Baixe o app para aproveitar ainda mais
Prévia do material em texto
AULA 3 AUDITORIA DE RISCOS Profª Cristiane Aparecida da Silva 2 INTRODUÇÃO O crescimento das corporações, a abertura de capital e a expansão dos mercados tornaram as atividades de auditoria cada vez mais importantes como fator de apoio à tomada de decisão de administradores e investidores. Com a expansão dos negócios, as empresas passaram a necessitar de uma estrutura interna mais forte, com normas e procedimentos internos para alinhar a prática empresarial, pois o administrador já não podia mais supervisionar pessoalmente as atividades da empresa. Ao longo do tempo, a auditoria interna tem passado por muitas transformações. Conforme Castanheira (2007), a atividade já passou por dois paradigmas, primeiro o enfoque na observação e na contabilização e, a partir da década de 1940, o foco no sistema de controles internos, encontrando-se hoje num terceiro, o desafio de alinhar a visão dos processos aos riscos do negócio, tornando-se, assim, mais eficaz. Desta forma, na sequência estudaremos o que são Auditorias de Conformidade Legal, Normativa e Financeira com o Risco, Normas de Gestão de Riscos e o Coso ERM. Para tanto, podemos analisar temas a seguir. TEMA 1 – AUDITORIAS DE CONFORMIDADE LEGAL, NORMATIVA E FINANCEIRA COM O RISCO No trabalho de Auditoria de Conformidade Legal, o auditor verifica o atendimento dos requisitos legais da sua organização, mostrando o que está conforme ou não conforme. Essas informações são essenciais para a tomada de decisão, processo de melhoria contínua e envolvimento da equipe, principalmente na criação e aplicação de planos de ações. Por isso, a Auditoria de Conformidade Legal é um quesito importante e obrigatório nas normas internacionais. 1.1 O que uma empresa ganha com a Auditoria de Conformidade Legal? Gerenciar seu Índice de Conformidade Legal traz informações importantes que possibilitam, inclusive, deslocar recursos e esforços em processos que geram 3 maiores riscos, em decorrência das não conformidades. Essa visualização é fundamental para decisões estratégicas da Alta Direção. Ainda mais se tiver relatórios 100% on-line, por meio do módulo de Auditoria. O serviço é interessante para empresas que querem gerir seus riscos (negociações empresariais, como incorporações, aquisição de empresas ou de terrenos) e evitar passivos ambientais, trabalhistas, em responsabilidade social e não conformidades de produtos, que podem gerar prejuízos financeiros, de imagem, operacionais etc. No trabalho de Auditoria de Conformidade Legal, o auditor verifica o atendimento dos requisitos legais da sua organização, mostrando o que está conforme ou não conforme. Essas informações são essenciais para a tomada de decisão, processo de melhoria contínua e envolvimento da equipe, principalmente na criação e aplicação de planos de ações. Por isso, a Auditoria de Conformidade Legal é um quesito importante e obrigatório nas normas internacionais, como ISO 9001, e ISO 45001. 1.2 Auditorias Financeiras com o Risco O controlo e avaliação de políticas e gestão de riscos financeiros aparecem, assim, como uma necessidade crescente tanto do ponto de vista de avaliação externa como no quadro das atribuições da auditoria interna. Em ambos os casos, e ainda que com objetivos e perspectivas diferenciadas, as duas principais áreas de atuação seriam: análise e avaliação quanto à forma como a empresa identifica e quantifica as naturezas e níveis de exposição aos diferentes riscos financeiros, nas dimensões financeira, econômica e transacional (Costa; Jesus, 2002). Análise e avaliação das estratégias de atuação, técnicas e instrumentos utilizados na gestão dos riscos financeiros. O desenvolvimento, tanto externo quanto interno, desse novo âmbito da função de auditoria contribuiria para uma maior visibilidade e explicitação das decisões nesse domínio dos gestores de topo e da forma como os responsáveis financeiros as concretizam. Como é natural, o desenvolvimento dessa função pressupõe