Controle Interno

Prévia do material em texto

DESCRIÇÃO
Discussão dos fundamentos de gerenciamento de riscos corporativos, do gerenciamento de controles
internos e dos riscos de uma auditoria.
PROPÓSITO
Compreender os aspectos históricos relativos à percepção da relevância do tratamento de riscos nas
organizações, assim como as principais referências de gerenciamento de riscos, como, por exemplo,
uma abordagem adotada nos procedimentos de auditoria, e de controles internos.
OBJETIVOS
MÓDULO 1
Aspectos gerais e gerenciamento de riscos e controles internos
MÓDULO 2
Gerenciamento de riscos corporativos (COSO 2017)
MÓDULO 3
Gerenciamento de controles internos
MÓDULO 4
Auditoria interna e riscos
INTRODUÇÃO
Imagem: Pedro Hikaru
Vejamos como está estruturado o nosso estudo:
1
Inicialmente, faremos uma visita às origens históricas das questões que embasam o gerenciamento de
riscos. Para isso, apresentaremos os principais referenciais que abordam o gerenciamento de riscos e o
de controles internos. Também abordaremos o modelo de três linhas desenvolvido pelo Institute of
Internal Auditors (Instituto dos Auditores Internos.) (IIA).
2
Na abordagem do gerenciamento de riscos proposto pelo COSO (sigla americana de Committee of
Sponsoring Organizations of the Treadway Commission (Comitê das Organizações Patrocinadoras.) ),
compreenderemos a relação existente entre o gerenciamento de riscos corporativos, a estratégia de
uma organização e o seu desempenho. Veremos que o COSO 2107 é estruturado em componentes e
princípios que apoiam a estruturação de um sistema de gerenciamento de riscos integrado à estratégia e
ao desempenho de uma organização.
Quanto aos controles internos, descreveremos o COSO 2013, que trata do gerenciamento de controles
internos, os quais, por sua vez, são mecanismos de controle de atividades para evitar impactos
negativos no alcance de objetivos operacionais, de conformidade e de divulgação. De forma similar ao
COSO 2017, ele também é estruturado em componentes e princípios a serem apresentados de forma
mais detalhada.
3
Em seguida, listaremos os riscos existentes nos procedimentos de auditoria. Nessa linha, apontaremos
as situações que impactam na probabilidade de riscos de uma auditoria.
4
Por fim, destacaremos os quatro conceitos de risco (de distorção relevante, inerente, de controle e de
detecção), assim como demais procedimentos que colaboram para a coleta de evidências em
procedimentos de auditoria.
MÓDULO 1
 Aspectos gerais e gerenciamento de riscos e controles internos
LIGANDO OS PONTOS
Você sabe analisar se o modelo de gerenciamento de riscos e controles internos adotado nas
organizações está alinhado com os referenciais de mercado? Em tempos modernos, a gestão de riscos
e controles internos tem ganho cada vez mais destaque.
Essa evolução é marcada por novas configurações e pelas necessidades que as organizações
assumem com o passar do tempo. Hoje em dia, algumas referências de mercado podem ser usadas
pelas organizações, como, por exemplo, o COSO e o modelo de três linhas instituído pelo Instituto de
Auditores Internos (IIA). Esse modelo permite o gerenciamento de riscos corporativos de fácil
entendimento e prático, esclarecendo os papéis e responsabilidades essenciais.
A pandemia de covid-19 acelerou mudanças que estavam em curso nas empresas, como o caso da
digitalização de rotinas e processos e a inovação tecnológica. Tal capacidade de adaptação foi
fundamental para alavancagem dos resultados diante desse cenário de incerteza.
Após ter ciência da pandemia, o conselho da empresa varejista Marquezine agendou uma reunião para
decidir sobre os rumos da organização. Na reunião, foi deliberada a substituição do atendimento
presencial nas lojas físicas pela comunicação via aplicativo.
Para tanto, foi criada uma diretoria denominada automação tecnológica, que está posicionada
hierarquicamente abaixo do presidente. Além disso, também foi criada a assessoria de gestão de riscos
(staff da presidência) com o objetivo de aprimorar o processo de gestão de riscos frente aos novos
riscos que emergiram em decorrência da mudança nos negócios pós-pandemia. Por fim – e não menos
importante – foi deliberada a liberação de recursos financeiros para a auditoria interna adquirir um
software que permita auditar as transações realizadas via aplicativo.
APÓS A LEITURA DO CASO, É HORA DE APLICAR SEUS
CONHECIMENTOS! VAMOS LIGAR ESSES PONTOS?
DIANTE DESSE QUADRO, VOCÊ CONSEGUE ANALISAR SE
O MODELO DE GERENCIAMENTO DE RISCOS E
CONTROLES DELIBERADO NO CONSELHO ESTÁ
ALINHADO COM AS DIRETRIZES DE MERCADO?
COM BASE NAS INFORMAÇÕES APRESENTADAS, APONTE
OS PAPÉIS E AS RESPONSABILIDADES DOS SETORES
CITADOS NA REUNIÃO DO CONSELHO (DIRETORIA DE
AUTOMAÇÃO TECNOLÓGICA, ASSESSORIA DE GESTÃO
DE RISCOS E AUDITORIA INTERNA) E RESPONDA SE AS
TRÊS LINHAS ESTÃO PREENCHIDAS PARA PROTEGER A
ORGANIZAÇÃO. COMO SUGESTÃO, UTILIZE O MODELO DE
TRÊS LINHAS, CONFORME DEMONSTRADO NAS NO
QUADRO A SEGUIR:
Setor Linhas Papel Responsabilidade
1ª
Executar os processos de trabalho
e gerir seus riscos e os controles
internos.
Alta e média gestão, além de
outros tomadores de decisão
2ª
Apoiar a gestão para que ela
cumpra suas responsabilidades de
primeira linha, fornecendo
conhecimento e ferramentas
adequadas para esse processo.
Especialistas em controles
internos, gestão de riscos,
processos, compliance e
outros profissionais de apoio.
3ª
Realizar avaliação objetiva e
independente da gestão dos riscos,
controles e governança da
organização.
Auditoria interna.
 Atenção! Para visualização completa da tabela utilize a rolagem horizontal
RESPOSTA
Segundo as informações apresentadas, os setores denominados diretoria de automação tecnológica,
assessoria de gestão de riscos e auditoria interna correspondem às 1ª, 2ª e 3ª linhas do modelo referencial
de mercado das três linhas. Além disso, foi possível identificar que as três linhas estão todas preenchidas, o
que indica um alinhamento com o modelo de referência do mercado.
javascript:void(0)
Setor Linhas Papel Responsabilidade
Diretoria de
automação
tecnológica
1ª
Executar os processos de
trabalho e gerir seus riscos e os
controles internos.
Alta e média gestão, além de
outros tomadores de decisão.
Assessoria de
gestão de
riscos
2ª
Apoiar a gestão para que ela
cumpra suas responsabilidades
de primeira linha, fornecendo
conhecimento e ferramentas
adequadas para esse processo.
Especialistas em controles
internos, gestão de riscos,
processos, compliance e
outros profissionais de apoio.
Auditoria
interna
3ª
Realizar avaliação objetiva e
independente da gestão dos
riscos, controles e governança da
organização.
Auditoria interna.
 Atenção! Para visualização completa da tabela utilize a rolagem horizontal
1. CONSIDERANDO AS OPÇÕES A SEGUIR, VOCÊ É CAPAZ DE INDICAR QUAL
DOS PRINCÍPIOS MENCIONADOS NÃO ESTÁ RELACIONADO AO MODELO DAS
TRÊS LINHAS DO IIA?
A) Governança.
B) Dependência da terceira linha.
C) Papeis da terceira linha.
D) Papéis do órgão de governança.
E) Gestão e os papéis da primeira e segunda linhas.
2. CONSIDERANDO AS OPÇÕES A SEGUIR, VOCÊ CONSEGUE INDICAR QUAL
REFERENCIAL DE MERCADO TEM COMO CARACTERÍSTICA O
GERENCIAMENTO DE RISCOS CORPORATIVOS INTEGRADO À ESTRATÉGIA E
AO DESEMPENHO?
A) Modelo das três linhas de defesa.
B) COSO 2013.
C) COSO 2017.
D) Modelo das três linhas.
E) COSO ERM.
GABARITO
1. Considerando as opções a seguir, você é capaz de indicar qual dos princípios mencionados
não está relacionado ao modelo das três linhas do IIA?
A alternativa "B " está correta.
O modelo de três linhas contempla seis princípios: governança; papéis do órgão de governança; gestão
e os papéis da primeira e segunda linhas; papéis da terceira linha; independência da terceira linha; e
criando e protegendo valor.
2. Considerando as opções a seguir, você consegue indicar qual referencial de mercado tem
como característica o gerenciamento de riscos corporativos integrado à estratégia e aodesempenho?
A alternativa "C " está correta.
O COSO 2017 é um referencial de mercado em que a característica de gerenciamento de riscos
corporativos é integrada à estratégia e ao desempenho.
Imagem: Pedro Hikaru
ORIGEM HISTÓRICA
O gerenciamento de riscos permeia a atuação da humanidade desde os seus primórdios. A
compreensão de suas origens históricas e de sua evolução é útil para um melhor conhecimento e
aplicação dessa área de conhecimento.
Gerenciar riscos é uma consequência da reação do ser humano às forças externas do ambiente em que
vive. Essas forças, afinal, podem ser benéficas ou não contribuírem para a sua sobrevivência.
Imagem: Shutterstock.com
Ao compreendermos os marcos iniciais dos riscos, teremos referenciais que nos ajudarão a elucidar os
melhores caminhos a serem percorridos no futuro. Essa compreensão aplica-se não somente às
grandes questões da humanidade, mas também às organizações.
A concepção de prevenção é decorrente da evolução da racionalidade humana ao ter de lidar com
questões que instigam sua capacidade de adaptação para reconhecer e enfrentar riscos.
Imagem: Shutterstock.com
O êxito do ser humano – a partir do seu ancestral homo sapiens – em relação aos demais hominídeos
deu-se em função de sua adaptabilidade aos diferentes ambientes receptivos ou agressivos. Ela, aliás,
também é contemplada pela seleção genética que auxilia na evolução das espécies.
Constata-se que ele deixou de entender que o risco é uma consequência de fenômenos da natureza ou
de seres superiores que possam controlar o planeta Terra, vendo-o apenas como uma ocorrência que
pode ser dominada para melhor sobrevivência. Ao transpormos este patamar, tivemos a oportunidade de
alavancar o sistema econômico da sociedade.
Imagem: Shutterstock.com
 EXEMPLO
Um dos vestígios mais antigos que trata da preocupação com o risco pode ser constatado em um papiro
egípcio que descreve os cuidados que o trabalhador à época deveria ter com o uso de vestimentas para
proteger seus braços. Eles, afinal, eram uma fonte de obtenção de alimentos nas atividades agrícolas.
Com a evolução natural ocorrida, o homem passou a atuar em atividades de pastoreio e confecção de
artefatos pessoais, culminando na Revolução Industrial, época em que a prevenção de riscos pôde
mostrar sua relevância em razão dos diversos acidentes ocorridos nas linhas de produção.
Faremos uma breve cronologia da forma como o risco vem sendo tratado ao longo da história:
Imagem: Simanta Talukdar/Shutterstock.com
SÉCULO XIII A.C.
Ocorreram as primeiras indenizações em razão de inundações de propriedades e de roubos
patrimoniais.
Imagem: Shutterstock.com
SÉCULO XVII
Criação do seguro de incêndios na Inglaterra como forma de tratamento de risco.
Imagem: Shutterstock.com
1870
Com o advento da Revolução Industrial, iniciaram-se as tentativas de prevenção de acidentes, que
passaram a ocorrer frequentemente, por meio de melhorias dos equipamentos de proteção e das
instalações industriais.
Imagem: Shutterstock.com
1921
Frank Knight (1885-1972) lança uma publicação que trata de riscos, incertezas e lucros.
javascript:void(0)
Imagem: Shutterstock.com
1939-1945
A capacidade industrial foi considerada um ponto nevrálgico para que uma nação pudesse ser
vencedora na Segunda Guerra Mundial. Por essa razão, a segurança do trabalho, por intermédio de
ações de prevenção, passou a ser a tônica da época.
Imagem: Shutterstock.com
1952
Harry Markowitz demonstrou, por meio de métodos estatísticos, que colocar todos os ovos em uma
cesta oferece um risco maior do que atuar de forma diversificada.
Imagem: Shutterstock.com
1963
Robert Meher e Bob Hedges lançam no mercado uma publicação que tratava do gerenciamento de
riscos nas organizações.
Imagem: Shutterstock.com
DÉCADA DE 1970
A teoria da probabilidade desenvolvida no século XVII passa a ser aplicada como método quantitativo de
gerenciamento de riscos nas áreas de saúde, mercado financeiro e seguros.
Capa de um exemplar da revista Fortune. Imagem: Fortune / Time Inc.© / Time Warner Inc.©
1975
É lançada a revista americana Fortune, publicação que aborda a revolução decorrente do
gerenciamento de riscos. Ela definia uma forma de gerenciar riscos na organização que dependesse da
atuação da alta administração.
Imagem: Shutterstock.com
1992
Cria-se, nos Estados Unidos, um guia pioneiro no gerenciamento dos controles internos de uma
organização pelo comitê COSO. Já na Inglaterra, o Comitê Cadbury define que a alta administração
precisa definir, assegurar e monitorar o gerenciamento de riscos na organização.
Imagem: Shutterstock.com
1996
Peter Bernstein enfatiza que a abordagem de riscos baseada em métodos quantitativos é relevante;
todavia, ele frisa que a necessidade de uma abordagem holística na organização também deve ser
ressaltada.
Imagem: Paul Rand / Wikimedia commons / Domínio público
2001
A empresa americana Enron atua de forma fraudulenta em operações contábeis e financeiras com
apresentações de balanços patrimoniais falsos e lucros irreais.
Imagem: Shutterstock.com
2002
A atuação da Enron precipitou a aprovação da Lei Sarbanes-Oxley, que instituiu mecanismos de
governança que pudessem reduzir a ocorrência de fraudes.
Imagem: Shutterstock.com
2004
O Comitê COSO publica o Guia de gerenciamento de riscos corporativos.
Imagem: NBR ISO 31000. Imagem: Associação Brasileira de Normas Técnicas©.
2009
É publicada a Norma Técnica ISO 31000, que define os princípios e as diretrizes do gerenciamento de
riscos aplicáveis a qualquer tipo de organização.
Imagem: Shutterstock.com
2013
O Comitê COSO atualiza seu guia de controles internos.
Imagem: Shutterstock.com
2017
Lançado em 2004, o Guia de gerenciamento de riscos corporativos do Comitê COSO é atualizado com a
incorporação da estratégia e da mensuração de desempenho à sua estrutura.
FRANK KNIGHT
Tornou-se referência mundial na área por definir as bases conceituais do gerenciamento de riscos.
PRINCIPAIS REFERENCIAIS DE
GERENCIAMENTO DE RISCOS E CONTROLES
INTERNOS
No vídeo a seguir, o professor Pedro Hikaru Oishi comenta sobre os principais referenciais de
gerenciamento de riscos e controles internos. Vamos assistir!
O gerenciamento de riscos e controles internos nas organizações coopera para a aquisição dos
seguintes benefícios:

Maior alcance de resultados estratégicos.
Maior desempenho organizacional.


Maior eficácia em projetos.
Maior eficiência nos processos de trabalho.


Redução do gerenciamento de crises.
Maior percepção de valor aos clientes.

Esse gerenciamento nas organizações pode ser estruturado a partir de vários referenciais existentes no
mercado. Apresentaremos, de forma simplificada, aqueles desenvolvidos pelo COSO e pela IIA:
Imagem: Pedro Hikaru
 Referenciais de gerenciamento de riscos e controles internos.
COSO
Criado em 1985, o COSO é um comitê norte-americano sem fins lucrativos para implementar
mecanismos de controle e monitoramento de relatórios financeiros. Sua criação foi decorrente do grande
número de fraudes contábeis e financeiras ocorridas em anos anteriores.
Nessa linha de trabalho, ele é formado por cinco organizações do setor privado que se dedicam a liderar
iniciativas relativas ao gerenciamento de riscos corporativos, ao controle interno e à dissuasão de
fraudes por conta do desenvolvimento de frameworks (estruturas de trabalho) e recomendações.
Em sua atuação, o COSO disponibiliza os seguintes referenciais para serem utilizados pelas
organizações:
Controle interno – estrutura integrada (COSO 2013)

Gerenciamento de riscos corporativos integrados à estratégia e ao desempenho (COSO 2017)
O gerenciamento de riscos nas organizações em todo o mundo emprega intensivamente o
conhecimento consolidado por essa organização, que alcançou um grau maior de maturidade de suas
propostas utilizadas para combater as diversas fraudes contábeis e financeiras ocorridas nas últimas
décadas.
Suas práticas,recomendações e guias são amplamente adotadas pelas organizações públicas ou
privadas, além de constituírem a base de pesquisas acadêmicas.
IIA
Ele é uma associação internacional de profissionais da área de auditoria interna que visa prover
condições profissionais e disseminar conhecimentos para os seus associados.
Seu espectro de atuação contempla as áreas de:
Imagem: Shutterstock.com
AUDITORIA INTERNA
Imagem: Shutterstock.com
GERENCIAMENTO DE RISCOS
Imagem: Shutterstock.com
GOVERNANÇA
Imagem: Shutterstock.com
CONTROLE INTERNO
Imagem: Shutterstock.com
AUDITORIA DE TI
Imagem: Shutterstock.com
EDUCAÇÃO
Imagem: Shutterstock.com
SEGURANÇA
COSO 2013 – CONTROLE INTERNO –
ESTRUTURA INTEGRADA
O controle interno, na definição do COSO , significa “um processo conduzido pela estrutura de
governança, administração e outros profissionais da entidade, desenvolvido para proporcionar
segurança razoável com respeito à realização dos objetivos relacionados a operações, divulgação e
conformidade”.
Esse controle apresenta as seguintes características:
1
Possui processo dinâmico e interativo.
Perpassa toda a organização.
2
3
O controle interno deve estar integrado às funções administrativas (planejar, organizar, direcionar e
controlar).
Não é um processo com um fim em si próprio, servindo para garantir uma razoável segurança para a
entrega de valor.
4
5
Ele é implementado pela estrutura de governança e pela alta administração.
É customizável para todos os níveis organizacionais.
6
Observemos a estrutura do COSO 2013:
Imagem: COSO 2013
 Estrutura do COSO 2013.
Pode-se inferir que os objetivos organizacionais operacionais, de divulgação e de conformidade são
controlados e monitorados pelo ambiente de controle, pela avaliação de riscos, pela atividade de
controle, pela informação e comunicação e pela atividade de monitoramento em todos os níveis
hierárquicos da organização.
COSO 2017 – GERENCIAMENTO DE RISCOS
CORPORATIVOS INTEGRADOS À ESTRATÉGIA
E AO DESEMPENHO
Precisamos ressaltar a relevância da integração do gerenciamento de riscos corporativos no processo
de planejamento estratégico em todos os níveis organizacionais. Os riscos, afinal, influenciam a
estratégia e o desempenho da organização – e por eles também são influenciados.
Apresentaremos a seguir suas principais características:
Imagem: Shutterstock.com
Reformulação radical em relação ao COSO 2004.
Imagem: Shutterstock.com
Foco na criação e preservação de valor.
Imagem: Shutterstock.com
Tomada de decisões baseada em riscos.
Imagem: Shutterstock.com
Plano estratégico formulado de acordo com os riscos.
Imagem: Shutterstock.com
Sustentabilidade das ações.
Imagem: Shutterstock.com
Integração de gerenciamento de riscos, estratégia e desempenho da organização.
Imagem: Shutterstock.com
Estruturado em 5 componentes e 20 princípios.
A estrutura básica do COSO 2017 está representada na figura a seguir:
Imagem: COSO 2017
 Estrutura do COSO 2017.
 COMENTÁRIO
Nessa estrutura, constata-se que o gerenciamento de riscos, segundo a versão editada pelo COSO em
2017, é fortemente integrado à estratégia da organização e à melhoria de desempenho.
Essa estrutura é baseada nos seguintes componentes:
Imagem: Shutterstock.com
GOVERNANÇA E CULTURA
Imagem: Shutterstock.com
ESTRATÉGIA E DEFINIÇÃO DE OBJETIVOS
Imagem: Shutterstock.com
DESEMPENHO
Imagem: Shutterstock.com
ANÁLISE E REVISÃO
Imagem: Shutterstock.com
INFORMAÇÃO, COMUNICAÇÃO E DIVULGAÇÃO
Teremos a oportunidade de conhecer maiores detalhes desta estrutura em outro módulo.
MODELO DE TRÊS LINHAS
De acordo com o IIA, o modelo de três linhas ajuda as organizações a identificar estruturas e processos
que auxiliam da melhor maneira no atingimento dos objetivos e facilitam uma forte governança e um
gerenciamento de riscos.
Esse modelo é baseado em seis princípios que cooperam para uma estrutura de governança eficaz. As
três linhas referem-se às funções do órgão de governança, da gestão e da auditoria interna.
Nesse contexto, veremos agora os papéis desempenhados pela 1ª, 2ª e 3ª linha:
Imagem: Modelo do IIA
 Modelo de três linhas.
 SAIBA MAIS
Ele era conhecido originalmente como modelo de três linhas de defesa. Após passar por uma
reestruturação em 2020, passou a ser chamado somente de modelo de três linhas.
Esse modelo contempla as seguintes características:

Abordagem proativa em relação ao modelo anterior de “defesa”.
Maior independência da auditoria interna (reporta-se ao órgão de governança).


