Aula 1

CURSO ON-LINE – AUDITORIA GOVERNAMENTAL – TCM/CE
PROFESSOR: MARCELO ARAGÃO

Olá, pessoal. Nesta aula vamos tratar de temas que recentemente passaram a ser
cobrados nos concursos públicos para Tribunais de Contas ou Controladorias e que são de
grande relevância para a gestão pública e para a auditoria governamental, que são a
governança, os controles internos e o gerenciamento de riscos, com destaque para os estudos
e as propostas do Comitê das Entidades Patrocinadoras - Coso acerca de estruturas integradas
de controles internos e de gerenciamento de riscos.
Portanto, em conformidade com o edital do concurso do TCM-CE, esta aula 1 abordará

os seguintes assuntos:
! Governança e análise de risco.
! Governança no setor público.
! O papel da auditoria na estrutura de governança.
! Estrutura conceitual de análise de risco (COSO). Elementos de risco e controle.
! Aplicação da estrutura conceitual de análise de risco.
Antes, temos o compromisso de comentar as questões da aula anterior sobre tipos de

auditorias.
1) (TCE/AM/FCC/2008) O auditor, ao ser designado para proceder auditoria para avaliar se

as normas da empresa estão efetivamente sendo aplicadas por seus colaboradores,
estará realizando conceitualmente uma auditoria de
A) áreas operacionais.
B) conformidade.
C) demonstrações contábeis.
D) sistemas financeiros.
E) atividades de detecção de fraude.
Comentário: A auditoria que tem como propósito maior a verificação do cumprimento das
normas da organização é a auditoria de conformidade. Vale destacar, no entanto, que a análise
de conformidade perante normas e princípios também é realizada nos demais tipos de
auditoria, a saber:
Auditoria Contábil – verificação da conformidade dos registros e demonstrações com as normas
e princípios contábeis;
Auditoria Operacional – verificação dos resultados de acordo com o desempenho previsto ou
objetivos e metas estabelecidos.
Na questão, trata-se de uma auditoria de conformidade, porque o enunciado indicou

apenas como objetivo a avaliação da conformidade/regularidade. A alternativa “b” é a correta.
2) (SEFAZ-SP/ESAF/2009) Sobre a auditoria de natureza operacional, é correto afirmar:

a) tem por objetivo certificar as contas do gestor público, apurando eventuais
responsabilidades.
b) é realizada, tão somente, com base na verificação das demonstrações contábeis.
c) no âmbito da administração indireta, só pode ser realizada por auditores
independentes contratados mediante licitação.
1
www.pontodosconcursos.com.br
d) compreende duas modalidades: auditoria de desempenho operacional e avaliação de
programas.
e) é aplicável, apenas, no âmbito da administração direta.
Comentário: A auditoria operacional realizada no âmbito do setor público, pelo Tribunal de

Contas da União, compreende duas modalidades:
! Auditoria de desempenho operacional – auditoria de gestão, com o propósito de verificar
a economia, a eficiência e a eficácia da gestão de um órgão ou programa.
! Avaliação de programa – auditoria que pretende avaliar, além da economicidade,
eficiência e eficácia, os impactos e benefícios gerados (efetividade) por um programa ou
projeto governamental.
Portanto, a alternativa correta é a “d”. A alternativa “a” corresponde à auditoria de

avaliação de gestão. A alternativa “b” corresponde à auditoria contábil. A alternativa “c” está
incorreta, pois tanto auditores do Controle Interno como dos Tribunais de Contas fiscalizam as
entidades da Administração Indireta. Por fim, a alternativa “e” apresenta erro, pois a auditoria
operacional pode ser aplicada tanto na Administração Direta (órgãos, secretarias etc) quanto na
Indireta (autarquias, estatais, agências etc).
3) (TCE-GO/FCC/2008) De acordo com o art. 71 da Constituição Federal de 1988, compete

ao Tribunal de Contas da União, no exercício do controle externo, realizar inspeções e
auditorias de diversas naturezas. Supondo que o Tribunal de Contas realize auditoria em
uma entidade pública com a finalidade de confirmar os valores apresentados nas
demonstrações financeiras, ele está realizando uma auditoria
A) contábil.
B) de acompanhamento de gestão.
C) de gestão.
D) operacional.
E) especial.
Comentário: A auditoria que tem como finalidade confirmar os valores apresentados nas
demonstrações financeiras é a auditoria contábil. Também são propósitos da auditoria contábil:
aumentar a confiança dos usuários nas demonstrações contábeis e Emitir opinião sobre a
adequação das demonstrações contábeis. A alternativa “a” é a correta.
4) (AUDITORIA-GERAL/MG/CESPE/2009). A auditoria da gestão pública é a vertente da

auditoria governamental realizada pelo Estado visando ao controle de sua gestão.
Assinale a opção correta acerca dos tipos de auditoria governamental.
A A verificação do cumprimento da legislação pertinente é objeto da auditoria contábil.
B A auditoria de sistemas tem, entre outros, o objetivo de identificar as áreas críticas e
riscos potenciais, proporcionando as bases para a sua eliminação ou redução.
C A análise da realização físico-financeira, em face dos objetivos e metas estabelecidos,
é um aspecto contemplado pela auditoria de gestão.
D A auditoria integral utiliza-se de critérios sob a ótica dos quais busca avaliar a
organização, como, por exemplo, a gestão e desenvolvimento de pessoas.
2
E Constitui objetivo da auditoria operacional aferir a confiabilidade, a segurança, a
fidedignidade e a consistência dos sistemas administrativos, gerenciais e de
informações.
A questão trata dos tipos de auditoria governamental e foi elaborada com base no livro
de Maria da Glória Arrais Peter e Marcus Vinicius Veras Machado, intitulado Manual de
Auditoria Governamental, da Atlas. Os autores relacionam os seguintes tipos de auditoria
governamental: Auditoria de Gestão; Auditoria de Programas; Auditoria Operacional; Auditoria
Contábil; Auditoria de Sistemas; Auditoria Especial; Auditoria de Qualidade e Auditoria Integral.
A alternativa correta é a “E”. Constitui objetivo da auditoria operacional aferir a

confiabilidade, a segurança, a fidedignidade e a consistência dos sistemas administrativos,
gerenciais e de informações. A alternativa “A” refere-se a aspecto da auditoria de gestão. A
alternativa “B” corresponde à auditoria operacional. A alternativa “C” corresponde a um aspecto
abordado na auditoria de programa. Por fim, a alternativa “D” corresponde à auditoria de
qualidade.
5) (CGE-PB/CESPE/2008) Os sistemas de tecnologia da informação apresentam

benefícios e riscos em comparação com sistemas manuais. Em um ambiente
computadorizado, os controles internos têm de levar em conta esses riscos, entre os
quais menciona-se
A os arquivos e registros que se encontram em linguagem que não permite a leitura em
computador.
B a diminuição do envolvimento humano, facilitando o obscurecimento de erros.
C as diversas funções que estão dispersas, sem uma visão integrada e coesa.
D as alterações que são implementadas com muita facilidade, com perda de registro e
memória.
E a coerência que é menor em razão de as transações estarem submetidas a controles
distintos, heterogêneos.
Comentários: William Boynton e outros autores, no livro Auditoria, da Atlas, apontam os

benefícios que sistemas de TI apresentam, em comparação com sistemas manuais: a) sistemas
de tecnologia da informação podem proporcionar maior coerência de processamento que
sistemas manuais, pois submetem todas as transações aos mesmos controles, uniformemente;
b) relatórios contábeis mais tempestivos podem fornecer à administração meios mais eficazes
de análise, supervisão e revisão das operações da empresa.
Todavia, existem vários riscos em sistemas de TI, também em comparação com

sistemas manuais, quais sejam: a) o sistema de TI produz uma trilha de transação que é
disponível para auditoria apenas por um curto período de tempo; b) muitas vezes, existe menos
evidência documentária do desempenho de procedimentos em sistemas de TI; c) arquivos e
registros em sistemas de TI, geralmente, encontram-se em linguagem de máquina e não podem
ser lidos sem um computador; d) A diminuição do envolvimento humano em processamento de
dados pode obscurecer erros que poderiam ser observados em sistemas manuais; e) sistemas
de TI podem ser mais vulneráveis a desastres, movimentação não-autorizada e falhas
mecânicas que sistemas manuais; f) várias funções podem ser concentradas em sistemas de
3
TI, com uma correspondente redução na segregação de funções a que se obedece em
sistemas manuais; g) alterações no sistema, muitas vezes, são mais difíceis de ser implantadas
e controladas em sistemas de TI que em sistemas manuais.
A assertiva A da questão está incorreta, pois os arquivos e registros que se encontram

em linguagem de máquina podem ser lidos com o auxílio de um computador. O risco decorre da
necessidade de um computador e do conhecimento especializado.
A assertiva B refere-se a um dos riscos de ambiente de TI e é a alternativa correta. Em

função da diminuição do envolvimento de pessoas no registro e processamento das
informações, torna-se mais difícil identificar os erros.
A assertiva C está incorreta, pois as funções em ambiente de TI estão concentradas e,

portanto, há prejuízos à segregação de funções.
A assertiva D está incorreta, pois apesar da possibilidade de alterações serem

implementadas com muita facilidade, não há perda de registro e memória.
Por fim, a assertiva E está incorreta, pois sistemas de TI submetem as transações aos
mesmos controles, uniformemente e, portanto, propiciam maior coerência de processamento
que sistemas manuais.
QUESTÕES ESTILO CERTO OU ERRADO:
6) (TCU/2007/CESPE) Considere que, em cumprimento à decisão do TCU, tenha sido

elaborado relatório de auditoria na área de licitações e contratos de determinado tribunal
e tenham sido constatadas as seguintes falhas na condução de procedimentos
licitatórios: edital de licitação com imposições restritivas à competição; prévio
cadastramento de licitantes no sistema integrado de cadastramento unificado de
fornecedores; exigências, durante a fase de habilitação de licitantes, de documentos não-
previstos em lei específica; falta de critério de aceitabilidade dos preços unitário e global.
Nesse caso, a situação descrita caracteriza uma auditoria operacional.
Comentário: Todas as constatações da auditoria, apontadas na questão, referem-se à

conformidade e à legalidade dos procedimentos licitatórios, com base na Lei 8.666/93 e demais
dispositivos legais/normativos. Assim, o tipo de auditoria utilizado é o de conformidade. Para
caracterizar uma auditoria operacional, os aspectos abordados no relatório seriam a eficiência
na utilização dos recursos e a eficácia da gestão, em termos de metas e objetivos atingidos
pela área auditada. Item errado.
7) (TCU/2007/CESPE) O julgamento das contas dos gestores públicos em virtude de

danos ao erário decorrentes de atos de gestão ilegítima ou antieconômica, ou por
desfalques ou desvio de dinheiros, bens e valores públicos, é um meio de detecção de
fraudes propiciado pela fiscalização adotada pelo TCU, e a modalidade específica de
auditoria que o TCU utiliza para detectar fraudes é a auditoria de conformidade.
4
Comentário: O julgamento do Tribunal, com as possíveis sanções previstas em lei, constitui um
meio de repressão às fraudes. Os meios de detecção de fraudes são as atividades e
procedimentos de fiscalização com esse propósito. Portanto, o item está errado quando afirma
que o julgamento é um meio de detecção de fraude.
Outro aspecto abordado na questão e por demais polêmico diz respeito à modalidade de
auditoria específica para se detectar fraudes. Alguns colegas do próprio TCU entendem que
fraudes ou desvios podem ser revelados tanto em auditoria de conformidade como em auditoria
operacional. Por outro lado, muitos não vislumbram a hipótese de que fraudes e desvios sejam
detectados em auditorias operacionais, por considerarem que essas auditorias têm o foco
exclusivamente voltado para resultados e oportunidades de melhoria de desempenho.
Considerando este último entendimento e, ainda, que o propósito da auditoria de

conformidade é verificar a legalidade e a legitimidade dos atos de gestão, pode-se afirmar que a
auditoria de conformidade constitui a modalidade ou tipo de auditoria que o TCU utiliza,
especificamente, para detectar fraudes.
8) (TCU/2007/CESPE) Suponha que uma auditoria, realizada em uma escola agrícola

federal subordinada ao Ministério da Educação, tenha constatado falhas e deficiências na
área orçamentário-financeira, no sistema escola-fazenda e na área de recursos humanos.
Nessa situação hipotética, a auditoria descrita é um exemplo de auditoria de natureza
operacional, que abrange, inclusive, avaliação de programas, o que permite à equipe de
auditoria pronunciar-se sobre o aumento da evasão escolar em virtude da situação.
Comentário: As falhas e deficiências constatadas na auditoria dizem respeito ao processo de

gestão dos recursos de uma escola agrícola ou mesmo de execução de um programa
governamental com o propósito de formar técnicos agrícolas para melhorar o setor
agropecuário do país. Como são aspectos relativos à eficiência e à eficácia da gestão da
escola, cabe concluir tratar-se de uma auditoria de natureza operacional. Porém, apenas com
base nas constatações indicadas na questão não seria possível identificar se era uma auditoria
de desempenho operacional ou de avaliação de programa. Mesmo a expressão sistema escola-
fazenda não permite concluir com segurança se a auditoria procurava avaliar a eficiência e a
eficácia do sistema de ensino ou a sua qualidade e efetividade, em termos de formação dos
profissionais e/ou colocação no mercado de trabalho.
A segunda parte da questão, porém, referindo-se à situação hipotética colocada, afirma

que a auditoria é um exemplo de auditoria de natureza operacional e ressalta que as ANOPs
abrangem a avaliação de programas, o que permitiria à equipe concluir pelo aumento da
evasão escolar. Está certa a afirmação, pois a avaliação de programa é uma das formas de
ANOP com o propósito de avaliar os efeitos produzidos pela intervenção governamental e o
aumento ou a redução da evasão escolar é um indicador de efetividade do programa.
Alguns candidatos assinalaram a questão como errada, justificando que, somente com
base nos aspectos apontados no enunciado, não seria possível concluir pela evasão escolar.
Se esse raciocínio prevalecesse, toda questão que se referisse a um caso prático de auditoria
estaria errada, pois que constitui apenas uma hipótese simplificada da realidade. Em questões
dessa natureza, vocês devem estar atentos aos objetivos do trabalho, pois são esses objetivos
ou finalidades que irão determinar o tipo de auditoria adotado.
5
9) (TCU/2008/CESPE) No Brasil, as disposições constitucionais e legais conferem às
entidades fiscalizadoras superiores poderes para examinar a economicidade, a eficiência
e a eficácia da ação governamental, o que a INTOSAI denomina de auditoria de
otimização de recursos, que se insere, juntamente com a auditoria de regularidade, no
âmbito geral da fiscalização pública.
Comentário: O artigo 70 e o inciso IV do art. 71, ambos da CF, conferem ao Controle Externo
(Congresso Nacional e TCU) poderes para fiscalizar e auditar o desempenho operacional de
órgãos e entidades e programas, o que inclui a economicidade, a eficiência e a eficácia. A Lei
Orgânica do Tribunal também prevê este tipo de fiscalização. Por outro lado, a INTOSAI define
em suas normas de auditoria que o âmbito geral da fiscalização pública abrange a auditoria de
regularidade e a auditoria de desempenho (ou de otimização de recursos ou operacional ou de
gestão), cuja definição aproxima-se da definição de auditoria operacional aqui no Brasil.
Portanto, a questão está certa.
10) (TCU/2008/CESPE) Na auditoria operacional realizada no âmbito de um órgão ou

