Controle interno

Prévia do material em texto

DESCRIÇÃO
Discussão dos fundamentos de gerenciamento de riscos corporativos, do gerenciamento de
controles internos e dos riscos de uma auditoria.
PROPÓSITO
Compreender os aspectos históricos relativos à percepção da relevância do tratamento de
riscos nas organizações, assim como as principais referências de gerenciamento de riscos,
como, por exemplo, uma abordagem adotada nos procedimentos de auditoria, e de controles
internos.
OBJETIVOS
MÓDULO 1
Descrever a retrospectiva histórica de questões relativas à construção do conhecimento em
gerenciamento de riscos e controles internos, assim como os principais referenciais de
mercado
MÓDULO 2
Selecionar as principais características do referencial COSO 2017 integrado à estratégia e ao
desempenho da organização, além de seus respectivos componentes e princípios
direcionadores
MÓDULO 3
Identificar as principais características do referencial COSO 2013, assim como seus
respectivos componentes e princípios direcionadores
MÓDULO 4
Descrever os riscos de uma auditoria
INTRODUÇÃO
 
Imagem: Pedro Hikaru
Vejamos como está estruturado o nosso estudo:
1
Inicialmente, faremos uma visita às origens históricas das questões que embasam o
gerenciamento de riscos. Para isso, apresentaremos os principais referenciais que abordam o
gerenciamento de riscos e o de controles internos. Também abordaremos o modelo de três
linhas desenvolvido pelo Institute of Internal Auditors (Instituto dos Auditores Internos.) (IIA).
2
Na abordagem do gerenciamento de riscos proposto pelo COSO (sigla americana de
Committee of Sponsoring Organizations of the Treadway Commission (Comitê das
Organizações Patrocinadoras.) ), compreenderemos a relação existente entre o gerenciamento
de riscos corporativos, a estratégia de uma organização e o seu desempenho. Veremos que o
COSO 2107 é estruturado em componentes e princípios que apoiam a estruturação de um
sistema de gerenciamento de riscos integrado à estratégia e ao desempenho de uma
organização.
Quanto aos controles internos, descreveremos o COSO 2013, que trata do gerenciamento de
controles internos, os quais, por sua vez, são mecanismos de controle de atividades para evitar
impactos negativos no alcance de objetivos operacionais, de conformidade e de divulgação. De
forma similar ao COSO 2017, ele também é estruturado em componentes e princípios a serem
apresentados de forma mais detalhada.
3
Em seguida, listaremos os riscos existentes nos procedimentos de auditoria. Nessa linha,
apontaremos as situações que impactam na probabilidade de riscos de uma auditoria.
4
Por fim, destacaremos os quatro conceitos de risco (de distorção relevante, inerente, de
controle e de detecção), assim como demais procedimentos que colaboram para a coleta de
evidências em procedimentos de auditoria.
MÓDULO 1
 Descrever a retrospectiva histórica de questões relativas à construção do
conhecimento em gerenciamento de riscos e controles internos, assim como os
principais referenciais de mercado
 
Imagem: Pedro Hikaru
ORIGEM HISTÓRICA
O gerenciamento de riscos permeia a atuação da humanidade desde os seus primórdios. A
compreensão de suas origens históricas e de sua evolução é útil para um melhor conhecimento
e aplicação dessa área de conhecimento.
Gerenciar riscos é uma consequência da reação do ser humano às forças externas do
ambiente em que vive. Essas forças, afinal, podem ser benéficas ou não contribuírem para a
sua sobrevivência.
 
Imagem: Shutterstock.com
Ao compreendermos os marcos iniciais dos riscos, teremos referenciais que nos ajudarão a
elucidar os melhores caminhos a serem percorridos no futuro. Essa compreensão aplica-se
não somente às grandes questões da humanidade, mas também às organizações.
A concepção de prevenção é decorrente da evolução da racionalidade humana ao ter de lidar
com questões que instigam sua capacidade de adaptação para reconhecer e enfrentar riscos.
 
Imagem: Shutterstock.com
O êxito do ser humano – a partir do seu ancestral homo sapiens – em relação aos demais
hominídeos deu-se em função de sua adaptabilidade aos diferentes ambientes receptivos ou
agressivos. Ela, aliás, também é contemplada pela seleção genética que auxilia na evolução
das espécies.
Constata-se que ele deixou de entender que o risco é uma consequência de fenômenos da
natureza ou de seres superiores que possam controlar o planeta Terra, vendo-o apenas como
uma ocorrência que pode ser dominada para melhor sobrevivência. Ao transpormos este
patamar, tivemos a oportunidade de alavancar o sistema econômico da sociedade.
 
Imagem: Shutterstock.com
 EXEMPLO
Um dos vestígios mais antigos que trata da preocupação com o risco pode ser constatado em
um papiro egípcio que descreve os cuidados que o trabalhador à época deveria ter com o uso
de vestimentas para proteger seus braços. Eles, afinal, eram uma fonte de obtenção de
alimentos nas atividades agrícolas.
Com a evolução natural ocorrida, o homem passou a atuar em atividades de pastoreio e
confecção de artefatos pessoais, culminando na Revolução Industrial, época em que a
prevenção de riscos pôde mostrar sua relevância em razão dos diversos acidentes ocorridos
nas linhas de produção.
Faremos uma breve cronologia da forma como o risco vem sendo tratado ao longo da história:
 
Imagem: Simanta Talukdar/Shutterstock.com
SÉCULO XIII A.C.
Ocorreram as primeiras indenizações em razão de inundações de propriedades e de roubos
patrimoniais.
 
Imagem: Shutterstock.com
SÉCULO XVII
Criação do seguro de incêndios na Inglaterra como forma de tratamento de risco.
 
Imagem: Shutterstock.com
1870
Com o advento da Revolução Industrial, iniciaram-se as tentativas de prevenção de acidentes,
que passaram a ocorrer frequentemente, por meio de melhorias dos equipamentos de proteção
e das instalações industriais.
 
Imagem: Shutterstock.com
1921
Frank Knight (1885-1972) lança uma publicação que trata de riscos, incertezas e lucros.
javascript:void(0)
 
Imagem: Shutterstock.com
1939-1945
A capacidade industrial foi considerada um ponto nevrálgico para que uma nação pudesse ser
vencedora na Segunda Guerra Mundial. Por essa razão, a segurança do trabalho, por
intermédio de ações de prevenção, passou a ser a tônica da época.
 
Imagem: Shutterstock.com
1952
Harry Markowitz demonstrou, por meio de métodos estatísticos, que colocar todos os ovos em
uma cesta oferece um risco maior do que atuar de forma diversificada.
 
Imagem: Shutterstock.com
1963
Robert Meher e Bob Hedges lançam no mercado uma publicação que tratava do
gerenciamento de riscos nas organizações.
 
Imagem: Shutterstock.com
DÉCADA DE 1970
A teoria da probabilidade desenvolvida no século XVII passa a ser aplicada como método
quantitativo de gerenciamento de riscos nas áreas de saúde, mercado financeiro e seguros.
 
Capa de um exemplar da revista Fortune. Imagem: Fortune / Time Inc.© / Time Warner Inc.©
1975
É lançada a revista americana Fortune, publicação que aborda a revolução decorrente do
gerenciamento de riscos. Ela definia uma forma de gerenciar riscos na organização que
dependesse da atuação da alta administração.
 
Imagem: Shutterstock.com
1992
Cria-se, nos Estados Unidos, um guia pioneiro no gerenciamento dos controles internos de
uma organização pelo comitê COSO. Já na Inglaterra, o Comitê Cadbury define que a alta
administração precisa definir, assegurar e monitorar o gerenciamento de riscos na organização.
 
Imagem: Shutterstock.com
1996
Peter Bernstein enfatiza que a abordagem de riscos baseada em métodos quantitativos é
relevante; todavia, ele frisa que a necessidade de uma abordagem holística na organização
também deve ser ressaltada.
 
Imagem: Paul Rand / Wikimedia commons / Domínio público
2001
A empresa americana Enron atua de forma fraudulenta em operações contábeis e financeiras
com apresentações de balanços patrimoniais falsos e lucros irreais.
 
Imagem: Shutterstock.com
2002
A atuaçãoda Enron precipitou a aprovação da Lei Sarbanes-Oxley, que instituiu mecanismos
de governança que pudessem reduzir a ocorrência de fraudes.
 
Imagem: Shutterstock.com
2004
O Comitê COSO publica o Guia de gerenciamento de riscos corporativos.
 
Imagem: NBR ISO 31000. Imagem: Associação Brasileira de Normas Técnicas©.
2009
É publicada a Norma Técnica ISO 31000, que define os princípios e as diretrizes do
gerenciamento de riscos aplicáveis a qualquer tipo de organização.
 
