gp auditoriaControle interno

Prévia do material em texto

DESCRIÇÃO
Discussão dos fundamentos de gerenciamento de riscos corporativos, do gerenciamento de controles
internos e dos riscos de uma auditoria.
PROPÓSITO
Compreender os aspectos históricos relativos à percepção da relevância do tratamento de riscos nas
organizações, assim como as principais referências de gerenciamento de riscos, como, por exemplo,
uma abordagem adotada nos procedimentos de auditoria, e de controles internos.
OBJETIVOS
MÓDULO 1
Descrever a retrospectiva histórica de questões relativas à construção do conhecimento em
gerenciamento de riscos e controles internos, assim como os principais referenciais de mercado
MÓDULO 2
Selecionar as principais características do referencial COSO 2017 integrado à estratégia e ao
desempenho da organização, além de seus respectivos componentes e princípios direcionadores
MÓDULO 3
Identificar as principais características do referencial COSO 2013, assim como seus respectivos
componentes e princípios direcionadores
MÓDULO 4
Descrever os riscos de uma auditoria
INTRODUÇÃO
 
Imagem: Pedro Hikaru
Vejamos como está estruturado o nosso estudo:
1
Inicialmente, faremos uma visita às origens históricas das questões que embasam o gerenciamento de
riscos. Para isso, apresentaremos os principais referenciais que abordam o gerenciamento de riscos e o
de controles internos. Também abordaremos o modelo de três linhas desenvolvido pelo Institute of
Internal Auditors (Instituto dos Auditores Internos.) (IIA).
2
Na abordagem do gerenciamento de riscos proposto pelo COSO (sigla americana de Committee of
Sponsoring Organizations of the Treadway Commission (Comitê das Organizações Patrocinadoras.) ),
compreenderemos a relação existente entre o gerenciamento de riscos corporativos, a estratégia de uma
organização e o seu desempenho. Veremos que o COSO 2107 é estruturado em componentes e
princípios que apoiam a estruturação de um sistema de gerenciamento de riscos integrado à estratégia e
ao desempenho de uma organização.
Quanto aos controles internos, descreveremos o COSO 2013, que trata do gerenciamento de controles
internos, os quais, por sua vez, são mecanismos de controle de atividades para evitar impactos
negativos no alcance de objetivos operacionais, de conformidade e de divulgação. De forma similar ao
COSO 2017, ele também é estruturado em componentes e princípios a serem apresentados de forma
mais detalhada.
3
Em seguida, listaremos os riscos existentes nos procedimentos de auditoria. Nessa linha, apontaremos
as situações que impactam na probabilidade de riscos de uma auditoria.
4
Por fim, destacaremos os quatro conceitos de risco (de distorção relevante, inerente, de controle e de
detecção), assim como demais procedimentos que colaboram para a coleta de evidências em
procedimentos de auditoria.
MÓDULO 1
 Descrever a retrospectiva histórica de questões relativas à construção do conhecimento em
gerenciamento de riscos e controles internos, assim como os principais referenciais de mercado
 
Imagem: Pedro Hikaru
ORIGEM HISTÓRICA
O gerenciamento de riscos permeia a atuação da humanidade desde os seus primórdios. A
compreensão de suas origens históricas e de sua evolução é útil para um melhor conhecimento e
aplicação dessa área de conhecimento.
Gerenciar riscos é uma consequência da reação do ser humano às forças externas do ambiente em que
vive. Essas forças, afinal, podem ser benéficas ou não contribuírem para a sua sobrevivência.
 
Imagem: Shutterstock.com
Ao compreendermos os marcos iniciais dos riscos, teremos referenciais que nos ajudarão a elucidar os
melhores caminhos a serem percorridos no futuro. Essa compreensão aplica-se não somente às grandes
questões da humanidade, mas também às organizações.
A concepção de prevenção é decorrente da evolução da racionalidade humana ao ter de lidar com
questões que instigam sua capacidade de adaptação para reconhecer e enfrentar riscos.
 
Imagem: Shutterstock.com
O êxito do ser humano – a partir do seu ancestral homo sapiens – em relação aos demais hominídeos
deu-se em função de sua adaptabilidade aos diferentes ambientes receptivos ou agressivos. Ela, aliás,
também é contemplada pela seleção genética que auxilia na evolução das espécies.
Constata-se que ele deixou de entender que o risco é uma consequência de fenômenos da natureza ou
de seres superiores que possam controlar o planeta Terra, vendo-o apenas como uma ocorrência que
pode ser dominada para melhor sobrevivência. Ao transpormos este patamar, tivemos a oportunidade de
alavancar o sistema econômico da sociedade.
 
Imagem: Shutterstock.com
 EXEMPLO
Um dos vestígios mais antigos que trata da preocupação com o risco pode ser constatado em um papiro
egípcio que descreve os cuidados que o trabalhador à época deveria ter com o uso de vestimentas para
proteger seus braços. Eles, afinal, eram uma fonte de obtenção de alimentos nas atividades agrícolas.
Com a evolução natural ocorrida, o homem passou a atuar em atividades de pastoreio e confecção de
artefatos pessoais, culminando na Revolução Industrial, época em que a prevenção de riscos pôde
mostrar sua relevância em razão dos diversos acidentes ocorridos nas linhas de produção.
Faremos uma breve cronologia da forma como o risco vem sendo tratado ao longo da história:
 
Imagem: Simanta Talukdar/Shutterstock.com
SÉCULO XIII A.C.
Ocorreram as primeiras indenizações em razão de inundações de propriedades e de roubos
patrimoniais.
 
Imagem: Shutterstock.com
SÉCULO XVII
Criação do seguro de incêndios na Inglaterra como forma de tratamento de risco.
 
Imagem: Shutterstock.com
1870
Com o advento da Revolução Industrial, iniciaram-se as tentativas de prevenção de acidentes, que
passaram a ocorrer frequentemente, por meio de melhorias dos equipamentos de proteção e das
instalações industriais.
 