Definição mais clara dos papéis e das responsabilidades, assim como dos relacionamentos entre eles.
Foco nas necessidades e expectativas dos clientes e na geração de valor.


Modelo baseado em princípios alinhados aos objetivos organizacionais.
O modelo de três linhas contempla seis princípios:
GOVERNANÇA
Uma organização deve comportar processos e estruturas organizacionais que facilitem a prestação de
contas, as ações de gestão para a facilitação do alcance de objetivos e as atividades de avaliação e
assessoria realizadas por uma auditoria independente.
PAPÉIS DO ÓRGÃO DE GOVERNANÇA
O órgão de governança da organização precisa assegurar a existência de estruturas e processos
organizacionais atuantes para a maior eficácia de sua governança.
Sua atuação também deve contribuir para que as ações estejam de acordo com as expectativas das
partes interessadas, além de oferecer condições para que os objetivos organizacionais sejam
alcançados, estando em conformidade com as normativas. Para uma maior confiabilidade na gestão,
esse princípio supervisiona a atuação da auditoria independente.
GESTÃO E OS PAPÉIS DA PRIMEIRA E SEGUNDA LINHAS
A gestão atua para efetuar tanto o gerenciamento de riscos (1ª linha), focado na entrega de produtos e
serviços, quanto o de riscos corporativos (2ª linha), que trata dos riscos que impactam no alcance de
objetivos organizacionais.
PAPÉIS DA TERCEIRA LINHA
A auditoria interna precisa ter condições para atuar em atividades de avaliação e assessoria em relação
à governança e ao gerenciamento de riscos.
A INDEPENDÊNCIA DA TERCEIRA LINHA
A auditoria interna deve atuar de forma independente na organização com base na prestação de contas
e no acesso incondicional às informações dela.
CRIANDO E PROTEGENDO VALOR
Todas as partes interessadas da organização têm de ser pautadas para a criação de valor por
intermédio de trabalho colaborativo e comunicação.
VERIFICANDO O APRENDIZADO
1. O CONTROLE INTERNO É UM PROCESSO CONDUZIDO PELA ESTRUTURA DE GOVERNANÇA.
COMPLETE O TEXTO A SEGUIR: “VISA PROPORCIONAR SEGURANÇA RAZOÁVEL COM
RESPEITO À REALIZAÇÃO DOS ____ RELACIONADOS A ____, DIVULGAÇÃO E ____”.
A) Parâmetros, eficácia, efetividade.
B) Projetos, conformidade, autenticidade.
C) Objetivos, operações, conformidade.
D) Controles, comunicação, confiabilidade.
E) Instrumentos, sustentabilidade, governança.
2. OS RISCOS INFLUENCIAM A ESTRATÉGIA E O DESEMPENHO DA ORGANIZAÇÃO, SENDO
POR ELES TAMBÉM INFLUENCIADOS. APONTE A ALTERNATIVA CORRETA.
A) Os riscos dependem da produtividade das estruturas de governança.
B) O COSO 2017 é integrado à estratégia.
C) O COSO 2017 é uma atualização do COSO 2013.
D) Uma organização que apresenta riscos não é uma organização confiável.
E) Os riscos são decorrentes de processos organizacionais descalibrados.
GABARITO
1. O controle interno é um processo conduzido pela estrutura de governança. Complete o texto a
seguir: “Visa proporcionar segurança razoável com respeito à realização dos ____ relacionados a
____, divulgação e ____”.
A alternativa "C " está correta.
O controle interno, na definição do COSO 2013, busca proporcionar uma segurança razoável no que diz
respeito à realização dos objetivos relacionados às operações, à divulgação e à conformidade.
2. Os riscos influenciam a estratégia e o desempenho da organização, sendo por eles também
influenciados. Aponte a alternativa correta.
A alternativa "B " está correta.O diferencial do COSO 2017 em relação à sua versão anterior é a integração dele à estratégia da
organização.
MÓDULO 2
 Gerenciamento de riscos corporativos (COSO 2017)
LIGANDO OS PONTOS
Você sabe avaliar o gerenciamento de riscos corporativos considerando a estratégia, o risco, o valor e o
desempenho das organizações? Denominado “gerenciamento de riscos corporativos – integrado à
estratégia e ao desempenho”, o COSO 2017 foi desenvolvido justamente com o intuito de considerar o
risco para a formulação de estratégia, alinhamento à missão, visão e valores organizacionais e
mensuração de desempenho.
Startup de viagens corporativas, a Portão 3 procura atender às necessidades de viajantes corporativos.
Após pesquisa de mercado, a empresa identificou que esses viajantes buscam relaxamento e bem-estar
enquanto estão viajando a trabalho e não querem enfrentar estresses com a guarda de documentos
fiscais de comprovação, por exemplo.
No plano de negócios da organização, seu público-alvo seriam viajantes coorporativos de todos os
segmentos empresariais. Ao iniciar efetivamente suas operações, ela, porém, se deparou com a
pandemia da covid-19.
Os sócios, desse modo, decidiram avaliar os riscos de descontinuidade dos seus negócios tendo em
vista que o setor de viagens tinha projeções de declínio. Durante a avaliação, eles verificaram que
existia uma parcela de clientes que precisava viajar com mais frequência devido à pandemia: pessoas
relacionados aos setores dos ramos alimentício, farmacêutico e hospitalar, entre outros setores
aquecidos em razão da pandemia, podendo ser inclusive uma oportunidade de crescimento.
Caso optasse pela continuidade do negócio, seria necessário redirecionar suas estratégias de marketing
para atingir massivamente esse público e restringir sua atuação para o novo perfil. A empresa, portanto,
optou pela remodelagem do negócio e restringiu o perfil.
APÓS A LEITURA DO CASO, É HORA DE APLICAR SEUS
CONHECIMENTOS! VAMOS LIGAR ESSES PONTOS?
DIANTE DO QUADRO APRESENTADO, VOCÊ, COMO
CONSULTOR DA EMPRESA PORTÃO 3, CONSEGUE
ANALISAR SE O MODELO DE GERENCIAMENTO DE RISCOS
E CONTROLES PRATICADO POR ELA ESTÁ ALINHADO
COM O DO COSO 2017?
RESPOSTA
O modelo dela está alinhado, uma vez que considerou o risco de descontinuidade das atividades para a
formulação de nova estratégia de mercado.
javascript:void(0)
1. COMO CONSULTOR, VOCÊ PRECISA CONHECER OS COMPONENTES DO
COSO 2017. DAS ALTERNATIVAS A SEGUIR, APONTE AQUELA QUE POSSUI
SEUS COMPONENTES.
A) Ambiente de controle, avaliação de riscos, atividade de controle, informação e comunicação,
atividade de monitoramento.
B) Ambiente de controle; estratégia e definição de objetivos; desempenho; análise e revisão, atividade
de monitoramento.
C) Governança e cultura; estratégia e definição de objetivos; desempenho; análise e revisão, atividade
de monitoramento.
D) Governança e cultura; estratégia e definição de objetivos; desempenho; análise e revisão,
informações, comunicação e divulgação.
E) Governança e cultura; avaliação de riscos; desempenho; análise e revisão, atividade de
monitoramento.
2. COMO CONSULTOR, VOCÊ DEVE CONHECER O PRINCÍPIO DA DEFINIÇÃO DA
CULTURA. ESSE PRINCÍPIO ESTÁ RELACIONADO AO COMPONENTE DO COSO
2017 DENOMINADO:
A) ambiente de controle.
B) estratégia e definição de objetivos.
C) governança e cultura.
D) Desempenho.
E) análise e revisão.
GABARITO
1. Como consultor, você precisa conhecer os componentes do COSO 2017. Das alternativas a
seguir, aponte aquela que possui seus componentes.
A alternativa "D " está correta.
Os componentes do COSO 2017 são: governança e cultura; estratégia e definição de objetivos;
desempenho; análise e revisão, informações, comunicação e divulgação.
2. Como consultor, você deve conhecer o princípio da definição da cultura. Esse princípio está
relacionado ao componente do COSO 2017 denominado:
A alternativa "C " está correta.
Segundo o COSO 2017, o princípio da definição da cultura está relacionado ao componente governança
e cultura.
Imagem: Pedro Hikaru
ESTRATÉGIA DA ORGANIZAÇÃO E O
GERENCIAMENTO DE RISCOS
Desenvolvida pelo COSO em 2017, a última versão da estrutura de trabalho referente aos riscos
corporativos foi denominada “gerenciamento dos riscos corporativos – integrado à estratégia e ao
desempenho”.
 COMENTÁRIO
Para simplificarmos o emprego dessa terminologia, adotaremos neste tema a expressão “COSO 2017”
quando falarmos dessa estrutura.
O gerenciamento de riscos corporativos tem sua relevância ao cooperar para a:
Criação de valor decorrente da aceitação de riscos considerados razoáveis

Eliminação ou tratamento de riscos que possam acarretar a destruição de valor
Imagem: Pedro Hikaru
 Valor na organização.
Até o lançamento dessa estrutura, esse gerenciamento contemplava apenas a identificação e o
tratamento de riscos que tivessem um impacto no alcance da estratégia; contudo, os projetos e os
processos organizacionais destruíam valor pelo fato de nem sempre estarem alinhados à missão e à
visão da organização.
Na estrutura do COSO 2017, o risco, em todos os níveis organizacionais, é levado em consideração na
formulação de:
Estratégia
Alinhamento à missão, à visão e aos valores organizacionais
Mensuração do desempenho
Essa atualização teve o objetivo de atender às seguintes demandas:
Imagem: Shutterstock.com
Ressaltar a relevância do gerenciamento de riscos na formulação da estratégia.
Imagem: Shutterstock.com
Promover o alinhamento desse gerenciamento no desempenho da organização.
Imagem: Shutterstock.com
Atender às demandas de transparência e prestação de contas às partes interessadas.
Imagem: Shutterstock.com
Alinhar a tecnologia de informação às necessidades de informações para a tomada de decisões.
 COMENTÁRIO
Deve-se ressaltar que o gerenciamento de riscos não é uma função específica ou uma área funcional
dentro da organização. Trata-se, na verdade, de um conjunto de boas práticas, cultura organizacional e
competências que contribuem, de acordo com o apetite aos riscos com monitoramento do desempenho,
para a definição e a execução da estratégia e dos objetivos organizacionais.
Contemplando a estratégia, os objetivos organizacionais, os riscos e o desempenho, a estrutura do
COSO 2017 está representada na figura a seguir:
Imagem: COSO 2017
 Estrutura do COSO 2017.
O gerenciamento de riscos corporativos pode trazer os seguintes benefícios para a organização:

Ampliação do leque de oportunidades em função da identificação e da priorização de riscos positivos.
Visão sistêmica do gerenciamento de riscos, o que coopera para a melhoria do desempenho.


