Auditorias de Riscos e Conformidade

Prévia do material em texto

AULA 3 
 
 
 
 
 
 
 
 
 
 
AUDITORIA DE RISCOS 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Prof. Denis Pereira Martins 
 
 
2 
INTRODUÇÃO 
A gestão de riscos é uma prática essencial em todas as organizações, 
independentemente do seu porte ou setor. Quando falta, pode acarretar 
consequências graves, incluindo perdas financeiras, danos à reputação e 
violações legais e regulatórias. Assim, as auditorias de conformidade legal, 
normativa e financeira têm se tornado cada vez mais importantes para garantir 
que as organizações possam gerir os riscos de maneira adequada. 
A fim de estabelecer uma estrutura clara para a gestão de risco, diversas 
normas foram desenvolvidas para orientar as organizações em sua 
implementação. A chamada Norma de Gestão de Risco da Ferma e a Norma de 
Gestão de Riscos AS/NZS n. 4360 servem para estabelecer um processo de 
gestão de risco com etapas claras, desde a identificação até a monitorização 
contínua dos riscos, ajudando as organizações a melhorar a sua capacidade de 
identificar e gerir riscos, reduzindo custos operacionais e melhorando a imagem 
da organização com as partes interessadas. 
Nesta etapa, vamos estudar auditorias de conformidade legal, normativa e 
financeira com risco, norma de gestão de risco da Ferma, norma de Gestão de 
Riscos AS/NZS n. 4360, tipos de riscos que afetam e ameaçam um modelo de 
negócio e a importância da gestão de risco em sua implementação. Bom estudo! 
TEMA 1 – AUDITORIAS DE CONFORMIDADE LEGAL, NORMATIVA E 
FINANCEIRA COM RISCO 
As auditorias de conformidade legal, normativa e financeira são importantes 
para que as organizações garantam a sua conformidade com as leis e 
regulamentos aplicáveis ao seu setor. Elas são conduzidas para avaliar a 
adequação dos controles internos da empresa e identificar riscos que possam 
afetar a conformidade da organização. 
Uma auditoria de conformidade legal busca garantir que a empresa esteja 
cumprindo todas as leis e regulamentos relevantes em sua jurisdição, o que inclui 
leis trabalhistas, leis ambientais, leis fiscais e outras leis aplicáveis ao setor em 
que a empresa opera, avaliando a adequação das políticas e os procedimentos 
da empresa em relação à conformidade legal. Também verifica se essas políticas 
estão sendo seguidas adequadamente pelos funcionários (Gil, 2000). 
 
 
3 
A auditoria de conformidade normativa, por outro lado, busca garantir que 
a empresa esteja cumprindo as normas internas e os padrões estabelecidos pela 
empresa ou pela indústria. Isso pode incluir políticas e procedimentos internos, 
bem como normas e padrões estabelecidos pela indústria, como as normas ISO. 
Por fim, a auditoria de conformidade financeira deve garantir que a empresa 
esteja cumprindo todas as leis e os regulamentos financeiros aplicáveis ao setor. 
Pode incluir leis de contabilidade, leis tributárias e leis de relatórios financeiro, 
avaliando a adequação das políticas e dos procedimentos financeiros e 
verificando se estão sendo seguidos adequadamente. 
Em relação aos riscos associados às auditorias de conformidade, é 
importante ressaltar que a não conformidade com as leis e os regulamentos 
aplicáveis pode acarretar multas, penalidades e até processos legais. Além disso, 
a não conformidade pode prejudicar a reputação e afetar os negócios 
negativamente (Crepaldi, 2013). 
Portanto, é essencial que as empresas realizem auditorias de conformidade 
regularmente, para identificar e corrigir quaisquer problemas antes que se tornem 
uma ameaça para a empresa. É importante que as auditorias sejam conduzidas 
por auditores independentes e experientes, para que possam fornecer uma 
avaliação imparcial da conformidade da empresa. 
A área de auditoria é responsável por proteger os interesses empresariais, 
através da verificação da eficácia e da eficiência dos processos internos e das 
transações do patrimônio das entidades, sendo essencial para fornecer suporte à 
tomada de decisões e para garantir a conformidade com as leis e os regulamentos 
aplicáveis (Gil, 2000). 
Com o passar dos anos, o mercado de auditoria tem experimentado um 
crescimento constante, impulsionado por uma série de fatores, entre os quais 
destacamos a necessidade crescente de transparência, a globalização dos 
mercados, a complexidade crescente das operações empresariais e a sofisticação 
dos objetivos da auditoria. Como resultado, os campos de atuação da auditoria se 
expandiram, incluindo áreas como auditoria ambiental, auditoria de governança 
corporativa e auditoria de tecnologia da informação (Oliveira, 2014). 
No século XVII, embora não fossem conhecidos como auditores, alguns 
contadores já realizavam atividades de verificação das contas, além das rotinas 
habituais de contabilidade. Com o crescimento do capitalismo a partir de 1900, e 
a decorrente expansão dos mercados, as empresas começaram a buscar 
 