Imagem: Shutterstock.com
2013
O Comitê COSO atualiza seu guia de controles internos.
 
Imagem: Shutterstock.com
2017
Lançado em 2004, o Guia de gerenciamento de riscos corporativos do Comitê COSO é
atualizado com a incorporação da estratégia e da mensuração de desempenho à sua estrutura.
FRANK KNIGHT
Tornou-se referência mundial na área por definir as bases conceituais do gerenciamento
de riscos.
PRINCIPAIS REFERENCIAIS DE
GERENCIAMENTO DE RISCOS E
CONTROLES INTERNOS
No vídeo a seguir, o professor Pedro Hikaru Oishi comenta sobre os principais referenciais de
gerenciamento de riscos e controles internos. Vamos assistir!
O gerenciamento de riscos e controles internos nas organizações coopera para a aquisição dos
seguintes benefícios:

Maior alcance de resultados estratégicos.
Maior desempenho organizacional.


Maior eficácia em projetos.
Maior eficiência nos processos de trabalho.


Redução do gerenciamento de crises.
Maior percepção de valor aos clientes.

Esse gerenciamento nas organizações pode ser estruturado a partir de vários referenciais
existentes no mercado. Apresentaremos, de forma simplificada, aqueles desenvolvidos pelo
COSO e pela IIA:
 
Imagem: Pedro Hikaru
 Referenciais de gerenciamento de riscos e controles internos.
COSO
Criado em 1985, o COSO é um comitê norte-americano sem fins lucrativos para implementar
mecanismos de controle e monitoramento de relatórios financeiros. Sua criação foi decorrente
do grande número de fraudes contábeis e financeiras ocorridas em anos anteriores.
Nessa linha de trabalho, ele é formado por cinco organizações do setor privado que se
dedicam a liderar iniciativas relativas ao gerenciamento de riscos corporativos, ao controle
interno e à dissuasão de fraudes por conta do desenvolvimento de frameworks (estruturas de
trabalho) e recomendações.
Em sua atuação, o COSO disponibiliza os seguintes referenciais para serem utilizados pelas
organizações:
Controle interno – estrutura integrada (COSO 2013)

Gerenciamento de riscos corporativos integrados à estratégia e ao desempenho (COSO 2017)
O gerenciamento de riscos nas organizações em todo o mundo emprega intensivamente o
conhecimento consolidado por essa organização, que alcançou um grau maior de maturidade
de suas propostas utilizadas para combater as diversas fraudes contábeis e financeiras
ocorridas nas últimas décadas.
Suas práticas, recomendações e guias são amplamente adotadas pelas organizações públicas
ou privadas, além de constituírem a base de pesquisas acadêmicas.
IIA
Ele é uma associação internacional de profissionais da área de auditoria interna que visa
prover condições profissionais e disseminar conhecimentos para os seus associados.
Seu espectro de atuação contempla as áreas de:
 
Imagem: Shutterstock.com
AUDITORIA INTERNA
 
Imagem: Shutterstock.com
GERENCIAMENTO DE RISCOS
 
Imagem: Shutterstock.com
GOVERNANÇA
 
Imagem: Shutterstock.com
CONTROLE INTERNO
 
Imagem: Shutterstock.com
AUDITORIA DE TI
 
Imagem: Shutterstock.com
EDUCAÇÃO
 
Imagem: Shutterstock.com
SEGURANÇA
COSO 2013 – CONTROLE INTERNO –
ESTRUTURA INTEGRADA
O controle interno, na definição do COSO , significa “um processo conduzido pela estrutura de
governança, administração e outros profissionais da entidade, desenvolvido para proporcionar
segurança razoável com respeito à realização dos objetivos relacionados a operações,
divulgação e conformidade”.
Esse controle apresenta as seguintes características:
1
Possui processo dinâmico e interativo.
Perpassa toda a organização.
2
3
O controle interno deve estar integrado às funções administrativas (planejar, organizar,
direcionar e controlar).
Não é um processo com um fim em si próprio, servindo para garantir uma razoável segurança
para a entrega de valor.
4
5
Ele é implementado pela estrutura de governança e pela alta administração.
É customizável para todos os níveis organizacionais.
6
Observemos a estrutura do COSO 2013:
 
Imagem: COSO 2013
 Estrutura do COSO 2013.
Pode-se inferir que os objetivos organizacionais operacionais, de divulgação e de conformidade
são controlados e monitorados pelo ambiente de controle, pela avaliação de riscos, pela
atividade de controle, pela informação e comunicação e pela atividade de monitoramento em
todos os níveis hierárquicos da organização.
COSO 2017 – GERENCIAMENTO DE RISCOS
CORPORATIVOS INTEGRADOS À
ESTRATÉGIA E AO DESEMPENHO
Precisamos ressaltar a relevância da integração do gerenciamento de riscos corporativos no
processo de planejamento estratégico em todos os níveis organizacionais. Os riscos, afinal,
influenciam a estratégia e o desempenho da organização – e por eles também são
influenciados.
Apresentaremos a seguir suas principais características:
 
Imagem: Shutterstock.com
Reformulação radical em relação ao COSO 2004.
 
Imagem: Shutterstock.com
Foco na criação e preservação de valor.
 
Imagem: Shutterstock.com
Tomada de decisões baseada em riscos.
 
Imagem: Shutterstock.com
Plano estratégico formulado de acordo com os riscos.
 
Imagem: Shutterstock.com
Sustentabilidade das ações.
 
Imagem: Shutterstock.com
Integração de gerenciamento de riscos, estratégia e desempenho da organização.
 
Imagem: Shutterstock.com
Estruturado em 5 componentes e 20 princípios.
A estrutura básica do COSO 2017 está representada na figura a seguir:
 
Imagem: COSO 2017
 Estrutura do COSO 2017.
 COMENTÁRIO
Nessa estrutura, constata-se que o gerenciamento de riscos, segundo a versão editada pelo
COSO em 2017, é fortemente integrado à estratégia da organização e à melhoria de
desempenho.
Essa estrutura é baseada nos seguintes componentes:
 
Imagem: Shutterstock.com
GOVERNANÇA E CULTURA
 
Imagem: Shutterstock.com
ESTRATÉGIA E DEFINIÇÃO DE OBJETIVOS
 
Imagem: Shutterstock.com
DESEMPENHO
 
Imagem: Shutterstock.com
ANÁLISE E REVISÃO
 
Imagem: Shutterstock.com
INFORMAÇÃO, COMUNICAÇÃO E DIVULGAÇÃO
Teremos a oportunidade de conhecer maiores detalhes desta estrutura em outro módulo.
MODELO DE TRÊS LINHAS
De acordo com o IIA, o modelo de três linhas ajuda as organizações a identificar estruturas e
processos que auxiliam da melhor maneira no atingimento dos objetivos e facilitam uma forte
governança e um gerenciamento de riscos.
Esse modelo é baseado em seis princípios que cooperam para uma estrutura de governança
eficaz. As três linhas referem-se às funções do órgão de governança, da gestão e da auditoria
interna.
Nesse contexto, veremos agora os papéis desempenhados pela 1ª, 2ª e 3ª linha:
 
Imagem: Modelo do IIA
 Modelo de três linhas.
 SAIBA MAIS
Ele era conhecido originalmente como modelo de três linhas de defesa. Após passar por uma
reestruturação em 2020, passou a ser chamado somente de modelo de três linhas.
Esse modelo contempla as seguintes características:

Abordagem proativa em relação ao modelo anterior de “defesa”.
Maior independência da auditoria interna (reporta-se ao órgão de governança).


Definição mais clara dos papéis e das responsabilidades, assim como dos relacionamentos
entre eles.
Foco nas necessidades e expectativas dos clientes e na geração de valor.


