39665250-controles-internos-segundo-o-coso-i-e-o-coso-ii

Prévia do material em texto

SISTEMA DE ENSINO
AUDITORIA 
GOVERNAMENTAL
Controles Internos 
segundo o COSO I e o COSO II
Livro Eletrônico
2 de 72www.grancursosonline.com.br
Controles Internos segundo o COSO I e o COSO II
AUDITORIA GOVERNAMENTAL
Marcelo Aragão
Sumário
Controles Internos segundo o COSO I e o COSO II ................................................................... 3
Controle Interno (COSO I) .............................................................................................................. 3
Definição ........................................................................................................................................... 3
Objetivos ........................................................................................................................................... 5
Limitações dos Controles Internos de uma Entidade ............................................................. 6
Componentes de Controle Interno .............................................................................................. 7
Funções e Responsabilidades .....................................................................................................12
Eficácia dos Controles Internos ..................................................................................................13
Enterprise Risk Management (COSO ERM) – Estrutura Integrada de Gerenciamento 
de Riscos (COSO II) ........................................................................................................................ 14
Conceitos Básicos ..........................................................................................................................15
Definição de Gerenciamento de Riscos Corporativos ............................................................16
Categorias de Objetivos ............................................................................................................... 18
Componentes do Gerenciamento de Riscos Corporativos ...................................................20
Relacionamento entre Objetivos e Componentes ................................................................. 30
Abrangência do Controle Interno ...............................................................................................31
Eficácia do Gerenciamento de Riscos ........................................................................................31
Limitações ...................................................................................................................................... 32
Técnicas de Avaliação .................................................................................................................. 33
COSO ERM 2017 .............................................................................................................................. 35
Resumo ............................................................................................................................................38
Mapas Mentais ..............................................................................................................................40
Questões de Concurso ................................................................................................................. 41
Gabarito ............................................................................................................................................71
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
3 de 72www.grancursosonline.com.br
Controles Internos segundo o COSO I e o COSO II
AUDITORIA GOVERNAMENTAL
Marcelo Aragão
CONTROLES INTERNOS SEGUNDO O COSO I E O COSO II 
Inicialmente, para aqueles que ainda não conhecem o COSO, é preciso esclarecer o que 
significa!
COSO é a sigla de Committee of Sponsoring Organizations da National Comission on Frau-
dlent Financial Reporting, também conhecida como Treadeway Comission. Traduzindo, signifi-
ca “Comitê das Entidades Patrocinadoras”.
Criado em 1985, constitui uma entidade do setor privado, sem fins lucrativos, voltada para 
o aperfeiçoamento da qualidade de relatórios financeiros por meio de éticas profissionais, im-
plementação de controles internos e governança corporativa.
São cinco as organizações norte-americanas que patrocinam o citado comitê:
• American Institute of Certified Public Accountants – AICPA;
• American Accounting Association – AAA;
• The Institute of Internal Auditors – IIA;
• Institute of Management Accountants – IMA; e
• Financial Executives Institute – FEI.
Em 1992, o COSO publicou um estudo relevante sobre controle interno intitulado “Controles 
Internos – Estrutura Integrada”, para ajudar empresas e outras organizações a avaliar e aper-
feiçoar seus sistemas de controle interno. Desde então, a referida estrutura foi incorporada 
em políticas, normas e regulamentos adotados por milhares de organizações para controlar 
melhor suas atividades visando ao cumprimento dos objetivos estabelecidos.
Esse estudo é muitas vezes chamado de Relatório COSO e muitos profissionais do ramo 
de contabilidade e de auditoria o denominam de COSO I, em virtude de mais recentemente o 
COSO ter publicado outro estudo relevante sobre Gerenciamento de Risco.
Em 2004, o COSO publicou o estudo denominado Gerenciamento de Riscos - Estrutura Inte-
grada (ERM – Enterprise Risk Management), comumente denominado de COSO II.
Em maio de 2013, o COSO publicou uma nova versão do estudo acerca dos Controles Inter-
nos: Estrutura Integrada de Controles Internos 2013.
Vamos começar pelo primeiro estudo do Comitê, acerca do controle interno.
Controle Interno (CoSo I)
DefInIção
A definição de controle interno existente no Relatório COSO é:
Controle interno é um processo, conduzido pelo conselho de administração, diretoria e por todo o 
pessoal da organização, projetado para fornecer segurança razoável quanto à realização de objeti-
vos nas seguintes categorias:
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
4 de 72www.grancursosonline.com.br
Controles Internos segundo o COSO I e o COSO II
AUDITORIA GOVERNAMENTAL
Marcelo Aragão
- operacional (eficácia e eficiência das operações);
- comunicação (confiabilidade das informações e relatórios);
- conformidade (cumprimento de leis e regulamentações aplicáveis).
Essa definição reflete certos conceitos fundamentais. Segundo o COSO, o controle interno é:
• orientado para a consecução de objetivos em uma ou mais categorias - operacionais, 
informacionais e de conformidade. Controle existe para propiciar que as organizações 
alcancem determinados objetivos;
• um processo constituído de tarefas e atividades contínuas - um meio para um fim, não 
um fim em si. O controle não é um fato ou circunstância ou um fim em si mesmo, mas 
uma série de ações que permeiam as atividades da entidade com determinado fim. Es-
sas ações se dão em todas as operações da entidade, de modo contínuo. São ações ine-
rentes à maneira pela qual a gerência administra a organização. O sistema de controle 
interno deve ser interligado às atividades da entidade e torna-se mais efetivo quando é 
concebido dentro da estrutura organizacional da entidade e é parte integrante da essên-
cia da organização;
• efetuado por pessoas - não se trata apenas de políticas e manuais acerca de procedi-
mentos, sistemas e formulários, mas de pessoas e as ações que elas tomam em todos 
os níveis de uma organização para efetuar o controle interno;
• capazde fornecer uma garantia ou segurança razoável – não importa quão bem plane-
jado ou executado esteja, o controle interno não pode dar segurança absoluta à gerên-
cia, em relação ao alcance dos objetivos gerais. Em vez disso, as diretrizes reconhecem 
que apenas um nível razoável de segurança pode ser alcançado. A segurança razoável 
reflete a noção sobre incerteza e os riscos futuros que não podem ser previstos com 
segurança absoluta e reconhece que o custo do controle interno não deve exceder os 
benefícios que dele derivam;
• adaptável à estrutura da entidade - uma aplicação flexível para toda a entidade ou uma 
subsidiária, divisão, unidade operacional ou um processo de negócio. Portanto, O con-
trole interno não é responsabilidade apenas de um setor ou departamento especializado 
da entidade, mas de todas as áreas e unidades dessa organização.
Essa definição é intencionalmente abrangente. Ela captura conceitos importantes que são 
fundamentais para a forma como as organizações desenvolvem, implementam e conduzem o 
controle interno, proporcionando uma base para aplicação a todas as organizações que ope-
ram em diferentes estruturas de entidades, indústrias e regiões geográficas.
O fator humano é fundamental na definição de controle interno do COSO. Assim, controle 
interno não é apenas um manual ou um formulário, mas abrange todo o conjunto de pessoas 
que interagem com a organização, independentemente do nível em que atuam.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
5 de 72www.grancursosonline.com.br
Controles Internos segundo o COSO I e o COSO II
AUDITORIA GOVERNAMENTAL
Marcelo Aragão
Cuidado em prova com afirmação de que somente a alta administração, a gerência e/ou a 
auditoria possuem responsabilidade perante o controle interno.
As pessoas que conduzem os controles internos incluem o conselho de administração, a 
administração, a gerência e todos os empregados e membros do quadro de pessoal em geral. 
Portanto, todas as pessoas que pertencem à organização têm responsabilidades quanto aos 
controles internos e todos desempenham um papel importante na execução do controle. As 
pessoas devem conhecer seus papéis, suas responsabilidades e os limites de autoridade.
Em uma prova para a Controladoria-Geral do Município do Rio de Janeiro, se não estou en-
ganado, realizada em 2008, caiu uma questão interessante que pedia para o candidato marcar 
a alternativa que correspondia a quem possuía a responsabilidade pelos controles internos no 
âmbito do Município do Rio de Janeiro, de acordo com o COSO.
As alternativas eram: do Prefeito do Município; do Tribunal de Contas do Município; do Pre-
feito em conjunto com o Tribunal de Contas; de todos os servidores do Município.
Bom, você já deve imaginar a resposta correta. É uma responsabilidade de todos os servi-
dores do Município.