 
4 
investimentos externos, o que levou ao surgimento de novas demandas e à 
institucionalização da profissão de auditoria, tanto interna quanto externa 
(Auditoria..., 2016). 
Com o aumento da complexidade das operações empresariais, a auditoria 
tornou-se cada vez mais importante. A auditoria interna foi criada para apoiar os 
administradores na otimização dos processos e, consequentemente, melhorar os 
resultados. Já a externa surgiu para atender às necessidades dos investidores e 
fornecer uma avaliação independente da conformidade legal e financeira das 
empresas. Com a evolução dos objetivos da auditoria, surgiram novas áreas de 
atuação. 
A profissão de auditoria interna remonta, no Brasil, a 1949, mas foi somente 
com a criação do Instituto dos Auditores internos do Brasil, por volta de 1960, que 
a profissão começou a ganhar força no país. Com a difusão da importância dessa 
profissão, as empresas passaram a compreender os seus benefícios, 
independentemente de seu tamanho ou localização no país. Outro fator relevante 
para a consolidação da profissão de auditoria no Brasil foi a homologação da Lei 
n. 6.404/1976, que determinou que as demonstrações financeiras das 
companhias abertas fossem obrigatoriamente submetidas a avaliação por 
auditores independentes registrados na Comissão de Valores Mobiliários – CVM 
(Auditoria..., 2016). 
Atualmente, as chamadas Big-Four, que são as quatro principais empresas 
de auditoria do mundo, dominam o mercado brasileiro: EY – Ernest Youg, PwC – 
Price Waterhouse Coopers, KPMG e Deloitte. 
A contratação de empresas de auditoria externa é uma opção para todas 
as empresas que desejam verificar a sua situação econômica e financeira e obter 
outros serviços. No entanto, essa prática é obrigatória para as empresas com 
ações negociadas na bolsa de valores, aspecto normativo que contribuiu para o 
desenvolvimento da profissão. 
A auditoria contábil é responsável por averiguar as principais áreas 
financeiras da empresa, como o imobilizado, o caixa e outros ativos e passivos 
relevantes. Com base nessas informações, é possível emitir um parecer sobre a 
veracidade dos dados contábeis, sendo importante destacar que a análise não 
deve se limitar a uma área financeira, mas considerar também as demais áreas e 
controles-chave da empresa. 
 