Modelo baseado em princípios alinhados aos objetivos organizacionais.
O modelo de três linhas contempla seis princípios:
GOVERNANÇA
Uma organização deve comportar processos e estruturas organizacionais que facilitem a
prestação de contas, as ações de gestão para a facilitação do alcancede objetivos e as
atividades de avaliação e assessoria realizadas por uma auditoria independente.
PAPÉIS DO ÓRGÃO DE GOVERNANÇA
O órgão de governança da organização precisa assegurar a existência de estruturas e
processos organizacionais atuantes para a maior eficácia de sua governança.
Sua atuação também deve contribuir para que as ações estejam de acordo com as
expectativas das partes interessadas, além de oferecer condições para que os objetivos
organizacionais sejam alcançados, estando em conformidade com as normativas. Para uma
maior confiabilidade na gestão, esse princípio supervisiona a atuação da auditoria
independente.
GESTÃO E OS PAPÉIS DA PRIMEIRA E SEGUNDA
LINHAS
A gestão atua para efetuar tanto o gerenciamento de riscos (1ª linha), focado na entrega de
produtos e serviços, quanto o de riscos corporativos (2ª linha), que trata dos riscos que
impactam no alcance de objetivos organizacionais.
PAPÉIS DA TERCEIRA LINHA
A auditoria interna precisa ter condições para atuar em atividades de avaliação e assessoria
em relação à governança e ao gerenciamento de riscos.
A INDEPENDÊNCIA DA TERCEIRA LINHA
A auditoria interna deve atuar de forma independente na organização com base na prestação
de contas e no acesso incondicional às informações dela.
CRIANDO E PROTEGENDO VALOR
Todas as partes interessadas da organização têm de ser pautadas para a criação de valor por
intermédio de trabalho colaborativo e comunicação.
VERIFICANDO O APRENDIZADO
1. O CONTROLE INTERNO É UM PROCESSO CONDUZIDO PELA ESTRUTURA DE
GOVERNANÇA. COMPLETE O TEXTO A SEGUIR: “VISA PROPORCIONAR SEGURANÇA
RAZOÁVEL COM RESPEITO À REALIZAÇÃO DOS ____ RELACIONADOS A ____,
DIVULGAÇÃO E ____”.
A) Parâmetros, eficácia, efetividade.
B) Projetos, conformidade, autenticidade.
C) Objetivos, operações, conformidade.
D) Controles, comunicação, confiabilidade.
E) Instrumentos, sustentabilidade, governança.
2. OS RISCOS INFLUENCIAM A ESTRATÉGIA E O DESEMPENHO DA ORGANIZAÇÃO,
SENDO POR ELES TAMBÉM INFLUENCIADOS. APONTE A ALTERNATIVA CORRETA.
A) Os riscos dependem da produtividade das estruturas de governança.
B) O COSO 2017 é integrado à estratégia.
C) O COSO 2017 é uma atualização do COSO 2013.
D) Uma organização que apresenta riscos não é uma organização confiável.
E) Os riscos são decorrentes de processos organizacionais descalibrados.
GABARITO
1. O controle interno é um processo conduzido pela estrutura de governança. Complete
o texto a seguir: “Visa proporcionar segurança razoável com respeito à realização dos
____ relacionados a ____, divulgação e ____”.
A alternativa "C " está correta.
O controle interno, na definição do COSO 2013, busca proporcionar uma segurança razoável
no que diz respeito à realização dos objetivos relacionados às operações, à divulgação e à
conformidade.
2. Os riscos influenciam a estratégia e o desempenho da organização, sendo por eles
também influenciados. Aponte a alternativa correta.
A alternativa "B " está correta.
O diferencial do COSO 2017 em relação à sua versão anterior é a integração dele à estratégia
da organização.
MÓDULO 2
 Selecionar as principais características do referencial COSO 2017 integrado à
estratégia e ao desempenho da organização, além de seus respectivos componentes e
princípios direcionadores
 
Imagem: Pedro Hikaru
ESTRATÉGIA DA ORGANIZAÇÃO E O
GERENCIAMENTO DE RISCOS
Desenvolvida pelo COSO em 2017, a última versão da estrutura de trabalho referente aos
riscos corporativos foi denominada “gerenciamento dos riscos corporativos – integrado à
estratégia e ao desempenho”.
 COMENTÁRIO
Para simplificarmos o emprego dessa terminologia, adotaremos neste tema a expressão
“COSO 2017” quando falarmos dessa estrutura.
O gerenciamento de riscos corporativos tem sua relevância ao cooperar para a:
Criação de valor decorrente da aceitação de riscos considerados razoáveis

Eliminação ou tratamento de riscos que possam acarretar a destruição de valor
 
Imagem: Pedro Hikaru
 Valor na organização.
Até o lançamento dessa estrutura, esse gerenciamento contemplava apenas a identificação e o
tratamento de riscos que tivessem um impacto no alcance da estratégia; contudo, os projetos e
os processos organizacionais destruíam valor pelo fato de nem sempre estarem alinhados à
missão e à visão da organização.
Na estrutura do COSO 2017, o risco, em todos os níveis organizacionais, é levado em
consideração na formulação de:
Estratégia
Alinhamento à missão, à visão e aos valores organizacionais
Mensuração do desempenho
Essa atualização teve o objetivo de atender às seguintes demandas:
 
Imagem: Shutterstock.com
Ressaltar a relevância do gerenciamento de riscos na formulação da estratégia.
 
Imagem: Shutterstock.com
Promover o alinhamento desse gerenciamento no desempenho da organização.
 
Imagem: Shutterstock.com
Atender às demandas de transparência e prestação de contas às partes interessadas.
 
Imagem: Shutterstock.com
Alinhar a tecnologia de informação às necessidades de informações para a tomada de
decisões.
 COMENTÁRIO
Deve-se ressaltar que o gerenciamento de riscos não é uma função específica ou uma área
funcional dentro da organização. Trata-se, na verdade, de um conjunto de boas práticas,
cultura organizacional e competências que contribuem, de acordo com o apetite aos riscos com
monitoramento do desempenho, para a definição e a execução da estratégia e dos objetivos
organizacionais.
Contemplando a estratégia, os objetivos organizacionais, os riscos e o desempenho, a
estrutura do COSO 2017 está representada na figura a seguir:
 
Imagem: COSO 2017
 Estrutura do COSO 2017.
O gerenciamento de riscos corporativos pode trazer os seguintes benefícios para a
organização:

Ampliação do leque de oportunidades em função da identificação e da priorização de riscos
positivos.
Visão sistêmica do gerenciamento de riscos, o que coopera para a melhoria do desempenho.


Incremento de resultados positivos a partir da identificação e do tratamento de riscos negativos.
Desempenho organizacional previsível, sem sobressaltos na produtividade e na qualidade de
produtos e serviços.


Aplicação eficiente de recursos.
Maior adaptabilidade da organização aos cenários adversos.

ESTRATÉGIA, RISCOS, VALOR E
DESEMPENHO
No vídeo a seguir, o professor Pedro Hikaru Oishi apresenta a relação entre estratégia, riscos,
valor e desempenho. Vamos assistir!
Na abordagem do COSO 2017, o gerenciamento de riscos corporativos é integrado à definição
da estratégia, a qual, por sua vez, colabora para a definição de objetivos organizacionais. Com
base nesses objetivos, são estruturados os projetos e os processos organizacionais que devem
entregar valor ao cliente da organização.
Para garantir a sustentabilidade dessas ações, é necessário monitorar o desempenho e a
execução da estratégia com base nos riscos identificados, os quais, em seguida, passam a
compor o portfólio de riscos.
A operacionalização do COSO 2017 é baseada nos componentes e nos princípios
apresentados abaixo:
Componente Princípios
Governança e cultura
- Fiscalização de riscos corporativos pelo órgão de
governança
- Definição de unidades organizacionais
- Definição da cultura da organização
- Comprometimento com valores fundamentais
Estratégia e definição de
objetivos
- Análise contextuai da organização em relação aos
riscos
- Definição do apetite aos riscos
- Avaliação de alternativas de estratégias
- Definição de objetivos organizacionais
Desempenho - Identificação de riscos
- Análise da gravidade dos riscos
- Priorização de Riscos
- Implementação de respostas aos riscos
- Desenvolvimento de Portfolio de Riscos
Análise e revisão
- Avaliação de mudanças significativas
- Revisão de riscos e desempenho
- Busca de melhorias no gerenciamento de riscos
corporativos
Informações, comunicação e
divulgação
- Estímulo à utilização de informações por meio da
tecnologia
- Comunicação dos riscos à informação
- Comunicaçãode riscos, da cultura organizacional
e do desempenho
 Atenção! Para visualização completa da tabela utilize a rolagem horizontal
Quadro: Componentes e princípios do COSO 2017.
Extraído de COSO 2017.
GOVERNANÇA E CULTURA
Nesse componente, a governança e a cultura se destacam como dois relevantes pilares que
contribuem para a definição de responsabilidades no gerenciamento de riscos e de valores
éticos e comportamentais desejáveis para a compreensão dos riscos em toda a organização.
Esse componente é baseado nos seguintes princípios:
 
Imagem: Shutterstock.com
FISCALIZAÇÃO DE RISCOS CORPORATIVOS PELO
ÓRGÃO DE GOVERNANÇA
O órgão de governança da organização tem de monitorar a definição da estratégia e de seus
riscos inerentes no alcance de seus objetivos organizacionais para servir como suporte aos
gestores.
 
