábil
objetivando que as partes responsáveis adotem medidas corretivas, incluindo a alta
administração e o conselho de administração, conforme o caso.

Marcelo Aragão
COSO ERM - GESTÃO DE RISCOS (COSO II)
• Gerenciar riscos é fundamental para o sucesso de qualquer organização, pois oferece

uma segurança razoável quanto ao alcance dos seus objetivos.
• As organizações públicas necessitam gerenciar riscos, identificando-os, analisando-
os e, em seguida, avaliando se eles devem ser modificados por algum tratamento,
de maneira a propiciar segurança razoável para que os objetivos sejam alcançados.
• A gestão de riscos compreende todas as atividades coordenadas para dirigir e controlar
uma organização no que se refere ao risco. Não é uma atividade autônoma, separada das
demais, mas sim parte de todos os processos organizacionais, incluindo o planejamento
estratégico, os projetos e processos de gestão em todos os níveis da organização.
• Cada pessoa na organização tem uma parcela de responsabilidade na gestão de
riscos e todo o pessoal deve receber uma mensagem clara da governança e da alta
administração de que as responsabilidades de gerenciamento de riscos devem ser
levadas a sério.
RESPONSABILIDADES DOS AGENTES DE GOVERNANÇA E GESTÃO PELO GERENCIAMENTO

DE RISCOS
• A alta administração e os órgãos de governança - possuem, coletivamente, a

responsabilidade e o dever de prestar contas sobre o estabelecimento dos objetivos
da organização, a definição de estratégias para alcançá-los e o estabelecimento de
estruturas e processos de governança para melhor gerenciar os riscos durante a
realização dos objetivos.
• Principais executivos - a administração é diretamente responsável pela concepção,
estruturação e implementação da gestão de riscos. Em qualquer organização, o
presidente ou dirigente máximo é o depositário final dessa responsabilidade, cabendo-
lhe assumir a iniciativa.
• Funcionários da linha de frente - como lidam diariamente com questões operacionais
críticas, estão em melhores condições para reconhecer e comunicar riscos que podem
surgir e essa responsabilidade é geralmente atribuída a todos os funcionários, cujo
cumprimento exige canais de comunicação para cima e clara disposição para ouvir.
• Função de coordenação das atividades de gestão de riscos - em organizações grandes,
e dependendo de fatores como o ambiente e o setor de atuação, a complexidade
das operações, a natureza das atividades e o grau de regulamentação, pode haver
uma função separada para coordenar as atividades de gestão de riscos por toda a
organização e para fornecer habilidades e conhecimentos especializados.

Marcelo Aragão
• Função de compliance - pode haver uma função de compliance que monitora riscos
específicos de não conformidade com leis e regulamentos, reportando diretamente
aos órgãos de governança, reguladores ou à alta administração, ou múltiplas funções
com responsabilidades por tipos específicos de monitoramento da conformidade,
como saúde e segurança, meio ambiente, licitações e contratos, controle de qualidade;
bem como uma função de controladoria que monitore os riscos financeiros e questões
de reporte financeiro.
• Função de auditoria interna - tem o papel de auxiliar a organização a realizar seus
objetivos a partir da aplicação de uma abordagem sistemática e disciplinada para
avaliar e melhorar a eficácia dos processos de gerenciamento de riscos, controle e
governança.
FINALIDADES DA GESTÃO DE RISCOS
• Alinhar o apetite a risco com a estratégia adotada – os administradores avaliam

o apetite a risco da organização ao analisar as estratégias, definindo os objetivos a
elas relacionados e desenvolvendo mecanismos para gerenciar esses riscos.
• Fortalecer as decisões em resposta aos riscos – o gerenciamento de riscos corporativos
possibilita o rigor na identificação e na seleção de alternativas de respostas aos riscos
– como evitar, reduzir, compartilhar e aceitar os riscos.
• Reduzir as surpresas e prejuízos operacionais – as organizações adquirem melhor
capacidade para identificar eventos em potencial e estabelecer respostas a estes,
reduzindo surpresas e custos ou prejuízos associados.
• Identificar e administrar riscos múltiplos e entre empreendimentos – toda
organização enfrenta uma gama de riscos que podem afetar diferentes áreas da
organização. A gestão de riscos corporativos possibilita uma resposta eficaz a impactos
inter-relacionados e, também, respostas integradas aos diversos riscos.
• Aproveitar oportunidades – pelo fato de considerar todos os eventos em potencial,
a organização posiciona-se para identificar e aproveitar as oportunidades de forma
proativa.
• Otimizar o capital – a obtenção de informações adequadas a respeito de riscos
possibilita à administração conduzir uma avaliação eficaz das necessidades de capital
como um todo e aprimorar a alocação desse capital.

Marcelo Aragão
COMPONENTES DO GERENCIAMENTO DE RISCOS (OITO COMPONENTES INTER-

RELACIONADOS E INTEGRADOS COM O PROCESSO DE GESTÃO)
• Ambiente Interno – o ambiente interno compreende o tom de uma organização e

fornece a base pela qual os riscos são identificados e abordados pelo seu pessoal,
inclusive a filosofia de gerenciamento de riscos, o apetite a risco, a integridade e os
valores éticos, além do ambiente em que estes estão.
• Fixação de Objetivos – os objetivos devem existir antes que a administração
possa identificar os eventos em potencial que poderão afetar a sua realização. O
gerenciamento de riscos corporativos assegura que a administração disponha de
um processo implementado para estabelecer os objetivos que propiciem suporte
e estejam alinhados com a missão da organização e sejam compatíveis com o seu
apetite a riscos.
• Identificação de Eventos – os eventos internos e externos que influenciam o
cumprimento dos objetivos de uma organização devem ser identificados e classificados
entre riscos e oportunidades. Essas oportunidades são canalizadas para os processos
de estabelecimento de estratégias da administração ou de seus objetivos.
• Avaliação de Riscos – os riscos são analisados, considerando-se a sua probabilidade
e o impacto como base para determinar o modo pelo qual deverão ser administrados.
Esses riscos são avaliados quanto à sua condição de inerentes e residuais.
• Resposta a Risco – a administração escolhe as respostas aos riscos - evitando,
aceitando, reduzindo ou compartilhando – desenvolvendo uma série de medidas para
alinhar os riscos com a tolerância e com o apetite a risco.
• Atividades de Controle – políticas e procedimentos são estabelecidos e implementados
para assegurar que as respostas aos riscos sejam executadas com eficácia.
• Informações e Comunicações – as informações relevantes são identificadas, colhidas e
comunicadas de forma e no prazo que permitam que cumpram suas responsabilidades.
A comunicação eficaz também ocorre em um sentido mais amplo, fluindo em todos
níveis da organização.
• Monitoramento – a integridade da gestão de riscos corporativos é monitorada e
são feitas as modificações necessárias. O monitoramento é realizado através de
atividades gerenciais contínuas ou avaliações independentes ou de ambas as formas.

Marcelo Aragão

MAPA MENTAL
GOVERNANÇA ORGANIZACIONAL (ATUALIZADO)

GERENCIAMENTO DE RISCOS – COSO II (2004)

Marcelo Aragão
QUESTÕES COMENTADAS EM AULA
001. (CESPE/CEBRASPE/EBC/TÉCNICO/2011) Governança e governabilidade são conceitos

distintos, contudo fortemente relacionados, até mesmo, complementares. O primeiro
refere-se às condições substantivas de exercício do poder e de legitimidade do Estado; o
segundo representa os aspectos instrumentais do exercício do poder, ou seja, a capacidade
do Estado de formular e implementar políticas públicas.
002. (CESPE/CEBRASPE/TCE-RJ/ANALISTA/2021) Governabilidade refere-se tanto à gestão

de instituições governamentais quanto a mecanismos formais não governamentais e seus
efeitos sobre a conduta das pessoas.
003. (CESPE/CEBRASPE/TCE-RJ/ANALISTA/2021) O acesso à informação governamental

pelos cidadãos é uma estratégia de promoção da transparência pública.
004. (FGV/TCE-AM/AUDITOR/OBRAS PÚBLICAS/2021) Os princípios básicos que definem

as boas práticas de governança foram concebidos no âmbito empresarial, mas podem ser
aplicados em larga medida às entidades da administração pública. No contexto da gestão
pública, a adoção de políticas e ações que promovam justiça social entre os habitantes de
um território, com vistas ao bem-estar social, está associada ao princípio do(a):
a) accountability;
b) equidade;
c) prestação de contas;
d) responsabilidade;
e) transparência.
005. (CESPE/CEBRASPE/TCE-RJ/ANALISTA/2021) Accountability refere-se aos mecanismos

disponíveis para a prestação de contas das ações realizadas em nome de políticas públicas.
006. (CESPE/CEBRASPE/FUNPRESP/ANALISTA/2016) O princípio de accountability estabelece

007. (CESPE/CEBRASPE/TCE-RJ/ANALISTA/2021) O controle da atividade dos políticos

e dos governos exercida pelos cidadãos por meio de voto constitui um mecanismo de
accountability horizontal.

