Auditoria de Riscos e Conformidade Legal

Prévia do material em texto

AULA 3 
AUDITORIA DE RISCOS 
Profª Cristiane Aparecida da Silva 
 
 
2 
INTRODUÇÃO 
O crescimento das corporações, a abertura de capital e a expansão dos 
mercados tornaram as atividades de auditoria cada vez mais importantes como 
fator de apoio à tomada de decisão de administradores e investidores. Com a 
expansão dos negócios, as empresas passaram a necessitar de uma estrutura 
interna mais forte, com normas e procedimentos internos para alinhar a prática 
empresarial, pois o administrador já não podia mais supervisionar pessoalmente 
as atividades da empresa. 
Ao longo do tempo, a auditoria interna tem passado por muitas 
transformações. Conforme Castanheira (2007), a atividade já passou por dois 
paradigmas, primeiro o enfoque na observação e na contabilização e, a partir da 
década de 1940, o foco no sistema de controles internos, encontrando-se hoje 
num terceiro, o desafio de alinhar a visão dos processos aos riscos do negócio, 
tornando-se, assim, mais eficaz. 
Desta forma, na sequência estudaremos o que são Auditorias de 
Conformidade Legal, Normativa e Financeira com o Risco, Normas de Gestão de 
Riscos e o Coso ERM. Para tanto, podemos analisar temas a seguir. 
TEMA 1 – AUDITORIAS DE CONFORMIDADE LEGAL, NORMATIVA E 
FINANCEIRA COM O RISCO 
No trabalho de Auditoria de Conformidade Legal, o auditor verifica o 
atendimento dos requisitos legais da sua organização, mostrando o que está 
conforme ou não conforme. Essas informações são essenciais para a tomada de 
decisão, processo de melhoria contínua e envolvimento da equipe, principalmente 
na criação e aplicação de planos de ações. Por isso, a Auditoria de Conformidade 
Legal é um quesito importante e obrigatório nas normas internacionais. 
1.1 O que uma empresa ganha com a Auditoria de Conformidade Legal? 
 
Gerenciar seu Índice de Conformidade Legal traz informações importantes 
que possibilitam, inclusive, deslocar recursos e esforços em processos que geram 
 
 
3 
maiores riscos, em decorrência das não conformidades. Essa visualização é 
fundamental para decisões estratégicas da Alta Direção. Ainda mais se tiver 
relatórios 100% on-line, por meio do módulo de Auditoria. O serviço é interessante 
para empresas que querem gerir seus riscos (negociações empresariais, como 
incorporações, aquisição de empresas ou de terrenos) e evitar passivos 
ambientais, trabalhistas, em responsabilidade social e não conformidades de 
produtos, que podem gerar prejuízos financeiros, de imagem, operacionais etc. 
No trabalho de Auditoria de Conformidade Legal, o auditor verifica o 
atendimento dos requisitos legais da sua organização, mostrando o que está 
conforme ou não conforme. Essas informações são essenciais para a tomada de 
decisão, processo de melhoria contínua e envolvimento da equipe, principalmente 
na criação e aplicação de planos de ações. Por isso, a Auditoria de Conformidade 
Legal é um quesito importante e obrigatório nas normas internacionais, como ISO 
9001, e ISO 45001. 
1.2 Auditorias Financeiras com o Risco 
O controlo e avaliação de políticas e gestão de riscos financeiros aparecem, 
assim, como uma necessidade crescente tanto do ponto de vista de avaliação 
externa como no quadro das atribuições da auditoria interna. Em ambos os casos, 
e ainda que com objetivos e perspectivas diferenciadas, as duas principais áreas 
de atuação seriam: análise e avaliação quanto à forma como a empresa identifica 
e quantifica as naturezas e níveis de exposição aos diferentes riscos financeiros, 
nas dimensões financeira, econômica e transacional (Costa; Jesus, 2002). 
Análise e avaliação das estratégias de atuação, técnicas e instrumentos 
utilizados na gestão dos riscos financeiros. O desenvolvimento, tanto externo 
quanto interno, desse novo âmbito da função de auditoria contribuiria para uma 
maior visibilidade e explicitação das decisões nesse domínio dos gestores de topo 
e da forma como os responsáveis financeiros as concretizam. Como é natural, o 
desenvolvimento dessa função pressupõe um conjunto de requisitos que estão 
longe de adquiridos, tanto no seio das empresas objeto de análise quanto nas 
próprias empresas de auditoria (Costa; Jesus, 2002). 
Em primeiro lugar, e desde logo, é necessária a implementação interna de 
políticas e procedimentos que sirvam de referência e aferição da gestão de riscos 
realizada. Em segundo, e por se tratar de uma área de razoável complexidade 
técnica e operacional, na qual a investigação científica e experiência prática são 
 
