Controle interno

Prévia do material em texto

<p>DESCRIÇÃO</p><p>Discussão dos fundamentos de gerenciamento de riscos corporativos, do gerenciamento de</p><p>controles internos e dos riscos de uma auditoria.</p><p>PROPÓSITO</p><p>Compreender os aspectos históricos relativos à percepção da relevância do tratamento de</p><p>riscos nas organizações, assim como as principais referências de gerenciamento de riscos,</p><p>como, por exemplo, uma abordagem adotada nos procedimentos de auditoria, e de controles</p><p>internos.</p><p>OBJETIVOS</p><p>MÓDULO 1</p><p>Descrever a retrospectiva histórica de questões relativas à construção do conhecimento em</p><p>gerenciamento de riscos e controles internos, assim como os principais referenciais de</p><p>mercado</p><p>MÓDULO 2</p><p>Selecionar as principais características do referencial COSO 2017 integrado à estratégia e ao</p><p>desempenho da organização, além de seus respectivos componentes e princípios</p><p>direcionadores</p><p>Options</p><p>MÓDULO 3</p><p>Identificar as principais características do referencial COSO 2013, assim como seus</p><p>respectivos componentes e princípios direcionadores</p><p>MÓDULO 4</p><p>Descrever os riscos de uma auditoria</p><p>INTRODUÇÃO</p><p>Vejamos como está estruturado o nosso estudo:</p><p>1</p><p>Inicialmente, faremos uma visita às origens históricas das questões que embasam o</p><p>gerenciamento de riscos. Para isso, apresentaremos os principais referenciais que abordam o</p><p>gerenciamento de riscos e o de controles internos. Também abordaremos o modelo de três</p><p>linhas desenvolvido pelo Institute of Internal Auditors (IIA).</p><p>2</p><p>Na abordagem do gerenciamento de riscos proposto pelo COSO (sigla americana de</p><p>Committee of Sponsoring Organizations of the Treadway Commission), compreenderemos a</p><p>relação existente entre o gerenciamento de riscos corporativos, a estratégia de uma</p><p>organização e o seu desempenho. Veremos que o COSO 2107 é estruturado em componentes</p><p>e princípios que apoiam a estruturação de um sistema de gerenciamento de riscos integrado à</p><p>estratégia e ao desempenho de uma organização.</p><p>Quanto aos controles internos, descreveremos o COSO 2013, que trata do gerenciamento de</p><p>controles internos, os quais, por sua vez, são mecanismos de controle de atividades para evitar</p><p>impactos negativos no alcance de objetivos operacionais, de conformidade e de divulgação. De</p><p>forma similar ao COSO 2017, ele também é estruturado em componentes e princípios a serem</p><p>apresentados de forma mais detalhada.</p><p>3</p><p>Em seguida, listaremos os riscos existentes nos procedimentos de auditoria. Nessa linha,</p><p>apontaremos as situações que impactam na probabilidade de riscos de uma auditoria.</p><p>4</p><p>Por fim, destacaremos os quatro conceitos de risco (de distorção relevante, inerente, de</p><p>controle e de detecção), assim como demais procedimentos que colaboram para a coleta de</p><p>evidências em procedimentos de auditoria.</p><p>MÓDULO 1</p><p> Descrever a retrospectiva histórica de questões relativas à construção do</p><p>conhecimento em gerenciamento de riscos e controles internos, assim como os</p><p>principais referenciais de mercado</p><p>ORIGEM HISTÓRICA</p><p>O gerenciamento de riscos permeia a atuação da humanidade desde os seus primórdios. A</p><p>compreensão de suas origens históricas e de sua evolução é útil para um melhor conhecimento</p><p>e aplicação dessa área de conhecimento.</p><p>Gerenciar riscos é uma consequência da reação do ser humano às forças externas do</p><p>ambiente em que vive. Essas forças, afinal, podem ser benéficas ou não contribuírem para a</p><p>sua sobrevivência.</p><p>Ao compreendermos os marcos iniciais dos riscos, teremos referenciais que nos ajudarão a</p><p>elucidar os melhores caminhos a serem percorridos no futuro. Essa compreensão aplica-se não</p><p>somente às grandes questões da humanidade, mas também às organizações.</p><p>A concepção de prevenção é decorrente da evolução da racionalidade humana ao ter de lidar</p><p>com questões que instigam sua capacidade de adaptação para reconhecer e enfrentar riscos.</p><p>O êxito do ser humano – a partir do seu ancestral homo sapiens – em relação aos demais</p><p>hominídeos deu-se em função de sua adaptabilidade aos diferentes ambientes receptivos ou</p><p>agressivos. Ela, aliás, também é contemplada pela seleção genética que auxilia na evolução</p><p>das espécies.</p><p>Constata-se que ele deixou de entender que o risco é uma consequência de fenômenos da</p><p>natureza ou de seres superiores que possam controlar o planeta Terra, vendo-o apenas como</p><p>uma ocorrência que pode ser dominada para melhor sobrevivência. Ao transpormos este</p><p>patamar, tivemos a oportunidade de alavancar o sistema econômico da sociedade.</p><p> EXEMPLO</p><p>Um dos vestígios mais antigos que trata da preocupação com o risco pode ser constatado em</p><p>um papiro egípcio que descreve os cuidados que o trabalhador à época deveria ter com o uso</p><p>de vestimentas para proteger seus braços. Eles, afinal, eram uma fonte de obtenção de</p><p>alimentos nas atividades agrícolas.</p><p>Com a evolução natural ocorrida, o homem passou a atuar em atividades de pastoreio e</p><p>confecção de artefatos pessoais, culminando na Revolução Industrial, época em que a</p><p>prevenção de riscos pôde mostrar sua relevância em razão dos diversos acidentes ocorridos</p><p>nas linhas de produção.</p><p>Faremos uma breve cronologia da forma como o risco vem sendo tratado ao longo da história:</p><p>SÉCULO XIII A.C.</p><p>Ocorreram as primeiras indenizações em razão de inundações de propriedades e de roubos</p><p>patrimoniais.</p><p>SÉCULO XVII</p><p>Criação do seguro de incêndios na Inglaterra como forma de tratamento de risco.</p><p>1870</p><p>Com o advento da Revolução Industrial, iniciaram-se as tentativas de prevenção de acidentes,</p><p>que passaram a ocorrer frequentemente, por meio de melhorias dos equipamentos de proteção</p><p>e das instalações industriais.</p><p>1921</p><p>Frank Knight (1885-1972) lança uma publicação que trata de riscos, incertezas e lucros.</p><p>javascript:void(0)</p><p>1939-1945</p><p>A capacidade industrial foi considerada um ponto nevrálgico para que uma nação pudesse ser</p><p>vencedora na Segunda Guerra Mundial. Por essa razão, a segurança do trabalho, por</p><p>intermédio de ações de prevenção, passou a ser a tônica da época.</p><p>1952</p><p>Harry Markowitz demonstrou, por meio de métodos estatísticos, que colocar todos os ovos em</p><p>uma cesta oferece um risco maior do que atuar de forma diversificada.</p><p>1963</p><p>Robert Meher e Bob Hedges lançam no mercado uma publicação que tratava do</p><p>gerenciamento de riscos nas organizações.</p><p>DÉCADA DE 1970</p><p>A teoria da probabilidade desenvolvida no século XVII passa a ser aplicada como método</p><p>quantitativo de gerenciamento de riscos nas áreas de saúde, mercado financeiro e seguros.</p><p>1975</p><p>É lançada a revista americana Fortune, publicação que aborda a revolução decorrente do</p><p>gerenciamento de riscos. Ela definia uma forma de gerenciar riscos na organização que</p><p>dependesse da atuação da alta administração.</p><p>1992</p><p>Cria-se, nos Estados Unidos, um guia pioneiro no gerenciamento dos controles internos de</p><p>uma organização pelo comitê COSO. Já na Inglaterra, o Comitê Cadbury define que a alta</p><p>administração precisa definir, assegurar e monitorar o gerenciamento de riscos na organização.</p><p>1996</p><p>Peter Bernstein enfatiza que a abordagem de riscos baseada em métodos quantitativos é</p><p>relevante; todavia, ele frisa que a necessidade de uma abordagem holística na organização</p><p>também deve ser ressaltada.