Controles Internos

Prévia do material em texto

CONTROLES INTERNOS
Programa de Pós-Graduação EAD
UNIASSELVI-PÓS
Autoria: Estelamaris Reif
CENTRO UNIVERSITÁRIO LEONARDO DA VINCI
Rodovia BR 470, Km 71, no 1.040, Bairro Benedito
Cx. P. 191 - 89.130-000 – INDAIAL/SC
Fone Fax: (47) 3281-9000/3281-9090
Reitor: Prof. Hermínio Kloch
Diretor UNIASSELVI-PÓS: Prof. Carlos Fabiano Fistarol
Equipe Multidisciplinar da Pós-Graduação EAD: 
Carlos Fabiano Fistarol
Ilana Gunilda Gerber Cavichioli
Cristiane Lisandra Danna
Norberto Siegel
Camila Roczanski
Julia dos Santos
Ariana Monique Dalri
Bárbara Pricila Franz
Marcelo Bucci
Revisão de Conteúdo: Jorge Roberto Krening
Revisão Gramatical: Equipe Produção de Materiais
Diagramação e Capa: 
Centro Universitário Leonardo da Vinci – UNIASSELVI
Copyright © UNIASSELVI 2018
Ficha catalográfica elaborada na fonte pela Biblioteca Dante Alighieri
 UNIASSELVI – Indaial.
R361c
 Reif, Estelamaris
 Controles internos. / Estelamaris Reif – Indaial: UNIAS-
SELVI, 2018.
 129 p.; il.
 ISBN 978-85-53158-57-7
1.Administração de empresas – Brasil. II. Centro Univer-
sitário Leonardo Da Vinci.
CDD 658.155
Estelamaris Reif
Mestre em Ciências Contábeis pela Fundação 
Universidade Regional de Blumenau – FURB 
(2015). Pós-graduada em Auditoria e Controladoria 
pelo Centro Universitário Leonardo da Vinci – ICPG 
(2012). Graduada em Ciências Contábeis pelo Centro 
Universitário Leonardo da Vinci – UNIASSELVI (2008). 
Atualmente é professora titular no Centro Universitário 
Leonardo da Vinci (FAMEBLU) e Supervisora de Disciplina 
no Núcleo de Educação a Distância da Sociedade 
Educacional Leonardo da Vinci (NEAD-UNIASSELVI).
Sumário
APRESENTAÇÃO ..........................................................................07
CAPÍTULO 1
Gestão de Riscos ........................................................................ 09
CAPÍTULO 2
Controles Internos ................................................................... 49
CAPÍTULO 3
Aplicação e Implantação do Controle Interno ..................... 91
APRESENTAÇÃO
O controle interno pode ser definido como um conjunto de métodos e 
ferramentas que os agentes da empresa utilizam para manter a trajetória 
de modo a alcançar os objetivos traçados. As necessidades do controle são 
decorrentes de diversos fatores, tais como riscos nos negócios por conta das 
ameaças e vulnerabilidades identificadas no ciclo, problemas de fragilidade de 
procedimentos, eventos não previstos na ocasião do planejamento etc. Diante 
da situação exposta, estudar controle interno requer uma visão mais ampla, 
abordando, além das técnicas tradicionais, o conhecimento sobre sua origem e 
relação com a organização. 
Este livro está dividido em três capítulos. No Capítulo 1, o gerenciamento 
de riscos corporativos tem como premissa que toda organização existe para 
gerar valor às partes interessadas (pessoas, instituições, grupos, órgãos 
governamentais etc.). Assim, todas as organizações enfrentam incertezas, e o 
desafio de seus administradores é determinar até que ponto as aceitar, assim 
como definir como elas podem interferir no esforço da instituição para gerar valor 
às partes interessadas.
 
No Capítulo 2, junto ao surgimento das organizações nasceu a necessidade 
de controlá-las, porém em muitos casos as organizações nem sempre foram 
capazes de satisfazer as suas necessidades de controles internos. Muitos são 
os casos de organizações que tiveram grande repercussão na mídia devido a 
escândalos financeiros e contábeis que impactaram diretamente em seu resultado 
e, consequentemente, na vida das pessoas envolvidas. Estes casos só realçam a 
importância do controle interno, afinal de contas, se essas empresas possuíssem 
sistemas de controles internos adequados, estes desvios e fraudes poderiam ter 
sido descobertos a tempo, evitando o impacto negativo para as partes interessadas. 
No Capítulo 3, controle é uma palavra proveniente do francês, controler, que 
significa registrar, inspecionar e/ou examinar. No vocabulário técnico de negócios, 
o termo serve para indicar inspeção ou exame, o qual se processa nos papéis 
ou nas operações registradas a cada instante nos estabelecimentos industriais 
e comerciais. Pode-se dizer que há o sentido de uma fiscalização organizada 
no próprio estabelecimento para controlar os negócios que são realizados no 
cotidiano por meio de conferências e registros a qualquer momento. O controle é 
decorrente do processo de planejamento, assim, a empresa deve ser controlada 
por meio de ferramentas que asseguram a execução de processos e os direcionam 
dentro dos objetivos traçados pela alta administração.
Bons estudos!
CAPÍTULO 1
Gestão de Riscos
A partir da perspectiva do saber fazer, neste capítulo você terá os seguintes 
objetivos de aprendizagem:
 3 Entender a definição de gestão de riscos.
 3 Conhecer os órgãos responsáveis pela normatização da gestão de riscos bem 
como do controle interno.
 3 Entender a relação entre gerenciamentos de riscos e controle interno.
 3 Compreender o contexto em que a gestão de riscos está inserida.
10
 CONTROLES INTERNOS
11
Gestão de Riscos Capítulo 1 
1 Contextualização 
Não há como falar sobre gestão de riscos sem mencionar o COSO (The 
Comitee of Sponsoring Organizations), que tem como principal função prevenir e 
evitar fraudes decorrentes de fragilidades nos processos internos da empresa. O 
gerenciamento de riscos corporativos tem como premissa que toda organização 
existe para gerar valor às partes interessadas (pessoas, instituições, grupos, 
órgãos governamentais etc.).
Assim, todas as organizações enfrentam incertezas, e o desafio de seus 
administradores é determinar até que ponto as aceitar, assim como definir como elas 
podem interferir no esforço da instituição para gerar valor às partes interessadas. 
As incertezas representam riscos e oportunidades com potencial para 
destruir ou agregar valor. É nesse contexto que o gerenciamento de riscos 
corporativos possibilita aos administradores tratar com eficácia as incertezas, bem 
como os riscos e as oportunidades a elas associadas com o intuito de melhorar a 
capacidade de geração de valor à corporação.
Acadêmico, dentro deste contexto iremos nos aprofundar mais sobre gestão 
de riscos, pois é de extrema importância compreendermos sua definição para que 
possamos entender posteriormente sua ligação com o controle interno, que é o 
foco principal dessa disciplina.
2 Definição de Gestão de Riscos
O termo risco é proveniente da palavra em latim risicu, ou riscu, que significa 
ousar. Habitualmente entende-se risco como possibilidade de “algo não dar certo”, 
porém seu conceito atual envolve a quantificação e qualificação da incerteza no 
que diz respeito às perdas e ganhos em relação ao rumo dos acontecimentos 
planejados, seja por indivíduos ou por organizações (IBCG, 2007).
Nas organizações, quando falamos de gerenciamento de riscos é indiscutível 
a importância do Committee of Sponsoring Organizations of the Treadway 
Commission (COSO). O COSO é uma instituição que trabalha prevenindo e 
evitando fraudes nos procedimentos e processos internos da empresa, um órgão 
normalizador tanto da gestão de riscos quanto do controle interno.
Alguns conceitos abordados no COSO (2017) são apresentados para 
entendermos a definição de gestão de riscos, ou gerenciamento de riscos:
12
 CONTROLES INTERNOS
• Gerenciamento de riscos corporativos não é uma função nem um 
departamento. É a cultura, as competências e as práticas que as organizações 
integram à definição e à execução da estratégia, com o objetivo de gerenciar 
o risco na criação, na preservação e na realização de valor.
• Gerenciamento de riscos corporativos é mais do que uma lista de 
riscos. Ele requer mais do que fazer um inventário de todos os riscos da 
organização. Ele é mais amplo e inclui práticas que a administração utiliza 
para uma ativa gestão dos riscos.
• Gerenciamentode riscos corporativos vai além do controle interno. Ele 
também trata de outros tópicos, como definição de estratégia, governança, 
comunicação com os stakeholders e mensuração da performance. Seus 
princípios se aplicam a todos os níveis da organização e a todas as funções.
• Gerenciamento de riscos corporativos não é um checklist. É um conjunto de 
princípios com base nos quais os processos podem ser criados ou integrados 
para uma determinada organização. É também um sistema de monitoramento, 
aprendizado e melhoria da performance.
• Gerenciamento de riscos corporativos pode ser usado por organizações 
de qualquer porte. Se a organização tiver uma missão, uma estratégia e 
um objetivo – e a necessidade de tomar decisões que levam em conta 
o risco – ela poderá aplicar o gerenciamento de riscos corporativos. Ele 
pode e deve ser usado por organizações de todos os tipos – de pequenas 
empresas a empresas locais e não lucrativas, órgãos governamentais, 
até empresas da lista Fortune 500.
Quanto às finalidades do gerenciamento de riscos corporativos, observam-se 
os tópicos a seguir:
QUADRO 1 – FINALIDADES DO GERENCIAMENTO DE RISCO
Alinhar o apetite a risco com a estratégia adotada – os administradores avaliam o 
apetite a risco da organização ao analisar as estratégias, definindo os objetivos a elas 
relacionados e desenvolvendo mecanismos para gerenciar esses riscos.
Fortalecer as decisões em resposta aos riscos – o gerenciamento de riscos 
corporativos possibilita o rigor na identificação e na seleção de alternativas de respostas 
aos riscos, como evitar, reduzir, compartilhar e aceitar.
Reduzir as surpresas e prejuízos operacionais – as organizações adquirem melhor 
capacidade para identificar eventos em potencial e estabelecer respostas, reduzindo 
surpresas, custos ou prejuízos associados.
Identificar e administrar riscos múltiplos e entre empreendimentos – toda 
organização enfrenta uma gama de riscos que podem afetar diferentes áreas da 
organização. A gestão de riscos corporativos possibilita uma resposta eficaz a impactos 
inter-relacionados e, também, respostas integradas aos diversos riscos.