 
4 
ainda relativamente limitadas, não há ainda uma base metodológica de 
procedimentos e standards que sirvam de orientação ao trabalho a desenvolver. 
Em terceiro, e em linha com o ponto anterior, trata -se de uma função que exige 
um grau de conhecimento técnico e de know-how muito especializado, 
pressupondo forte investimento em formação e especialização dos meios 
humanos envolvidos (Costa; Jesus, 2002). 
Figura 1 – Auditorias de conformidade legal 
 
Fonte: Apopartner, 2020. 
De acordo com a Figura 1, as auditorias de conformidade legal permitem 
aumentar o desempenho da organização, seja ao diminuir o impacto que tem para 
o ambiente, seja ao melhorar a segurança no trabalho dos colaboradores, uma 
vez que permite identificar as não conformidades e consequentemente 
transformar essas não conformidades em conformidades legais. 
Saiba mais 
O que é a Auditoria de Conformidade Legal, para que serve e por que fazer 
com consultores externos à organização: 
<https://www.youtube.com/watch?v=75WYHAnKLog>. 
 
 
 
5 
TEMA 2 – NORMA DE GESTÃO DE RISCO DA FERMA 
A Ferma (Federação das Associações Europeia de Gestão de Riscos) foi 
fundada em 1974 com o objetivo de coordenar as ações das associações 
nacionais de profissionais de gestão de risco a nível europeu, sendo considerada 
a principal instituição europeia dedicada às questões da gestão de risco. A Ferma 
é composta por 22 associações de gestão de risco em 21 países europeus, 
representando cerca de 4800 gerentes de risco ativos numa ampla gama de 
setores empresariais de grandes empresas industriais e comerciais para 
instituições financeiras e órgãos governamentais locais. 
O modelo proposto pela Ferma procurou utilizar a terminologia utilizada no 
Guide 73 Risk Management – Vocabulary – Guidelines for use in standards da 
International Organization for Standardization (ISO). 
Segundo a Ferma (2003), a gestão de risco e o processo de gestão de 
riscos protege e acrescenta valor à organização, permitindo ainda: 
• Criar uma estrutura que desenvolva a atividade futura e a desenvolva de 
forma consistente e controlada; 
• Melhorar a tomada de decisão, o planejamento e a definição de prioridades, 
interpretando a atividade de negócio, a volatilidade, as oportunidades e as 
ameaças; 
• Utilizar o capital e os recursos mais eficientemente; 
• Reduzir a volatilidade de áreas não essenciais do negócio; 
• Proteger os ativos e melhorar as imagens da entidade; 
• Desenvolver e ampliar o conhecimento dos colaboradores e da 
organização; 
• Otimizar a eficiência operacional. 
 
A ECIIA (Confederação Europeia dos Institutos de Auditoria Interna) e a 
Ferma, numa orientação conjunta sobre os comitês de Auditoria, criaram um 
grupo de trabalho conjunto para atualizar as orientações sobre a 8ª Diretiva do 
Direito das Sociedades da UE "Monitorizando a eficácia dos sistemas do controle 
interno, auditoria interna e gestão de risco sistemas de orientação para comitês 
de auditoria e auditoria" publicado em 2010. O novo documento Guia para comitê 
de auditoria: notícias da legislação e melhores práticas da UE está revisto como 
 