</p><p>2001</p><p>A empresa americana Enron atua de forma fraudulenta em operações contábeis e financeiras</p><p>com apresentações de balanços patrimoniais falsos e lucros irreais.</p><p>2002</p><p>A atuação da Enron precipitou a aprovação da Lei Sarbanes-Oxley, que instituiu mecanismos</p><p>de governança que pudessem reduzir a ocorrência de fraudes.</p><p>2004</p><p>O Comitê COSO publica o Guia de gerenciamento de riscos corporativos.</p><p>2009</p><p>É publicada a Norma Técnica ISO 31000, que define os princípios e as diretrizes do</p><p>gerenciamento de riscos aplicáveis a qualquer tipo de organização.</p><p>2013</p><p>O Comitê COSO atualiza seu guia de controles internos.</p><p>2017</p><p>Lançado em 2004, o Guia de gerenciamento de riscos corporativos do Comitê COSO é</p><p>atualizado com a incorporação da estratégia e da mensuração de desempenho à sua estrutura.</p><p>FRANK KNIGHT</p><p>Tornou-se referência mundial</p><p>na área por definir as bases conceituais do gerenciamento de</p><p>riscos.</p><p>PRINCIPAIS REFERENCIAIS DE</p><p>GERENCIAMENTO DE RISCOS E</p><p>CONTROLES INTERNOS</p><p>No vídeo a seguir, o professor Pedro Hikaru Oishi comenta sobre os principais referenciais de</p><p>gerenciamento de riscos e controles internos. Vamos assistir!</p><p>O gerenciamento de riscos e controles internos nas organizações coopera para a aquisição dos</p><p>seguintes benefícios:</p><p></p><p>Maior alcance de resultados estratégicos.</p><p>Maior desempenho organizacional.</p><p></p><p></p><p>Maior eficácia em projetos.</p><p>Maior eficiência nos processos de trabalho.</p><p></p><p></p><p>Redução do gerenciamento de crises.</p><p>Maior percepção de valor aos clientes.</p><p></p><p>Esse gerenciamento nas organizações pode ser estruturado a partir de vários referenciais</p><p>existentes no mercado. Apresentaremos, de forma simplificada, aqueles desenvolvidos pelo</p><p>COSO e pela IIA:</p><p> Referenciais de gerenciamento de riscos e controles internos.</p><p>COSO</p><p>Criado em 1985, o COSO é um comitê norte-americano sem fins lucrativos para implementar</p><p>mecanismos de controle e monitoramento de relatórios financeiros. Sua criação foi decorrente</p><p>do grande número de fraudes contábeis e financeiras ocorridas em anos anteriores.</p><p>Nessa linha de trabalho, ele é formado por cinco organizações do setor privado que se dedicam</p><p>a liderar iniciativas relativas ao gerenciamento de riscos corporativos, ao controle interno e à</p><p>dissuasão de fraudes por conta do desenvolvimento de frameworks (estruturas de trabalho) e</p><p>recomendações.</p><p>Em sua atuação, o COSO disponibiliza os seguintes referenciais para serem utilizados pelas</p><p>organizações:</p><p>Controle interno – estrutura integrada (COSO 2013)</p><p></p><p>Gerenciamento de riscos corporativos integrados à estratégia e ao desempenho (COSO 2017)</p><p>O gerenciamento de riscos nas organizações em todo o mundo emprega intensivamente o</p><p>conhecimento consolidado por essa organização, que alcançou um grau maior de maturidade</p><p>de suas propostas utilizadas para combater as diversas fraudes contábeis e financeiras</p><p>ocorridas nas últimas décadas.</p><p>Suas práticas, recomendações e guias são amplamente adotadas pelas organizações públicas</p><p>ou privadas, além de constituírem a base de pesquisas acadêmicas.</p><p>IIA</p><p>Ele é uma associação internacional de profissionais da área de auditoria interna que visa</p><p>prover condições profissionais e disseminar conhecimentos para os seus associados.</p><p>Seu espectro de atuação contempla as áreas de:</p><p>AUDITORIA INTERNA</p><p>GERENCIAMENTO DE RISCOS</p><p>GOVERNANÇA</p><p>CONTROLE INTERNO</p><p>AUDITORIA DE TI</p><p>EDUCAÇÃO</p><p>SEGURANÇA</p><p>COSO 2013 – CONTROLE INTERNO –</p><p>ESTRUTURA INTEGRADA</p><p>O controle interno, na definição do COSO , significa “um processo conduzido pela estrutura de</p><p>governança, administração e outros profissionais da entidade, desenvolvido para proporcionar</p><p>segurança razoável com respeito à realização dos objetivos relacionados a operações,</p><p>divulgação e conformidade”.</p><p>Esse controle apresenta as seguintes características:</p><p>1</p><p>Possui processo dinâmico e interativo.</p><p>Perpassa toda a organização.</p><p>2</p><p>3</p><p>O controle interno deve estar integrado às funções administrativas (planejar, organizar,</p><p>direcionar e controlar).</p><p>Não é um processo com um fim em si próprio, servindo para garantir uma razoável segurança</p><p>para a entrega de valor.</p><p>4</p><p>5</p><p>Ele é implementado pela estrutura de governança e pela alta administração.</p><p>É customizável para todos os níveis organizacionais.</p><p>6</p><p>Observemos a estrutura do COSO 2013:</p><p> Estrutura do COSO 2013.</p><p>Pode-se inferir que os objetivos organizacionais operacionais, de divulgação e de conformidade</p><p>são controlados e monitorados pelo ambiente de controle, pela avaliação de riscos, pela</p><p>atividade de controle, pela informação e comunicação e pela atividade de monitoramento em</p><p>todos os níveis hierárquicos da organização.</p><p>COSO 2017 – GERENCIAMENTO DE RISCOS</p><p>CORPORATIVOS INTEGRADOS À</p><p>ESTRATÉGIA E AO DESEMPENHO</p><p>Precisamos ressaltar a relevância da integração do gerenciamento de riscos corporativos no</p><p>processo de planejamento estratégico em todos os níveis organizacionais. Os riscos, afinal,</p><p>influenciam a estratégia e o desempenho da organização – e por eles também são</p><p>influenciados.</p><p>Apresentaremos a seguir suas principais características:</p><p>Reformulação radical em relação ao COSO 2004.</p><p>Foco na criação e preservação de valor.</p><p>Tomada de decisões baseada em riscos.</p><p>Plano estratégico formulado de acordo com os riscos.</p><p>Sustentabilidade das ações.</p><p>Integração de gerenciamento de riscos, estratégia e desempenho da organização.</p><p>Estruturado em 5 componentes e 20 princípios.</p><p>A estrutura básica do COSO 2017 está representada na figura a seguir:</p><p> Estrutura do COSO 2017.</p><p> COMENTÁRIO</p><p>Nessa estrutura, constata-se que o gerenciamento de riscos, segundo a versão editada pelo</p><p>COSO em 2017, é fortemente integrado à estratégia da organização e à melhoria de</p><p>desempenho.</p><p>Essa estrutura é baseada nos seguintes componentes:</p><p>GOVERNANÇA E CULTURA</p><p>ESTRATÉGIA E DEFINIÇÃO DE OBJETIVOS</p><p>DESEMPENHO</p><p>ANÁLISE E REVISÃO</p><p>INFORMAÇÃO, COMUNICAÇÃO E DIVULGAÇÃO</p><p>Teremos a oportunidade de conhecer maiores detalhes desta estrutura em outro módulo.</p><p>MODELO DE TRÊS LINHAS</p><p>De acordo com o IIA, o modelo de três linhas ajuda as organizações a identificar estruturas e</p><p>processos que auxiliam da melhor maneira no atingimento dos objetivos e facilitam uma forte</p><p>governança e um gerenciamento de riscos.</p><p>Esse modelo é baseado em seis princípios que cooperam para uma estrutura de governança</p><p>eficaz. As três linhas referem-se às funções do órgão de governança, da gestão e da auditoria</p><p>interna.</p><p>Nesse contexto, veremos agora os papéis desempenhados pela 1ª, 2ª e 3ª linha:</p><p> Modelo de três linhas.</p><p> SAIBA MAIS</p><p>Ele era conhecido originalmente como modelo de três linhas de defesa. Após passar por uma</p><p>reestruturação em 2020, passou a ser chamado somente de modelo de três linhas.</p><p>Esse modelo contempla as seguintes características:</p><p></p><p>Abordagem proativa em relação ao modelo anterior de “defesa”.</p><p>Maior independência da auditoria interna (reporta-se ao órgão de governança).</p><p></p><p></p><p>Definição mais clara dos papéis e das responsabilidades, assim como dos relacionamentos</p><p>entre eles.