programa governamental, os critérios ou objetivos pelos quais eficiência e eficácia são
medidas devem ser especificados pelos auditores e, não, pela administração, e os
pareceres relativos a esses trabalhos não podem conter recomendações ou sugestões.
Comentário: Em uma auditoria operacional, os critérios ou padrões pelos quais o desempenho

de um órgão ou programa será aferido devem ser definidos para cada auditoria. Os critérios
podem ser definidos em função de: a) objetivos e metas fixados em lei ou determinados pela
administração; b) opiniões de especialistas; c) desempenho de entidades similares; d)
desempenho de anos anteriores.
Como o propósito dessas auditorias é melhorar o desempenho de órgãos e programas,

os relatórios produzidos pelos auditores operacionais devem sempre conter recomendações ou
sugestões para o aprimoramento da gestão, dos processos, controles, resultados etc.
Portanto, o item apresenta dois erros, quando afirma que os critérios não devem ser
especificados pela administração e que os pareceres (relatórios) não devem conter
recomendações ou sugestões.
11) (Contador/MC/2008/CESPE) Há duas modalidades de atuação da auditoria externa

governamental: auditoria de desempenho operacional e avaliação de programa. A
auditoria de desempenho operacional verifica em que medida as ações implementadas
lograram produzir os efeitos pretendidos pela administração e a avaliação de programa
busca apurar, além da eficiência operativa, o grau de cumprimento das metas,
comparando as previstas com as realizadas.
Comentário: A auditoria de desempenho operacional constitui uma das formas de auditoria de

natureza operacional e está voltada para o exame da ação governamental quanto aos aspectos
da economicidade, eficiência e eficácia e tem como foco principal o processo de gestão nos
seus múltiplos aspectos – de planejamento, de organização, de procedimentos operacionais e
6
de acompanhamento gerencial, inclusive quanto aos seus resultados em termos de metas
alcançadas.
Já o objetivo da avaliação de programa, outra modalidade de auditoria operacional, é

examinar a efetividade dos programas e projetos governamentais, ou seja, os benefícios e
impactos gerados com a ação de governo.
Enquanto a auditoria de desempenho operacional verifica, além da eficiência operativa,

o grau de cumprimento das metas, comparando metas previstas com metas realizadas, a
avaliação de programa busca apurar em que medida as ações implementadas lograram
produzir os efeitos pretendidos pela administração.
Assim, o item inverteu os objetivos dessas modalidades de auditorias. O certo seria: A

auditoria de avaliação de programa verifica em que medida as ações implementadas lograram
produzir os efeitos pretendidos pela administração e a de desempenho operacional busca
apurar, além da eficiência operativa, o grau de cumprimento das metas, comparando as
previstas com as realizadas.
Passaremos agora à Governança.
Governança Corporativa
No Brasil, existe farta bibliografia sobre a governança corporativa, que é aquela

praticada nas empresas e nas organizações de uma forma geral. O foco da governança
corporativa é a gestão e o controle das organizações do setor privado. Nesse sentido, existem
diferentes conceitos e definições sobre Governança Corporativa, dependendo dos seus
autores.
Segundo o Código das Melhores Práticas de Governança Corporativa do Instituto

Brasileiro de Governança Corporativa – IBGC (www.ibgc.org.br):
Governança Corporativa é o sistema pelo qual as sociedades são

dirigidas e monitoradas, envolvendo os relacionamentos entre
Acionistas / Cotistas, Conselho de Administração, Diretoria, Auditoria
Independente e Conselho Fiscal. As boas práticas de Governança
Corporativa têm a finalidade de aumentar o valor da sociedade, facilitar
seu acesso ao capital e contribuir para a sua perenidade.
Apesar de termos e expressões distintos para definir governança corporativa,

praticamente todos os autores destacam os seguintes princípios e valores na gestão de
governança:
! Ética (ethics)
7
A adoção de boas práticas de governança significa também a adoção de princípios
éticos. A ética é o pilar de toda a estrutura de governança. As corporações que não explicitarem
as condutas em um código de ética deverão explicitar as razões da não-adoção.
!
! Transparência (disclosure):
Mais do que “a obrigação de informar”, a administração deve cultivar o “desejo de

informar”, sabendo que da boa comunicação interna e externa, particularmente quando
espontânea franca e rápida, resultam um clima de confiança, tanto internamente, quando nas
relações da empresa com terceiros. A comunicação não deve restringir-se ao desempenho
econômico-financeiro, mas deve contemplar também os demais fatores (inclusive intangíveis)
que norteiam a ação empresarial e que conduzem a criação valor.
! !Equidade (fairness).
Caracteriza-se elo tratamento justo e igualitário de todos os grupos minoritários, sejam

do capital ou das demais “partes interessadas” (stakeholders), colaboradores, clientes,
fornecedores ou credores. Atitudes ou políticas discriminatórias, sob qualquer pretexto, são
totalmente inaceitáveis. A governança busca a implementação de controle em um ambiente de
poder equilibrado entre todas as partes interessadas na organização.
! !Prestação de Contas (accountability).
Os agentes de Governança corporativa devem prestar contas de sua atuação a quem os

elegeu e respondem integralmente por todos os atos que praticarem o exercício de seus
mandatos.
! !Cumprimento das leis (compliance).
Adoção pelas corporações de um código de ética para seus principais executivos, que
deverá conter formas de encaminhamento de questões relacionadas a conflitos de interesse,
divulgação de informações e cumprimentos das leis e regulamentos.
!
! Responsabilidade Corporativa.
Conselheiros e executivos devem zelar pela perenidade das organizações (visão de

longo prazo, sustentabilidade) e, portanto, devem incorporar considerações de ordem social e
ambiental na definição dos negócios e operações. Responsabilidade Corporativa é uma visão
mais ampla da estratégia empresarial, contemplando todos os relacionamentos com a
comunidade em que a sociedade atua. A ”função social” da empresa deve incluir a criação de
riquezas e de oportunidades de emprego, qualificação e diversidade da força de trabalho,
estimulo ao desenvolvimento cientifico por intermédio de tecnologia, e melhoria da qualidade
de vida por meio de ações educativas culturais, assistenciais e de defesa do meio ambiente.
Inclui-se neste princípio a contratação preferencial de recursos (trabalhos e insumos) oferecidos
pela própria comunidade.
8
Em síntese e conforme palestra da Petrobrás, no 1° Seminário “Governança

Corporativa: Experiências em Empresas Estatais”, pode-se conceituar governança corporativa
como um conjunto de práticas e relacionamentos entre: a) acionistas ou cotistas; b) Conselho
de Administração; c) Diretoria; d) Auditoria Independente; e) Conselho Fiscal; e f) Partes
interessadas; com a finalidade de:
! melhorar a gestão da organização e o seu desempenho;
! melhorar o processo decisório na alta administração;
! melhorar a imagem institucional;
! facilitar o acesso ao capital a custos mais baixos;
! contribuir para a perenidade da organização.
O movimento de Governança Corporativa, quando de seu início, estava confinado a

trabalhos acadêmicos e também a um pequeno e seleto grupo de investidores institucionais que
estavam estudando os sistemas de controle das grandes empresas listadas nas bolsas de
valores.
Nos últimos 10 anos ganhou força em resposta a abusos de poder, fraudes e erros
estratégicos, todos envolvendo valores significativos. Em função da Assimetria de
Informações entre os proprietários das empresas (principal) e os agentes gestores (agentes),
surge o espaço para o problema de agência. Invariavelmente, os agentes, que são os
funcionários de uma empresa, têm maior quantidade de informações sobre as operações do
dia-a-dia do que o principal. Para que possam se manter atualizados das operações da
empresa e possam ainda proteger os seus interesses de maximização de lucro, contra os
possíveis interesses dos agentes, que por muitas vezes são antagônicos e conflitantes, o
principal é levado a incorrer com custos.
É nesse cenário e em decorrência do efeito de agência que surgem as manipulações

de informações e resultados e fraudes nas demonstrações financeiras de grandes corporações,
sendo os casos da Enron e da MCI-WorldComm os mais emblemáticos.
Após esses grandes escândalos, os Estados Unidos adotaram algumas ações visando
evitar tais práticas e os possíveis danos do efeito agência, o que fez surgir a Lei Sarbanes-
Oxley.
Tal lei, aprovada em janeiro de 2002, foi criada por dois membros do congresso
americano, Paul S. Sarbanes e Michael Oxley, vindo daí o nome de Sarbanes-Oxley, sendo
usualmente conhecida como Sarbox ou simplesmente SOX.
A Lei SOX busca assegurar aos acionistas de uma empresa, uma maior confiabilidade
nas demonstrações contábeis e financeiras, com isso buscando um retorno da confiança dos
investidores na Bolsa de Valores. Essa reforma é tida como a maior mudança na Bolsa de
Valores Americana, desde sua regulamentação na década de 30, após a quebra de 1929. Para
se ter idéia do impacto do não cumprimento da Lei, as multas das empresas podem chegar a
US$ 25 milhões, e com penas de até 20 anos para os administradores, de acordo com o livro
“Uma Década de Governança Corporativa”.
9
O principal foco da SOX é a transparência das informações para o mercado e os

stakeholders, e para isso as corporações passam a ter maior responsabilidade em seus
processos de divulgação e dos controles internos das mesmas. Sendo assim, é possível afirmar
que o foco dos pontos de mudança na Lei Sarbanes Oxley estão agrupados em Controles
Internos Administrativos e Controles de Auditoria.
Entendemos pertinente primeiro estudar um pouco sobre governança corporativa, para

depois abordarmos a governança no setor público. Primeiro porque, apesar de práticas
distintas, os conceitos e objetivos gerais, bem como os princípios da governança corporativa se
aplicam à governança no setor público. Em segundo lugar, por que são poucos os livros de
autores nacionais, específicos sobre governança do Estado ou do setor público. Alguns autores
transcrevem a teoria da governança corporativa para a governança pública, como veremos
mais adiante.
Governança e Análise de Risco
Uma das definições clássicas de risco é a seguinte: Riscos são eventos futuros e
incertos que podem influenciar de forma significativa o cumprimento dos objetivos de uma
organização.
Riscos são quaisquer eventos que possam impedir ou dificultar o alcance de um

objetivo.
Os riscos empresariais originam-se tanto nos processos internos, incidindo na condução

ou execução do empreendimento, quanto no ambiente externo, podendo afetar a viabilidade do
negócio.
Assim, riscos estão associados à consecução dos objetivos de uma organização,

portanto, a análise de riscos tem papel relevante na gestão das empresas e de governança
corporativa.
É importante que os riscos sejam identificados e analisados por metodologias e técnicas

de avaliações quantitativas e qualitativas, que permitam apurar a probabilidade de sua
ocorrência e os impactos associados com os objetivos, bem como sua análise para definir a
melhor maneira de administrá-los.
Avaliar riscos significa estimar a probabilidade de ocorrência do eventos negativo e o

potencial impacto nos objetivos de uma organização ou de um projeto.
Em função da avaliação dos riscos, define-se um plano de ação (resposta aos riscos),
mecanismos de controle e de monitoramento contínuo da consecução dos objetivos e de
gerenciamento de riscos.
No âmbito das empresas, o Conselho de Administração, como detentor dos poderes de

governança, constitui a autoridade máxima no gerenciamento dos riscos e a ele é atribuída a
responsabilidade pelo seu monitoramento de toda a estrutura e processos voltados para os
riscos.
10
O código das melhores práticas de governança do Instituto Brasileiro de Governança
Corporativa define que o Conselho de Administração deve assegurar-se de que a Diretoria
identifique preventivamente – por meio de sistema de informações adequado – e liste os
principais riscos aos quais a sociedade está exposta, sua probabilidade de ocorrência, bem
como as medidas e os planos adotados para sua prevenção ou minimização.
Governança no Setor Público
Com relação à governança do setor público ou do Estado a literatura é escassa, assim

como os trabalhos acadêmicos sobre o assunto. Outra dificuldade que se observa na tentativa
de conceituação ou definição de um modelo é que a Governança Pública pode assumir
diferentes dimensões em função dos objetivos dos órgãos públicos e do seu papel dentro da
estrutura governamental.
Alguns autores apresentam uma transposição do composto conceitual da governança

corporativa para a gestão do Estado. Nesse sentido, destaca-se a contribuição de Valmir
Slomski que afirma: “Ao se pensar na governança corporativa na gestão pública governamental
é preciso reorientar, criar novas formas de ver a coisa pública, haja vista que o cidadão não
paga impostos, integraliza capital”.
Esse autor nos ensina como devem ser vistos e aplicados os objetivos do código de
melhores práticas de governança corporativa, editado pelo IBGC, sob a ótica da gestão pública
governamental, a saber:
Aumentar o valor da sociedade – ações dos governantes na melhoria das condições

de habitação, saneamento, saúde, educação, etc, sob a vigilância dos cidadãos (sócios),
produzirão agregação de valor à sociedade local.
Melhorar seu desempenho – as entidades governamentais podem melhorar seu

desempenho implementando melhorias nos ambientes interno (ações saneadoras,
desenvolvimento de potencialidades dos recursos públicos) e externo (com medidas que
atraiam investimentos da iniciativa privada).
Facilitar seu acesso ao capital a custos mais baixos – produzindo ações de

aumentar valor da sociedade e de melhorar seu desempenho, os investidores terão
maiores garantias ao emprestarem ao poder público, com custo mais baixo.
Contribuir para a sua perenidade – os serviços têm que ser prestados aos cidadãos
com qualidade e tempestividade (perenidade dos serviços)
Por fim, Slomski defende que todos os princípios da governança são aplicáveis a
entidades governamentais:
Transparência – A LRF já obriga a transparência, mas essa transparência pode ser

melhorada com instrumentos como a Demonstração do Resultado Econômico, com o
contracheque econômico e o balanço social. Precisa haver simetria informacional entre o
Estado e a sociedade.
11
Eqüidade – a gestão pública deve pautar-se por políticas e ações dos governantes que
produzam a eqüidade entre os habitantes, para fins de bem-estar social.
Prestação de contas (accountability) – os agentes devem prestar contas de sua

atuação a quem os elegeu e respondem integralmente por todos os atos que praticarem
no exercício de seus mandatos.
Responsabilidade Corporativa – Os governantes devem zelar pela perenidade dos

serviços e bem estar da população, com visão de longo prazo, gerando riquezas,
oportunidades de emprego, melhoria da qualidade de vida por meio de ações
educativas, culturais, assistenciais e de defesa do meio ambiente.
Conselho Fiscal – Nas entidades públicas e nos Municípios já existe um Conselho

Fiscal que é a Câmara de Vereadores, que são eleitos para legislar e fiscalizar os atos
do gestor público, com o auxílio dos Tribunais de Contas. No entanto, os Tribunais de
Contas realizam poucas horas de trabalho in loco nos entes auditados. Assim, propõe as
seguintes medidas para melhorar e ampliar a atuação dos Tribunais:
! Formar auditores por área de atuação ou política pública;
! Ampliar os sistemas informatizados de suporte às auditorias;
! Ampliar os recursos financeiros dessas entidades de controle; e
! Contratar empresas de auditoria independentes para ampliar as horas de
trabalho de revisão das contas públicas.
Conselho de Administração – O Município já conta com um conjunto de Conselhos (de