 
6 
a 8ª Diretiva de Direito das Sociedades e foi revista entre 2010 e 2014, a fim de 
mostrar a evolução das profissões e dos comitês de auditoria e de risco. 
Projetado para gerentes executivos e membros do conselho de gestão ou 
financeiro ou comitê, para empresasde tamanho grande e médio e autoridades 
públicas listadas, o guia atualizado fornece uma atualização importante sobre as 
tendências reguladoras de aumentar a transparência financeira e relatórios não 
financeiros. O impacto do futuro papel e as responsabilidades dos testes de 
auditoria e risco foram medidos e as melhores práticas foram fornecidas por meio 
de entrevistas a presidentes de auditoria e comitês de risco dos setores industrial 
e de serviços financeiros. 
Saiba mais 
Para saber mais sobre gestão dos riscos observando as sugestões do 
Ferma, leia o artigo a seguir: 
<http://sistema.semead.com.br/14semead/resultado/trabalhosPDF/455.pdf>. 
TEMA 3 – NORMA DE GESTÃO DE RISCOS AUSTRALIANA AS/NZS 4360 
A Norma de Gestão de Riscos Australiana AS/NZS 4360 (2004) fornece um 
guia genérico para gerir riscos. Pode ser aplicado a uma ampla gama de 
atividades, decisões ou operações de qualquer empresa pública, privada ou 
comunitária, grupo ou indivíduo e em todas as etapas da vida de uma atividade, 
função, projeto, produto ou ativo. 
O benefício máximo geralmente é obtido aplicando o processo de gestão 
de risco desde o início. Muitas vezes, uma série de estudos discretos é realizada 
em diferentes momentos e de perspectivas estratégicas e operacionais. O 
processo descrito aqui se aplica à gestão de potenciais ganhos e perdas. O 
objetivo desse padrão é fornecer orientação para permitir que empresas, grupos 
e indivíduos públicos, privados ou comunitários consigam uma base mais 
confiável e rigorosa para a tomada de decisões e de planejamento, melhor 
identificação de oportunidades e ameaças e ganhar valor com a incerteza e a 
variabilidade. 
Essa norma foi elaborada pelo Comitê de Normas Conjuntas 
Austrália/Normas Nova Zelândia OB-007, Gestão de Riscos com uma revisão do 
AS/NZS 4360: 1999, Gestão de Riscos. Esta fornece um quadro genérico para 
estabelecer o contexto, identificar, analisar, avaliar, tratar, monitorizar e comunicar 
 
 
7 
os riscos. Essa norma revista incorpora os conhecimentos obtidos por meio da 
aplicação da edição de 1999 e o pensamento atual sobre gestão de riscos. 
Algumas das mudanças da edição de 1999 incluem maior ênfase na 
importância de incorporar práticas de gestão de risco na cultura e processos da 
organização, maior ênfase no gerenciamento de ganhos potenciais e perdas 
potenciais e mover e expandir exemplos indicativos para um novo manual. 
A comunicação e consulta são pontos importantes em cada passo do 
processo de gestão de riscos, elas devem envolver um diálogo com as partes 
interessadas. É importante desenvolver um plano de comunicação tanto para 
agentes internos quanto externos. Esse plano deverá abordar questões relativas 
ao próprio risco e ao processo. Estabelecer o contexto e definir os parâmetros 
básicos segundo os quais os riscos devem ser geridos e definir o âmbito de 
aplicação para o processo de gestão de riscos (Fernandes; Heinzmann; 
Wienhage, 2010). 
O contexto inclui a organização do ambiente interno e externo. Para iniciar 
uma atividade de gestão de riscos, é preciso compreender a organização, isso 
inclui: a cultura; stakeholders internos; estrutura; capacidades em termos de 
recursos, como as pessoas, sistemas, capital; metas, objetivos e as estratégias. 
Essa etapa de definição do contexto também envolve o ambiente externo no qual 
a organização opera e a relação entre a organização e seu ambiente externo 
(Fernandes; Heinzmann; Wienhage, 2010). 
É importante levar em conta as percepções e valores dos agentes externos 
e estabelecer políticas para comunicação com essas partes (Standards Australia, 
2004). As estratégias, os objetivos e as metas, a abrangência e os parâmetros 
das atividades, as partes da organização em que o processo de gestão de risco 
será aplicado devem ser estabelecidas. No processo, deve ser considerado o 
equilíbrio entre custos, benefícios e oportunidades. 
As decisões sobre se é necessário uns tratamentos de gestão de riscos 
podem ser baseados em critérios operacionais, técnicos, financeiros, jurídicos, 
sociais, ambientais, humanitários e outros (Standards Australia, 2004, p. 15). Os 
critérios podem ser afetados pela percepção das partes interessadas e por 
requisitos legais ou regulamentadores. A definição para a estrutura do processo 
de gestão de risco depende da natureza dos riscos e da abrangência dos 
processos. Com a etapa da identificação dos riscos, procura-se identificar os 
riscos a serem gerenciados. 
 