Imagem: Shutterstock.com
1921
Frank Knight (1885-1972) lança uma publicação que trata de riscos, incertezas e lucros.
javascript:void(0)
 
Imagem: Shutterstock.com
1939-1945
A capacidade industrial foi considerada um ponto nevrálgico para que uma nação pudesse ser
vencedora na Segunda Guerra Mundial. Por essa razão, a segurança do trabalho, por intermédio de
ações de prevenção, passou a ser a tônica da época.
 
Imagem: Shutterstock.com
1952
Harry Markowitz demonstrou, por meio de métodos estatísticos, que colocar todos os ovos em uma cesta
oferece um risco maior do que atuar de forma diversificada.
 
Imagem: Shutterstock.com
1963
Robert Meher e Bob Hedges lançam no mercado uma publicação que tratava do gerenciamento de
riscos nas organizações.
 
Imagem: Shutterstock.com
DÉCADA DE 1970
A teoria da probabilidade desenvolvida no século XVII passa a ser aplicada como método quantitativo de
gerenciamento de riscos nas áreas de saúde, mercado financeiro e seguros.
 
Capa de um exemplar da revista Fortune. Imagem: Fortune / Time Inc.© / Time Warner Inc.©
1975
É lançada a revista americana Fortune, publicação que aborda a revolução decorrente do gerenciamento
de riscos. Ela definia uma forma de gerenciar riscos na organização que dependesse da atuação da alta
administração.
 
Imagem: Shutterstock.com
1992
Cria-se, nos Estados Unidos, um guia pioneiro no gerenciamento dos controles internos de uma
organização pelo comitê COSO. Já na Inglaterra, o Comitê Cadbury define que a alta administração
precisa definir, assegurar e monitorar o gerenciamento de riscos na organização.
 
Imagem: Shutterstock.com
1996
Peter Bernstein enfatiza que a abordagem de riscos baseada em métodos quantitativos é relevante;
todavia, ele frisa que a necessidade de uma abordagem holística na organização também deve ser
ressaltada.
 
Imagem: Paul Rand / Wikimedia commons / Domínio público
2001
A empresa americana Enron atua de forma fraudulenta em operações contábeis e financeiras com
apresentações de balanços patrimoniais falsos e lucros irreais.
 
Imagem: Shutterstock.com
2002
A atuação da Enron precipitoua aprovação da Lei Sarbanes-Oxley, que instituiu mecanismos de
governança que pudessem reduzir a ocorrência de fraudes.
 
Imagem: Shutterstock.com
2004
O Comitê COSO publica o Guia de gerenciamento de riscos corporativos.
 
Imagem: NBR ISO 31000. Imagem: Associação Brasileira de Normas Técnicas©.
2009
É publicada a Norma Técnica ISO 31000, que define os princípios e as diretrizes do gerenciamento de
riscos aplicáveis a qualquer tipo de organização.
 
Imagem: Shutterstock.com
2013
O Comitê COSO atualiza seu guia de controles internos.
 
Imagem: Shutterstock.com
2017
Lançado em 2004, o Guia de gerenciamento de riscos corporativos do Comitê COSO é atualizado com a
incorporação da estratégia e da mensuração de desempenho à sua estrutura.
FRANK KNIGHT
Tornou-se referência mundial na área por definir as bases conceituais do gerenciamento de riscos.
PRINCIPAIS REFERENCIAIS DE
GERENCIAMENTO DE RISCOS E CONTROLES
INTERNOS
No vídeo a seguir, o professor Pedro Hikaru Oishi comenta sobre os principais referenciais de
gerenciamento de riscos e controles internos. Vamos assistir!
O gerenciamento de riscos e controles internos nas organizações coopera para a aquisição dos
seguintes benefícios:

Maior alcance de resultados estratégicos.
Maior desempenho organizacional.


Maior eficácia em projetos.
Maior eficiência nos processos de trabalho.


Redução do gerenciamento de crises.
Maior percepção de valor aos clientes.

Esse gerenciamento nas organizações pode ser estruturado a partir de vários referenciais existentes no
mercado. Apresentaremos, de forma simplificada, aqueles desenvolvidos pelo COSO e pela IIA:
 
Imagem: Pedro Hikaru
 Referenciais de gerenciamento de riscos e controles internos.
COSO
Criado em 1985, o COSO é um comitê norte-americano sem fins lucrativos para implementar
mecanismos de controle e monitoramento de relatórios financeiros. Sua criação foi decorrente do grande
número de fraudes contábeis e financeiras ocorridas em anos anteriores.
Nessa linha de trabalho, ele é formado por cinco organizações do setor privado que se dedicam a liderar
iniciativas relativas ao gerenciamento de riscos corporativos, ao controle interno e à dissuasão de
fraudes por conta do desenvolvimento de frameworks (estruturas de trabalho) e recomendações.
Em sua atuação, o COSO disponibiliza os seguintes referenciais para serem utilizados pelas
organizações:
Controle interno – estrutura integrada (COSO 2013)

Gerenciamento de riscos corporativos integrados à estratégia e ao desempenho (COSO 2017)
O gerenciamento de riscos nas organizações em todo o mundo emprega intensivamente o conhecimento
consolidado por essa organização, que alcançou um grau maior de maturidade de suas propostas
utilizadas para combater as diversas fraudes contábeis e financeiras ocorridas nas últimas décadas.
Suas práticas, recomendações e guias são amplamente adotadas pelas organizações públicas ou
privadas, além de constituírem a base de pesquisas acadêmicas.
IIA
Ele é uma associação internacional de profissionais da área de auditoria interna que visa prover
condições profissionais e disseminar conhecimentos para os seus associados.
Seu espectro de atuação contempla as áreas de:
 