um conjunto de requisitos que estão longe de adquiridos, tanto no seio das empresas objeto de análise quanto nas próprias empresas de auditoria (Costa; Jesus, 2002). Em primeiro lugar, e desde logo, é necessária a implementação interna de políticas e procedimentos que sirvam de referência e aferição da gestão de riscos realizada. Em segundo, e por se tratar de uma área de razoável complexidade técnica e operacional, na qual a investigação científica e experiência prática são 4 ainda relativamente limitadas, não há ainda uma base metodológica de procedimentos e standards que sirvam de orientação ao trabalho a desenvolver. Em terceiro, e em linha com o ponto anterior, trata -se de uma função que exige um grau de conhecimento técnico e de know-how muito especializado, pressupondo forte investimento em formação e especialização dos meios humanos envolvidos (Costa; Jesus, 2002). Figura 1 – Auditorias de conformidade legal Fonte: Apopartner, 2020. De acordo com a Figura 1, as auditorias de conformidade legal permitem aumentar o desempenho da organização, seja ao diminuir o impacto que tem para o ambiente, seja ao melhorar a segurança no trabalho dos colaboradores, uma vez que permite identificar as não conformidades e consequentemente transformar essas não conformidades em conformidades legais. Saiba mais O que é a Auditoria de Conformidade Legal, para que serve e por que fazer com consultores externos à organização: <https://www.youtube.com/watch?v=75WYHAnKLog>. 5 TEMA 2 – NORMA DE GESTÃO DE RISCO DA FERMA A Ferma (Federação das Associações Europeia de Gestão de Riscos) foi fundada em 1974 com o objetivo de coordenar as ações das associações nacionais de profissionais de gestão de risco a nível europeu, sendo considerada a principal instituição europeia dedicada às questões da gestão de risco. A Ferma é composta por 22 associações de gestão de risco em 21 países europeus, representando cerca de 4800 gerentes de risco ativos numa ampla gama de setores empresariais de grandes empresas industriais e comerciais para instituições financeiras e órgãos governamentais locais. O modelo proposto pela Ferma procurou utilizar a terminologia utilizada no Guide 73 Risk Management – Vocabulary – Guidelines for use in standards da International Organization for Standardization (ISO). Segundo a Ferma (2003), a gestão de risco e o processo de gestão de riscos protege e acrescenta valor à organização, permitindo ainda: • Criar uma estrutura que desenvolva a atividade futura e a desenvolva de forma consistente e controlada; • Melhorar a tomada de decisão, o planejamento e a definição de prioridades, interpretando a atividade de negócio, a volatilidade, as oportunidades e as ameaças; • Utilizar o capital e os recursos mais eficientemente; • Reduzir a volatilidade de áreas não essenciais do negócio; • Proteger os ativos e melhorar as imagens da entidade; • Desenvolver e ampliar o conhecimento dos colaboradores e da organização; • Otimizar a eficiência operacional. A ECIIA (Confederação Europeia dos Institutos de Auditoria Interna) e a Ferma, numa orientação conjunta sobre os comitês de Auditoria, criaram um grupo de trabalho conjunto para atualizar as orientações sobre a 8ª Diretiva do Direito das Sociedades da UE "Monitorizando a eficácia dos sistemas do controle interno, auditoria interna e gestão de risco sistemas de orientação para comitês de auditoria e auditoria" publicado em 2010. O novo documento Guia para comitê de auditoria: notícias da legislação e melhores práticas da UE está revisto como 6 a 8ª Diretiva de Direito das Sociedades e foi revista entre 2010 e 2014, a fim de mostrar a evolução das profissões e dos comitês de auditoria e de risco. Projetado para gerentes executivos e membros do conselho de gestão ou financeiro ou comitê, para empresasde tamanho grande e médio e autoridades públicas listadas, o guia atualizado fornece uma atualização importante sobre as tendências reguladoras de aumentar a transparência financeira e relatórios não financeiros. O