Segundo o estudo do Coso, o controle interno não é um processo em série, mas sim um pro-
cesso dinâmico e integrado. A Estrutura aplica-se a todas as entidades de grande, médio e pe-
queno portes, com e sem fins lucrativos, além de órgãos governamentais. Cada organização, 
entretanto, pode escolher implementar o controle interno de forma diferente. Por exemplo, o 
sistema de controle interno de uma entidade de pequeno porte pode ser menos formal e estru-
turado, mas ainda ser eficaz.
objetIvoS
Pela definição do Comitê, as organizações devem implantar controles internos para garan-
tir que os seus objetivos sejam alcançados.
O controle interno é direcionado para o alcance de uma série de objetivos gerais, distintos, 
mas ao mesmo tempo integrados. Esses objetivos são implementados através de numerosos 
objetivos específicos, funções, processos e atividades.
Segundo o Comitê, são três as categorias de objetivos:
• Operacional: esses objetivos são relacionados com a eficiência e eficácia dos proces-
sos operacionais, incluindo o desempenho quanto ao alcance das metas financeiras e/
ou operacionais, e também a salvaguarda dos ativos contra a ameaça de perdas;
• Comunicação ou Divulgação: esses objetivos relacionam-se a divulgações financeiras e 
não financeiras, internas e externas, podendo abranger os requisitos de confiabilidade, 
oportunidade, transparência ou outros termos estabelecidos pelas autoridades normati-
vas, órgãos normatizadores reconhecidos, ou às políticas da entidade;
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
6 de 72www.grancursosonline.com.br
Controles Internos segundo o COSO I e o COSO II
AUDITORIA GOVERNAMENTAL
Marcelo Aragão
• Conformidade: esses objetivos dizem respeito à aderência a normas, leis e regulamen-
tos em que a organização tem obrigação.
Comparando a estrutura de 1992 com a de 2013, quando o primeiro estudo foi atualizado, a 
grande mudança é que a estrutura original tinha como meta apenas a comunicação financeira. 
Assim, de particular importância eram os controles que visam a fornecer segurança razoável 
de que as demonstrações contábeis preparadas pela administração para usuários externos 
encontram-se adequadamente apresentadas de acordo com princípios contábeis geralmente 
aceitos. Na nova estrutura de 2013, o objetivo se torna mais abrangente, considerando as in-
formações tanto financeiras quanto não financeiras.
lImItaçõeS DoS ControleS InternoS De uma entIDaDe
Vimos que controles internos podem fornecer segurança razoável para a administração e 
para o conselho de administração quanto à consecução dos objetivos de uma entidade e não 
segurança absoluta!
Isto se deve às seguintes limitações inerentes:
• erros de julgamento - pela administração ou por outras pessoas, ao tomar decisões, em 
razão de informações inadequadas, restrições de tempo e outros motivos;
• falhas – cometidas por pessoas que não entendem instruções corretamente ou come-
tem erros por falta de cuidado, distração ou cansaço;
• conluio – indivíduos que agem conjuntamente, podem praticar fraude e de forma que ela 
não seja detectada pelos controles internos;
• atropelamento pela administração – que burla ou passa por cima de procedimentos ou 
políticas, com objetivos ilegítimos;
• eventos externos – acontecimentos externos, fora do controle da organização, podem 
limitar os controles;
• custos versus benefícios – o custo dos controles internos de uma entidade não deve 
superior aos benefícios que deles se esperam. Assume-se certos riscos, quando se re-
duzem os procedimentos de controle em função dos benefícios esperados.
Portanto, a despeito de oferecer importantes benefícios, o controle interno está sujeito a 
limitações. Além de outros fatores, as limitações originam-se do fato de que o julgamento hu-
mano, no processo decisório, pode ser falho e o estabelecimento dos controles necessita levar 
em conta os custos e benefícios relativos.
Pode, ainda, ocorrer falhas causadas por erro ou engano humano, os controles podem ser 
anulados por conluio entre duas ou mais pessoas, e a administração tem o poder de recusar-se 
a aceitar as decisões de implantar e observar controles internos. Essas limitações impedem 
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
7 de 72www.grancursosonline.com.br
Controles Internos segundo o COSOI e o COSO II
AUDITORIA GOVERNAMENTAL
Marcelo Aragão
que o conselho de administração e a diretoria executiva tenham absoluta garantia da realiza-
ção dos objetivos da organização.
ComponenteS De Controle Interno
Para o COSO, o processo de controles internos deve ser constituído de cinco componentes, 
que se inter-relacionam:
• ambiente de controle;
• avaliação de riscos;
• atividades ou procedimentos de controle;
• informação e comunicação;
• atividades de monitoramento.
Trata-se de uma estrutura ideal de controles internos. Para o COSO, o sistema de controle 
interno da organização será eficaz se todos os componentes estiverem presentes e funcionan-
do adequadamente.
A seguir, vamos detalhar um pouco cada um desses componentes.
Ambiente de Controle
O ambiente dá o tom de uma organização, influenciando a consciência de controle das pes-
soas que nela trabalham. Representa o alicerce dos demais componentes, disciplinando-os e 
estruturando-os.
O ambiente de controle é a base de todo o sistema de controle interno. Ele fornece o con-
junto de regras e a estrutura, além de criar um clima que influi na qualidade do controle interno 
em seu conjunto.
Os elementos do ambiente de controle são:
• a integridade pessoal e profissional e os valores éticos da direção e do quadro de pes-
soal, incluindo uma atitude de apoio ao controle interno, durante todo o tempo e por toda 
a organização;
• o comprometimento com a competência - A competência dos empregados da organi-
zação reflete o conhecimento e as habilidades necessárias para a execução das tarefas 
designadas. A administração alinha competência ao custo;
• o perfil dos superiores (ou seja, a filosofia da direção e o estilo gerencial);
• a estrutura organizacional da entidade que fornece o arcabouço para planejamento, exe-
cução, controle e monitoração das atividades de uma entidade. Sua estrutura contribui 
para que atinja seus objetivos. A estrutura organizacional define as áreas fundamentais 
de responsabilidade. Estabelece as linhas de comunicação e a definição de autoridade 
e responsabilidade;
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
8 de 72www.grancursosonline.com.br
Controles Internos segundo o COSO I e o COSO II
AUDITORIA GOVERNAMENTAL
Marcelo Aragão
• a atribuição de autoridade e responsabilidade que representa uma extensão do desen-
volvimento de uma estrutura organizacional e envolve aspectos específicos de como e 
a quem autoridade e responsabilidade por todas as atividades da entidade serão atribu-
ídas;
• as políticas e práticas de recursos humanos, cujas normas tratam de admissão, orien-
tação, treinamento, avaliação, aconselhamento, promoção, compensação e medidas 
corretivas, conduzindo os níveis previstos de integridade, de comportamento ético e de 
competência. As medidas disciplinares transmitem a mensagem de que as infrações ao 
comportamento esperado não serão toleradas.
Avaliação de Risco
Toda entidade enfrenta vários riscos de origem tanto interna quanto externa.
Define-se risco como a possibilidade de que um evento ocorra e afete adversamente a re-
alização dos objetivos.
A avaliação de riscos envolve um processo dinâmico e iterativo para identificar e avaliar os 
riscos à realização dos objetivos. Esses riscos de não atingir os objetivos em toda a entidade 
são considerados em relação às tolerâncias aos riscos estabelecidos. Dessa forma, a avalia-
ção de riscos estabelece a base para determinar a maneira como os riscos serão gerenciados.
A avaliação de risco é o processo de identificação e análise dos riscos relevantes para o 
alcance dos objetivos da entidade e para determinar uma resposta apropriada. Portanto, a 
organização deve definir e especificar os objetivos com clareza suficiente para permitir a iden-
tificação e a avaliação dos riscos associados aos objetivos.
Toda entidade enfrenta vários riscos de origem tanto interna quanto externa. Define-se 
risco como a possibilidade de que um evento ocorra e afete adversamente a realização dos 
objetivos. A avaliação de riscos envolve um processo dinâmico e iterativo para identificar e 
avaliar os riscos à realização dos objetivos.
Esses riscos de não atingir os objetivos em toda a entidade são considerados em relação 
às tolerâncias aos riscos estabelecidos. Dessa forma, a avaliação de riscos estabelece a base 
para determinar a maneira como os riscos serão gerenciados.
Uma condição prévia à avaliação de riscos é o estabelecimento de objetivos, ligados aos 
diferentes níveis da entidade. A administração especifica os objetivos dentro das categorias: 
operacional, divulgação e conformidade, com clareza suficiente para identificar e analisar os 
riscos à realização desses objetivos.