Imagem: Shutterstock.com
AUDITORIA INTERNA
 
Imagem: Shutterstock.com
GERENCIAMENTO DE RISCOS
 
Imagem: Shutterstock.com
GOVERNANÇA
 
Imagem: Shutterstock.com
CONTROLE INTERNO
 
Imagem: Shutterstock.com
AUDITORIA DE TI
 
Imagem: Shutterstock.com
EDUCAÇÃO
 
Imagem: Shutterstock.com
SEGURANÇA
COSO 2013 – CONTROLE INTERNO –
ESTRUTURA INTEGRADA
O controle interno, na definição do COSO , significa “um processo conduzido pela estrutura de
governança, administração e outros profissionais da entidade, desenvolvido para proporcionar segurança
razoável com respeito à realização dos objetivos relacionados a operações, divulgação e conformidade”.
Esse controle apresenta as seguintes características:
1
Possui processo dinâmico e interativo.
Perpassa toda a organização.
2
3
O controle interno deve estar integrado às funções administrativas (planejar, organizar, direcionar e
controlar).
Não é um processo com um fim em si próprio, servindo para garantir uma razoável segurança para a
entrega de valor.
4
5
Ele é implementado pela estrutura de governança e pela alta administração.
É customizável para todos os níveis organizacionais.
6
Observemos a estrutura do COSO 2013:
 
Imagem: COSO 2013
 Estrutura do COSO 2013.
Pode-se inferir que os objetivos organizacionais operacionais, de divulgação e de conformidade são
controlados e monitorados pelo ambiente de controle, pela avaliação de riscos, pela atividade de
controle, pela informação e comunicação e pela atividade de monitoramento em todos os níveis
hierárquicos da organização.
COSO 2017 – GERENCIAMENTO DE RISCOS
CORPORATIVOS INTEGRADOS À ESTRATÉGIA
E AO DESEMPENHO
Precisamos ressaltar a relevância da integração do gerenciamento de riscos corporativos no processo de
planejamento estratégico em todos os níveis organizacionais. Os riscos, afinal, influenciam a estratégia e
o desempenho da organização – e por eles também são influenciados.
Apresentaremos a seguir suas principais características:
 
Imagem: Shutterstock.com
Reformulação radical em relação ao COSO 2004.
 
Imagem: Shutterstock.com
Foco na criação e preservação de valor.
 
Imagem: Shutterstock.com
Tomada de decisões baseada em riscos.
 
Imagem: Shutterstock.com
Plano estratégico formulado de acordo com os riscos.
 
Imagem: Shutterstock.com
Sustentabilidade das ações.
 
Imagem: Shutterstock.com
Integração de gerenciamento de riscos, estratégia e desempenho da organização.
 
Imagem: Shutterstock.com
Estruturado em 5 componentes e 20 princípios.
A estrutura básica do COSO 2017 está representada na figura a seguir:
 
Imagem: COSO 2017
 Estrutura do COSO 2017.
 COMENTÁRIO
Nessa estrutura, constata-se que o gerenciamento de riscos, segundo a versão editada pelo COSO em
2017, é fortemente integrado à estratégia da organização e à melhoria de desempenho.
Essa estrutura é baseada nos seguintes componentes:
 
Imagem: Shutterstock.com
GOVERNANÇA E CULTURA
 
Imagem: Shutterstock.com
ESTRATÉGIA E DEFINIÇÃO DE OBJETIVOS
 
Imagem: Shutterstock.com
DESEMPENHO
 
Imagem: Shutterstock.com
ANÁLISE E REVISÃO
 
Imagem: Shutterstock.com
INFORMAÇÃO, COMUNICAÇÃO E DIVULGAÇÃO
Teremos a oportunidade de conhecer maiores detalhes desta estrutura em outro módulo.
MODELO DE TRÊS LINHAS
De acordo com o IIA, o modelo de três linhas ajuda as organizações a identificar estruturas e processos
que auxiliam da melhor maneira no atingimento dos objetivos e facilitam uma forte governança e um
gerenciamento de riscos.
Esse modelo é baseado em seis princípios que cooperam para uma estrutura de governança eficaz. As
três linhas referem-se às funções do órgão de governança, da gestão e da auditoria interna.
Nesse contexto, veremos agora os papéis desempenhados pela 1ª, 2ª e 3ª linha:
 
Imagem: Modelo do IIA
 Modelo de três linhas.
 SAIBA MAIS
Ele era conhecido originalmente como modelo de três linhas de defesa. Após passar por uma
reestruturação em 2020, passou a ser chamado somente de modelo de três linhas.
Esse modelo contempla as seguintes características:

Abordagem proativa em relação ao modelo anterior de “defesa”.
Maior independência da auditoria interna (reporta-se ao órgão de governança).


Definição mais clara dos papéis e das responsabilidades, assim como dos relacionamentos entre eles.
Foco nas necessidades e expectativas dos clientes e na geração de valor.