Marcelo Aragão
(CESPE/CEBRASPE/EMAP/ANALISTA/2018) Com relação à governança no setor público,

julgue os itens a seguir.
008. A gestão tática é responsável pela execução de processos produtivos finalísticos

e de apoio.
009. As instâncias externas de governança são responsáveis por definir ou avaliar a estratégia
e as políticas, bem como por monitorar sua conformidade e o desempenho.
(CESPE/CEBRASPE/IPHAN/ANALISTA/2018) No que se refere aos mecanismos de governança,

julgue o item a seguir.
010. Liderança, estratégia e controle são considerados exemplos de mecanismos de

governança.
011. (CESPE/CEBRASPE/TCDF/CONSELHEIRO-SUBST/2021) Considerando os princípios

básicos de auditoria no âmbito do setor público, julgue os itens a seguir.
A governança no setor público tem por objetivo conduzir as políticas públicas na direção
da prestação de serviços de interesse da sociedade.
012. (CESPE/CEBRASPE/TELEBRAS/AUDITOR/2013) A implementação do controle interno

em uma entidade garante que os objetivos da organização sejam alcançados.
013. (CESPE/CEBRASPE/TELEBRAS/AUDITOR/2013) O termo controle interno significa,

basicamente, a automação das rotinas operacionais da entidade. Por meio dessa automação
é obtida a redução de custos, a redução da probabilidade de erros e o aprimoramento das
atividades desenvolvidas.
014. (CESPE/CEBRASPE/TELEBRAS/AUDITOR/2013) O controle interno é um processo que

envolve toda a organização, principalmente a alta administração.
015. (CESPE/CEBRASPE/TELEBRAS/AUDITOR/2013) Promover a confiabilidade nos relatórios

financeiros é um dos objetivos do controle interno.
016. (CESPE/CEBRASPE/TELEBRAS/AUDITOR/2015) Caso uma organização venha a ser

vítima de condutas que objetivem fraudar ou fragilizar seus controles, o aprimoramento
dos controles internos dessa empresa constituirá uma medida efetiva para evitar que tais
condutas se verifiquem novamente.

Marcelo Aragão
017. (FGV/TJ-PI/ANALISTA/2016) De acordo com as Normas internacionais para a prática

profissional de auditoria interna, emitidas pelo Institute of Internal Auditors, a avaliação
do ambiente de controle é componente essencial para se atingir os principais objetivos do
sistema de controle interno. São elementos constituintes do ambiente de controle, EXCETO:
a) atividades de controle sobre a tecnologia;
b) atribuição de autoridade e responsabilidade;
c) estilo operacional da administração;
d) integridade e valores éticos;
e) políticas e práticas de recursos humanos.
018. (CESPE/CEBRASPE/TELEBRAS/AUDITOR/2015) Caso uma organização tenha o alcance de

seus objetivos prejudicado pela ocorrência de alterações inesperadas no ambiente externo,
como aumento da inflação e do desemprego, então ela precisará implementar melhorias
no componente avaliação de riscos.
019. (CESPE/CEBRASPE/TELEBRAS/AUDITOR/2013) As atividades de controle são políticas

e procedimentos que têm o propósito de assegurar que as diretrizes necessárias para
responder aos riscos sejam implementadas.
020. (CESPE/CEBRASPE/CGE-CE/AUDITOR/2019) Assinale a opção correta, acerca de

atividades de controle.
a) As políticas da entidade têm influência indireta sobre as atividades de controle.
b) As atividades de controle se restringem ao sistema de controle interno.
c) É vedada a segregação de funções das atividades de controle.
d) As atividades de controle se destinam ao nível de governança.
e) A detecção de fraudes e risco resume as atividades de controle.
021. (CESPE/CEBRASPE/TELEBRAS/AUDITOR/2013) Um dos requisitos do componente

informação e comunicação é assegurar que os sistemas informatizados sejam periodicamente
revisados, atualizados e validados, para garantir a produção de informações adequadas e
confiáveis.
022. (CESPE/CEBRASPE/TELEBRAS/AUDITOR/2013) Para assegurar que o sistema de controle

interno seja efetivo, as instituições devem implementar ações de monitoramento.
023. (CESPE/CEBRASPE/FUB/AUDITOR/2015) O componente monitoramento, por propiciar

disciplina e estrutura, minimizando os riscos e assegurando que os controles internos funcionem
como o previsto, está posicionado estrategicamente na base do cubo tridimensional proposto
pelo COSO ERM (COSO II), com o propósito de suportar todos os outros componentes do sistema.

Marcelo Aragão
024. (CESPE/CEBRASPE/TELEBRAS/AUDITOR/2013) No modelo COSO de controle interno,

existe um relacionamento direto entre os objetivos organizacionais, os componentes do
controle e as unidades de negócio ou atividades, formando uma matriz tridimensional.
025. (CESPE/CEBRASPE/TELEBRAS/AUDITOR/2013) Risco é a probabilidade de perda ou

incerteza associada ao cumprimento de um objetivo.
026. (CESPE/CEBRASPE/SEFAZ-RS/AUDITOR/2018) Entre as quatro categorias de objetivos

organizacionais estabelecidas pelo COSO inclui-se a categoria dos objetivos operacionais,
cujo propósito é
a) assegurar o cumprimento das leis e dos regulamentos.
b) utilizar de forma eficaz e eficiente os recursos.
c) viabilizar o atingimento de metas no nível mais elevado, alinhando-se e fornecendo apoio
à missão.
d) evitar perda de ativos ou recursos da organização.
e) atestar a confiabilidade dos relatórios.
027. (CESPE/CEBRASPE/SEFAZ-RS/AUDITOR/2018) Diversos tipos de alterações, como, por

exemplo, nas condições demográficas, nos costumes sociais, nas estruturas das famílias,
nas prioridades de trabalho, podem provocar mudanças na demanda de produtos e serviços,
novos locais de compra, demandas relacionadas a recursos humanos e paralisações da
produção. De acordo com o COSO, as relações entre essas alterações e seus efeitos são
consideradas eventos
a) políticos.
b) de meio ambiente.
c) sociais.
d) pessoais.
e) econômicos.
028. (FGV/TCE-AM/AUDITOR/OBRAS PÚBLICAS/2021) Um dos componentes da Estrutura

Integrada de Gerenciamento de Riscos proposta pelo COSO é a Identificação de Eventos.
De acordo com as diretrizes desse componente:
a) as técnicas de identificação de eventos devem ter foco em perspectivas futuras;
b) eventos cujo impacto é positivo contrabalançam os impactos negativos dos riscos;
c) eventos ocorridos no nível estratégico se sobrepõem aos ocorridos no nível operacional;
d) eventos que representam oportunidades devem ser mais enfatizados do que eventos
que representam riscos;
e) o grau de profundidade na identificação de eventos deve ser homogêneo em organizações
com objetivos semelhantes.

Marcelo Aragão
029. (ESAF/CGU/ANALISTA/2012) Da análise do conceito de risco, é correto afirmar que

a) eventos de impacto negativo podem originar-se a partir de condições aparentemente
positivas.
b) qualquer evento que cause impacto na organização deve ser considerado um risco.
c) oportunidade é a possibilidade de que um evento ocorra e não influencie a realização
dos objetivos.
d) um evento não pode causar um impacto positivo e negativo ao mesmo tempo.
e) os efeitos dos riscos afetam apenas o futuro, não o presente.
030. (CESPE/CEBRASPE/EMAP/ANALISTA PORTUÁRIO/2018) Acerca da gestão de riscos,

julgue o item seguinte.
Se uma equipe de gerenciamento de um projeto identificar vários riscos e suas probabilidades
de ocorrência, então ela terá condições de elaborar a avaliação desses riscos para identificar
aqueles mais relevantes.
031. (CESPE/CEBRASPE/SEFAZ-RS/AUDITOR/2018) A administração de uma universidade

estadual identificou e avaliou os riscos associados com a gerência da residência estudantil:
concluiu que a referida gerência não possuía internamente os requisitos necessários e as
funcionalidades para administrar eficazmente essa grande propriedade residencial, razão pela
qual optou por terceirizar a administração da residência para uma empresa especializada,
que, entre outros fatores, tivesse condições de reduzir o impacto e a probabilidade de riscos.
De acordo com o COSO, a categoria de resposta a risco descrita na situação hipotética
apresentada é
a) compartilhar.
b) evitar.
c) reduzir.
d) aceitar.
e) acolher.
032. (CESPE/CEBRASPE/TCDF/AUDITOR/2021) Publicado em 2004, o COSO II substituiu o

COSO I como guia de melhores práticas na gestão de riscos e controles internos.
033. (CESPE/CEBRASPE/TCDF/AUDITOR/2021) A atuação da auditoria no ambiente de

controle e gestão de riscos surgiu a partir das recomendações do COSO II.
034. (FUNDATEC/CIA CARRIS PORTO-ALEGRENSE/AUDITOR/2021) COSO ERM 2017 –

Gerenciamento dos Riscos Corporativos – Integrado com Estratégia e Performance é um
conjunto de princípios organizados em cinco componentes inter-relacionados. Nesse sentido,
analise os seguintes princípios:

Marcelo Aragão
• Analisa riscos e performance.

• Avalia mudanças importantes.
• Busca o aprimoramento no gerenciamento de riscos corporativos.
A qual componente esses princípios se referem, com base no COSO ERM 2017?
a) Estratégia e definição de objetivos.
b) Análise e revisão.
c) Governança e cultura.
d) Informação, comunicação e divulgação.
e) Performance.

Marcelo Aragão
QUESTÕES DE CONCURSO
035. (CESPE/CEBRASPE/TRE-RS/TÉCNICO JUDICIÁRIO/2015) No que se refere à gestão de

riscos, assinale a opção correta.
a) A competência para alocar os recursos necessários para que a gestão de riscos aconteça
é do comitê de gestão de riscos.
b) Para evitar-se que o tratamento de riscos gere elevado custo para as organizações,
deve-se escolher uma única maneira de tratá-los.
c) O risco se refere à certeza de que um evento irá acontecer, o que pode causar impacto
positivo ou negativo nos objetivos organizacionais.
d) O tratamento apropriado do risco refere-se a sua completa eliminação; caso contrário,
terá ocorrido falha no tratamento.
e) A nomeação do comitê de gestão de riscos, encarregado de desenvolver o processo de
gestão de riscos, é de responsabilidade do presidente do TRE/RS.
036. (CESPE/CEBRASPE/TCE-PR/ANALISTA/2016) A respeito de controles internos, de acordo

com o Manual de Gerenciamento de Riscos Corporativos — Estrutura Integrada (COSO II),
do Committee of Sponsoring Organization, assinale a opção correta.
a) No gerenciamento de riscos corporativos, a fixação dos objetivos será realizada após a
identificação dos eventos, a fim de se determinar quais ações serão realizadas para cada
tipo de risco.
b) Risco inerente é aquele que perdura mesmo depois da resposta dos dirigentes da
organização.
c) Em uma organização, o gerenciamento de riscos corporativos, processo conduzido pelos
seus membros, consiste em estabelecer estratégias para identificar e administrar potenciais
eventos capazes de afetá-la.
d) Nas atividades de monitoramento, a organização deve escolher e executar avaliações
para averiguar se os componentes do controle externo estão em operação.
e) Segundo o COSO II, são quatro os componentes para o gerenciamento de riscos corporativos:
ambiente externo; fixação de objetivos; estabelecimento de riscos; atividades de controle;
e monitoramento.
037. (CESPE/CEBRASPE/TRE-PI/ANALISTA/2016) A respeito dos elementos que caracterizam

governabilidade, governança e accountability na administração pública, assinale a
opção correta.