Aproveitar oportunidades – pelo fato de considerar todos os eventos em potencial, 
a organização se posiciona para identificar e aproveitar as oportunidades de forma 
proativa.
13
Gestão de Riscos Capítulo 1 
Otimizar o capital – a obtenção de informações adequadas a respeito de riscos 
possibilita à administração conduzir uma avaliação eficaz das necessidades de capital 
como um todo e aprimorar a alocação desse capital.
FONTE: COSO (2007, p. 3).
As finalidades mencionadas são inerentes ao gerenciamento de riscos 
corporativos e ajudam os administradores a atingir metas de desempenho e de 
lucratividade da organização, e evitam a perda de recursos. 
Além disso, o gerenciamento de riscos corporativos contribui para assegurar 
uma comunicação eficaz e o cumprimento de leis e regulamentos, bem como 
evitar eventuais danos à reputação da organização (COSO, 2007).
Eventos que podem atingir criticamente a reputação da organização, em geral, 
são denominados de “risco reputacional” ou de “imagem”, porém não se constituem 
em um tipo específico de risco, mas uma consequência do mau gerenciamento dos 
riscos da organização que se tornam públicos (IBCG, 2007). Exemplos: 
• O impacto negativo sofrido por uma empresa de marca valiosa acusada 
de práticas como o uso de material tóxico para produção de bens.
• Contratação de fornecedores com práticas trabalhistas condenáveis. 
Os impactos negativos sofridos por essa empresa podem causar impacto 
positivo nas empresas concorrentes. Não há um tipo de classificação de riscos que 
seja consensual, exaustivo e aplicável a todas as organizações, a classificação 
deve ser desenvolvida de acordo com as características de cada organização, 
contemplando suas particularidades, no caso de indústria, mercado ou qualquer 
outro setor de atuação. Por exemplo, os estoques de materiais de consumo 
são menos relevantes para um banco do que para uma indústria, o qual pode 
representar um dos principais fatores de risco (IBCG, 2007).
No entanto, você deve estar se perguntando: De que gerenciamento de 
riscos estamos falando? Arima, Gil e Nakamura (2013) apresentam de forma bem 
prática alguns exemplos:
• Uma pessoa sai de casa pela manhã e não sabe como está o trânsito. 
Pode estar ruim, muito ruim, bom ou muito bom, pontuando somente 
quatro alternativas. 
• Uma equipe de futebol vai jogar uma partida em seu estádio contra o seu 
principal adversário na cidade. Pode ganhar, perder ou empatar. 
• Você adquire um apartamento novo, mas não para morar, apenas como 
investimento. Pode ser que o apartamento se valorize, perca valor ou 
mantenha um preço estagnado.
14
 CONTROLES INTERNOS
Todas as situações mencionadas pelos autores nos ajudam a entender o 
significado de risco. 
Risco está associado à incerteza que temos sobre 
o amanhã, ao futuro e à impossibilidade que temos 
de controlar o que pode vir a ocorrer, no curto ou 
longo prazo. Embora em muitos casos a incerteza 
sobre o futuro possa ser algo positivo e favorável, 
naturalmente as pessoas em geral não gostam de estar 
sujeitas a condições de risco, pois a incerteza do que 
pode vir a acontecer gera desconforto, estresse e até 
vulnerabilidade. Em finanças, risco é definido como a 
possibilidade de ocorrência de uma perda. Ou, ainda, 
como a chance de obtenção de um resultado aquém do 
esperado (ARIMA; GIL; NAKAMURA, 2013, p. 171).
O gerenciamento de riscos corporativos ajuda a organização a 
atingir seus objetivos e a evitar perigos e surpresas em seu percurso. 
A condução do gerenciamento de riscos corporativos é um processo 
realizado pelo conselho de administração, diretoria e demais 
empregados. Sua aplicabilidade é realizada no setor de estratégias, as 
quais são formuladas para identificar em toda a organização eventos 
potencialmente capazes de afetá-la, e administrar os riscos de modo 
a mantê-los compatíveis com o apetite a risco da organização e possibilitar uma 
garantia razoável do cumprimento dos seus objetivos (COSO, 2007).
O IBCG (2007) aborda que uma das formas de categorização dos riscos 
reside em desenhar uma matriz que considere a origem dos eventos, a natureza e 
uma tipificação dos riscos, conforme demonstrado na Figura 1 a seguir:
FIGURA 1 – MATRIZ DE CATEGORIZAÇÃO DOS RISCOS
FONTE: IBCG (2007, s.p.).
O gerenciamento de 
riscos corporativos 
ajuda a organização 
a atingir seus 
objetivos e a evitar 
perigos e surpresas 
em seu percurso.
15
Gestão de Riscos Capítulo 1 
A classificação deve ser feita observando algumas diretrizes, como identificar 
a origem dos eventos enquanto externa ou interna. Vejamos o conceito abordado 
segundo o IBCG (2007):
Riscos Externos: são ocorrências associadas ao ambiente macroeconômico, 
político, social, natural ou setorial em que a organização opera. Exemplos: nível de 
expansão do crédito, grau de liquidez do mercado, nível das taxas de juros, tecnologias 
emergentes, ações da concorrência, mudança no cenário político, conflitos sociais, 
aquecimento global, catástrofes ambientais, atos terroristas, problemas de saúde 
pública etc. A organização, em geral, não consegue intervir diretamente sobre estes 
eventos e terá, portanto, uma ação predominantemente reativa. Isso não significa que 
os riscos externos não possam ser “gerenciados”, pelo contrário, é fundamental que a 
organização esteja bem preparada para essa ação reativa.
Riscos Internos: são eventos originados na própria estrutura da organização 
pelos seus processos, quadro de pessoal ou ambiente de tecnologia. A 
organização pode e deve, em geral, interagir diretamente com uma ação proativa.
 A Folha de São Paulo em 2017 escreveu um breve artigo com ilustrações 
bem interessantes sobre o assunto e o intitulou de: “Unir gerenciamento de 
risco e estratégia melhora resultados”. No artigo se afirma que ter estratégiaé 
fundamental nos negócios, pois ela define aonde uma empresa chegará, como e 
em quanto tempo, uma vez que o mercado está mais exigente e cobra atenção na 
gestão dos riscos envolvidos nessa estratégia.
16
 CONTROLES INTERNOS
FIGURA 2 – ESTRATÉGIA X GERENCIAMENTO DE RISCOS
FONTE: <http://estudio.folha.uol.com.br/petrobras/2017/12/1940485-unir-gerenciamento-
de-risco-e-estrategia-melhora-resultados.shtml>. Acesso em: 6 jun. 2018.
http://estudio.folha.uol.com.br/petrobras/2017/12/1940485-unir-gerenciamento-de-risco-e-estrategia-melhora-resultados.shtml
http://estudio.folha.uol.com.br/petrobras/2017/12/1940485-unir-gerenciamento-de-risco-e-estrategia-melhora-resultados.shtml
17
Gestão de Riscos Capítulo 1 
Em resumo, o artigo afirma que se as ameaças não são bem mapeadas, 
corre-se o risco de inviabilizar o negócio, pois diante da preocupação dos 
investidores, muitas empresas estão alinhando as áreas de estratégia com a de 
gerenciamento de risco.
FIGURA 3 – EQUILÍBRIO ENTRE RISCO E ESTRATÉGIA (GESTÃO DE RISCOS)
FONTE: <https://oregionalsul.com/geral/sst-fara-parte-de-projeto-piloto-
de-gerenciamento-de-riscos/55134/>. Acesso em: 1 jun. 2018.
Vejamos outros conceitos fundamentais de gerenciamento de riscos 
corporativos:
QUADRO 2 – CONCEITOS FUNDAMENTAIS DE GERENCIAMENTOS DE RISCOS
Um processo contínuo e que flui através da organização.
Conduzido pelos profissionais em todos os níveis da organização.
Aplicado à definição das estratégias.
Aplicado em toda a organização, em todos os níveis e unidades, e inclui a formação de 
uma visão de portfólio de todos os riscos a que ela está exposta.
Formulado para identificar eventos em potencial, cuja ocorrência poderá afetar a 
organização, e para administrar os riscos de acordo com seu apetite a risco.
Capaz de propiciar garantia razoável para o conselho de administração e a diretoria 
executiva de uma organização.
Orientado para a realização de objetivos em uma ou mais categorias distintas, mas 
dependentes.
FONTE: COSO (2007, p. 4).
https://oregionalsul.com/geral/sst-fara-parte-de-projeto-piloto-de-gerenciamento-de-riscos/55134/
https://oregionalsul.com/geral/sst-fara-parte-de-projeto-piloto-de-gerenciamento-de-riscos/55134/
18
 CONTROLES INTERNOS
“O gerenciamento de riscos corporativos orienta seu enfoque diretamente 
para o cumprimento dos objetivos estabelecidos por uma organização específica 
e fornece parâmetros para definir a eficácia desse gerenciamento de riscos” 
(COSO, 2007, p. 4).
Arima, Gil e Nakamura (2013) abordam que entre os diversos segmentos 
existentes no mercado e nas corporações, a administração de risco é 
especialmente importante nas atividades bancárias, seja ela um banco comercial 
ou de investimento. Os bancos são instituições que especificamente trabalham 
e gerenciam riscos, seja em operações de crédito, gestão de recursos ou nas 
atividades de tesouraria.
Nesse sentido, as próprias crises financeiras ocorridas nos anos 1990 e 2000, 
junto à crise do subprime em 2008, têm provocado a necessidade de uma busca 
constante de novos mecanismos de gerenciamento de riscos, buscando não 
comprometer em excesso os capitais especulativos e os capitais de reserva, que 
acabam se sujeitando, via marcação, ao mercado e aos movimentos imprevisíveis 
de variação da taxa de juros e de prêmio de risco.
É fato que há negócios na economia mais arriscados e outros menos. Como 
exemplos, o setor de energia elétrica, que tende a ser menos arriscado do que 
o negócio de comércio eletrônico, ou o setor de alimentos básicos que também 
tende a ser menos arriscado do que o setor de bens de capital, e assim por diante 
(ARIMA; GIL; NAKAMURA, 2013).