Modelo baseado em princípios alinhados aos objetivos organizacionais.
O modelo de três linhas contempla seis princípios:
GOVERNANÇA
Uma organização deve comportar processos e estruturas organizacionais que facilitem a prestação de
contas, as ações de gestão para a facilitação do alcance de objetivos e as atividadesde avaliação e
assessoria realizadas por uma auditoria independente.
PAPÉIS DO ÓRGÃO DE GOVERNANÇA
O órgão de governança da organização precisa assegurar a existência de estruturas e processos
organizacionais atuantes para a maior eficácia de sua governança.
Sua atuação também deve contribuir para que as ações estejam de acordo com as expectativas das
partes interessadas, além de oferecer condições para que os objetivos organizacionais sejam
alcançados, estando em conformidade com as normativas. Para uma maior confiabilidade na gestão,
esse princípio supervisiona a atuação da auditoria independente.
GESTÃO E OS PAPÉIS DA PRIMEIRA E SEGUNDA LINHAS
A gestão atua para efetuar tanto o gerenciamento de riscos (1ª linha), focado na entrega de produtos e
serviços, quanto o de riscos corporativos (2ª linha), que trata dos riscos que impactam no alcance de
objetivos organizacionais.
PAPÉIS DA TERCEIRA LINHA
A auditoria interna precisa ter condições para atuar em atividades de avaliação e assessoria em relação
à governança e ao gerenciamento de riscos.
A INDEPENDÊNCIA DA TERCEIRA LINHA
A auditoria interna deve atuar de forma independente na organização com base na prestação de contas
e no acesso incondicional às informações dela.
CRIANDO E PROTEGENDO VALOR
Todas as partes interessadas da organização têm de ser pautadas para a criação de valor por intermédio
de trabalho colaborativo e comunicação.
VERIFICANDO O APRENDIZADO
1. O CONTROLE INTERNO É UM PROCESSO CONDUZIDO PELA ESTRUTURA DE GOVERNANÇA.
COMPLETE O TEXTO A SEGUIR: “VISA PROPORCIONAR SEGURANÇA RAZOÁVEL COM
RESPEITO À REALIZAÇÃO DOS ____ RELACIONADOS A ____, DIVULGAÇÃO E ____”.
A) Parâmetros, eficácia, efetividade.
B) Projetos, conformidade, autenticidade.
C) Objetivos, operações, conformidade.
D) Controles, comunicação, confiabilidade.
E) Instrumentos, sustentabilidade, governança.
2. OS RISCOS INFLUENCIAM A ESTRATÉGIA E O DESEMPENHO DA ORGANIZAÇÃO, SENDO
POR ELES TAMBÉM INFLUENCIADOS. APONTE A ALTERNATIVA CORRETA.
A) Os riscos dependem da produtividade das estruturas de governança.
B) O COSO 2017 é integrado à estratégia.
C) O COSO 2017 é uma atualização do COSO 2013.
D) Uma organização que apresenta riscos não é uma organização confiável.
E) Os riscos são decorrentes de processos organizacionais descalibrados.
GABARITO
1. O controle interno é um processo conduzido pela estrutura de governança. Complete o texto a
seguir: “Visa proporcionar segurança razoável com respeito à realização dos ____ relacionados a
____, divulgação e ____”.
A alternativa "C " está correta.
O controle interno, na definição do COSO 2013, busca proporcionar uma segurança razoável no que diz
respeito à realização dos objetivos relacionados às operações, à divulgação e à conformidade.
2. Os riscos influenciam a estratégia e o desempenho da organização, sendo por eles também
influenciados. Aponte a alternativa correta.
A alternativa "B " está correta.
O diferencial do COSO 2017 em relação à sua versão anterior é a integração dele à estratégia da
organização.
MÓDULO 2
 Selecionar as principais características do referencial COSO 2017 integrado à estratégia e ao
desempenho da organização, além de seus respectivos componentes e princípios direcionadores
 
Imagem: Pedro Hikaru
ESTRATÉGIA DA ORGANIZAÇÃO E O
GERENCIAMENTO DE RISCOS
Desenvolvida pelo COSO em 2017, a última versão da estrutura de trabalho referente aos riscos
corporativos foi denominada “gerenciamento dos riscos corporativos – integrado à estratégia e ao
desempenho”.
 COMENTÁRIO
Para simplificarmos o emprego dessa terminologia, adotaremos neste tema a expressão “COSO 2017”
quando falarmos dessa estrutura.
O gerenciamento de riscos corporativos tem sua relevância ao cooperar para a:
Criação de valor decorrente da aceitação de riscos considerados razoáveis

Eliminação ou tratamento de riscos que possam acarretar a destruição de valor
 
Imagem: Pedro Hikaru
 Valor na organização.
Até o lançamento dessa estrutura, esse gerenciamento contemplava apenas a identificação e o
tratamento de riscos que tivessem um impacto no alcance da estratégia; contudo, os projetos e os
processos organizacionais destruíam valor pelo fato de nem sempre estarem alinhados à missão e à
visão da organização.
Na estrutura do COSO 2017, o risco, em todos os níveis organizacionais, é levado em consideração na
formulação de:
Estratégia
Alinhamento à missão, à visão e aos valores organizacionais
Mensuração do desempenho
Essa atualização teve o objetivo de atender às seguintes demandas:
 
Imagem: Shutterstock.com
Ressaltar a relevância do gerenciamento de riscos na formulação da estratégia.
 
Imagem: Shutterstock.com
Promover o alinhamento desse gerenciamento no desempenho da organização.
 
Imagem: Shutterstock.com
Atender às demandas de transparência e prestação de contas às partes interessadas.
 
Imagem: Shutterstock.com
Alinhar a tecnologia de informação às necessidades de informações para a tomada de decisões.
 COMENTÁRIO
Deve-se ressaltar que o gerenciamento de riscos não é uma função específica ou uma área funcional
dentro da organização. Trata-se, na verdade, de um conjunto de boas práticas, cultura organizacional e
competências que contribuem, de acordo com o apetite aos riscos com monitoramento do desempenho,
para a definição e a execução da estratégia e dos objetivos organizacionais.
Contemplando a estratégia, os objetivos organizacionais, os riscos e o desempenho, a estrutura do
COSO 2017 está representada na figura a seguir:
 
Imagem: COSO 2017
 Estrutura do COSO 2017.
O gerenciamento de riscos corporativos pode trazer os seguintes benefícios para a organização:

Ampliação do leque de oportunidades em função da identificação e da priorização de riscos positivos.
Visão sistêmica do gerenciamento de riscos, o que coopera para a melhoria do desempenho.


Incremento de resultados positivos a partir da identificação e do tratamento de riscos negativos.
Desempenho organizacional previsível, sem sobressaltos na produtividade e na qualidade de produtos e
serviços.