 
5 
A auditoria interna pode ser dividida em subáreas. Encontramos aqui maior 
liberdade para transitar entre as diversas áreas, a fim de avaliar os processos 
internos e identificar possíveis melhorias. A auditoria interna é realizada para 
atender às necessidades da administração da empresa, diferentemente da 
auditoria contábil, que tem o objetivo de atender aos interesses dos acionistas e 
financiadores. Embora a auditoria não tenha como finalidade principal a 
identificação de fraudes e erros operacionais, ela pode evidenciar essas 
ocorrências de forma estruturada, caso sejam identificadas durante o trabalho. 
Ambas as auditorias, tanto a interna quanto a externa, buscam analisar 
tecnicamenteos dados das empresas auditadas, para emitir um parecer sobre as 
informações, buscando também a recomendação de ações de correção e 
melhoria (Oliveira, 2014). 
As vantagens de um trabalho de auditoria são diversas, incluindo a 
identificação de fraudes, que é uma das funções mais conhecidas mesmo por 
quem não atua diretamente na área. É importante destacar que, embora a 
auditoria não tenha como finalidade principal identificar fraudes, ela pode ser útil 
para identificar essas ocorrências e prevenir problemas futuros. 
Segundo Gil (2000), a auditoria realizada por empresas independentes é 
uma exigência legal para as empresas de capital aberto. No entanto, o seu 
principal objetivo não é habilitá-la para operar no mercado de ações, mas sim 
fornecer aos acionistas uma opinião transparente e independente sobre a situação 
econômico-financeira da empresa. Esse processo contribui para aumentar a 
credibilidade dos números apresentados, agregando valor, com contribuição 
ampla. A auditoria está centrada na confiabilidade de informações e processos, 
tendo como principal vantagem a oferta de opiniões, orientações e sugestões de 
aprimoramento por parte do auditor, considerando o escopo de seu trabalho. 
Além disso, enquanto a auditoria contábil atende os interesses de 
acionistas e financiadores, a auditoria interna visa atender às necessidades da 
administração da empresa. Ela pode, em alguns casos, avaliar a qualidade dos 
produtos da empresa, com o objetivo de contribuir para a melhoria contínua 
desses itens. Porém, a recomendação de criação de controles não é obrigatória 
no processo, uma vez que a empresa auditada pode apresentar controles 
satisfatórios que atendem às demandas do negócio. 
 
 
 
6 
TEMA 2 – NORMA DE GESTÃO DE RISCO DA FERMA 
A Ferma – Federação Europeia de Associações de Gestão de Riscos tem 
o objetivo de auxiliar as instituições a gerenciar riscos com maior eficácia. A 
seriedade da proposta é evidente pela sua colaboração com diversas 
organizações de gestão de risco para o desenvolvimento de normas mais 
inteligentes. O alvo dessa colaboração é a melhoria da terminologia usada na 
gestão de riscos, dos processos para aplicação de iniciativas de gestão e da 
estrutura organizacional necessária para gerenciar os riscos com sucesso, entre 
outros aspectos (Ferma, 2003). 
De maneira geral, a criação de um padrão reconhecido universalmente é 
sempre benéfica para ampliar o entendimento e a aplicação do conhecimento 
sobre um tema. No caso da gestão de riscos, isso significa equipar as instituições 
para o trabalho com riscos mais controlados. 
A Norma de Gestão de Risco da Ferma é um documento que define os 
padrões para a gestão de risco empresarial, estabelecendo um processo 
sistemático para identificar, avaliar e mitigar os riscos que uma organização 
poderá enfrentar. Através da implementação da Norma de Gestão de Risco da 
Ferma, as organizações podem melhorar a sua capacidade de gerir riscos e tomar 
decisões baseadas em informações. 
A Norma de Gestão de Risco da Ferma é baseada em princípios sólidos de 
gestão de risco, que incluem a adoção de uma abordagem proativa para identificar 
e avaliar riscos e a criação de um sistema de gestão eficaz e integrado com todos 
os níveis da organização. Ao seguir essas diretrizes, as organizações podem 
melhorar a sua capacidade de prever e gerir riscos, e assim reduzir os impactos 
negativos sobre a operação (Melo, 2014). 
Em última análise, a implementação da Norma de Gestão de Risco da 
Ferma pode ajudar as organizações a atingir os seus objetivos estratégicos, 
garantindo o seu sucesso no longo prazo. 
A Norma de Gestão de Risco da Ferma também estabelece uma estrutura 
para a comunicação e o reporte de riscos dentro da organização, permitindo que 
as partes interessadas, tanto internas quanto externas, tenham uma compreensão 
clara dos riscos enfrentados pela organização, bem como das medidas que estão 
sendo tomadas para geri-los. Além disso, a norma incentiva a monitorização e a 
revisão contínuas do sistema de gestão de risco, a fim de garantir que as 
 