Nossa compreensão de risco e nossa prática de gerenciamento de riscos 
corporativos melhoraram muito nas últimas décadas. A margem para erro é cada 
vez menor. As organizações se deparam com desafios que afetam a confiabilidade, 
a relevância e a confiança das partes interessadas, o que torna necessária maior 
adaptação às mudanças (COSO, 2017).
Atividade de Estudos:
1) Sobre os conceitos fundamentais de Gerenciamentos de Riscos, 
assinale V para as sentenças verdadeiras e F para as falsas:
( ) Orientado para a realização de objetivos em apenas uma 
categoria específica.
( ) Conduzido pelos profissionais da área de auditoria.
( ) É um processo contínuo que flui por meio da organização.
( ) É aplicado à definição das estratégias.
19
Gestão de Riscos Capítulo 1 
Assinale a sequência CORRETA:
a) ( ) V – F – F – V.
b) ( ) F – V – V – F.
c) ( ) V – F – F – F.
d) ( ) F – F – V – V.
3 Componentes e Objetivos 
do Gerenciamento de Riscos 
Corporativo
“Existe um relacionamento direto entre os objetivos que uma organização se 
empenha em alcançar e os componentes do gerenciamento de riscos corporativos, 
que representam aquilo que é necessário para o seu alcance” (COSO, 2007, p. 7). 
Esse relacionamento era apresentado de 2004 a 2017 (quando saiu a última 
atualização do COSO) em uma matriz tridimensional em forma de cubo, como 
pode ser observado a seguir:
FIGURA 4 – CUBO COSO
FONTE: Adaptado de COSO (2007, p. 7).
20
 CONTROLES INTERNOS
Com base na missão ou na visão da organização, a administração estabelece 
os planos principais, seleciona as estratégias e determina o alinhamento dos objetivos 
nos níveis da organização. Essa estrutura de gerenciamento de riscos corporativos 
visa alcançar os objetivos da organização e são classificados em quatro categorias:
a) Estratégicos – metas gerais, alinhadas com a missão da organização.
b) Operações – utilização eficaz e eficiente dos recursos.
c) Comunicação – confiabilidade de relatórios.
d) Conformidade – cumprimento de leis e regulamentos aplicáveis.
Observe que esta classificação está no topo do cubo e se refere aos 
objetivos da organização. Além disso, essa classificação possibilita um enfoque 
nos diferentes aspectos do gerenciamento de riscos de uma organização. Apesar 
de serem categorias distintas, elas se inter-relacionam, uma vez que determinado 
objetivo pode ser classificado em mais de uma categoria (COSO, 2007).
Após abordadas as quatro categorias pertencentes ao objetivo da 
organização, abordam-se os oito componentes inter-relacionados por meio dos 
quais a administração gerencia a organização. Observe que esses componentes 
se encontram na parte da frente do cubo.
a) Ambiente interno: o ambiente interno compreende o tom de uma 
organização e fornece a base em que os riscos são identificados e abordados 
pelo seu pessoal, inclusive a filosofia de gerenciamento de riscos, o apetite a 
risco, a integridade e os valores éticos, além do ambiente em que estes estão.
b) Fixação de objetivos: os objetivos devem existir antes que a administração 
possa identificar os eventos em potencial que poderão afetar a sua realização. O 
gerenciamento de riscos corporativos assegura que a administração disponha de um 
processo implementado para estabelecer os objetivos que propiciam suporte e estejam 
alinhados à missão da organização e sejam compatíveis com o seu apetite a riscos.
c) Identificação de eventos: os eventos internos e externos que influenciam o 
cumprimento dos objetivos de uma organização devem ser identificados e classificados 
entre riscos e oportunidades. Essas oportunidades são canalizadas para os processos 
de estabelecimento de estratégias da administração ou de seus objetivos.
d) Avaliação de riscos: os riscos são analisados considerando a probabilidade 
e o impacto como base para determinar o modo pelo qual deverão ser administrados. 
Esses riscos são avaliados quanto à condição de inerentes e residuais.
e) Resposta a risco: a administração escolhe as respostas aos riscos – 
evitando, aceitando, reduzindo ou compartilhando – desenvolvendo uma série de 
medidas para alinhar os riscos com a tolerância e com o apetite a risco.
21
Gestão de Riscos Capítulo 1 
f) Atividades de controle:políticas e procedimentos são estabelecidos e 
implementados para assegurar que as respostas aos riscos sejam executadas 
com eficácia.
g) Informações e comunicações: as informações relevantes são 
identificadas, colhidas e comunicadas de forma e no prazo que permitam que 
cumpram suas responsabilidades. A comunicação eficaz também ocorre em um 
sentido mais amplo, fluindo em todos níveis da organização.
h) Monitoramento: a integridade da gestão de riscos corporativos é 
monitorada a fim de realizar as modificações necessárias. O monitoramento é 
realizado através de atividades gerenciais contínuas ou avaliações independentes, 
ou de ambas as formas.
O gerenciamento de riscos corporativos, constituído pelos oito componentes 
apresentados, estão inter-relacionados e integrados ao processo de gestão. Este 
processo de gestão é visto na lateral do cubo (subsidiária, unidade de negócio, 
divisão e nível de organização) e são chamados de níveis da organização. 
Em resumo, tem-se a seguinte situação: as quatro categorias de objetivos 
(estratégicos, operacionais, de comunicação e conformidade) estão representadas 
nas colunas verticais. Os oito componentes estão nas linhas horizontais e as 
unidades de uma organização estão na terceira dimensão. Essa representação (o 
cubo) ilustra a capacidade de uma organização em manter o enfoque na totalidade 
do gerenciamento de riscos, ou na categoria de objetivos, componentes, unidade 
da organização ou qualquer um dos subconjuntos (COSO, 2007). Ademais, uma 
das novidades da versão atualizada do COSO é que a estrutura de gerenciamento 
de riscos não é mais demonstrada em forma de cubo, mas por meio das figuras, 
como as demonstradas a seguir:
FIGURA 5 – RISCOS E SEU PAPEL NA DEFINIÇÃO DA ESTRATÉGIA
FONTE: COSO (2017, s.p.).
Implications from the strategy chosenP
os
sib
ilit
y o
f s
tra
teg
y n
ot a
lignin
g
Risk to strategy & Perfor
man
ce
22
 CONTROLES INTERNOS
O gerenciamento de riscos corporativos, como vem sendo tradicionalmente 
praticado, contribui para que as organizações identifiquem, avaliem e gerenciem 
os riscos da estratégia. Porém, as causas mais importantes na destruição de valor 
residem na possibilidade de as estratégias não suportarem a missão e a visão 
da entidade, bem como as consequências decorrentes da estratégia escolhida 
(COSO, 2017).
Assim, a atualização do COSO focou no gerenciamento de riscos corporativos 
destacando a escolha da estratégia. “A definição de uma estratégia demanda um 
processo decisório estruturado que analise os riscos e alinhe os recursos com a 
missão e a visão da organização” (COSO, 2017, p. 10).
O gerenciamento de riscos corporativos – integrado à estratégia e 
performance – realça a importância do gerenciamento de riscos corporativos no 
planejamento estratégico e sua incorporação em toda a organização – porque o 
risco influencia e alinha estratégia e performance em todos os departamentos e 
funções, conforme demonstrado na próxima figura:
FIGURA 6 – GESTÃO DE RISCOS CORPORATIVOS INTEGRADOS
FONTE: COSO (2017, s.p.)
O Framework é um conjunto de princípios organizados em cinco componentes 
inter-relacionados, conforme aponta o COSO (2017):
• Governance and culture (Governança e cultura): a governança 
dá o tom da organização, reforçando a importância e instituindo 
responsabilidades de supervisão sobre o gerenciamento de riscos 
corporativos. A cultura diz respeito aos valores éticos, a comportamentos 
esperados e ao entendimento do risco em toda a entidade.
• Strategy and objective-setting (Estratégia e definição de objetivos): 
gerenciamento de riscos corporativos, estratégia e definição de objetivos 
MISSION, VISION
& CORE VALUES
STRATEGY 
DEVELOPMENT
BUSINESS 
OBJECTIVE 
FORMULATION
IMPLEMENTATION
& PERFORMANCE
ENHANCED
VALUE
23
Gestão de Riscos Capítulo 1 
atuam juntos no processo de planejamento estratégico. O apetite a risco 
é estabelecido e alinhado à estratégia; os objetivos de negócios colocam 
a estratégia em prática e, ao mesmo tempo, servem como base para 
identificar, avaliar e responder aos riscos.
• Performance: os riscos que podem impactar a realização da estratégia 
e dos objetivos de negócios precisam ser identificados e avaliados. Os 
riscos são priorizados com base no grau de severidade, no contexto do 
apetite a risco. A organização determina as respostas aos riscos e, por 
fim, alcança uma visão consolidada do portfólio e do montante total dos 
riscos assumidos. Os resultados desse processo são comunicados aos 
principais stakeholders envolvidos com a supervisão dos riscos.
• Review and revision (Análise e revisão): ao analisar sua performance, 
a organização tem a oportunidade de refletir sobre até que ponto os 
componentes do gerenciamento de riscos corporativos estão funcionando 
bem ao longo do tempo e no contexto de mudanças relevantes, e quais 
correções são necessárias.
• Information, communication and reporting (Informação, 
comunicação e divulgação): o gerenciamento de riscos 
corporativos demanda um processo contínuo de obtenção 
e compartilhamento de informações precisas provenientes 
de fontes internas e externas e originadas das mais diversas 
camadas e processos de negócios da organização.
Caro acadêmico! É importante destacar que a nova versão do COSO 
veio para ressaltar, atualizar e complementar conceitos abordados nas 
versões anteriores, e não invalidar os conteúdos abordados neles até então.
Caro acadêmico! É 
importante destacar 
que a nova versão 
do COSO veio para 
ressaltar, atualizar 
e complementar 
conceitos abordados 
nas versões 
anteriores, e 
não invalidar os 
conteúdos abordados 
neles até então.