A administração também considera a adequação dos objetivos à entidade. A avaliação 
de riscos requer ainda que a administração considere o impacto de possíveis mudanças no 
ambiente externo e dentro de seu próprio modelo de negócio que podem tornar o controle 
interno ineficaz.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
9 de 72www.grancursosonline.com.br
Controles Internos segundo o COSO I e o COSO II
AUDITORIA GOVERNAMENTAL
Marcelo Aragão
Atividades de Controle
Atividades de controle são ações estabelecidas por meio de políticas e procedimentos que 
ajudam a garantir o cumprimento das diretrizes determinadas pela administração para mitigar 
os riscos à realização dos objetivos.
As atividades de controle são desempenhadas em todos os níveis da entidade, em vários 
estágios dentro dos processos corporativos e no ambiente tecnológico.
Podem ter natureza preventiva ou de detecção e abranger uma série de atividades manu-
ais e automáticas, como autorizações e aprovações, verificações, reconciliações e revisões de 
desempenho do negócio.
A segregação de funções é geralmente inserida na seleção e no desenvolvimento das ati-
vidades de controle. Nos casos em que a segregação de funções seja impraticável, a adminis-
tração deverá selecionar e desenvolver atividades alternativas de controle.
Informação e Comunicação
A informação e a comunicação são essenciais para a concretização de todos os objetivos 
do controle interno. A identificação, a captura e a troca de informações sob forma e em época 
tais, que permitam que as pessoas cumpram suas responsabilidades.
A informação é necessária para que a entidade cumpra responsabilidades de controle in-
terno a fim de apoiar a realização de seus objetivos. A administração obtém ou gera e utiliza 
informações importantes e de qualidade, originadas tanto de fontes internas quanto externas, 
a fim de apoiar o funcionamento de outros componentes do controle interno.
A comunicação é o processo contínuo e iterativo de proporcionar, compartilhar e obter as 
informações necessárias.
A comunicação interna é o meio pelo qual as informações são transmitidas para a orga-
nização, fluindo em todas as direções da entidade. Ela permite que os funcionários recebam 
uma mensagem clara da alta administração de que as responsabilidades pelo controle devem 
ser levadas a sério.
A comunicação externa apresenta duas vertentes: permite o recebimento, pela organiza-
ção, de informações externas significativas, e proporciona informações a partes externas em 
resposta a requisitos e expectativas.
Monitoramento
Monitoramento ou monitoração é um processo que avalia a qualidade do desempenho dos 
controles internos ao longo do tempo. Envolve avaliação do desenho e da tempestividadede 
operação dos controles e a tomada de ações corretivas.
Os sistemas de controle interno devem ser monitorados para avaliar a qualidade de sua 
atuação ao longo do tempo. O monitoramento é obtido através de:
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
10 de 72www.grancursosonline.com.br
Controles Internos segundo o COSO I e o COSO II
AUDITORIA GOVERNAMENTAL
Marcelo Aragão
• atividades rotineiras ou contínuas,
• avaliações específicas, ou
• a combinação de ambas.
Avaliações contínuas são construídas dentro do processo de negócio nos diferentes níveis 
da entidade e proveem informações em tempo hábil. Avaliações independentes, conduzidas 
periodicamente, variam de escopo e frequência, dependendo da análise de riscos, da efetivida-
de das avaliações contínuas e de outras considerações gerenciais.
Os resultados são avaliados em relação a critérios estabelecidos pelas autoridades norma-
tivas, órgãos normatizadores reconhecidos ou pela administração e a estrutura de governança, 
sendo que as deficiências são comunicadas à estrutura de governança e administração, con-
forme aplicável.
A auditoria interna participa do componente de monitoração, avaliando diferentes partes 
dos controles internos de uma entidade e relatam fraquezas à administração, com recomenda-
ções para introdução de melhorias.
Uma dúvida frequente dos alunos é com relação ao papel do controle interno comparado 
com o papel da auditoria interna. O controle interno é uma estrutura que compreende cinco 
componentes e sua função é fornecer garantia razoável quanto ao alcance de objetivos de 
uma organização. A auditoria interna faz parte do componente de monitoração e sua função é 
auxiliar a administração a monitorar a eficácia do sistema de controle interno.
Princípios Relevantes Associados a cada Componente
Uma das novidades da atualização do estudo do COSO, ocorrida em 2013, foi estabelecer 
os princípios de cada componente da estrutura de controle interno. Muita atenção em prova. 
Os princípios são os seguintes:
• Ambiente de Controle:
− 1. A organização demonstra ter compromisso com a integridade e os valores éticos;
− 2. O conselho de administração mantém independência em relação à diretoria e exer-
ce a supervisão do desenvolvimento e desempenho do controle interno;
− 3. A administração estabelece, com a supervisão do conselho, estruturas, níveis de 
subordinação e as autoridades e responsabilidades adequadas na busca dos objeti-
vos;
− 4. A organização demonstra um compromisso de atrair, desenvolver e manter pesso-
as competentes, em alinhamento com os objetivos;
− 5. A organização faz com que as pessoas assumam responsabilidade por suas fun-
ções de controle interno na busca pelos objetivos;
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
11 de 72www.grancursosonline.com.br
Controles Internos segundo o COSO I e o COSO II
AUDITORIA GOVERNAMENTAL
Marcelo Aragão
• Avaliação de Riscos:
− 6. A organização especifica os objetivos com clareza suficiente para permitir a identi-
ficação e avaliação dos riscos associados aos objetivos;
− 7. A organização identifica os riscos para a concretização dos objetivos da entidade 
e analisa riscos como uma base para determinar como os riscos devem ser gerencia-
dos;
− 8. A organização considera potenciais fraudes na avaliação dos riscos quanto à rea-
lização dos objetivos;
− 9. A organização identifica e avalia as mudanças que poderiam afetar significativa-
mente o sistema de controle interno;
− Atividades de Controle:
− 10. A organização seleciona e desenvolve atividades de controle que contribuem para 
a redução, a níveis aceitáveis, de riscos para a realização dos objetivos;
− 11. A organização seleciona e desenvolve atividades gerais de controle sobre a tecno-
logia da informação para apoiar a realização dos objetivos;
− 12. A organização implanta atividades de controle por meio de políticas que estabele-
cem o que é esperado e os procedimentos que devem ser aplicados;
− Informação e comunicação:
− 13. A organização obtém ou gera e utiliza informação de qualidade relevante para 
apoiar o funcionamento do controle interno;
− 14. A organização comunica internamente as informações, incluindo os objetivos e 
responsabilidades perante os controles, para apoiar o funcionamento do controle in-
terno;
− 15. A organização comunica às partes externas sobre assuntos que afetam o funcio-
namento do controle interno;
• Atividades de monitoramento:
− 16. A organização seleciona, desenvolve e realiza avaliações contínuas e/ou inde-
pendentes para se certificar da presença e do funcionamento dos componentes da 
estrutura de controle interno;
− 17. A organização avalia e comunica deficiências no controle interno em tempo hábil 
objetivando que as partes responsáveis adotem medidas corretivas, incluindo a alta 
administração e o conselho de administração, conforme o caso.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
12 de 72www.grancursosonline.com.br
Controles Internos segundo o COSO I e o COSO II
AUDITORIA GOVERNAMENTAL
Marcelo Aragão
Relacionamento entre Objetivos e Componentes
Figura 1: Cubo do COSO
Existe uma relação direta entre os objetivos, que são o que a entidade busca alcançar, 
os componentes, que representam o que é necessário para atingir os objetivos, e a estrutura 
organizacional da entidade (as unidades operacionais e entidades legais, entre outras). Essa 
relação pode ser ilustrada na forma de um cubo, como na figura 1:
• As três categorias de objetivos – operacional, divulgação e conformidade – são repre-
sentadas pelas colunas;
• Os cinco componentes são representados pelas linhas;
• A estrutura organizacional da entidade é representada pela terceira dimensão.
funçõeS e reSponSabIlIDaDeS
Como vimos anteriormente, o relatório do COSO conclui que todas as pessoas em uma 
organização têm alguma responsabilidade pelos controles internos e que, na realidade, fazem 
parte deles.