 
7 
abordagens e os processos utilizados estejam alinhados com as mudanças nas 
circunstâncias de risco da organização (Malacrida; Yamamoto, 2006). 
A implementação da Norma de Gestão de Risco da Ferma pode trazer 
vários benefícios para uma organização. Entre eles, podemos destacar a redução 
do impacto negativo dos riscos na operação, a melhoria da tomada de decisões 
informadas, a redução dos custos operacionais e a melhoria da imagem da 
organização para as partes interessadas. Além disso, a adoção da norma ajuda a 
criar uma cultura de gestão de risco dentro da organização, o que pode levar a 
uma abordagem mais proativa para lidar com situações e melhorar a resiliência 
organizacional. 
A Federation of European Risk Management Associations (Ferma) publicou 
o guia “Risk Management Standard”, resultado do esforço conjunto de diversas 
entidades europeias, com o intuito de promover o uso da gestão de riscos pelas 
organizações, incluindo o setor público (Ferma, 2003). 
As boas práticas de gestão de riscos apresentadas no guia são 
semelhantes às prescritas por outros modelos, aumentando as probabilidades de 
sucesso no alcance dos objetivos. A gestão de riscos deve ser integrada à cultura 
da organização, com uma política efetiva direcionada pela alta administração, 
estabelecendo critérios contra os quais os riscos são comparados e 
estabelecendo uma separação clara de responsabilidades entre gestores, funções 
de apoio à governança e gestão dos riscos e auditoria interna. 
TEMA 3 – NORMA DE GESTÃO DE RISCOS AS/NZS N. 4360 
O governo australiano estabeleceu uma política geral para a gestão de 
riscos, chamada de Commonwealth Risk Management Policy do Australian 
Government Department. Essa política faz parte dos esforços para melhorar os 
níveis de responsabilidade de órgãos e entidades governamentais, considerando 
objetivos, riscos e controles internos. 
O principal objetivo dessa política é incorporar a gestão de riscos à cultura 
das instituições governamentais, de modo que o entendimento compartilhado 
sobre riscos leve a tomadas de decisão bem-informadas. 
É importante notar que a Commonwealth Risk Management Policy do 
Australian Government Department não é de aplicação obrigatória. Ainda assim, 
é altamente recomendado que cada organização governamental revise e alinhe a 
sua estrutura de gestão de riscos com o modelo descrito no documento. 
 
 
8 
Esse modelo se baseia na norma técnica ISO 31000/2009. Ele traz nove 
elementos-chave: instituir uma política de gestão de riscos; estabelecer um 
framework para a gestão de riscos; definir as responsabilidades pela gestão de 
riscos; incorporar a gestão de riscos sistemática nos processos de negócio; 
desenvolver uma cultura de riscos; comunicar e consultar fatores sobre o risco; 
compreender e gerir o risco partilhado; manter a capacidade de gestão de riscos; 
e rever e melhorar continuamente a gestão de riscos. 
A Norma de Gestão de Riscos AS/NZS n. 4360 é um documento que 
estabelece as diretrizes para a gestão de risco em organizações australianas, 
sendo baseada em cinco etapas. Ela inclui identificação de riscos, avaliação de 
riscos, tratamento de riscos, monitoramento e revisão do processo de gestão de 
riscos. A implementação da Norma AS/NZS n. 4360 pode ajudar as organizações 
a identificar e gerir riscos, bem como melhorar a tomada de decisões informadas, 
A primeira etapa do processo de gestão de risco estabelecido pela Norma 
AS/NZS 4360 é a identificação de riscos, que envolve a identificação de todos os 
riscos que a organização pode enfrentar em suas operações. Uma vez 
identificados, a próxima etapa é a avaliação dos riscos, que envolve a análise de 
sua probabilidade de ocorrência e do seu impacto potencial. Essa avaliação 
permite que a organização priorize os riscosque demandam maior atenção e 
recursos. 
Posteriormente, na terceira etapa do processo de gestão de risco, temos o 
tratamento dos riscos, que contempla a implementação de medidas para gerir os 
riscos identificados, com o objetivo de reduzir a sua probabilidade de ocorrência 
ou minimizar o impacto potencial. Essas medidas podem incluir a transferência do 
risco para terceiros e a aceitação ou a implementação de medidas de mitigação 
para reduzir a probabilidade de ocorrência ou minimizar o impacto. 
A quarta etapa do processo de gestão de risco é a monitorização contínua 
dos riscos identificados e das medidas implementadas para geri-los, permitindo 
que a organização identifique se as medidas implementadas estão sendo eficazes 
e se os riscos identificados ainda são relevantes. Por fim, a quinta etapa de gestão 
de risco é a revisão do processo, buscando melhorias contínuas e garantindo que 
ele esteja alinhado com as necessidades da organização, em constante mudança. 
A implementação da Norma AS/NZS 4360 pode trazer vários benefícios 
para uma organização, incluindo a melhoria da capacidade da organização para 
identificar e gerir riscos, a melhoria da tomada de decisões informadas, a redução 
 