Educação, de Saúde, etc), no entanto, seria necessária a criação do Conselho Municipal
de Administração, que deveria ter um mandato diferente dos prefeitos e vereadores,
para que pudesse agir de maneira independente e exercer o acompanhamento das
contas públicas e que tivesse poderes para orientar e até de vetar ações do Executivo
que pudessem afetar o bem estar social, econômico e cultural ou a oferta dos serviços
públicos.
Nessa linha, outra excelente contribuição é feita por Andrade e Rossetti, em Governança
Corporativa. Segundo esses autores, a governança do Estado está associada ou procura
solucionar os conflitos e os custos de agência, claramente também presentes no processo de
gestão do Estado.
Os conflitos de agência referem-se aos interesses imperfeitamente simétricos de

contribuintes (agentes outorgantes) e de gestores públicos (agentes outorgados). Os
cidadãos contribuintes, que canalizam recursos para o Estado, capitalizando-o para que ele
possa produzir bens e serviços de interesse público, têm a expectativa de que os
administradores do setor público cuidem da eficaz alocação desses recursos e,
conseqüentemente, ao máximo retorno total dos tributos pagos. Ocorre, porém, como no caso
das corporações, que as decisões dos gestores públicos podem conflitar com os interesses dos
contribuintes, até porque, enquanto agente alocador de recursos, o governo tende a ser menos
perfeito que os agentes privados, seja pela alta dispersão dos contribuintes e pela conseqüente
12
dificuldade de controle presencial e direto da administração pública. Em síntese, os interesses
dos contribuintes estão focados na recepção de serviços de excelência, mas os gestores
públicos podem estar interessados na elevação de seus próprios benefícios. A figura a seguir
resume o conflito de agência entre outorgantes e outorgados.
Os conflitos de agência no processo de governança do Estado
OS CONTRIBUINTES
" Agentes principais, outorgantes.
" Recursos para produção de bens
" Focados em: e serviços públicos.
# Máximo retorno dos tributos pagos. " Remuneração pelos serviços de
# “Dividendos sociais” proporcionados gestão
por bens e serviços públicos.
OS GESTORES PÚBLICOS
" Agentes executores, outorgados.
" Serviços de gestão.
" Focados em:
" Prestação responsável
de contas. # Domínio da gestão pública;
# Decisões alocativas eficazes;
# Bem-estar coletivo.
RELAÇÃO DE AGÊNCIA
" Decisões que maximizam o
interesse dos contribuintes.
" Decisões que maximizam o
interesse dos gestores.
Andrade e Rossetti, Governança Corporativa
Os custos de agência surgem em função desses conflitos. O interesse dos agentes

gestores na elevação dos seus próprios benefícios implica pressões por aumento nos
dispêndios de custeio, comprimindo a poupança do governo e os orçamentos de investimento.
Somam-se a estas pressões os vícios inerentes ao jogo político-partidário, tornando a alocação
de recursos muito mais sujeita a atendimento clientelista do que a decisões orientadas por
planos estrategicamente consistentes.
Outro aspecto é que a qualidade e a produtividade dos serviços públicos são geralmente
afetadas pela ausência de avaliações estruturadas do desempenho dos servidores. O
gigantismo da burocracia no serviço público e os conseqüentes custos de transação tendem a
crescer. Quanto à carga tributária, o que se observa são movimentos expansionsistas, além da
manifesta insensibilidade para a relação custos/benefícios. Por fim, a auditoria, o controle e a
prestação de contas responsável também acabam sendo comprometidos pelo processo e pelos
critérios de nomeação de membros de Tribunais de Contas, o que também afeta o combate à
corrupção. O quadro a seguir procura expressar os custos de agência no processo de gestão
do Estado.
13
Os custos de agência no processo de gestão do Estado
" Im perfeições do governo com o agente econôm ico.

" Interesses dos outorgantes e dos outorgados im perfeitam ente sim étricos
" G igantism o:
! Tendência à expansão de atividades-m eio, com prim indo recursos para atividades-fim ;
! Predom inância de práticas burocráticas que não geram valor para os contribuintes.
" Altos custos de transação:
! Burocracia ineficiente;
! Lentidão processual;
! “Negociação” de sobre-precificações.
" Estruturas onerosas de controle.
" Nepotism o.
" Alocações ineficazes de recursos: pulverizações com prom etendo focos estratégicos.
" Aparelham ento político-partidário de estruturas burocráticas.
" Leis que enrijecem benefícios autoconcedidos.
Andrade e R ossetti, Governança Corporativa
Assim, segundo esses autores, boas e rígidas regras de governança podem ser
estabelecidas para solucionar esses conflitos de agência e, especialmente, tanto para coibir o
uso de mecanismos de anulação das forças de controle do Estado quanto para limitar os
fatores que favorecem o oportunismo e a expropriação.
Por fim, cabe transcrever o seguinte trecho da conclusão dos autores sobre a importância
da governança na gestão do Estado, que sintetiza muito bem a importância da governança:
A questão-chave do Estado não é de governabilidade, mas de

governança. Enquanto a primeira é uma conquista circunstancial e
geralmente efêmera do poder estabelecido, a segunda é uma conquista da
sociedade estrutural e duradoura. E que estará necessariamente alicerçada
nos quatro princípios que definem a governança das corporações:
transparência, eqüidade, prestação de contas e conformidade.
Andrade e Rossetti, Governança Corporativa
Ainda com relação à Governança no Setor Público, um interessante estudo foi realizado
em 2001 pelo IFAC (International Federation of Accountants). De acordo com o estudo, os três
princípios fundamentais de governança no setor público são:
! Transparência: é requerido para assegurar que as partes interessadas

(sociedade) possam ter confiança no processo de tomada de decisão e nas
ações das entidades do setor público, na sua gestão e nas pessoas que nela
trabalham.
14
! Integridade: compreende procedimentos honestos e perfeitos. É baseada na
honestidade, objetividade, normas de propriedade, probidade na administração
dos recursos públicos e na gestão da instituição.
! Accountability (responsabilidade de prestar contas): as entidades do setor

público e seus indivíduos são responsáveis por suas decisões e ações, incluindo
a administração dos recursos públicos e todos os aspectos de desempenho e,
submetendo-se ao escrutínio externo apropriado.
Além dos princípios, o IFAC apresenta as dimensões que as entidades da administração

pública devem adotar:
! Padrões de comportamento: como a administração da entidade exercita a

liderança e determina os valores e padrões da instituição, como define a cultura
da organização e o comportamento de todos os envolvidos;
! Estruturas e processos organizacionais: como a cúpula da administração é

designada e organizada dentro da instituição, como as responsabilidades são
definidas e como elas são asseguradas;
! Controle: a rede de vários controles estabelecidos pela cúpula administrativa da

organização no apoio ao alcance dos objetivos da entidade, da efetividade e
eficiência das operações, da confiança dos relatórios internos e externos, da
complacência com as leis aplicáveis, regulamentações e políticas internas;
! Relatórios externos: como a cúpula da organização demonstra a prestação de

contas da aplicação do dinheiro público e seu desempenho.
O papel da auditoria na estrutura de governança
Os instrumentos organizacionais tradicionais para avaliar a governança são os órgãos

de auditoria interna e externa.
Uma auditoria interna bem estruturada e com sua independência assegurada pelo status
organizacional (vínculo com o Conselho de Administração) pode auxiliar significativamente as
empresas na melhoria dos processos de gerenciamento dos riscos, controles internos e
governança corporativa.
Modernamente, a auditoria interna tem evoluído do enfoque tradicional orientado

somente à revisão dos controles internos, para um exame mais amplo e detalhado de toda a
administração dos riscos empresariais e os processos existentes para identificar, avaliar, mitigar
e reportá-los. Estes riscos são sempre específicos, sendo difícil para uma auditoria externa
poder a custos razoáveis substituir uma auditoria interna nessa função de controle mais amplo
de risco.
15
De qualquer forma, a auditoria externa ou independente também tem participação ativa
na estrutura de governança.
Em síntese, a auditoria auxilia a organização a tornar mais eficazes os processos de

gestão de riscos, controles e governança corporativa. A primeira função de uma auditoria em
um sistema de riscos é verificar se as diretrizes e limites fixados pela governança estão sendo
respeitados. Porém, além dessa verificação de conformidade, deve observar se o sistema de
gerenciamento de riscos está funcionando de modo adequado, além de examinar os custos de
operação do sistema.
Na governança do setor público, o papel essencial da auditoria pública é fomentar

e assegurar a accontability (prestação de contas responsável), o que inclui a
disseminação de boas práticas de gestão (INTOSAI).
RESUMO - PRINCÍPIOS E VALORES DA GOVERNANÇA PÚBLICA
1) Participação
2) Estado de direito
3) Transparência
4) Responsabilidade
5) Igualdade e inclusividade
6) Efetividade e eficiência
7) Accontability
Além desses princípios, a boa governança pública procura adotar rígidos padrões
de controle, valorizando a auditoria, os controles internos e a análise de riscos,
com o intuito de assegurar o cumprimento de sua finalidade e o atingimento dos
objetivos.
Em que pese a Banca para o concurso do TCM-CE ser a Fundação Carlos Chagas,
proponho vermos de que forma o CESPE explorou governança no concurso de 2007, para o
Tribunal de Contas da União, em virtude do conteúdo dos editais ser o mesmo.
Foi somente uma questão, porém, de enunciado um tanto contraditório, apesar do

gabarito dar a questão como certa.
Questão 112 A função dos administradores públicos é utilizar, de forma econômica,

eficiente e eficaz, os recursos ao seu dispor para a consecução das metas que lhes
foram determinadas, devendo ser observado, nesse aspecto, em sentido amplo, o
16
conceito de governança, cuja finalidade é atingida por meio da técnica denominada
análise de risco.
Gabarito oficial: Certo.
Comentários: Para uma gestão econômica, eficiente e eficaz, boas e rígidas regras de
governança são importantes. Em sentido amplo, a governança pressupõe a adoção de valores
e princípios tais como a integridade, a prestação de contas, a transparência, a eqüidade e a
conformidade.
A questão amplia a abordagem sobre governança e depois a restringe ao afirmar que a

finalidade da governança é atingida por meio da técnica denominada análise de risco. De fato, a
análise de risco tem como propósito auxiliar a instituição ou órgão a atingir seus objetivos e a
sua missão, mas a finalidade da governança, de forma ampla, só pode ser atingida com a
adoção de um conjunto de princípios, processos e mecanismos de controle e supervisão.
Talvez possamos entender a questão como certa, levando em consideração que a

questão pode estar incompleta, mas não errada no estilo adotado pelo CESPE. O fato de ter
afirmado que a governança atinge sua finalidade por meio da análise de risco não elimina a
possibilidade de outros processos e instrumentos relevantes da boa governança que permitam
atingir sua finalidade.
E no concurso de 2008 do TCU, qual foi o foco do CESPE com relação à governança?
Em 2008, o CESPE abordou governança no setor público exclusivamente com base no

plano de gestão do governo Lula, chamado de “Gestão Pública para um Brasil de todos”,
focado na redução do déficit institucional e na ampliação da governança, alcançando-se mais
eficiência, transparência, participação e um alto nível ético.
Nesse contexto, aumentar a governança é promover a capacidade do governo em

formular e implementar políticas públicas e em decidir as mais adequadas. Para isso, são
necessários o fortalecimento da inteligência estratégica governamental e a adoção de novas
práticas de interlocução e participação. Em especial, a reativação da função planejamento
demonstra essas competências.
Diferentemente da reforma gerencial do governo anterior (1995), que propunha o

mercado como solução para a crise do Estado, a estratégia do governo atual foi a de
reestruturar o núcleo estratégico do Estado e fortalecê-lo para que pudesse exercer papel mais
ativo no desenvolvimento com inclusão social.
Eis, então, as questões formuladas pelo CESPE em prova recente do TCU.
125 Para o governo federal, aumentar a governança é promover a capacidade do governo

de formular e implementar políticas públicas e de decidir, entre diversas opções, qual
seria a mais adequada. A implementação dessas políticas requer que as organizações
17
públicas — com foco nos resultados — disponham de sistemas contínuos de
monitoramento e avaliação dos programas e do desempenho institucional.
126 Na visão do atual governo federal, as transformações propostas na gestão pública no

que se refere à redução do deficit institucional e à ampliação da governança requerem
aumento da eficiência. Nesse sentido, o melhor aproveitamento dos recursos escassos
deve apoiar-se em informações confiáveis sobre os custos para uma melhor avaliação
dos gastos, o que possibilita efetuar cortes seletivos e diferenciados das despesas
públicas.
Comentários: As duas questões estão certas, pois apenas repetem partes do capítulo 1 do
Plano de Gestão do Governo Lula, que transcrevemos a seguir.
CAPÍTULO 1
PLANO DE GESTÃO PÚBLICA PARA UM BRASIL DE TODOS
GESTÃO PÚBLICA PARA O DESENVOLVIMENTO COM INCLUSÃO SOCIAL
O Plano Plurianual 2004-2007 é a tradução, em Programas, do compromisso do

Governo de vencer a fome e a miséria, construir uma sociedade dinâmica e moderna, gerar
empregos e riqueza e estabelecer justiça social. O PPA constituirá um projeto de Brasil alinhado
com os ideais de eqüidade e dinamismo, exigindo do Estado um novo perfil de atuação, que
transforme esse compromisso em realidade.
Significativas transformações na gestão pública serão necessárias para que se reduza o

déficit institucional e seja ampliada a governança, alcançando-se mais eficiência,
transparência, participação e um alto nível ético.
A incapacidade do Estado em assegurar os direitos civis e sociais básicos tem,

como conseqüência, a marcante e crescente desigualdade social, a exclusão e a insegurança
que assolam a sociedade brasileira. O déficit institucional é resultado de um processo histórico
de construção nacional, que produziu um Estado incompleto, cujas lacunas vão sendo
progressivamente preenchidas pelo “não-Estado” — desde o crime organizado, que afronta a
cidadania, ao mercado, que ignora a eqüidade.
O déficit institucional se manifesta tanto na amplitude do atendimento dado pelas

instituições públicas, quanto na qualidade desse atendimento. Demandas identificadas nos
programas do PPA expressam a incapacidade do Estado em cumprir as funções definidas no
quadro legal. A superação do déficit impõe um novo perfil de atuação do Estado que fortaleça,
nas instituições públicas, o caráter de impessoalidade e universalismo de procedimentos, em
contraposição ao caráter patrimonialista historicamente presente na cultura nacional
manifestado em práticas de captura do interesse público por interesses privados.
Aumentar a governança é promover a capacidade do governo em formular e

implementar políticas públicas e em decidir, entre diversas opções, qual a mais
adequada. Para isto, são necessários o fortalecimento da inteligência estratégica
18
governamental e a adoção de novas práticas de interlocução e participação. Em especial, a
reativação da função planejamento, conforme expressa no PPA 2004-2007, demanda estas
competências.
No que tange à implementação, trata-se de proporcionar meios para que as

organizações públicas tenham como foco os resultados.
Isto requer:
• O ajuste das estratégias, mediante a redefinição de suas missões, de seus objetivos e

de suas metas;
• O desenvolvimento de sistemas contínuos de monitoramento e avaliação de políticas,

programas, projetos e desempenho institucional;
• A adequação das estruturas e modelos institucionais para agilizar o processo decisório

e de ação, otimizar a comunicação, permitir o alcance de resultados e a eliminação de lacunas,
paralelismos e sobreposições;
• A otimização dos processos de trabalho, adotando novos parâmetros de desempenho,

regras mais flexíveis e incorporando inovações tecnológicas e gerenciais que permitam
redimensionar, quantitativa e qualitativamente, os recursos humanos, orçamentários,
financeiros e logísticos;
• O aprimoramento do atendimento ao cidadão, mediante simplificação de processos,

eliminação de exigências e controles desnecessários e facilitação do acesso aos serviços
públicos;
• A adequação dos quadros funcionais, reestruturando carreiras e quadros de cargos,

remunerando-os em níveis compatíveis com as responsabilidades e competências exigidas;
• O aprendizado contínuo e a efetiva gestão do conhecimento, mediante, principalmente,

capacitação intensiva e permanente de servidores e dirigentes;
• Uma conduta ética e participativa pautada em elevados padrões de transparência e

responsabilização; e
• O aprimoramento de sistemas de informações, que contribuam para a melhoria da

qualidade dos serviços e da agilidade decisória.
A eficiência é fazer mais e melhor com os recursos disponíveis, que são escassos em
função da restrição fiscal e do desperdício no âmbito do Estado. Eficiência é um princípio
claramente republicano, que busca um melhor aproveitamento dos recursos dos cidadãos em
seu próprio benefício. A perspectiva da eficiência deve estar balizada em informações
confiáveis sobre os custos que permitam uma avaliação correta sobre os gastos. Isto evitaria o
19
simples corte linear de despesas que leva, usualmente, ao aumento do custo relativo e à
ineficácia.
Transparência e participação são princípios basilares da gestão democrática que

permitem aos cidadãos se informarem sobre a agenda proposta pelo governo e, por meio dos
canais adequados, participarem das decisões sobre assuntos relacionados ao interesse público
e a seus legítimos interesses particulares.
Pretende-se a migração de um Estado meramente regulador para um Estado promotor

do desenvolvimento com inclusão social, o que demanda políticas ativas de modernização
institucional.
Esta desafiadora tarefa de adequação entre estratégias — PPA — e organizações

requer ações concertadas e transversais que se traduzem no Plano de Gestão.
A FCC também já elaborou questões sobre Governança, com ênfase na Governança