Aplicação eficiente de recursos.
Maior adaptabilidade da organização aos cenários adversos.

ESTRATÉGIA, RISCOS, VALOR E DESEMPENHO
No vídeo a seguir, o professor Pedro Hikaru Oishi apresenta a relação entre estratégia, riscos, valor e
desempenho. Vamos assistir!
Na abordagem do COSO 2017, o gerenciamento de riscos corporativos é integrado à definição da
estratégia, a qual, por sua vez, colabora para a definição de objetivos organizacionais. Com base nesses
objetivos, são estruturados os projetos e os processos organizacionais que devem entregar valor ao
cliente da organização.
Para garantir a sustentabilidade dessas ações, é necessário monitorar o desempenho e a execução da
estratégia com base nos riscos identificados, os quais, em seguida, passam a compor o portfólio de
riscos.
A operacionalização do COSO 2017 é baseada nos componentes e nos princípios apresentados abaixo:
Componente Princípios
Governança e cultura
- Fiscalização de riscos corporativos pelo órgão de
governança
- Definição de unidades organizacionais
- Definição da cultura da organização
- Comprometimento com valores fundamentais
Estratégia e definição de
objetivos
- Análise contextuai da organização em relação aos
riscos
- Definição do apetite aos riscos
- Avaliação de alternativas de estratégias
- Definição de objetivos organizacionais
Desempenho
- Identificação de riscos
- Análise da gravidade dos riscos
- Priorização de Riscos
- Implementação de respostas aos riscos
- Desenvolvimento de Portfolio de Riscos
Análise e revisão - Avaliação de mudanças significativas
- Revisão de riscos e desempenho
- Busca de melhorias no gerenciamento de riscos
corporativos
Informações, comunicação e
divulgação
- Estímulo à utilização de informações por meio da
tecnologia
- Comunicação dos riscos à informação
- Comunicação de riscos, da cultura organizacionale do
desempenho
 Atenção! Para visualização completa da tabela utilize a rolagem horizontal
Quadro: Componentes e princípios do COSO 2017.
Extraído de COSO 2017.
GOVERNANÇA E CULTURA
Nesse componente, a governança e a cultura se destacam como dois relevantes pilares que contribuem
para a definição de responsabilidades no gerenciamento de riscos e de valores éticos e
comportamentais desejáveis para a compreensão dos riscos em toda a organização.
Esse componente é baseado nos seguintes princípios:
 
Imagem: Shutterstock.com
FISCALIZAÇÃO DE RISCOS CORPORATIVOS PELO ÓRGÃO
DE GOVERNANÇA
O órgão de governança da organização tem de monitorar a definição da estratégia e de seus riscos
inerentes no alcance de seus objetivos organizacionais para servir como suporte aos gestores.
 
Imagem: Shutterstock.com
DEFINIÇÃO DE UNIDADES ORGANIZACIONAIS
A organização deve estruturar as unidades organizacionais que operam para o alcance da estratégia e
dos objetivos organizacionais.
 
Imagem: Shutterstock.com
DEFINIÇÃO DA CULTURA DA ORGANIZAÇÃO
A organização tem a incumbência de definir o perfil comportamental e ético que caracteriza suas
especificidades.
 
Imagem: Shutterstock.com
COMPROMETIMENTO COM VALORES FUNDAMENTAIS
Deve-se expressar de forma clara os valores que precisam permear uma organização.
 
Imagem: Shutterstock.com
GESTÃO POR COMPETÊNCIA ALINHADA COM A
ESTRATÉGIA E OS OBJETIVOS ORGANIZACIONAIS
Em busca de maior valor agregado, a organização deve se comprometer a atrair e desenvolver pessoas
que possam alinhar-se à estratégia e aos objetivos organizacionais dela.
ESTRATÉGIA E DEFINIÇÃO DE OBJETIVOS
Para uma maior entrega de valor, o gerenciamento de riscos corporativos deve ser integrado à estratégia
e à definição de objetivos organizacionais no processo de formulação do plano estratégico da
organização.
Nesse contexto, o apetite aos riscos, isto é, o nível aceitável de tolerância a eles, é definido com a
estratégia, a qual, por sua vez, direciona essa definição dos objetivos que retroalimentam a avaliação e a
resposta aos riscos.
Para que a estratégia e a definição de objetivos sejam estruturadas de forma eficaz, os seguintes
princípios precisam ser observados:
ANÁLISE CONTEXTUAL DA ORGANIZAÇÃO EM RELAÇÃO
AOS RISCOS
A organização tem de analisar os riscos que compõem sua área de atuação para a construção do mapa
de gerenciamento de riscos corporativos.
DEFINIÇÃO DO APETITE AOS RISCOS
Para a criação e a preservação de valor, deve-se analisar os riscos a fim de definir um nível aceitável
deles que a organização se propõe a tolerar.
AVALIAÇÃO DE ALTERNATIVAS DE ESTRATÉGIAS
Avaliam-se as possíveis alternativas de formulação das estratégias de acordo com o apetite aos riscos
da organização.
DEFINIÇÃO DE OBJETIVOS ORGANIZACIONAIS
A partir da definição de estratégia baseada no apetite aos riscos, a organização parte para a definição de
objetivos organizacionais, que, aliás, devem atuar em todos os níveis.
DESEMPENHO
Na abordagem do COSO 2017 o gerenciamento de riscos corporativos é integrado ao desempenho
organizacional. Nesse sentido, todas as ações desenvolvidas devem estar conectadas ao apetite aos
riscos.
Por essa razão, o desempenho se apoia nos seguintes princípios:

IDENTIFICAÇÃO DE RISCOS
São identificados aqueles que podem impactar no desempenho da organização quanto à estratégia e
aos objetivos organizacionais dela.
ANÁLISE DA GRAVIDADE DOS RISCOS
É analisada a gravidade dos riscos que atingem a execução da estratégia e a eficácia de processos no
alcance dos objetivos organizacionais.