Registra, contudo, que várias partes externas, tais como auditores independentes e regula-
dores, podem trazer informações úteis para os controles, mas não têm responsabilidade por 
sua eficácia. As responsabilidades e papéis são os seguintes:
• Administração. É responsabilidade da administração estabelecer controles internos efi-
cazes. Os executivos são os responsáveis diretos por todas as atividades de uma orga-
nização, incluindo o planejamento, a implementação, a supervisão do funcionamento 
adequado, a manutenção e a documentação do sistema de controle interno. Suas res-
ponsabilidades variam de acordo com a sua função na organização e as características 
da organização;
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
13 de 72www.grancursosonline.com.br
Controles Internos segundo o COSO I e o COSO II
AUDITORIA GOVERNAMENTAL
Marcelo Aragão
• Conselho de Administração. Como parte de seus deveres de governança e supervisão 
geral,membros do conselho de administração devem determinar que a administração 
cumpra deu dever de estabelecer e manter controles internos;
• Auditores internos. Auditores internos devem periodicamente examinar e avaliar a ade-
quação dos controles internos da entidade e fazer recomendações para aperfeiçoamen-
tos, mas não têm responsabilidade principal pelo seu estabelecimento e manutenção. 
Eles desempenham um papel importante em um sistema de controle interno eficaz, mas 
não têm a responsabilidade gerencial primeira sobre o planejamento, manutenção e do-
cumentação do controle interno;
• Demais funcionários. O controle interno é parte implícita ou explícita das funções de 
cada um. Todos os membros da equipe exercem um papel na execução do controle e 
devem ser responsáveis por relatar problemas operacionais, de descumprimento de có-
digo de conduta ou de violações da política;
• Partes externas. Diversas partes externas, como clientes, revendedores, parceiros co-
merciais, auditores externos, agentes normativos e analistas financeiros frequentemente 
fornecem informações úteis para a condução e aperfeiçoamento dos controles internos, 
porém não são responsáveis pela sua eficácia e nem fazem parte do gerenciamento de 
riscos da organização.
efICáCIa DoS ControleS InternoS
A Estrutura estabelece os requisitos para um sistema eficaz de controle interno, que pro-
porciona segurança razoável acerca da realização dos objetivos da entidade. Um sistema de 
controle interno eficaz reduz, a um nível aceitável, o risco de não se atingir o objetivo de uma 
entidade e pode estar relacionado a uma, duas ou todas as três categorias de objetivos. O sis-
tema requer:
• A presença e o funcionamento de cada um dos cinco componentes e princípios relacio-
nados. “Presença” refere-se à determinação da existência dos componentes e princí-
pios relacionados no desenho e na implementação do sistema de controle interno para 
atingir objetivos especificados. “Funcionamento” refere-se à determinação de que os 
componentes e princípios relacionados continuem a existir na operação e na condução 
do sistema de controle interno para atingir objetivos especificados;
• Os cinco componentes operam em conjunto de forma integrada. “Operam em conjunto” 
refere-se à determinação de que todos os cinco componentes, em conjunto, reduzam a 
um nível aceitável o risco de não se atingir o objetivo. Os componentes não devem ser 
considerados de forma separada; eles operam em conjunto como um sistema integra-
do. Os componentes são interdependentes e contam com uma profusão de inter-rela-
cionamentos e ligações entre si, especialmente a maneira como os princípios interagem 
dentro e entre todos os componentes.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
14 de 72www.grancursosonline.com.br
Controles Internos segundo o COSO I e o COSO II
AUDITORIA GOVERNAMENTAL
Marcelo Aragão
Quando existe uma deficiência maior com respeito à presença e ao funcionamento de um 
componente ou princípio relevante, ou com respeito à operação conjunta dos componentes 
de uma forma integrada, a organização não pode concluir que já possui um sistema eficaz de 
controle interno.
Ao determinar que um sistema de controle interno é eficaz, a alta administração e a estru-
tura de governança têm segurança razoável, com relação à aplicação dentro da estrutura da 
entidade, de que a organização:
• conta com operações eficazes e eficientes quando se considera improvável que eventos 
externos tenham impacto significativo sobre a realização dos objetivos ou quando a 
organização pode prever, com razoabilidade, a natureza e a oportunidade dos eventos 
externos e reduzir seu impacto a um nível aceitável;
• entende a abrangência do gerenciamento eficaz e eficiente das operações quando even-
tos externos podem ter um impacto significativo sobre a realização dos objetivos ou 
quando a organização pode prever, com razoabilidade, a natureza e a oportunidade dos 
eventos externos e reduzir seu impacto a um nível aceitável;
• elabora divulgações em conformidade com regras, regulamentações e normas aplicá-
veis ou com os objetivos de divulgações específicas da entidade; e
• observa as leis, regras, regulamentações e normas externas aplicáveis.
A estrutura requer que haja julgamento no desenho, implementação e condução do contro-
le interno e na avaliação de sua eficácia. O uso de julgamento, dentro das limitações estabele-
cidas pelas leis, regras, regulamentações e normas, aumenta a capacidade da administração 
de tomar melhores decisões sobre o controle interno, embora não possa assegurar que o re-
sultado será perfeito.
EntErprisE risk ManagEMEnt (CoSo erm) – eStrutura IntegraDa De 
gerenCIamento De rISCoS (CoSo II)
Nas décadas que se seguiram à publicação do COSO I, intensificou-se o foco e a preocu-
pação com o gerenciamento de riscos, e tornou-se cada vez mais clara a necessidade de uma 
estratégia sólida, capaz de identificar, avaliar e administrar riscos. Em 2001, o COSO iniciou um 
projeto com essa finalidade e solicitou à PricewaterhouseCoopers que desenvolvesse uma es-
tratégia de fácil utilização pelas organizações para avaliar e melhorar o próprio gerenciamento 
de riscos.
O período de desenvolvimento dessa estrutura foi marcado por uma série de escândalos e 
quebras de negócios de grande repercussão, que gerou prejuízos de grande monta a investido-
res, empregados e outras partes interessadas. Na esteira desses eventos, vieram solicitações 
de melhoria dos processos de governança corporativa e gerenciamento de riscos, por meio de 
novas leis, regulamentos e de padrões a serem seguidos.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
15 de 72www.grancursosonline.com.br
Controles Internos segundo o COSO I e o COSO II
AUDITORIA GOVERNAMENTAL
Marcelo Aragão
Assim, uma estrutura de gerenciamento de riscos corporativos capaz de fornecer os prin-
cípios e conceitos fundamentais, com uma linguagem comum, direcionamento e orientação 
claros, tornou-se ainda mais necessária. O COSO é da opinião que a obra “Gerenciamento de 
Riscos Corporativos – Estrutura Integrada” vem para preencher essa lacuna e espera que ela 
seja amplamente adotada pelas empresas e por outras organizações, bem como por todas as 
partes interessadas.
A obra “Gerenciamento de Riscos Corporativos – Estrutura Integrada” amplia seu alcance 
em controles internos, oferecendo um enfoque mais vigoroso e extensivo no tema mais abran-
gente de gerenciamento de riscos corporativos.
ConCeItoS báSICoS
O COSO II mudou o conceito tradicional de “controles internos” e chamou a atenção para o 
fato de que eles tinham de fornecer proteção contra riscos.
O modelo, ao definir risco como a possibilidade que um evento ocorra e afete de modo ad-
verso o alcance dos objetivos da entidade, introduziu a noção de que controles internos devem 
ser ferramentas de gestão e monitoração de riscos em relação ao alcance de objetivos e não 
mais devem ser dirigidos apenas para riscos de origem financeira ou vinculados a resultados 
escriturais. O papel do controle interno foi, assim, ampliado e reconhecido como um instru-
mento de gerenciamento de riscos indispensável à governança corporativa.
A premissa inerente ao gerenciamento de riscos corporativos é que toda organização exis-
te para gerar valor às partes interessadas.
Todas as organizações enfrentam incertezas, e o desafio de seus administradores é de-
terminar até que ponto aceitar essaincerteza, assim como definir como essa incerteza pode 
interferir no esforço para gerar valor às partes interessadas.
Incertezas representam riscos e oportunidades, com potencial para destruir ou agregar va-
lor. O gerenciamento de riscos corporativos possibilita aos administradores tratar com eficácia 
as incertezas, bem como os riscos e as oportunidades a elas associadas, a fim de melhorar a 
capacidade de gerar valor.
O valor é maximizado quando a organização estabelece estratégias e objetivos para alcan-
çar o equilíbrio ideal entre as metas de crescimento e de retorno de investimentos e os riscos 
a elas associados, e para explorar os seus recursos com eficácia e eficiência na busca dos 
objetivos da organização.