Incremento de resultados positivos a partir da identificação e do tratamento de riscos negativos.
Desempenho organizacional previsível, sem sobressaltos na produtividade e na qualidade de produtos e
serviços.


Aplicação eficiente de recursos.
Maior adaptabilidade da organização aos cenários adversos.

ESTRATÉGIA, RISCOS, VALOR E DESEMPENHO
No vídeo a seguir, o professor Pedro Hikaru Oishi apresenta a relação entre estratégia, riscos, valor e
desempenho. Vamos assistir!
Na abordagem do COSO 2017, o gerenciamento de riscos corporativos é integrado à definição da
estratégia, a qual, por sua vez, colabora para a definição de objetivos organizacionais. Com base nesses
objetivos, são estruturados os projetos e os processos organizacionais que devem entregar valor ao
cliente da organização.
Para garantir a sustentabilidade dessas ações, é necessário monitorar o desempenho e a execução da
estratégia com base nos riscos identificados, os quais, em seguida, passam a compor o portfólio de
riscos.
A operacionalização do COSO 2017 é baseada nos componentes e nos princípios apresentados abaixo:
Componente Princípios
Governança e cultura
- Fiscalização de riscos corporativos pelo órgão de
governança
- Definição de unidades organizacionais
- Definição da cultura da organização
- Comprometimento com valores fundamentaisEstratégia e definição de
objetivos
- Análise contextuai da organização em relação aos
riscos
- Definição do apetite aos riscos
- Avaliação de alternativas de estratégias
- Definição de objetivos organizacionais
Desempenho
- Identificação de riscos
- Análise da gravidade dos riscos
- Priorização de Riscos
- Implementação de respostas aos riscos
- Desenvolvimento de Portfolio de Riscos
Análise e revisão
- Avaliação de mudanças significativas
- Revisão de riscos e desempenho
- Busca de melhorias no gerenciamento de riscos
corporativos
Informações, comunicação e
divulgação
- Estímulo à utilização de informações por meio da
tecnologia
- Comunicação dos riscos à informação
- Comunicação de riscos, da cultura organizacional e do
desempenho
 Atenção! Para visualização completa da tabela utilize a rolagem horizontal
Quadro: Componentes e princípios do COSO 2017.
Extraído de COSO 2017.
GOVERNANÇA E CULTURA
Nesse componente, a governança e a cultura se destacam como dois relevantes pilares que contribuem
para a definição de responsabilidades no gerenciamento de riscos e de valores éticos e
comportamentais desejáveis para a compreensão dos riscos em toda a organização.
Esse componente é baseado nos seguintes princípios:
Imagem: Shutterstock.com
FISCALIZAÇÃO DE RISCOS CORPORATIVOS PELO ÓRGÃO
DE GOVERNANÇA
O órgão de governança da organização tem de monitorar a definição da estratégia e de seus riscos
inerentes no alcance de seus objetivos organizacionais para servir como suporte aos gestores.
Imagem: Shutterstock.com
DEFINIÇÃO DE UNIDADES ORGANIZACIONAIS
A organização deve estruturar as unidades organizacionais que operam para o alcance da estratégia e
dos objetivos organizacionais.
Imagem: Shutterstock.com
DEFINIÇÃO DA CULTURA DA ORGANIZAÇÃO
A organização tem a incumbência de definir o perfil comportamental e ético que caracteriza suas
especificidades.
Imagem: Shutterstock.com
COMPROMETIMENTO COM VALORES FUNDAMENTAIS
Deve-se expressar de forma clara os valores que precisam permear uma organização.
Imagem: Shutterstock.com
GESTÃO POR COMPETÊNCIA ALINHADA COM A
ESTRATÉGIA E OS OBJETIVOS ORGANIZACIONAIS
Em busca de maior valor agregado, a organização deve se comprometer a atrair e desenvolver pessoas
que possam alinhar-se à estratégia e aos objetivos organizacionais dela.
ESTRATÉGIA E DEFINIÇÃO DE OBJETIVOS
Para uma maior entrega de valor, o gerenciamento de riscos corporativos deve ser integrado à
estratégia e à definição de objetivos organizacionais no processo de formulação do plano estratégico da
organização.
Nesse contexto, o apetite aos riscos, isto é, o nível aceitável de tolerância a eles, é definido com a
estratégia, a qual, por sua vez, direciona essa definição dos objetivos que retroalimentam a avaliação e
a resposta aos riscos.
Para que a estratégia e a definição de objetivos sejam estruturadas de forma eficaz, os seguintes
princípios precisam ser observados:
ANÁLISE CONTEXTUAL DA ORGANIZAÇÃO EM RELAÇÃO
AOS RISCOS
A organização tem de analisar os riscos que compõem sua área de atuação para a construção do mapa
de gerenciamento de riscos corporativos.
DEFINIÇÃO DO APETITE AOS RISCOS
Para a criação e a preservação de valor, deve-se analisar os riscos a fim de definir um nível aceitável
deles que a organização se propõe a tolerar.
AVALIAÇÃO DE ALTERNATIVAS DE ESTRATÉGIAS
Avaliam-se as possíveis alternativas de formulação das estratégias de acordo com o apetite aos riscos
da organização.
DEFINIÇÃO DE OBJETIVOS ORGANIZACIONAIS
A partir da definição de estratégia baseada no apetite aos riscos, a organização parte para a definição
de objetivos organizacionais, que, aliás, devem atuar em todos os níveis.
DESEMPENHO
Na abordagem do COSO 2017 o gerenciamento de riscos corporativos é integrado ao desempenho
organizacional. Nesse sentido, todas as ações desenvolvidas devem estar conectadas ao apetite aos
riscos.
Por essa razão, o desempenho se apoia nos seguintes princípios:

IDENTIFICAÇÃO DE RISCOS
São identificados aqueles que podem impactar no desempenho da organização quanto à estratégia e
aos objetivos organizacionais dela.
ANÁLISE DA GRAVIDADE DOS RISCOS
É analisada a gravidade dos riscos que atingem a execução da estratégia e a eficácia de processos no
alcance dos objetivos organizacionais.


PRIORIZAÇÃO DE RISCOS
Com base no apetite aos riscos, a organização prioriza aqueles que ela considera aceitáveis para a
criação ou a preservação de valor.
IMPLEMENTAÇÃO DE RESPOSTAS AOS RISCOS
Uma vez definidos os riscos aceitáveis, são estruturadas formas de tratamento dos riscos priorizados.