PRIORIZAÇÃO DE RISCOS
Com base no apetite aos riscos, a organização prioriza aqueles que ela considera aceitáveis para a
criação ou a preservação de valor.
IMPLEMENTAÇÃO DE RESPOSTAS AOS RISCOS
Uma vez definidos os riscos aceitáveis, são estruturadas formas de tratamento dos riscos priorizados.


DESENVOLVIMENTO DE PORTFÓLIO DE RISCOS
Com os riscos priorizados pela organização, assim como suas respectivas formas de tratamento,
desenvolve-se um portfólio de risco. Ele deve ser avaliado continuamente para a preservação e a criação
de valor.
ANÁLISE E REVISÃO
A análise do desempenho permite que a organização avalie os componentes do gerenciamento de riscos
corporativos a fim de que, quando requeridas, sejam promovidas mudanças de curso.
Para estruturar a análise e a revisão, os princípios dispostos a seguir devem ser seguidos:
 
Imagem: Shutterstock.com
AVALIAÇÃO DE MUDANÇAS SIGNIFICATIVAS
Consiste na identificação de mudanças que impactam de forma significativa a estratégia e o alcance de
objetivos organizacionais.
 
Imagem: Shutterstock.com
REVISÃO DE RISCOS E DESEMPENHO
O desempenho da organização e os riscos que passaram a ser incorporados ao portfólio de riscos têm
de ser constantemente monitorados, assim como a possibilidade de aparecimento de novos riscos.
 
Imagem: Shutterstock.com
BUSCA DE MELHORIAS NO GERENCIAMENTO DE RISCOS
CORPORATIVOS
Integrado à estratégia e ao desempenho da organização, o gerenciamento de riscos deve ser tratado
como um processo de trabalho contínuo que, de acordo com os cenários interno e externo, requer
aprimoramentos.
INFORMAÇÕES, COMUNICAÇÃO E
DIVULGAÇÃO
O gerenciamento de riscos corporativos precisa ter como base de interação entre as partes interessadas
a geração de informações, a comunicação por meio de diversos canais e a divulgação das citadas
informações.
Para que as três sejam viáveis, devem ser considerados, em conformidade com as recomendações do
COSO 2017, estes princípios:
Estímulo à utilização de informações por meio da tecnologia
O gerenciamento de riscos corporativos é afetado de forma positiva pela ampla utilização da tecnologia
nas diversas etapas de gestão da informação dentro da organização.
Comunicação dos riscos à informação
Todos os riscos que podem impactar na transparência ou na legitimidade das informações têm de ser
comunicados às partes interessadas.
Comunicação de riscos, da cultura organizacional e do desempenho
A organização deve, em todos os níveis organizacionais, comunicar regularmente às partes interessadas
informações relativas aos riscos, à cultura organizacional e ao desempenho.
TENDÊNCIAS DO GERENCIAMENTO DE RISCOS
CORPORATIVOS
Em função do cenário de alta competitividade entre as organizações, o que implica uma adaptabilidade
aos diversos fatores dos cenários interno e externo, o gerenciamento de riscos não pode prescindir das
inovações proporcionadas por boas práticas de governança e gestão e dos recursos oferecidos pela
tecnologia de informação.
Nesse compasso, quatro tendências devem ser avaliadas quanto à conveniência de uma integração aos
princípios desse gerenciamento:
 
Imagem: Shutterstock.com
Aumento exponencial das informações
As informações disponíveis para todos os usuários de serviços de informação crescem de forma
exponencial a cada ano.
As organizações devem se adaptar a essa realidade; do contrário, elas estão sob o risco de sucumbir
por falta de informações que possam subsidiar a formulação de estratégias e objetivos organizacionais.
 
Imagem: Shutterstock.com
Aplicação da inteligência artificial em diversas áreas de conhecimento
A inteligência artificial deixou de ser um conhecimento específico utilizado em métodos quantitativos para
ser utilizada em todas as áreas de conhecimento. Sua taxa de erros já é menor do que a de ações
efetuadas por um ser humano.
Exemplo: A partir de uma vasta quantidade de informações, os algoritmos de inteligência artificial podem
efetuar inferências quanto à melhor maneira de se efetivar o tratamento de riscos organizacionais.
 
Imagem: Shutterstock.com
Gerenciamento de custos dos riscos organizacionais
Com a crescente utilização do gerenciamento de riscos para a maximização na criação de valor e na
redução de sua destruição, o de custos organizacionais acaba encontrando pontos de intersecção com o
custo daquele que é aplicado aos riscos.Exemplo: Uma organização pode, de forma mais assertiva, mensurar os benefícios decorrentes da
implementação de estruturas de trabalho que deem tratamento aos riscos organizacionais.
 