impacto do futuro papel e as responsabilidades dos testes de auditoria e risco foram medidos e as melhores práticas foram fornecidas por meio de entrevistas a presidentes de auditoria e comitês de risco dos setores industrial e de serviços financeiros. Saiba mais Para saber mais sobre gestão dos riscos observando as sugestões do Ferma, leia o artigo a seguir: <http://sistema.semead.com.br/14semead/resultado/trabalhosPDF/455.pdf>. TEMA 3 – NORMA DE GESTÃO DE RISCOS AUSTRALIANA AS/NZS 4360 A Norma de Gestão de Riscos Australiana AS/NZS 4360 (2004) fornece um guia genérico para gerir riscos. Pode ser aplicado a uma ampla gama de atividades, decisões ou operações de qualquer empresa pública, privada ou comunitária, grupo ou indivíduo e em todas as etapas da vida de uma atividade, função, projeto, produto ou ativo. O benefício máximo geralmente é obtido aplicando o processo de gestão de risco desde o início. Muitas vezes, uma série de estudos discretos é realizada em diferentes momentos e de perspectivas estratégicas e operacionais. O processo descrito aqui se aplica à gestão de potenciais ganhos e perdas. O objetivo desse padrão é fornecer orientação para permitir que empresas, grupos e indivíduos públicos, privados ou comunitários consigam uma base mais confiável e rigorosa para a tomada de decisões e de planejamento, melhor identificação de oportunidades e ameaças e ganhar valor com a incerteza e a variabilidade. Essa norma foi elaborada pelo Comitê de Normas Conjuntas Austrália/Normas Nova Zelândia OB-007, Gestão de Riscos com uma revisão do AS/NZS 4360: 1999, Gestão de Riscos. Esta fornece um quadro genérico para estabelecer o contexto, identificar, analisar, avaliar, tratar, monitorizar e comunicar 7 os riscos. Essa norma revista incorpora os conhecimentos obtidos por meio da aplicação da edição de 1999 e o pensamento atual sobre gestão de riscos. Algumas das mudanças da edição de 1999 incluem maior ênfase na importância de incorporar práticas de gestão de risco na cultura e processos da organização, maior ênfase no gerenciamento de ganhos potenciais e perdas potenciais e mover e expandir exemplos indicativos para um novo manual. A comunicação e consulta são pontos importantes em cada passo do processo de gestão de riscos, elas devem envolver um diálogo com as partes interessadas. É importante desenvolver um plano de comunicação tanto para agentes internos quanto externos. Esse plano deverá abordar questões relativas ao próprio risco e ao processo. Estabelecer o contexto e definir os parâmetros básicos segundo os quais os riscos devem ser geridos e definir o âmbito de aplicação para o processo de gestão de riscos (Fernandes; Heinzmann; Wienhage, 2010). O contexto inclui a organização do ambiente interno e externo. Para iniciar uma atividade de gestão de riscos, é preciso compreender a organização, isso inclui: a cultura; stakeholders internos; estrutura; capacidades em termos de recursos, como as pessoas, sistemas, capital; metas, objetivos e as estratégias. Essa etapa de definição do contexto também envolve o ambiente externo no qual a organização opera e a relação entre a organização e seu ambiente externo (Fernandes; Heinzmann; Wienhage, 2010). É importante levar em conta as percepções e valores dos agentes externos e estabelecer políticas para comunicação com essas partes (Standards Australia, 2004). As estratégias, os objetivos e as metas, a abrangência e os parâmetros das atividades, as partes da organização em que o processo de gestão de risco será aplicado devem ser estabelecidas. No processo, deve ser considerado o equilíbrio entre custos, benefícios e oportunidades. As decisões sobre se é necessário uns tratamentos de gestão de riscos podem ser baseados em critérios operacionais, técnicos, financeiros, jurídicos, sociais, ambientais, humanitários e outros (Standards Australia, 2004, p. 15). Os critérios podem ser afetados pela percepção das partes interessadas e por requisitos legais ou regulamentadores. A definição para a estrutura do processo de gestão de risco depende da natureza dos riscos e da abrangência dos processos. Com a etapa da identificação dos riscos, procura-se identificar os riscos a serem gerenciados. 