Imagem: Shutterstock.com
DEFINIÇÃO DE UNIDADES ORGANIZACIONAIS
A organização deve estruturar as unidades organizacionais que operam para o alcance da
estratégia e dos objetivos organizacionais.
 
Imagem: Shutterstock.com
DEFINIÇÃO DA CULTURA DA ORGANIZAÇÃO
A organização tem a incumbência de definir o perfil comportamental e ético que caracteriza
suas especificidades.
 
Imagem: Shutterstock.com
COMPROMETIMENTO COM VALORES FUNDAMENTAIS
Deve-se expressar de forma clara os valores que precisam permear uma organização.
 
Imagem: Shutterstock.com
GESTÃO POR COMPETÊNCIA ALINHADA COM A
ESTRATÉGIA E OS OBJETIVOS ORGANIZACIONAIS
Em busca de maior valor agregado, a organização deve se comprometer a atrair e desenvolver
pessoas que possam alinhar-se à estratégia e aos objetivos organizacionais dela.
ESTRATÉGIA E DEFINIÇÃO DE OBJETIVOS
Para uma maior entrega de valor, o gerenciamento de riscos corporativos deve ser integrado à
estratégia e à definição de objetivos organizacionais no processo de formulação do plano
estratégico da organização.
Nesse contexto, o apetite aos riscos, isto é, o nível aceitável de tolerância a eles, é definido
com a estratégia, a qual, por sua vez, direciona essa definição dos objetivos que
retroalimentam a avaliação e a resposta aos riscos.
Para que a estratégia e a definição de objetivos sejam estruturadas de forma eficaz, os
seguintes princípios precisam ser observados:
ANÁLISE CONTEXTUAL DA ORGANIZAÇÃO EM
RELAÇÃO AOS RISCOS
A organização tem de analisar os riscos que compõem sua área de atuação para a construção
do mapa de gerenciamento de riscos corporativos.
DEFINIÇÃO DO APETITE AOS RISCOS
Para a criação e a preservação de valor, deve-se analisar os riscos a fim de definir um nível
aceitável deles que a organização se propõe a tolerar.
AVALIAÇÃO DE ALTERNATIVAS DE ESTRATÉGIAS
Avaliam-se as possíveis alternativas de formulação das estratégias de acordo com o apetite
aos riscos da organização.
DEFINIÇÃO DE OBJETIVOS ORGANIZACIONAIS
A partir da definição de estratégia baseada no apetite aos riscos, a organização parte para a
definição de objetivos organizacionais, que, aliás, devem atuar em todos os níveis.
DESEMPENHO
Na abordagem do COSO 2017 o gerenciamento de riscos corporativos é integrado ao
desempenho organizacional. Nesse sentido, todas as ações desenvolvidas devem estar
conectadas ao apetite aos riscos.
Por essa razão, o desempenho se apoia nos seguintes princípios:

IDENTIFICAÇÃO DE RISCOS
São identificados aqueles que podem impactar no desempenho da organização quanto à
estratégia e aos objetivos organizacionais dela.
ANÁLISE DA GRAVIDADE DOS RISCOS
É analisada a gravidade dos riscos que atingem a execução da estratégia e a eficácia de
processos no alcance dos objetivos organizacionais.


PRIORIZAÇÃO DE RISCOS
Com base no apetite aos riscos, a organização prioriza aqueles que ela considera aceitáveis
para a criação ou a preservação de valor.
IMPLEMENTAÇÃO DE RESPOSTAS AOS RISCOS
Uma vez definidos os riscos aceitáveis, são estruturadas formas de tratamento dos riscos
priorizados.


DESENVOLVIMENTO DE PORTFÓLIO DE RISCOS
Com os riscos priorizados pela organização, assim como suas respectivas formas de
tratamento, desenvolve-se um portfólio de risco. Ele deve ser avaliado continuamente para a
preservação e a criação de valor.
ANÁLISE E REVISÃO
A análise do desempenho permite que a organização avalie os componentes do gerenciamento
de riscos corporativos a fim de que, quando requeridas, sejam promovidas mudanças de curso.
Para estruturar a análise e a revisão, os princípios dispostos a seguir devem ser seguidos:
 
Imagem: Shutterstock.com
AVALIAÇÃO DE MUDANÇAS SIGNIFICATIVAS
Consiste na identificação de mudanças que impactam de forma significativa a estratégia e o
alcance de objetivos organizacionais.
 
Imagem: Shutterstock.com
REVISÃO DE RISCOS E DESEMPENHO
O desempenho da organização e os riscos que passaram a ser incorporados ao portfólio de
riscos têm de ser constantemente monitorados, assim como a possibilidade de aparecimento
de novos riscos.
 
Imagem: Shutterstock.com
BUSCA DE MELHORIAS NO GERENCIAMENTO DE
RISCOS CORPORATIVOS
Integrado à estratégia e ao desempenho da organização, o gerenciamento de riscos deve ser
tratado como um processo de trabalho contínuo que, de acordo com os cenários interno e
externo, requer aprimoramentos.
INFORMAÇÕES, COMUNICAÇÃO E
DIVULGAÇÃO
O gerenciamento de riscos corporativos precisa ter como base de interação entre as partes
interessadas a geração de informações, a comunicação por meio de diversos canais e a
divulgação das citadas informações.
Para que as três sejam viáveis, devem ser considerados, em conformidade com as
recomendações do COSO 2017, estes princípios:
Estímulo à utilização de informações por meio da tecnologia
O gerenciamento de riscos corporativos é afetado de forma positiva pela ampla utilização da
tecnologia nas diversas etapas de gestão da informação dentro da organização.
Comunicação dos riscos à informação
Todos os riscos que podem impactar na transparência ou na legitimidade das informações têm
de ser comunicados às partes interessadas.
Comunicação de riscos, da cultura organizacional e do desempenho
A organização deve, em todos os níveis organizacionais, comunicar regularmente às partes
interessadas informações relativas aos riscos, à cultura organizacional e ao desempenho.
TENDÊNCIAS DO GERENCIAMENTO DE
RISCOS CORPORATIVOS
Em função do cenário de alta competitividade entre as organizações, o que implica uma
adaptabilidade aos diversos fatores dos cenários interno e externo, o gerenciamento de riscos
não pode prescindir das inovações proporcionadas por boas práticas de governança e gestão e
dos recursos oferecidos pela tecnologia de informação.
Nesse compasso, quatro tendências devem ser avaliadas quanto à conveniência de uma
integração aos princípios desse gerenciamento:
 
Imagem: Shutterstock.com
Aumento exponencial das informações
As informações disponíveis para todos os usuários de serviços de informação crescem de
forma exponencial a cada ano.
As organizações devem se adaptar a essa realidade; do contrário, elas estão sob o risco de
sucumbir por falta de informações que possam subsidiar a formulação de estratégias e
objetivos organizacionais.
 
Imagem: Shutterstock.com
Aplicação da inteligência artificial em diversas áreas de conhecimento
A inteligência artificial deixou de ser um conhecimento específico utilizado em métodos
quantitativos para ser utilizada em todas as áreas de conhecimento. Sua taxa de erros já é
menor do que a de ações efetuadas por um ser humano.
Exemplo: A partir de uma vasta quantidade de informações, os algoritmos de inteligência
artificial podem efetuar inferências quanto à melhor maneira de se efetivar o tratamento de
riscos organizacionais.
 
Imagem: Shutterstock.com
Gerenciamento de custos dos riscos organizacionais
Com a crescente utilização do gerenciamento de riscos para a maximização na criação de
valor e na redução de sua destruição, o de custos organizacionais acaba encontrando pontos
de intersecção como custo daquele que é aplicado aos riscos.
Exemplo: Uma organização pode, de forma mais assertiva, mensurar os benefícios
decorrentes da implementação de estruturas de trabalho que deem tratamento aos riscos
organizacionais.
 