Marcelo Aragão
a) a governança pública é caracterizada pelo atendimento dos interesses dos cidadãos

por meio da implantação de políticas públicas, preservando-se o equilíbrio financeiro e os
interesses do governo.
b) governabilidade refere-se à capacidade de governar, à eficiência na gestão da máquina
pública e à implantação das políticas públicas.
c) o termo accountability está relacionado aos lançamentos contábeis das receitas e despesas
de um órgão público para controle orçamentário, cuja finalidade primordial é a elaboração
de demonstrações financeiras.
d) as câmaras setoriais existentes no Brasil, por possuírem integrantes de sindicatos e
empresariados, são exemplos de corporativismo e visam reforçar a governabilidade, embora
representem ameaça para a governança do país.
e) as entidades sindicais, legitimadas pelo governo, retratam um exemplo típico de
clientelismo, uma vez que possuem poderes para representar classes trabalhistas e defender
os interesses governamentais.
038. (CESPE/CEBRASPE/TCE-PR/ANALISTA/2016) Assinale a opção correta, a respeito de

governança no setor público.
a) as instâncias externas de governança responsáveis pelo exercício de fiscalização e controle
são autônomas, mas podem depender de outras organizações.
b) as instâncias internas de governança responsáveis pela avaliação de estratégias e políticas
e pelo monitoramento de conformidade estão impedidas de atuar nas situações em que
desvios forem identificados.
c) no setor público, a governança é analisada sob três perspectivas: sociedade e Estado;
atividades extraorganizacionais; e órgãos e entidades.
d) a auditoria é entendida como um instrumento de verificação da governança.
e) um dos princípios de governança no setor público, a prestação de contas por responsabilidade
conferida ao gestor público será obrigatória apenas em determinadas situações.
039. (CESPE/CEBRASPE/TRE-PE/ANALISTA/2017) Governança pública refere-se à forma de

gerenciamento de recursos de um país. Um de seus princípios basilares é a
a) transparência, que envolve a disponibilização de informações como estratégia de combate
à corrupção.
b) cidadania, que é obtida com a participação compulsória de cidadãos em conselhos
populares.
c) accountability, que se refere à capacidade do Estado de executar sua gestão e implementar
políticas públicas.

Marcelo Aragão
d) responsabilidade civil, que se refere à pressão popular para o cumprimento das normas
da administração pública.
e) economia de custos, o que exige que o Estado privilegie o menor custo em todas as suas
compras e contratos.
040. (CESPE/CEBRASPE/CGE-CE/AUDITOR/2019) Na estrutura de um ciclo de governança

na gestão pública, o elemento voltado à realização dos objetivos organizacionais por meio
da estruturação e do desenvolvimento de processos é denominado
a) administração.
b) controle
c) accountability
d) governabilidade
e) supervisão
041. (CESPE/CEBRASPE/TCE-RO/AUDITOR/2019) Acerca de governança no setor público,

assinale a opção correta.
a) A governança de órgãos e entidades da administração pública envolve três funções
básicas: avaliar; direcionar; orientar e certificar os resultados.
b) Exemplo de accountability vertical é o processo de impeachment de presidente da
República.
c) O princípio de equidade na governança pública diz respeito ao zelo que os agentes de
governança devem ter pela sustentabilidade das organizações visando a sua longevidade
e incorporando considerações de ordem social e ambiental na definição dos negócios e
operações.
d) A governança no setor público pode ser analisada sob as seguintes perspectivas: sociedade
e Estado; entes federativos, esferas de poder e políticas públicas; órgãos e entidades; e
atividades intraorganizacionais.
e) Os componentes dos mecanismos de governança pública são assinalados pela liderança,
pelo comando e pelo controle.
042. (CESPE/CEBRASPE/MPC-PA/ANALISTA/2019) Considere as assertivas a seguir.

I – É necessário que o governo seja capaz de intermediar os interesses distintos e que haja
harmonia nas relações entre os poderes políticos.
II – A prestação de contas de maneira transparente e a responsabilização de agentes públicos
por improbidade administrativa são atos inerentes à gestão pública.
As assertivas I e II se referem, respectivamente, a
a) governança e governabilidade.
b) governabilidade e accountability.

Marcelo Aragão
c) governança e accountability.
d) governabilidade e governança.
e) accountability e governança.
043. (CESPE/CEBRASPE/SEFAZ-RS/AUDITOR/2018) Determinado componente do

gerenciamento de riscos corporativos permite que a organização considere até que ponto
eventos em potencial podem impactar o atingimento de seus objetivos. O COSO denomina
esse componente de
a) monitoramento.
b) atividades de controle.
c) avaliação de riscos.
d) identificação de eventos.
e) informações e comunicações.
044. (CESPE/CEBRASPE/CGE-CE/AUDITOR/2019) Assinale a opção correta, relativa ao

ambiente de controle de uma organização.
a) o ambiente de controle deve ser delimitado em uma subdivisão da organização.
b) o sistema de controle deve estabelecer suas próprias normas de funcionamento.
c) os valores éticos da organização são fatores exteriores ao controle interno.
d) os parâmetros de supervisão da governança são definidos no ambiente de controle.
e) os níveis operacionais devem desconhecer as expectativas do ambiente de controle.
045. (CESPE/CEBRASPE/CGE-CE/AUDITOR/2019) As entidades enfrentam vários riscos de

origem interna e externa. Define-se risco como
a) a possibilidade de um evento ocorrer e afetar adversamente a realização dos objetivos.
b) a base para determinar a maneira como os objetivos serão alcançados.
c) as metas de desempenho financeiro e a salvaguarda de perdas de ativos.
d) um processo conduzido pela administração para garantir a realização dos objetivos.
e) os requisitos de transparência estabelecidos pelas autoridades normativas.
046. (CESPE/CEBRASPE/CGE-CE/AUDITOR/2019) As políticas e os procedimentos estabelecidos

e postos em prática para assegurar a execução eficaz das respostas aos riscos selecionadas
pela administração correspondem ao componente do gerenciamento de riscos corporativos
estabelecido pelo COSO conhecido como
a) ambiente interno.
c) informações e comunicações.
e) avaliação de riscos.

Marcelo Aragão
(CESPE/CEBRASPE/CGM/JOÃO PESSOA/TÉCNICO/2018) De acordo com o COSO ICIF 2013

(Internal Control — Integrated Framework), julgue os itens subsequentes, relativos a
controles internos.
047. Na realização do controle interno, a análise sobre eficiência e eficácia relaciona-se ao

exame das demonstrações contábeis, porém não abrange as operações de determinada
instituição auditada.
048. Controle interno consiste no conjunto de processos desenhados para promover uma
asseguração razoável quanto ao alcance dos objetivos relacionados a operações, relatórios
financeiros e cumprimento das leis.
049. Para atender aos objetivos relacionados ao termo compliance, que se refere basicamente
à adesão de determinada instituição a leis e regulamentos, um auditor, ao analisar o
cumprimento de aspectos legais por parte de determinada prefeitura, deve, por exemplo,
verificar se o município está destinando o percentual mínimo de recursos que, de acordo
com a lei, deve ser aplicado em áreas como saúde e educação.
(CESPE/CEBRASPE/DPDF/ANALISTA/2020) Na seguinte matriz de riscos 5 × 5, relacionada

a uma atividade do serviço público, o eixo horizontal representa a probabilidade, e o eixo
vertical, o impacto. Cada célula dessa matriz está associada a determinado processo.
Considerando que o apetite ao risco seja de exposição máxima de até 10 unidades, julgue
os itens a seguir, relativos à matriz apresentada.

Marcelo Aragão
050. Se, após a adoção de controles internos, o nível de exposição ao risco cair de 20 unidades
para 10 unidades, então o risco residual estará dentro do apetite ao risco.
051. Os processos ou procedimentos com nível de exposição maior que 10 unidades devem
ser imediatamente interrompidos.
052. O resultado da matriz de riscos oferece uma medida cardinal, portanto os riscos ali
mensurados podem ser quantificados.
(CESPE/CEBRASPE/TELEBRAS/AUDITOR/2022) Com relação a objetivos, componentes,

limitações e características do controle interno, julgue os itens a seguir.
053. A implementação de controles internos de extrema eficácia representa a garantia

efetiva de que os bens de propriedade da organização estarão salvaguardados e protegidos.
054. A ocorrência de eventos externos sobre os quais a organização não tem ingerência
representa uma limitação à efetividade dos controles internos.
055. De acordo com o COSO (Committee of Sponsoring Organizations of the Treadway

Commission), o controle interno deve ser desenvolvido no intuito de permitir à administração
o cumprimento de objetivos enquadrados nas seguintes categorias: operacional, divulgação
e conformidade.
056. O ambiente de controle representa a base dos controles internos e incorpora a estrutura
e um conjunto de regras que determinam a qualidade do processo de controle em uma
organização.
(CESPE/CEBRASPE/TELEBRAS/AUDITOR/2022) Julgue os itens seguintes, referentes à

relação entre os princípios do COSO (Committee of Sponsoring Organizations of the
Treadway Commission) e os componentes do controle interno, os quais atuam no sentido
do atingimento dos objetivos da organização.
057. A atuação da organização no sentido de que as deficiências detectadas no controle

interno sejam analisadas e levadas, em tempo hábil, ao conhecimento dos responsáveis
pela adoção de medidas corretivas está relacionada ao componente de controle interno
denominado atividades de controle.
058. A capacidade de atrair, desenvolver e reter profissionais competentes está associada

ao componente de controle interno denominado ambiente de controle.