DESENVOLVIMENTO DE PORTFÓLIO DE RISCOS
Com os riscos priorizados pela organização, assim como suas respectivas formas de tratamento,
desenvolve-se um portfólio de risco. Ele deve ser avaliado continuamente para a preservação e a
criação de valor.
ANÁLISE E REVISÃO
A análise do desempenho permite que a organização avalie os componentes do gerenciamento de
riscos corporativos a fim de que, quando requeridas, sejam promovidas mudanças de curso.
Para estruturar a análise e a revisão, os princípios dispostos a seguir devem ser seguidos:
Imagem: Shutterstock.com
AVALIAÇÃO DE MUDANÇAS SIGNIFICATIVAS
Consiste na identificação de mudanças que impactam de forma significativa a estratégia e o alcance de
objetivos organizacionais.
Imagem: Shutterstock.com
REVISÃO DE RISCOS E DESEMPENHO
O desempenho da organização e os riscos que passaram a ser incorporados ao portfólio de riscos têm
de ser constantemente monitorados, assim como a possibilidade de aparecimento de novos riscos.
Imagem: Shutterstock.com
BUSCA DE MELHORIAS NO GERENCIAMENTO DE RISCOS
CORPORATIVOS
Integrado à estratégia e ao desempenho da organização, o gerenciamento de riscos deve ser tratado
como um processo de trabalho contínuo que, de acordo com os cenários interno e externo, requer
aprimoramentos.
INFORMAÇÕES, COMUNICAÇÃO E
DIVULGAÇÃO
O gerenciamento de riscos corporativos precisa ter como base de interação entre as partes interessadas
a geração de informações, a comunicação por meio de diversos canais e a divulgação das citadas
informações.
Para que as três sejam viáveis, devem ser considerados, em conformidade com as recomendações do
COSO 2017, estes princípios:
Estímulo à utilização de informações por meio da tecnologia
O gerenciamento de riscos corporativos é afetado de forma positiva pela ampla utilização da tecnologia
nas diversas etapas de gestão da informação dentro da organização.
Comunicação dos riscos à informação
Todos os riscos que podem impactar na transparência ou na legitimidade das informações têm de ser
comunicados às partes interessadas.
Comunicação de riscos, da cultura organizacional e do desempenho
A organização deve, em todos os níveis organizacionais, comunicar regularmente às partes interessadas
informações relativas aos riscos, à cultura organizacional e ao desempenho.
TENDÊNCIAS DO GERENCIAMENTO DE RISCOS
CORPORATIVOS
Em função do cenário de alta competitividade entre as organizações, o que implica uma adaptabilidade
aos diversos fatores dos cenários interno e externo, o gerenciamento de riscos não pode prescindir das
inovações proporcionadas por boas práticas de governança e gestão e dos recursos oferecidos pela
tecnologia de informação.
Nesse compasso, quatro tendências devem ser avaliadas quanto à conveniência de uma integração aos
princípios desse gerenciamento:
Imagem: Shutterstock.com
Aumento exponencial das informações
As informações disponíveis para todos os usuários de serviços de informação crescem de forma
exponencial a cada ano.
As organizações devem se adaptar a essa realidade; do contrário, elas estão sob o risco de sucumbir
por falta de informações que possam subsidiar a formulação de estratégias e objetivos organizacionais.
Imagem: Shutterstock.com
Aplicação da inteligência artificial em diversas áreas de conhecimento
A inteligência artificial deixou de ser umconhecimento específico utilizado em métodos quantitativos
para ser utilizada em todas as áreas de conhecimento. Sua taxa de erros já é menor do que a de ações
efetuadas por um ser humano.
Exemplo: A partir de uma vasta quantidade de informações, os algoritmos de inteligência artificial
podem efetuar inferências quanto à melhor maneira de se efetivar o tratamento de riscos
organizacionais.
Imagem: Shutterstock.com
Gerenciamento de custos dos riscos organizacionais
Com a crescente utilização do gerenciamento de riscos para a maximização na criação de valor e na
redução de sua destruição, o de custos organizacionais acaba encontrando pontos de intersecção com o
custo daquele que é aplicado aos riscos.
Exemplo: Uma organização pode, de forma mais assertiva, mensurar os benefícios decorrentes da
implementação de estruturas de trabalho que deem tratamento aos riscos organizacionais.
Imagem: Shutterstock.com
Fortalecimento das organizações em cenários adversos
A alta competitividade existente entre as organizações, que caminham por uma trilha pautada pela
necessidade de maior eficiência e eficácia dos processos organizacionais, enseja um cenário de maior
resiliência delas.
Exemplo: Isso pode ser proporcionado por um gerenciamento de riscos integrado à estratégia e ao
desempenho.
VERIFICANDO O APRENDIZADO
1. A GOVERNANÇA E A CULTURA SÃO DOIS RELEVANTES PILARES QUE CONTRIBUEM PARA A
DEFINIÇÃO DE RESPONSABILIDADES NO GERENCIAMENTO DE RISCOS E DE VALORES
ÉTICOS E COMPORTAMENTAIS DESEJÁVEIS PARA A COMPREENSÃO DOS RISCOS EM TODA A
ORGANIZAÇÃO. INDIQUE UM PRINCÍPIO QUE INTEGRA ESSE COMPONENTE DO COSO 2017.
A) Independência de gestores.
B) Definição da cultura da organização.
C) Estruturas organizacionais eficazes.
D) Avaliação da produtividade da organização.
E) Produtividade por demanda.
2. “O GERENCIAMENTO DE RISCOS CORPORATIVOS DEVE TER COMO BASE DE INTERAÇÃO
ENTRE AS PARTES INTERESSADAS A GERAÇÃO DE INFORMAÇÕES, COMUNICAÇÃO POR
MEIO DE DIVERSOS CANAIS E A DIVULGAÇÃO DAS CITADAS INFORMAÇÕES.” APONTE A
ALTERNATIVA QUE REPRESENTA UM PRINCÍPIO RELACIONADO COM A FRASE APRESENTADA.
A) Informação de riscos sob controle.
B) A comunicação é o canal de informação.
C) Tecnologia da comunicação para todos.
D) Sustentabilidade de comunicação.
E) Comunicação de riscos, da cultura organizacional e do desempenho.
GABARITO
1. A governança e a cultura são dois relevantes pilares que contribuem para a definição de
responsabilidades no gerenciamento de riscos e de valores éticos e comportamentais desejáveis
para a compreensão dos riscos em toda a organização. Indique um princípio que integra esse
componente do COSO 2017.
A alternativa "B " está correta.
A definição da cultura de organização é um dos princípios deste componente do COSO 2017:
“governança e cultura”.
2. “O gerenciamento de riscos corporativos deve ter como base de interação entre as partes
interessadas a geração de informações, comunicação por meio de diversos canais e a divulgação
das citadas informações.” Aponte a alternativa que representa um princípio relacionado com a
frase apresentada.
A alternativa "E " está correta.
A comunicação de riscos, da cultura organizacional e do desempenho é um dos princípios do
componente “informações, comunicação e divulgação”.
MÓDULO 3
 Gerenciamento de controles internos
LIGANDO OS PONTOS
Você consegue identificar, avaliar e dar tratamento aos riscos de uma organização? Para o bom
desempenho dela, é necessária uma adequada avaliação de riscos. Essa avaliação se dá em função da
sua criticidade, isto é, pelo produto de duas principais variáveis:
Probabilidade de ocorrência.
Impacto da ocorrência.
Após conhecerem os riscos já mensurados, os gestores devem dar o respectivo tratamento a eles. Esse
tratamento pode incluir as seguintes ações: aceitar, evitar, reduzir ou compartilhar os riscos.
A empresa Stop S.A. tem por objeto a prestação de serviços rodoviários municipais e adota o modelo
COSO I para gerenciar seus riscos e controles internos. Ao identificar dois riscos com baixa
probabilidade de ocorrência e alto impacto, ela tomou as seguintes decisões:
Risco de greve dos motoristas: Para esse risco, a empresa decidiu não adotar nenhuma
medida. Probabilidade de ocorrência: baixa. Impacto da ocorrência: alta.
Risco de sinistros com os ônibus: Nesse caso, ela resolveu contratar uma seguradora.
Probabilidade de ocorrência: baixa. Impacto da ocorrência: alta.
Ademais, a organização definiu como política interna a redução ou o compartilhamento dos riscos com
criticidade igual ou maior que 3.
Você foi contratado como consultor da Stop S.A. para identificar se o tratamento dado pela empresa está
alinhado com a sua política interna. Como sugestão, considere a escala para apontar a probabilidade e
o impacto da ocorrência:
Alto: 3;
Médio: 2;
Baixo: 1.
APÓS A LEITURA DO CASO, É HORA DE APLICAR SEUS
CONHECIMENTOS! VAMOS LIGAR ESSES PONTOS?
COM BASE NAS INFORMAÇÕES APRESENTADAS NO CASE,
VOCÊ, COMO CONSULTOR, AVALIE SE O TRATAMENTO
DADO PELA EMPRESA ESTÁ ALINHADO COM A SUA
POLÍTICA INTERNA.
A -
Identificação
dos riscos
B -
Probabilidade
de ocorrência
C - Impacto
da
ocorrência
D -
Criticidade
do risco (B
X C)
E -
Tratamento
dos riscos
proposto
1 - Risco de
greve dos
motoristas
1 3 3 Aceitar
2 - Risco de
sinistros com
os ônibus
1 3 3 Compartilhar
 Atenção! Para visualização completa da tabela utilize a rolagem horizontal
RESPOSTA
A proposta dos gestores para tratamento do risco de greve dos motoristas foi aceitar o risco. Contudo,
contradiz a política interna da empresa de compartilhar ou reduzir os riscos com a criticidade deste risco.
1. CONSIDERANDO AS OPÇÕES A SEGUIR, APONTE QUAIS PRINCÍPIOS DEVEM
PAUTAR AS ORGANIZAÇÕES.
A) Eficácia, eficiência, eletividade e economicidade.
B) Eficácia, eficiência, efetividade e economicidade.
C) Eficácia, evidência, eletividade e economicidade.
D) Eficácia, eficiência, externalidades e economicidade.
E) Eficácia, evidência, externalidades e economicidade.
2. VOCÊ, COMO CONSULTOR, DEVE CONHECER O MODELO COSO 2013. ESSE
MODELO PREVÊ QUE, PARA QUE O CONTROLE INTERNO SEJA
OPERACIONALIZADO DE FORMA EFICAZ, É NECESSÁRIA A ATUAÇÃO NOS
SEGUINTES COMPONENTES:
javascript:void(0)
A) ambiente de controle, avaliação de riscos, atividade de detecção, informação e comunicação e
atividade de monitoramento.
B) ambiente de monitoramento, avaliação de riscos, atividade de controle, informação e comunicação e
atividade de monitoramento.
C) ambiente de controle, maturação de riscos, atividade de detecção, informação e comunicação e
atividade de monitoramento.
D) governança e cultura, estratégia e definição de objetivos, desempenho, análise e revisão,
informações, comunicação e divulgação.
E) ambiente de controle, avaliação de riscos, atividade de controle, informação e comunicação e
atividade de monitoramento.
GABARITO
1. Considerando as opções a seguir, aponte quais princípios devem pautar as organizações.
A alternativa "B " está correta.
Os princípios que devem pautar as organizações são estes: eficácia, eficiência, efetividade e
economicidade.
2. Você, como consultor, deve conhecer o modelo COSO 2013. Esse modelo prevê que, para que
o controle interno seja operacionalizado de forma eficaz, é necessária a atuação nos seguintes
componentes:
A alternativa "E " está correta.
Segundo o COSO 2013, é necessária uma atuação nos seguintes componentes: ambiente de controle,
avaliação de riscos, atividade de controle, informação e comunicação, atividade de monitoramento.
Imagem: Pedro Hikaru
GESTÃO DA ORGANIZAÇÃO E CONTROLE
INTERNO
Uma organização, para atender à sua missão e à sua visão, tem de estabelecer, por meio de projetos e
processos organizacionais, objetivos alinhados à sua estratégia, a qual, por sua vez, define as diretrizes
que precisam pautar a atuação da organização no atendimento aos princípios de:
EFICIÊNCIA
EFICÁCIA
EFETIVIDADE
ECONOMICIDADE
Nessa buscade aprimoramento, devem ser definidos os objetivos organizacionais que cooperam para a
operacionalização de ações alinhadas estrategicamente. Na estrutura do COSO 2013, eles podem ser
classificados em três categorias:
OBJETIVOS OPERACIONAIS
Referem-se à eficácia e à eficiência dos processos organizacionais.
OBJETIVOS DE DIVULGAÇÃO
Tratam de objetivos que visam promover a prestação de contas e a transparência das ações da
organização.
OBJETIVOS DE CONFORMIDADE
javascript:void(0)
javascript:void(0)
javascript:void(0)
A conformidade relaciona-se com a aderência da organização às normas, oriundas da legislação
vigente, de órgãos de regulamentação ou de origem interna.
De acordo com o COSO 2013, o controle interno é caracterizado como um processo conduzido pela
estrutura de governança, administração e outros profissionais da entidade, sendo desenvolvido para
proporcionar uma segurança razoável na realização de objetivos relacionados às operações, à
divulgação e à conformidade.
Esse controle atua na estruturação para identificar e avaliar os riscos; no entanto, o tratamento efetivo é
de responsabilidade de gestores e funcionários das áreas específicas da organização.
Nas situações em que o controle interno é implementado em sua integralidade, a organização
consegue colher os seguintes benefícios:
Imagem: Shutterstock.com
Divulgação de informações legítimas e confiáveis para a tomada de decisões.
Imagem: Shutterstock.com
Maior eficiência operacional dos processos organizacionais.
Imagem: Shutterstock.com
Processamento e transparência de informações em todos os níveis da organização.
Imagem: Shutterstock.com
Foco em riscos que ultrapassam os limites de tolerância definidos por ela.
Apesar dos esforços empreendidos pelo controle interno, devemos ressaltar que o espectro de sua
atuação é limitado por depender dos seguintes fatores:
1
Definição de objetivos organizacionais adequados à realidade da organização.
Falha humana na tomada de decisões.
2
3
Possibilidade de a administração ou a força de trabalho não adotar os mecanismos de controle.
Veremos que a estrutura do COSO 2013 contempla objetivos organizacionais, componentes e diversos
níveis hierárquicos dentro de uma organização:
Imagem: COSO 2013
 Estrutura do COSO 2013.
Na estrutura apresentada, temos as três faces do cubo representando:
OS OBJETIVOS ORGANIZACIONAIS
OS COMPONENTES DO CONTROLE INTERNO
OS DIVERSOS NÍVEIS HIERÁRQUICOS DA ORGANIZAÇÃO
 COMENTÁRIO
Com base na primeira figura do nosso estudo, pode-se concluir que os objetivos organizacionais
operacionais, de divulgação e de conformidade são controlados e monitorados pelo ambiente de
controle, pela avaliação de riscos, pela atividade de controle, pela informação e comunicação e pela
atividade de monitoramento em todos os níveis hierárquicos da organização.
Para que o controle interno seja operacionalizado de forma eficaz, é necessária a atuação de cinco
componentes:
Imagem: Shutterstock.com
AMBIENTE DE CONTROLE
Imagem: Shutterstock.com
AVALIAÇÃO DE RISCOS
Imagem: Shutterstock.com
ATIVIDADE DE CONTROLE
Imagem: Shutterstock.com
INFORMAÇÃO E COMUNICAÇÃO
Imagem: Shutterstock.com
ATIVIDADE DE MONITORAMENTO
Esses componentes são direcionados de acordo com princípios específicos. Eles, por sua vez,
desdobram-se em outros 17 princípios:
Componente Princípios
Ambiente de
controle
- Comprometimento da organização com a ética.
- Unidades organizacionais e profissionais de governança atuam de
forma independente e monitoram o controle interno.
- As estruturas organizacionais são definidas para alcance dos
objetivos, com apoio da estrutura de governança.
- Comprometimento na gestão por competências, no alcance de
objetivos.
- Comprometimento de atuação no controle interno, no alcance de
objetivos.
Avaliação de riscos
- Definição clara de objetivos organizacionais para identificação e
tratamento de riscos.
- Identificação e análise de riscos em toda organização para definição
da forma de tratamento destes riscos.
- Percepção de fraude na avaliação de riscos.
- Identificação e avaliação de ocorrências que impactem no sistema de
controle interno.
Atividades de
controle
- Operacionalização de atividades de controle para níveis aceitáveis
de riscos.
- Desenvolvimento de atividades de controle de tecnologia para
alcance dos objetivos organizacionais.
- Estabelecimento de diretrizes e processos para atividades de
controle.
Informação e
comunicação
- Obtenção e utilização de informações de qualidade para suporte do
controle interno.
- Divulgação de informações de apoio ao controle interno.
- Prestação de contas para o público externo acerca de questões que
impactam no controle interno.
Atividade de
monitoramento
- Avaliação contínua e independente do controle interno.
- Comunicação de falhas ou deficiências no controle interno aos
responsáveis, ou quando for o caso, à alta administração e à estrutura
de governança.
 Atenção! Para visualização completa da tabela utilize a rolagem horizontal
Quadro: Componentes e princípios do COSO 2013.
Elaborado por Pedro Hikaru.
AMBIENTE DE CONTROLE
O ambiente de controle refere-se aos processos e às estruturas organizacionais atuantes de acordo com
as normas definidas para a operacionalização do controle interno. Devem ser definidas regras de
negócios do controle interno em todos os processos nos níveis hierárquicos.
O ambiente de controle do COSO 2013 é baseado nos seguintes princípios:
Comprometimento da organização com a ética.
Unidades organizacionais e profissionais de governança atuam de forma independente e monitoram o
controle interno.
As estruturas organizacionais são definidas para o alcance dos objetivos, contando com o apoio da
estrutura de governança.
Há um comprometimento na gestão por competências para o alcance de objetivos.
Existe um comprometimento de atuação no controle interno para o alcance de objetivos.
O ambiente de controle está intimamente ligado aos valores éticos, à integridade de atuação e às
competências das pessoas na condução de atividades que não estão ligadas diretamente à entrega de
produtos e serviços. Ele busca validar o comprometimento da organização em todos os seus
níveis com os seus objetivos.
O AVALIAÇÃO DE RISCOS
No vídeo a seguir, o professor Pedro Hikaru Oishi fala sobre a avaliação de riscos. Vamos assistir!
Uma organização, em suas atividades de gestão, passa por eventos de riscos que podem impactar no
alcance de resultados. Para que sejam tomadas medidas de tratamento de tais eventos de forma
tempestiva, é necessário que o processo de avaliação de riscos transcorra de forma dinâmica em
relação à ocorrência de um evento com potencial para prejudicar o alcance de objetivos
organizacionais.
javascript:void(0)
OBJETIVOS ORGANIZACIONAIS
Precisam estar definidos em uma etapa anterior à da identificação e do tratamento de riscos.
Para que a avaliação de riscos seja realizada de maneira satisfatória, devem ser atendidos os seguintes
princípios:
Imagem: Shutterstock.com
Definição clara de objetivos organizacionais para a identificação e o tratamento de riscos.
Imagem: Shutterstock.com
Identificação e análise de riscos em toda a organização para a definição da forma de tratamento deles.
Imagem: Shutterstock.com
Percepção de fraude na avaliação deles.
Imagem: Shutterstock.com
Identificação e avaliação de ocorrências que impactem no sistema de controle interno.
Para que a avaliação de riscos contribua para o controle interno, ela precisa estar inserida de forma
alinhada aos objetivos organizacionais, situação em que pode contribuir para a redução de impactos
negativos.
Deve-se compreender que a avaliação de riscos ocorre em função de duas principais variáveis:
PROBABILIDADE DE OCORRÊNCIA
Com base em métodos quantitativos ou até mesmo empíricos, pode-se analisar a probabilidade da
ocorrência de um risco capaz de impactar no alcance de objetivos organizacionais.
IMPACTO DE OCORRÊNCIAA ocorrência de um evento de risco na execução de um processo pode trazer um pequeno ou grande
impacto no alcance de objetivos organizacionais.
Já a criticidade corresponde ao produto matemático da probabilidade de ocorrência e do seu impacto. A
partir da criticidade do risco, uma organização precisa efetivar sua avaliação para fins de identificação
de riscos e respectivas formas de tratamento.
De acordo com o risco identificado, ela pode adotar uma destas formas de tratamento:
Imagem: Shutterstock.com
javascript:void(0)
javascript:void(0)
ACEITAR
Não é executada nenhuma ação de tratamento de riscos. A organização entende que o risco é aceitável
e não traz grande impacto para determinado processo de trabalho.
Imagem: Shutterstock.com
EVITAR
O processo organizacional que implica riscos organizacionais é suprimido da organização. Essa medida,
apesar de suprimir o risco, pode impedir, por exemplo, que ela implemente iniciativas de inovação ou
melhorias.
Imagem: Shutterstock.com
REDUZIR
Essa forma de tratamento refere-se à redução do impacto ou da probabilidade de ocorrência do risco.
Tal abordagem está vinculada a tratativas específicas para cada situação de risco.
Imagem: Shutterstock.com
COMPARTILHAR
A redução do impacto ou da probabilidade de ocorrência do risco pode ocorrer por meio da transferência
dele para terceiros. Um exemplo clássico é a contratação de seguros.
ATIVIDADES DE CONTROLE
As atividades de controle são criadas para o tratamento dos riscos que possam gerar um impacto no
alcance de objetivos organizacionais. Sua implementação é efetuada em todos os níveis hierárquicos da
organização com base em normas e políticas definidas.
Esse componente pode contemplar a adoção das seguintes atividades:
Segregação de funções
Verificações de atividades
Implementação de instâncias de autorizações
Plano de continuidade de negócios
Definição de indicadores e metas de desempenho
Controles físicos
No bojo das atividades de controle, estão dispostos os seguintes princípios:
Imagem: Shutterstock.com
Operacionalização de atividades de controle para níveis aceitáveis de riscos.
Imagem: Shutterstock.com
Desenvolvimento de atividades de controle de tecnologia para o alcance dos objetivos organizacionais.
Imagem: Shutterstock.com
Estabelecimento de diretrizes e processos para essas atividades.
Usualmente, as atividades de controle não são implementadas quando a organização opta por aceitar
ou evitar determinado risco. A situação será diversa quando ela preferir reduzir ou compartilhá-lo: tais
javascript:void(0)
javascript:void(0)
javascript:void(0)
atividades, conforme seu nível aceitável de riscos, deverão se fazer presentes.
Na implementação dessas atividades, são analisadas as seguintes questões:
Imagem: Shutterstock.com
COMPLETUDE
Verificação da extensão de execução dos processos organizacionais.
Imagem: Shutterstock.com
EXATIDÃO
Análise da eficácia do processo organizacional.
Imagem: Shutterstock.com
VALIDADE
Verificação da efetividade do processo organizacional.
INFORMAÇÃO E COMUNICAÇÃO
A organização atua por meio de comunicações internas e externas que devem contribuir para o alcance
de objetivos. As informações devem ser legítimas e de qualidade para que possam ser divulgadas pelo
processo de comunicação. A geração e a divulgação delas, por fim, precisam ser garantidas por ela na
operacionalização do controle interno.
Esse componente segue os seguintes princípios:
1
Obtenção e utilização de informações de qualidade para o suporte do controle interno.
Divulgação de informações de apoio ao controle interno.
2
3
Prestação de contas para o público externo acerca de questões que impactam no controle interno.
Já a qualidade das informações é assegurada a partir do cumprimento dos seguintes requisitos:
Acessíveis às partes interessadas.
Confiáveis e atuais.
Asseguradas por boas práticas de segurança da informação.
Legítimas e apoiadas em formas de verificação.
Quanto ao método de comunicação, é preciso observar os seguintes pontos:
Cuidados no tom de voz e na comunicação não verbal existente em uma verbal.
Diferenças culturais, étnicas, sociais e econômicas, entre outras, podem influenciar na recepção de
mensagens enviadas. Deve-se assegurar que tais diferenças não contribuem para o erro de
interpretação da mensagem.
Avaliação da conveniência de métodos formais ou informais de acordo com o público-alvo.
Diante do retrospecto histórico de fraudes contábeis e financeiras ocorridas em todo o mundo, as
organizações passaram a ser mais demandadas para uma atuação mais transparente na prestação de
contas. Essa mudança de postura colaborou para o aprimoramento do processo de criação e
comunicação das informações na administração pública e na iniciativa privada.
 SAIBA MAIS
Propostas de referenciais de governança do Tribunal de Contas da União e do Instituto Brasileiro de
Governança Corporativa fortaleceram o processo de comunicação das organizações com o público
externo.
ATIVIDADES DE MONITORAMENTO
Para que os cinco componentes do controle interno estejam em operação da forma planejada, devem
ser executadas atividades de monitoramento para a correção de rumos, o cancelamento ou a
substituição de atividades.
Essas atividades podem ser realizadas de forma contínua, durante a execução da atividade, ou por uma
avaliação independente, que é conduzida por auditorias internas e externas.
Nas atividades de monitoramento, são respeitados os seguintes princípios:
Avaliação contínua e independente do controle interno