O gerenciamento de riscos corporativos tem por finalidade:
• Alinhar o apetite a risco com a estratégia adotada – os administradores avaliam o ape-
tite a risco da organização ao analisar as estratégias, definindo os objetivos a elas rela-
cionados e desenvolvendo mecanismos para gerenciar esses riscos;
• Fortalecer as decisões em resposta aos riscos – o gerenciamento de riscos corpora-
tivos possibilita o rigor na identificação e na seleção de alternativas de respostas aos 
riscos – como evitar, reduzir, compartilhar e aceitar os riscos;
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
16 de 72www.grancursosonline.com.br
Controles Internos segundo o COSO I e o COSO II
AUDITORIA GOVERNAMENTAL
Marcelo Aragão
• Reduzir as surpresas e prejuízos operacionais – as organizações adquirem melhor ca-
pacidade para identificar eventos em potencial e estabelecer respostas a estes, reduzin-
do surpresas e custos ou prejuízos associados;
• Identificar e administrar riscos múltiplos e entre empreendimentos – toda organização 
enfrenta uma gama de riscos que podem afetar diferentes áreas da organização. A ges-
tão de riscos corporativos possibilita uma resposta eficaz a impactos inter-relacionados 
e, também, respostas integradas aos diversos riscos;
• Aproveitar oportunidades – pelo fato de considerar todos os eventos em potencial, a or-
ganização posiciona-se para identificar e aproveitar as oportunidades de forma proativa;
• Otimizar o capital – a obtenção de informações adequadas a respeito de riscos possi-
bilita à administração conduzir uma avaliação eficaz das necessidades de capital como 
um todo e aprimorar a alocação desse capital.
Essas qualidades, inerentes ao gerenciamento de riscos corporativos ajudam os adminis-
tradores a atingir as metas de desempenho e de lucratividade da organização, e evitam a perda 
de recursos.
O gerenciamento de riscos corporativos contribui para assegurar comunicação eficaz e o 
cumprimento de leis e regulamentos, bem como evitar danos à reputação da organização e 
suas consequências.
Em suma, o gerenciamento de riscos corporativos ajuda a organização a atingir seus obje-
tivos e a evitar os perigos e surpresas em seu percurso.
Obs.: � risco é a probabilidade de perda ou incerteza associada ao cumprimento de um objetivo
DefInIção De gerenCIamento De rISCoS CorporatIvoS
Segundo o COSO ERM, o gerenciamento de riscos corporativos trata de riscos e oportuni-
dades que afetam a criação ou a preservação de valor, sendo definido da seguinte forma:
O gerenciamento de riscos corporativos é um processo conduzido em uma organização pelo conse-
lho de administração, diretoria e demais empregados, aplicado no estabelecimento de estratégias, 
formuladas para identificar em toda a organização eventos em potencial, capazes de afetá-la, e 
administrar os riscos de modo a mantê-los compatível com o apetite a risco da organização e pos-
sibilitar garantia razoável do cumprimento dos seus objetivos.
Essa definição reflete certos conceitos fundamentais. O gerenciamento de riscos cor-
porativos é:
• um processo contínuo e que flui através da organização;
• conduzido pelos profissionais em todos os níveis da organização;
• aplicado à definição das estratégias;
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
17 de 72www.grancursosonline.com.br
Controles Internos segundo o COSO I e o COSO II
AUDITORIA GOVERNAMENTAL
Marcelo Aragão
• aplicado em toda a organização, em todos os níveis e unidades, e inclui a formação de 
uma visão de portfólio de todos os riscos a que ela está exposta;
• formulado para identificar eventos em potencial, cuja ocorrência poderá afetar a organi-
zação e para administrar os riscos de acordo com seu apetite a risco;
• capaz de propiciar garantia razoável para o conselho de administração e a diretoria exe-
cutiva de uma organização;
• orientado para a realização de objetivos em uma ou mais categorias distintas.
Essa definição é intencionalmente ampla e adota conceitos fundamentais sobre a forma 
como as empresas e outras organizações administram riscos, possibilitando uma base para 
sua aplicação em organizações, indústrias e setores. O gerenciamento de riscos corporativos 
orienta seu enfoque diretamente para o cumprimento dos objetivos estabelecidos por uma 
organização específica e fornece parâmetros para definir a eficácia desse gerenciamento 
de riscos.
Apetite a Risco
Da definição de gerenciamento de riscos, cabe ressaltar o apetite a risco.
O apetite a risco é a quantidade de riscos, no sentido mais amplo, que uma organização 
está disposta a aceitar em sua busca para agregar valor. O apetite a risco reflete toda a filo-
sofia administrativa de uma organização e, por sua vez, influencia a cultura e o estilo opera-
cional desta.
Muitas organizações consideram esse apetite de forma qualitativa, categorizando-o como 
elevado, moderado ou baixo, enquanto outras organizações adotam uma abordagem quantita-
tiva que reflete e equilibra as metas de crescimento, retorno e risco.
Uma organização dotada de um maior apetite a risco poderá desejar alocar grande parcela 
de seu capital para áreas de alto risco como mercados recém-emergentes. Por outro lado, uma 
organização com um reduzido apetite a risco poderá limitar seu risco de curto prazo investindo 
apenas em mercados maduros e mais estáveis.
O apetite a risco está diretamente relacionado à estratégia da organização e é levado em 
conta na ocasião de definir as estratégias, visto que a estas expõem a organização a diferentes 
riscos. O gerenciamento destes ajuda a administração a selecionar uma estratégia capaz de 
alinhar a criação de valor com o apetite a risco.
Associadas aos objetivos da organização, a tolerância a riscos representa o nível aceitável 
de variação em relação à meta para o cumprimento de um objetivo específico, e, via de regra, é 
mensurada nas mesmas unidades utilizadas para avaliar o objetivo a que está vinculada.
Ao estabelecer a tolerância a riscos, a administração considera o grau de importância do 
objetivo relacionado e alinha essas tolerâncias ao apetite a risco global. Tal operação ajuda a 
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
18 de 72www.grancursosonline.com.br
Controles Internos segundo o COSO I e o COSO II
AUDITORIA GOVERNAMENTAL
Marcelo Aragão
assegurar que a organização permaneça dentro de seus limites de apetite a risco e, por sua 
vez, consiga atingir os seus objetivos.Enquanto o apetite a risco é a quantidade de riscos que uma organização está disposta a acei-
tar em sua busca para agregar valor, tolerância a risco representa o nível aceitável de variação 
em relação à meta para o cumprimento de um objetivo.
CategorIaS De objetIvoS
A fixação de objetivos é uma precondição à identificação de evento, à avaliação de riscos 
e às respostas aos riscos. Em primeiro lugar, é necessário que os objetivos existam para que a 
administração possa identificar e avaliar os riscos quanto a sua realização, bem como adotar 
as medidas necessárias para administrá-los.
No COSO ERM, os objetivos podem ser agrupados em quatro categorias:
• Estratégicos: referem-se às metas no nível mais elevado. Alinham-se e fornecem apoio 
à missão;
• Operacionais: têm como meta a utilização eficaz e eficiente dos recursos;
• De comunicação: relacionam-se com a confiabilidade dos relatórios. Incluem relatórios 
internos e externos e podem, ainda, conter informações financeiras e não financeiras;
• De conformidade: relacionam-se com o cumprimento de leis e regulamentos. Em alguns 
casos dependem de fatores externos e tendem a ser semelhantes em todas as organi-
zações.
Essa classificação possibilita um enfoque nos aspectos específicos do gerenciamento de 
riscos corporativos. Apesar de essas categorias serem distintas, elas se inter-relacionam, uma 
vez que um dado objetivo poderá estar presente em mais de uma categoria, elas tratam de 
necessidades empresariais diferentes, cuja responsabilidade direta poderá ser atribuída a di-
versos executivos.
Essa classificação também possibilita distinguir o que se espera do gerenciamento de ris-
cos corporativos.
Algumas organizações utilizam outra categoria de objetivos, a salvaguarda de recursos, 
que também é denominada salvaguarda de ativos. De modo geral, esses objetivos têm como 
meta evitar a perda de ativos ou recursos da organização, seja por meio de furto, desperdício, 
ineficiência, ou simplesmente, por meio de decisões empresariais equivocadas, como vender 
um produto a preço demasiado baixo, deixar de conservar empregados de importância funda-
mental, evitar infrações a patentes, ou incorrer em passivos imprevistos.