</p><p>Foco nas necessidades e expectativas dos clientes e na geração de valor.</p><p></p><p></p><p>Modelo baseado em princípios alinhados aos objetivos organizacionais.</p><p>O modelo de três linhas contempla seis princípios:</p><p>GOVERNANÇA</p><p>Uma organização deve comportar processos e estruturas organizacionais que facilitem a</p><p>prestação de contas, as ações de gestão para a facilitação do alcance de objetivos e as</p><p>atividades de avaliação e assessoria realizadas por uma auditoria independente.</p><p>PAPÉIS DO ÓRGÃO DE GOVERNANÇA</p><p>O órgão de governança da organização precisa assegurar a existência de estruturas e</p><p>processos organizacionais atuantes para a maior eficácia de sua governança.</p><p>Sua atuação também deve contribuir para que as ações estejam de acordo com as</p><p>expectativas das partes interessadas, além de oferecer condições para que os objetivos</p><p>organizacionais sejam alcançados, estando em conformidade com as normativas. Para uma</p><p>maior confiabilidade na gestão, esse princípio supervisiona a atuação da auditoria</p><p>independente.</p><p>GESTÃO E OS PAPÉIS DA PRIMEIRA E SEGUNDA</p><p>LINHAS</p><p>A gestão atua para efetuar tanto o gerenciamento de riscos (1ª linha), focado na entrega de</p><p>produtos e serviços, quanto o de riscos corporativos (2ª linha), que trata dos riscos que</p><p>impactam no alcance de objetivos organizacionais.</p><p>PAPÉIS DA TERCEIRA LINHA</p><p>A auditoria interna precisa ter condições para atuar em atividades de avaliação e assessoria em</p><p>relação à governança e ao gerenciamento de riscos.</p><p>A INDEPENDÊNCIA DA TERCEIRA LINHA</p><p>A auditoria interna deve atuar de forma independente na organização com base na prestação</p><p>de contas e no acesso incondicional às informações dela.</p><p>CRIANDO E PROTEGENDO VALOR</p><p>Todas as partes interessadas da organização têm de ser pautadas para a criação de valor por</p><p>intermédio de</p><p>trabalho colaborativo e comunicação.</p><p>VERIFICANDO O APRENDIZADO</p><p>MÓDULO 2</p><p> Selecionar as principais características do referencial COSO 2017 integrado à</p><p>estratégia e ao desempenho da organização, além de seus respectivos componentes e</p><p>princípios direcionadores</p><p>ESTRATÉGIA DA ORGANIZAÇÃO E O</p><p>GERENCIAMENTO DE RISCOS</p><p>Desenvolvida pelo COSO em 2017, a última versão da estrutura de trabalho referente aos</p><p>riscos corporativos foi denominada “gerenciamento dos riscos corporativos – integrado à</p><p>estratégia e ao desempenho”.</p><p> COMENTÁRIO</p><p>Para simplificarmos o emprego dessa terminologia, adotaremos neste tema a expressão</p><p>“COSO 2017” quando falarmos dessa estrutura.</p><p>O gerenciamento de riscos corporativos tem sua relevância ao cooperar para a:</p><p>Criação de valor decorrente da aceitação de riscos considerados razoáveis</p><p></p><p>Eliminação ou tratamento de riscos que possam acarretar a destruição de valor</p><p> Valor na organização.</p><p>Até o lançamento dessa estrutura, esse gerenciamento contemplava apenas a identificação e o</p><p>tratamento de riscos que tivessem um impacto no alcance da estratégia; contudo, os projetos e</p><p>os processos organizacionais destruíam valor pelo fato de nem sempre estarem alinhados à</p><p>missão e à visão da organização.</p><p>Na estrutura do COSO 2017, o risco, em todos os níveis organizacionais, é levado em</p><p>consideração na formulação de:</p><p>Estratégia</p><p>Alinhamento à missão, à visão e aos valores organizacionais</p><p>Mensuração do desempenho</p><p>Essa atualização teve o objetivo de atender às seguintes demandas:</p><p>Ressaltar a relevância do gerenciamento de riscos na formulação da estratégia.</p><p>Promover o alinhamento desse gerenciamento no desempenho da organização.</p><p>Atender às demandas de transparência e prestação de contas às partes interessadas.</p><p>Alinhar a tecnologia de informação às necessidades de informações para a tomada de</p><p>decisões.</p><p> COMENTÁRIO</p><p>Deve-se ressaltar que o gerenciamento de riscos não é uma função específica ou uma área</p><p>funcional dentro da organização. Trata-se, na verdade, de um conjunto de boas práticas,</p><p>cultura organizacional e competências que contribuem, de acordo com o apetite aos riscos com</p><p>monitoramento do desempenho, para a definição e a execução da estratégia e dos objetivos</p><p>organizacionais.</p><p>Contemplando a estratégia, os objetivos organizacionais, os riscos e o desempenho, a</p><p>estrutura do COSO 2017 está representada na figura a seguir:</p><p> Estrutura do COSO 2017.</p><p>O gerenciamento de riscos corporativos pode trazer os seguintes benefícios para a</p><p>organização:</p><p></p><p>Ampliação do leque de oportunidades em função da identificação e da priorização de riscos</p><p>positivos.</p><p>Visão sistêmica do gerenciamento de riscos, o que coopera para a melhoria do desempenho.</p><p></p><p></p><p>Incremento de resultados positivos a partir da identificação e do tratamento de riscos negativos.</p><p>Desempenho organizacional previsível, sem sobressaltos na produtividade e na qualidade de</p><p>produtos e serviços.</p><p></p><p></p><p>Aplicação eficiente de recursos.</p><p>Maior adaptabilidade da organização aos cenários adversos.</p><p></p><p>ESTRATÉGIA, RISCOS, VALOR E</p><p>DESEMPENHO</p><p>No vídeo a seguir, o professor Pedro Hikaru Oishi apresenta a relação entre estratégia, riscos,</p><p>valor e desempenho. Vamos assistir!</p><p>Na abordagem do COSO 2017, o gerenciamento de riscos corporativos é integrado à definição</p><p>da estratégia, a qual, por sua vez, colabora para a definição de objetivos organizacionais. Com</p><p>base nesses objetivos, são estruturados os projetos e os processos organizacionais que devem</p><p>entregar valor ao cliente da organização.</p><p>Para garantir a sustentabilidade dessas ações, é necessário monitorar o desempenho e a</p><p>execução da estratégia com base nos riscos identificados, os quais, em seguida, passam a</p><p>compor o portfólio de riscos.</p><p>A operacionalização do COSO 2017 é baseada nos componentes e nos princípios</p><p>apresentados abaixo:</p><p>Componente Princípios</p><p>Governança e cultura</p><p>- Fiscalização de riscos corporativos pelo órgão de</p><p>governança</p><p>- Definição de unidades organizacionais</p><p>- Definição da cultura da organização</p><p>- Comprometimento com valores fundamentais</p><p>Estratégia e definição de</p><p>objetivos</p><p>- Análise contextuai da organização em relação</p><p>aos riscos</p><p>- Definição do apetite aos riscos</p><p>- Avaliação de alternativas de estratégias</p><p>- Definição de objetivos organizacionais</p><p>Desempenho - Identificação de riscos</p><p>- Análise da gravidade dos riscos</p><p>- Priorização de Riscos</p><p>- Implementação de respostas aos riscos</p><p>- Desenvolvimento de Portfolio de Riscos</p><p>Análise e revisão</p><p>- Avaliação de mudanças significativas</p><p>- Revisão de riscos e desempenho</p><p>- Busca de melhorias no gerenciamento de riscos</p><p>corporativos</p><p>Informações, comunicação e</p><p>divulgação</p><p>- Estímulo à utilização de informações por meio da</p><p>tecnologia</p><p>- Comunicação dos riscos à informação</p><p>- Comunicação de riscos, da cultura</p><p>organizacional e do desempenho</p><p> Atenção! Para visualização completa da tabela utilize a rolagem horizontal</p><p>Quadro: Componentes e princípios do COSO 2017.</p><p>Extraído de COSO 2017.</p><p>GOVERNANÇA E CULTURA</p><p>Nesse componente, a governança e a cultura se destacam como dois relevantes pilares que</p><p>contribuem para a definição de responsabilidades no gerenciamento de riscos e de valores</p><p>éticos e comportamentais desejáveis para a compreensão dos riscos em toda a organização.