Marcelo Aragão
(CESPE/CEBRASPE/TELEBRAS/AUDITOR/2022) Com relação ao componente de controle

interno intitulado avaliação de riscos, julgue os próximos itens.
059. A avaliação dos riscos e a determinação das respostas a esses riscos dependem da
identificação eficaz dos eventos, que, por sua vez, está condicionada à fixação de objetivos
por parte da gestão.
060. De acordo com o COSO, a tolerância ao risco representa o grau de risco que uma
organização está disposta a aceitar com vistas ao atingimento dos seus objetivos estratégicos
e à criação de valor para as partes interessadas.
(CESPE/CEBRASPE/TELEBRAS/AUDITOR/2022) Com relação aos componentes de controle

interno denominados ambiente de controle, atividades de controle e informação e
comunicação, julgue os itens a seguir.
061. De acordo com o COSO, a estrutura de governança é a responsável pelo controle interno
da organização, cabendo à alta administração supervisioná-lo.
062. O estabelecimento de valores éticos deve se dar exclusivamente em função dos

interesses da organização, devendo-se evitar que as conveniências de agentes externos
exerçam influência sobre as regras que venham a ser definidas no código de conduta
corporativa.
063. A avaliação da rotação de pessoal em uma organização pode ser realizada com a
contribuição da atividade de controle conhecida por indicadores de desempenho.
064. Informações que digam respeito ao apetite a riscos e às tolerâncias a riscos devem
ficar restritas ao ambiente interno da organização.
(CESPE/CEBRASPE/CNMP/ANALISTA/GESTÃO PÚBLICA/2023) Com relação aos tipos de

atividades de controle, à integração com avaliação de riscos e aos controles sobre sistemas
de informações, julgue os itens a seguir.
065. As atividades de controle são atividades específicas que integram o gerenciamento de

riscos escolhidos pela entidade e, por isso, ficam restritas a um setor específico da entidade.
066. Um vendedor que altera, por vontade própria, taxas de comissão e planilhas de preços
pratica conduta contrária ao pressuposto da segregação de função.

Marcelo Aragão
(CESPE/CEBRASPE/CNMP/ANALISTA/GESTÃO PÚBLICA/2023) No que se refere à gestão de

riscos corporativos e à representação tridimensional dos seus componentes essenciais,
julgue os seguintes itens.
067. A administração deve avaliar os riscos que potencialmente podem impactar o futuro
da organização em eventos previstos e imprevistos.
068. O risco residual, ou risco retido, contempla apenas os riscos não identificados
remanescentes após o tratamento dos riscos detectados.
069. O cubo representativo da matriz tridimensional da gestão de riscos compreende as

facetas de objetivos, componentes e unidades da organização.
(CESPE/CEBRASPE/CNMP/ANALISTA/GESTÃO PÚBLICA/2023) No que diz respeito ao

monitoramento na avaliação da regularidade das atividades executadas, do desempenho
e dos resultados obtidos, julgue os itens subsequentes.
070. O avaliador responsável pela elaboração do sistema deve determinar o modo como
o sistema funcionará, contudo não tem a obrigação de documentar todo o processo, ao
contrário do que ocorre no caso de o descritor do sistema não ser o avaliador, hipótese na
qual todo novo procedimento encartado no processo deverá ser documentado.
071. O monitoramento pode ser conduzido por meio de avaliações recorrentes, cabendo à
administração somente definir a sua periodicidade, uma vez que, quanto maiores o alcance
e o índice de eficiência do monitoramento contínuo, menor a quantidade necessária de
avaliações recorrentes.
(CESPE/CEBRASPE/CNMP/ANALISTA/GESTÃO PÚBLICA/2023) A respeito das boas práticas

de controle interno para mitigar riscos e alcançar objetivos, julgue os próximos itens.
072. O conluio limita a efetividade do controle interno, prejudicando o ambiente e a avaliação

dos controles devidamente adequados.
073. Os riscos de a organização não atingir seus objetivos podem ser minimizados pelos
controles internos, devido à sua natureza versátil, e pelo efeito cumulativo de respostas a
riscos que atendam a tais propósitos.
074. A resposta ao risco deve incluir controles internos de gestão preventivos, específicos
e definitivos, bem como rotina que contemple a preparação e a avaliação recorrente de

Marcelo Aragão
planos de contingência/continuidade, com vistas a minimizar o impacto de eventos não

detectados e(ou) evitar a sua consubstanciação.
075. (CESPE/CEBRASPE/CGDF/AUDITOR/2023) As atividades de monitoramento têm

por objetivo
a) dispensar o adequado tratamento às diversas espécies de risco a que está sujeita a
organização.
b) criar condições para que se cumpram as políticas e os processos estabelecidos pela
organização.
c) identificar fragilidades e implementar melhorias no sistema de controle interno.
d) averiguar se os procedimentos de controle interno estão sendo observados pelos
empregados da organização.
076. (CESPE/CEBRASPE/CGDF/AUDITOR/2023) Assinale a opção que apresenta um tipo de

ocorrência que pode ser controlada pela adoção de um sistema de controle interno capaz
de proporcionar uma segurança razoável da consecução dos objetivos traçados por uma
organização.
a) descumprimento de requisitos legais e regulamentares
b) ocorrência de eventos externos à organização
c) julgamento falho ou tendencioso no processo de tomada de decisão
d) conluio dos empregados

Marcelo Aragão
GABARITO
1. E 35. e 69. C
2. E 36. c 70. E
3. C 37. a 71. E
4. b 38. d 72. C
5. C 39. a 73. C
6. C 40. a 74. E
7. E 41. d 75. c
8. E 42. b 76. a
9. E 43. c
10. C 44. d
11. C 45. a
12. E 46. b
13. E 47. E
14. C 48. C
15. C 49. C
16. E 50. C
17. a 51. E
18. C 52. C
19. C 53. E
20. b 54. C
21. C 55. C
22. C 56. C
23. E 57. E
24. C 58. C
25. C 59. C
26. b 60. E
27. c 61. E
28. b 62. E
29. a 63. C
30. C 64. E
31. a 65. E
32. E 66. C
33. C 67. C
34. b 68. E

Marcelo Aragão
GABARITO COMENTADO
035. (CESPE/CEBRASPE/TRE-RS/TÉCNICO JUDICIÁRIO/2015) No que se refere à gestão de

riscos, assinale a opção correta.
a) A competência para alocar os recursos necessários para que a gestão de riscos aconteça
é do comitê de gestão de riscos.
b) Para evitar-se que o tratamento de riscos gere elevado custo para as organizações,
deve-se escolher uma única maneira de tratá-los.
c) O risco se refere à certeza de que um evento irá acontecer, o que pode causar impacto
positivo ou negativo nos objetivos organizacionais.
d) O tratamento apropriado do risco refere-se a sua completa eliminação; caso contrário,
terá ocorrido falha no tratamento.
e) A nomeação do comitê de gestão de riscos, encarregado de desenvolver o processo de
gestão de riscos, é de responsabilidade do presidente do TRE/RS.
a) Errada. A competência para alocar os recursos necessários para que a gestão de riscos
aconteça é da alta administração do órgão/entidade e não do comitê de gestão de riscos
b) Errada. Existem diferentes alternativas para tratar os riscos, conforme o resultado da
avaliação de probabilidade e impacto e comparação com o apetite a risco da organização.
c) Errada. Risco relaciona-se à incerteza de algo pode ou não acontecer.
d) Errada. O tratamento apropriado do risco não se refere a sua completa eliminação,
podendo ser mitigado de forma a estar compatível com o apetite a risco da organização.
e) Certa. O dirigente máximo da instituição deve nomear o comitê de gestão de riscos.
Letra e.
036. (CESPE/CEBRASPE/TCE-PR/ANALISTA/2016) A respeito de controles internos, de acordo

com o Manual de Gerenciamento de Riscos Corporativos — Estrutura Integrada (COSO II),
do Committee of Sponsoring Organization, assinale a opção correta.
a) No gerenciamento de riscos corporativos, a fixação dos objetivos será realizada após a
identificação dos eventos, a fim de se determinar quais ações serão realizadas para cada
tipo de risco.
b) Risco inerente é aquele que perdura mesmo depois da resposta dos dirigentes da
organização.

Marcelo Aragão
c) Em uma organização, o gerenciamento de riscos corporativos, processo conduzido pelos

seus membros, consiste em estabelecer estratégias para identificar e administrar potenciais
eventos capazes de afetá-la.
d) Nas atividades de monitoramento, a organização deve escolher e executar avaliações
para averiguar se os componentes do controle externo estão em operação.
e) Segundo o COSO II, são quatro os componentes para o gerenciamento de riscos corporativos:
ambiente externo; fixação de objetivos; estabelecimento de riscos; atividades de controle;
e monitoramento.
a) Errada. No gerenciamento de riscos corporativos, a fixação dos objetivos será realizada

antes da identificação dos eventos, a fim de se determinar quais ações serão realizadas
para cada tipo de risco.
b) Errada. Risco inerente é aquele que existe independente de qualquer medida da entidade
contra ele. O risco que perdura mesmo depois da resposta dos dirigentes da organização
é o risco residual.
c) Certa. O gerenciamento de riscos corporativos é um processo conduzido em uma
organização pelo conselho de administração, diretoria e demais empregados, aplicado no
estabelecimento de estratégias, formuladas para identificar em toda a organização eventos
em potencial, capazes de afetá-la, e administrar os riscos de modo a mantê-los compatível
com o apetite a risco da organização e possibilitar garantia razoável do cumprimento dos
seus objetivos.
d) Errada. Nas atividades de monitoramento, a organização deve escolher e executar
avaliações para averiguar se os componentes do controle interno estão em operação.
e) Errada. O item apresenta vários erros. Segundo o COSO II, são oito e não quatro os
componentes para o gerenciamento de riscos corporativos, que são: ambiente interno;
fixação de objetivos; identificação de eventos; avaliação de risco; respostas ao risco;
atividades de controle; informação e comunicação e monitoramento.
Letra c.
037. (CESPE/CEBRASPE/TRE-PI/ANALISTA/2016) A respeito dos elementos que caracterizam

governabilidade, governança e accountability na administração pública, assinale a
opção correta.
a) a governança pública é caracterizada pelo atendimento dos interesses dos cidadãos
por meio da implantação de políticas públicas, preservando-se o equilíbrio financeiro e os
interesses do governo.
b) governabilidade refere-se à capacidade de governar, à eficiência na gestão da máquina
pública e à implantação das políticas públicas.