 
8 
As abordagens utilizadas para identificar riscos incluem listas de 
verificação, fluxogramas, brainstorming, análise de sistemas, análise de cenários, 
técnicas e sistemas de engenharia (AS/NZS 4360, 2004, p. 16). Para identificar 
os riscos, é importante que seja usado um processo sistemático e estruturado. A 
identificação deve incluir todos os riscos, estando eles sob controle ou não da 
organização. A etapa da análise de riscos envolve a consideração de fontes de 
riscos, consequências positivas e negativas. Uma análise preliminar pode ser 
realizada a fim de que riscos semelhantes sejam combinados. 
Avaliação de riscos engloba a comparação do nível de risco 8, descobertos 
durante o processo de análise conforme critério estabelecido anteriormente. As 
conclusões de uma avaliação de risco, caso sejam detectados riscos, implicam 
em tomar ações adicionais para minimizar os impactos dos riscos e, se possível, 
eliminá-los. Tratar os riscos engloba analisar opções, avaliando-as e preparar 
planos de ações para tratar os riscos. Por sua vez, monitorar e rever são etapas 
fundamentais para o gerenciamento da gestão de riscos. A revisão garante a 
gestão de riscos, essa revisão deve ser contínua (Fernandes; Heinzmann, 
Wienhage, 2010). 
TEMA 4 – ISO 31000 
A ISO (International Organizations for Standardization) foi fundada em 1947 
e tem por objetivo a publicação/definição de standards internacionais. Essas 
normas abrangem diversos aspetos tecnológicos e de negócio que tornam a 
indústria mais eficiente e eficaz. A ISO já publicou mais de 19000 standards 
internacionais nas mais diversas áreas: segurança alimentar, saúde, linguagem 
de programação, agricultura, gestão de qualidade, entre outros. 
A publicação da ISO31000 teve como grande mais-valia a definição de 
conceitos que ajudam a resolver certos problemas que surgem nas organizações. 
Por exemplo, o processo de aplicação de modelos de gestão de risco está sujeito 
às diferentes interpretações que os colaboradores das empresas atribuem a 
conceitos como risco ou nível de risco. Deste modo, e para minimizar a 
subjetividade ligada aos processos de aplicação de um modelo de gestão de risco, 
a ISO desenvolveu: 
• Um vocabulário para a gestão de risco (ISO Guide 73:2009); 
• Critérios de performance/avaliação dos modelos de gestão; 
 
 
9 
• Um processo abrangente de identificação, análise, avaliação e de 
tratamento de riscos; 
• Um guia de implementação e integração de um sistema de gestão de risco 
num sistema de gestão. 
A implementação de sistemas de gestão de risco pressupõe que todos os 
intervenientes partilhem a mesma definição/noção dos conceitos utilizados. Desta 
forma, e de modo a facilitar essa mesma implementação, a ISO elaborou um 
conjunto de definições (ISO Guide 73:2009) para o vocabulário utilizado na gestão 
de risco (Grant Purdy, 2010). 
O uso do ISO 31000 pode ajudar as organizações a aumentar a 
probabilidade de alcançar objetivos, melhorar a identificação de oportunidades e 
ameaças e efetivamente alocar e usar recursos para tratamento de risco. 
No entanto, o ISO 31000 não pode ser usado para fins de certificação, mas 
fornece orientação para programas de auditoria interna ou externa. As 
organizações que o utilizam podem comparar suas práticas de gestão de risco 
com um benchmark internacionalmente reconhecido, fornecendo princípios 
sólidos para gestão efetiva e governaçãocorporativa. 
A ISO 31000 é uma norma internacional que serve como referência para 
qualquer norma existente sobre a gestão de riscos. Essa norma fornece diretrizes 
para que as organizações possam implementar a gestão de risco, 
independentemente do segmento de atuação, área e até mesmo o tamanho da 
empresa. 
 