</p><p>Esse componente é baseado nos seguintes princípios:</p><p>FISCALIZAÇÃO DE RISCOS CORPORATIVOS PELO</p><p>ÓRGÃO DE GOVERNANÇA</p><p>O órgão de governança da organização tem de monitorar a definição da estratégia e de seus</p><p>riscos inerentes no alcance de seus objetivos organizacionais para servir como suporte aos</p><p>gestores.</p><p>DEFINIÇÃO DE UNIDADES ORGANIZACIONAIS</p><p>A organização deve estruturar as unidades organizacionais que operam para o alcance da</p><p>estratégia e dos objetivos organizacionais.</p><p>DEFINIÇÃO DA CULTURA DA ORGANIZAÇÃO</p><p>A organização tem a incumbência de definir o perfil comportamental e ético que caracteriza</p><p>suas especificidades.</p><p>COMPROMETIMENTO COM VALORES FUNDAMENTAIS</p><p>Deve-se expressar de forma clara os valores que precisam permear uma organização.</p><p>GESTÃO POR COMPETÊNCIA ALINHADA COM A</p><p>ESTRATÉGIA E OS OBJETIVOS ORGANIZACIONAIS</p><p>Em busca de maior valor agregado, a organização deve se comprometer a atrair e desenvolver</p><p>pessoas que possam alinhar-se à estratégia e aos objetivos organizacionais dela.</p><p>ESTRATÉGIA E DEFINIÇÃO DE OBJETIVOS</p><p>Para uma maior entrega de valor, o gerenciamento de riscos corporativos deve ser integrado à</p><p>estratégia e à definição de objetivos organizacionais no processo de formulação do plano</p><p>estratégico da organização.</p><p>Nesse contexto, o apetite aos riscos, isto é, o nível aceitável de tolerância a eles, é definido</p><p>com a estratégia, a qual, por sua vez, direciona essa definição dos objetivos que</p><p>retroalimentam a avaliação e a resposta aos riscos.</p><p>Para que a estratégia e a definição de objetivos sejam estruturadas de forma eficaz, os</p><p>seguintes princípios precisam ser observados:</p><p>ANÁLISE CONTEXTUAL DA ORGANIZAÇÃO EM</p><p>RELAÇÃO AOS RISCOS</p><p>A organização tem de analisar os riscos que compõem sua área de atuação para a construção</p><p>do mapa de gerenciamento de riscos corporativos.</p><p>DEFINIÇÃO DO APETITE AOS RISCOS</p><p>Para a criação e a preservação de valor, deve-se analisar os riscos a fim de definir um nível</p><p>aceitável deles que a organização se propõe a tolerar.</p><p>AVALIAÇÃO DE ALTERNATIVAS DE ESTRATÉGIAS</p><p>Avaliam-se as possíveis alternativas de formulação das estratégias de acordo com o apetite</p><p>aos riscos da organização.</p><p>DEFINIÇÃO DE OBJETIVOS ORGANIZACIONAIS</p><p>A partir da definição de estratégia baseada no apetite aos riscos, a organização parte para a</p><p>definição de objetivos organizacionais, que, aliás, devem atuar em todos os níveis.</p><p>DESEMPENHO</p><p>Na abordagem do COSO 2017 o gerenciamento de riscos corporativos é integrado ao</p><p>desempenho organizacional. Nesse sentido, todas as ações desenvolvidas devem estar</p><p>conectadas ao apetite aos riscos.</p><p>Por essa razão, o desempenho se apoia nos seguintes princípios:</p><p></p><p>IDENTIFICAÇÃO DE RISCOS</p><p>São identificados aqueles que podem impactar no desempenho da organização quanto à</p><p>estratégia e aos objetivos organizacionais dela.</p><p>ANÁLISE DA GRAVIDADE DOS RISCOS</p><p>É analisada a gravidade dos riscos que atingem a execução da estratégia e a eficácia de</p><p>processos no alcance dos objetivos organizacionais.</p><p></p><p></p><p>PRIORIZAÇÃO DE RISCOS</p><p>Com base no apetite aos riscos, a organização prioriza aqueles que ela considera aceitáveis</p><p>para a criação ou a preservação de valor.</p><p>IMPLEMENTAÇÃO DE RESPOSTAS AOS RISCOS</p><p>Uma vez definidos os riscos aceitáveis, são estruturadas formas de tratamento dos riscos</p><p>priorizados.</p><p></p><p></p><p>DESENVOLVIMENTO DE PORTFÓLIO DE RISCOS</p><p>Com os riscos priorizados pela organização, assim como suas respectivas formas de</p><p>tratamento, desenvolve-se um portfólio de risco. Ele deve ser avaliado continuamente para a</p><p>preservação e a criação de valor.</p><p>ANÁLISE E REVISÃO</p><p>A análise do desempenho permite que a organização avalie os componentes do gerenciamento</p><p>de riscos corporativos a fim de que, quando requeridas, sejam promovidas mudanças de curso.</p><p>Para estruturar a análise e a revisão, os princípios dispostos a seguir devem ser seguidos:</p><p>AVALIAÇÃO DE MUDANÇAS SIGNIFICATIVAS</p><p>Consiste na identificação de mudanças que impactam de forma significativa a estratégia e o</p><p>alcance de objetivos organizacionais.</p><p>REVISÃO DE RISCOS E DESEMPENHO</p><p>O desempenho da organização e os riscos que passaram a ser incorporados ao portfólio de</p><p>riscos têm de ser constantemente monitorados, assim como a possibilidade de aparecimento</p><p>de novos riscos.</p><p>BUSCA DE MELHORIAS NO GERENCIAMENTO DE</p><p>RISCOS CORPORATIVOS</p><p>Integrado à estratégia e ao desempenho da organização, o gerenciamento de riscos deve ser</p><p>tratado como um processo de trabalho contínuo que, de acordo com os cenários interno e</p><p>externo, requer aprimoramentos.</p><p>INFORMAÇÕES, COMUNICAÇÃO E</p><p>DIVULGAÇÃO</p><p>O gerenciamento de riscos corporativos precisa ter como base de interação entre as partes</p><p>interessadas a geração de informações, a comunicação por meio de diversos canais e a</p><p>divulgação das citadas informações.</p><p>Para que as três sejam viáveis, devem ser considerados, em conformidade com as</p><p>recomendações do COSO 2017, estes princípios:</p><p>Estímulo à utilização de informações por meio da tecnologia</p><p>O gerenciamento de riscos corporativos é afetado de forma positiva pela ampla utilização da</p><p>tecnologia nas diversas etapas de gestão da informação dentro da organização.</p><p>Comunicação dos riscos à informação</p><p>Todos os riscos que podem impactar na transparência ou na legitimidade das informações têm</p><p>de ser comunicados às partes interessadas.</p><p>Comunicação de riscos, da cultura organizacional e do desempenho</p><p>A organização deve, em todos os níveis organizacionais, comunicar regularmente às partes</p><p>interessadas informações relativas aos riscos, à cultura organizacional e ao desempenho.</p><p>TENDÊNCIAS DO GERENCIAMENTO DE</p><p>RISCOS CORPORATIVOS</p><p>Em função do cenário de alta competitividade entre as organizações, o que implica uma</p><p>adaptabilidade aos diversos fatores dos cenários interno e externo, o gerenciamento de riscos</p><p>não pode prescindir das inovações proporcionadas por boas práticas de governança e gestão e</p><p>dos recursos oferecidos pela tecnologia de informação.</p><p>Nesse compasso, quatro tendências devem ser avaliadas quanto à conveniência de uma</p><p>integração aos princípios desse gerenciamento:</p><p>Aumento exponencial das informações</p><p>As informações disponíveis para todos os usuários de serviços de informação crescem de</p><p>forma exponencial a cada ano.</p><p>As organizações devem se adaptar a essa realidade; do contrário, elas estão sob o risco de</p><p>sucumbir por falta de informações que possam subsidiar a formulação de estratégias e</p><p>objetivos organizacionais.</p><p>Aplicação da inteligência artificial em diversas áreas de conhecimento</p><p>A inteligência artificial deixou de ser um conhecimento específico utilizado em métodos</p><p>quantitativos para ser utilizada em todas as áreas de conhecimento. Sua taxa de erros já é</p><p>menor do que a de ações efetuadas por um ser humano.</p><p>Exemplo: A partir de uma vasta quantidade de informações, os algoritmos de inteligência</p><p>artificial podem efetuar inferências quanto à melhor maneira de se efetivar o tratamento de</p><p>riscos organizacionais.