Pública. Eis uma questão da FCC sobre o assunto que constou da prova para Analista de
Controle Externo do Tribunal de Contas do Estado do Ceará.
(TCE-CE/FCC/2008) Questão 59. No processo de Governança Corporativa Governamental,

são elementos que identificam a boa conduta e podem compor o código de ética:
(A) integridade, negligência e honestidade.
(B) relacionamento cordial, subjetividade e integridade.
(C) probidade e propriedade, objetividade e integridade.
(D) centralização, transparência e evidência.
(E) parcialidade, imprudência e propriedade.
Notem que a única alternativa que apresenta princípios e aspectos que devem nortear a boa
conduta dos administradores e servidores públicos é a “c”. Vale lembrar que a ética e a
integridade constituem princípios e valores fundamentais para a boa governança corporativa e
governamental.
Concluímos nossa abordagem sobre governança. Passamos agora para a metodologia

do COSO, outro tema relevante do programa de auditoria governamental do TCM-CE.
CONTROLES INTERNOS E GERENCIAMENTO DE RISCOS SEGUNDO O COSO
O que é COSO?
COSO é a sigla de Committee of Sponsoring Organizations da National Comission on

Fraudlent Financial Reporting, também conhecida como Treadeway Comission. Criada em
1985, O COSO é uma entidade do setor privado, sem fins lucrativos, voltada para o
aperfeiçoamento da qualidade de relatórios financeiros por meio de éticas profissionais,
implementação de controles internos e governança corporativa.
20
São cinco as organizações norte-americanas que patrocinam o citado comitê: American
Institute of Certified Public Accountants – AICPA; American Accounting Association – AAA, The
Institute of Internal Auditors - IIA, Institute of Management Accountants - IMA e Financial
Executives Institute – FEI.
Em 1992, o Coso publicou um estudo relevante sobre controle interno intitulado

Controles Internos – Estrutura Integrada, para ajudar empresas e outras organizações a avaliar
e aperfeiçoar seus sistemas de controle interno. Desde então, a referida estrutura foi
incorporada em políticas, normas e regulamentos adotados por milhares de organizações para
controlar melhor suas atividades visando ao cumprimento dos objetivos estabelecidos.
O modelo do COSO tornou-se referência mundial para as organizações de uma geral,

como metodologia de avaliação e aperfeiçoamento dos seus sistemas de controle interno, e
mais recentemente de gerenciamento de riscos, sendo também incorporado pelas entidades
ligadas ao setor público. Carvalho Neto e Silva destacam que o Banco Interamericano de
Desenvolvimento - BID, o Banco Mundial, a Organização das Entidades Fiscalizadoras
Superiores dos Países membros da ONU- Intosai e o U.S. Governement Accountability Office –
GAO também reconheceram e adotaram o modelo do COSO. Segundo os autores, o Tribunal
de Contas da União, como membro da Intosai, também reconhece e utiliza o modelo para as
suas avaliações de controle interno no setor público. Quanto a essa afirmação, a presente
pesquisa tratará mais adiante.
Esse estudo é muitas vezes chamado de Relatório COSO e muitos profissionais do

ramo de contabilidade e de auditoria o denominam de COSO 1, em virtude de mais
recentemente o COSO ter publicado outro estudo relevante sobre Gerenciamento de Risco,
portanto, o COSO 2.
COSO 1 – ESTRUTURA DE CONTROLES INTERNOS
A definição de controles internos existente no Relatório COSO é:
Controles internos são um processo, conduzido pelo conselho

de diretores, por todos os níveis de gerência e por outras
pessoas da entidade, projetado para fornecer segurança
razoável quanto à consecução de objetivos nas seguintes
categorias:
! eficácia e eficiência das operações;
! confiabilidade de relatórios financeiros; e
! cumprimento de leis e regulamentações aplicáveis.
Vamos examinar os elementos fundamentais que compõem essa definição.
Controles internos representam um processo
21
O controle não é um fato ou circunstância, mas uma série de ações que permeiam as
atividades da entidade. Essas ações se dão em todas as operações da entidade, de modo
contínuo. São ações inerentes à maneira pela qual a gerência administra a organização. O
controle interno é, portanto, diferente da perspectiva daqueles que o vêem como uma atividade
adicional da entidade ou como uma obrigação necessária. O sistema de controle interno deve
ser interligado às atividades da entidade e torna-se mais efetivo quando é concebido dentro da
estrutura organizacional da entidade e é parte integrante da essência da organização.
Assim, controles internos consistem em uma série de ações que permeiam a infra-
estrutura de uma entidade e a ela se integram.
Conduzido por pessoas
Controles internos são operados por pessoas. Não são meramente um manual de
políticas e um conjunto de formulários, mas o resultado da interação de pessoas em todos os
níveis da organização. Essas pessoas incluem o conselho de administração, a administração, a
gerência e todos os empregados e membros do quadro de pessoal em geral.
Portanto, todas as pessoas têm responsabilidades quanto aos controles internos e todos
desempenham um papel importante na execução do controle. As pessoas devem conhecer
seus papéis, suas responsabilidades e os limites de autoridade.
Fornecer segurança razoável
Não importa quão bem planejado ou executado esteja, o controle interno não pode dar
segurança absoluta à gerência, em relação ao alcance dos objetivos gerais. Em vez disso, as
diretrizes reconhecem que apenas um nível razoável de segurança pode ser alcançado.
A segurança razoável equivale a um nível satisfatório de confiança sob certas condições

de custos, benefícios e riscos.
A segurança razoável reflete a noção sobre incerteza e os riscos futuros que não podem
ser previstos com segurança absoluta e reconhece que o custo do controle interno não deve
exceder os benefícios que dele derivam.
Na consecução de objetivos
O controle interno é direcionado para o alcance de uma série de objetivos gerais,

distintos, mas ao mesmo tempo integrados. Esses objetivos são implementados através de
numerosos objetivos específicos, funções, processos e atividades.
Segundo o Coso, são três as categorias de objetivos:
# elaboração e apresentação de relatórios financeiros.

# obediência a leis e aos regulamentos (conformidade).
# eficácia e eficiência de operações.
22
De particular importância são os controles que visam a fornecer segurança razoável de

que as demonstrações contábeis preparadas pela administração para usuários externos
encontram-se adequadamente apresentadas de acordo com princípios contábeis geralmente
aceitos.
A categoria de objetivos de conformidade também é importante, pois as organizações

são obrigadas a cumprir muitas leis e regulamentos.
Por fim, a terceira categoria – eficácia e eficiência de operações – corresponde à

salvaguarda de ativos e decisões operacionais adequadas, que assegurem resultado
satisfatório e preservem a continuidade do funcionamento da entidade.
Limitações dos controles internos de uma entidade
Vimos que controles internos podem fornecer apenas segurança razoável para a
administração e para o conselho de administração quanto à consecução dos objetivos de uma
entidade. Isto se deve às seguintes limitações inerentes:
! erros de julgamento - pela administração ou por outras pessoas, ao tomar

decisões, em razão de informações inadequadas, restrições de tempo e outros
motivos;
! falhas – cometidas por pessoas que não entendem instruções corretamente ou

cometem erros por falta de cuidado, distração ou cansaço;
! conluio – indivíduos que agem conjuntamente, podem praticar fraude e de forma

que ela não seja detectada pelos controles internos;
! atropelamento pela administração – que burla ou passa por cima de

procedimentos ou políticas, com objetivos ilegítimos;
! custos versus benefícios – o custo dos controles internos de uma entidade não
deve superior aos benefícios que deles se esperam. Assume-se certos riscos,
quando reduz-se os procedimentos de controle em função dos benefícios esperados.
COMPONENTES DE CONTROLE INTERNO
Para o COSO, o processo de controles internos deve ser constituído de cinco

componentes, que se inter-relacionam:
! AMBIENTE DE CONTROLE
! AVALIAÇÃO DE RISCOS
23
! ATIVIDADES OU PROCEDIMENTOS DE CONTROLE
! INFORMAÇÃO E COMUNICAÇÃO
! MONITORAÇÃO OU MONITORAMENTO
Chamo a atenção de vocês para esses componentes, pois se referem a uma estrutura
ideal de controles internos. A seguir, vamos detalhar um pouco cada um desses componentes.
AMBIENTE DE CONTROLE
O ambiente dá o tom de uma organização, influenciando a consciência de controle das

pessoas que nela trabalham. Representa o alicerce dos demais componentes, disciplinando-os
e estruturando-os.
O ambiente de controle é a base de todo o sistema de controle interno. Ele fornece

o conjunto de regras e a estrutura, além de criar um clima que influi na qualidade do controle
interno em seu conjunto.
Os elementos do ambiente de controle são:
1. a integridade pessoal e profissional e os valores éticos da direção e do quadro

de pessoal, incluindo uma atitude de apoio ao controle interno, durante todo o
tempo e por toda a organização;
2. o comprometimento com a competência - A competência dos empregados da

organização reflete o conhecimento e as habilidades necessárias para a
execução das tarefas designadas. A administração alinha competência ao custo;
3. o perfil dos superiores (ou seja, a filosofia da direção e o estilo gerencial);
4. a estrutura organizacional da entidade que fornece o arcabouço para

planejamento, execução, controle e monitoração das atividades de uma entidade.
Sua estrutura contribui para que atinja seus objetivos. A estrutura organizacional
define as áreas fundamentais de responsabilidade. Estabelece as linhas de
comunicação e a definição de autoridade e responsabilidade;
5. a atribuição de autoridade e responsabilidade que representa uma extensão

do desenvolvimento de uma estrutura organizacional e envolve aspectos
específicos de como e a quem autoridade e responsabilidade por todas as
atividades da entidade serão atribuídas;
6. as políticas e práticas de recursos humanos, cujas normas tratam de

admissão, orientação, treinamento, avaliação, aconselhamento, promoção,
compensação e medidas corretivas, conduzindo os níveis previstos de
integridade, de comportamento ético e de competência. As medidas disciplinares
24
transmitem a mensagem de que as infrações ao comportamento esperado não
serão toleradas.
AVALIAÇÃO DE RISCO
A avaliação de risco é o processo de identificação e análise dos riscos relevantes para o

alcance dos objetivos da entidade e para determinar uma resposta apropriada.
Avaliar riscos significa identificar eventos que possam impactar os objetivos da entidade,
mensurar a probabilidade e o impacto de sua ocorrência e o tratamento ou resposta adequada
a esses riscos.
A avaliação de riscos pela administração deve incluir consideração especial dos riscos
envolvidos com os seguintes fatores:
! alterações no ambiente operacional;

! pessoas novas;
! sistemas de informações novos ou aprimorados;
! crescimento rápido;
! tecnologia nova;
! atividades, linhas ou produtos novos;
! reestruturações corporativas;
! operações no exterior;
! pronunciamentos contábeis.
ATIVIDADES DE CONTROLE
Atividades ou procedimentos de controle são as políticas e procedimentos que ajudam a

assegurar que as diretrizes da administração estejam sendo seguidas. Ajudam a assegurar a
adoção de medidas dirigidas contra o risco de que os objetivos da entidade não sejam
atingidos. Atividades de controle têm vários objetivos e são aplicadas em vários níveis
organizacionais e funcionais.
As atividades de controle incluem:
Procedimentos de autorização e aprovação – A autorização e a execução de transações e

eventos devem ser realizadas somente por pessoas que detenham essa autoridade. A
autorização é o principal meio para assegurar que apenas as transações e eventos que a
administração tem a intenção de realizar sejam iniciados. Os procedimentos de autorização,
que devem ser documentados e claramente comunicados aos gerentes e funcionários, devem
incluir as condições especiais e os termos, segundo os quais eles devem ser realizados.
Revisões da Alta Direção – a alta direção compara o desempenho atual em relação ao

orçado, às previsões, aos períodos anteriores e aos de concorrentes. As principais iniciativas
são acompanhadas, como campanhas de marketing, processos de melhoria de produção e
programas de contenção ou de redução de custo, para medir até que ponto as metas estão
25
sendo alcançadas. A implementação de planos é monitorada no caso de desenvolvimento de
novos produtos, join ventures ou novos financiamentos.
Administração Funcional Direta ou de Atividade – gerentes, no exercício de suas funções ou

atividades examinam relatórios de desempenho. Um gerente responsável pelos empréstimos
bancários a consumidores revisa os relatórios por filial, região e tipo de empréstimo (com
caução), verificando resumos e identificando tendências e associando os resultados a
estatísticas econômicas e metas. Por sua vez, os gerentes de filiais também se concentram em
questões de cumprimento de políticas, revisando relatórios exigidos por órgãos reguladores a
respeito de novos depósitos acima de um determinado valor. São realizadas reconciliações dos
fluxos de caixa diários, com as posições líquidas relatadas centralmente para transferências e
investimentos.
Processamento da Informação – uma variedade de controles é realizada para verificar a

precisão, a integridade e a autorização das transações. Os dados inseridos ficam sujeitos a
verificações de edição on-line ou à combinação com arquivos aprovados de controle. Um
pedido de cliente, por exemplo, somente poderá ser aceito após fazer referência a um arquivo
de cliente e ao limite de crédito aprovado. As seqüências numéricas das transações são
levadas em conta, sendo as exceções acompanhadas e relatadas aos supervisores. O
desenvolvimento de novos sistemas e as mudanças nos já existentes são controlados da
mesma forma que o acesso a dados, arquivos e programas.
Controles Físicos – os equipamentos, estoques, títulos, dinheiro e outros bens são protegidos
fisicamente, contados periodicamente e comparados com os valores apresentados nos registros
de controle.
Indicadores de Desempenho – relacionar diferentes conjuntos de dados, sejam eles