Imagem: Shutterstock.com
Fortalecimento das organizações em cenários adversos
A alta competitividade existente entre as organizações, que caminham por uma trilha pautada pela
necessidade de maior eficiência e eficácia dos processos organizacionais, enseja um cenário de maior
resiliência delas.
Exemplo: Isso pode ser proporcionado por um gerenciamento de riscos integrado à estratégia e ao
desempenho.
VERIFICANDO O APRENDIZADO
1. A GOVERNANÇA E A CULTURA SÃO DOIS RELEVANTES PILARES QUE CONTRIBUEM PARA A
DEFINIÇÃO DE RESPONSABILIDADES NO GERENCIAMENTO DE RISCOS E DE VALORES
ÉTICOS E COMPORTAMENTAIS DESEJÁVEIS PARA A COMPREENSÃO DOS RISCOS EM TODA A
ORGANIZAÇÃO. INDIQUE UM PRINCÍPIO QUE INTEGRA ESSE COMPONENTE DO COSO 2017.
A) Independência de gestores.
B) Definição da cultura da organização.
C) Estruturas organizacionais eficazes.
D) Avaliação da produtividade da organização.
E) Produtividade por demanda.
2. “O GERENCIAMENTO DE RISCOS CORPORATIVOS DEVE TER COMO BASE DE INTERAÇÃO
ENTRE AS PARTES INTERESSADAS A GERAÇÃO DE INFORMAÇÕES, COMUNICAÇÃO POR
MEIO DE DIVERSOS CANAIS E A DIVULGAÇÃO DAS CITADAS INFORMAÇÕES.” APONTE A
ALTERNATIVA QUE REPRESENTA UM PRINCÍPIO RELACIONADO COM A FRASE APRESENTADA.
A) Informação de riscos sob controle.
B) A comunicação é o canal de informação.
C) Tecnologia da comunicação para todos.
D) Sustentabilidade de comunicação.
E) Comunicação de riscos, da cultura organizacional e do desempenho.
GABARITO
1. A governança e a cultura são dois relevantes pilares que contribuem para a definição de
responsabilidades no gerenciamento de riscos e de valores éticos e comportamentais desejáveis
para a compreensão dos riscos em toda a organização. Indique um princípio que integra esse
componente do COSO 2017.
A alternativa "B " está correta.
A definição da cultura de organização é um dos princípios deste componente do COSO 2017:
“governança e cultura”.
2. “O gerenciamento de riscos corporativos deve ter como base de interação entre as partes
interessadas a geração de informações, comunicação por meio de diversos canais e a divulgação
das citadas informações.” Aponte a alternativa que representa um princípio relacionado com a
frase apresentada.
A alternativa "E " está correta.
A comunicação de riscos, da cultura organizacional e do desempenho é um dos princípios do
componente “informações, comunicação e divulgação”.
MÓDULO 3
 Identificar as principais características do referencial COSO 2013, assim como seus
respectivos componentes e princípios direcionadores
 
Imagem: Pedro Hikaru
GESTÃO DA ORGANIZAÇÃO E CONTROLE
INTERNO
Uma organização, para atender à sua missão e à sua visão, tem de estabelecer, por meio de projetos e
processos organizacionais, objetivos alinhados à sua estratégia, a qual, por sua vez, define as diretrizes
que precisam pautar a atuação da organização no atendimento aos princípios de:
EFICIÊNCIA
EFICÁCIA
EFETIVIDADE
ECONOMICIDADE
Nessa busca de aprimoramento, devem ser definidos os objetivos organizacionais que cooperam para a
operacionalização de ações alinhadas estrategicamente. Na estrutura do COSO 2013, eles podem ser
classificados em três categorias:
OBJETIVOS OPERACIONAIS
Referem-se à eficácia e à eficiência dos processos organizacionais.
OBJETIVOS DE DIVULGAÇÃO
Tratam de objetivos que visam promover a prestação de contas e a transparência das ações da
organização.
OBJETIVOS DE CONFORMIDADE
A conformidade relaciona-se com a aderência da organização às normas, oriundas da legislação vigente,
de órgãos de regulamentação ou de origem interna.
De acordo com o COSO 2013, o controle interno é caracterizado como um processo conduzido pela
estrutura de governança, administração e outros profissionais da entidade, sendo desenvolvido para
proporcionar uma segurança razoável na realização de objetivos relacionados às operações, à
divulgação e à conformidade.
Esse controle atua na estruturação para identificar e avaliar os riscos; no entanto, o tratamento efetivo é
de responsabilidade de gestores e funcionários das áreas específicas da organização.
javascript:void(0)
javascript:void(0)
javascript:void(0)
Nas situações em que o controle interno é implementado em sua integralidade, a organização
consegue colher os seguintes benefícios:
 
Imagem: Shutterstock.com
Divulgação de informações legítimas e confiáveis para a tomada de decisões.
 
Imagem: Shutterstock.com
Maior eficiência operacional dos processos organizacionais.
 
Imagem: Shutterstock.com
Processamento e transparência de informações em todos os níveis da organização.
 
Imagem: Shutterstock.com
Foco em riscos que ultrapassam os limites de tolerância definidos por ela.
Apesar dos esforços empreendidos pelo controle interno, devemos ressaltar que o espectro de sua
atuação é limitado por depender dos seguintes fatores:
1
Definição de objetivos organizacionais adequados à realidade da organização.
Falha humana na tomada de decisões.
2
3
Possibilidade de a administração ou a força de trabalho não adotar os mecanismos de controle.
Veremos que a estrutura do COSO 2013 contempla objetivos organizacionais, componentes e diversos
níveis hierárquicos dentro de uma organização:
 
Imagem: COSO 2013
 Estrutura do COSO 2013.
Na estrutura apresentada, temos as três faces do cubo representando:
OS OBJETIVOS ORGANIZACIONAIS
OS COMPONENTES DO CONTROLE INTERNO
OS DIVERSOS NÍVEIS HIERÁRQUICOS DA ORGANIZAÇÃO
 COMENTÁRIO
Com base na primeira figura do nosso estudo, pode-se concluir que os objetivos organizacionais
operacionais, de divulgação e de conformidade são controlados e monitorados pelo ambiente de
controle, pela avaliação de riscos, pela atividade de controle, pela informação e comunicação e pela
atividade de monitoramento em todos os níveis hierárquicos da organização.
Para que o controle interno seja operacionalizado de forma eficaz, é necessária a atuação de cinco
componentes:
 