</p><p>Gerenciamento de custos dos riscos organizacionais</p><p>Com a crescente utilização do gerenciamento de riscos para a maximização na criação de valor</p><p>e na redução de sua destruição, o de custos organizacionais acaba encontrando pontos de</p><p>intersecção com o custo daquele que é aplicado aos riscos.</p><p>Exemplo: Uma organização pode, de forma mais assertiva, mensurar os benefícios</p><p>decorrentes da implementação de estruturas de trabalho que deem tratamento aos riscos</p><p>organizacionais.</p><p>Fortalecimento das organizações em cenários adversos</p><p>A alta competitividade existente entre as organizações, que caminham por uma trilha pautada</p><p>pela necessidade de maior eficiência e eficácia dos processos organizacionais, enseja um</p><p>cenário de maior resiliência delas.</p><p>Exemplo: Isso pode ser proporcionado por um gerenciamento de riscos integrado à estratégia</p><p>e ao desempenho.</p><p>VERIFICANDO O APRENDIZADO</p><p>MÓDULO 3</p><p> Identificar as principais características do referencial COSO 2013, assim como seus</p><p>respectivos componentes e princípios direcionadores</p><p>GESTÃO DA ORGANIZAÇÃO E CONTROLE</p><p>INTERNO</p><p>Uma organização, para atender à sua missão e à sua visão, tem de estabelecer, por meio de</p><p>projetos e processos organizacionais, objetivos alinhados à sua estratégia, a qual, por sua vez,</p><p>define as diretrizes que precisam pautar a atuação da organização no atendimento aos</p><p>princípios de:</p><p>EFICIÊNCIA</p><p>EFICÁCIA</p><p>EFETIVIDADE</p><p>ECONOMICIDADE</p><p>Nessa busca de aprimoramento, devem ser definidos os objetivos organizacionais que</p><p>cooperam para a operacionalização de ações alinhadas estrategicamente. Na estrutura do</p><p>COSO 2013, eles podem ser classificados em três categorias:</p><p>OBJETIVOS OPERACIONAIS</p><p>Referem-se à eficácia e à eficiência dos processos organizacionais.</p><p>OBJETIVOS DE DIVULGAÇÃO</p><p>Tratam de objetivos que visam promover a prestação de contas e a transparência das ações da</p><p>organização.</p><p>OBJETIVOS DE CONFORMIDADE</p><p>A conformidade relaciona-se com a aderência da organização às normas, oriundas da</p><p>legislação vigente, de órgãos de regulamentação ou de origem interna.</p><p>De acordo com o COSO 2013, o controle interno é caracterizado como um processo conduzido</p><p>pela estrutura de governança, administração e outros profissionais da entidade, sendo</p><p>desenvolvido para proporcionar uma segurança razoável na realização de objetivos</p><p>relacionados às operações, à divulgação e à conformidade.</p><p>Esse controle atua na estruturação para identificar e avaliar os riscos; no entanto, o tratamento</p><p>efetivo é de responsabilidade de gestores e funcionários das áreas específicas da organização.</p><p>Nas situações em que o controle interno é implementado em sua integralidade, a organização</p><p>consegue colher os seguintes benefícios:</p><p>Divulgação de informações legítimas e confiáveis para a tomada de decisões.</p><p>javascript:void(0)</p><p>javascript:void(0)</p><p>javascript:void(0)</p><p>Maior eficiência operacional dos processos organizacionais.</p><p>Processamento e transparência de informações em todos os níveis da organização.</p><p>Foco em riscos que ultrapassam os limites de tolerância definidos por ela.</p><p>Apesar dos esforços empreendidos pelo controle interno, devemos ressaltar que o espectro de</p><p>sua atuação é limitado por depender dos seguintes fatores:</p><p>1</p><p>Definição de objetivos organizacionais adequados à realidade da organização.</p><p>Falha humana na tomada de decisões.</p><p>2</p><p>3</p><p>Possibilidade de a administração ou a força de trabalho não adotar os mecanismos de controle.</p><p>Veremos que a estrutura do COSO 2013 contempla objetivos organizacionais, componentes e</p><p>diversos níveis hierárquicos dentro de uma organização:</p><p> Estrutura do COSO 2013.</p><p>Na estrutura apresentada, temos as três faces do cubo representando:</p><p>OS OBJETIVOS ORGANIZACIONAIS</p><p>OS COMPONENTES DO CONTROLE</p><p>INTERNO</p><p>OS DIVERSOS NÍVEIS HIERÁRQUICOS DA</p><p>ORGANIZAÇÃO</p><p> COMENTÁRIO</p><p>Com base na primeira figura do nosso estudo, pode-se concluir que os objetivos</p><p>organizacionais operacionais, de divulgação e de conformidade são controlados e monitorados</p><p>pelo ambiente de controle, pela avaliação de riscos, pela atividade de controle, pela informação</p><p>e comunicação e pela atividade de monitoramento em todos os níveis hierárquicos da</p><p>organização.</p><p>Para que o controle interno seja operacionalizado de forma eficaz, é necessária a atuação de</p><p>cinco componentes:</p><p>AMBIENTE DE CONTROLE</p><p>AVALIAÇÃO DE RISCOS</p><p>ATIVIDADE DE CONTROLE</p><p>INFORMAÇÃO E COMUNICAÇÃO</p><p>ATIVIDADE DE MONITORAMENTO</p><p>Esses componentes são direcionados de acordo com princípios específicos. Eles, por sua vez,</p><p>desdobram-se em outros 17 princípios:</p><p>Componente Princípios</p><p>Ambiente de</p><p>controle</p><p>- Comprometimento da organização com a ética.</p><p>- Unidades organizacionais e profissionais de governança</p><p>atuam de forma independente e monitoram o controle interno.</p><p>- As estruturas organizacionais são definidas para alcance dos</p><p>objetivos, com apoio da estrutura de governança.</p><p>- Comprometimento na gestão por competências, no alcance</p><p>de objetivos.</p><p>- Comprometimento de atuação no controle interno, no</p><p>alcance de objetivos.</p><p>Avaliação de riscos</p><p>- Definição clara de objetivos organizacionais para</p><p>identificação e tratamento de riscos.</p><p>- Identificação e análise de riscos em toda organização para</p><p>definição da forma de tratamento destes riscos.</p><p>- Percepção de fraude na avaliação de riscos.</p><p>- Identificação e avaliação de ocorrências que impactem no</p><p>sistema de controle interno.</p><p>Atividades de</p><p>controle</p><p>- Operacionalização de atividades de controle para níveis</p><p>aceitáveis de riscos.</p><p>- Desenvolvimento de atividades de controle de tecnologia</p><p>para alcance dos objetivos organizacionais.</p><p>- Estabelecimento de diretrizes e processos para atividades</p><p>de controle.</p><p>Informação e</p><p>comunicação</p><p>- Obtenção e utilização de informações de qualidade para</p><p>suporte do controle interno.</p><p>- Divulgação de informações de apoio ao controle interno.</p><p>- Prestação de contas para o público externo acerca de</p><p>questões que impactam no controle interno.</p><p>Atividade de</p><p>monitoramento</p><p>- Avaliação contínua e independente do controle interno.</p><p>- Comunicação de falhas ou deficiências no controle interno</p><p>aos responsáveis, ou quando for o caso, à alta administração</p><p>e à estrutura de governança.</p><p> Atenção! Para visualização completa da tabela utilize a rolagem horizontal</p><p>Quadro: Componentes e princípios do COSO 2013.</p><p>Elaborado por Pedro Hikaru.</p><p>AMBIENTE DE CONTROLE</p><p>O ambiente de controle refere-se aos processos e às estruturas organizacionais atuantes de</p><p>acordo com as normas definidas para a operacionalização do controle interno. Devem ser</p><p>definidas regras de negócios do controle interno em todos os processos nos níveis</p><p>hierárquicos.</p><p>O ambiente de controle do COSO 2013 é baseado nos seguintes princípios:</p><p>Comprometimento da organização com a ética.</p><p>Unidades organizacionais e profissionais de governança atuam de forma independente e</p><p>monitoram o controle interno.</p><p>As estruturas organizacionais são definidas para o alcance dos objetivos, contando com o</p><p>apoio da estrutura de governança.</p><p>Há um comprometimento na gestão por competências para o alcance de objetivos.</p><p>Existe um comprometimento de atuação no controle interno para o alcance de objetivos.