Marcelo Aragão
c) o termo accountability está relacionado aos lançamentos contábeis das receitas e despesas
de um órgão público para controle orçamentário, cuja finalidade primordial é a elaboração
de demonstrações financeiras.
d) as câmaras setoriais existentes no Brasil, por possuírem integrantes de sindicatos e
empresariados, são exemplos de corporativismo e visam reforçar a governabilidade, embora
representem ameaça para a governança do país.
e) as entidades sindicais, legitimadas pelo governo, retratam um exemplo típico de
clientelismo, uma vez que possuem poderes para representar classes trabalhistas e defender
os interesses governamentais.
A única alternativa correta é a letra ‘a’. A governança pública é caracterizada pelo atendimento
dos interesses dos cidadãos por meio da implantação de políticas públicas, preservando-se
o equilíbrio financeiro e os interesses do governo.
Letra a.
038. (CESPE/CEBRASPE/TCE-PR/ANALISTA/2016) Assinale a opção correta, a respeito de

governança no setor público.
a) as instâncias externas de governança responsáveis pelo exercício de fiscalização e controle
são autônomas, mas podem depender de outras organizações.
b) as instâncias internas de governança responsáveis pela avaliação de estratégias e políticas
e pelo monitoramento de conformidade estão impedidas de atuar nas situações em que
desvios forem identificados.
c) no setor público, a governança é analisada sob três perspectivas: sociedade e Estado;
atividades extraorganizacionais; e órgãos e entidades.
d) a auditoria é entendida como um instrumento de verificação da governança.
e) um dos princípios de governança no setor público, a prestação de contas por responsabilidade
conferida ao gestor público será obrigatória apenas em determinadas situações.
a) Errada. As instâncias externas de governança responsáveis pelo exercício de fiscalização

e controle são autônomas e independentes, a exemplo do Congresso Nacional e do Tribunal
de Contas da União, por isso, não dependem de outras organizações para exercer o seu
papel de controle.
b) Errada. As instâncias internas de governança são responsáveis por definir ou avaliar a
estratégia e as políticas, bem como monitorar a conformidade e o desempenho destas,
devendo agir nos casos em que desvios forem identificados. São, também, responsáveis por
garantir que a estratégia e as políticas formuladas atendam ao interesse público servindo

Marcelo Aragão
de elo entre principal e agente. Exemplos típicos dessas estruturas são os conselhos de
administração ou equivalentes e, na falta desses, a alta administração.
c) Errada. No setor público, a governança pode ser analisada sob quatro perspectivas de
observação: (a) sociedade e Estado; (b) entes federativos, esferas de poder e políticas
públicas; (c) órgãos e entidades; e (d) atividades intraorganizacionais.
d) Certa. A auditoria é entendida como um instrumento de verificação da governança. De
acordo com o referencial do TCU, as auditorias interna e externa são instrumentos de apoio
à governança.
e) Errada. Um dos princípios de governança no setor público, a prestação de contas por
responsabilidade conferida ao gestor público será obrigatória apenas em determinadas
situações.
Letra d.
039. (CESPE/CEBRASPE/TRE-PE/ANALISTA/2017) Governança pública refere-se à forma de

gerenciamento de recursos de um país. Um de seus princípios basilares é a
a) transparência, que envolve a disponibilização de informações como estratégia de combate
à corrupção.
b) cidadania, que é obtida com a participação compulsória de cidadãos em conselhos
populares.
c) accountability, que se refere à capacidade do Estado de executar sua gestão e implementar
políticas públicas.
d) responsabilidade civil, que se refere à pressão popular para o cumprimento das normas
da administração pública.
e) economia de custos, o que exige que o Estado privilegie o menor custo em todas as suas
compras e contratos.
a) Certa. Um de seus princípios basilares da governança é a transparência, que envolve a

disponibilização de informações como estratégia de controle social e combate à corrupção.
b) Errada. Além da cidadania não corresponder a um dos princípios fundamentais de
governança, a participação de cidadãos em conselhos populares se dá de forma espontânea.
c) Errada. Governança refere-se à capacidade do Estado de executar sua gestão e implementar
políticas públicas. Accountability refere-se à obrigação que têm as pessoas ou entidades
às quais se tenham confiado recursos, de assumir as responsabilidades de ordem fiscal,
gerencial e programática que lhes foram conferidas, e de informar a quem lhes delegou
essas responsabilidades.

Marcelo Aragão
d) Errada. Um dos princípios de governança é a responsabilidade, que diz respeito ao zelo

que os agentes de governança devem ter pela sustentabilidade das organizações, visando
sua longevidade, incorporando considerações de ordem social e ambiental na definição
dos negócios e operações.
e) Errada. A eficiência é um princípio basilar de governança, que significa fazer o que é
preciso ser feito com qualidade adequada ao menor custo possível. Não se trata de redução
de custo de qualquer maneira, mas de buscar a melhor relação entre qualidade do serviço
e qualidade do gasto.
Letra a.
040. (CESPE/CEBRASPE/CGE-CE/AUDITOR/2019) Na estrutura de um ciclo de governança

na gestão pública, o elemento voltado à realização dos objetivos organizacionais por meio
da estruturação e do desenvolvimento de processos é denominado
a) administração.
b) controle
c) accountability
d) governabilidade
e) supervisão
A Administração envolve as atividades de planejamento, coordenação, execução e controle.

O elemento voltado à realização dos objetivos organizacionais por meio da estruturação e
do desenvolvimento de processos é denominado administração.
Letra a.
041. (CESPE/CEBRASPE/TCE-RO/AUDITOR/2019) Acerca de governança no setor público,

assinale a opção correta.
a) A governança de órgãos e entidades da administração pública envolve três funções
básicas: avaliar; direcionar; orientar e certificar os resultados.
b) Exemplo de accountability vertical é o processo de impeachment de presidente da
República.
c) O princípio de equidade na governança pública diz respeito ao zelo que os agentes de
governança devem ter pela sustentabilidade das organizações visando a sua longevidade
e incorporando considerações de ordem social e ambiental na definição dos negócios e
operações.

Marcelo Aragão
d) A governança no setor público pode ser analisada sob as seguintes perspectivas: sociedade
e Estado; entes federativos, esferas de poder e políticas públicas; órgãos e entidades; e
atividades intraorganizacionais.
e) Os componentes dos mecanismos de governança pública são assinalados pela liderança,
pelo comando e pelo controle.
a) Errada. As três funções básicas são: avaliar o ambiente, os cenários, o desempenho e os

resultados atuais e futuros; direcionar e orientar a preparação, a articulação e a coordenação
de políticas e planos, alinhando as funções organizacionais às necessidades das partes
interessadas (usuários dos serviços, cidadãos e sociedade em geral) e assegurando o alcance
dos objetivos estabelecidos; e monitorar os resultados, o desempenho e o cumprimento
de políticas e planos, confrontando-os com as metas estabelecidas e as expectativas das
partes interessadas.
b) Errada. O processo de impeachment de presidente da República é exemplo de accountability
horizontal, que consiste no controle de um Poder sobre outro.
c) Errada. O zelo que os agentes de governança devem ter pela sustentabilidade das
organizações visando a sua longevidade e incorporando considerações de ordem social e
ambiental na definição dos negócios e operações está relacionado ao princípio de equidade
na governança pública diz respeito ao princípio da responsabilidade.
d) Certa. Segundo a versão do referencial do TCU vigente à época, a governança no setor público
pode ser analisada sob as seguintes perspectivas: sociedade e Estado; entes federativos,
esferas de poder e políticas públicas; órgãos e entidades; e atividades intraorganizacionais.
Pela versão atual, as perspectivas são: organizacional, de centro de governo e de políticas
públicas.
e) Errada. Os componentes dos mecanismos de governança pública são assinalados pela
liderança, pela estratégia e pelo controle.
Letra d.
042. (CESPE/CEBRASPE/MPC-PA/ANALISTA/2019) Considere as assertivas a seguir.

I – É necessário que o governo seja capaz de intermediar os interesses distintos e que haja
harmonia nas relações entre os poderes políticos.
II – A prestação de contas de maneira transparente e a responsabilização de agentes públicos
por improbidade administrativa são atos inerentes à gestão pública.
As assertivas I e II se referem, respectivamente, a
a) governança e governabilidade.
b) governabilidade e accountability.

Marcelo Aragão
c) governança e accountability.
d) governabilidade e governança.
e) accountability e governança.
A necessidade de que o governo seja capaz de intermediar os interesses distintos e que

haja harmonia nas relações entre os poderes políticos corresponde à governabilidade. A
prestação de contas de maneira transparente e a responsabilização de agentes públicos por
improbidade administrativa são atos inerentes à gestão pública refere-se à accountability
pública.
Letra b.
043. (CESPE/CEBRASPE/SEFAZ-RS/AUDITOR/2018) Determinado componente do

gerenciamento de riscos corporativos permite que a organização considere até que ponto
eventos em potencial podem impactar o atingimento de seus objetivos. O COSO denomina
esse componente de
a) monitoramento.
c) avaliação de riscos.
e) informações e comunicações.
A avaliação de riscos permite que uma organização considere até que ponto eventos em
potencial podem impactar a realização dos objetivos.
Letra c.
044. (CESPE/CEBRASPE/CGE-CE/AUDITOR/2019) Assinale a opção correta, relativa ao

ambiente de controle de uma organização.
a) o ambiente de controle deve ser delimitado em uma subdivisão da organização.
b) o sistema de controle deve estabelecer suas próprias normas de funcionamento.
c) os valores éticos da organização são fatores exteriores ao controle interno.
d) os parâmetros de supervisão da governança são definidos no ambiente de controle.
e) os níveis operacionais devem desconhecer as expectativas do ambiente de controle.
a) Errada. O ambiente interno de controle e gestão de riscos não fica delimitado em uma
subdivisão da organização. Todos os setores têm papel relevante perante controles e gestão
de riscos.