 
9 
dos custos operacionais e a melhoria da imagem da organização para as partes 
interessadas. Além disso, a implementação da norma pode ajudar a criar uma 
cultura de gestão de risco dentro da organização, o que pode levar a uma 
abordagem mais proativa e melhorar a resiliência organizacional. 
TEMA 4 – ISO 31000: NORMA INTERNACIONAL DE GESTÃO DE RISCO 
Em 2009, a ABNT – Associação Brasileira de Normas Técnicas, uma 
organização privada e sem fins lucrativos, responsável por padronizar técnicas de 
produção no país, lançou a ABNT NBR ISO 31000. Esse documento oferece 
diretrizes genéricas para a gestão formal de riscos, que podem ser adaptadas a 
diversos contextos organizacionais e aplicadas a qualquer tipo de risco. O objetivo 
principal é fornecer um guia de referência para a vida útil da organização, 
orientando a estruturação de estratégias, decisões, processos e outras atividades, 
sempre levando em consideração as particularidades de cada organização (Rosa; 
Toledo, 2015). 
A ISO 31000 foi criada com o objetivo de padronizar a terminologia e os 
conceitos usados na gestão de riscos pelas organizações. Ela se baseia na 
primeira norma mundial a tratar de gestão de riscos empresariais, a Norma AS 
NZS n. 4.360/2004, tendo o propósito de atender às necessidades de uma ampla 
gama de partes interessadas, a fim de garantir uma gestão adequada dos riscos. 
A norma ISO 31000 define diversos termos relevantes. Por exemplo, o risco 
é definido como efeito da incerteza nos objetivos. Abarca atividades coordenadas 
para dirigir e controlar uma organização considerando o risco. A sua estrutura é 
definida como um conjunto de componentes que fornecem os fundamentos e os 
arranjos organizacionais de concepção, implementação, monitoramento, análise 
crítica e melhoria contínua da gestão de riscos em toda a organização. 
A política de gestão de riscos traz uma descrição dos objetivos e princípios 
gerais de uma organização em relação à gestão de riscos, considerando ainda a 
postura diante do risco e a maneira como a organização avalia e decide lidar com 
eles, seja buscando-os, mantendo-os, assumindo-os ou evitando-os. O apetite 
pelo risco descreve o tipo e a quantidade de riscos que a organização está 
disposta a assumir ou manter (Rosa; Toledo, 2015). 
Por outro lado, a aversão ao risco é a atitude de evitá-los. O plano de gestão 
de riscos descreve a estrutura e os componentes de gestão da organização, 
 
 
10 
incluindo os recursos a serem aplicados para gerenciá-los. O proprietário do risco 
é a pessoa ou entidade responsável por gerenciá-lo. 
O processo de gerenciamento de riscos envolve a implementação de 
políticas, procedimentos e práticas de gestão de riscos para as atividades de 
comunicação, consulta, estabelecimento de contexto, identificação, análise, 
avaliação, tratamento, monitoramento e análise crítica. 
O estabelecimento do contexto refere-se à definição dos parâmetros 
externos e internos relevantes para o gerenciamento de riscos, bem como ao 
estabelecimento do escopo e dos critérios para a política de gerenciamento. Trata-
se de uma abordagem sistemática para lidar com os riscos que podem afetar o 
sucesso de uma organização. 
Segundo Rosa e Toledo (2015), o ambiente externo é composto pelos 
fatores externos que impactam os objetivos da organização, enquanto o ambiente 
interno refere-se ao ambiente dentro da organização, onde são buscados os seus 
objetivos. A comunicação e a consulta são processos interativos contínuos que 
uma organização realiza para fornecer, compartilhar ou obter informações 
relacionadas ao gerenciamento de riscos. 
Uma parte interessada é uma pessoa ou organização que pode ser afetada, 
afetar ou perceber-se afetada por uma decisão ou atividade. O processo global 
de identificação de riscos, análise de riscos e avaliação dos riscos é conhecido 
como processo de avaliação de riscos. A identificação de riscos é o processo de 
busca, reconhecimento e descrição de riscos, alinhado com o contexto interno e 
externo da organização e com o perfil do risco, considerando fatores humanos e 
culturais. 
A gestão de riscos é transparente e inclusiva, com o envolvimento 
apropriado e oportuno de partes interessadas e dos tomadores de decisão em 
todos os níveis da organização. Ela é dinâmica, iterativa e capaz de reagir a 
mudanças. Ela facilita a melhoria contínua da organização. Convém que as 
organizações desenvolvam e implementem estratégias para aumentar a sua 
maturidade na gestão de riscos, abarcando ainda todos os demais aspectos da 
sua organização. 
A ISO 31000 busca fornecer orientações genéricas sobre a gestão de 
riscos, apresentando princípios importantes que devem ser adotados ou 
adaptados pelas organizações em todos os níveis, incluindo o planejamento 
estratégico e todos os processos de gestão de projetos e mudanças. 
 