Esses objetivos são essencialmente de natureza operacional, embora determinados aspec-
tos de salvaguarda possam ser classificados em outras categorias. Nos casos da aplicação 
de exigências legais ou regulamentares, os referidos objetivos tornam-se itens de compliance.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
19 de 72www.grancursosonline.com.br
Controles Internos segundo o COSO I e o COSO II
AUDITORIA GOVERNAMENTAL
Marcelo Aragão
Quando considerados em conjunto com informações públicas, utiliza-se uma definição 
mais rigorosa para a salvaguarda de ativos. Essa definição trata da prevenção ou constatação 
oportuna, de aquisição, do uso ou da alienação não autorizada dos bens de uma organização, 
que poderia produzir impacto relevante nas demonstrações financeiras.
É de se perceber, ao compararmos com a estrutura de controles internos, que surge mais 
uma categoria de objetivo: estratégicos.
Espera-se que o gerenciamento de riscos corporativos ofereça garantia razoável do cum-
primento dos objetivos relacionados à confiabilidade dos informes e ao cumprimento de leis e 
regulamentos. O atendimento dessas categorias de objetivos está sob o controle da organiza-
ção e depende da qualidade da execução das atividades a elas relacionadas.
Entretanto, o alcance de objetivos estratégicos, como, por exemplo, a conquista de uma 
determinada participação de mercado, e de objetivos operacionais, como o lançamento bem-
-sucedido de uma nova linha de produtos, nem sempre está sob total controle da organização. 
O gerenciamento de riscos corporativos não consegue neutralizar julgamentos ou decisões 
equivocadas, nem eventos externos, responsáveis por levar um negócio a deixar de alcançar 
suas metas operacionais. No entanto, esse gerenciamento é capaz de aumentar a probabilida-
de da administração tomar decisões mais bem fundamentadas.
Em relação a esses objetivos, o gerenciamento de riscos corporativos pode oferecer garan-
tia razoável para que a diretoria executiva e o conselho de administração, na função de super-
visores, sejam oportunamente notificados se a organização está na direção do cumprimento 
dos objetivos.
Obs.: � o atendimento aos objetivos relacionados às categorias de comunicação e confor-
midade está sob o controle da organização e depende da qualidade da execução das 
atividades a elas relacionadas. Já o alcance de objetivos estratégicos e operacionais 
nem sempre está sob total controle da organização.
Objetivos Selecionados
Como parte do gerenciamento de riscos corporativos, a administração não apenas selecio-
na objetivos e considera o modo pelo qual estes darão suporte à missão da organização, mas 
também se assegura de que esses objetivos estão em conformidade com o apetite a risco. 
Um alinhamento falho poderá fazer que os riscos aceitos sejam demasiadamente baixos para 
alcançar os objetivos, ou, por outro lado, que aceite riscos em demasia.
O gerenciamento de riscos corporativos eficaz NÃO dita os objetivos que a administração 
deve escolher, mas certifica-se que a referida administração dispõe de um processo que alinhe 
objetivos estratégicos com a sua missão e que esses objetivos e os correlatos selecionados 
estejam de acordo com o apetite a risco.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
20 de 72www.grancursosonline.com.br
Controles Internos segundo o COSO I e o COSO II
AUDITORIA GOVERNAMENTAL
Marcelo Aragão
ComponenteS Do gerenCIamento De rISCoS CorporatIvoS
No relatório do COSO sobre Controle Interno, eram cinco componentes, lembram?
A estrutura integrada de gerenciamento de riscos corporativos é constituída de oito com-
ponentes inter-relacionados, pelos quais a administração gerencia a organização, e estão inte-
grados com o processo de gestão.
De acordo com o Sumário Executivo do COSO II, esses componentes são:
• Ambiente Interno: o ambiente interno compreende o tom de uma organização e fornece 
a base pela qual os riscos são identificados e abordados pelo seu pessoal, inclusive a 
filosofia de gerenciamento de riscos, o apetite a risco, a integridade e os valores éticos, 
além do ambiente em que estes estão;
• Fixação de Objetivos: os objetivos devem existir antes que a administração possa iden-
tificar os eventos em potencial que poderão afetar a sua realização. O gerenciamento 
de riscos corporativos assegura que a administração disponha de um processo imple-
mentado para estabelecer os objetivos que propiciem suporte e estejam alinhados com 
a missão da organização e sejam compatíveis com o seu apetite a riscos;
• Identificação de Eventos: os eventos internos e externos que influenciam o cumprimen-
to dos objetivos de uma organização devem ser identificados e classificados entre ris-
cos e oportunidades. Essas oportunidades são canalizadas para os processos de esta-
belecimento de estratégias da administração ou de seus objetivos;
• Avaliação de Riscos: os riscos são analisados, considerando-se a sua probabilidade e o 
impacto como base para determinar o modo pelo qual deverão ser administrados. Esses 
riscos são avaliados quanto à sua condição de inerentes e residuais;
• Resposta a Risco: a administração escolhe as respostas aos riscos - evitando, aceitan-
do, reduzindo ou compartilhando – desenvolvendouma série de medidas para alinhar os 
riscos com a tolerância e com o apetite a risco;
• Atividades de Controle: políticas e procedimentos são estabelecidos e implementados 
para assegurar que as respostas aos riscos sejam executadas com eficácia;
• Informações e Comunicações: as informações relevantes são identificadas, colhidas e 
comunicadas de forma e no prazo que permitam que cumpram suas responsabilidades. 
A comunicação eficaz também ocorre em um sentido mais amplo, fluindo em todos 
níveis da organização;
• Monitoramento: a integridade da gestão de riscos corporativos é monitorada e são fei-
tas as modificações necessárias. O monitoramento é realizado através de atividades 
gerenciais contínuas ou avaliações independentes ou de ambas as formas.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
21 de 72www.grancursosonline.com.br
Controles Internos segundo o COSO I e o COSO II
AUDITORIA GOVERNAMENTAL
Marcelo Aragão
COMPONENTES COSO I
CONTROLE INTERNO
COMPONENTES COSO II
GERENCIAMENTO DE RISCOS
Ambiente de controle
Avaliação de riscos
Atividades de controle
Ambiente interno
Fixação de objetivos
Identificação de eventos
Informação e comunicação
Monitoramento
Avaliação de riscos
Resposta ao risco
Atividades de controle
Informação e comunicação
Monitoramento
Vamos estudar mais um pouco a respeito de cada um dos oito componentes da estrutura 
de gerenciamento de riscos.
1) Ambiente Interno
O ambiente interno é moldado pela história e cultura da organização e, por sua vez, molda, 
de maneira explícita ou não, a cultura de riscos da organização e a forma como eles são enca-
rados e gerenciados (tom da organização), influenciando a consciência de controle das pes-
soas. É a base para todos os outros componentes do sistema, provendo disciplina e estrutura.
Os fatores que compõem o ambiente interno incluem integridade, valores éticos e compe-
tência das pessoas, maneira pela qual a gestão delega autoridade e responsabilidades, estru-
tura de governança e organizacional, o “perfil dos superiores” (ou seja, a filosofia da direção e 
o estilo gerencial), as políticas e práticas de recursos humanos etc.
O conselho de administração é parte crítica do ambiente interno e influencia muito os de-
mais elementos de ambiente interno.
Organizações com ambientes de controle efetivos fixam um tom (“tom do topo”) positivo, 
contratam e mantém pessoas competentes, formalizam e comunicam políticas e procedimen-
tos de modo claro, adotam integridade e consciência de controle, resultando em valores com-
partilhados e trabalho em equipe para efetivação de objetivos.
2) Fixação de Objetivos
Os objetivos são fixados no âmbito estratégico, operacionais, de comunicação e de cum-
primento de normas. Toda organização enfrenta uma variedade de riscos oriundos de fontes 
externas e internas, sendo a fixação de objetivos um pré-requisito à identificação eficaz de 
eventos, a avaliação de riscos e resposta a risco. Os objetivos são alinhados com o apetite a 
risco, o qual direciona os níveis de tolerância a riscos para a organização.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
22 de 72www.grancursosonline.com.br
Controles Internos segundo o COSO I e o COSO II
AUDITORIA GOVERNAMENTAL
Marcelo Aragão
Portanto, a fixação de objetivos é uma precondição à identificação de evento, à avaliação 
de riscos e às respostas aos riscos. Em primeiro lugar, é necessário que os objetivos existam 
para que a administração possa identificar e avaliar os riscos quanto a sua realização, bem 
como adotar as medidas necessárias para administrá-los.
3) Identificação de Eventos
A administração identifica os eventos em potencial que, se ocorrerem, afetarão a organiza-
ção e determina se estes representam oportunidades ou se podem ter algum efeito adverso na 
sua capacidade de implementar adequadamente a estratégia e alcançar os objetivos.