8 As abordagens utilizadas para identificar riscos incluem listas de verificação, fluxogramas, brainstorming, análise de sistemas, análise de cenários, técnicas e sistemas de engenharia (AS/NZS 4360, 2004, p. 16). Para identificar os riscos, é importante que seja usado um processo sistemático e estruturado. A identificação deve incluir todos os riscos, estando eles sob controle ou não da organização. A etapa da análise de riscos envolve a consideração de fontes de riscos, consequências positivas e negativas. Uma análise preliminar pode ser realizada a fim de que riscos semelhantes sejam combinados. Avaliação de riscos engloba a comparação do nível de risco 8, descobertos durante o processo de análise conforme critério estabelecido anteriormente. As conclusões de uma avaliação de risco, caso sejam detectados riscos, implicam em tomar ações adicionais para minimizar os impactos dos riscos e, se possível, eliminá-los. Tratar os riscos engloba analisar opções, avaliando-as e preparar planos de ações para tratar os riscos. Por sua vez, monitorar e rever são etapas fundamentais para o gerenciamento da gestão de riscos. A revisão garante a gestão de riscos, essa revisão deve ser contínua (Fernandes; Heinzmann, Wienhage, 2010). TEMA 4 – ISO 31000 A ISO (International Organizations for Standardization) foi fundada em 1947 e tem por objetivo a publicação/definição de standards internacionais. Essas normas abrangem diversos aspetos tecnológicos e de negócio que tornam a indústria mais eficiente e eficaz. A ISO já publicou mais de 19000 standards internacionais nas mais diversas áreas: segurança alimentar, saúde, linguagem de programação, agricultura, gestão de qualidade, entre outros. A publicação da ISO31000 teve como grande mais-valia a definição de conceitos que ajudam a resolver certos problemas que surgem nas organizações. Por exemplo, o processo de aplicação de modelos de gestão de risco está sujeito às diferentes interpretações que os colaboradores das empresas atribuem a conceitos como risco ou nível de risco. Deste modo, e para minimizar a subjetividade ligada aos processos de aplicação de um modelo de gestão de risco, a ISO desenvolveu: • Um vocabulário para a gestão de risco (ISO Guide 73:2009); • Critérios de performance/avaliação dos modelos de gestão; 9 • Um processo abrangente de identificação, análise, avaliação e de tratamento de riscos; • Um guia de implementação e integração de um sistema de gestão de risco num sistema de gestão. A implementação de sistemas de gestão de risco pressupõe que todos os intervenientes partilhem a mesma definição/noção dos conceitos utilizados. Desta forma, e de modo a facilitar essa mesma implementação, a ISO elaborou um conjunto de definições (ISO Guide 73:2009) para o vocabulário utilizado na gestão de risco (Grant Purdy, 2010). O uso do ISO 31000 pode ajudar as organizações a aumentar a probabilidade de alcançar objetivos, melhorar a identificação de oportunidades e ameaças e efetivamente alocar e usar recursos para tratamento de risco. No entanto, o ISO 31000 não pode ser usado para fins de certificação, mas fornece orientação para programas de auditoria interna ou externa. As organizações que o utilizam podem comparar suas práticas de gestão de risco com um benchmark internacionalmente reconhecido, fornecendo princípios sólidos para gestão efetiva e governaçãocorporativa. A ISO 31000 é uma norma internacional que serve como referência para qualquer norma existente sobre a gestão de riscos. Essa norma fornece diretrizes para que as organizações possam implementar a gestão de risco, independentemente do segmento de atuação, área e até mesmo o tamanho da empresa. 