 
11 
Um dos seus objetivos principais é contribuir para a realização dos 
objetivos da organização e para a melhoria do desempenho em vários aspectos, 
como segurança, saúde, conformidade legal e regulatória, aceitação pública, 
proteção do meio ambiente, qualidade do produto, eficiência nas operações, 
governança e reputação. 
A gestão de riscos é uma parte integrante de todos os processos 
organizacionais. Auxilia os tomadores de decisão a fazer escolhas conscientes, 
priorizar ações e distinguir entre formas alternativas de ação. Além disso, ela 
considera explicitamente a incerteza, sendo sistemática, estruturada e oportuna, 
com base nas melhores informações disponíveis. 
A gestão de riscos também é feita sob medida, alinhada com o contexto 
interno e externo da organização e com o perfil do risco. É importante reconhecer 
capacidades, percepções e intenções do pessoal interno e externo, que possam 
facilitar ou dificultar a realização dos objetivos da organização. O envolvimento 
apropriado e oportuno de partes interessadas (e, em particular, dos tomadores de 
decisão), em todos os níveis da organização, assegura que a gestão de riscos 
permaneça pertinente e atualizada. 
Por fim, a gestão de riscos é dinâmica, iterativa e capaz de reagir a 
mudanças, facilitando a melhoria contínua da organização. Assim, a ISO 31000 
tem o objetivo principal de proporcionar subsídios concretos às organizações, 
para o desenvolvimento de planos de gestão de riscos adaptados à sua realidade. 
A gestão de riscos deve fazer parte da gestão da organização em todos os 
níveis e funções relevantes, sendo incorporada em sua cultura e em suas práticas. 
A estrutura do processo de gestão de riscos é baseada nas atividades descritas 
nos itens 5.2 a 5.6 da norma ISO 31000. A norma fornece princípios e orientações 
genéricas sobregestão de riscos, com o objetivo de fornecer subsídios concretos 
às organizações, para facilitar o desenvolvimento de planos adaptados à sua 
realidade. 
Para que a gestão de riscos seja eficaz, é importante que a organização 
considere a intenção de comunicar e consultar, de maneira clara e explícita. Essa 
comunicação deve ocorrer em todas as fases do processo, desde o 
estabelecimento dos critérios de risco até as etapas de identificação, avaliação e 
tratamento dos riscos, considerando a ocorrência de sinistros. É importante ainda 
realizar a consulta às partes interessadas, tanto internas como externas. Essa 
etapa é fundamental para o sucesso do processo. 
 