Marcelo Aragão
b) Errada. O sistema de controle é definido pela governança em função das diretrizes e

orientações estabelecidas.
c) Errada. Os valores éticos da organização são fatores que integram a gestão e se refletem
na eficácia do controle interno.
d) Certa. O ambiente de controle ou ambiente interno no COSO ERM deve ser capaz de
estabelecer os parâmetros de supervisão da governança sobre as ações da administração.
e) Errada. Os níveis operacionais devem conhecer as expectativas do ambiente de controle,
a cultura da organização, os valores éticos e as estratégias.
Letra d.
045. (CESPE/CEBRASPE/CGE-CE/AUDITOR/2019) As entidades enfrentam vários riscos de

origem interna e externa. Define-se risco como
a) a possibilidade de um evento ocorrer e afetar adversamente a realização dos objetivos.
b) a base para determinar a maneira como os objetivos serão alcançados.
c) as metas de desempenho financeiro e a salvaguarda de perdas de ativos.
d) um processo conduzido pela administração para garantir a realização dos objetivos.
e) os requisitos de transparência estabelecidos pelas autoridades normativas.
A definição clássica de risco é a possibilidade de um evento ocorrer e afetar adversamente

Letra a.
046. (CESPE/CEBRASPE/CGE-CE/AUDITOR/2019) As políticas e os procedimentos estabelecidos

e postos em prática para assegurar a execução eficaz das respostas aos riscos selecionadas
pela administração correspondem ao componente do gerenciamento de riscos corporativos
estabelecido pelo COSO conhecido como
a) ambiente interno.
c) informações e comunicações.
e) avaliação de riscos.
Atividades de Controle são políticas e procedimentos estabelecidos e implementados para

assegurar que as respostas aos riscos sejam executadas com eficácia.
Letra b.

Marcelo Aragão
(CESPE/CEBRASPE/CGM/JOÃO PESSOA/TÉCNICO/2018) De acordo com o COSO ICIF 2013

(Internal Control — Integrated Framework), julgue os itens subsequentes, relativos a
controles internos.
047. Na realização do controle interno, a análise sobre eficiência e eficácia relaciona-se ao

exame das demonstrações contábeis, porém não abrange as operações de determinada
instituição auditada.
A análise sobre eficiência e eficácia relaciona-se ao exame das operações de determinada

instituição auditada, vinculada aos objetivos operacionais.
Errado.
048. Controle interno consiste no conjunto de processos desenhados para promover uma
asseguração razoável quanto ao alcance dos objetivos relacionados a operações, relatórios
financeiros e cumprimento das leis.
Trata-se da definição de controle interno pelo COSO. Controle interno é um processo

conduzido pela estrutura de governança, administração e outros profissionais da entidade,
e desenvolvido para proporcionar segurança razoável com respeito à realização dos objetivos
relacionados a operações, divulgação e conformidade.
Certo.
049. Para atender aos objetivos relacionados ao termo compliance, que se refere basicamente
à adesão de determinada instituição a leis e regulamentos, um auditor, ao analisar o
cumprimento de aspectos legais por parte de determinada prefeitura, deve, por exemplo,
verificar se o município está destinando o percentual mínimo de recursos que, de acordo
com a lei, deve ser aplicado em áreas como saúde e educação.
Item de fácil solução! Compliance (conformidade) é uma categoria de objetivos que a

organização tem que cumprir, mediante a implantação de controle interno e relaciona-
se ao cumprimento de leis e regulamentações às quais a entidade está sujeita. Quando o
auditor verifica se o município está destinando o percentual mínimo de recursos que, de
acordo com a lei, deve ser aplicado em áreas como saúde e educação, ele está verificando
o compliance.
Certo.

Marcelo Aragão
(CESPE/CEBRASPE/DPDF/ANALISTA/2020) Na seguinte matriz de riscos 5 × 5, relacionada

a uma atividade do serviço público, o eixo horizontal representa a probabilidade, e o eixo
vertical, o impacto. Cada célula dessa matriz está associada a determinado processo.
Considerando que o apetite ao risco seja de exposição máxima de até 10 unidades, julgue
os itens a seguir, relativos à matriz apresentada.
050. Se, após a adoção de controles internos, o nível de exposição ao risco cair de 20 unidades
para 10 unidades, então o risco residual estará dentro do apetite ao risco.
Conforme o enunciado da questão, o apetite ao risco é a exposição máxima de até 10

unidades. Logo, se, após a adoção de controles internos (resposta ao risco), o nível de
exposição ao risco cair de 20 unidades (risco inerente) para 10 unidades (risco residual),
então este - o risco residual - estará dentro ou de acordo com o apetite ao risco.
Certo.
051. Os processos ou procedimentos com nível de exposição maior que 10 unidades devem
ser imediatamente interrompidos.
A imediata interrupção ou descontinuidade de um processo seria uma resposta do tipo evitar

o risco para riscos com exposição muito alta. Para riscos avaliados acima de 10 unidades,
ou seja, acima do apetite a risco, a depender do nível de risco, poderiam ser adotadas ainda
respostas ao risco para mitigar ou compartilhar parte do risco. Portanto, a assertiva ignorou
outros tipos de respostas ao risco.
Errado.

Marcelo Aragão
052. O resultado da matriz de riscos oferece uma medida cardinal, portanto os riscos ali
mensurados podem ser quantificados.
Perfeito! A matriz de riscos é apresentada no enunciado da questão e demonstra a

quantificação do risco pela multiplicação entre os valores atribuídos de probabilidade e
impacto do risco.
Certo.
(CESPE/CEBRASPE/TELEBRAS/AUDITOR/2022) Com relação a objetivos, componentes,

limitações e características do controle interno, julgue os itens a seguir.
053. A implementação de controles internos de extrema eficácia representa a garantia

efetiva de que os bens de propriedade da organização estarão salvaguardados e protegidos.
A implementação de controles internos de extrema eficácia não representa a garantia

efetiva de que os bens de propriedade da organização estarão salvaguardados e protegidos
em função das limitações inerentes dos controles.
Errado.
054. A ocorrência de eventos externos sobre os quais a organização não tem ingerência
representa uma limitação à efetividade dos controles internos.
O controle interno não é capaz de evitar julgamentos errôneos ou más decisões, ou ainda
eventos externos que impeçam a organização de atingir suas metas operacionais. Em outras
palavras, até mesmo um sistema eficaz de controle interno pode apresentar falhas. As
limitações podem ser resultado, entre outros fatores, de eventos externos fora do controle
da organização.
Certo.
055. De acordo com o COSO (Committee of Sponsoring Organizations of the Treadway

Commission), o controle interno deve ser desenvolvido no intuito de permitir à administração
o cumprimento de objetivos enquadrados nas seguintes categorias: operacional, divulgação
e conformidade.
A Estrutura proposta pelo Comitê, apresenta três categorias de objetivos, o que permite às
organizações se concentrarem em diferentes aspectos do controle interno: (i) Operacional –

Marcelo Aragão
Esses objetivos relacionam-se à eficácia e à eficiência das operações da entidade, inclusive

as metas de desempenho financeiro e operacional e a salvaguarda de perdas de ativos. (ii)
Divulgação – Esses objetivos relacionam-se a divulgações financeiras e não financeiras,
internas e externas, podendo abranger os requisitos de confiabilidade, oportunidade,
transparência ou outros termos estabelecidos pelas autoridades normativas, órgãos
normatizadores reconhecidos, ou às políticas da entidade. (iii) Conformidade – Esses objetivos
relacionam-se ao cumprimento de leis e regulamentações às quais a entidade está sujeita.
Certo.
056. O ambiente de controle representa a base dos controles internos e incorpora a estrutura
e um conjunto de regras que determinam a qualidade do processo de controle em uma
organização.
O ambiente de controle representa a base ou o pilar da estrutura de controles internos e

incorpora a estrutura e um conjunto de regras que determinam a qualidade do processo
de controle em uma organização.
Certo.
(CESPE/CEBRASPE/TELEBRAS/AUDITOR/2022) Julgue os itens seguintes, referentes à

relação entre os princípios do COSO (Committee of Sponsoring Organizations of the
Treadway Commission) e os componentes do controle interno, os quais atuam no sentido
do atingimento dos objetivos da organização.
057. A atuação da organização no sentido de que as deficiências detectadas no controle

interno sejam analisadas e levadas, em tempo hábil, ao conhecimento dos responsáveis
pela adoção de medidas corretivas está relacionada ao componente de controle interno
denominado atividades de controle.
A atuação da organização no sentido de que as deficiências detectadas no controle interno

sejam analisadas e levadas, em tempo hábil, ao conhecimento dos responsáveis pela adoção
de medidas corretivas está relacionada ao componente de controle interno denominado
“informação e comunicação”.
Errado.
058. A capacidade de atrair, desenvolver e reter profissionais competentes está associada

ao componente de controle interno denominado ambiente de controle.