Acadêmico, quer entender mais sobre o CUBO do COSO? Acesse 
o link <https://www.coso.org/Documents/COSO-ERM-Executive-
Summary-Portuguese.pdf> e tenha acesso ao COSO Gerenciamento 
de Riscos Corporativos – Estrutura Integrada completo.
https://www.coso.org/Documents/COSO-ERM-Executive-Summary-Portuguese.pdf
https://www.coso.org/Documents/COSO-ERM-Executive-Summary-Portuguese.pdf
24
 CONTROLES INTERNOS
Atividade de Estudos:
1) Agora que você já estudou sobre a inter-relação dos conceitos 
abordados no Cubo do COSO, assinale V para as sentenças 
verdadeiras e F para as falsas:
( ) É com base na missão ou visão da organização que a 
administração estabelece os planos, as estratégias e determina 
o alinhamento dos objetivos.
( ) Em relação à resposta ao risco de a administração não a 
escolher, cabe a ela somente aceitar. 
( ) O processo de gestão da organização, conhecido no cubo como 
níveis da organização, é composto por oito partes.
( ) Para uma correta avaliação dos riscos, analisam-se a 
probabilidade e o impacto como base para determinar o modo 
que deverá ser administrado.
Assinale a sequência CORRETA:
a) ( ) V – F – F – V.
b) ( ) F – V – V – F.
c) ( ) V – F – F – F.
d) ( ) F – V – V – V.
4 Eventos: Riscos e Oportunidades
COSO (2007, p. 16) estabelece que “um evento é um incidente ou uma 
ocorrência gerada com base em fontes internas ou externas, que afeta a 
realização dos objetivos”. Estes, por sua vez podem causar impacto negativo, 
positivo ou ambos. Os eventos que geram impacto negativo representam riscos. 
“O risco é representado pela possibilidade de que um evento ocorrerá e afetará 
negativamente a realização dos objetivos” (COSO, 2007, p. 16).
Eventos que causam impacto desfavorável são obstáculos à criação de 
valor ou desgastam o valor existente. Vejamos alguns exemplos de eventos com 
impacto desfavorável:
• Paradas no maquinário da fábrica.
• Incêndio e perdas de créditos.
25
Gestão de Riscos Capítulo 1 
FIGURA 7 – CAMINHONEIROS EM GREVE
FONTE: <http://www.boatos.org/brasil/caminhoneiros-nova-
paralisacao-lideres.html>. Acesso em: 1° jun. 2018.
O Correio Braziliense (2018) veiculou a seguinte informação: “A Confederação 
Nacional de Dirigentes Lojistas (CNDL) estima que as áreas de comércio e 
serviçosdeixaram de faturar cerca de R$ 27 bilhões entre os dias 21 e 28 de maio 
de 2018 devido à greve dos caminhoneiros”.
Os eventos de impacto negativo eventualmente podem surgir de condições 
aparentemente positivas, como nos casos em que a demanda de produtos pelo 
consumidor é superior à capacidade de produção. Resultando, assim, em um não 
atendimento da demanda, desgaste na fidelidade do cliente e declínio de pedidos 
futuros (COSO, 2007).
É de extrema importância quando falamos de risco, a fim de associá-lo a uma 
forma de mensuração ou, pelo menos, levar essa questão em conta diante das 
condições de acompanhamento e controle de determinados negócios.
Assim, podemos entender que todos nós, indivíduos, governos, empresas, 
instituições financeiras e entidades sem fins lucrativos estamos sempre sujeitos a 
situações de risco e incerteza. É indispensável, do ponto de vista do tratamento 
do risco, analisar formas de mensuração para que possamos, de alguma forma, 
controlá-lo e gerenciá-lo (ARIMA; GIL; NAKAMURA, 2013).
Por sua vez, os eventos cujos impactos são positivos podem contrabalançar 
os impactos negativos ou ainda representar oportunidades. Vejamos o conceito de 
oportunidade, segundo o COSO (2007, pg. 52): “Oportunidade é a possibilidade 
de que um evento ocorra e influencie favoravelmente na realização dos objetivos”.
As oportunidades favorecem a criação ou a preservação de valor. Cabe à 
direção da organização conduzir estas oportunidades para seus processos de 
fixação de estratégias ou objetivos, visando ao seu aproveitamento. Vejamos um 
exemplo de evento favorável:
http://www.boatos.org/brasil/caminhoneiros-nova-paralisacao-lideres.html
http://www.boatos.org/brasil/caminhoneiros-nova-paralisacao-lideres.html
26
 CONTROLES INTERNOS
FIGURA 8 – TAÇA DA COPA DO MUNDO
FONTE: <http://www.odefensor.com.br/site/2018/05/21/especialista-
da-dicas-de-seguranca-para-assistir-aos-jogos-da-copa-do-mundo-
em-ambientes-publicos/>. Acesso em: 1° jun. 2018
Feijó (2018) escreve que apesar do evento da Copa do Mundo ser 
realizado em um breve período, muitas empresas já definem suas estratégias de 
lançamentos de produtos e realizações de eventos com grande antecedência 
para que estes estejam vinculados à Copa. Um estudo de caso feito pela Foxline 
Marketing Promocional apontou que as vendas podem aumentar em até 41% 
com a utilização de brindes personalizados em períodos como estes em 
que acontecem a Copa. Quando se fala de risco, Arima, Gil e Nakamura (2013) 
apontam que é necessário reconhecer a existência dos diferentes tipos de riscos, 
que são:
a) Risco de mercado: é aquele que está relacionado à variabilidade 
imprevisível dos preços de ativos negociados no mercado. Exemplo: o mercado 
de ações está sujeito ao risco de mercado por conta da volatilidade observada 
nos preços das ações em geral.
b) Risco de crédito: está relacionado à possibilidade de não pagamento de 
obrigações. Portanto, quando uma empresa toma dívidas no mercado, o credor 
assume o risco de crédito correspondente a essa dívida.
c) Risco operacional: está associado a eventos futuros que podem ocorrer 
e que colocam em risco o patrimônio físico e financeiro de uma empresa.
d) Risco cambial: está relacionado à variação da taxa de câmbio ao longo 
do tempo, ou seja, variação do preço da moeda estrangeira referenciada na 
moeda local.
http://www.odefensor.com.br/site/2018/05/21/especialista-da-dicas-de-seguranca-para-assistir-aos-jogos-da-copa-do-mundo-em-ambientes-publicos/
http://www.odefensor.com.br/site/2018/05/21/especialista-da-dicas-de-seguranca-para-assistir-aos-jogos-da-copa-do-mundo-em-ambientes-publicos/
http://www.odefensor.com.br/site/2018/05/21/especialista-da-dicas-de-seguranca-para-assistir-aos-jogos-da-copa-do-mundo-em-ambientes-publicos/
27
Gestão de Riscos Capítulo 1 
e) Risco sistemático: é uma definição que surgiu no contexto da teoria de 
carteiras de ativos financeiros e está associada à parcela de risco que não pode 
ser eliminada pela diversificação. O risco sistemático é a medida relevante de 
risco no caso das ações, sejam elas ordinárias ou preferenciais.
f) Risco diversificável: ao contrário do sistemático, corresponde à parcela 
de risco que pode ser eliminada por estratégias de diversificação, que consiste 
em compor carteiras numerosas ou pelo menos com dois ou mais ativos que não 
sejam forte e positivamente correlacionados entre si.
Os autores relatam que há outros tipos de riscos que podem ser mencionados, 
porém cabe nos concentrarmos especialmente nos tipos mencionados, que são 
os que mais nos interessam do ponto de vista da gestão de risco corporativo. 
Além disso, os tipos de riscos variam de acordo com o tipo de organização e o 
ambiente em que está inserida. Vejamos o exemplo de mapeamento de riscos do 
DNIT (2017). O resultado da aplicação das técnicas de identificação dos riscos 
resultou na construção do Mapa de Riscos Corporativos, que pode ser visualizado 
a seguir:
28
 CONTROLES INTERNOS
FIGURA 9 – MAPA DE RISCOS CORPORATIVOS DNIT 
FONTE: <http://www.dnit.gov.br/planejamento-estrategico/riscos-corporativos/
gestao-de-riscos-corporativos-no-dnit>. Acesso em: 6 jun. 2018.
http://www.dnit.gov.br/planejamento-estrategico/riscos-corporativos/gestao-de-riscos-corporativos-no-dnit
http://www.dnit.gov.br/planejamento-estrategico/riscos-corporativos/gestao-de-riscos-corporativos-no-dnit
29
Gestão de Riscos Capítulo 1 
Observe que, neste caso, temos os seguintes riscos: risco orçamentário, 
risco operacional, risco de mercado e risco político. Risco operacional e risco de 
mercado foram abordados nos parágrafos anteriores. Trataremos, portanto, de 
abordar os demais riscos: risco orçamentário e risco político.
Risco orçamentário: diz respeito à possibilidade das receitas e despesas 
projetadas não se confirmarem durante o exercício financeiro. Tanto do lado da 
receita quanto da despesa, os riscos decorrem de fatos novos e imprevisíveis 
à época da elaboração do projeto, como a não concretização das hipóteses e 
parâmetros utilizados nas projeções, as alterações nas decisões de alocação de 
recursos e/ou as mudanças na legislação.
Risco político: está associado a ações governamentais que negam ou 
restringem o direito de um investidor/proprietário (usar ou se beneficiar de seus 
ativos e/ou redução do valor de uma empresa). Os mais conhecidos fatores 
de risco político incluem: guerra, revoluções, expropriação, nacionalização ou 
confisco e as ações para restringir a emissão de lucros ou outras receitas para o 
país de origem. Os riscos políticos são aqueles associados com atos de governo 
(COSTA; FIGUEIRA, 2017).
Lembre-se: O risco é representado pela possibilidade de que um 
evento ocorrerá e afetará negativamente a realização dos objetivos 
da organização, porém ele deve ser avaliado com base na sua 
probabilidade de ocorrência e no impacto que gerará, fornecendo, dessa 
forma, informações para um correto gerenciamento organizacional.
Atividade de Estudos:
1) Hora de Refletir! Conceitue risco e oportunidade, citando um exemplo 
de cada termo (o exemplo não deve constar no livro de estudos).
 _______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
30
 CONTROLES INTERNOS
5 Órgãos Normalizadores
Para entender o funcionamento dos órgãos normalizadores que tratam dos 
assuntos relacionados à gestão de riscos e aos controles internos, temos que 
voltar um pouco no tempo e relembrar alguns casos que contribuíram com a 
expansão dessas atividades em nível mundial. 