 
12 
Além disso, é necessário que a organização disponha de técnicas e 
ferramentas adequadas de comunicação e consulta, como softwares que possam 
servir como plataforma de gestão do conhecimento. Ao projetar a estrutura do 
processo de gestão de riscos, é importante considerar e expressar, de forma 
explícita, tanto a intenção quanto os recursos disponíveis para garantir 
comunicação e consulta eficazes. 
Outro ponto é a definição dos critérios para a gestão de riscos. O escopo 
da gestão, além das áreas e dos setores envolvidos, devem ser divididos em 
contextos interno e externo. No contexto interno, serão considerados os seguintes 
aspectos: estrutura organizacional, responsabilidades, processos, sistemas de 
informação internos e diálogo e relações com as partes interessadas internas. No 
contexto externo, é preciso avaliar: ambiente legal, social, cultural, político, 
financeiro, tecnológico, econômico, entre outros, assim como a relação com as 
partes externas interessadas, a sua percepção e os seus valores. 
A avaliação de riscos é o processo de identificação, análise e avaliação de 
riscos. Na identificação, é crucial que a organização identifique as fontes de risco, 
as áreas de impacto, os eventos e as suas possíveis causas e consequências. 
Essa análise deve gerar uma lista de riscos que podem afetar a realização dos 
objetivos. É importante dedicar atenção e esforço a essa etapa, para identificar 
todos os riscos possíveis. 
Para melhorar esse processo continuamente, é comum que as 
organizações atualizem a lista com novas fontes de risco. Recomenda-se que 
pessoas com conhecimento adequado estejam envolvidas na fase de 
identificação dos riscos. 
TEMA 5 – ESTUDO PRÁTICO: COSO ERM FRAMEWORK PARA 
GERENCIAMENTO DE RISCOS 
O Coso, iniciativa independente de entidades profissionais contábeis e de 
auditoria dos Estados Unidos, foi criado em 1985 para estudar as causas das 
fraudes em relatórios financeiros e contábeis. A organização traz recomendações 
para empresas e auditores. Suas publicações e metodologia foram ajustadas ao 
longo do tempo, para acompanhar as mudanças e a evolução do cenário 
empresarial, com foco em gerenciamento de riscos corporativos, controles 
internos e fraudes. A missão do Coso é fornecer um pensamento de liderança 
para essas áreas, enquanto a sua visão é ser líder global em orientação para risco 
 
 
13 
e controle, permitindo boa governança organizacional, com redução de fraudes 
(Pereira, 2015). 
No início dos anos 2000, grandes escândalos corporativos deixaram claro 
que muitas organizações eram bem-sucedidas por conta de fraudes e da 
manipulação de informações financeiras, quadro que abalou a confiança dos 
investidores, sublinhando a necessidade de maior transparência e confiabilidade 
na preparação e divulgação de informações. 
Em 2002, foi aprovada a Lei Sarbanes-Oxley, com o objetivo de reformular 
e regulamentar o mercado de capitais, combatendo a manipulação de 
informações financeiras. As principais mudanças propostas repousavam sobre as 
regras de governança corporativa, buscando aumentar a responsabilidade dos 
executivos e responsáveis pela emissão e divulgação de relatórios financeiros, 
com ênfase no uso de controles internos mais rígidos. Diversos estudos foram 
realizados em resposta aos escândalos corporativos da época, buscando 
identificar as principais falhas nos controles das instituições. 
De acordo com Pereira (2015), os eventos do início dos anos 2000 
evidenciaram a importância dos controles internos nas organizações. Estudos 
realizados pelo Coso identificaram os objetivos essenciais do negócio das 
empresas, definindo os controles internos e fornecendo critérios para avaliar e 
validar esses controles. O Coso Report, publicado em 1992, é um modelo 
integrado de controle interno que se tornou referência mundial para estudos e para 
a aplicação dos controles internos. O seu foco é identificar, detectar e reagir aos 
riscos de um negócio, destacando a relevância dos aspectos financeiros e a 
transparência nas demonstrações contábeis. Por isso, é também conhecido como 
Coso Contábil, sendo adequado para prestar contas da administração da entidade 
e aumentar a transparência para acionistas e sociedade. 
O modelo Coso II, ou Coso-ERM, publicado em 2004, estendeu o Coso I, 
com foco na gestão de riscos corporativos. Ele ampliou o alcance dos controles 
internos, prevendo ou prevenindo os riscos inerentes aos processos das 
organizações que poderiam impedir ou dificultar o alcance de seus objetivos. Esse 
modelo se tornou referência mundial, levando à uniformização das definições de 
controle interno. Ele também definiu componentes, objetivos e objetos do controle 
interno em um modelo integrado, delimitando os papéis e as responsabilidades 
da administração e estabelecendo padrões para a implementação e a validação 
dos controles internos. Com a sua publicação, o interesse das autoridades de 
 