Comunicação de falhas ou deficiências nesse controle aos responsáveis ou, quando for o caso, à alta
administração e à estrutura de governança
VERIFICANDO O APRENDIZADO
1. COMPLETE O TEXTO A SEGUIR: “UMA ____, PARA ATENDER À SUA ____ POR MEIO DE
PROJETOS E PROCESSOS ORGANIZACIONAIS, DEVE ESTABELECER OBJETIVOS ALINHADOS
À SUA ____”.
A) Diretoria, programação, necessidade.
B) Avaliação, contabilidade, conformidade.
C) Organização, missão e visão, estratégia.
D) Estratégia, conformidade, ambição.
E) Assessoria, sustentabilidade, competência.
2. OS TRÊS CUBOS DO COSO 2013 REPRESENTAM AS SEGUINTES VARIÁVEIS:
A) Objetivos organizacionais, componentes e níveis hierárquicos da organização.
B) Eficácia, eficiência e efetividade.
C) Estratégia, processos e projetos.
D) Projetos, processos e indicadores.
E) Processos, indicadores e metas.
GABARITO
1. Complete o texto a seguir: “Uma ____, para atender à sua ____ por meio de projetos e
processos organizacionais, deve estabelecer objetivos alinhados à sua ____”.
A alternativa "C " está correta.
O alinhamento dos objetivos à estratégia por meio de projetos e processos atende à missão e à visão de
uma organização.
2. Os três cubos do COSO 2013 representam as seguintes variáveis:
A alternativa "A " está correta.
As três faces do cubo representam, de acordo com o COSO 2013, os objetivos organizacionais, os
componentes e os níveis hierárquicos da organização.
MÓDULO 4
 Auditoria interna e riscos
LIGANDO OS PONTOS
Você sabe identificar os tipos de riscos envolvidos na auditoria? Ela constitui uma atividade de avaliação
objetiva e independente da gestão de riscos, controles e governança da organização.
Essa atividade traz consigo riscos que se referem à probabilidade de existência de falhas ou erros que
não serão detectados, podendo incorrer na emissão de opiniões dos auditores que não retratem os reais
problemas da organização.
Por isso, é necessário elaborar um planejamento de auditoria considerando que o processo de trabalho
de auditoria está sujeito a ser afetado pelos seguintes riscos:
Risco de distorção relevante.
Risco inerente.
Risco de controle.
Risco de detecção.
O auditor interno sênior da Seasa S.A. iniciou a elaboração do planejamento de auditoria com o seguinte
escopo: avaliar as devoluções de vendas de uma companhia do ramo alimentício. Após realizar
indagações à administração, realizar procedimentos analíticoscorrelacionando a conta contábil de
devolução com os indicadores de vendas e fazer observações, bem como inspeções para compreender
mais o processo de devolução de vendas, esse auditor concluiu seu planejamento de auditoria.
Durante a elaboração do planejamento, ele identificou riscos decorrentes das demonstrações contábeis
anteriores ao processo de auditoria devido ao fato de os cálculos de devolução serem mais complexos
que as operações usuais, já que eles envolvem impostos e controles de entrada dos caminhos que
precisam ser testados. Dessa forma, o auditor resolveu realizar testes nos cálculos da conta e nos
controles de entrada e saída de mercadorias.
APÓS A LEITURA DO CASO, É HORA DE APLICAR SEUS
CONHECIMENTOS! VAMOS LIGAR ESSES PONTOS?
DIANTE DESSE QUADRO, VOCÊ É CAPAZ DE APONTAR OS
TIPOS DE RISCOS DE AUDITORIA IDENTIFICADOS PELO
AUDITOR QUE ACARRETARAM O PLANEJAMENTO DOS
TESTES MENCIONADOS?
RESPOSTA
O teste nos cálculos da conta de devolução visa a mitigar o risco inerente da conta devido à sua maior
complexidade se comparada às demais. Já o teste nos controles de entrada e saída de mercadorias busca
mitigar o risco de controle, isto é, de os controles internos existirem, mas não funcionarem adequadamente.
javascript:void(0)
1. SABER CLASSIFICAR OS RISCOS É ESSENCIAL PARA O PROFISSIONAL DE
AUDITORIA. OS RISCOS QUE SE REFEREM À PRÓPRIA NATUREZA DA CONTA
SÃO, PARA FINS DE INTERPRETAÇÃO, CLASSIFICADOS COMO UM RISCO:
A) inerente.
B) de controle.
C) de detecção.
D) de distorção relevante.
E) de auditoria.
2. CLASSIFICAR OS PROCEDIMENTOS DE AUDITORIA É ESSENCIAL PARA O
PROFISSIONAL DESSA ÁREA. O PROCEDIMENTO DE AUDITORIA QUE AVALIA A
EFETIVIDADE OPERACIONAL DOS CONTROLES COM OBJETIVO DE PREVENIR,
DETECTAR E CORRIGIR DISTORÇÕES RELEVANTES NO NÍVEL DAS
INFORMAÇÕES É O:
A) teste substantivo.
B) teste de detalhes.
C) teste de controle.
D) procedimento analítico.
E) teste de detecção.
GABARITO
1. Saber classificar os riscos é essencial para o profissional de auditoria. Os riscos que se
referem à própria natureza da conta são, para fins de interpretação, classificados como um risco:
A alternativa "A " está correta.
O risco inerente refere-se à própria natureza da conta, isto é, quanto maior a complexidade de sua
natureza para fins de interpretação, maior será o risco inerente.
2. Classificar os procedimentos de auditoria é essencial para o profissional dessa área. O
procedimento de auditoria que avalia a efetividade operacional dos controles com objetivo de
prevenir, detectar e corrigir distorções relevantes no nível das informações é o:
A alternativa "C " está correta.
Teste de controle é o procedimento de auditoria que avalia a efetividade operacional dos controles com
objetivo de prevenir, detectar e corrigir distorções relevantes no nível das informações.
Imagem: Pedro Hikaru
RISCOS DE AUDITORIA
Deve-se diferenciar preliminarmente a auditoria de riscos na organização, cujo objeto está alinhado com
sua forma de gerenciamento, dos riscos de auditoria, que dizem respeito aos de uma auditoria gerar
opiniões que não retratam as distorções de informações financeiras e contábeis, as quais, aliás, também
podem conter fraudes e erros acima do aceitável.
O risco de auditoria está presente em todas as etapas de planejamento, execução e apresentação de
resultados de uma delas. Ele constitui a probabilidade de existências de falhas ou erros que não são
detectados durante uma auditoria.
O risco de auditoria é uma função dos riscos:
INERENTES
DE CONTROLE
DE DETECÇÃO
Os três serão detalhados nos próximos tópicos.
No exercício de suas atividades, o auditor tem de estipular o grau de certeza que deve ser alcançado
para que, dependendo do caso de uma auditoria interna ou externa, seja possível emitir uma
recomendação ou uma opinião. Sua valoração é altamente subjetiva, razão pela qual isso pode ensejar
diversas interpretações.
Imagem: Shutterstock.com
 EXEMPLO
O auditor pode querer 90% de certeza de seus achados. Neste caso, incorre-se em 10% de risco de
auditoria.
Comumente, aceita-se o valor de 5% de riscos. Como eles podem ser gerados dentro ou fora da
organização, o auditor precisa identificá-los e avaliá-los para uma maior eficácia da auditoria.
O risco de auditoria pode ser decorrente de nove fatores:
Imagem: Shutterstock.com
ÁREA DE ATUAÇÃO
A área de atuação em que a organização está inserida contribui para um nível mais baixo ou mais alto
de auditoria.
Exemplo: uma área com alto grau de maturidade contribui para um nível mais baixo; entretanto, uma
área de atuação nova no mercado, com alta sensibilidade a fatores externos, pode ensejar um risco
mais alto.
Imagem: Shutterstock.com
FILOSOFIA DE GESTÃO
Quanto mais conservadora a gestão de uma organização, maior a probabilidade de riscos de auditoria
mais baixos, isto é, uma organização focada em uma gestão mais agressiva pode implicar riscos mais
altos.
Imagem: Shutterstock.com
CONTROLES INTERNOS
Uma organização provida de um sistema de controles internos pode cooperar para um nível mais baixo
de riscos em detrimento de outra que não adota tais controles em suas operações financeiras e
contábeis.
Imagem: Shutterstock.com
HISTÓRICO DE AUDITORIAS ANTERIORES
A inexistência de um histórico ou de uma opinião com ressalvas pode contribuir para riscos mais altos,
porém opiniões limpas com poucos ajustes podem trazer riscos mais baixos.
Imagem: Shutterstock.com
ROTATIVIDADE DE DIREÇÃO
Uma alta rotatividade de direção pode significar a não continuidade de uma gestão, gerando riscos mais
altos. De forma contrária, a continuidade dela pode contribuir para que eles sejam mais baixos.
Imagem: Shutterstock.com
LITIGIOSIDADE COM FUNCIONÁRIOS E OUTRAS
ORGANIZAÇÕES
Uma maior litigiosidade pode significar uma gestão mais conturbada e com o potencial de apresentar
riscos altos de auditoria. No entanto, se ela for baixa, poderá trazer como consequência riscos menores.
Imagem: Shutterstock.com
REPUTAÇÃO DOS GESTORES
Uma organização cujos gestores preocupados estão com sua reputação pode ter como fruto direto uma
preocupação com boas práticas de gestão e, consequentemente, baixos riscos. Já aqueles que não se
preocupam com sua reputação podem não ter a mesma atenção com ela e, com isso, acarretar riscos
altos de auditoria.
Imagem: Shutterstock.com
COMPREENSÃO DO PAPEL DA AUDITORIA
Uma compreensão do papel da auditoria traz em seu bojo um melhor preparo dos gestores, o que
implicitamente pode cooperar para a melhor geração de relatórios com um menor índice de falhas e
erros e um baixo risco de auditoria.
Já nos casos de pouco conhecimento ou desconhecimento, os riscos passam a ser mais altos.
Imagem: Shutterstock.com
CONFLITO DE INTERESSES
O conflito de interesses dos gestores de uma organização contribui para um quadro de riscos maiores
que uma situação demarcada pela ausência de conflitos, o que, por si só, já implica riscos mais baixos.
TIPOS DE RISCOS ENVOLVIDOS NA AUDITORIA
No vídeo a seguir, o professor Pedro Hikaru Oishi comenta sobre os tipos de riscos envolvidos na
auditoria. Vamos assistir!
PROCESSO DE AUDITORIA
Ele pode ser afetado pelos seguintes tipos de riscos:
RISCO DE DISTORÇÃO RELEVANTE
Presentes nas demonstrações contábeis anteriores ao processo de auditoria, eles se encontram
presentes nos registros contábeis. Esse tipo de risco é decorrente de dois riscos: o inerente e de
controle.
RISCO INERENTE
Ele é vinculado à própria natureza da conta: quanto maior for a complexidade de sua natureza para fins
de interpretação, maior será o risco inerente.
Exemplo: um cálculo mais complexo de uma conta tem um risco inerente maior que um simples.
RISCO DE CONTROLE
O risco de controle refere-se ao grau de eficácia dos controles definidos para determinada operação. É o
risco que pode ocorrer, mesmo com a existência do controle interno. Quanto maior o controle, menor o
risco dele.
RISCO DE DETECÇÃO
Refere-se ao risco de o auditor não detectardistorções existentes.
Exemplo: trata-se do procedimento de reduzir os riscos de uma auditoria não conseguir detectar uma
distorção relevante, individual ou conjugada com outras distorções.
RELAÇÃO ENTRE OS RISCOS
Veremos agora a relação entre os riscos inerentes, de controle, de detecção e de auditoria:
Imagem: Pedro Hikaru
 Relação entre os riscos.
MATERIALIDADE
Os riscos são mensurados em função da:
Materialidade a ser definida pelo auditor de acordo com as circunstâncias particulares e específicas de
cada organização na seleção de assuntos