A seguir, apresenta-se um artigo produzido pela KPMG (2004), o qual 
explica de forma fácil e resumida essa questão. A Lei Sarbanes-Oxley (SOX) 
é a que tem maior impacto sobre os mercados de capitais norte-americanos 
e mundiais desde a legislação de 1933 e 1934, que criou a Securitiesand 
Exchange Commission (Comissão de Valores Mobiliários dos Estados Unidos – 
SEC), com amplos poderes para regular e policiar o mercado norte-americano 
de capitais.
Após inúmeros escândalos contábeis, a legislatura dos Estados Unidos, 
com uma rapidez extraordinária e um apoio quase unânime, implementou uma 
legislação que ampliou os poderes da SEC, aumentando consideravelmente 
a responsabilidade da administração das empresas e introduzindo a 
regulamentação, pelo governo, da profissão de auditor.
Esta regulamentação das novas normas, bem como sua supervisão do 
cumprimento pelos vários elementos do mercado de capitais, passou a ser 
de responsabilidade do Conselho de Supervisão de Assuntos Contábeis das 
Companhias Abertas (Public Company Accounting Oversight Board – PCAOB), 
com membros indicados pela SEC.
Os efeitos da Lei Sarbanes-Oxley são bastante significativos não apenas 
nos Estados Unidos, pois a legislação determina que as empresas que não 
são norte-americanas, mas que possuem cotação secundária em uma bolsa de 
valores norte-americana, também deve seguir as novas leis. No entanto, quais 
os efeitos práticos para as empresas brasileiras com registro na SEC? 
Em 2003, existiam mais de 30 empresas brasileiras com registro na SEC, 
empresas estas que possuem ações cotadas na bolsa norte-americana. Como 
já se passaram anos desde a publicação do artigo da KPMG, estima-se que 
esse número deve ter aumentado. A seguir, destacam-se as mudanças mais 
evidentes e profundas advindas com a Lei SOX: 
31
Gestão de Riscos Capítulo 1 
a) Responsabilidade do presidente (CEO) e do diretor financeiro (CFO) na 
“certificação” das demonstrações financeiras.
b) Transferência para um comitê de auditoria, composto de membros não 
executivos do Conselho da Administração, de muitos poderes e responsabilidades 
que eram anteriormente dos diretores executivos.
c) Mais transparência na divulgação das informações financeiras e dos atos 
da administração.
Vejamos algumas empresas brasileiras que, pelo fato de possuírem registro 
na SEC, devem seguir a legislação acima comentada:
FIGURA 10 – LISTAGEM DAS COMPANHIAS BRASILEIRAS 
QUE NEGOCIAM AÇÕES NA NYSE 
FONTE: Adaptado pela autora SEC (2017, s.p.).
A metodologia do COSO foi recomendada pela SEC por causa da publicação 
da SOX, por isso ela é uma das mais utilizadas pelas empresas quanto ao 
gerenciamento dos sistemas de controle interno (LOPES; GONÇALVES; 
CALLADO, 2016).
Criada em 1985, nos Estados Unidos, a National Commission on Fraudulent 
Financial Reporting (Comissão Nacional sobre Fraudes em Relatórios 
Financeiros), também conhecida como Treadway Commission, foi uma iniciativa 
do setor privado de estudar as causas da ocorrência de fraudes em relatórios 
financeiros e contábeis, a fim de desenvolver recomendações para empresas, 
auditores independentes e instituições educativas. A comissão foi patrocinada por 
cinco grandes associações de profissionais de classes ligadas à área financeira, 
sendo totalmente independentes de suas entidades patrocinadoras. Segundo 
Pereira et al. (2008), são elas:
32
 CONTROLES INTERNOS
• AICPA – American Institute of Certified Public Accounts (Instituto 
Americano de Contadores Públicos Certificados).
• AAA – American Accounting Association (Associação Americana de 
Contadores).
• FEI – Financial Executives Internacional (Executivos Financeiros 
Internacionais).
• IIA – The Insititute of Internal Auditors (Instituto dos Auditores Internos).
• IMA – Institute of Management Accountants (Instituto dos Contadores 
Gerenciais 
Em 1992, esta comissão publicou o trabalho Internal Control – Integrated 
Framework (Controle Interno – Um Modelo Integrado), que se tornou 
uma referência mundial para o estudo e aplicação dos controles internos. 
Posteriormente, a comissão se transformou em comitê, passando a ser conhecida 
então como COSO – The Committee of Sponsoring Organizations of the Treadway 
Commission (Comitê das Organizações Patrocinadoras). 
O COSO é uma entidade sem fins lucrativos, dedicada à melhoria dos 
relatórios financeiros através da ética, efetividade dos controles internos e 
governança corporativa.
Acadêmico, abordamos até agora os órgãos normalizadores e a legislação em 
nível mundial. Na sequência, estudaremos esse assunto no âmbito da nação brasileira. 
A regulação do controle interno no Brasil ocorreu devido às crises que o 
Sistema Financeiro Nacional passava por volta dos anos 1990, por causa de 
problemas de solvência das instituições financeiras, tais como: Bamerindus, 
Nacional, Econômico, Noroeste. 
No Banco Nacional foram constatadas manipulações contábeis com a criação 
de ativos e receitas fictícias. Assim, o Conselho Monetário Nacional (CMN), por meio 
da Resolução nº 2.554/98, determinou regras para implantação e implementação 
dos sistemas de controle interno (NIYAMA et al., 2008; SANCHES, 2007). 
Sanches (2007) complementa que em 2004, com a Lei SOX já publicada, 
observou-se uma preocupação dos órgãos nacionais com o sistema de controle 
interno, pois o Conselho Nacional de Seguros Privados e a Superintendência 
de Seguros Privados (SUSEP) emitiram a Circular nº 249, determinando a 
implementação do sistema de controle interno nas sociedades seguradoras de 
capitalização e entidades abertas de previdência complementar. Em 2006, a 
SUSEP publicou a Lei nº 9.613, que regulamentou a implantação de controles 
internos específicos para tratamento de situações relativas à prática de crimes de 
lavagem de dinheiro.
33
Gestão de Riscos Capítulo 1 
A Comissão de Valores Mobiliários (CVM), autarquia responsável pela 
regulamentação e fiscalização das atividades concernentes ao mercado de 
valores mobiliário brasileiro, tornou as informações sobre o controle interno 
obrigatórias, por meio da Instrução nº 480/2009 no formulário de referência. É por 
meio desse formulário que a CVM determina que as companhias divulguem as 
informações quanto às deficiências de controle interno (LOPES; GONÇALVES; 
CALLADO, 2016).
Os formulários de referência estão disponíveis no site da 
BM&FBOVESPA. Para acessá-los, basta acessar o link: <http://www.
bmfbovespa.com.br/pt_br/produtos/listados-a-vista-e-derivativos/
renda-variavel/empresas-listadas.htm>, selecionar a empresa 
desejada e ir até a aba Relatório Financeiros.
Atividade de Estudos:
1) Em meio a tantos órgãos reguladores abordados, tanto em nível 
mundial como nacional, é importante deixar clara a função de 
cada um. Para isso, associe os itens a seguir:
I- Lei SOX
II- COSO
III- CVM
IV- CMN
( ) É uma organização privada, criada nos EUA em 1985, para 
prevenir e evitar fraudes nos procedimentos e processos 
internos da empresa.
( ) Compete a este conselho regulamentar as operações de crédito 
das instituições financeiras brasileiras, regular a moeda do país, 
supervisionar suas reservas em ouro e cambiais, determinar 
suas políticas de poupança e investimento e regulamentar os 
mercados de capitais brasileiros. 
( ) A criação desta lei foi uma consequência das fraudes e 
http://www.bmfbovespa.com.br/pt_br/produtos/listados-a-vista-e-derivativos/renda-variavel/empresas-listadas.htm
http://www.bmfbovespa.com.br/pt_br/produtos/listados-a-vista-e-derivativos/renda-variavel/empresas-listadas.htm
http://www.bmfbovespa.com.br/pt_br/produtos/listados-a-vista-e-derivativos/renda-variavel/empresas-listadas.htm
34
 CONTROLES INTERNOS
escândalos contábeis que, na época, atingiram grandes 
corporações nos Estados Unidos. Teve como intuito tentar evitar 
a fuga dos investidores causada pela insegurança e perda de 
confiança em relação às escriturações contábeis e aos princípios 
de governança nas empresas.
( ) É uma autarquia vinculada ao Ministério da Fazenda do Brasil. 
Tem poderes para disciplinar, normalizar e fiscalizar a atuação dos 
diversos integrantes do mercado. Seu poder de normalizar abrange 
todas as matérias referentes ao mercado de valoresmobiliários.
Assinale a alternativa que apresenta a sequência CORRETA: 
a) ( ) II – III – IV – I. 
b) ( ) II – IV – I – III. 
c) ( ) III – I – II – IV. 
d) ( ) III – II – I – IV.
Para nos aprofundarmos um pouco mais na questão de normatização e 
vermos como funciona na prática, apresentamos um artigo escrito por Imoniana e 
Krening (2009), que teve como objetivo analisar a adoção dos aspectos relevantes 
e intrínsecos na Circular CMN 3.467/09 pelas cooperativas de crédito do estado 
de São Paulo.
A Circular 3.467 faz referência à “qualidade e adequação 
do sistema de controles internos [...]” e define a abrangência e 
o conteúdo mínimo do relatório do auditor sobre a avaliação dos 
controles internos. Os critérios definidos pelo Banco Central do 
Brasil seguem as definições e componentes presentes no COSO, 
ou seja, o mesmo framework de controles internos utilizados pelas 
empresas que possuem estrutura de controles internos certificados 
conforme os requerimentos da Lei Sarbanes-Oxley.
Imoniana e Krening (2009) destacam as similaridades entre os 
componentes do COSO e os aspectos relevantes da Circular CMN 
3.467/09:
35
Gestão de Riscos Capítulo 1 
QUADRO 3 – SIMILARIDADES ENTRE OS COMPONENTES 
DO COSO E CIRCULAR CMN 3.467/09
FONTE: a autora
Foram entrevistadas oito cooperativas de crédito por 
conveniência, mais a Cooperativa Central de Crédito (Sicoob 
Central Cecresp), totalizando nove cooperativas. A pesquisa contou 
com entrevistas com as gerências de riscos, controles internos e 
auditoria interna.
Resultados Obtidos:
Ambiente de controle: através dos resultados foi possível 
identificar que, apesar de todas as cooperativas possuírem 
código de ética e conduta divulgadas, nenhuma tem histórico de 
descumprimento formalizado.