operacionais sejam financeiros, em conjunto com a realização de análises dos relacionamentos
e das medidas de investigação e correção, funciona como uma atividade de controle. Os
indicadores de desempenho incluem, por exemplo, índices de rotação de pessoal por unidade.
Ao investigar resultados inesperados ou tendências incomuns, a administração poderá
identificar circunstâncias nas quais a falta de capacidade para concluir processos fundamentais
pode significar menor probabilidade dos objetivos serem alcançados. A forma como a
administração utiliza essas informações – somente no caso de decisões operacionais ou,
também, no caso do acompanhamento de resultados imprevistos nos sistemas de
comunicações – determinará se a análise dos indicadores de desempenho por si só atenderá
às finalidades operacionais, bem como às finalidades de controle da comunicação.
Segregação de funções (autorização, execução, registro, controle) – as obrigações são

atribuídas ou divididas entre pessoas diferentes com a finalidade de reduzir o risco de erro ou
de fraude. Por exemplo, as responsabilidades de autorização de transações, do registro da
entrega do bem em questão são divididas. O gerente que autoriza vendas a crédito não deve
ser responsável por manter os registros de contas a pagar nem pela distribuição de recibos de
pagamentos. Da mesma forma, os vendedores não devem modificar arquivos de preços de
produtos nem as taxas de comissão.
26
INFORMAÇÃO E COMUNICAÇÃO
A informação e a comunicação são essenciais para a concretização de todos os

objetivos do controle interno. A identificação, captura e troca de informações sob forma e em
época tais que permitam que as pessoas cumpram suas responsabilidades.
Informação
Uma condição prévia para a informação confiável e relevante sobre as transações e

eventos é o registro imediato e sua classificação adequada. A informação relevante deve ser
identificada, armazenada e comunicada de uma forma e em determinado prazo, que permita
que os funcionários realizem o controle interno e suas responsabilidades. Por esse motivo, o
sistema de controle interno propriamente dito e todas as transações e eventos significativos
devem ser completamente documentados.
Os sistemas de informação produzem relatórios que contêm informação operacional,

financeira, não-financeira e informação relacionada com a conformidade, que tornam possível
que as operações sejam realizadas e controladas.
A habilidade da administração de tomar decisões apropriadas é afetada pela qualidade

da informação, o que implica que essa deva ser apropriada, tempestiva, atual, precisa e
acessível.
Comunicação
A comunicação eficaz deve fluir para baixo, para cima e através da organização, por
todos os seus componentes e pela estrutura inteira.
Todo corpo funcional deve receber uma mensagem clara da alta administração, sobre a
seriedade da responsabilidade do controle. É necessário não apenas que eles entendam seu
próprio papel no sistema de controle interno, mas também a maneira através da qual suas
atividades individuais se relacionam com o trabalho dos demais.
Também é necessário que haja comunicação eficaz com os entes externos.
MONITORAÇÃO
Monitoração é um processo que avalia a qualidade do desempenho dos controles

internos ao logo do tempo. Envolve avaliação do desenho e da tempestividade de operação dos
controles e a tomada de ações corretivas.
Os sistemas de controle interno devem ser monitorados para avaliar a qualidade de sua
atuação ao longo do tempo. O monitoramento é obtido através de atividades rotineiras,
avaliações específicas ou a combinação de ambas.
27
A auditoria interna participa do componente de monitoração, avaliando diferentes partes
dos controles internos de uma entidade e relatam fraquezas à administração, com
recomendações para introdução de melhorias.
ATENÇÂO: Uma dúvida freqüente dos alunos é com relação ao papel do controle
interno comparado com o papel da auditoria interna. Ainda nesta aula vamos resolver uma
questão do último concurso do TCU que abordava a função de cada um segundo o Coso.
O CONTROLE INTERNO É UMA ESTRUTURA QUE COMPREENDE CINCO

COMPONENTES E SUA FUNÇÃO É FORNECER GARANTIA RAZOÁVEL QUANTO AO
ALCANCE DE OBJETIVOS DE UMA ORGANIZAÇÃO. A AUDITORIA INTERNA FAZ PARTE
DO COMPONENTE DE MONITORAÇÃO E SUA FUNÇÃO È AUXILIAR A ADMINISTRAÇÃO
A MONITORAR A EFICÁCIA DO SISTEMA DE CONTROLE INTERNO.
A seguir apresentaremos as funções e responsabilidades quanto ao controle interno, na

certeza de que ficará mais fácil para vocês compreenderem o papel da administração e da
auditoria nesse processo.
FUNÇÕES E RESPONSABILIDADES
O relatório do Coso conclui que todas as pessoas em uma organização têm alguma
responsabilidade pelos controles internos e que, na realidade, fazem parte deles. Registra,
contudo, que várias partes externas, tais como auditores independentes e reguladores, podem
trazer informações úteis para os controles, mas não têm responsabilidade por sua eficácia. As
responsabilidades e papéis são os seguintes:
! Administração. É responsabilidade da administração estabelecer controles internos

eficazes. Os executivos são os responsáveis diretos por todas as atividades de uma
organização, incluindo o planejamento, a implementação, a supervisão do
funcionamento adequado, a manutenção e a documentação do sistema de controle
interno. Suas responsabilidades variam de acordo com a sua função na organização e
as características da organização.
! Conselho de Administração. Como parte de seus deveres de governança e

supervisão geral, membros do conselho de administração devem determinar que a
administração cumpra deu dever de estabelecer e manter controles internos.
! Auditores internos. Auditores internos devem periodicamente examinar e avaliar a

adequação dos controles internos da entidade e fazer recomendações para
aperfeiçoamentos, mas não têm responsabilidade principal pelo seu estabelecimento e
manutenção. Eles desempenham um papel importante em um sistema de controle
interno eficaz, mas não têm a responsabilidade gerencial primeira sobre o
planejamento, manutenção e documentação do controle interno.
! Demais funcionários. O controle interno é parte implícita ou explícita das funções de

cada um. Todos os membros da equipe exercem um papel na execução do controle e
28
devem ser responsáveis por relatar problemas operacionais, de descumprimento de
código de conduta ou de violações da política.
! Partes externas. Diversas partes externas, como clientes, revendedores, parceiros

comerciais, auditores externos, agentes normativos e analistas financeiros
freqüentemente fornecem informações úteis para a condução e aperfeiçoamento dos
controles internos, porém não são responsáveis pela sua eficácia e nem fazem parte do
gerenciamento de riscos da organização.
Pessoal, chegamos ao final de nossa exposição sobre controles internos segundo o

Coso.
Aqui, cabe uma dica para a prova. O mais importante é que vocês saibam a definição de
controle interno, as categorias de objetivos a serem alcançados, os cinco componentes e
as responsabilidades de cada um quanto ao funcionamento e a eficácia de controles
internos. As possíveis questões a serem formuladas pela Banca serão quanto a esses
aspectos.
Verifique agora sua aprendizagem resolvendo as seguintes questões e confira o

resultado com o gabarito apresentado ao final. Em caso de dúvida, coloco-me à disposição para
orientação no fórum.
Julgue as questões abaixo (CERTO ou ERRADO):
1) Controles internos vinculam-se à consecução de objetivos nas categorias de elaboração

e apresentação de relatórios financeiros, obediência a leis e aos regulamentos e operações.
2) O documento do COSO identifica os cinco componentes de controles internos que se

inter-relacionam, quais sejam: ambiente de controle, avaliação de risco, atividades de
controle, informação/comunicação e monitoração. As políticas e procedimentos que ajudam
a assegurar que as diretrizes da administração estejam sendo seguidas e que as ações
dirigidas aos riscos de consecução dos objetivos da entidade estejam sendo tomadas
representa o componente de avaliação de risco.
3) Os auditores internos devem periodicamente examinar e avaliar a adequação dos

controles internos da entidade e fazer recomendações para aperfeiçoamentos, além de
assumir a responsabilidade principal pelo seu estabelecimento e manutenção.
4) Atividades de controle são as políticas e procedimentos que ajudam a assegurar que as

diretrizes da administração sejam realmente seguidas. Como exemplo de atividade de
controle tem-se a segregação de funções, cuja representação clássica é a atribuição das
responsabilidades pela execução de uma transação, registro de uma transação e custódia
de ativos que decorrem das transações a indivíduos ou departamentos diferentes.
5) Segundo o Coso, o controle interno da Secretaria da Receita Federal deve ser uma
responsabilidade exclusiva do titular dessa secretaria e de todos os administradores das
29
unidades que a compõem (secretários-adjuntos, superintendentes, delegados, inspetores,
etc.).
6) O primeiro passo em um processo de controle é definir os objetivos a serem atingidos.

Segundo o Coso, um sistema de controle interno de uma organização deve ser desenhado
sobre o alcance de objetivos classificados nas categorias de: eficácia e eficiência
operacional; estratégicos e monitoramento; e cumprimento de leis e regulamentos.
7) A estrutura de controles internos da metodologia do Coso – Estrutura Integrada de

Controles Internos está fundamentada no componente “atividades de controle”, que
representa o alicerce dos demais componentes, disciplinando-os e estruturando-os.
8) Segundo o Coso, os cinco componentes da estrutura integrada de controles internos não

funcionarão de forma idêntica em todas as organizações. Isso significa que organizações
públicas de pequeno e médio portes podem apresentar um sistema de controle interno
eficaz, mesmo que um ou mais componentes não estejam presentes e funcionando
adequadamente.
Gabarito: 1 – C; 2 – E; 3 – E; 4 – C; 5 – E; 6 – E; 7 – E; 8 – E.
Entendo necessário apenas tecer comentários sobre a questão 8, pois não havia
abordado com vocês a aplicação da estrutura do Coso em entidades pequenas e médias.
Segundo o Coso, os cinco componentes de controles internos aplicam-se a entidades de todos
os tamanhos. Contudo, o grau de formalidade e os aspectos específicos de como os
componentes são implantados podem variar consideravelmente, em função do tamanho da
entidade, natureza de seu negócio e diversidade e complexidade de suas operações.
Em síntese, para que o controle interno seja eficaz, independente do tamanho da

organização, todos os componentes têm que estar presentes. O que varia é o grau de
formalidade na implementação dos componentes.
Bom pessoal, passamos agora ao Coso 2, pois o edital exige especialmente o

conhecimento desse estudo para o concurso.
COSO 2 – ESTRUTURA INTEGRADA DE GERENCIAMENTO DE RISCOS
Nos últimos anos, intensificou-se o foco e a preocupação com o gerenciamento de

riscos, e tornou-se cada vez mais clara a necessidade de uma estratégia sólida, capaz de
identificar, avaliar e administrar riscos. Em 2001, o Coso iniciou um projeto com essa finalidade
e solicitou à PricewaterhouseCoopers que desenvolvesse uma estratégia de fácil utilização
pelas organizações para avaliar e melhorar o próprio gerenciamento de riscos.
O período de desenvolvimento dessa estrutura foi marcado por uma série de escândalos
e quebras de negócios de grande repercussão, que gerou prejuízos de grande monta a
investidores, empregados e outras partes interessadas. Na esteira desses eventos, vieram
30
solicitações de melhoria dos processos de governança corporativa e gerenciamento de riscos,
por meio de novas leis, regulamentos e de padrões a serem seguidos.
A necessidade de uma estrutura de gerenciamento de riscos corporativos, capaz de

fornecer os princípios e conceitos fundamentais, com uma linguagem comum, direcionamento e
orientação claros, tornou-se ainda mais necessária. O Coso é da opinião que a obra
“Gerenciamento de Riscos Corporativos – Estrutura Integrada” vem para preencher essa lacuna
e espera que ela seja amplamente adotada pelas empresas e por outras organizações, bem
como por todas as partes interessadas.
A obra “Gerenciamento de Riscos Corporativos – Estrutura Integrada”, amplia seu

alcance em controles internos, oferecendo um enfoque mais vigoroso e extensivo no tema mais
abrangente de gerenciamento de riscos corporativos.
ATENÇÃO: COM A ELABORAÇÃO DO ESTUDO SOBRE GESTÃO DE RISCOS, O COSO

NÃO ABANDONOU A ESTRUTURA DE CONTROLE INTERNO. PELO CONTRÁRIO, ELA É
IMPORTANTE E CONTINUA VÁLIDA PARA TODAS AS ORGANIZAÇÕES. A ESTRUTURA
DE GERENCIAMENTO DE RISCOS (COSO 2) ABRANGE INTEGRALMENTE OS CINCO
COMPONENTES DO COSO 1.
Afinal, o que é gerenciamento de risco?
Percebam que o conceito segue a mesma linha de raciocínio para a definição de

controles internos (Coso 1).
Definição de Gerenciamento de Riscos Corporativos
O gerenciamento de riscos corporativos trata de riscos e oportunidades que afetam a

criação ou a preservação de valor, sendo definido da seguinte forma:
O gerenciamento de riscos corporativos é um processo conduzido em uma

organização pelo conselho de administração, diretoria e demais empregados,
aplicado no estabelecimento de estratégias, formuladas para identificar em toda
a organização eventos em potencial, capazes de afetá-la, e administrar os riscos
de modo a mantê-los compatível com o apetite a risco da organização e
possibilitar garantia razoável do cumprimento dos seus objetivos.
Essa definição reflete certos conceitos fundamentais. O gerenciamento de riscos

corporativos é:
! um processo contínuo e que flui através da organização;
! conduzido pelos profissionais em todos os níveis da organização (todas as
pessoas);
! aplicado à definição das estratégias;
! aplicado em toda a organização, em todos os níveis e unidades, e inclui a
formação de uma visão de portfólio de todos os riscos a que ela está exposta;
31
! formulado para identificar eventos em potencial, cuja ocorrência poderá afetar
a organização, e
! para administrar os riscos de acordo com seu apetite a risco;
! capaz de propiciar garantia razoável para o conselho de administração e a
diretoria executiva de uma organização;
! orientação para a realização de objetivos em uma ou mais categorias distintas.
Essa definição é intencionalmente ampla e adota conceitos fundamentais sobre a forma

como as empresas e outras organizações administram riscos, possibilitando uma base para sua
aplicação em organizações, indústrias e setores. O gerenciamento de riscos corporativos
orienta seu enfoque diretamente para o cumprimento dos objetivos estabelecidos por uma
organização específica e fornece parâmetros para definir a eficácia desse gerenciamento de
riscos.
Componentes do Gerenciamento de Riscos Corporativos
No Coso 1, eram cinco componentes, lembram? Já o gerenciamento de riscos

corporativos é constituído de oito componentes inter-relacionados, pela qual a administração
gerencia a organização, e estão integrados com o processo de gestão. Esses componentes
são:
1) Ambiente Interno – O ambiente interno compreende o tom de uma organização e fornece a

base pela qual os riscos são identificados e abordados pelo seu pessoal, inclusive a filosofia de
gerenciamento de riscos, o apetite a risco, a integridade e os valores éticos, além do ambiente
em que estes estão.
2) Fixação de Objetivos – Os objetivos devem existir antes que a administração possa

identificar os eventos em potencial que poderão afetar a sua realização. O gerenciamento de
riscos corporativos assegura que a administração disponha de um processo implementado para
estabelecer os objetivos que propiciem suporte e estejam alinhados com a missão da
organização e sejam compatíveis com o seu apetite a riscos.
Os objetivos podem ser agrupados em quatro categorias:

! Estratégicos
! Operacionais
! De comunicação
! De conformidade
3) Identificação de Eventos – A administração identifica os eventos em potencial que, se

ocorrerem, afetarão a organização e determina se estes representam oportunidades ou se
podem ter algum efeito adverso na sua capacidade de implementar adequadamente a
estratégia e alcançar os objetivos. Eventos de impacto negativo representam riscos que exigem
avaliação e resposta da administração. Os eventos de impacto positivo representam
oportunidades que são canalizadas de volta aos processos de fixação das estratégias e dos
objetivos. Ao identificar eventos, a administração considera uma variedade de fatores internos e
externos que podem dar origem a riscos e a oportunidades no contexto de toda a organização.
32
4) Avaliação de Riscos – A avaliação de riscos permite que uma organização considere até
que ponto eventos em potencial podem impactar a realização dos objetivos. A administração
avalia os eventos com base em duas perspectivas – probabilidade e impacto – e, geralmente,
utiliza uma combinação de métodos qualitativos e quantitativos. Os impactos positivos e
negativos dos eventos em potencial devem ser analisados isoladamente ou por categoria em
toda a organização. Os riscos são avaliados com base em suas características inerentes e
residuais.
Contexto para a Avaliação de Riscos
Fatores externos e internos influenciam os eventos que poderão ocorrer, e até que ponto
os referidos eventos podem afetar os objetivos de uma organização. Embora alguns fatores
sejam comuns às organizações, via de regra, os eventos resultantes são singulares em relação
a uma determinada organização tendo em vista seus objetivos estabelecidos e decisões
anteriores.
Ao avaliar riscos, a administração considera o composto dos futuros eventos em

potencial pertinentes à organização e às suas atividades no contexto das questões que dão
forma ao perfil de riscos, como tamanho da organização, complexidade das operações e grau
de regulamentação de suas atividades.
Ao avaliar riscos, a administração leva em consideração eventos previstos e imprevistos.