 
 
10 
Saiba mais 
Você quer saber um pouco mais sobre a análise comparativa entre as 
normas ABNT NBR ISO 9001:2015 e a ABNT NBR ISO 31000:2009? Então, leia 
o artigo a seguir: “A análise comparativa entre as Normas ABNT NBR ISO 
9001:2015 e a ABNT NBR ISO 31000:2009: a mentalidade de riscos nos sistemas 
de gestão da qualidade nos sistemas de gestão da qualidade”. Disponível em: 
<http://www.revistasg.uff.br/index.php/sg/article/view/1430>. 
TEMA 5 – O COSO ERM 
O Coso (Committee of Sponsoring Organizations of the Treadway 
Commission) é uma organização privada criada em 1985 nos Estados Unidos. 
Inicialmente criada como National Commission on Fraudulent Financial Reporting 
(Comissão Nacional sobre Fraudes em Relatórios Financeiros), também 
conhecida como Treadway Commission, denominação herdada do sobrenome do 
seu vice-presidente e ex-membro da SEC – Securities and Exchange Commission 
– James C. Treadway. 
Essa comissão foi patrocinada por cinco grandes associações dos Estados 
Unidos ligadas para a área financeira e contabilística, sendo totalmente 
independente dos seus patrocinadores: 
• AICPA – American Institute of Certified Public Accounts (Instituto 
Americano de Contabilistas Públicos Certificados); 
• AAA – American Accounting Association (Associação Americana de 
Contabilistas); 
• FEI – Financial Executives Internacional (Executivos Financeiros 
Internacionais); 
• IIA – The Insititute of Internal Auditors (Instituto dos Auditores Internos); 
• IMA – Institute of Management Accountants (Instituto dos Contabilistas de 
Gestão). 
Segundo o relatório Coso (1992), os administradores, desde quando 
procuram melhores maneiras de controlar as empresas que gerem, implementam 
os controles internos de forma a permitir que a entidade atinja os seus objetivos, 
minimizando as “surpresas”. Os controles internos permitem à gestão lidar com 
 
 
11 
as frequentes mudanças e alterações na economia, bem como com o crescente 
ambiente competitivo e interesses dos consumidores. 
Os controles internos promovem a eficiência, reduzem os riscos e ajudam 
a assegurar a confiabilidade do reporte financeiro e conformidade com leis e 
regulamentos. Em 1992, o Coso publicaria o documento Internal Control – 
Integrated Framework (Controlos Internos – Um Modelo Integrado), também 
conhecido como The Coso Report, tornando-se referência mundial para o estudo 
e aplicação dos controlos internos. 
O significado de controlo interno difere de pessoa para pessoa, o que pode 
resultar em confusão para os empresários, legisladores, reguladores e outros, o 
que pode levar a falhas de comunicação e criação de falsas expectativas e, 
consequentemente, problemas para as entidades. 
Para resolver esse problema, o relatório Coso (1992) define controle interno 
como um processo, da responsabilidade do Conselho de Administração, da 
Gestão Executiva e restante pessoal da entidade, estabelecido com vista a 
proporcionar uma garantia razoável da consecução dos seguintes objetivos da 
organização: 
• Eficácia e eficiência das operações; 
• Fiabilidade do reporte financeiro; 
• Conformidade com as normas e regulamentos aplicáveis. 
Segundo o relatório Coso (1992), o controle interno consiste em cinco 
componentes inter-relacionados. Essas componentes advêm da forma como a 
gestão gere o negócio e estão integradas no processo de gestão. Embora esses 
componentes se apliquem a todas as entidades, pequenas e médias empresas 
podem aplicá-las de maneira diferente das grandes empresas, porém, os seus 
controles, embora menos estruturados, podem ser eficazes. Esses componentes 
são: 
• Supervisão (monitoring): processo de avaliação da qualidade do sistema 
de controle interno e de se ele está adequado no seu desenho e é efetivo 
na sua execução. 
• Informação e comunicação: processo que garante que toda a informação 
relevante é identificada, recolhida e comunicada de forma atempada. 
 