 
14 
supervisão do mercado de capitais dos Estados Unidos foi confirmado, incluindo 
a Securities and Exchange Commission (SEC) e a Comissão de Valores 
Mobiliários (CVM) norte-americana. 
Imagine que você é um consultor de governança corporativa e foi 
contratado por uma empresa de grande porte para revisar e avaliar os seus 
controles internos. A empresa está preocupada com a possibilidade de fraudes e 
de manipulação de informações financeiras. Ela quer garantir que os seus 
processos internos estejam alinhados com as melhores práticas do mercado. 
Construa uma proposta com o passo a passo da forma como você faria a 
análise dos riscos da organização, com base na metodologia da Coso. 
Espera-se que o(a) leitor(a) inicie a proposta apresentando os objetivos 
essenciais do negócio da empresa. Em seguida, ele deverá identificar os 
principais riscos que podem impedir ou dificultar o alcance desses objetivos. 
Depois, seria necessário avaliar os controles internos existentes na empresa e 
verificar se eles são adequados para mitigar os riscos. O modelo Coso I pode ser 
utilizado para avaliar os controles internos financeiros, enquanto o modelo Coso 
II pode ser utilizado para avaliar os controles internos relacionados à gestão de 
riscos corporativos. 
O(a) leitor(a) pode propor a identificação das principais áreas da empresa 
que precisam ser avaliadas, como a financeira, a de recursos humanos, a de 
tecnologia da informação e a de compras. Em cada uma dessas áreas, seria 
necessário avaliar os controles internos existentes e verificar se eles são eficazes 
na mitigação dos riscos identificados. 
Ao final da avaliação, o(a) leitor(a) poderá apresentar um relatório com 
recomendações para a empresa, destacando os pontos fortes e as oportunidades 
de melhoria dos controles internos e incluindo, por exemplo, recomendações para 
a implementação de novos controles internos ou para a melhoria dos controles 
existentes. 
 
 
 
15 
REFERÊNCIAS 
AUDITORIA: modalidades e assuntos. Portal de auditoria, 2016. Disponível em: 
<http://www.portaldeauditoria.com.br/sobreauditoria.asp>. Acesso em: 5 maio 
2023. 
CREPALDI, S. A. Auditoria contábil: teoria e prática. São Paulo: Atlas, 2013. 
FERMA – Federation of European Risk Management Associations. Norma De 
GestãoDe Riscos. 2003. Disponível em: 
<https://www.ferma.eu/app/uploads/2011/11/a-risk-management-standard-
portuguese-version.pdf>. Acesso em: 5 maio 2023. 
GIL, A. de L. Auditoria operacional e de gestão. 5. ed. São Paulo: Atlas, 2000. 
MALACRIDA, M; YAMAMOTO, M. Governança corporativa: nível de evidenciação 
das informações e sua relação com a volatilidade das ações do Ibovespa. Revista 
Contabilidade e Finanças, 2006. 
MELLO, P. T. Escândalos corporativos globais respigaram nas firmas de 
contabilidade e auditoria. O Globo, 2014. Disponível 
em:<https://oglobo.globo.com/economia/escandalos-corporativos-globais-
respigaram-nas-firmas-de--contabilidade-auditoria-14565408/>. Acesso em: 5 
maio 2023. 
OLIVEIRA, C. A. de. Origem da auditoria e conceitos básicos. Goiânia: 
Faculdade Delta, 2014. Disponível em: <http://www.faculdadedelta.edu.br/ 
downloads_alunos/1345746737_Conteudo_01.pdf>. Acesso em: 5 maio 2023. 
PEREIRA, H. Coso 2013: visão geral. LinkedIn, 2015. Disponível em: 
<https://pt.linkedin.com/pulse/coso-2013-vis%C3%A3o-geral-henrique-pereira-
mba>. Acesso em: 5 maio 2023. 
ROSA, G. M.; TOLEDO, J. C. Gestão de riscos e a norma ISO 31000: 
importância e impasses rumo a um consenso. Ponta Grossa: Conbrepro, 2015.