Outro aspecto se refere às políticas institucionais. Apenas um 
respondente afirmou que todas as políticas tinham sido aprovadas e 
divulgadas. Os demais demonstraram que o processo de aprovação 
das políticas ainda se encontra em andamento em suas cooperativas 
singulares, sendo que um deles afirmou que, na sua opinião, as 
políticas são mais aplicáveis para bancos do que para cooperativas 
de crédito singulares, ou seja, com pouca aplicabilidade. Outro 
respondente afirmou não seguir a política de crédito institucional 
porque não se aplica à realidade da cooperativa. Desobediência aos 
normativos sistêmicos pode fomentar um ambiente interno inadequado. 
“Determinados indivíduos poderão cometer atos desonestos, ilegais 
ou antiéticos simplesmente porque a organização lhes propicia forte 
incentivo ou tentação para agir desta forma” (COSO, 2007, p. 30).
Identificação e avaliação dos riscos: nas cooperativas singulares 
entrevistadas não existem departamentos ou comitês formalmente 
constituídos relacionados a riscos. Segundo os entrevistados, as cooperativas 
36
 CONTROLES INTERNOS
singulares de crédito apenas realizam alguns acompanhamentos, internos e 
externos, mas de forma muito informal e superficial.
O fato da cooperativa central de crédito prever e tratar os 
riscos para suas filiadas, não desobriga os administradores em suas 
singulares a avaliar ou identificar riscos, principalmente de eventos 
imprevistos, específicos da modalidade, os quais podem causar 
impacto significativo na cooperativa. É decisão única e exclusiva da 
gestão das cooperativas questões como aceitar o risco, implantar 
controles internos efetivos ou eliminar o risco. “Ao avaliar riscos, a 
administração leva em consideração eventos previstos e imprevistos. 
Muitos eventos são rotineiros e recorrentes e já foram abordados, 
enquanto outros são imprevistos” (COSO, 2007, p. 540).
Controles: os resultados sugerem forte ausência de formalizações 
em relação a autorizações e alçadas. Sabe-se que as alçadas ou limites 
servem para dar um alerta à administração pela comparação de transações 
ou ocorrências atuais com critérios predefinidos. Um dos entrevistados 
citou que não tinha nada formalizado em relação a autorizações e que a 
questão ficava muito na dependência do bom senso do gestor. 
A atribuição de autoridade e de responsabilidade estabelece 
até que ponto pessoas ou equipes estão autorizadas, e 
são incentivadas, a fazer uso de sua iniciativa para tratar 
de questões e resolver problemas, e estabelece limites de 
autoridade (COSO, 2007, p. 110).
Em relação às políticas envolvendo relatórios financeiros 
e contábeis, percebe-se de forma unânime total ausência de 
formalização. Um dos entrevistados citou o processo como 
burocrático. Desta forma, pode-se entender que não existe evidência 
de cultura por parte da administração para estabelecer e manter 
sistemas de controle da contabilidade que estejam ligados aos 
seus objetivos específicos. Uma visão ponderada nas entrevistas 
é que a gestão de risco em muitas cooperativas não é uma prática 
efetivada. É tomado conhecimento de indicadores e informações, 
mas nenhuma decisão é tomada de forma formal. Somente o risco 
de crédito foi citado pela maioria das cooperativas como foco de 
atenção principal. “O gerenciamento de riscos é do interesse de 
todos, ou seja, todos são responsáveis pelo apoio aos fluxos de 
informações e comunicações inerentes ao gerenciamento de riscos, 
incluindo comunicação em um nível organizacional mais elevado, de 
quaisquer problemas nas operações, incluindo infrações às políticas 
ou atos ilegais” (COSO, 2007, p. 97).
37
Gestão de Riscos Capítulo 1 
Informações e comunicações: entende-se que limitações 
sistêmicas ou não integração de processos podem interferir na 
qualidade dos dados, fazendo necessária uma avaliação periódica. 
Todos os entrevistados afirmaram realizar o procedimento de 
reconciliação contábil, como forma de captura de erro de dados. 
No quesito divulgação, muitas cooperativas internamente 
se utilizam de canais como e-mails e intranet para divulgar suas 
políticas e procedimentos. “Em face da crescente dependência 
em relação a sistemas sofisticados de informações e sistemas e 
processos automatizados de decisão, acionados por dados, a 
confiabilidade dos dados é um fator crítico” (COSO, 2007, p. 79).
Monitoramento e aperfeiçoamento: a auditoria interna 
da Cooperativa Central de Crédito tem como missão principal 
auxiliar as cooperativas a atingir seus objetivos por meio da 
avaliação da situação econômico-financeira, verificação dos 
controles internos, riscos e governança corporativa, propondo 
recomendações de melhorias e soluções para regularização das 
inconformidades. Algumas metodologias utilizadas pela auditoria 
interna se baseiam no Manual de Instruções Gerais (MIG) da 
confederação Sicoob e em algumas premissas do COSO, como: 
proteção de ativos, informações fidedignas e cumprimento às 
regulamentações. Teste de segurança nos sistemas de informação 
são atribuições da confederação e cooperativa central de crédito, 
detentores dos sistemas operacionais utilizados pelas suas filiadas. 
Questões envolvendo monitoramento e aperfeiçoamento estão em 
conformidade com as premissas da estrutura conceitual.
Consideração final: considerando as peculiaridades do 
segmento cooperativista de crédito, principalmente no que se refere 
a sua organização sistêmica, em que as figuras da confederação 
cooperativa central e singulares têm seus papéis bem definidos 
no que tange às políticas corporativas, diretrizes e processos 
de controles internos, pode-se concluir que os resultados deste 
trabalho foram satisfatórios.
FONTE: Adaptado de Imoniana e Krening (2009). <http://
tede.mackenzie.br/jspui/bitstream/tede/935/1/Jorge%20
da%20Silva%20Krening.pdf>. Acesso em: 6 ago. 2018.
38
 CONTROLES INTERNOS
A natureza do controle interno, da gestão de risco e da auditoria irá 
depender do tipo de negócio, se é um negócio privado ou governamental, 
e é de fundamental importância para a continuidade da empresa.
6 Relação Entre 
Gerenciamento de Riscos 
e Controle Interno
Acadêmico, vimos até agorasobre gestão de riscos (definição, 
conceito etc.), estudamos também sobre os órgãos normalizadores (o princípio, a 
evolução e as leis). Agora é necessário entender qual é a relação entre a gestão 
de riscos e o controle interno. 
O Institute of Internal Auditors (IIA, 2013) escreve que nos negócios do 
século XXI não é mais raro encontrarmos diversas equipes de auditores internos, 
especialistas em gerenciamento de riscos corporativos, executivos de compliance, 
especialistas em controle interno, inspetores de qualidade, investigadores de 
fraude e outros profissionais de riscos e controle trabalhando em conjunto para 
auxiliar as empresas no gerenciamento de riscos. 
Cada uma dessas especialidades tem perspectivas únicas e habilidades 
específicas de valor inestimável para as organizações que assessoram, 
entretanto, as atividades relacionadas ao gerenciamento de riscos e controle estão 
cada vez mais divididas nos diversos departamentos e setores, prezando por um 
trabalho coordenado para garantir que os processos de riscos e controle sejam 
conduzidos conforme planejado. Sem uma abordagem coesa e coordenada, os 
recursos limitados de riscos e controle podem não ser aplicados com eficácia, 
e os riscos significantes podem não ser identificados e gerenciados de forma 
adequada. Assim, entende-se que os controles internos são parte integrante do 
gerenciamento de riscos. Vejamos a definição do COSO (2007): 
Gerenciamento de riscos: trata da identificação, avaliação e administração 
de riscos diante de incertezas e da geração de valor. Além disso, seu processo 
permite a administração de riscos de forma compatível com o apetite de risco da 
organização e possibilita um nível razoável de garantia em relação à realização 
dos seus [organização] objetivos. 
Controles internos: têm a finalidade de “possibilitar uma garantia razoável 
quanto à realização dos objetivos [da organização]” (COSO, 2007, p.109). 
Observe a figura para entender melhor essa integração:
A natureza do 
controle interno, 
da gestão de risco 
e da auditoria irá 
depender do tipo de 
negócio, se é um 
negócio privado ou 
governamental, e 
é de fundamental 
importância para 
a continuidade da 
empresa.
39
Gestão de Riscos Capítulo 1 
FIGURA 11 – GESTÃO INTEGRADA
FONTE: <http://www.cesarramos.com.br/gestao-de-riscos-
corporativos-como-integrar-a-gestao-dos-riscos-com-a-estrategia-a-
governanca-e-o-controle-interno/>. Acesso em: 8 jun. 2018
“O controle interno é parte integrante do gerenciamento de riscos 
corporativos. A estrutura do gerenciamento de riscos corporativos 
abrange o controle interno, originando dessa forma uma conceituação 
e uma ferramenta de gestão mais eficiente” (COSO, 2007, p. 8).
O controle interno é definido e tratado como: “Controle Interno – Estrutura 
Integrada”. Isso se deve ao fato da estrutura ter resistido ao tempo e ser base 
das normas, dos regulamentos e das leis existentes, além disso o documento 
permanece vigente como fonte de definição e marco para as estruturas de 
controles internos (COSO, 2007).
O “Controle Interno – Estrutura Integrada” especifica três categorias de objetivos: 
operacionais, relatórios financeiros e compliance. O gerenciamento de riscos 
corporativos especifica três categorias de objetivos semelhantes: operacionais, de 
comunicação e de compliance. A categoria de comunicações na estrutura de controle 
interno se relaciona com a confiabilidade das demonstrações financeiras publicadas. 