 
12 
• Atividades de controlo: processo por meio do qual políticas, procedimentos 
e práticas específicas são implementadas para atender a cada objetivo de 
controle, de forma a mitigar os riscos identificados no processo de 
avaliação de risco. 
• Avaliação de risco: esse processo envolve identificação, análise e 
documentação pela gestão de quais os riscos relevantes ou que poderão 
comprometer a consecução dos objetivos fixados para a empresa. 
• Ambiente de controle: o ambiente de controle está relacionado com a 
cultura da empresa e a forma como está lida com o controle interno. Inclui 
conceitos como liderança, competência, recompensas e estilo de gestão, 
que derivam essencialmente do posicionamento da gestão de topo e seus 
executivos (soft controls). 
Esses componentes articulam-se entre si, formando um sistema integrado 
que reage dinamicamente a mutáveis condições. Conforme o relatório Coso 
(1992), existe uma relação direta entre as três categorias de objetivos e os 
componentes. Todos os componentes são importantes para cada categoria de 
objetivo. 
Olhando, por exemplo, para a primeira categoria, todos os cinco 
componentes têm que estar presentes e funcionar efetivamente, de modo a se 
concluir que os controles internos sobre as operações são efetivos. Essa relação 
é apresentada graficamente no relatório sob a forma de um cubo, denominado 
cubo de Coso. 
5.1 Metodologia do COSO ERM 
Em 2001, foi publicado o Enterprise Risk Management – Integrated 
Framework (Documento de Gerenciamento de Risco Empresarial – Estrutura 
Integrada) intitulado Coso II, ou Coso ERM (Rhoden et al, 2019). 
Esse novo modelo preserva a estrutura integrada, explorando os controles 
internos mais progressivamente no que se refere ao gerenciamento de risco de 
uma organização. A premissa subjacente da gerência de risco empresarial é 
definida como um processo efetuado e aplicado na empresa, disposto a projetar 
e identificar os eventos potenciais que possam comprometer a entidade, 
acompanhando e controlando os riscos em busca de uma garantia razoável da 
realização dos objetivos da entidade (Coso, 2004). 
 
 
13 
Figura 1 – Cubo Coso II 
 
Fonte: Coso, 2004. 
O Coso ERM, por meio da metodologia proposta pelo framework, busca 
alinhar os objetivos de uma organização (estratégicos, operacionais, de 
comunicação e de conformidade) às ações que são necessárias ao seu alcance, 
representadas pelos componentes do gerenciamento de riscos corporativos: 
ambiente interno; fixação de objetivos; identificação de eventos; avaliação de 
riscos; resposta aos riscos; atividades de controle; informação e comunicação; e 
monitoramento (Araújo, 2014). 
O gerenciamento de riscos corporativos é constituído por oito componentes 
inter-relacionados, sendo eles: 
1. Internal Environment (ambiente interno); 
2. Objective Setting (definição dos objetivos); 
3. Event Indetification (identificação de eventos); 
4. Risk Assessment (avaliação de risco); 
5. Risk Response (resposta ao risco); 
6. Control Activities (atividades de controle); 
7. Information and Communication (informação e comunicação); 
8. Monitoring (monitoramento). 
Além dos oito componentes, ele tem quatro categorias de objetivos. É uma 
expansão do Coso – Internal Control Integrated Framework – publicada em 1992 
e alterada em 1994. Conforme a Figura 1, originam-se com base na maneira como 
a administração gerencia a organização e que se integram ao processo de gestão 
(Coso, 2007). As quatro categorias de objetivos são: 
 
 
14 
1. Estratégia – Metas de alto nível, alinhadas e apoiando a missão da 
organização; 
2. Operações – Utilização eficaze eficiente dos recursos; 
3. Relatórios financeiros – Confiabilidade das informações operacionais e 
financeiras; 
4. Compliance – O cumprimento das leis e regulamentos aplicáveis. 
ERM também pode ser descrito como uma abordagem baseada no risco 
para a gestão de uma empresa, integrando conceitos de controle interno, a Lei 
Sarbanes-Oxley, e planejamento estratégico. 
5.2 Lei Sarbanes-Oxley 
As fraudes financeiras norte-americanas e as europeias podem ter sido 
consequência da complexidade de divulgação das demonstrações contábeis, fruto 
do rápido crescimento do número de aquisições e fusões externas, com finalidade 
de se apresentar bem perante o mercado de capitais (Neto et al., 2006, p. 1). 
Para Gelatti e Meneghetti (2010), nos últimos anos, em várias partes do 
mundo, temos exemplos de empresas que manipulavam informações contábeis, 
existindo desde a ausência de transparência nas informações contábeis às 
condutas antiéticas. 
Neste cenário de incredibilidade no mercado, a decisão do congresso 
americano passa a acatar a implementação de uma nova lei: a Lei Sarbanes-
Oxley, com aceitação unânime. Como qualquer lei, a Sarbanes-Oxley foi 
proclamada com a função de proteger os direitos da maioria, sendo constituída de 
normas e regras a serem seguidas por todos, possuindo ainda as penalidades 
para quem não se adaptar (Figueiredo, 2009). 
Em 30 de julho de 2002, o presidente dos Estados Unidos da América, 
Geoge W. Bush, aprovou a Lei Sarbanes-Oxley, com a intenção de reconstruir a 
confiança pública nas empresas e realçar a necessidade da ética na confecção 
das informações financeiras voltada aos investidores (Gelatti, Meneghetti, 2010). 
Carmona (2010) afirma que a lei apresentou novas regras de governança 
corporativa e estabeleceu a obrigação de diversas práticas, entre elas, o Comitê 
de Auditoria, que trouxe uma série de normas de responsabilidades aos 
administradores com o foco de proibir práticas lesivas e que demonstre às 
entidades grandes níveis de riscos. 
 