10 Saiba mais Você quer saber um pouco mais sobre a análise comparativa entre as normas ABNT NBR ISO 9001:2015 e a ABNT NBR ISO 31000:2009? Então, leia o artigo a seguir: “A análise comparativa entre as Normas ABNT NBR ISO 9001:2015 e a ABNT NBR ISO 31000:2009: a mentalidade de riscos nos sistemas de gestão da qualidade nos sistemas de gestão da qualidade”. Disponível em: <http://www.revistasg.uff.br/index.php/sg/article/view/1430>. TEMA 5 – O COSO ERM O Coso (Committee of Sponsoring Organizations of the Treadway Commission) é uma organização privada criada em 1985 nos Estados Unidos. Inicialmente criada como National Commission on Fraudulent Financial Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros), também conhecida como Treadway Commission, denominação herdada do sobrenome do seu vice-presidente e ex-membro da SEC – Securities and Exchange Commission – James C. Treadway. Essa comissão foi patrocinada por cinco grandes associações dos Estados Unidos ligadas para a área financeira e contabilística, sendo totalmente independente dos seus patrocinadores: • AICPA – American Institute of Certified Public Accounts (Instituto Americano de Contabilistas Públicos Certificados); • AAA – American Accounting Association (Associação Americana de Contabilistas); • FEI – Financial Executives Internacional (Executivos Financeiros Internacionais); • IIA – The Insititute of Internal Auditors (Instituto dos Auditores Internos); • IMA – Institute of Management Accountants (Instituto dos Contabilistas de Gestão). Segundo o relatório Coso (1992), os administradores, desde quando procuram melhores maneiras de controlar as empresas que gerem, implementam os controles internos de forma a permitir que a entidade atinja os seus objetivos, minimizando as “surpresas”. Os controles internos permitem à gestão lidar com 11 as frequentes mudanças e alterações na economia, bem como com o crescente ambiente competitivo e interesses dos consumidores. Os controles internos promovem a eficiência, reduzem os riscos e ajudam a assegurar a confiabilidade do reporte financeiro e conformidade com leis e regulamentos. Em 1992, o Coso publicaria o documento Internal Control – Integrated Framework (Controlos Internos – Um Modelo Integrado), também conhecido como The Coso Report, tornando-se referência mundial para o estudo e aplicação dos controlos internos. O significado de controlo interno difere de pessoa para pessoa, o que pode resultar em confusão para os empresários, legisladores, reguladores e outros, o que pode levar a falhas de comunicação e criação de falsas expectativas e, consequentemente, problemas para as entidades. Para resolver esse problema, o relatório Coso (1992) define controle interno como um processo, da responsabilidade do Conselho de Administração, da Gestão Executiva e restante pessoal da entidade, estabelecido com vista a proporcionar uma garantia razoável da consecução dos seguintes objetivos da organização: • Eficácia e eficiência das operações; • Fiabilidade do reporte financeiro; • Conformidade com as normas e regulamentos aplicáveis. Segundo o relatório Coso (1992), o controle interno consiste em cinco componentes inter-relacionados. Essas componentes advêm da forma como a gestão gere o negócio e estão integradas no processo de gestão. Embora esses componentes se apliquem a todas as entidades, pequenas e médias empresas podem aplicá-las de maneira diferente das grandes empresas, porém, os seus controles, embora menos estruturados, podem ser eficazes. Esses componentes são: • Supervisão (monitoring): processo de avaliação da qualidade do sistema de controle interno e de se ele está adequado no seu desenho e é efetivo na sua execução. • Informação e comunicação: processo que garante que toda a informação relevante é identificada, recolhida e comunicada de forma atempada. 