</p><p>O ambiente de controle está intimamente ligado aos valores éticos, à integridade de atuação e</p><p>às competências das pessoas na condução de atividades que não estão ligadas diretamente à</p><p>entrega de produtos e serviços. Ele busca validar o comprometimento da organização em</p><p>todos os seus níveis com os seus objetivos.</p><p>O AVALIAÇÃO DE RISCOS</p><p>No vídeo a seguir, o professor Pedro Hikaru Oishi fala sobre a avaliação de riscos. Vamos</p><p>assistir!</p><p>Uma organização, em suas atividades de gestão, passa por eventos de riscos que podem</p><p>impactar no alcance de resultados. Para que sejam tomadas medidas de tratamento de tais</p><p>eventos de forma tempestiva, é necessário que o processo de avaliação de riscos transcorra de</p><p>forma dinâmica em relação à ocorrência de um evento com potencial para prejudicar o alcance</p><p>de objetivos organizacionais.</p><p>OBJETIVOS ORGANIZACIONAIS</p><p>Precisam estar definidos em uma etapa anterior à da identificação e do tratamento de riscos.</p><p>Para que a avaliação de riscos seja realizada de maneira satisfatória, devem ser atendidos os</p><p>seguintes princípios:</p><p>javascript:void(0)</p><p>Definição clara de objetivos organizacionais para a identificação e o tratamento de riscos.</p><p>Identificação e análise de riscos em toda a organização para a definição da forma de</p><p>tratamento deles.</p><p>Percepção de fraude na avaliação deles.</p><p>Identificação e avaliação de ocorrências que impactem no sistema de controle interno.</p><p>Para que a avaliação de riscos contribua para o controle interno, ela precisa estar inserida de</p><p>forma alinhada aos objetivos organizacionais, situação em que pode contribuir para a redução</p><p>de impactos negativos.</p><p>Deve-se compreender que a avaliação de riscos ocorre em função de duas principais variáveis:</p><p>PROBABILIDADE DE OCORRÊNCIA</p><p>Com base em métodos quantitativos ou até mesmo empíricos, pode-se analisar a probabilidade</p><p>da ocorrência de um risco capaz de impactar no alcance de objetivos organizacionais.</p><p>IMPACTO DE OCORRÊNCIA</p><p>A ocorrência de um evento de risco na execução de um processo pode trazer um pequeno ou</p><p>grande impacto no alcance de objetivos organizacionais.</p><p>Já a criticidade corresponde ao produto matemático da probabilidade de ocorrência e do seu</p><p>impacto. A partir da criticidade do risco, uma organização precisa efetivar sua avaliação para</p><p>fins de identificação de riscos e respectivas formas de tratamento.</p><p>De acordo com o risco identificado, ela pode adotar uma destas formas de tratamento:</p><p>ACEITAR</p><p>Não é executada nenhuma ação de tratamento de riscos. A organização entende que o risco é</p><p>aceitável e não traz grande impacto para determinado processo de trabalho.</p><p>javascript:void(0)</p><p>javascript:void(0)</p><p>EVITAR</p><p>O processo organizacional que implica riscos organizacionais é suprimido da organização.</p><p>Essa medida, apesar de suprimir o risco, pode impedir, por exemplo, que ela implemente</p><p>iniciativas de inovação ou melhorias.</p><p>REDUZIR</p><p>Essa forma de tratamento refere-se à redução do impacto ou da probabilidade de ocorrência do</p><p>risco. Tal abordagem está vinculada a tratativas específicas para cada situação de risco.</p><p>COMPARTILHAR</p><p>A redução do impacto ou da probabilidade de ocorrência do risco pode ocorrer por meio da</p><p>transferência dele para terceiros. Um exemplo clássico é a contratação de seguros.</p><p>ATIVIDADES DE CONTROLE</p><p>As atividades de controle são criadas para o tratamento dos riscos que possam gerar um</p><p>impacto no alcance de objetivos organizacionais. Sua implementação é efetuada em todos os</p><p>níveis hierárquicos da organização com base em normas e políticas definidas.</p><p>Esse componente pode contemplar a adoção das seguintes atividades:</p><p>Segregação de funções</p><p>Verificações de atividades</p><p>Implementação de instâncias de autorizações</p><p>Plano de continuidade de negócios</p><p>Definição de indicadores e metas de desempenho</p><p>Controles físicos</p><p>No bojo das atividades de controle, estão dispostos os seguintes princípios:</p><p>Operacionalização de atividades de controle para níveis aceitáveis de riscos.</p><p>Desenvolvimento de atividades de controle de tecnologia para o alcance dos objetivos</p><p>organizacionais.</p><p>Estabelecimento de diretrizes e processos para essas atividades.</p><p>Usualmente, as atividades de controle não são implementadas quando a organização opta por</p><p>aceitar ou evitar determinado risco. A situação será diversa quando ela preferir reduzir ou</p><p>javascript:void(0)</p><p>javascript:void(0)</p><p>javascript:void(0)</p><p>javascript:void(0)</p><p>javascript:void(0)</p><p>javascript:void(0)</p><p>compartilhá-lo: tais atividades, conforme seu nível aceitável de riscos, deverão se fazer</p><p>presentes.</p><p>Na implementação dessas</p><p>atividades, são analisadas as seguintes questões:</p><p>COMPLETUDE</p><p>Verificação da extensão de execução dos processos organizacionais.</p><p>EXATIDÃO</p><p>Análise da eficácia do processo organizacional.</p><p>VALIDADE</p><p>Verificação da efetividade do processo organizacional.</p><p>INFORMAÇÃO E COMUNICAÇÃO</p><p>A organização atua por meio de comunicações internas e externas que devem contribuir para o</p><p>alcance de objetivos. As informações devem ser legítimas e de qualidade para que possam ser</p><p>divulgadas pelo processo de comunicação. A geração e a divulgação delas, por fim, precisam</p><p>ser garantidas por ela na operacionalização do controle interno.</p><p>Esse componente segue os seguintes princípios:</p><p>1</p><p>Obtenção e utilização de informações de qualidade para o suporte do controle interno.</p><p>Divulgação de informações de apoio ao controle interno.</p><p>2</p><p>3</p><p>Prestação de contas para o público externo acerca de questões que impactam no controle</p><p>interno.</p><p>Já a qualidade das informações é assegurada a partir do cumprimento dos seguintes</p><p>requisitos:</p><p>Acessíveis às partes interessadas.</p><p>Confiáveis e atuais.</p><p>Asseguradas por boas práticas de segurança da informação.</p><p>Legítimas e apoiadas em formas de verificação.</p><p>Quanto ao método de comunicação, é preciso observar os seguintes pontos:</p><p>Cuidados no tom de voz e na comunicação não verbal existente em uma verbal.</p><p>Diferenças culturais, étnicas, sociais e econômicas, entre outras, podem influenciar na</p><p>recepção de mensagens enviadas. Deve-se assegurar que tais diferenças não contribuem para</p><p>o erro de interpretação da mensagem.</p><p>Avaliação da conveniência de métodos formais ou informais de acordo com o público-alvo.</p><p>Diante do retrospecto histórico de fraudes contábeis e financeiras ocorridas em todo o mundo,</p><p>as organizações passaram a ser mais demandadas para uma atuação mais transparente na</p><p>prestação de contas. Essa mudança de postura colaborou para o aprimoramento do processo</p><p>de criação e comunicação das informações na administração pública e na iniciativa privada.</p><p> SAIBA MAIS</p><p>Propostas de referenciais de governança do Tribunal de Contas da União e do Instituto</p><p>Brasileiro de Governança Corporativa fortaleceram o processo de comunicação das</p><p>organizações com o público externo.</p><p>ATIVIDADES DE MONITORAMENTO</p><p>Para que os cinco componentes do controle interno estejam em operação da forma planejada,</p><p>devem ser executadas atividades de monitoramento para a correção de rumos, o cancelamento</p><p>ou a substituição de atividades.</p><p>Essas atividades podem ser realizadas de forma contínua, durante a execução da atividade, ou</p><p>por uma avaliação independente, que é conduzida por auditorias internas e externas.