 
15 
Saiba mais 
Lei Sarbanes Oxley: <https://www.youtube.com/watch?v=2fqNcmam2nE>. 
FINALIZANDO 
A auditoria é uma especialização contábil com o objetivo de testar a 
eficiência e eficácia do controle patrimonial utilizado com a finalidade de emitir 
uma opinião sobre determinada informação. Rosário (2010) afirma que o 
surgimento da auditoria, de fato, acontece quando a economia estava em 
ascensão devido à revolução industrial e o capitalismo. 
As empresas para aquisição de crédito disponibilizam seus demonstrativos 
contábeis aos agentes financeiros para que seja feita uma análise da situação 
econômica, no intuito da avaliação do possível risco de perda do crédito ofertado, 
evidenciando um retorno futuro. 
Com base no que foi apresentado até aqui, podemos ver como a auditoria 
de risco é fundamental para o alcance dos objetivos da organização. 
Vimos também que gerenciar seu Índice de Conformidade Legal traz 
informações importantes que possibilitam, inclusive, deslocar recursos e esforços 
em processos que geram maiores riscos, em decorrência das não conformidades. 
Essa visualização é fundamental para decisões estratégicas da Alta Direção. No 
entanto, esperamos que a aula tenha contribuído para o entendimento geral do 
processo que envolve a auditoria de risco. 
 
 
 
16 
REFERÊNCIAS 
ARAÚJO, J. G. R. Controle interno na perspectiva do framework COSO ERM: 
um estudo na Universidade Federal da Paraíba. 2014. 113 f. Monografia 
(Especialização) – Curso de Ciências Contábeis, Universidade Federal do Rio 
Grande do Norte, 2014. 
COSO – Committee of Sponsoring Organizations of the Treadway Commission. 
Enterprise Risk Management: Integrated Framework. 2004. Disponível em: 
<www.coso.org/documents/coso_erm_executivesummary.pdf>. Acesso em: 7 
mar. 2020. 
COSO – Committee of Sponsoring Organizations of the Treadway Commission. 
Enterprise Risk Management: Integrated Framework. 2007. Disponível em: 
<www.coso.org/documents/coso_erm_executivesummary.pdf>. Acesso em: 7 
mar. 2020. 
COSTA, A. G., JESUS, S. C. M. D. Revelação e auditoria dos riscos financeiros: 
uma perspectiva de gestão. Revista Portuguesa e Brasileira de Gestão, 1(1), p. 
24-28. 2002. 
FERNANDES, F. C., HEINZMANN, L. M., WIENHAGE, P. Controles internos: 
comparativo entre estruturas padrão. Seminário de Administração, p. 15, 2010. 
FIGUEIREDO, P. G. A. Petrobras: governança, controles internos, SOX e 
caminhos de integração com o gerenciamento de riscos empresariais, 2007. 
GELATTI, C. B.; MENEGHETTI, D. Análise da adequação das empresas brasileira 
à Lei Sarbanes – Oxley. Revista Brasileira de Contabilidade, Brasília, v. 186, p. 
69 -83, dez. 2010. 
RHODEN, J. T. et al. Modelo COSO ERM na Avaliação de Sistemas de Controles 
Internos: Análise em uma indústria de concreto e cerâmica do Vale do Caí/RS. 
Pensamento & Realidade, 34(2), p. 43-63, 2019.