12 • Atividades de controlo: processo por meio do qual políticas, procedimentos e práticas específicas são implementadas para atender a cada objetivo de controle, de forma a mitigar os riscos identificados no processo de avaliação de risco. • Avaliação de risco: esse processo envolve identificação, análise e documentação pela gestão de quais os riscos relevantes ou que poderão comprometer a consecução dos objetivos fixados para a empresa. • Ambiente de controle: o ambiente de controle está relacionado com a cultura da empresa e a forma como está lida com o controle interno. Inclui conceitos como liderança, competência, recompensas e estilo de gestão, que derivam essencialmente do posicionamento da gestão de topo e seus executivos (soft controls). Esses componentes articulam-se entre si, formando um sistema integrado que reage dinamicamente a mutáveis condições. Conforme o relatório Coso (1992), existe uma relação direta entre as três categorias de objetivos e os componentes. Todos os componentes são importantes para cada categoria de objetivo. Olhando, por exemplo, para a primeira categoria, todos os cinco componentes têm que estar presentes e funcionar efetivamente, de modo a se concluir que os controles internos sobre as operações são efetivos. Essa relação é apresentada graficamente no relatório sob a forma de um cubo, denominado cubo de Coso. 5.1 Metodologia do COSO ERM Em 2001, foi publicado o Enterprise Risk Management – Integrated Framework (Documento de Gerenciamento de Risco Empresarial – Estrutura Integrada) intitulado Coso II, ou Coso ERM (Rhoden et al, 2019). Esse novo modelo preserva a estrutura integrada, explorando os controles internos mais progressivamente no que se refere ao gerenciamento de risco de uma organização. A premissa subjacente da gerência de risco empresarial é definida como um processo efetuado e aplicado na empresa, disposto a projetar e identificar os eventos potenciais que possam comprometer a entidade, acompanhando e controlando os riscos em busca de uma garantia razoável da realização dos objetivos da entidade (Coso, 2004). 13 Figura 1 – Cubo Coso II Fonte: Coso, 2004. O Coso ERM, por meio da metodologia proposta pelo framework, busca alinhar os objetivos de uma organização (estratégicos, operacionais, de comunicação e de conformidade) às ações que são necessárias ao seu alcance, representadas pelos componentes do gerenciamento de riscos corporativos: ambiente interno; fixação de objetivos; identificação de eventos; avaliação de riscos; resposta aos riscos; atividades de controle; informação e comunicação; e monitoramento (Araújo, 2014). O gerenciamento de riscos corporativos é constituído por oito componentes inter-relacionados, sendo eles: 1. Internal Environment (ambiente interno); 2. Objective Setting (definição dos objetivos); 3. Event Indetification (identificação de eventos); 4. Risk Assessment (avaliação de risco); 5. Risk Response (resposta ao risco); 6. Control Activities (atividades de controle); 7. Information and Communication (informação e comunicação); 8. Monitoring (monitoramento). Além dos oito componentes, ele tem quatro categorias de objetivos. É uma expansão do Coso – Internal Control Integrated Framework – publicada em 1992 e alterada em 1994. Conforme a Figura 1, originam-se com base na maneira como a administração gerencia a organização e que se integram ao processo de gestão (Coso, 2007). As quatro categorias de objetivos são: 14 1. Estratégia – Metas de alto nível, alinhadas e apoiando a missão da organização; 2. Operações – Utilização eficaze eficiente dos recursos; 3. Relatórios financeiros – Confiabilidade das informações operacionais e financeiras; 4. Compliance – O cumprimento das leis e regulamentos aplicáveis. ERM também pode ser descrito como uma abordagem baseada no risco para a gestão de uma empresa, integrando conceitos de controle interno, a Lei Sarbanes-Oxley, e planejamento estratégico. 