Na estrutura do gerenciamento de riscos corporativos, a categoria de comunicação foi 
expandida significativamente a fim de envolver todos os relatórios desenvolvidos pela 
organização, divulgados tanto interna quanto externamente. Essa categoria inclui 
os relatórios utilizados internamente pela administração e os publicados para partes 
externas, inclusive arquivamentos obrigatórios e relatórios a outros stakeholders. 
http://www.cesarramos.com.br/gestao-de-riscos-corporativos-como-integrar-a-gestao-dos-riscos-com-a-estrategia-a-governanca-e-o-controle-interno/
http://www.cesarramos.com.br/gestao-de-riscos-corporativos-como-integrar-a-gestao-dos-riscos-com-a-estrategia-a-governanca-e-o-controle-interno/
http://www.cesarramos.com.br/gestao-de-riscos-corporativos-como-integrar-a-gestao-dos-riscos-com-a-estrategia-a-governanca-e-o-controle-interno/
40
 CONTROLES INTERNOS
Além disso, seu alcance se estende além da situação financeira, tratando 
também das informações não financeiras (COSO, 2007). As estruturas de 
gerenciamento de riscos corporativos e de controle interno reconhecem que os 
riscos podem ocorrer em qualquer nível da organização, bem como ser originados 
de uma variedade de fatores internos e externos. Assim, ambas as estruturas 
consideram a identificação de riscos no contexto de potencial impacto sobre a 
realização dos objetivos (COSO, 2007). Segundo o CVM (2015), ainda que hajam 
visões diferentes, pode-se concluir de forma resumida os conceitos: 
• Compliance (aderência às normas e procedimentos definidos 
previamente) tende a ser visto na literatura como parte, seja de 
gerenciamento de riscos, seja apenas de controles internos, ambos com 
escopo mais amplo dentro da organização. 
• Controles internos podem ser compreendidos como uma intersecção 
com um sistema de gerenciamento de riscos. O sistema de controles 
internos, além de compliance, busca assegurar que as operações da 
empresa sigam conforme o planejado, mitigando desvios e, embora 
não questione o que foi planejado, pode contribuir de forma crítica. 
A função dos controles internos compreende a verificação para que 
os ativos e os recursos sejam utilizados em função dos propósitos da 
organização (eficiência e eficácia operacional), assim, podemos concluir 
que nem todas as atividades da função controles internos (operacional) 
endereçam “riscos”, e nem todo controle de riscos relevantes pode ser 
tratado por meio da função controles internos. 
 
• Gerenciamento de riscos é mais holístico, ao se inserir não apenas nos 
contornos das operações, mas também no direcionamento estratégico da 
organização, incorporando diferentes perspectivas, tais como o ambiente 
externo e a reputação da organização. Ademais, o gerenciamento de 
riscos é mais amplo, o que inclui o processo de identificação, mensuração 
(qualitativa ou quantitativa), avaliação de riscos, bem como a definição 
da atitude da organização perante esses riscos e os seus tratamentos 
(inclusive controle).
41
Gestão de Riscos Capítulo 1 
Atividade de Estudos:
1) Definida a relação entre gerenciamento de riscos e controles 
internos. Conceitue os dois termos abordados para que fique 
clara a definição de cada um.
 ____________________________________________________
____________________________________________________
____________________________________________________
____________________________________________________
____________________________________________________
____________________________________________________
____________________________________________________
2) Os conceitos de compliance, controles internos e gerenciamento 
de riscos podem ter visões diferentes. Associe os itens a seguir 
que correspondem a cada conceito instituído pela CVM:
I- Compliance 
II- Controles internos 
III- Gerenciamento de riscos
( ) É mais amplo, incluindo o processo de identificação, 
mensuração e avaliação de riscos, bem como a definição 
da atitude da organização perante esses riscos e os seus 
tratamentos (inclusive controle).
( ) Pode ser compreendida como tendo intersecção com um 
sistema de gerenciamento de riscos. Sua função compreende 
a verificação para que os ativos e os recursos sejam utilizados 
em função dos propósitos da organização (eficiência e eficácia 
operacional).
( ) Possui aderência às normas e procedimentos previamente 
definidos. Tende a ser visto na literatura como parte, seja de 
gerenciamento de riscos ou apenas de controles internos.Assinale a alternativa que apresenta a sequência CORRETA: 
a) ( ) II – III – I. 
b) ( ) II – I – III.
c) ( ) III – I – II. 
d) ( ) III – II – I.
42
 CONTROLES INTERNOS
7 Informação e Comunicação
Vaassen, Meuwissen e Schelleman (2013) escrevem que as organizações 
precisam de informação, assim como as pessoas de comida, e sem isso não se 
pode fazer muito. A informação pode vir e ser usada de múltiplas maneiras, porém 
seu objetivo final é tirar a organização de uma situação de falta de controle e 
colocá-la em uma outra que exista. 
É claro que as organizações não estarão automaticamente sob controle 
apenas pelas informações, por isso se faz necessário um relacionamento 
entre informação, sistemas de informação e controle. Assim como outros 
relacionamentos empresariais, as informações e os sistemas que as produzem 
devem ser controlados.
Informação é todo dado processado que contribui para o 
entendimento, por parte do receptor, da parcela da realidade à qual se 
aplica.
Vaassen, Meuwissen e Schelleman (2013) abordam que o 
controle interno tem seu foco voltado para a governança e o controle 
das organizações. Porém, os instrumentos disponíveis têm natureza 
predominantemente mecanicista, o que quer dizer que procedimentos e controles 
são implantados e pouca atenção é dada a problemas derivados dos empregados 
não saberem o que se espera deles, o que ocasiona desmotivação e incapacidade 
de fazer o que se espera. Para o alcance dos objetivos estratégicos da organização, 
os gestores da estratégia devem desempenhar as seguintes atividades:
• Definição dos objetivos estratégicos organizacionais (planejamento).
• Criação de processos colaborativos multifuncionais entre os funcionários 
(estruturação).
• Definição das alocações de tarefas e fornecimento dos recursos 
referentes a esses funcionários (execução).
• Mensuração do grau de alcance dos objetivos (avaliação).
• Empreendimento de ações corretivas ou preventivas se os objetivos não 
forem alcançados ou o forem de forma parcial (ajuste).
Nos níveis tático e operacional, atividades semelhantes serão 
desempenhadas. Contudo, à medida que as especificações dessas atividades se 
tornam mais detalhadas é comum surgirem diferenças, como:
• Os objetivos se tornam mais concretos. Por exemplo, o chefe do 
departamento de compras é responsável por manter os estoques acima 
Informação é todo 
dado processado 
que contribui para o 
entendimento, por 
parte do receptor, da 
parcela da realidade 
à qual se aplica.
43
Gestão de Riscos Capítulo 1 
de determinado nível mínimo X.
• O grau de liberdade na criação de colaborações multifuncionais será 
mais limitado. Por exemplo, se na gestão tática foi criada uma estrutura 
organizacional que inclui um estoque separado do departamento de 
compras, não será possível aos gestores operacionais criar um cargo no 
qual a armazenagem e as compras estejam combinadas.
• As definições de tarefas serão específicas e conterão instruções mais 
detalhadas. Por exemplo, apoiado pelo sistema de informação, o 
chefe do departamento de compras delegará a seus subordinados a 
responsabilidade de comprar Y unidades do produto A do fornecedor 
B quando o controle dos estoques indicar que o nível mínimo X, assim 
preestabelecido, for atingido.
• As normas para verificar se os objetivos foram atingidos serão mais 
específicas. Por exemplo, serão realizados testes para checar se o nível 
real dos estoques é maior do que o mínimo X.
• As medidas tomadas para mudar uma situação em que os objetivos não 
são atingidos são de natureza rotineira. Por exemplo, se o nível real dos 
estoques estiver abaixo do mínimo X requerido, a quantidade necessária 
será comprada.
Dessa forma, os objetivos estratégicos de uma organização podem ser 
divididos em metas mais palpáveis, ao se tornarem cada vez mais concretas 
(VAASSEN; MEUWISSEN; SCHELLEMAN, 2013).
Sem informação não há controle. As informações são vitais 
para que a organização conduza e controle suas operações. 
Sem informações fidedignas em tempo hábil, será difícil 
identificar proativamente a área de risco e reagir em relação a 
ela (CORBARI; MACEDO, 2012, p. 133).
Para que a empresa possa tomar uma decisão correta, os gestores 
dependem da qualidade da informação, que deve ser: 
• Apropriada.
• Oportuna.
• Exata.
• Acessível. 
O sistema de controle interno deve assegurar a qualidade da informação 
avaliando se todas as transações e os eventos significativos estão corretos e 
claramente documentados (CORBARI; MACEDO, 2012).
Vejamos no quadro a seguir a implicação da qualidade das informações:
44
 CONTROLES INTERNOS
QUADRO 4 – IMPLICAÇÃO DA QUALIDADE DAS INFORMAÇÕES
FONTE: Adaptado de Corbari e Macedo (2012)
A comunicação é pertencente a todos os sistemas de informação. Os sistemas 
de informação devem amparar as pessoas para que elas possam desenvolver 
responsabilidades operacionais, de comunicação e de conformidade, além de 
conduzir as pessoas ao caminho da realização dos objetivos organizacionais. 
A comunicação deve ocorrer de forma ampla, tratando de expectativas, 
responsabilidade de indivíduos e de grupos, bem como de outras questões 
importantes (CORBARI; MACEDO, 2012).
Acadêmico! Chegamos ao final deste capítulo e esperamos que você tenha 
aproveitado o conteúdo elaborado. Nos próximos capítulos abordaremos mais 
especificamente sobre os controles internos, a forma de aplicação e a implantação.
Atividade de Estudos:
1) Sem informações fidedignas em tempo hábil, torna-se difícil 
identificar proativamente a área de risco e reagir prontamente. As 
informações são vitais para que a organização conduza e controle 
suas operações, porém devem possuir algumas características. 
Sobre essas características, analise os itens a seguir e classifique 
V para os verdadeiros e F para os falsos:
( ) Oportuna
( ) Descartável
( ) Exata
( ) Acessível
Verificar se: Questionamento:
O conteúdo é apropriado. Está no nível de detalhes adequado?
As informações são oportunas. Estarão disponíveis quando necessário?
As informações são atuais. São as mais recentes?
As informações são exatas. Os dados estão corretos?
As informações são de fácil acesso. São de fácil obtenção por aqueles que as necessitam?
45
Gestão de Riscos Capítulo 1 
Assinale a alternativa que apresenta a sequência CORRETA: 
a) ( ) V – V – F – V. 
b) ( ) F – V – F – V. 
c) ( ) V – F – V – V. 
d) ( ) F – F – F – V.
8 Algumas Considerações
Após o estudo da temática de gestão de riscos, alguns pontos devem ser 
destacados: o COSO (The Comitee of Sponsoring Organizations) que tem 
como principal função prevenir e evitar fraudes decorrentes de fragilidades nos 
processos internos da empresa é a principal ferramenta a ser utilizada quando se 
fala em gerenciamento de riscos.