Imagem: Shutterstock.com
Fortalecimento das organizações em cenários adversos
A alta competitividade existente entre as organizações, que caminham por uma trilha pautada
pela necessidade de maior eficiência e eficácia dos processos organizacionais, enseja um
cenário de maior resiliência delas.
Exemplo: Isso pode ser proporcionado por um gerenciamento de riscos integrado à estratégia
e ao desempenho.
VERIFICANDO O APRENDIZADO
1. A GOVERNANÇA E A CULTURA SÃO DOIS RELEVANTES PILARES QUE
CONTRIBUEM PARA A DEFINIÇÃO DE RESPONSABILIDADES NO GERENCIAMENTO DE
RISCOS E DE VALORES ÉTICOS E COMPORTAMENTAIS DESEJÁVEIS PARA A
COMPREENSÃO DOS RISCOS EM TODA A ORGANIZAÇÃO. INDIQUE UM PRINCÍPIO
QUE INTEGRA ESSE COMPONENTE DO COSO 2017.
A) Independência de gestores.
B) Definição da cultura da organização.
C) Estruturas organizacionais eficazes.
D) Avaliação da produtividade da organização.
E) Produtividade por demanda.
2. “O GERENCIAMENTO DE RISCOS CORPORATIVOS DEVE TER COMO BASE DE
INTERAÇÃO ENTRE AS PARTES INTERESSADAS A GERAÇÃO DE INFORMAÇÕES,
COMUNICAÇÃO POR MEIO DE DIVERSOS CANAIS E A DIVULGAÇÃO DAS CITADAS
INFORMAÇÕES.” APONTE A ALTERNATIVA QUE REPRESENTA UM PRINCÍPIO
RELACIONADO COM A FRASE APRESENTADA.
A) Informação de riscos sob controle.
B) A comunicação é o canal de informação.
C) Tecnologia da comunicação para todos.
D) Sustentabilidade de comunicação.
E) Comunicação de riscos, da cultura organizacional e do desempenho.
GABARITO
1. A governança e a cultura são dois relevantes pilares que contribuem para a definição
de responsabilidades no gerenciamento de riscos e de valores éticos e comportamentais
desejáveis para a compreensão dos riscos em toda a organização. Indique um princípio
que integra esse componente do COSO 2017.
A alternativa "B " está correta.
A definição da cultura de organização é um dos princípios deste componente do COSO 2017:
“governança e cultura”.
2. “O gerenciamento de riscos corporativos deve ter como base de interação entre as
partes interessadas a geração de informações, comunicação por meio de diversos
canais e a divulgação das citadas informações.” Aponte a alternativa que representa um
princípio relacionado com a frase apresentada.
A alternativa "E " está correta.
A comunicação de riscos, da cultura organizacional e do desempenho é um dos princípios do
componente “informações, comunicação e divulgação”.
MÓDULO 3
 Identificar as principais características do referencial COSO 2013, assim como seus
respectivos componentes e princípios direcionadores
 
Imagem: Pedro Hikaru
GESTÃO DA ORGANIZAÇÃO E CONTROLE
INTERNO
Uma organização, para atender à sua missão e à sua visão, tem de estabelecer, por meio de
projetos e processos organizacionais, objetivos alinhados à sua estratégia, a qual, por sua vez,
define as diretrizes que precisam pautar a atuação da organização no atendimento aos
princípios de:
EFICIÊNCIA
EFICÁCIA
EFETIVIDADE
ECONOMICIDADE
Nessa busca de aprimoramento, devem ser definidos os objetivos organizacionais que
cooperam para a operacionalização de ações alinhadas estrategicamente. Na estrutura do
COSO 2013, eles podem ser classificados em três categorias:
OBJETIVOS OPERACIONAIS
Referem-se à eficácia e à eficiência dos processos organizacionais.
OBJETIVOS DE DIVULGAÇÃO
Tratam de objetivos que visam promover a prestação de contas e a transparência das ações da
organização.
OBJETIVOS DE CONFORMIDADE
A conformidade relaciona-se com a aderência da organização às normas, oriundas da
legislação vigente, de órgãos de regulamentação ou de origem interna.
De acordo com o COSO 2013, o controle interno é caracterizado como um processo conduzido
pela estrutura de governança, administração e outros profissionais da entidade, sendo
desenvolvido para proporcionar uma segurança razoável na realização de objetivos
relacionados às operações, à divulgação e à conformidade.
javascript:void(0)
javascript:void(0)
javascript:void(0)
Esse controle atua na estruturação para identificar e avaliar os riscos; no entanto, o tratamento
efetivo é de responsabilidade de gestores e funcionários das áreas específicas da organização.
Nas situações em que o controle interno é implementado em sua integralidade, a organização
consegue colher os seguintes benefícios:
 
Imagem: Shutterstock.com
Divulgação de informações legítimas e confiáveis para a tomada de decisões.
 
Imagem: Shutterstock.com
Maior eficiência operacional dos processos organizacionais.
 
Imagem: Shutterstock.com
Processamento e transparência de informações em todos os níveis da organização.
 
Imagem: Shutterstock.com
Foco em riscos que ultrapassam os limites de tolerância definidos por ela.
Apesar dos esforços empreendidos pelo controle interno, devemos ressaltar que o espectro
de sua atuação é limitado por depender dos seguintes fatores:
1
Definição de objetivos organizacionais adequados à realidade da organização.
Falha humana na tomada de decisões.
2
3
Possibilidade de a administração ou a força de trabalho não adotar os mecanismos de controle.
Veremos que a estrutura do COSO 2013 contempla objetivos organizacionais, componentes e
diversos níveis hierárquicos dentro de uma organização:
 
Imagem: COSO 2013
 Estrutura do COSO 2013.
Na estrutura apresentada, temos as três faces do cubo representando:
OS OBJETIVOS ORGANIZACIONAIS
OS COMPONENTES DO CONTROLE INTERNO
OS DIVERSOS NÍVEIS HIERÁRQUICOS DA
ORGANIZAÇÃO
 COMENTÁRIO
Com base na primeira figura do nosso estudo, pode-se concluir que os objetivos
organizacionais operacionais, de divulgação e de conformidade são controlados e monitorados
pelo ambiente de controle, pela avaliação de riscos, pela atividade de controle, pela informação
e comunicação e pela atividade de monitoramento em todos os níveis hierárquicos da
organização.
Para que o controle interno seja operacionalizado de forma eficaz, é necessária a atuação de
cinco componentes:
 
Imagem: Shutterstock.com
AMBIENTE DE CONTROLE
 
Imagem: Shutterstock.com
AVALIAÇÃO DE RISCOS
 
Imagem: Shutterstock.com
ATIVIDADE DE CONTROLE
 
Imagem: Shutterstock.com
INFORMAÇÃO E COMUNICAÇÃO
 
Imagem: Shutterstock.com
ATIVIDADE DE MONITORAMENTO
Esses componentes são direcionados de acordo com princípios específicos. Eles, por sua vez,
desdobram-se em outros 17 princípios:
Componente Princípios
Ambiente de
controle
- Comprometimento da organização com a ética.
- Unidades organizacionais e profissionais de governança atuam
de forma independente e monitoram o controle interno.
- As estruturas organizacionais são definidas para alcance dos
objetivos, com apoio da estrutura de governança.
- Comprometimento na gestão por competências, no alcance de
objetivos.
- Comprometimento de atuação no controle interno, no alcance de
objetivos.
Avaliação de
riscos
- Definição clara de objetivos organizacionais para identificação e
tratamento de riscos.
- Identificação e análise de riscos em toda organização para
definição da forma de tratamento destes riscos.
- Percepção de fraude na avaliação de riscos.
- Identificação e avaliação de ocorrências que impactem no
sistema de controle interno.
Atividades de
controle
- Operacionalização de atividades de controle para níveis
aceitáveis de riscos.
- Desenvolvimento de atividades de controle de tecnologia para
alcance dos objetivos organizacionais.
- Estabelecimento de diretrizes e processos para atividades de
controle.
Informação e
comunicação
- Obtenção e utilização de informações de qualidade para suporte
do controle interno.
- Divulgação de informações de apoio ao controle interno.
- Prestação de contas para o público externo acerca de questões
que impactam no controle interno.
Atividade de
monitoramento
-Avaliação contínua e independente do controle interno.
- Comunicação de falhas ou deficiências no controle interno aos
responsáveis, ou quando for o caso, à alta administração e à
estrutura de governança.
 Atenção! Para visualização completa da tabela utilize a rolagem horizontal
Quadro: Componentes e princípios do COSO 2013.
Elaborado por Pedro Hikaru.
AMBIENTE DE CONTROLE
O ambiente de controle refere-se aos processos e às estruturas organizacionais atuantes de
acordo com as normas definidas para a operacionalização do controle interno. Devem ser
definidas regras de negócios do controle interno em todos os processos nos níveis
hierárquicos.
O ambiente de controle do COSO 2013 é baseado nos seguintes princípios:
Comprometimento da organização com a ética.
Unidades organizacionais e profissionais de governança atuam de forma independente e
monitoram o controle interno.
As estruturas organizacionais são definidas para o alcance dos objetivos, contando com o
apoio da estrutura de governança.
Há um comprometimento na gestão por competências para o alcance de objetivos.
Existe um comprometimento de atuação no controle interno para o alcance de objetivos.
O ambiente de controle está intimamente ligado aos valores éticos, à integridade de atuação e
às competências das pessoas na condução de atividades que não estão ligadas diretamente à
entrega de produtos e serviços. Ele busca validar o comprometimento da organização em
todos os seus níveis com os seus objetivos.
O AVALIAÇÃO DE RISCOS
No vídeo a seguir, o professor Pedro Hikaru Oishi fala sobre a avaliação de riscos. Vamos
assistir!
Uma organização, em suas atividades de gestão, passa por eventos de riscos que podem
impactar no alcance de resultados. Para que sejam tomadas medidas de tratamento de tais
eventos de forma tempestiva, é necessário que o processo de avaliação de riscos transcorra
de forma dinâmica em relação à ocorrência de um evento com potencial para prejudicar o
alcance de objetivos organizacionais.
OBJETIVOS ORGANIZACIONAIS
javascript:void(0)
Precisam estar definidos em uma etapa anterior à da identificação e do tratamento de
riscos.
Para que a avaliação de riscos seja realizada de maneira satisfatória, devem ser atendidos os
seguintes princípios:
 
Imagem: Shutterstock.com
Definição clara de objetivos organizacionais para a identificação e o tratamento de riscos.
 