Eventos de impacto negativo representam riscos que exigem avaliação e resposta da ad-
ministração. Os eventos de impacto positivo representam oportunidades que são canalizadas 
de volta aos processos de fixação das estratégias e dos objetivos.
Ao identificar eventos, a administração considera uma variedade de fatores internos e ex-
ternos que podem dar origem a riscos e a oportunidades no contexto de toda a organização.
São exemplos de fatores externos:
• Econômicos: os eventos relacionados contemplam: oscilações de preços, disponibili-
dade de capital, ou redução nas barreiras à entrada da concorrência, cujo resultado se 
traduz em um custo de capital mais elevado ou mais reduzido, e em novos concorrentes;
• Meio ambiente: refere-se aos seguintes eventos: incêndios, inundações ou terremotos, 
que provocam danos a fábricas ou edificações, restrição quanto ao uso de matérias-pri-
mas e perda de capital humano;
• Políticos: eleição de agentes do governo com novas agendas políticas e novas leis e re-
gulamentos, resultando, por exemplo, na abertura ou na restrição ao acesso a mercados 
estrangeiros, ou elevação ou redução na carga tributária;
• Sociais: são alterações nas condições demográficas, nos costumes sociais, nas estru-
turas da família, nas prioridades de trabalho/vida e a atividade terrorista, que, por sua 
vez, podem provocar mudanças na demanda de produtos e serviços, novos locais de 
compra, demandas relacionadas a recursos humanos e paralisações da produção;
• Tecnológicos: são novas formas de comércio eletrônico, que podem provocar aumento 
na disponibilidade de dados, reduções de custos de infraestrutura e aumento da deman-
da de serviços com base em tecnologia.
Os eventos também se originam das escolhas que a administração faz em relação ao seu 
funcionamento. A capacidade e habilidade de gestão da organização refletem suas escolhas 
passadas, influenciam eventos futuros e afetam as decisões gerenciais. Os fatores internos e 
os exemplos de eventos correlatos e de suas implicações incluem o seguinte:
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
23 de 72www.grancursosonline.com.br
Controles Internos segundo o COSO I e o COSO II
AUDITORIA GOVERNAMENTAL
Marcelo Aragão
• Infraestrutura: aumento da alocação de capital em manutenção preventiva e suporte ao 
call center, reduzindo o tempo de paralisação de equipamentos e aumentando a satisfa-
ção do cliente;
• Pessoal: acidentes de trabalho, atividades fraudulentas e expiração de acordos de tra-
balho, causando redução de pessoal disponível, danos pessoais, monetários ou à repu-
tação da organização e paralisações da produção;
• Processo: modificações de processos sem alteração adequada nos protocolos admi-
nistrativos, erros de execução de processo e terceirização da entrega a clientes sem 
uma supervisão adequada, implicando perda de participação de mercado, ineficiência, 
insatisfação do cliente e diminuição da fidelidade deste;
• Tecnologia: aumento de recursos para fazer face à variabilidade de volume, violações da 
segurança e paralisação, em potencial, de sistemas, provocando redução da carteira de 
pedidos, transações fraudulentas e incapacidade de se manter as operações.
Segundo Vania Maria da Costa Borgerth, quanto à identificação de eventos, que a autorachama de problemas, os sistemas precisam ter a capacidade de sinalizar sempre algum fato 
fora do padrão esperado que venha a ocorrer.
Um evento é um incidente ou uma ocorrência gerada com base em fontes internas ou 
externas, que afeta a realização dos objetivos. Os eventos podem causar impacto negativo, 
positivo ou ambos. Os eventos que geram impacto negativo representam riscos. Da mesma 
forma, o risco é definido como segue.
Risco é a possibilidade de que um evento ocorra e afete negativamente a realização dos 
objetivos.
Os eventos cujo impacto é positivo podem contrabalançar os impactos negativos ou repre-
sentar oportunidades. A oportunidade é definida da seguinte forma...
Oportunidade é a possibilidade de que um evento ocorra e influencie favoravelmente a 
realização dos objetivos.
As oportunidades favorecem a criação ou a preservação de valor. A direção da organização 
canaliza as oportunidades para seus processos de fixação de estratégias ou objetivos, formu-
lando planos que visam ao seu aproveitamento.
Os eventos que causam impacto desfavorável são obstáculos à criação de valor ou des-
gastam o valor existente. Os exemplos incluem paradas no maquinário da fábrica, incêndio e 
perdas de créditos.
Os eventos de impacto negativo podem originar-se a partir de condições aparentemente 
positivas, como nos casos em que a demanda de produto pelo consumidor é superior à capa-
cidade de produção, o que provoca o não atendimento da demanda, o desgaste na fidelidade 
do cliente e o declínio de pedidos futuros.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
24 de 72www.grancursosonline.com.br
Controles Internos segundo o COSO I e o COSO II
AUDITORIA GOVERNAMENTAL
Marcelo Aragão
4) Avaliação de Riscos
A avaliação de riscos permite que uma organização considere até que ponto eventos em 
potencial podem impactar a realização dos objetivos. A administração avalia os eventos com 
base em duas perspectivas – probabilidade e impacto – e, geralmente, utiliza uma combina-
ção de métodos qualitativos e quantitativos.
Os impactos positivos e negativos dos eventos em potencial devem ser analisados isola-
damente ou por categoria em toda a organização. Os riscos são avaliados com base em suas 
características inerentes e residuais.
Contexto para a Avaliação de Riscos
Fatores externos e internos influenciam os eventos que poderão ocorrer, e até que ponto 
os referidos eventos podem afetar os objetivos de uma organização. Embora alguns fatores 
sejam comuns às organizações, via de regra, os eventos resultantes são singulares em rela-
ção a uma determinada organização tendo em vista seus objetivos estabelecidos e decisões 
anteriores.
Ao avaliar riscos, a administração considera o composto dos futuros eventos em potencial 
pertinentes à organização e às suas atividades no contexto das questões que dão forma ao 
perfil de riscos, como tamanho da organização, complexidade das operações e grau de regula-
mentação de suas atividades.
Ao avaliar riscos, a administração leva em consideração eventos previstos e imprevistos. 
Muitos eventos são rotineiros e recorrentes e já foram abordados nos programas de gestão e 
orçamentos operacionais, enquanto outros são imprevistos. A administração avalia os riscos 
em potencial de eventos imprevistos e, caso ainda não tenha feito essa avaliação, até os pre-
vistos que podem causar um impacto significativo na organização.
Embora o termo “avaliação de riscos” tenha sido usado em conexão com uma atividade 
realizada, uma única vez, no contexto de “avaliação de riscos corporativos”, o componente de 
“avaliação de riscos” é uma interação contínua e repetida das ações que ocorrem em toda a 
organização.
Risco Inerente e Residual
A administração leva em conta tanto o risco inerente quanto o residual:
• Risco inerente é o risco que uma organização terá de enfrentar na falta de medidas que 
a administração possa adotar para alterar a probabilidade ou o impacto dos eventos;
• Risco residual é aquele que ainda permanece após a resposta da administração. A ava-
liação de riscos é aplicada primeiramente aos riscos inerentes.
Após o desenvolvimento das respostas aos riscos, a administração passará a considerar 
os riscos residuais.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
25 de 72www.grancursosonline.com.br
Controles Internos segundo o COSO I e o COSO II
AUDITORIA GOVERNAMENTAL
Marcelo Aragão
Estimativa da Probabilidade e do Impacto
A incerteza de eventos em potencial é avaliada a partir de duas perspectivas – probabi-
lidade e impacto. A probabilidade representa a possibilidade de que um determinado evento 
ocorrerá, enquanto o impacto representa o seu efeito.
A determinação do grau de atenção depende da avaliação de uma série de riscos que uma 
organização enfrenta. A administração reconhece que um risco com reduzida probabilidade 
de ocorrência e baixo potencial de impacto, geralmente, não requer maiores considerações. 
Por outro lado, um risco com elevada probabilidade de ocorrência e um potencial de impacto 
significativo demanda atenção considerável.
Figura 2: Avaliação de Riscos
O horizonte de tempo empregado para avaliar riscos deverá ser consistente com o tempo 
das estratégias e objetivos relacionados a esses riscos. Em razão das estratégias e objetivos 
de muitas organizações considerarem horizontes de tempo de curta a média duração, a ad-
ministração naturalmente concentra-se nos riscos associados com esses períodos de tempo. 
Contudo, alguns aspectos do direcionamento estratégico e dos objetivos estendem-se a prazo 
mais longo.
Consequentemente, a administração precisa levar em conta os cenários de prazos mais 
longos para não ignorar riscos que possam estar mais adiante.