Marcelo Aragão
O processo de atrair, desenvolver e reter talentos competentes, valorizando a meritocracia,

é um elemento ou princípio relevante do componente de ambiente de controle.
Certo.
(CESPE/CEBRASPE/TELEBRAS/AUDITOR/2022) Com relação ao componente de controle

interno intitulado avaliação de riscos, julgue os próximos itens.
059. A avaliação dos riscos e a determinação das respostas a esses riscos dependem da
identificação eficaz dos eventos, que, por sua vez, está condicionada à fixação de objetivos
por parte da gestão.
Segundo o COSO ERM (Gerenciamento de Riscos), a avaliação dos riscos e a determinação

das respostas a esses riscos dependem não só da identificação eficaz de eventos, mas
também da fixação de objetivos por parte da alta administração.
Certo.
060. De acordo com o COSO, a tolerância ao risco representa o grau de risco que uma
organização está disposta a aceitar com vistas ao atingimento dos seus objetivos estratégicos
e à criação de valor para as partes interessadas.
De acordo com o COSO, o apetite a risco representa o grau de risco que uma organização
está disposta a aceitar com vistas ao atingimento dos seus objetivos estratégicos e à criação
de valor para as partes interessadas.
A tolerância a risco é o nível de variação aceitável quanto à realização de um determinado
objetivo. As tolerâncias aos riscos podem ser mensuradas e, frequentemente, com as
mesmas unidades de medida aplicadas às metas dos objetivos associados.
Errado.
(CESPE/CEBRASPE/TELEBRAS/AUDITOR/2022) Com relação aos componentes de controle

interno denominados ambiente de controle, atividades de controle e informação e
comunicação, julgue os itens a seguir.
061. De acordo com o COSO, a estrutura de governança é a responsável pelo controle interno
da organização, cabendo à alta administração supervisioná-lo.

Marcelo Aragão
De acordo com o COSO, a alta administração é responsável pelo controle interno, e a

estrutura de governança precisa estabelecer suas políticas e expectativas sobre como os
membros devem supervisionar o controle interno da entidade.
Errado.
062. O estabelecimento de valores éticos deve se dar exclusivamente em função dos

interesses da organização, devendo-se evitar que as conveniências de agentes externos
exerçam influência sobre as regras que venham a ser definidas no código de conduta
corporativa.
Segundo o COSO ERM, em regra, é difícil estabelecer valores éticos, dada a necessidade
de levarem-se em conta os interesses de várias partes. Os valores administrativos devem
equilibrar os interesses da organização, dos empregados, dos fornecedores, dos clientes,
dos concorrentes e do público em geral.
Errado.
063. A avaliação da rotação de pessoal em uma organização pode ser realizada com a
contribuição da atividade de controle conhecida por indicadores de desempenho.
Segundo o COSO ERM, indicadores de desempenho são tipos de atividades de controle e

incluem, por exemplo, índices de rotação de pessoal por unidade. Ao investigar resultados
inesperados ou tendências incomuns, a administração poderá identificar circunstâncias nas
quais a falta de capacidade para concluir processos fundamentais pode significar menor
probabilidade dos objetivos serem alcançados.
Certo.
064. Informações que digam respeito ao apetite a riscos e às tolerâncias a riscos devem
ficar restritas ao ambiente interno da organização.
Segundo o COSO, uma comunicação apropriada é necessária, não somente dentro da

organização, como também fora dela. Por meio de canais de comunicação abertos, clientes
e fornecedores podem fornecer informações altamente significativas referentes ao design
ou à qualidade dos produtos ou serviços, possibilitando, assim, a abordagem da organização

Marcelo Aragão
em relação à evolução das exigências ou preferências do cliente. É importante haver

uma comunicação aberta sobre o apetite a riscos e as tolerâncias a risco da organização,
especialmente para as organizações associadas a outras em cadeias de suprimento ou
empreendimentos de comércio eletrônico. Nesses casos, a administração leva em conta
o modo pelo qual o seu apetite a riscos e a tolerância a riscos estão alinhados com o dos
parceiros comerciais, assegurando que a organização não aceitará, por falta de controle,
um excesso de riscos de seus parceiros.
Errado.
(CESPE/CEBRASPE/CNMP/ANALISTA/GESTÃO PÚBLICA/2023) Com relação aos tipos de

atividades de controle, à integração com avaliação de riscos e aos controles sobre sistemas
de informações, julgue os itens a seguir.
065. As atividades de controle são atividades específicas que integram o gerenciamento de

riscos escolhidos pela entidade e, por isso, ficam restritas a um setor específico da entidade.
As atividades de controle são as políticas e os procedimentos que contribuem para

assegurar que as respostas aos riscos sejam executadas. Essas atividades ocorrem em toda
a organização, em todos os níveis e em todas as funções, pois compreendem uma série de
atividades – tão diversas, como aprovação, autorização, verificação, reconciliação e revisão
do desempenho operacional, da segurança dos bens e da segregação de responsabilidades.
Logo, as atividades de controle não são atividades específicas e não ficam restritas a um
setor específico da entidade.
Errado.
066. Um vendedor que altera, por vontade própria, taxas de comissão e planilhas de preços
pratica conduta contrária ao pressuposto da segregação de função.
Segregação de funções é uma atividade de controle relevante e significa que as obrigações

devem ser atribuídas ou divididas entre pessoas diferentes com a finalidade de reduzir o
risco de erro ou de fraude. Por exemplo, as responsabilidades de autorização de transações,
do registro e da entrega do bem em questão são divididas. O gerente que autoriza vendas
a crédito não deve ser responsável por manter os registros de contas a pagar nem pela
distribuição de recibos de pagamentos. Da mesma forma, os vendedores não devem
modificar arquivos de preços de produtos nem as taxas de comissão.
Certo.

Marcelo Aragão
(CESPE/CEBRASPE/CNMP/ANALISTA/GESTÃO PÚBLICA/2023) No que se refere à gestão de

riscos corporativos e à representação tridimensional dos seus componentes essenciais,
julgue os seguintes itens.
067. A administração deve avaliar os riscos que potencialmente podem impactar o futuro
da organização em eventos previstos e imprevistos.
Segundo o COSO ERM, ao avaliar riscos, a administração leva em consideração eventos

previstos e imprevistos. Muitos eventos são rotineiros e recorrentes e já foram abordados
nos programas de gestão e orçamentos operacionais, enquanto outros são imprevistos.
A administração avalia os riscos em potencial de eventos imprevistos e, caso ainda não
tenha feito essa avaliação, até os previstos que podem causar um impacto significativo na
organização.
Certo.
068. O risco residual, ou risco retido, contempla apenas os riscos não identificados
remanescentes após o tratamento dos riscos detectados.
Risco residual é o risco retido de forma consciente ou não pela administração, que remanesce
mesmo após o tratamento de riscos. Logo, não contempla apenas os riscos não identificados.
Pelo contrário, contempla os riscos identificados ou detectados e remanescentes após o
tratamento dos riscos.
Errado.
069. O cubo representativo da matriz tridimensional da gestão de riscos compreende as

facetas de objetivos, componentes e unidades da organização.
Existe um relacionamento direto entre os objetivos, que uma organização se empenha

em alcançar, e os componentes do gerenciamento de riscos, que representam aquilo que
é necessário para o seu alcance. Trata-se do chamado “Cubo do COSO”, representado em
uma matriz tridimensional, demonstrando uma visão integrada dos componentes que
uma administração precisa adotar para gerenciar riscos de modo eficaz, no contexto dos
objetivos e da estrutura em uma organização, conforme a figura abaixo.

Marcelo Aragão
Certo.
(CESPE/CEBRASPE/CNMP/ANALISTA/GESTÃO PÚBLICA/2023) No que diz respeito ao

monitoramento na avaliação da regularidade das atividades executadas, do desempenho
e dos resultados obtidos, julgue os itens subsequentes.
070. O avaliador responsável pela elaboração do sistema deve determinar o modo como
o sistema funcionará, contudo não tem a obrigação de documentar todo o processo, ao
contrário do que ocorre no caso de o descritor do sistema não ser o avaliador, hipótese na
qual todo novo procedimento encartado no processo deverá ser documentado.
Segundo o COSO ERM, o avaliador deve determinar o modo em que o sistema funciona.
Os procedimentos destinados a operar de uma certa forma podem ser modificados com o
tempo para operar de modo diferente ou podem não ser mais executados. Às vezes, novos
procedimentos são estabelecidos, mas não são conhecidos por aqueles que descreveram o
processo e não estão incluídos na documentação existente. A determinação do funcionamento
real pode ser realizada mediante discussões com o pessoal que executa, ou é afetado pelo
gerenciamento de riscos corporativos, mediante exame de registros sobre desempenho
ou, ainda, uma combinação de procedimentos.
Errado.
071. O monitoramento pode ser conduzido por meio de avaliações recorrentes, cabendo à
administração somente definir a sua periodicidade, uma vez que, quanto maiores o alcance
e o índice de eficiência do monitoramento contínuo, menor a quantidade necessária de
avaliações recorrentes.

Marcelo Aragão
O monitoramento é composto de avaliações contínuas, independentes, ou uma combinação das

duas, para se certificar da presença e do funcionamento de cada um dos cinco componentes de
controle interno, inclusive a eficácia dos controles nos princípios relativos a cada componente.
As avaliações contínuas, inseridas nos processos corporativos nos diferentes níveis da
entidade, proporcionam informações oportunas. As avaliações independentes, conduzidas
periodicamente, terão escopos e frequências diferentes, dependendo da avaliação de riscos,
da eficácia das avaliações contínuas e de outras considerações da administração.
O certo seria afirmar que o monitoramento pode ser conduzido por meio de avaliações
independentes e periódicas, cabendo à administração definir a sua periodicidade, uma vez
que, quanto maiores o alcance e o índice de eficácia do monitoramento contínuo, menor a
quantidade necessária de avaliações independentes, conduzidas periodicamente.
Errado.
(CESPE/CEBRASPE/CNMP/ANALISTA/GESTÃO PÚBLICA/2023) A respeito das boas práticas

de controle interno para mitigar riscos e alcançar objetivos, julgue os próximos itens.
072. O conluio limita a efetividade do controle interno, prejudicando o ambiente e a avaliação

dos controles devidamente adequados.
O controle interno não é capaz de evitar julgamentos errôneos ou más decisões, ou ainda
eventos externos que impeçam a organização de atingir suas metas operacionais. Em outras
palavras, até mesmo um sistema eficaz de controle interno pode apresentar falhas. As
limitações podem ser resultado de:
• adequação dos objetivos estabelecidos como uma condição prévia ao controle interno;
• realidade de que o julgamento humano na tomada de decisões pode ser falho e
tendencioso;
• falhas que podem ocorrer devido a erros humanos, como enganos simples;
• capacidade da administração de sobrepassar o controle interno;
• capacidade da administração, outros funcionários e/ou terceiros transpassarem os
controles por meio de conluio entre as partes (grifo meu); e
• eventos externos fora do controle da organização.
Certo.
073. Os riscos de a organização não atingir seus objetivos podem ser minimizados pelos
controles internos, devido à sua natureza versátil, e pelo efeito cumulativo de respostas a
riscos que atendam a tais propósitos.