5.2 Lei Sarbanes-Oxley As fraudes financeiras norte-americanas e as europeias podem ter sido consequência da complexidade de divulgação das demonstrações contábeis, fruto do rápido crescimento do número de aquisições e fusões externas, com finalidade de se apresentar bem perante o mercado de capitais (Neto et al., 2006, p. 1). Para Gelatti e Meneghetti (2010), nos últimos anos, em várias partes do mundo, temos exemplos de empresas que manipulavam informações contábeis, existindo desde a ausência de transparência nas informações contábeis às condutas antiéticas. Neste cenário de incredibilidade no mercado, a decisão do congresso americano passa a acatar a implementação de uma nova lei: a Lei Sarbanes- Oxley, com aceitação unânime. Como qualquer lei, a Sarbanes-Oxley foi proclamada com a função de proteger os direitos da maioria, sendo constituída de normas e regras a serem seguidas por todos, possuindo ainda as penalidades para quem não se adaptar (Figueiredo, 2009). Em 30 de julho de 2002, o presidente dos Estados Unidos da América, Geoge W. Bush, aprovou a Lei Sarbanes-Oxley, com a intenção de reconstruir a confiança pública nas empresas e realçar a necessidade da ética na confecção das informações financeiras voltada aos investidores (Gelatti, Meneghetti, 2010). Carmona (2010) afirma que a lei apresentou novas regras de governança corporativa e estabeleceu a obrigação de diversas práticas, entre elas, o Comitê de Auditoria, que trouxe uma série de normas de responsabilidades aos administradores com o foco de proibir práticas lesivas e que demonstre às entidades grandes níveis de riscos. 15 Saiba mais Lei Sarbanes Oxley: <https://www.youtube.com/watch?v=2fqNcmam2nE>. FINALIZANDO A auditoria é uma especialização contábil com o objetivo de testar a eficiência e eficácia do controle patrimonial utilizado com a finalidade de emitir uma opinião sobre determinada informação. Rosário (2010) afirma que o surgimento da auditoria, de fato, acontece quando a economia estava em ascensão devido à revolução industrial e o capitalismo. As empresas para aquisição de crédito disponibilizam seus demonstrativos contábeis aos agentes financeiros para que seja feita uma análise da situação econômica, no intuito da avaliação do possível risco de perda do crédito ofertado, evidenciando um retorno futuro. Com base no que foi apresentado até aqui, podemos ver como a auditoria de risco é fundamental para o alcance dos objetivos da organização. Vimos também que gerenciar seu Índice de Conformidade Legal traz informações importantes que possibilitam, inclusive, deslocar recursos e esforços em processos que geram maiores riscos, em decorrência das não conformidades. Essa visualização é fundamental para decisões estratégicas da Alta Direção. No entanto, esperamos que a aula tenha contribuído para o entendimento geral do processo que envolve a auditoria de risco. 16 REFERÊNCIAS ARAÚJO, J. G. R. Controle interno na perspectiva do framework COSO ERM: um estudo na Universidade Federal da Paraíba. 2014. 113 f. Monografia (Especialização) – Curso de Ciências Contábeis, Universidade Federal do Rio Grande do Norte, 2014. COSO – Committee of Sponsoring Organizations of the Treadway Commission. Enterprise Risk Management: Integrated Framework. 2004. Disponível em: <www.coso.org/documents/coso_erm_executivesummary.pdf>. Acesso em: 7 mar. 2020. COSO – Committee of Sponsoring Organizations of the Treadway Commission. Enterprise Risk Management: Integrated Framework. 2007. Disponível em: <www.coso.org/documents/coso_erm_executivesummary.pdf>. Acesso em: 7 mar. 2020. COSTA, A. G., JESUS, S. C. M. D. Revelação e auditoria dos riscos financeiros: uma perspectiva de gestão. Revista Portuguesa e Brasileira de Gestão, 1(1), p. 24-28. 2002. FERNANDES, F. C., HEINZMANN, L. M., WIENHAGE, P. Controles internos: comparativo entre estruturas padrão. Seminário de Administração, p. 15, 2010. FIGUEIREDO, P. G. A. Petrobras: governança, controles internos, SOX e caminhos de integração com o gerenciamento de riscos empresariais, 2007. GELATTI, C. B.; MENEGHETTI, D. Análise da adequação das empresas brasileira à Lei Sarbanes – Oxley. Revista Brasileira de Contabilidade, Brasília, v. 186, p. 69 -83, dez. 2010. RHODEN, J. T. et al. Modelo COSO ERM na Avaliação de Sistemas de Controles Internos: Análise em uma indústria de concreto e cerâmica do Vale do Caí/RS. Pensamento & Realidade, 34(2), p. 43-63, 2019.
Compartilhar