Muitos eventos são rotineiros e recorrentes e já foram abordados nos programas de gestão e
orçamentos operacionais, enquanto que outros são imprevistos. A administração avalia os
riscos em potencial de eventos imprevistos e, caso ainda não tenha feito essa avaliação, até os
previstos que podem causar um impacto significativo na organização.
Embora o termo “avaliação de riscos” tenha sido usado em conexão com uma atividade
realizada, uma única vez, no contexto de “avaliação de riscos corporativos”, o componente de
“avaliação de riscos” é uma interação contínua e repetida das ações que ocorrem em toda a
organização.
Risco Inerente e Residual
A administração leva em conta tanto o risco inerente quanto o residual.
Risco inerente é o risco que uma organização terá de enfrentar na falta de medidas que
a administração possa adotar para alterar a probabilidade ou o impacto dos eventos.
Risco residual é aquele que ainda permanece após a resposta da administração. A

avaliação de riscos é aplicada primeiramente aos riscos inerentes.
Após o desenvolvimento das respostas aos riscos, a administração passará a considerar

os riscos residuais.
33
Estimativa da Probabilidade e do Impacto
A incerteza de eventos em potencial é avaliada a partir de duas perspectivas –

probabilidade e impacto. A probabilidade representa a possibilidade de que um determinado
evento ocorrerá, enquanto o impacto representa o seu efeito.
A determinação do grau de atenção depende da avaliação de uma série de riscos que

uma organização enfrenta. A administração reconhece que um risco com reduzida
probabilidade de ocorrência e baixo potencial de impacto, geralmente, não requer maiores
considerações. Por outro lado, um risco com elevada probabilidade de ocorrência e um
potencial de impacto significativo demanda atenção considerável.
RISCO
BAIXO ALTO
PROBABILIDADE
DE MODERADO
OCORRÊNCIA
BAIXO AUMENTANDO
IMPACTO DA OCORRÊNCIA
Fonte: Defense Systems Management College
O horizonte de tempo empregado para avaliar riscos deverá ser consistente com o
tempo das estratégias e objetivos relacionados a esses riscos. Em razão das estratégias e
objetivos de muitas organizações considerarem horizontes de tempo de curta a média duração,
a administração naturalmente concentra-se nos riscos associados com esses períodos de
tempo. Contudo, alguns aspectos do direcionamento estratégico e dos objetivos estendem-se a
prazo mais longo.
Conseqüentemente, a administração precisa levar em conta os cenários de prazos mais

longos para não ignorar riscos que possam estar mais adiante.
Entenderam o que é avaliar riscos?
Em síntese, significa identificar a probabilidade e o impacto de um risco e verificar

se esse risco inerente está compatível com o apetite a risco ou dentro da faixa de
tolerância a risco da organização. Após avaliar o risco, a organização adotará uma
resposta a esse risco para que o risco que permanecer, ou seja, o risco residual, seja
adequado e compatível com o apetite.
34
5) Resposta a Risco – Após ter conduzido uma avaliação dos riscos pertinentes, a
administração determina como responderá aos riscos. As respostas incluem evitar, reduzir,
compartilhar ou aceitar os riscos. Ao considerar a própria resposta, a administração avalia o
efeito sobre a probabilidade de ocorrência e o impacto do risco, assim como os custos e
benefícios, selecionando, dessa forma, uma resposta que mantenha os riscos residuais dentro
das tolerâncias a risco desejadas. A administração identifica as oportunidades que possam
existir e obtêm, assim, uma visão dos riscos em toda organização ou de portfólio, determinando
se os riscos residuais gerais são compatíveis com o apetite a riscos da organização.
As respostas a riscos classificam-se nas seguintes categorias:
Evitar – Descontinuação das atividades que geram os riscos. Evitar riscos pode implicar a
descontinuação de uma linha de produtos, o declínio da expansão em um novo mercado
geográfico ou a venda de uma divisão.
Exemplo: Uma organização sem fins lucrativos identificou e avaliou os riscos de fornecer
serviços médicos diretos aos seus membros e decidiu, desse modo, não aceitar os riscos
associados. Além disso, a organização decidiu prestar um serviço de recomendação dos
serviços.
Reduzir – São adotadas medidas para reduzir a probabilidade ou o impacto dos riscos, ou, até
mesmo, ambos. Tipicamente, esse procedimento abrange qualquer uma das centenas de
decisões do negócio no dia-a-dia.
Exemplo: Uma Companhia de compensação de títulos identificou e avaliou o risco de seus
sistemas permanecerem inoperantes por um período superior a três horas e concluiu, assim,
que não aceitaria o impacto dessa ocorrência. A Companhia investiu em tecnologia no
aprimoramento de sistemas de auto-detecção de falhas e sistemas de back-up para reduzir a
probabilidade de indisponibilidade do sistema.
Compartilhar – Redução da probabilidade ou do impacto dos riscos pela transferência ou pelo

compartilhamento de uma porção do risco. As técnicas comuns compreendem a aquisição de
produtos de seguro, a realização de transações de headging ou a terceirização de uma
atividade.
EX: Uma universidade identificou e avaliou os riscos associados com a administração de seus
dormitórios de estudantes e concluiu que não possuía internamente os requisitos necessários e
as funcionalidades para administrar eficazmente essas grandes propriedades residenciais. A
universidade terceirizou a administração do dormitório a uma empresa de administração de
patrimônio, a fim de apresentar melhores condições de reduzir o impacto e a probabilidade de
riscos relacionados com a propriedade.
Aceitar – Nenhuma medida é adotada para afetar a probabilidade ou o grau de impacto dos
riscos.
“Evitar” sugere que nenhuma opção de resposta tenha sido identificada para reduzir o impacto
e a probabilidade a um nível aceitável. “Reduzir” ou “Compartilhar” reduzem o risco residual a
35
um nível compatível com as tolerâncias desejadas ao risco, enquanto “Aceitar” indica que o
risco inerente já esteja dentro das tolerâncias ao risco.
6) Atividades de Controle – Políticas e procedimentos são estabelecidos e implementados

para assegurar que as respostas aos riscos sejam executadas com eficácia.
Existe uma variedade de descrições distintas quanto aos tipos de atividades de controle,
inclusive as preventivas, as detectivas, as manuais, as computadorizadas e as de controles
administrativos. Essas atividades também podem ser classificadas com base nos objetivos de
controle especificados, como o de assegurar a integridade e a precisão do processamento de
dados.
As principais atividades ou procedimentos de controle já foram detalhados anteriormente

nesta aula, quando vimos o Coso 1.
De modo geral, as atividades de controle incluem dois elementos: uma política que
estabelece aquilo que deverá ser feito e os procedimentos para fazê-la ser cumprida. Por
exemplo, uma política poderá requerer a revisão das atividades de negociação do cliente pelo
gerente de varejo da filial com a corretora. O procedimento é a própria revisão, realizada
oportunamente e com especial atenção para os fatores estabelecidos na política, como a
natureza e o volume dos títulos transacionados e o volume destes em relação ao patrimônio
líquido e à idade do cliente.
Muitas vezes, as políticas são comunicadas verbalmente. As que não são escritas
podem ser eficazes quando existem há muito tempo e são adequadamente entendidas, e nas
pequenas organizações em que os canais de comunicação envolvem poucas camadas
gerenciais e existe uma estreita interação e supervisão dos empregados. No entanto,
independentemente do fato de estar escrita ou não, uma política deve ser implementada com
atenção, de forma conscienciosa e consistente.
Controles dos Sistemas de Informações
A dependência cada vez maior em relação a sistemas de informações para auxiliar a

operação de uma organização e para atender aos objetivos de comunicação e ao cumprimento
de políticas traz a necessidade de controle dos sistemas mais significativos.
Dois grupos amplos de atividades de controle dos sistemas de informação podem ser
utilizados. O primeiro diz respeito aos controles gerais, que se aplicam a praticamente todos
os sistemas e contribuem para assegurar uma operação adequada e contínua. O segundo
grupo é o dos controles de aplicativos, que incluem etapas para avaliar o processo por meio
de códigos de programação dentro do software. Os controles gerais e os de aplicativos, em
conjunto com os processos de controle manual, quando necessários, asseguram a integridade,
a precisão e a validade das informações.
7) Informações e Comunicações – as informações relevantes são identificadas, colhidas e

comunicadas de forma e no prazo que permitam que cumpram suas responsabilidades. A
36
comunicação eficaz também ocorre em um sentido mais amplo, fluindo em todos níveis da
organização.
8) Monitoramento – a integridade da gestão de riscos corporativos é monitorada e são feitas

as modificações necessárias. O monitoramento é realizado através de atividades gerenciais
contínuas ou avaliações independentes ou de ambas as formas. A rigor, o gerenciamento de
riscos corporativos não é um processo em série pelo qual um componente afeta apenas o
próximo. É um processo multidirecional e interativo segundo o qual quase todos os
componentes influenciam os outros.
CUBO DO COSO
Existe um relacionamento direto entre os objetivos, que uma organização empenha-se

em alcançar, e os componentes do gerenciamento de riscos corporativos, que representam
aquilo que é necessário para o seu alcance. Esse relacionamento é apresentado em uma matriz
tridimensional em forma de cubo.
As quatro categorias de objetivos (estratégicos, operacionais, de comunicação e

conformidade) estão representadas nas colunas verticais. Os oito componentes nas linhas
horizontais e as unidades de uma organização na terceira dimensão. Essa representação ilustra
a capacidade de manter o enfoque na totalidade do gerenciamento de riscos de uma
organização, ou na categoria de objetivos, componentes, unidade da organização ou qualquer
um dos subconjuntos.
Vocês devem estar se perguntando. No Coso 1, os objetivos a serem assegurados eram

em três categorias e, agora, no Coso 2, passam a ser quatro categorias? Isso mesmo. Surge
uma nova categoria de objetivos: estratégicos, que se soma e integra às demais categorias de
objetivos gerais que são operacionais, de conformidade e de comunicação.
37
Abrangência do Controle Interno
Como já havíamos alertado a vocês, o controle interno é parte integrante do

gerenciamento de riscos corporativos. A estrutura do gerenciamento de riscos corporativos
abrange o controle interno, originando dessa forma uma conceituação e uma ferramenta de
gestão mais eficiente.
Os cinco componentes da estrutura de controles internos (Coso 1) estão compreendidos

dentre os oito componentes da estrutura de gerenciamento de riscos.
Eficácia
Na mesma linha do Coso 1, a determinação do grau de eficácia do gerenciamento de

riscos corporativos de uma organização corresponde ao julgamento decorrente da avaliação da
presença e da eficácia do funcionamento dos oito componentes. Desse modo, os componentes
também são critérios para o gerenciamento eficaz de riscos corporativos. Para que os
componentes possam estar presentes e funcionar adequadamente, não poderá haver
fraquezas significantes, e os riscos necessitam ser enquadrados no apetite a risco da
organização.
Esclarecimento: Apetite a risco significa a forma pela qual a organização encara

os riscos, ou seja, aceitar ou não aceitar um risco. Quanto maior for o apetite a risco,
mais ousada será a estratégia da organização.
Quando se constata que o gerenciamento de riscos corporativos é eficaz em cada uma

das quatro categorias de objetivos, isso significa que o conselho de administração e a diretoria
executiva terão garantia razoável de que entenderam até que ponto, os objetivos estratégicos e
operacionais não estão realmente sendo alcançados, o sistema de comunicação da empresa é
confiável, e todas as leis e regulamentos cabíveis estão sendo observados.
Os oito componentes não funcionarão de forma idêntica em todas as organizações. A

sua aplicação em organizações de pequeno e médio portes, por exemplo, poderá ser menos
formal e menos estruturada.
Não obstante, as pequenas organizações podem apresentar um gerenciamento de

riscos eficaz, desde que cada um de seus componentes esteja presente e funcionando
adequadamente.
Limitações
Também aqui segue a linha do Coso 1 quanto à limitações de controles. A despeito de

oferecer importantes benefícios, o gerenciamento de riscos corporativos está sujeito a
limitações. Além dos fatores discutidos anteriormente, as limitações originam-se do fato de que
o julgamento humano, no processo decisório, pode ser falho, as decisões de respostas a risco e
o estabelecimento dos controles necessitam levar em conta os custos e benefícios relativos.
38
Essas limitações impedem que o conselho de administração e a diretoria executiva tenham
absoluta garantia da realização dos objetivos da organização.
Funções e Responsabilidades
Aqui faremos um breve resumo, pois também as responsabilidades das pessoas quanto
ao funcionamento e a eficácia de gerenciamento de riscos é idêntica àquela já comentada no
Coso 1. Assim, cada um dos empregados de uma organização tem uma parcela de
responsabilidade no gerenciamento de riscos corporativos.
! O presidente-executivo é o principal responsável e deve assumir a
responsabilidade da iniciativa.
! Cabe aos outros diretores executivos apoiar a filosofia de administração de riscos
da organização, incentivar a observação de seu apetite a risco e administrar os
riscos dentro de suas esferas de responsabilidade, conforme as tolerâncias a
risco.
! Via de regra, cabe ao diretor de riscos, diretor-financeiro, auditor interno e outros,
responsabilidades fundamentais de suporte.
! Os outros membros da organização são responsáveis pela execução do
gerenciamento de riscos em cumprimento das diretrizes e dos protocolos
estabelecidos.
! O conselho de administração executa importante atividade de supervisão do
gerenciamento de riscos da organização, estando ciente e de acordo com o grau
de apetite a risco da organização.
! Diversas partes externas, como clientes, revendedores, parceiros comerciais,
auditores externos, agentes normativos e analistas financeiros freqüentemente
fornecem informações úteis para a condução do gerenciamento de riscos, porém
não são responsáveis pela sua eficácia e nem fazem parte do gerenciamento de
riscos da organização.
RESUMO GERAL DO COSO II
GESTÃO CORPORATIVA DE RISCOS – ESTRUTURA INTEGRADA

ELEMENTOS FUNDAMENTAIS DE CADA COMPONENTE
39
Ambiente Interno
Filosofia do Gerenciamento de Riscos – Apetite a Riscos – Administração –