Marcelo Aragão
Os controles internos são um processo conduzido pelos empregados de uma organização

para reduzir os riscos de uma organização não alcançar os seus objetivos. Controles fornecem
segurança razoável à administração da entidade quanto ao alcance dos seus objetivos.
A organização identifica os riscos à realização de seus objetivos por toda a entidade e
analisa os riscos como uma base para determinar a forma como devem ser gerenciados,
conforme as respostas aos riscos que serão definidas pela organização. Um dos conceitos
relacionados aos controles internos é que são versáteis e adaptáveis à estrutura da entidade
e, portanto, flexíveis na aplicação para toda a entidade ou para uma subsidiária, divisão,
unidade operacional ou processo de negócio em particular.
Certo.
074. A resposta ao risco deve incluir controles internos de gestão preventivos, específicos
e definitivos, bem como rotina que contemple a preparação e a avaliação recorrente de
planos de contingência/continuidade, com vistas a minimizar o impacto de eventos não
detectados e(ou) evitar a sua consubstanciação.
As atividades de controle são as políticas e os procedimentos que contribuem para assegurar

que as respostas aos riscos sejam executadas. Existe uma variedade de descrições distintas
quanto aos tipos de atividades de controle, inclusive as preventivas, as detectivas, as manuais,
as computadorizadas e as de controles administrativos. Incluem uma gama de controles
internos da gestão preventivos e detectivos, bem como a preparação prévia de planos de
contingência e resposta à materialização dos riscos. Logo, existe erro na afirmação de que
os controles internos de gestão são específicos e definitivos. Também entendo haver erro
na afirmação de que um plano de contingência visa a minimizar o impacto de eventos não
detectados. Ora, se há um plano de contingência, ele é uma resposta contra eventos em
potencial já identificados ou detectados pela organização.
Errado.
075. (CESPE/CEBRASPE/CGDF/AUDITOR/2023) As atividades de monitoramento têm

por objetivo
a) dispensar o adequado tratamento às diversas espécies de risco a que está sujeita a
organização.
b) criar condições para que se cumpram as políticas e os processos estabelecidos pela
organização.

Marcelo Aragão
c) identificar fragilidades e implementar melhorias no sistema de controle interno.

d) averiguar se os procedimentos de controle interno estão sendo observados pelos
empregados da organização.
A letra ‘c’ é a alternativa certa. O monitoramento envolve o acompanhamento da qualidade

do controle interno, visando assegurar a sua adequação aos objetivos, ao ambiente, aos
recursos e aos riscos. Tem por objetivo identificar fragilidades e possibilidades de melhorias a
partir da avaliação de certos componentes do sistema de controles internos e da verificação
de suas funcionalidades.
Letra c.
076. (CESPE/CEBRASPE/CGDF/AUDITOR/2023) Assinale a opção que apresenta um tipo de

ocorrência que pode ser controlada pela adoção de um sistema de controle interno capaz
de proporcionar uma segurança razoável da consecução dos objetivos traçados por uma
organização.
a) descumprimento de requisitos legais e regulamentares
b) ocorrência de eventos externos à organização
c) julgamento falho ou tendencioso no processo de tomada de decisão
d) conluio dos empregados
A alternativa ‘a’ corresponde uma das categorias de objetivos relacoonadas aoas controles
internos. O “Internal Control – Integrated Framework” conceitua controle interno como um
processo conduzido pela alta administração e pelos colaboradores de uma organização,
com a finalidade de possibilitar uma garantia razoável quanto à realização dos objetivos
nas seguintes categorias: (i) Eficácia e eficiência das operações; (ii) Confiabilidade das
demonstrações financeiras; e (iii) Conformidade com leis e regulamentos cabíveis Dessa
forma, o descumprimento de requisitos legais e regulamentares deve ser objeto de atenção
por parte de qualquer sistema de controle interno tido como razoável.
As letras ‘b’, ‘c’ e ‘d’ correspondem a limitações inerentes de qualquer sistema de controle
interno, ainda que seja considerado como razoável e adequado.
Letra a.
Chegamos ao final desta aula.

Bons estudos e até a próxima aula de nosso curso!

Abra
caminhos
crie
futuros
gran.com.br

1 - Governança e Controles Internos Segundo o Coso I e II

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

1 - Governança e Controles Internos Segundo o Coso I e II

Enviado por

Direitos autorais:

Formatos disponíveis

AUDITORIA

Definição de Gerenciamento de Riscos Corporativos . . . . . . . . . . . . . . . . . . . . . . . 58

Então, vamos iniciar a aula!

GOVERNANÇA E CONTROLES INTERNOS SEGUNDO O

GOVERNANÇA NO SETOR PÚBLICO

Governança Corporativa é o sistema pelo qual as sociedades são dirigidas e monitoradas,

Para que os objetivos da governança, acima citados, sejam alcançados, torna-se

Problemas de agência são conflitos de interesse, resultantes do afastamento dos acionistas

GOVERNANÇA CORPORATIVA APLICADA AO SETOR PÚBLICO

Aumentar o valor da sociedade – ações dos governantes na melhoria das condições

Conselho de Administração – O Município já conta com um conjunto de Conselhos (de

GOVERNANÇA NO SETOR PÚBLICO

Portanto, um governo pode ter governabilidade (legitimidade e apoio das instituições

A questão-chave do Estado não é de governabilidade, mas de governança. Enquanto a primeira

Veja duas questões sobre governança e governabilidade.

001. (CESPE/CEBRASPE/EBC/TÉCNICO/2011) Governança e governabilidade são conceitos

O item inverteu os conceitos. A governabilidade refere-se às condições substantivas de

002. (CESPE/CEBRASPE/TCE-RJ/ANALISTA/2021) Governabilidade refere-se tanto à gestão

O item misturou os conceitos de governança e governabilidade. A gestão de instituições

OS PRINCÍPIOS DA BOA GOVERNANÇA

003. (CESPE/CEBRASPE/TCE-RJ/ANALISTA/2021) O acesso à informação governamental

A questão abaixo tratou desse princípio.

004. (FGV/TCE-AM/AUDITOR/OBRAS PÚBLICAS/2021) Os princípios básicos que definem

PRESTAÇÃO DE CONTAS E RESPONSABILIZAÇÃO (ACCOUNTABILITY)

Os agentes de Governança devem prestar contas de sua atuação a quem os elegeu e

Accountability representa a responsabilidade objetiva de uma pessoa ou organização

005. (CESPE/CEBRASPE/TCE-RJ/ANALISTA/2021) Accountability refere-se aos mecanismos

006. (CESPE/CEBRASPE/FUNPRESP/ANALISTA/2016) O princípio de accountability estabelece

O item estabelece corretamente o conceito de accountability pública, pelo qual se estabelece

Um aspecto que geralmente é cobrado em prova de administração pública, mas que

• Accountability vertical: se dá entre a população e o Estado, referindo-se ao controle

A questão abaixo tratou do assunto.

007. (CESPE/CEBRASPE/TCE-RJ/ANALISTA/2021) O controle da atividade dos políticos

CUMPRIMENTO DAS LEIS (COMPLIANCE)

O princípio do compliance ou conformidade está relacionado à adoção pelas organizações

REFERENCIAL BÁSICO DE GOVERNANÇA NO SETOR PÚBLICO

Figura 1: Perspectivas de Observação da Governança

A perspectiva “sociedade e estado” é a vertente política da governança pública, focada

A perspectiva “entes federativos, esferas de poder e políticas públicas” é a vertente

Figura 2: Perspectivas de Governança

SISTEMA DE GOVERNANÇA NO SETOR PÚBLICO

Figura 3: Sistema de Governança em órgãos e entidades da Adm. Pública

As instâncias externas de apoio à governança são responsáveis pela avaliação, auditoria

(CESPE/CEBRASPE/EMAP/ANALISTA/2018) Com relação à governança no setor público,

008. A gestão tática é responsável pela execução de processos produtivos finalísticos

De acordo com o Referencial Básico de Governança de órgãos e entidades do TCU, a gestão

As instâncias externas de governança são responsáveis pela fiscalização, pelo controle

FUNÇÕES DE GOVERNANÇA E GESTÃO

A governança de órgãos e entidades da administração pública envolve três funções

Governança, neste sentido, relaciona-se com processos de comunicação; de análise

Enquanto a gestão é inerente e integrada aos processos organizacionais, sendo responsável

Figura 4: Relação entre Governança e Gestão

Governança também se preocupa com a qualidade do processo decisório e sua efetividade:

PRINCÍPIOS BÁSICOS DE GOVERNANÇA PARA O SETOR PÚBLICO

de sua atuação espontaneamente, de forma clara e tempestiva, assumindo integralmente

DIRETRIZES PARA A BOA GOVERNANÇA

Para alcançar boa governança em órgãos e entidades da administração pública é

• desenvolver continuamente a capacidade da organização, assegurando a eficácia e

Considerando que a governança não é isenta de custos e que os mecanismos, isoladamente,

Figura 5: Níveis de Análise

Figura 6: Mecanismos de Governança

Liderança refere-se ao conjunto de práticas, de natureza humana ou comportamental,

(CESPE/CEBRASPE/IPHAN/ANALISTA/2018) No que se refere aos mecanismos de governança,