</p><p>Nas atividades de monitoramento, são respeitados os seguintes princípios:</p><p>Avaliação contínua e independente do controle interno</p><p></p><p>Comunicação de falhas ou deficiências nesse controle aos responsáveis ou, quando for o caso,</p><p>à alta administração e à estrutura de governança</p><p>VERIFICANDO O APRENDIZADO</p><p>MÓDULO 4</p><p> Descrever os riscos de uma auditoria</p><p>RISCOS DE AUDITORIA</p><p>Deve-se diferenciar preliminarmente a auditoria de riscos na organização, cujo objeto está</p><p>alinhado com sua forma de gerenciamento, dos riscos de auditoria, que dizem respeito aos de</p><p>uma auditoria gerar opiniões que não retratam as distorções de informações financeiras e</p><p>contábeis, as quais, aliás, também podem conter fraudes e erros acima do aceitável.</p><p>O risco de auditoria está presente em todas as etapas de planejamento, execução e</p><p>apresentação de resultados de uma delas. Ele constitui a probabilidade de existências de</p><p>falhas ou erros que não são detectados durante uma auditoria.</p><p>O risco de auditoria é uma função dos riscos:</p><p>INERENTES</p><p>DE CONTROLE</p><p>DE DETECÇÃO</p><p>Os três serão detalhados nos próximos tópicos.</p><p>No exercício de suas atividades, o auditor tem de estipular o grau de certeza que deve ser</p><p>alcançado para que, dependendo do caso de uma auditoria interna ou externa, seja possível</p><p>emitir uma recomendação ou uma opinião. Sua valoração é altamente subjetiva, razão pela</p><p>qual isso pode ensejar diversas interpretações.</p><p> EXEMPLO</p><p>O auditor pode querer 90% de certeza de seus achados. Neste caso, incorre-se em 10% de</p><p>risco de auditoria.</p><p>Comumente, aceita-se o valor de 5% de riscos. Como eles podem ser gerados dentro ou fora</p><p>da organização, o auditor precisa identificá-los e avaliá-los para uma maior eficácia da</p><p>auditoria.</p><p>O risco de auditoria pode ser decorrente de nove fatores:</p><p>ÁREA DE ATUAÇÃO</p><p>A área de atuação em que a organização está inserida contribui para um nível mais baixo ou</p><p>mais alto de auditoria.</p><p>Exemplo: uma área com alto grau de maturidade contribui para um nível mais baixo;</p><p>entretanto, uma área de atuação nova no mercado, com alta sensibilidade a fatores externos,</p><p>pode ensejar um risco mais alto.</p><p>FILOSOFIA DE GESTÃO</p><p>Quanto mais conservadora a gestão de uma organização, maior a probabilidade de riscos de</p><p>auditoria mais baixos, isto é, uma organização focada em uma gestão mais agressiva pode</p><p>implicar riscos mais altos.</p><p>CONTROLES INTERNOS</p><p>Uma organização provida de um sistema de controles internos pode cooperar para um nível</p><p>mais baixo de riscos em detrimento de outra que não adota tais controles em suas operações</p><p>financeiras e contábeis.</p><p>HISTÓRICO DE AUDITORIAS ANTERIORES</p><p>A inexistência de um histórico ou de uma opinião com ressalvas pode contribuir para riscos</p><p>mais altos, porém opiniões limpas com poucos ajustes podem trazer riscos mais baixos.</p><p>ROTATIVIDADE DE DIREÇÃO</p><p>Uma alta rotatividade de direção pode significar a não continuidade de uma gestão, gerando</p><p>riscos mais altos. De forma contrária, a continuidade dela pode contribuir para que eles sejam</p><p>mais baixos.</p><p>LITIGIOSIDADE COM FUNCIONÁRIOS E OUTRAS</p><p>ORGANIZAÇÕES</p><p>Uma maior litigiosidade pode significar uma gestão mais conturbada e com o potencial de</p><p>apresentar riscos altos de auditoria. No entanto, se ela for baixa, poderá trazer como</p><p>consequência riscos menores.</p><p>REPUTAÇÃO DOS GESTORES</p><p>Uma organização cujos gestores preocupados estão com sua reputação pode ter como fruto</p><p>direto uma preocupação com boas práticas de gestão e, consequentemente, baixos riscos. Já</p><p>aqueles que não se preocupam com sua reputação podem não ter a mesma atenção com ela</p><p>e, com isso, acarretar riscos altos de auditoria.</p><p>COMPREENSÃO DO PAPEL DA AUDITORIA</p><p>Uma compreensão do papel da auditoria traz em seu bojo um melhor preparo dos gestores, o</p><p>que implicitamente pode cooperar para a melhor geração de relatórios com um menor índice de</p><p>falhas e erros e um baixo risco de auditoria.</p><p>Já nos casos de pouco conhecimento ou desconhecimento, os riscos passam a ser mais altos.</p><p>CONFLITO DE INTERESSES</p><p>O conflito de interesses dos gestores de uma organização contribui para um quadro de riscos</p><p>maiores que uma situação demarcada pela ausência de conflitos, o que, por si só, já implica</p><p>riscos mais baixos.</p><p>TIPOS DE RISCOS ENVOLVIDOS NA</p><p>AUDITORIA</p><p>No vídeo a seguir, o professor Pedro Hikaru Oishi comenta sobre os tipos de riscos envolvidos</p><p>na auditoria. Vamos assistir!</p><p>PROCESSO DE AUDITORIA</p><p>Ele pode ser afetado pelos seguintes tipos de riscos:</p><p>RISCO DE DISTORÇÃO RELEVANTE</p><p>Presentes nas demonstrações contábeis anteriores ao processo de auditoria, eles se</p><p>encontram presentes nos registros contábeis. Esse tipo de risco é decorrente de dois riscos: o</p><p>inerente e de controle.</p><p>RISCO INERENTE</p><p>Ele é vinculado à própria natureza da conta: quanto maior for a complexidade de sua natureza</p><p>para fins de interpretação, maior será o risco inerente.</p><p>Exemplo: um cálculo mais complexo de uma conta tem um risco inerente maior que um</p><p>simples.</p><p>RISCO DE CONTROLE</p><p>O risco de controle refere-se ao grau de eficácia dos controles definidos para determinada</p><p>operação. É o risco que pode ocorrer, mesmo com a existência do controle interno. Quanto</p><p>maior o controle, menor o risco dele.</p><p>RISCO DE DETECÇÃO</p><p>Refere-se ao risco de o auditor não detectar distorções existentes.</p><p>Exemplo: trata-se do procedimento de reduzir os</p><p>riscos de uma auditoria não conseguir</p><p>detectar uma distorção relevante, individual ou conjugada com outras distorções.</p><p>RELAÇÃO ENTRE OS RISCOS</p><p>Veremos agora a relação entre os riscos inerentes, de controle, de detecção e de auditoria:</p><p> Relação entre os riscos.</p><p>MATERIALIDADE</p><p>Os riscos são mensurados em função da:</p><p>Materialidade a ser definida pelo auditor de acordo com as circunstâncias particulares e</p><p>específicas de cada organização na seleção de assuntos</p><p></p><p>Extensão e natureza das distorções</p><p>A materialidade pode variar conforme a auditoria e ter aspectos qualitativos além dos</p><p>quantitativos. Sua definição depende da percepção do auditor em relação às informações de</p><p>ordem financeira dos usuários das demonstrações contábeis.</p><p>A materialidade e os riscos devem ser analisados de forma proporcional inversa, isto é, quanto</p><p>maiores os riscos, menor a materialidade. Segundo a mesma lógica, podemos dizer que,</p><p>quanto menores eles forem, maior ela será.</p><p> ATENÇÃO</p><p>Os riscos de auditoria podem ser mantidos em um nível aceitável baixo, mas eles nunca</p><p>poderão ser zerados; afinal, todo trabalho implica a existência deles.</p><p>PROCEDIMENTOS DE AVALIAÇÃO DE</p><p>RISCOS</p><p>De acordo com a norma NBC TA 315 (R1) do Conselho Federal de Contabilidade, os</p><p>procedimentos de avaliação de riscos são o conjunto de procedimentos utilizados para</p><p>identificar e avaliar os riscos de uma distorção relevante nas demonstrações contábeis e nas</p><p>afirmações.</p><p> Procedimentos de avaliação de riscos.</p><p>Esses procedimentos são os primeiros a serem executados pelo auditor no processo de</p><p>auditoria. Falaremos a seguir sobre três deles:</p><p>INDAGAÇÕES À ADMINISTRAÇÃO</p><p>Referem-se aos procedimentos de indagação às pessoas que disponham de informações que</p><p>possam ajudar na identificação de riscos relevantes por fraude ou erro.