Imagem: Shutterstock.com
Identificação e análise de riscos em toda a organização para a definição da forma de
tratamento deles.
 
Imagem: Shutterstock.com
Percepção de fraude na avaliação deles.
 
Imagem: Shutterstock.com
Identificação e avaliação de ocorrências que impactem no sistema de controle interno.
Para que a avaliação de riscos contribua para o controle interno, ela precisa estar inserida de
forma alinhada aos objetivos organizacionais, situação em que pode contribuir para a redução
de impactos negativos.
Deve-se compreender que a avaliação de riscos ocorre em função de duas principais variáveis:
PROBABILIDADE DE OCORRÊNCIA
Com base em métodos quantitativos ou até mesmo empíricos, pode-se analisar a
probabilidade da ocorrência de um risco capaz de impactar no alcance de objetivos
organizacionais.
IMPACTO DE OCORRÊNCIA
A ocorrência de um evento de risco na execução de um processo pode trazer um pequeno ou
grande impacto no alcance de objetivos organizacionais.
Já a criticidade corresponde ao produto matemático da probabilidade de ocorrência e do seu
impacto. A partir da criticidade do risco, uma organização precisa efetivar sua avaliação para
fins de identificação de riscos e respectivas formas de tratamento.
De acordo com o risco identificado, ela pode adotar uma destas formas de tratamento:
javascript:void(0)
javascript:void(0)
 
Imagem: Shutterstock.com
ACEITAR
Não é executada nenhuma ação de tratamento de riscos. A organização entende que o risco é
aceitável e não traz grande impacto para determinado processo de trabalho.
 
Imagem: Shutterstock.com
EVITAR
O processo organizacional que implica riscos organizacionais é suprimido da organização.
Essa medida, apesar de suprimir o risco, pode impedir, por exemplo, que ela implemente
iniciativas de inovação ou melhorias.
 
Imagem: Shutterstock.com
REDUZIR
Essa forma de tratamento refere-se à redução do impacto ou da probabilidade de ocorrência do
risco. Tal abordagem está vinculada a tratativas específicas para cada situação de risco.
 
Imagem: Shutterstock.com
COMPARTILHAR
A redução do impacto ou da probabilidade de ocorrência do risco pode ocorrer por meio da
transferência dele para terceiros. Um exemplo clássico é a contratação de seguros.
ATIVIDADES DE CONTROLE
As atividades de controle são criadas para o tratamento dos riscos que possam gerar um
impacto no alcance de objetivos organizacionais. Sua implementação é efetuada em todos os
níveis hierárquicos da organização com base em normas e políticas definidas.
Esse componente pode contemplar a adoção das seguintes atividades:
Segregação de funções
Verificações de atividades
Implementação de instâncias de autorizações
Plano de continuidade de negócios
Definição de indicadores e metas de desempenho
Controles físicos
No bojo das atividades de controle, estão dispostos os seguintes princípios:
 
Imagem: Shutterstock.com
Operacionalização de atividades de controle para níveis aceitáveis de riscos.
javascript:void(0)
 
Imagem: Shutterstock.com
Desenvolvimento de atividades de controle de tecnologia para o alcance dos objetivos
organizacionais.
 
Imagem: Shutterstock.com
Estabelecimento de diretrizes e processos para essas atividades.
Usualmente, as atividades de controle não são implementadas quando a organização opta por
aceitar ou evitar determinado risco. A situação será diversa quando ela preferir reduzir ou
compartilhá-lo: tais atividades, conforme seu nível aceitável de riscos, deverão se fazer
presentes.
Na implementação dessas atividades, são analisadas as seguintes questões:
javascript:void(0)
javascript:void(0)
 
Imagem: Shutterstock.com
COMPLETUDE
Verificação da extensão de execução dos processos organizacionais.
 
Imagem: Shutterstock.com
EXATIDÃO
Análise da eficácia do processo organizacional.
 
Imagem: Shutterstock.com
VALIDADE
Verificação da efetividade do processo organizacional.
INFORMAÇÃO E COMUNICAÇÃO
A organização atua por meio de comunicações internas e externas que devem contribuir para o
alcance de objetivos. As informações devem ser legítimas e de qualidade para que possam ser
divulgadas pelo processo de comunicação. A geração e a divulgação delas, por fim, precisam
ser garantidas por ela na operacionalização do controle interno.
Esse componente segue os seguintes princípios:
1
Obtenção e utilização de informações de qualidade para o suporte do controle interno.
Divulgação de informações de apoio ao controle interno.
2
3
Prestação de contas para o público externo acerca de questões que impactam no controle
interno.
Já a qualidade das informações é assegurada a partir do cumprimento dos seguintes
requisitos:
Acessíveis às partes interessadas.
Confiáveis e atuais.
Asseguradas por boas práticas de segurança da informação.
Legítimas e apoiadas em formas de verificação.
Quanto ao método de comunicação, é preciso observar os seguintes pontos:
Cuidados no tom de voz e na comunicação não verbal existente em uma verbal.
Diferenças culturais, étnicas, sociais e econômicas, entre outras, podem influenciar na
recepção de mensagens enviadas. Deve-se assegurar que tais diferenças não contribuem para
o erro de interpretação da mensagem.
Avaliação da conveniência de métodos formais ou informais de acordo com o público-alvo.
Diante do retrospecto histórico de fraudes contábeis e financeiras ocorridas em todo o mundo,
as organizações passaram a ser mais demandadas para uma atuação mais transparente na
prestação de contas. Essa mudança de postura colaborou para o aprimoramento do processode criação e comunicação das informações na administração pública e na iniciativa privada.
 SAIBA MAIS
Propostas de referenciais de governança do Tribunal de Contas da União e do Instituto
Brasileiro de Governança Corporativa fortaleceram o processo de comunicação das
organizações com o público externo.
ATIVIDADES DE MONITORAMENTO
Para que os cinco componentes do controle interno estejam em operação da forma planejada,
devem ser executadas atividades de monitoramento para a correção de rumos, o
cancelamento ou a substituição de atividades.
Essas atividades podem ser realizadas de forma contínua, durante a execução da atividade, ou
por uma avaliação independente, que é conduzida por auditorias internas e externas.
Nas atividades de monitoramento, são respeitados os seguintes princípios:
Avaliação contínua e independente do controle interno

Comunicação de falhas ou deficiências nesse controle aos responsáveis ou, quando for o caso,
à alta administração e à estrutura de governança
VERIFICANDO O APRENDIZADO
1. COMPLETE O TEXTO A SEGUIR: “UMA ____, PARA ATENDER À SUA ____ POR MEIO
DE PROJETOS E PROCESSOS ORGANIZACIONAIS, DEVE ESTABELECER OBJETIVOS
ALINHADOS À SUA ____”.
A) Diretoria, programação, necessidade.
B) Avaliação, contabilidade, conformidade.
C) Organização, missão e visão, estratégia.
D) Estratégia, conformidade, ambição.
E) Assessoria, sustentabilidade, competência.
2. OS TRÊS CUBOS DO COSO 2013 REPRESENTAM AS SEGUINTES VARIÁVEIS:
A) Objetivos organizacionais, componentes e níveis hierárquicos da organização.
B) Eficácia, eficiência e efetividade.
C) Estratégia, processos e projetos.
D) Projetos, processos e indicadores.
E) Processos, indicadores e metas.
GABARITO
1. Complete o texto a seguir: “Uma ____, para atender à sua ____ por meio de projetos e
processos organizacionais, deve estabelecer objetivos alinhados à sua ____”.
A alternativa "C " está correta.
O alinhamento dos objetivos à estratégia por meio de projetos e processos atende à missão e à
visão de uma organização.
2. Os três cubos do COSO 2013 representam as seguintes variáveis:
A alternativa "A " está correta.
As três faces do cubo representam, de acordo com o COSO 2013, os objetivos
organizacionais, os componentes e os níveis hierárquicos da organização.
MÓDULO 4
 Descrever os riscos de uma auditoria
 