Integridade e Valores Éticos – Compromisso com a Competência – Estrutura
Organizacional – Atribuição de Autoridade e Responsabilidade – Padrões de
Recursos Humanos
Fixação de Objetivos
Objetivos Estratégicos – Objetivos Correlatos – Objetivos Selecionados – Apetite

a Risco – Tolerância a Risco
Identificação de Eventos
Eventos – Fatores Influenciadores – Técnicas de Identificação de Eventos –

Interdependência de Eventos – Categorias de Eventos – Diferenciação de Riscos
e Oportunidades
Avaliação de Riscos
Risco Inerente e Residual – Estabelecimento da Probabilidade e Impacto – Fontes

de dados – Técnicas de Avaliação – Relações entre eventos
Resposta a Riscos
Avaliação das Possíveis Respostas – Respostas Selecionadas – Visão de

Portfólio
Atividades de Controle
Integração com as Respostas a Riscos – Tipos de Atividades de Controle –

Políticas e Procedimentos – Controles dos Sistemas de Informação Específicos à
Organização
Informação e Comunicação
Informação – Comunicação
Monitoramento
Atividades Contínuas de Monitoramento – Avaliações Segregadas – Comunicação

de Deficiências
Bom pessoal, novamente considerando a similitude dos editais, comentaremos as

questões da Prova para Analista de Controle Externo do TCU - CESPE – 2007, sobre a
estrutura conceitual da análise de risco do tipo COSO.
QUE
102 De acordo com a estrutura conceitual da análise de risco do tipo COSO, é
imprescindível a existência de controles internos para o cumprimento das metas e
objetivos da entidade. Caso se detecte potencial de risco na obtenção desses objetivos,
poderá o controle interno atuar como a auditoria interna.
40
Resposta: Errado. Quando se detecta potencial de risco no alcance de um objetivo, o controle

interno é que auxilia a administração a avaliar e tratar esse risco. Essa é uma responsabilidade
da gerência e das pessoas responsáveis. A auditoria interna tem uma função de auxiliar a
administração a monitorar o desempenho dos controles internos. Assim, na estrutura proposta
pelo Coso, o controle interno tem uma função e a auditoria interna outra, portanto, não se pode
afirmar que o controle interno pode atuar como a auditoria interna, quando se detecta riscos.
111 De acordo com a estrutura conceitual de análise de risco do tipo COSO, em uma
negociação que envolva gestão de dívida pública sob a responsabilidade da Secretaria
do Tesouro Nacional junto a terceiros, a avaliação dos riscos deve ser responsabilidade
da auditoria interna.
Resposta: Errado. A responsabilidade pela avaliação dos riscos é do gestor da Secretaria do

Tesouro Nacional responsável pela negociação das dívidas. A auditoria interna ajuda a tornar
mais eficaz o processo de controle interno e de gestão de riscos, mas não pode assumir
responsabilidade pela sua implementação e manutenção.
A título de esclarecimento, quem realiza as atividades de controle interno e auditoria nos

órgãos da administração direta federal, como por exemplo, na Secretaria do Tesouro Nacional,
é a Controladoria-Geral da União, que pertence à estrutura da Presidência da República.
Caros alunos, chegamos ao fim de nossa exposição teórica sobre governança e

estrutura de controles e de análise de riscos do COSO.
Verifique agora o que você aprendeu fazendo a auto-avaliação. Assim, resolva as

questões de provas e os exercícios a seguir apresentados por assunto e confira suas respostas
com o gabarito posto no final. Na aula 02, farei breve comentário sobre a solução dessas
questões.
GOVERNANÇA CORPORATIVA
1) (Profissional Junior/Contábeis/Cesgranrio/2008) Um dos elementos-chave da governança

corporativa é o relacionamento entre partes interessadas, que tanto pode se referir a
divergências entre acionistas e gestores, quanto a divergências entre acionistas majoritários e
minoritários. Esses relacionamentos são considerados uma das cinco questões centrais da
governança corporativa, que são os(as)
(A) conflitos de agência.
(B) direitos assimétricos.
(C) práticas de gestão.
(D) dispersões de governança.
(E) divergências de stakeholders.
2) (Profissional Junior/Contábeis/Cesgranrio/2008) Tratando-se de governança corporativa, uma

das questões-chave é a separação formal dos processos decisórios entre a Direção Executiva e
o Conselho de Administração. Enquanto ao primeiro cabem as decisões de gestão, ao segundo
cabem as decisões
(A) de planejamento.
41
(B) de conformidade.
(C) financeiras.
(D) de controle.
(E) estratégicas.
3) (Profissional Junior/Contábeis/Cesgranrio/2008) A Lei Sarbanes-Oxley promoveu ampla

regulação da vida corporativa, fundamentada nas boas práticas de governança corporativa.
Seus focos são exatamente os quatro valores que há duas décadas vinham sendo enfatizados
pelo ativismo pioneiro, que são:
(A) corporate bond, bull spread, strike price e rating.
(B) compliance, accountability, disclosure e fairness.
(C) forward discount, embedded option, default risk e swap.
(D) adesão, auto-regulamentação, comitês de auditoria e conselho de administração.
(E) princípios, equanimidade, diretriz e transparência.
4) (Auditor Júnior/REFAP S/A/Cesgranrio/2007) São considerados valores que dão sustentação

à boa governança corporativa: fairness, disclosure, accountability e compliance. Dentre estas,
accountability significa:
(A) senso de justiça e equidade no tratamento dos acionistas.
(B) respeito aos direitos dos minoritários, por participação equânime com a dos majoritários nos
resultados das operações.
(C) prestação responsável de contas, fundamentada nas melhores práticas contábeis e de
auditoria.
(D) transparência das informações, principalmente sobre distribuição de resultados e valor dos
dividendos.
(E) adoção de práticas de boa governança, como a instalação de conselho consultivo e
conselho fiscal.
5) (Auditor Junior/Petrobrás/Cesgranrio/2008) Criada em 2002, após a descoberta de fraudes

nas demonstrações financeiras de algumas empresas nos Estados Unidos, a Lei Sarbanes-
Oxley modificou as regras de governança corporativa relativas à emissão e divulgação de
relatório. As principais exigências da Lei, no tocante aos controles internos, giram em torno da
(A) mudança das notas explicativas nos relatórios financeiros, principalmente no relatório
circunstanciado de controles internos emitido pela auditoria interna, e determinação de regras
rígidas para o processo de gestão dos riscos.
(B) mudança nas regras para avaliação dos ativos financeiros, em que os Diretores Financeiros
e Contadores se responsabilizam pela divulgação e análise dos controles e pela divulgação de
notas sobre os procedimentos contábeis.
(C) responsabilidade dos Diretores Executivos e Financeiros pelos controles e procedimentos
de divulgação e determinação de uma avaliação anual dos controles internos para emissão de
relatórios financeiros, acompanhados do relatório da auditoria externa.
(D) flexibilidade de prazos para envio dos relatórios financeiros pela Diretoria Executiva aos
órgãos reguladores como a SEC e a CVM e pela responsabilidade dos auditores internos no
processo de certificação dos controles internos.
(E) criação de um comitê de auditoria interna para auxiliar o Conselho Fiscal no
estabelecimento de controles internos e da elaboração e análise dos relatórios financeiros por
parte da Diretoria Executiva e Financeira.
42
6) (Auditor Junior/Petrobrás/Cesgranrio/2008) Com a crescente necessidade das partes
interessadas em agregar valor e criar mecanismos para proteção das Companhias, surgiu o
conceito de Governança Corporativa que é basicamente o
(A) sistema pelo qual as Companhias são dirigidas e monitoradas, para reduzir os conflitos de
interesse, envolvendo os relacionamentos entre acionistas, Conselho de Administração,
diretoria, auditoria independente e Conselho Fiscal.
(B) sistema de monitoramento dos riscos que podem afetar, significativamente, as
demonstrações contábeis das sociedades de capital aberto, fornecendo relatórios mensais para
os acionistas e para o Conselho de Administração.
(C) método pelo qual o sistema de controles internos de uma empresa é analisado,
direcionando as conclusões para tratamento nas reuniões do Conselho Fiscal e da Diretoria
Executiva.
(D) conjunto de práticas estabelecidas pela auditoria interna, em conjunto com a alta
administração das sociedades, objetivando a redução dos riscos de imagem, de crédito e
operacionais.
(E) conjunto de normas e procedimentos estabelecidos pelo mercado, principalmente para
reduzir o conflito de interesses entre acionistas e funcionários das Companhias.
GOVERNANÇA NO SETOR PÚBLICO
7) (Auditor/FUNASA/Cesgranrio/2009) Accountability, Governabilidade e Governança são

categorias muito utilizadas pelos cientistas políticos e por profissionais especializados na área
de administração pública, cujos conceitos são importantes para a compreensão da formulação
e da implementação das políticas públicas.
Nesse contexto, como se caracteriza o conceito de Governabilidade?
(A) Conjunto dos mecanismos e procedimentos para lidar com a dimensão participativa e plural
da sociedade, o que implica expandir e aperfeiçoar os meios de interlocução e de administração
do jogo de interesses.
(B) Capacidade governativa em sentido amplo, envolvendo a capacidade de ação estatal na
formulação e implementação das políticas, tendo em vista a consecução de metas coletivas.
(C) Condições sistêmicas mais gerais sob as quais se dá o exercício do poder numa dada
sociedade, refletindo características do sistema político, como a forma do governo, as relações
entre os poderes, o sistema partidário e de intermediação de interesses.
(D) Efetividade das políticas públicas elaboradas por governos, caracterizadas pelo rigor dos
mecanismos que induzem os decisores a prestar contas dos resultados de suas ações,
garantindo a transparência.
(E) Prestação de contas pelo governo à Sociedade como fator de exposição pública das
políticas.
8) (TCM/RIO/FGV/2008) O termo governança refere-se aos processos de como as

organizações são administradas e controladas. Os dirigentes do setor privado priorizam o foco
da governança. No entanto, as prioridades no contexto do setor público, que opera com
estruturas e modelos de gestão diferentes, são mais difíceis de identificar.
Neste, a governança tem que estabelecer a definição clara dos papéis, das metas, das
responsabilidades, dos modelos de decisão, das rotinas e, também, abranger a Gestão do
Conhecimento.
43
Considerando a legislação que regulamenta a profissão contábil, em especial a proveniente do
CFC, CVM e IFAC – International Federation of Accountants (de acordo com o estudo realizado
em 2001), foram desenvolvidos no setor público três princípios fundamentais de governança:
(A) Openness (Transparência), Integrity (Integridade) e Accountability (responsabilidade de
prestar contas).
(B) Openness (Transparência), Capacity (Capacidade) e Accountability (responsabilidade de
prestar contas).
(C) Integrity (Integridade), Capacity (Capacidade) e Accountability (responsabilidade de prestar
contas).
(D) Integrity (Integridade), SOX e Accountability (responsabilidade de prestar contas).
(E) Capacity (Capacidade), SOX e Accountability (responsabilidade de prestar contas).
PAPEL DA AUDITORIA NA ESTRUTURA DE GOVERANÇA
9) Compete à auditoria na estrutura de governança de uma organização

A) avaliar os riscos potenciais em termos de probabilidade de ocorrência e impacto
B) avaliar e implementar controles internos que assegurem tratamento adequado aos riscos
C) preparar as demonstrações e demais relatórios da administração
D) proceder à avaliação periódica dos processos de gerenciamento de riscos e de controles
internos
E) prevenir e detectar fraudes e outros eventos que possam impactar os objetivos da
organização
ESTRUTURA CONCEITUAL DE ANÁLISE DE RISCOS E CONTROLES DO COSO
10) (CGE-PB/CESPE/2008) Apesar das limitações de recursos, as empresas menores

enfrentam o desafio de manter um controle interno, a custo razoável, de várias maneiras, entre
as quais se inclui
A o exercício do controle de forma diluída e pelos diversos níveis da organização.
B a existência de estruturas menos complexas, por permitirem que os dirigentes tenham amplo
conhecimento das atividades e um vínculo mais estreito com a organização.
C a conjugação de funções, resultante de um menor número de trabalhadores.
D o desenvolvimento interno de sistemas de informação.
E a desconsideração da abrangência das atividades de supervisão.
QUESTÃO 62
11) (CGE-PB/CESPE/2008) O gerenciamento de riscos corporativos é constituído de vários
componentes inter-relacionados, que se originam com base na maneira como a administração
gerencia a organização e que se integram ao processo de gestão. Entre esses componentes,
destaca-se
A o ambiente externo, que determina a forma como os riscos e os controles serão percebidos
pelos empregados da organização.
B a escolha dos objetivos, condicionada à identificação das situações de risco, aos quais a
missão da organização deve alinhar-se.
C a avaliação de riscos, que devem ser identificados, administrados e associados aos objetivos
passíveis de ser influenciados e seus respectivos impactos.
D a resposta aos riscos, que a administração tratará de compartilhar com os clientes e usuários,
ou, sendo o caso, transferir para os empregados.
44
E a comunicação, que deve fluir sempre de baixo para cima, mantendo informados os
dirigentes dos níveis hierárquicos superiores.
QUESTÃO 63
12) (CGE-PB/CESPE/2008) O gerenciamento de riscos corporativos trata de riscos e
oportunidades que afetam a criação ou a preservação do valor, refletindo certos conceitos
fundamentais. Desse modo, o gerenciamento corporativo é
A conduzido por um grupo especializado de profissionais que constitui um setor autônomo da
organização.
B um modo de atuação que trata dos eventos cuja ocorrência afetou a organização, mas cujos
efeitos ainda não foram completamente avaliados.
C um processo destinado a compatibilizar os riscos de eventos em potencial aos riscos
admitidos pela organização, sem maiores prejuízos ao cumprimento de seus objetivos.
D orientado para a realização de objetivos distintos e independentes.
E um processo que se desencadeia sempre que a organização se sinta ameaçada pela
ocorrência de eventos externos.
QUESTÃO 68
13) (CGE-PB/CESPE/2008) Considerando que o objetivo principal de uma informação é
influenciar decisões e que informação é um tratamento especial que se dá a um dado ou a um
conjunto de dados à disposição do respectivo usuário, assinale a opção correta.
A A capacidade de a informação reduzir incertezas está associada com a oportunidade de sua
distribuição e, portanto, com uma relação benefício/custo maior do que um.
B Em razão da multiplicidade e diversidade de usuários das informações de uma entidade, cada
interessado deverá buscar a apreensão do conteúdo e da forma da mensagem.
C Os dados coletados de fontes internas são sempre mais confiáveis que os obtidos de fontes
externas.
D Os dados disponíveis não devem passar por processos de filtragem, para permitir ao usuário
da informação que faça as suas próprias escolhas.
E As informações geradas no âmbito da entidade devem ser disponibilizadas indistintamente a
todos os níveis e setores, de acordo com o princípio de que é ao usuário que cabe a seleção
das informações que lhe possam interessar.
QUESTÃO 69
14) (CGE-PB/CESPE/2008) A comunicação, por ser a troca de informações entre os indivíduos,
é uma atividade administrativa que visa tornar comum uma mensagem ou informação. Com
relação à comunicação em uma entidade, é correto afirmar que
A o fluxo ascendente — dos subordinados aos dirigentes — é menos confiável que o
descendente — dos dirigentes aos subordinados.
B o entendimento sobre a forma de realização das tarefas deve ser necessariamente diferente
entre chefias e servidores.
C as informações que visam à compreensão das tarefas a realizar são independentes e
incompatíveis com o grau de motivação que se possa transmitir aos responsáveis pela
execução dessas tarefas.
D as tarefas serão executadas com mais eficiência sempre que os padrões de desempenho
forem estabelecidos segundo um entendimento comum entre chefias e subordinados.
E os subordinados só devem receber informações dos superiores por iniciativa própria, à
medida que as julgarem necessárias.
45
15) (TCE-AM/FCC/2008) Pela metodologia COSO (The Comitee of Sponsoring Organizations),
ao avaliar o risco o auditor deve classificá-lo quanto à
(A) probabilidade e ao nível de ocorrência.
(B) freqüência de ocorrência e à relevância.
(C) materialidade e à subjetividade.
(D) área de ocorrência e à relevância.
(E) natureza e à área de ocorrência.
16) (TCE-CE/FCC/2008) Compõe um elemento da estrutura a ser avaliado pela metodologia