</p><p>PROCEDIMENTOS ANALÍTICOS</p><p>javascript:void(0)</p><p>javascript:void(0)</p><p>Tratam daqueles referentes à avaliação da relação entre dados financeiros e não financeiros.</p><p>Essa correlação pode elucidar questões esclarecedoras no processo de auditoria.</p><p>OBSERVAÇÃO E INSPEÇÃO</p><p>Coletam-se dados da organização e do seu ambiente para dar suporte às indagações feitas à</p><p>administração.</p><p> EXEMPLO</p><p>Para subsidiar a avaliação de riscos, o auditor pode utilizar procedimentos substantivos ou</p><p>testes de controles. Ambos também podem ser usados de forma combinada para sua maior</p><p>eficácia.</p><p>PROCEDIMENTO SUBSTANTIVO</p><p>De acordo com a norma NBC TA 330(R1) do Conselho Federal de Contabilidade, o</p><p>procedimento substantivo é o procedimento de auditoria planejado para detectar distorções</p><p>relevantes no nível de afirmações.</p><p> Procedimento substantivo.</p><p>javascript:void(0)</p><p>ESTRUTURA</p><p>A estrutura desse procedimento será demonstrada a seguir:</p><p>TESTES DE DETALHES</p><p>PROCEDIMENTOS ANALÍTICOS</p><p>CLASSIFICAÇÃO DOS PROCEDIMENTOS</p><p>TESTES DE DETALHES</p><p>Consiste na identificação e validação de registros por meio de procedimentos de auditoria. São</p><p>procuradas evidências que suportem os registros, os quais, por sua vez, se fundamentam nas</p><p>afirmações da organização.</p><p>PROCEDIMENTOS ANALÍTICOS</p><p>Tratam dos procedimentos referentes à avaliação da relação entre dados financeiros e não</p><p>financeiros. Essa correlação pode elucidar questões esclarecedoras no processo de auditoria.</p><p>CLASSIFICAÇÃO DOS PROCEDIMENTOS</p><p>Os procedimentos substantivos são divididos pelos seguintes tipos:</p><p>Inspeção.</p><p>Observação.</p><p>Recálculo.</p><p>Reexecução.</p><p>Procedimentos analíticos e indagação (já citados anteriormente).</p><p>OUTROS QUESITOS</p><p>Abordaremos agora outros quesitos relativos ao procedimento substantivo:</p><p>INSPEÇÃO</p><p>Análise de registros e documentos físicos ou eletrônicos, internos ou externos, para fins de</p><p>coleta de evidências.</p><p>Exemplo: lançamentos contábeis e relatórios financeiros podem passar por inspeções.</p><p>OBSERVAÇÃO</p><p>É uma análise de processo organizacional que possibilita a coleta de evidência na execução,</p><p>embora se limite ao espaço temporal de observação.</p><p>Exemplo: a conferência de bens patrimoniais configura a adoção da observação em uma</p><p>auditoria.</p><p>RECÁLCULO</p><p>Trata-se da conferência de cálculos matemáticos de documentos e registros.</p><p>Exemplo: conferir os lançamentos contábeis de um balanço patrimonial enquadra-se nesse</p><p>tipo de procedimento substantivo.</p><p>REEXECUÇÃO</p><p>Consiste na execução do procedimento de controle interno definido pela organização e pelo</p><p>auditor.</p><p>Exemplo: a realização de uma conferência de atividades realizadas constitui, enquanto</p><p>atividade de controle, uma reexecução.</p><p>TESTES DE CONTROLE</p><p>Trata-se de um procedimento de auditoria que avalia a efetividade operacional dos controles</p><p>com o objetivo de prevenir, detectar e corrigir distorções relevantes no nível das informações.</p><p>Os testes de controle são regulados pela norma NBC TA 330(R1) do Conselho Federal de</p><p>Contabilidade quanto à aplicabilidade, à natureza e à extensão deles.</p><p>Esse procedimento deve ser realizado em duas situações:</p><p>Nas situações em que o auditor confia que os controles estão em operação na organização, de</p><p>forma efetiva, para determinar a natureza, a época e a extensão dos procedimentos</p><p>substantivos.</p><p></p><p>Nos casos em que os procedimentos substantivos não trazem evidências de auditoria</p><p>suficientes no quesito informações.</p><p> COMENTÁRIO</p><p>Esses testes avaliam os controles internos que podem ter sido implementados de acordo com</p><p>os princípios do COSO 2013 (apresentado no módulo anterior).</p><p>Analisemos a natureza e a extensão dos testes de controle.</p><p>Quanto a elas, o auditor, nas atividades de planejamento e execução, precisa observar as</p><p>seguintes questões:</p><p>EVIDÊNCIAS DE AUDITORIA</p><p>Análise das evidências de auditoria sobre a efetividade operacional dos controles que, com</p><p>outros procedimentos de auditoria, contemple o modo de aplicação dos controles em</p><p>determinado período, consistência de aplicação, responsáveis e formas de aplicação.</p><p>EXISTÊNCIA DE CONTROLES INDIRETOS</p><p>Questionamento, para fins de coleta de evidência, sobre a existência de controles indiretos que</p><p>apoiem os controles.</p><p>VERIFICANDO O APRENDIZADO</p><p>CONCLUSÃO</p><p>CONSIDERAÇÕES FINAIS</p><p>Conhecemos os primórdios da história do homem nos aspectos relacionados aos riscos do dia</p><p>a dia e das organizações ainda nascentes. Nessa retrospectiva, apresentamos os principais</p><p>marcos temporais que apoiaram o desenvolvimento dos referenciais de riscos atuais aplicados</p><p>na administração pública e na iniciativa privada.</p><p>Para estabelecermos uma melhor compreensão das formas de tratamento deles, apontamos os</p><p>principais referenciais de gerenciamento de riscos e de controles internos, demonstrando ainda</p><p>suas particularidades e características. Versamos, por fim, sobre os conceitos básicos dos</p><p>riscos de uma auditoria cujos respectivos procedimentos complementares podem colaborar</p><p>para a coleta de evidências em procedimentos ligados a ela.</p><p>javascript:void(0)</p><p>javascript:void(0)</p><p> PODCAST</p><p>Agora, com a palavra o professor Pedro Hikaru Oishi, relembrando tópicos estudados sobre o</p><p>assunto.</p><p>AVALIAÇÃO DO TEMA:</p><p>REFERÊNCIAS</p><p>CONSELHO FEDERAL DE CONTABILIDADE. NBC TA 200 (R1): objetivos gerais do auditor</p><p>independente e a condução da auditoria em conformidade com as normas de auditoria.</p><p>Brasília: CFC, 2016.</p><p>CONSELHO FEDERAL DE CONTABILIDADE. NBC TA 315 (R1): identificação e avaliação dos</p><p>riscos de distorção relevante por meio do entendimento da entidade e do seu ambiente.</p><p>Brasília: CFC, 2016.</p><p>CONSELHO FEDERAL DE CONTABILIDADE. NBC TA 330 (R1): resposta do auditor aos</p><p>riscos avaliados. Brasília: CFC, 2016.</p><p>CONSELHO FEDERAL DE CONTABILIDADE. NBC TI 01: da auditoria interna. Brasília: CFC,</p><p>2016.</p><p>INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Código das melhores</p><p>práticas de governança corporativa. 5. ed. 2015.</p><p>COSO – THE COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY</p><p>COMMISSION. Controle interno – estrutura integrada: sumário executivo. Trad.</p><p>PricewaterhouseCoopers Brasil. São Paulo: PWC3, 2013.</p><p>COSO – THE COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY</p><p>COMMISSION. Gerenciamento de riscos corporativos</p><p>– estrutura integrada: Sumário</p><p>executivo, Estrutura. Trad. PricewaterhouseCoopers Brasil. São Paulo: PWC, 2007.</p><p>THE INSTITUTE OF INTERNAL AUDITORS. O modelo das três linhas – uma ferramenta</p><p>importante para o sucesso de toda organização. 2020.</p><p>TRIBUNAL DE CONTAS DA UNIÃO. Referencial básico de governança aplicável a órgãos e</p><p>entidades da administração pública: 2ª versão. Brasília: TCU, 2014.</p><p>EXPLORE+</p><p>Acesse os seguintes sites para pesquisar sobre:</p><p>Conselho Federal de Contabilidade</p><p>Normas de auditoria interna e auditoria independente.</p><p>Tribunal de Contas da União</p><p>Governança pública.</p><p>Tribunal de Contas da União</p><p>Normas que regem a auditoria na administração pública.</p><p>CONTEUDISTA</p><p>Pedro Hikaru Oishi</p><p> CURRÍCULO LATTES</p><p>javascript:void(0);</p><p>javascript:void(0);</p>