Imagem: Pedro Hikaru
RISCOS DE AUDITORIA
Deve-se diferenciar preliminarmente a auditoria de riscos na organização, cujo objeto está
alinhado com sua forma de gerenciamento, dos riscos de auditoria, que dizem respeito aos de
uma auditoria gerar opiniões que não retratam as distorções de informações financeiras e
contábeis, as quais, aliás, também podem conter fraudes e erros acima do aceitável.
O risco de auditoria está presente em todas as etapas de planejamento, execução e
apresentação de resultados de uma delas. Ele constitui a probabilidade de existências de
falhas ou erros que não são detectados durante uma auditoria.
O risco de auditoria é uma função dos riscos:
INERENTES
DE CONTROLE
DE DETECÇÃO
Os três serão detalhados nos próximos tópicos.
No exercício de suas atividades, o auditor tem de estipular o grau de certeza que deve ser
alcançado para que, dependendo do caso de uma auditoria interna ou externa, seja possível
emitir uma recomendação ou uma opinião. Sua valoração é altamente subjetiva, razão pela
qual isso pode ensejar diversas interpretações.
 
Imagem: Shutterstock.com
 EXEMPLO
O auditor pode querer 90% de certeza de seus achados. Neste caso, incorre-se em 10% de
risco de auditoria.
Comumente, aceita-se o valor de 5% de riscos. Como eles podem ser gerados dentro ou fora
da organização, o auditor precisa identificá-los e avaliá-los para uma maior eficácia da
auditoria.
O risco de auditoria pode ser decorrente de nove fatores:
 
Imagem: Shutterstock.com
ÁREA DE ATUAÇÃO
A área de atuação em que a organização está inserida contribui para um nível mais baixo ou
mais alto de auditoria.
Exemplo: uma área com alto grau de maturidade contribui para um nível mais baixo;
entretanto, uma área de atuação nova no mercado, com alta sensibilidade a fatores externos,
pode ensejar um risco mais alto.
 
Imagem: Shutterstock.com
FILOSOFIA DE GESTÃO
Quanto mais conservadora a gestão de uma organização, maior a probabilidade de riscos de
auditoria mais baixos, isto é, uma organização focada em uma gestão mais agressiva pode
implicar riscos mais altos.
 
Imagem: Shutterstock.com
CONTROLES INTERNOS
Uma organização provida de um sistema de controles internos pode cooperar para um nível
mais baixo de riscos em detrimento de outra que não adota tais controles em suas operações
financeiras e contábeis.
 
Imagem: Shutterstock.com
HISTÓRICO DE AUDITORIAS ANTERIORES
A inexistência de um histórico ou de uma opinião com ressalvas pode contribuir para riscos
mais altos, porém opiniões limpas com poucos ajustes podem trazer riscos mais baixos.
 
Imagem: Shutterstock.com
ROTATIVIDADE DE DIREÇÃO
Uma alta rotatividade de direção pode significar a não continuidade de uma gestão, gerando
riscos mais altos. De forma contrária, a continuidade dela pode contribuir para que eles sejam
mais baixos.
 
Imagem: Shutterstock.com
LITIGIOSIDADE COM FUNCIONÁRIOS E OUTRAS
ORGANIZAÇÕES
Uma maior litigiosidade pode significar uma gestão mais conturbada e com o potencial de
apresentar riscos altos de auditoria. No entanto, se ela for baixa, poderá trazer como
consequência riscos menores.
 
Imagem: Shutterstock.com
REPUTAÇÃO DOS GESTORES
Uma organização cujos gestores preocupados estão com sua reputação pode ter como fruto
direto uma preocupação com boas práticas de gestão e, consequentemente, baixos riscos. Já
aqueles que não se preocupam com sua reputação podem não ter a mesma atenção com ela
e, com isso, acarretar riscos altos de auditoria.
 
Imagem: Shutterstock.com
COMPREENSÃO DO PAPEL DA AUDITORIA
Uma compreensão do papel da auditoria traz em seu bojo um melhor preparo dos gestores, o
que implicitamente pode cooperar para a melhor geração de relatórios com um menor índice de
falhas e erros e um baixo risco de auditoria.
Já nos casos de pouco conhecimento ou desconhecimento, os riscos passam a ser mais altos.
 
Imagem: Shutterstock.com
CONFLITO DE INTERESSES
O conflito de interesses dos gestores de uma organização contribui para um quadro de riscos
maiores que uma situação demarcada pela ausência de conflitos, o que, por si só, já implica
riscos mais baixos.
TIPOS DE RISCOS ENVOLVIDOS NA
AUDITORIA
No vídeo a seguir, o professor Pedro Hikaru Oishi comenta sobre os tipos de riscos envolvidos
na auditoria. Vamos assistir!
PROCESSO DE AUDITORIA
Ele pode ser afetado pelos seguintes tipos de riscos:
RISCO DE DISTORÇÃO RELEVANTE
Presentes nas demonstrações contábeis anteriores ao processo de auditoria, eles se
encontram presentes nos registros contábeis. Esse tipo de risco é decorrente de dois riscos: o
inerente e de controle.
RISCO INERENTE
Ele é vinculado à própria natureza da conta: quanto maior for a complexidade de sua natureza
para fins de interpretação, maior será o risco inerente.
Exemplo: um cálculo mais complexo de uma conta tem um risco inerente maior que um
simples.
RISCO DE CONTROLE
O risco de controle refere-se ao grau de eficácia dos controles definidos para determinada
operação. É o risco que pode ocorrer, mesmo com a existência do controle interno. Quanto
maior o controle, menor o risco dele.
RISCO DE DETECÇÃO
Refere-se ao risco de o auditor não detectar distorções existentes.
Exemplo: trata-se do procedimento de reduzir os riscos de uma auditoria não conseguir
detectar uma distorção relevante, individual ou conjugada com outras distorções.
RELAÇÃO ENTRE OS RISCOS
Veremos agora a relação entre os riscos inerentes, de controle, de detecção e de auditoria:
 
Imagem: Pedro Hikaru
 Relação entre os riscos.
MATERIALIDADE
Os riscos são mensurados em função da:
Materialidade a serdefinida pelo auditor de acordo com as circunstâncias particulares e
específicas de cada organização na seleção de assuntos

Extensão e natureza das distorções
A materialidade pode variar conforme a auditoria e ter aspectos qualitativos além dos
quantitativos. Sua definição depende da percepção do auditor em relação às informações de
ordem financeira dos usuários das demonstrações contábeis.
A materialidade e os riscos devem ser analisados de forma proporcional inversa, isto é, quanto
maiores os riscos, menor a materialidade. Segundo a mesma lógica, podemos dizer que,
quanto menores eles forem, maior ela será.
 ATENÇÃO
Os riscos de auditoria podem ser mantidos em um nível aceitável baixo, mas eles nunca
poderão ser zerados; afinal, todo trabalho implica a existência deles.
PROCEDIMENTOS DE AVALIAÇÃO DE
RISCOS
De acordo com a norma NBC TA 315 (R1) do Conselho Federal de Contabilidade, os
procedimentos de avaliação de riscos são o conjunto de procedimentos utilizados para
identificar e avaliar os riscos de uma distorção relevante nas demonstrações contábeis e nas
afirmações.
 