COSO "!Committee of Sponsoring Organizations of the Treadway Commission:
(A) estrutura externa.
(B) conformidade dos riscos.
(C) reação ao risco.
(D) segregação de funções.
(E) fator aleatório.
17) (Auditor Junior/Petrobrás/Cesgranrio/2008) A metodologia estabelecida pelo COSO

(Committee of Sponsoring Organizations of the Treadway Commission) foi concebida com a
finalidade de auxiliar na gestão empresarial, estabelecendo um padrão de melhores práticas de
controles internos. Os cinco componentes básicos definidos pelo COSO (1a Edição) devem
estar alinhados para atender os objetivos ligados a
(A) produtividade operacional, transparência e confiabilidade dos relatórios gerenciais e
melhoria no ambiente de controle.
(B) eficiência no processo de gestão de riscos, capacitação operacional e transparência da alta
administração.
(C) conformidade legal (compliance), eficiência na avaliação de riscos e transparência na
comunicação interna.
(D) eficácia e eficiência das operações, confiabilidade nas demonstrações financeiras e
cumprimento de leis e normas (compliance).
(E) confiabilidade no ambiente de controle interno, capacitação e treinamento de pessoal e
agilidade nos fluxos e processos internos.
18) (Auditor Junior/Petrobrás/Cesgranrio/2008) O gerenciamento dos riscos é fundamental na

estrutura de controles internos para que os objetivos da companhia sejam atingidos de uma
forma eficaz e para que perdas inesperadas sejam evitadas. Em relação à gestão de riscos,
analise as afirmativas abaixo.
I - Os métodos de identificação dos riscos devem ser desenvolvidos pela alta administração,
apoiada pelo Conselho Fiscal.
II - Os riscos podem ser avaliados quanto ao impacto financeiro e à probabilidade de
ocorrência.
III - A matriz de risco é uma das ferramentas utilizadas no gerenciamento dos riscos.
IV- O monitoramento dos riscos deve ser realizado pela auditoria independente.
V - Levantamentos históricos e questionários sobre eventos de riscos são métodos de
identificação eficazes utilizados no gerenciamento de riscos.
Estão corretas APENAS as afirmativas
(A) I, II e IV
(B) I, III e IV
46
(C) I, III e V
(D) II, III e V
(E) III, IV e V
EXERCÍCIOS (Estilo Certo ou Errado)
SOBRE GERENCIAMENTO DE RISCOS – COSO II
1) Segundo o COSO, a gestão de riscos corporativos é um processo conduzido pelo

conselho de administração com o objetivo de identificar em toda a organização
eventos em potencial, capazes de afetá-la, e administrar riscos de modo a mantê-los
compatíveis com o apetite a risco da organização e possibilitar plena garantia do
cumprimento dos seus objetivos.
2) O gerenciamento de riscos corporativos é constituído de oito componentes inter-

relacionados, pela qual a administração gerencia a organização e estão integrados
com o processo de gestão. Esses componentes são: ambiente externo; fixação de
objetivos; identificação de riscos; avaliação de riscos; resposta a risco; atividades de
controle; informações e comunicações; monitoramento.
3) A condição prévia para a identificação eficaz de eventos, avaliação de riscos e

resposta a riscos é o estabelecimento de objetivos.
4) Eventos são incidentes ou ocorrências originadas a partir de fontes internas

(pessoal, processo, tecnologia) ou externa (econômicos, meio ambiente, políticos,
sociais) que afetam a implementação da estratégia ou a realização dos objetivos,
podendo provocar impacto positivo, negativo ou ambos. Para o COSO, importa
apenas identificar os eventos com impacto negativo ou desfavorável, posto que
aqueles que geram impacto positivo não irão afetar os objetivos da organização.
5) Seminários e entrevistas com facilitadores e análise de fluxo de processos são

exemplos de técnicas de identificação de eventos para o processo de gerenciamento
de riscos.
6) A estrutura de gerenciamento de riscos do COSO classifica os objetivos de uma

organização em quatro categorias: estratégicos, operacionais, de comunicação e de
conformidade.
7) Segundo o processo de gerenciamento de riscos corporativos do COSO, os

objetivos de uma organização devem ser alinhados ao apetite a riscos, que
impulsiona os níveis de tolerância a riscos para a organização. Enquanto o apetite a
riscos expressa os riscos que a organização em funcionamento deverá aceitar e
quais os que não deverá aceitar, a tolerância a riscos constitui os níveis de variação
referentes ao cumprimento dos objetivos.
47
8) Risco residual é o risco que permanece após a resposta da administração, podendo,
porém, permanecer nos mesmos patamares de probabilidade e de impacto do risco
inerente.
9) Segundo a metodologia de avaliação de riscos do Coso, ao avaliar os riscos, a

administração leva em conta tanto o risco inerente quanto o residual. A avaliação de
riscos é aplicada primeiramente aos riscos inerentes, que são aqueles riscos que
uma organização terá de enfrentar na falta de medidas que possa adotar para alterar
a probabilidade ou o impacto dos eventos.
10) A organização pode responder aos riscos adotando medidas para eliminar, mitigar
ou compartilhar os riscos, mas nunca pode deixar de adotar alguma estratégia ou
medida concreta e efetiva contra o risco.
11) Embora as atividades de controle sejam geralmente estabelecidas para assegurar

que as repostas a riscos sejam conduzidas adequadamente, em relação a
determinados objetivos, as próprias atividades de controle são a resposta a risco.
12) O Coso define o gerenciamento de riscos corporativos como um processo, em que

cada um dos oito componentes é executado em etapas e tarefas seqüenciais.
13) Segundo o Coso, o controle interno da Secretaria da Receita Federal deve ser uma
responsabilidade exclusiva do titular dessa secretaria e de todos os administradores
das unidades que a compõem (secretários-adjuntos, superintendentes, delegados,
inspetores, etc.).
14) O risco que uma organização terá de enfrentar para alterar a probabilidade ou o
impacto dos eventos é denominado risco inerente.
15) Após avaliar os riscos importantes, a organização determina de que forma

responderá a estes. A decisão de abandonar uma unidade de negócios, de participar
de acordo de formação de consórcios e de integrar verticalmente um processo
produtivo para redução do risco de fornecimento são exemplos de respostas
classificadas, respectivamente, nos seguintes tipos: evitar, reduzir e compartilhar o
risco.
SOBRE GOVERNANÇA
O IFAC – International Federation of Accountants realizou interessante estudo em 2001

denominado “Governança no Setor Público”. Acerca do tema, julgue os itens a seguir.
16) De acordo com o estudo, os três princípios fundamentais de governança no setor

público são a transparência, a eqüidade e a accountability (responsabilidade de
prestar contas).
48
17) Além dos princípios, o IFAC apresenta as dimensões que as entidades da
administração pública devem adotar, quais sejam: a) padrões de comportamento; b)
estruturas e processos organizacionais; c) controle; e d) relatórios externos.
Acerca dos princípios e práticas de governança no setor público, julgue os itens seguintes.
18) O cultivo pela administração do desejo de informar, sabendo que da boa

comunicação interna e externa resulta um clima de confiança, tanto internamente,
quanto nas relações da organização com terceiros, representa o princípio da
prestação de contas ou accountability.
19) Um dos princípios de governança aplicáveis à gestão pública é o da eqüidade, no

qual a gestão pública deve pautar-se por políticas e ações que produzam tratamento
justo e igualitário entre os habitantes, para fins de bem-estar social.
20) No setor público, a função essencial da auditoria na estrutura de governança é

assegurar o cumprimento de leis e normas pelos administradores públicos.
Paralelamente ao desenvolvimento da governança corporativa, têm sido observados, pelo

menos desde o início da segunda metade dos anos 90, vários esforços de transposição de
princípios e de metodologias de aferição para o organismo no Estado. As transposições
envolvem desde as questões relacionadas a problemas de agência até as que exploram a
ocorrência de forças de controle e os mecanismos de sua redução. Com relação ao tema e à
governança do Estado, julgue os itens seguintes.
21) A adoção de boas regras de governança no setor público tem como propósito reduzir
os conflitos e os custos de agência, decorrentes da simetria entre os interesses dos
contribuintes (agentes principais outorgantes) e dos gestores públicos (agentes
outorgados).
22) Os custos de agência no processo de gestão do Estado, como por exemplo o

gigantismo do Estado, os altos custos de transação e as estruturas onerosas de
controle, estão associados às imperfeições do governo como agente econômico e
aos interesses dos contribuintes e dos gestores públicos imperfeitamente simétricos.
Esses custos de agência podem ser reduzidos pela adoção de boas e rígidas regras
de governança – um Estado forte -, aliada a um Estado com dimensões e funções
expandidas.
23) A questão-chave do Estado não é de governabilidade, mas de governança.

Enquanto a primeira é uma conquista circunstancial e geralmente efêmera do poder
constituído, a segunda é uma conquista da sociedade estrutural e duradoura e que
estará necessariamente alicerçada nos quatro princípios que definem a boa
governança das corporações: transparência, eqüidade, prestação de contas e
conformidade.
49
GABARITO DAS QUESTÕES DE PROVAS ANTERIORES ESTILO MÚLTIPLA ESCOLHA:
1 - A; 2 - D; 3 - B; 4 - C; 5 - C; 6 - A; 7 - C; 8 - A; 9 - D; 10 - B; 11 - C; 12 - C; 13 - A; 14 - D; 15 –
A; 16 - C; 17 - D; 18 – D.
GABARITO DOS EXERCÌCIOS ESTILO CERTO OU ERRADO: 1 - E; 2 - E; 3 - C; 4 - E; 5 - C;

6 - C; 7 - C; 8 - C; 9 - C; 10 - E; 11 - C; 12 - E; 13 - E; 14 - C; 15 – E; 16 - E; 17 - C; 18 - E; 19 -
C; 20 - E; 21 - E; 22 - E; 23 - C.
Espero que tenham gostado da aula. Como ainda temos um bom tempo até a prova do
TCM-CE, entendo oportuno apresentar o máximo possível de exercícios, para facilitar o
aprendizado.
Um abraço a todos e até a próxima aula!
50

Aula 1

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Aula 1

Enviado por

Direitos autorais:

Formatos disponíveis

CURSO ON-LINE – AUDITORIA GOVERNAMENTAL – TCM/CE

PROFESSOR: MARCELO ARAGÃO

Portanto, em conformidade com o edital do concurso do TCM-CE, esta aula 1 abordará

Antes, temos o compromisso de comentar as questões da aula anterior sobre tipos de

1) (TCE/AM/FCC/2008) O auditor, ao ser designado para proceder auditoria para avaliar se

Na questão, trata-se de uma auditoria de conformidade, porque o enunciado indicou

2) (SEFAZ-SP/ESAF/2009) Sobre a auditoria de natureza operacional, é correto afirmar:

Comentário: A auditoria operacional realizada no âmbito do setor público, pelo Tribunal de

Portanto, a alternativa correta é a “d”. A alternativa “a” corresponde à auditoria de

3) (TCE-GO/FCC/2008) De acordo com o art. 71 da Constituição Federal de 1988, compete

4) (AUDITORIA-GERAL/MG/CESPE/2009). A auditoria da gestão pública é a vertente da

A alternativa correta é a “E”. Constitui objetivo da auditoria operacional aferir a

5) (CGE-PB/CESPE/2008) Os sistemas de tecnologia da informação apresentam

Comentários: William Boynton e outros autores, no livro Auditoria, da Atlas, apontam os

Todavia, existem vários riscos em sistemas de TI, também em comparação com

A assertiva A da questão está incorreta, pois os arquivos e registros que se encontram

A assertiva B refere-se a um dos riscos de ambiente de TI e é a alternativa correta. Em

A assertiva C está incorreta, pois as funções em ambiente de TI estão concentradas e,

A assertiva D está incorreta, pois apesar da possibilidade de alterações serem

QUESTÕES ESTILO CERTO OU ERRADO:

6) (TCU/2007/CESPE) Considere que, em cumprimento à decisão do TCU, tenha sido

Comentário: Todas as constatações da auditoria, apontadas na questão, referem-se à

7) (TCU/2007/CESPE) O julgamento das contas dos gestores públicos em virtude de

Considerando este último entendimento e, ainda, que o propósito da auditoria de

8) (TCU/2007/CESPE) Suponha que uma auditoria, realizada em uma escola agrícola

Comentário: As falhas e deficiências constatadas na auditoria dizem respeito ao processo de

A segunda parte da questão, porém, referindo-se à situação hipotética colocada, afirma

10) (TCU/2008/CESPE) Na auditoria operacional realizada no âmbito de um órgão ou

Comentário: Em uma auditoria operacional, os critérios ou padrões pelos quais o desempenho

Como o propósito dessas auditorias é melhorar o desempenho de órgãos e programas,

11) (Contador/MC/2008/CESPE) Há duas modalidades de atuação da auditoria externa

Comentário: A auditoria de desempenho operacional constitui uma das formas de auditoria de

Já o objetivo da avaliação de programa, outra modalidade de auditoria operacional, é

Enquanto a auditoria de desempenho operacional verifica, além da eficiência operativa,

Assim, o item inverteu os objetivos dessas modalidades de auditorias. O certo seria: A

Passaremos agora à Governança.

No Brasil, existe farta bibliografia sobre a governança corporativa, que é aquela

Segundo o Código das Melhores Práticas de Governança Corporativa do Instituto

Governança Corporativa é o sistema pelo qual as sociedades são

Apesar de termos e expressões distintos para definir governança corporativa,

Mais do que “a obrigação de informar”, a administração deve cultivar o “desejo de

Caracteriza-se elo tratamento justo e igualitário de todos os grupos minoritários, sejam

! !Prestação de Contas (accountability).

Os agentes de Governança corporativa devem prestar contas de sua atuação a quem os

! !Cumprimento das leis (compliance).

Conselheiros e executivos devem zelar pela perenidade das organizações (visão de

Em síntese e conforme palestra da Petrobrás, no 1° Seminário “Governança

O movimento de Governança Corporativa, quando de seu início, estava confinado a

É nesse cenário e em decorrência do efeito de agência que surgem as manipulações

O principal foco da SOX é a transparência das informações para o mercado e os

Entendemos pertinente primeiro estudar um pouco sobre governança corporativa, para

Governança e Análise de Risco

Riscos são quaisquer eventos que possam impedir ou dificultar o alcance de um

Os riscos empresariais originam-se tanto nos processos internos, incidindo na condução

Assim, riscos estão associados à consecução dos objetivos de uma organização,

É importante que os riscos sejam identificados e analisados por metodologias e técnicas

Avaliar riscos significa estimar a probabilidade de ocorrência do eventos negativo e o

No âmbito das empresas, o Conselho de Administração, como detentor dos poderes de

Governança no Setor Público

Com relação à governança do setor público ou do Estado a literatura é escassa, assim

Alguns autores apresentam uma transposição do composto conceitual da governança

Aumentar o valor da sociedade – ações dos governantes na melhoria das condições

Melhorar seu desempenho – as entidades governamentais podem melhorar seu