O gerenciamento de riscos tem papel fundamental no cumprimento dos 
objetivos dos negócios, pois utiliza-se da prevenção de perdas e aproveita as 
oportunidades e a capacidade de geração de valor da empresa. Ele não é uma 
função nem um departamento e vai além do controle interno. Abrange tópicos, 
como definição de estratégia, governança, comunicação e mensuração da 
performance. 
Porém, muitos obstáculos e desafios devem ser superados pelas 
organizações para que a implantação e a manutenção desta prática sejam 
desenvolvidas com sucesso. Tendo como base a missão/visão da organização 
a estrutura do gerenciamento de riscos corporativos visa alcançar os objetivos 
propostos pela organização e por isso é classificados em quatro categorias: 
estratégico, operacional, comunicação e conformidade. Essa estrutura visa facilitar 
a internalização do gerenciamento de riscos e uma maior eficácia no processo. 
Referências
ARIMA, Carlos Hideo; GIL, Antonio de Loureiro; NAKAMURA, Wilson Toshiro. 
Gestão: controle interno, risco e auditoria. São Paulo: Saraiva, 2013. 
CORBARI, Ely Celia; MACEDO, Joel de Jesus. Controle internoe externo na 
administração pública. Curitiba: InterSaberes, 2012.
46
 CONTROLES INTERNOS
CORREIO BRAZILIENSE. 2018. Disponível em: <https://www.correiobraziliense.
com.br/app/noticia/economia/2018/05/31/internas_economia,685176/perdas-com-a-
greve-dos-caminhoneiros-superam-os-r-75-bilhoes.shtml>. Acesso em: 1° jun. 2018.
COSO – Committee of Sponsoring Organizations of the Treadway Commission, 
Integrated Framework. Application Techniques, v. 2. USA, 2007.
______. Sumário Executivo. 2017. Disponível em: <conteudo.iiabrasil.org.br/
coso>. Acesso em: 7 jun. 2018.
COSTA, Luiz Paulo da Silva; FIGUEIRA, Ariane Cristine Roder. Risco político e 
internacionalização de empresas: uma revisão bibliográfica. Cadernos EBAPE.
BR, v. 15, n. 1, 2017.
CVM – Comissão de Valores Mobiliários. Gerenciamento de riscos 
corporativos: uma análise das diretrizes e da prática. Assessoria de Análise e 
Pesquisa (ASA). Trabalhos para Discussão. 2015. Disponível em: <www.cvm.gov.
br/menu/acesso_informacao/serieshistoricas/estudos/anexos/Gerenciamento-de-
riscos_final_151015.pdf>. Acesso em: 4 jun. 2018.
DNIT (Brasil). 2017. Disponível em: <http://www.dnit.gov.br/planejamento-
estrategico/riscos-corporativos/gestao-de-riscos-corporativos-no-dnit>. Acesso 
em: 6 jun. 2018.
FEIJÓ, Julio. Oportunidade à vista: Copa do Mundo. Promoview. 2018. 
Disponível em: <https://www.promoview.com.br/esportes/oportunidade-a-vista-
copa-do-mundo.html>. Acesso em: 1 jun. 2018.
FOLHA DE SÃO PAULO. Unir gerenciamento de risco e estratégia 
melhora resultados. 2017. Disponível em: <http://estudio.folha.uol.com.br/
petrobras/2017/12/1940485-unir-gerenciamento-de-risco-e-estrategia-melhora-
resultados.shtml>. Acesso em: 6 jun. 2018.
IAA – Institute of Internal Auditors. (Brasil). 2013. Disponível em: <http://www.
planejamento.gov.br/assuntos/empresas-estatais/palestras-e-apresentacoes/2-
complemento-papeis-das-areas-de-gestao-de-riscos-controles-internos-e-
auditoria-interna.pdf>. Acesso em: 8 jun. 2018.
IBCG – Instituto Brasileiro de Governança Corporativa. Guia de Orientação para 
Gerenciamento de Riscos Corporativos. 2007. Disponível em: <http://www.
ibgc.org.br/userfiles/3.pdf>. Acesso em: 8 jun. 2018.
IMONIANA, Joshua Onome; KRENING, Jorge. Adesão das Cooperativas de Crédito 
47
Gestão de Riscos Capítulo 1 
do Estado de São Paulo à framework de controles internos regido por Circular CMN 
3.467/2009. Revista Organizações em Contexto, v. 11, n. 22. [s.l.] 2009.
KPMG – Auditores Independentes. Auditoria Externa do Terceiro Setor. 2004. 
Disponível em: <http://www.kpmg.com.br/images/P7602-Office-Palestra.pdf>. 
Acesso em 1 jun. 2018.
LOPES, Christianne Calado Vieira de Melo; GONÇALVES, Rodrigo de Souza; 
CALLADO, Aldo Leonardo Cunha. Controle interno de empresas brasileiras listadas 
na nyse: uma comparação entre as informações enviadas a SEC e à CVM. In: Anais 
do Congresso UFPE de Ciências Contábeis. Pernambuco, 2016.
NIYAMA, Jorge Katsumi et al. Evolução da Regulação da Auditoria Independente 
no Brasil: análise crítica a partir da teoria da regulação. Advances in Scientific 
and Applied Accounting, São Paulo, v. 4, n. 2, 2008. 
PEREIRA, E. et al. COSO: The Committee of Sponsoring Organizations of the 
Treadway Commission. 2008. Disponível em: <http://www.fonai-mec.com.br/
uploads/documentos/arq1371678360.pdf>. Acesso em: 4 jun. 2018.
SANCHES, Marcos Venicio. Sistemas de Controles Internos e de fiscalização 
em demonstrações contábeis: uma análise crítica de normas específicas. 
Dissertação (Mestrado em Contabilidade) – Faculdade de Economia, 
Administração e Contabilidade. Universidade de São Paulo. São Paulo, 2007.
SEC – U.S. Securities Exchange Comission. 2017. Disponível em: <http://www.
sec.gov/edgar.shtml>. Acesso em: 6 jun. 2018.
VAASSEN, Eddy; MEUWISSEN, Roger; SCHELLEMAN, Caren. Ebook: controle 
interno e sistemas de informação contábil: sob a ótica de empresas privadas e 
públicas. São Paulo: Saraiva, 2013.
48
 CONTROLES INTERNOS
CAPÍTULO 2
Controles Internos
A partir da perspectiva do saber fazer, neste capítulo você terá os seguintes 
objetivos de aprendizagem:
 3 Compreender a definição de controle interno.
 3 Entender qual é o objetivo do controle interno, bem como sua metodologia 
utilizada.
 3 Estudar a estruturação do controle interno. 
 3 Refletir sobre o controle interno, ponderando os pontos positivos e negativos de 
sua aplicabilidade e utilidade.
50
 CONTROLES INTERNOS
51
Controles Internos Capítulo 2 
1 Contextualização
A evolução da sociedade e dos seus negócios não ocorre sempre de forma 
simples ante os eventos do horizonte, no passado ou no presente. Seja para 
entidades privadas ou governamentais, a ideia de mudança está vinculada à visão 
da sustentabilidade dos negócios e à medida que a continuidade da entidade 
necessita de conformidade, customização e inovação para atender aos interesses 
dos acionistas e clientes (ARIMA; GIL; NAKAMURA, 2013).
Diante dessa evolução, os gestores necessitam de ferramentas que possam 
identificar e mensurar os processos desenvolvidos dentro da organização. E é 
nesse contexto que se insere o controle interno, uma ferramenta fundamental e 
considerada uma das mais importantes na gestão de uma empresa, pois auxilia 
os gestores em uma administração que inibe a ocorrência de erros, evitando o 
desperdício e auxiliando no uso indevido de recursos e bens.
No entanto, destaca-se que a responsabilidade do controle interno é também 
uma responsabilidade de todas as áreas da empresa e de todos que atuam nela. 
Sua correta aplicação trará inúmeros benefícios aos negócios, contribuindo na 
continuidade da empresa com o fornecimento de dados confiáveis que auxiliarão 
na tomada de decisão.
Acadêmico, agora adentraremos no mundo do controle interno. Bons estudos!
2 Definição de Controle Interno
“Controle é uma palavra proveniente do francês controler, que significa 
registrar, inspecionar e/ou examinar, ou então, do italiano controllo, que significa 
registro e/ou exame” (ARIMA; GIL; NAKAMURA, 2013, p. 211). A palavra foi 
inserida no vocabulário dos negócios para indicar inspeção ou exame, que pode 
ser processado nos papéis ou nas operações registradas nos estabelecimentos 
industriais e comerciais. Tem a conotação de uma fiscalização organizada 
no próprio estabelecimento, que visa controlar os negócios que estão sendo 
realizados no cotidiano por meio de conferências e registros a qualquer momento.
Para uma correta compreensão do estudo de controle interno é importante 
entendermos que controle interno, controles internos e sistema ou estrutura de 
controle(s) interno(s) são expressões que possuem a mesma denotação, são 
sinônimos que representam um único objetivo dentro da organização, que é fazer 
referência ao processo composto pelo conjunto de políticas, pelas regras de 
52
 CONTROLES INTERNOS
estrutura organizacional e pelos procedimentos adotados dentro da entidade para 
vigiar, fiscalizar e verificar, permitindo criar mecanismos de correção, prevenção, 
direção e observação para eventos que possam impactar no alcance dos objetos 
da organização (TCU, 2018). 
Controlar pode ser definido como o ato de efetuar interferências no 
comportamento, processo ou sistema para verificar se está de acordo com o 
resultado pretendido. O procedimento de controle interno consiste na atuação 
de um determinado agente corretivo que atua diretamente no processo para 
balizar ou fazer com que se desenvolvam as atividades dentro dos padrões 
preestabelecidos (ARIMA; GIL; NAKAMURA, 2013).
Atividade de Estudos:
1) Algumas expressões têm a mesma denotação, sinônimos que 
têm o mesmo objetivo dentro da organização que é o de fazer 
referência ao processo composto pelo conjunto de políticas da 
organização. É importante conhecermos essas expressões para 
não termos dúvidas na hora de aplicá-las em nosso cotidiano. 
Sobre as expressões que possuem a mesma denotação,