Extensão e natureza das distorções
A materialidade pode variar conforme a auditoria e ter aspectos qualitativos além dos quantitativos. Sua
definição depende da percepção do auditor em relação às informações de ordem financeira dos usuários
das demonstrações contábeis.
A materialidade e os riscos devem ser analisados de forma proporcional inversa, isto é, quanto maiores
os riscos, menor a materialidade. Segundo a mesma lógica, podemos dizer que, quanto menores eles
forem, maior ela será.
 ATENÇÃO
Os riscos de auditoria podem ser mantidos em um nível aceitável baixo, mas eles nunca poderão ser
zerados; afinal, todo trabalho implica a existência deles.
PROCEDIMENTOS DE AVALIAÇÃO DE RISCOS
De acordo com a norma NBC TA 315 (R1) do Conselho Federal de Contabilidade, os procedimentos de
avaliação de riscos são o conjunto de procedimentos utilizados para identificar e avaliar os riscos de
uma distorção relevante nas demonstrações contábeis e nas afirmações.
Imagem: Norma MBC TA 315 (R1)
 Procedimentos de avaliação de riscos.
Esses procedimentos são os primeiros a serem executados pelo auditor no processo de auditoria.
Falaremos a seguir sobre três deles:
INDAGAÇÕES À ADMINISTRAÇÃO
Referem-se aos procedimentos de indagação às pessoas que disponham de informações que possam
ajudar na identificação de riscos relevantes por fraude ou erro.
PROCEDIMENTOS ANALÍTICOS
Tratam daqueles referentes à avaliação da relação entre dados financeiros e não financeiros. Essa
correlação pode elucidar questões esclarecedoras no processo de auditoria.
javascript:void(0)
javascript:void(0)
OBSERVAÇÃO E INSPEÇÃO
Coletam-se dados da organização e do seu ambiente para dar suporte às indagações feitas à
administração.
 EXEMPLO
Para subsidiar a avaliação de riscos, o auditor pode utilizar procedimentos substantivos ou testes de
controles. Ambos também podem ser usados de forma combinada para sua maior eficácia.
PROCEDIMENTO SUBSTANTIVO
De acordo com a norma NBC TA 330(R1) do Conselho Federal de Contabilidade, o procedimento
substantivo é o procedimento de auditoria planejado para detectar distorções relevantes no nível de
afirmações.
Imagem: Pedro Hikaru
 Procedimento substantivo.
ESTRUTURA
A estrutura desse procedimento será demonstrada a seguir:
TESTES DE DETALHES
javascript:void(0)
PROCEDIMENTOS ANALÍTICOS
CLASSIFICAÇÃO DOS PROCEDIMENTOS
TESTES DE DETALHES
Consiste na identificação e validação de registros por meio de procedimentos de auditoria. São
procuradas evidências que suportem os registros, os quais, por sua vez, se fundamentam nas
afirmações da organização.
PROCEDIMENTOS ANALÍTICOS
Tratam dos procedimentos referentes à avaliação da relação entre dados financeiros e não financeiros.
Essa correlação pode elucidar questões esclarecedoras no processo de auditoria.
CLASSIFICAÇÃO DOS PROCEDIMENTOS
Os procedimentos substantivos são divididos pelos seguintes tipos:
Inspeção.
Observação.
Recálculo.
Reexecução.
Procedimentos analíticos e indagação (já citados anteriormente).
OUTROS QUESITOS
Abordaremos agora outros quesitos relativos ao procedimento substantivo:
Imagem: Shutterstock.com
INSPEÇÃO
Análise de registros e documentos físicos ou eletrônicos, internos ou externos, para fins de coleta de
evidências.
Exemplo: lançamentos contábeis e relatórios financeiros podem passar por inspeções.
Imagem: Shutterstock.com
OBSERVAÇÃO
É uma análise de processo organizacional que possibilita a coleta de evidência na execução, embora se
limite ao espaço temporal de observação.
Exemplo: a conferência de bens patrimoniais configura a adoção da observação em uma auditoria.
Imagem: Shutterstock.com
RECÁLCULO
Trata-se da conferência de cálculos matemáticos de documentos e registros.
Exemplo: conferir os lançamentos contábeis de um balanço patrimonial enquadra-se nesse tipo de
procedimento substantivo.
Imagem: Shutterstock.com
REEXECUÇÃO
Consiste na execução do procedimento de controle interno definido pela organização e pelo auditor.
Exemplo: a realização de uma conferência de atividades realizadas constitui, enquanto atividade de
controle, uma reexecução.
TESTES DE CONTROLE
Trata-se de um procedimento de auditoria que avalia a efetividade operacional dos controles com o
objetivo de prevenir, detectar e corrigir distorções relevantes no nível das informações.
Os testes de controle são regulados pela norma NBC TA 330(R1) do Conselho Federal de Contabilidade
quanto à aplicabilidade, à natureza e à extensão deles.
Esse procedimento deve ser realizado em duas situações:
Nas situações em que o auditor confia que os controles estão em operação na organização, de forma
efetiva, para determinar a natureza, a época e a extensão dos procedimentos substantivos.