Imagem: Norma MBC TA 315 (R1)
 Procedimentos de avaliação de riscos.
Esses procedimentos são os primeiros a serem executados pelo auditor no processo de
auditoria. Falaremos a seguir sobre três deles:
INDAGAÇÕES À ADMINISTRAÇÃO
javascript:void(0)
Referem-se aos procedimentos de indagação às pessoas que disponham de informações que
possam ajudar na identificação de riscos relevantes por fraude ou erro.
PROCEDIMENTOS ANALÍTICOS
Tratam daqueles referentes à avaliação da relação entre dados financeiros e não financeiros.
Essa correlação pode elucidar questões esclarecedoras no processo de auditoria.
OBSERVAÇÃO E INSPEÇÃO
Coletam-se dados da organização e do seu ambiente para dar suporte às indagações feitas à
administração.
 EXEMPLO
Para subsidiar a avaliação de riscos, o auditor pode utilizar procedimentos substantivos ou
testes de controles. Ambos também podem ser usados de forma combinada para sua maior
eficácia.
PROCEDIMENTO SUBSTANTIVO
De acordo com a norma NBC TA 330(R1) do Conselho Federal de Contabilidade, o
procedimento substantivo é o procedimento de auditoria planejado para detectar distorções
relevantes no nível de afirmações.
javascript:void(0)
javascript:void(0)
 
Imagem: Pedro Hikaru
 Procedimento substantivo.
ESTRUTURA
A estrutura desse procedimento será demonstrada a seguir:
TESTES DE DETALHES
PROCEDIMENTOS ANALÍTICOS
CLASSIFICAÇÃO DOS PROCEDIMENTOS
TESTES DE DETALHES
Consiste na identificação e validação de registros por meio de procedimentos de auditoria. São
procuradas evidências que suportem os registros, os quais, por sua vez, se fundamentam nas
afirmações da organização.
PROCEDIMENTOS ANALÍTICOS
Tratam dos procedimentos referentes à avaliação da relação entre dados financeiros e não
financeiros. Essa correlação pode elucidar questões esclarecedoras no processo de auditoria.
CLASSIFICAÇÃO DOS PROCEDIMENTOS
Os procedimentos substantivos são divididos pelos seguintes tipos:
Inspeção.
Observação.
Recálculo.
Reexecução.
Procedimentos analíticos e indagação (já citados anteriormente).
OUTROS QUESITOS
Abordaremos agora outros quesitos relativos ao procedimento substantivo:
 
Imagem: Shutterstock.com
INSPEÇÃO
Análise de registros e documentos físicos ou eletrônicos, internos ou externos, para fins de
coleta de evidências.
Exemplo: lançamentos contábeis e relatórios financeiros podem passar por inspeções.
 
Imagem: Shutterstock.com
OBSERVAÇÃO
É uma análise de processo organizacional que possibilita a coleta de evidência na execução,
embora se limite ao espaço temporal de observação.
Exemplo: a conferência de bens patrimoniais configura a adoção da observação em uma
auditoria.
 
Imagem: Shutterstock.com
RECÁLCULO
Trata-se da conferência de cálculos matemáticos de documentos e registros.
Exemplo: conferir os lançamentos contábeis de um balanço patrimonial enquadra-se nesse
tipo de procedimento substantivo.
 
Imagem: Shutterstock.com
REEXECUÇÃO
Consiste na execução do procedimento de controle interno definido pela organização e pelo
auditor.
Exemplo: a realização de uma conferência de atividades realizadas constitui, enquanto
atividade de controle, uma reexecução.
TESTES DE CONTROLE
Trata-se de um procedimento de auditoria que avalia a efetividade operacional dos controles
com o objetivo de prevenir, detectar e corrigir distorções relevantes no nível das informações.
Os testes de controle são regulados pela norma NBC TA 330(R1) do Conselho Federal de
Contabilidade quanto à aplicabilidade, à natureza e à extensão deles.
Esse procedimento deve ser realizado em duas situações:
Nas situações em que o auditor confia que os controles estão em operação na organização, de
forma efetiva, para determinar a natureza, a época e a extensão dos procedimentos
substantivos.

Nos casos em que os procedimentos substantivos não trazem evidências de auditoria
suficientes no quesito informações.
 COMENTÁRIO
Esses testes avaliam os controles internos que podem ter sido implementados de acordo com
os princípios do COSO 2013 (apresentado no módulo anterior).
Analisemos a natureza e a extensão dos testes de controle.
Quanto a elas, o auditor, nas atividades de planejamento e execução, precisa observar as
seguintes questões:
EVIDÊNCIAS DE AUDITORIA
Análise das evidências de auditoria sobre a efetividade operacional dos controles que, com
outros procedimentos de auditoria, contemple o modo de aplicação dos controles em
determinado período, consistência de aplicação, responsáveis e formas de aplicação.
EXISTÊNCIA DE CONTROLES INDIRETOS
Questionamento, para fins de coleta de evidência, sobre a existência de controles indiretos que
apoiem os controles.
VERIFICANDO O APRENDIZADO
javascript:void(0)
javascript:void(0)
1. PREENCHA O TEXTO A SEGUIR: “O PROCESSO DE AUDITORIA PODE SER AFETADO
PELOS SEGUINTES TIPOS DE RISCOS: RISCO DE ____ RELEVANTE, ____ INERENTE,
RISCO DE ____ E RISCO DE DETECÇÃO”.
A) Conformidade, fator, complexidade.
B) Altura, taxa, produtividade.
C) Distorção, risco, controle.
D) Avaliação, risco, assessoria.
E) Estratégia, taxa, complexidade.
2. OS RISCOS SÃO MENSURADOS EM FUNÇÃO TANTO DA MATERIALIDADE A SER
DEFINIDA PELO AUDITOR SEGUNDO CIRCUNSTÂNCIAS PARTICULARES E
ESPECÍFICAS DE CADA ORGANIZAÇÃO NA SELEÇÃO DE ASSUNTOS QUANTO DA
EXTENSÃO E DA NATUREZA DAS DISTORÇÕES. APONTE A ALTERNATIVA CORRETA.
A) A análise sob a ótica contábil implica riscos de materialidade.
B) Realizada por auditores, a análise de materialidade depende de variáveis da
sustentabilidade.
C) Materialidade e evidências físicas se integram em função da similaridade física.
D) A materialidade e os riscos devem ser analisados de forma proporcional inversa.
E) Projetos de melhoria de processos.
GABARITO
1. Preencha o texto a seguir: “O processo de auditoria pode ser afetado pelos seguintes
tipos de riscos: risco de ____ relevante, ____ inerente, risco de ____ e risco de
detecção”.
A alternativa "C " está correta.
Riscos de distorção relevante, inerente, de controle e de detecção são os tipos de risco do
processo de auditoria.
2. Os riscos são mensurados em função tanto da materialidade a ser definida pelo
auditor segundo circunstâncias particulares e específicas de cada organização na
seleção de assuntos quanto da extensão e da natureza das distorções. Aponte a
alternativa correta.
A alternativa "D " está correta.
Quanto maiores os riscos, menor a materialidade. Quanto menor eles forem, maior ela será.
CONCLUSÃO
CONSIDERAÇÕES FINAIS
Conhecemos os primórdios da história do homem nos aspectos relacionados aos riscos do dia
a dia e das organizações ainda nascentes. Nessa retrospectiva, apresentamos os principais
marcos temporais que apoiaram o desenvolvimento dos referenciais de riscos atuais aplicados
na administração pública e na iniciativa privada.
Para estabelecermos uma melhor compreensão das formasde tratamento deles, apontamos
os principais referenciais de gerenciamento de riscos e de controles internos, demonstrando
ainda suas particularidades e características. Versamos, por fim, sobre os conceitos básicos
dos riscos de uma auditoria cujos respectivos procedimentos complementares podem colaborar
para a coleta de evidências em procedimentos ligados a ela.
AVALIAÇÃO DO TEMA:
REFERÊNCIAS
CONSELHO FEDERAL DE CONTABILIDADE. NBC TA 200 (R1): objetivos gerais do auditor
independente e a condução da auditoria em conformidade com as normas de auditoria.
Brasília: CFC, 2016.
CONSELHO FEDERAL DE CONTABILIDADE. NBC TA 315 (R1): identificação e avaliação dos
riscos de distorção relevante por meio do entendimento da entidade e do seu ambiente.
Brasília: CFC, 2016.
CONSELHO FEDERAL DE CONTABILIDADE. NBC TA 330 (R1): resposta do auditor aos
riscos avaliados. Brasília: CFC, 2016.
CONSELHO FEDERAL DE CONTABILIDADE. NBC TI 01: da auditoria interna. Brasília: CFC,
2016.
INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Código das melhores
práticas de governança corporativa. 5. ed. 2015.
COSO – THE COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY
COMMISSION. Controle interno – estrutura integrada: sumário executivo. Trad.
PricewaterhouseCoopers Brasil. São Paulo: PWC3, 2013.
COSO – THE COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY
COMMISSION. Gerenciamento de riscos corporativos – estrutura integrada: Sumário
executivo, Estrutura. Trad. PricewaterhouseCoopers Brasil. São Paulo: PWC, 2007.
THE INSTITUTE OF INTERNAL AUDITORS. O modelo das três linhas – uma ferramenta
importante para o sucesso de toda organização. 2020.
TRIBUNAL DE CONTAS DA UNIÃO. Referencial básico de governança aplicável a órgãos
e entidades da administração pública: 2ª versão. Brasília: TCU, 2014.
EXPLORE+
Acesse os seguintes sites para pesquisar sobre:
Conselho Federal de Contabilidade
Normas de auditoria interna e auditoria independente.
Tribunal de Contas da União
Governança pública.
Tribunal de Contas da União
Normas que regem a auditoria na administração pública.
CONTEUDISTA
Pedro Hikaru Oishi
 CURRÍCULO LATTES
javascript:void(0);