5) Resposta a Risco
Após ter conduzido uma avaliação dos riscos pertinentes, a administração determina como 
responderá aos riscos. As respostas incluem evitar, reduzir, compartilhar ou aceitar os riscos. 
Ao considerar a própria resposta, a administração avalia o efeito sobre a probabilidade de ocor-
rência e o impacto do risco, assim como os custos e benefícios, selecionando, dessa forma, 
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
26 de 72www.grancursosonline.com.br
Controles Internos segundo o COSO I e o COSO II
AUDITORIA GOVERNAMENTAL
Marcelo Aragão
uma resposta que mantenha os riscos residuais dentro das tolerâncias a risco desejadas. A 
administração identifica as oportunidades que possam existir e obtêm, assim, uma visão dos 
riscos em toda organização ou de portfólio, determinando se os riscos residuais gerais são 
compatíveis com o apetite a riscos da organização.
As respostas a riscos classificam-se nas seguintes categorias:
• Evitar: descontinuação das atividades que geram os riscos. Evitar riscos pode implicar a 
descontinuação de uma linha de produtos, o declínio da expansão em um novo mercado 
geográfico ou a venda de uma divisão;
• Reduzir: são adotadas medidas para reduzir a probabilidade ou o impacto dos riscos, 
ou, até mesmo, ambos. Tipicamente, esse procedimento abrange qualquer uma das cen-
tenas de decisões do negócio no dia a dia;
• Compartilhar: redução da probabilidade ou do impactodos riscos pela transferência ou 
pelo compartilhamento de uma porção do risco. As técnicas comuns compreendem a 
aquisição de produtos de seguro, a realização de transações de headging ou a terceiri-
zação de uma atividade;
• Aceitar: nenhuma medida é adotada para afetar a probabilidade ou o grau de impacto 
dos riscos, já que se encontram compatíveis com o apetite a risco da organização.
• Evitar: sugere que nenhuma opção de resposta tenha sido identificada para reduzir o 
impacto e a probabilidade a um nível aceitável;
• Reduzir ou Compartilhar reduzem o risco residual a um nível compatível com as tolerân-
cias desejadas ao risco, enquanto aceitar indica que o risco inerente já esteja dentro das 
tolerâncias ao risco.
Segundo Borgerth, as empresas, uma vez conhecidos os riscos e probabilidades a que es-
tão sujeitas, devem elaborar planos de contingência que venham a mitigar a perda na ocorrên-
cia de um sinistro. Esse plano de contingência pode se referir a riscos que devem ser evitados, 
mantidos, reduzidos ou transferidos, de acordo com a avaliação de impacto x probabilidade.
Quando ... Estratégia de resposta:
Os custos de melhorias internas são mais altos 
do que a perda esperada (PROBABILIDADE BAIXA, 
MAS IMPACTO ALTO)
TRANSFERIR PARTE DO RISCO
As perdas esperadas são menores do que o custo 
a mitigar (PROBABILIDADE E IMPACTO BAIXOS)
MANTER / CONTROLAR
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
27 de 72www.grancursosonline.com.br
Controles Internos segundo o COSO I e o COSO II
AUDITORIA GOVERNAMENTAL
Marcelo Aragão
As perdas esperadas excedem o custo do negócio 
(PROBABILIDADE E IMPACTO ALTOS)
EVITAR / SAIR
As perdas esperadas podem ser reduzidas com 
melhoria nos processos (PROBABILIDADE ALTA, 
MAS IMPACTO BAIXO)
MITIGAR
6) Atividades de Controle
Políticas e procedimentos são estabelecidos e implementados para assegurar que as res-
postas aos riscos sejam executadas com eficácia.
Existe uma variedade de descrições distintas quanto aos tipos de atividades de controle, 
inclusive as preventivas, as detectivas, as manuais, as computadorizadas e as de controles 
administrativos. Essas atividades também podem ser classificadas com base nos objetivos 
de controle especificados, como o de assegurar a integridade e a precisão do processamen-
to de dados.
De modo geral, as atividades de controle incluem dois elementos: uma política que esta-
belece aquilo que deverá ser feito e os procedimentos para fazê-la ser cumprida. Por exemplo, 
uma política poderá requerer a revisão das atividades de negociação do cliente pelo gerente de 
varejo da filial com a corretora. O procedimento é a própria revisão, realizada oportunamente 
e com especial atenção para os fatores estabelecidos na política, como a natureza e o volu-
me dos títulos transacionados e o volume destes em relação ao patrimônio líquido e à idade 
do cliente.
Muitas vezes, as políticas são comunicadas verbalmente. As que não são escritas podem 
ser eficazes quando existem há muito tempo e são adequadamente entendidas, e nas peque-
nas organizações em que os canais de comunicação envolvem poucas camadas gerenciais e 
existe uma estreita interação e supervisão dos empregados. No entanto, independentemente 
do fato de estar escrita ou não, uma política deve ser implementada com atenção, de forma 
conscienciosa e consistente.
As atividades de controle incluem:
• Procedimentos de autorização e aprovação: a autorização e a execução de transações 
e eventos devem ser realizadas somente por pessoas que detenham essa autoridade. 
A autorização é o principal meio para assegurar que apenas as transações e eventos 
que a administração tem a intenção de realizar sejam iniciados. Os procedimentos de 
autorização, que devem ser documentados e claramente comunicados aos gerentes e 
funcionários, devem incluir as condições especiais e os termos, segundo os quais eles 
devem ser realizados;
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
28 de 72www.grancursosonline.com.br
Controles Internos segundo o COSO I e o COSO II
AUDITORIA GOVERNAMENTAL
Marcelo Aragão
• Revisões da Alta Direção: a alta direção compara o desempenho atual em relação ao 
orçado, às previsões, aos períodos anteriores e aos de concorrentes. As principais ini-
ciativas são acompanhadas, como campanhas de marketing, processos de melhoria de 
produção e programas de contenção ou de redução de custo, para medir até que ponto 
as metas estão sendo alcançadas. A implementação de planos é monitorada no caso de 
desenvolvimento de novos produtos, join ventures ou novos financiamentos;
• Administração Funcional Direta ou de Atividade: gerentes, no exercício de suas fun-
ções ou atividades examinam relatórios de desempenho. Um gerente responsável pelos 
empréstimos bancários a consumidores revisa os relatórios por filial, região e tipo de 
empréstimo (com caução), verificando resumos e identificando tendências e associan-
do os resultados a estatísticas econômicas e metas. Por sua vez, os gerentes de filiais 
também se concentram em questões de cumprimento de políticas, revisando relatórios 
exigidos por órgãos reguladores a respeito de novos depósitos acima de um determi-
nado valor. São realizadas reconciliações dos fluxos de caixa diários, com as posições 
líquidas relatadas centralmente para transferências e investimentos;
• Processamento da Informação: uma variedade de controles é realizada para verificar 
a precisão, a integridade e a autorização das transações. Os dados inseridos ficam su-
jeitos a verificações de edição on-line ou à combinação com arquivos aprovados de 
controle. Um pedido de cliente, por exemplo, somente poderá ser aceito após fazer refe-
rência a um arquivo de cliente e ao limite de crédito aprovado. As sequências numéricas 
das transações são levadas em conta, sendo as exceções acompanhadas e relatadas 
aos supervisores. O desenvolvimento de novos sistemas e as mudanças nos já existen-
tes são controlados da mesma forma que o acesso a dados, arquivos e programas;
• Controles Físicos: os equipamentos, estoques, títulos, dinheiro e outros bens são prote-
gidos fisicamente, contados periodicamente e comparados com os valores apresenta-
dos nos registros de controle;
• Indicadores de Desempenho: relacionar diferentes conjuntos de dados, sejam eles ope-
racionais sejam financeiros, em conjunto com a realização de análises dos relaciona-
mentos e das medidas de investigação e correção, funciona como uma atividade de 
controle. Os indicadores de desempenho incluem, por exemplo, índices de rotação de 
pessoal por unidade. Ao investigar resultados inesperados ou tendências incomuns, a 
administração poderá identificar circunstâncias nas quais a falta de capacidade para 
concluir processos fundamentais pode significar menor probabilidade de os objetivos 
serem alcançados. A forma como a administração utiliza essas informações – somente 
no caso de decisões operacionais ou, também, no caso do acompanhamento de resul-
tados imprevistos nos sistemas de comunicações – determinará se a análise dos indi-
cadores de desempenho por si só atenderá às finalidades operacionais, bem como às 
finalidades de controle da comunicação;
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.