Nos casos em que os procedimentos substantivos não trazem evidências de auditoria suficientes no
quesito informações.
 COMENTÁRIO
Esses testes avaliam os controles internos que podem ter sido implementados de acordo com os
princípios do COSO 2013 (apresentado no módulo anterior).
Analisemos a natureza e a extensão dos testes de controle.
Quanto a elas, o auditor, nas atividades de planejamento e execução, precisa observar as seguintes
questões:
EVIDÊNCIAS DE AUDITORIA
Análise das evidências de auditoria sobre a efetividade operacional dos controles que, com outros
procedimentos de auditoria, contemple o modo de aplicação dos controles em determinado período,
consistência de aplicação, responsáveis e formas de aplicação.
EXISTÊNCIA DE CONTROLES INDIRETOS
Questionamento, para fins de coleta de evidência, sobre a existência de controles indiretos que apoiem
os controles.
javascript:void(0)
javascript:void(0)
VERIFICANDO O APRENDIZADO
1. PREENCHA O TEXTO A SEGUIR: “O PROCESSO DE AUDITORIA PODE SER AFETADO PELOS
SEGUINTES TIPOS DE RISCOS: RISCO DE ____ RELEVANTE, ____ INERENTE, RISCO DE ____ E
RISCO DE DETECÇÃO”.
A) Conformidade, fator, complexidade.
B) Altura, taxa, produtividade.
C) Distorção, risco, controle.
D) Avaliação, risco, assessoria.
E) Estratégia, taxa, complexidade.
2. OS RISCOS SÃO MENSURADOS EM FUNÇÃO TANTO DA MATERIALIDADE A SER DEFINIDA
PELO AUDITOR SEGUNDO CIRCUNSTÂNCIAS PARTICULARES E ESPECÍFICAS DE CADA
ORGANIZAÇÃO NA SELEÇÃO DE ASSUNTOS QUANTO DA EXTENSÃO E DA NATUREZA DAS
DISTORÇÕES. APONTE A ALTERNATIVA CORRETA.
A) A análise sob a ótica contábil implica riscos de materialidade.
B) Realizada por auditores, a análise de materialidade depende de variáveis da sustentabilidade.
C) Materialidade e evidências físicas se integram em função da similaridade física.
D) A materialidade e os riscos devem ser analisados de forma proporcional inversa.
E) Projetos de melhoria de processos.
GABARITO
1. Preencha o texto a seguir: “O processo de auditoria pode ser afetado pelos seguintes tipos de
riscos: risco de ____ relevante, ____ inerente, risco de ____ e risco de detecção”.
A alternativa "C " está correta.
Riscos de distorção relevante, inerente, de controle e de detecção são os tipos de risco do processo de
auditoria.
2. Os riscos são mensurados em função tanto da materialidade a ser definida pelo auditor
segundo circunstâncias particulares e específicas de cada organização na seleção de assuntos
quanto da extensão e da natureza das distorções. Aponte a alternativa correta.
A alternativa "D " está correta.
Quanto maiores os riscos, menor a materialidade. Quanto menor eles forem, maior ela será.