Imagem: Shutterstock.com
AMBIENTE DE CONTROLE
 
Imagem: Shutterstock.com
AVALIAÇÃO DE RISCOS
 
Imagem: Shutterstock.com
ATIVIDADE DE CONTROLE
 
Imagem: Shutterstock.com
INFORMAÇÃO E COMUNICAÇÃO
 
Imagem: Shutterstock.com
ATIVIDADE DE MONITORAMENTO
Esses componentes são direcionados de acordo com princípios específicos. Eles, por sua vez,
desdobram-se em outros 17 princípios:
Componente Princípios
Ambiente de
controle
- Comprometimento da organização com a ética.
- Unidades organizacionais e profissionais de governança atuam de forma
independente e monitoram o controle interno.
- As estruturas organizacionais são definidas para alcance dos objetivos,
com apoio da estrutura de governança.
- Comprometimento na gestão por competências, no alcance de objetivos.
- Comprometimento de atuação no controle interno, no alcance de objetivos.
Avaliação de
riscos
- Definição clara de objetivos organizacionais para identificação e
tratamento de riscos.
- Identificação e análise de riscos em toda organização para definição da
forma de tratamento destes riscos.
- Percepção de fraude na avaliação de riscos.
- Identificação e avaliação de ocorrências que impactem no sistema de
controle interno.
Atividades de
controle
- Operacionalização de atividades de controle para níveis aceitáveis de
riscos.
- Desenvolvimento de atividades de controle de tecnologia para alcance dos
objetivos organizacionais.
- Estabelecimento de diretrizes e processos para atividades de controle.
Informação e
comunicação
- Obtenção e utilização de informações de qualidade para suporte do
controle interno.
- Divulgação de informações de apoio ao controle interno.
- Prestação de contas para o público externo acerca de questões que
impactam no controle interno.
Atividade de
monitoramento
- Avaliação contínua e independente do controle interno.- Comunicação de falhas ou deficiências no controle interno aos
responsáveis, ou quando for o caso, à alta administração e à estrutura de
governança.
 Atenção! Para visualização completa da tabela utilize a rolagem horizontal
Quadro: Componentes e princípios do COSO 2013.
Elaborado por Pedro Hikaru.
AMBIENTE DE CONTROLE
O ambiente de controle refere-se aos processos e às estruturas organizacionais atuantes de acordo com
as normas definidas para a operacionalização do controle interno. Devem ser definidas regras de
negócios do controle interno em todos os processos nos níveis hierárquicos.
O ambiente de controle do COSO 2013 é baseado nos seguintes princípios:
Comprometimento da organização com a ética.
Unidades organizacionais e profissionais de governança atuam de forma independente e monitoram o
controle interno.
As estruturas organizacionais são definidas para o alcance dos objetivos, contando com o apoio da
estrutura de governança.
Há um comprometimento na gestão por competências para o alcance de objetivos.
Existe um comprometimento de atuação no controle interno para o alcance de objetivos.
O ambiente de controle está intimamente ligado aos valores éticos, à integridade de atuação e às
competências das pessoas na condução de atividades que não estão ligadas diretamente à entrega de
produtos e serviços. Ele busca validar o comprometimento da organização em todos os seus níveis
com os seus objetivos.
O AVALIAÇÃO DE RISCOS
No vídeo a seguir, o professor Pedro Hikaru Oishi fala sobre a avaliação de riscos. Vamos assistir!
Uma organização, em suas atividades de gestão, passa por eventos de riscos que podem impactar no
alcance de resultados. Para que sejam tomadas medidas de tratamento de tais eventos de forma
tempestiva, é necessário que o processo de avaliação de riscos transcorra de forma dinâmica em
relação à ocorrência de um evento com potencial para prejudicar o alcance de objetivos
organizacionais.
OBJETIVOS ORGANIZACIONAIS
Precisam estar definidos em uma etapa anterior à da identificação e do tratamento de riscos.
Para que a avaliação de riscos seja realizada de maneira satisfatória, devem ser atendidos os seguintes
princípios:
 
Imagem: Shutterstock.com
Definição clara de objetivos organizacionais para a identificação e o tratamento de riscos.
javascript:void(0)
 
Imagem: Shutterstock.com
Identificação e análise de riscos em toda a organização para a definição da forma de tratamento deles.
 
Imagem: Shutterstock.com
Percepção de fraude na avaliação deles.
 
Imagem: Shutterstock.com
Identificação e avaliação de ocorrências que impactem no sistema de controle interno.
Para que a avaliação de riscos contribua para o controle interno, ela precisa estar inserida de forma
alinhada aos objetivos organizacionais, situação em que pode contribuir para a redução de impactos
negativos.
Deve-se compreender que a avaliação de riscos ocorre em função de duas principais variáveis:
PROBABILIDADE DE OCORRÊNCIA
Com base em métodos quantitativos ou até mesmo empíricos, pode-se analisar a probabilidade da
ocorrência de um risco capaz de impactar no alcance de objetivos organizacionais.
javascript:void(0)
IMPACTO DE OCORRÊNCIA
A ocorrência de um evento de risco na execução de um processo pode trazer um pequeno ou grande
impacto no alcance de objetivos organizacionais.
Já a criticidade corresponde ao produto matemático da probabilidade de ocorrência e do seu impacto. A
partir da criticidade do risco, uma organização precisa efetivar sua avaliação para fins de identificação de
riscos e respectivas formas de tratamento.
De acordo com o risco identificado, ela pode adotar uma destas formas de tratamento:
 
Imagem: Shutterstock.com
ACEITAR
Não é executada nenhuma ação de tratamento de riscos. A organização entende que o risco é aceitável
e não traz grande impacto para determinado processo de trabalho.
 
Imagem: Shutterstock.com
EVITAR
javascript:void(0)
O processo organizacional que implica riscos organizacionais é suprimido da organização. Essa medida,
apesar de suprimir o risco, pode impedir, por exemplo, que ela implemente iniciativas de inovação ou
melhorias.
 
Imagem: Shutterstock.com
REDUZIR
Essa forma de tratamento refere-se à redução do impacto ou da probabilidade de ocorrência do risco. Tal
abordagem está vinculada a tratativas específicas para cada situação de risco.
 
Imagem: Shutterstock.com
COMPARTILHAR
A redução do impacto ou da probabilidade de ocorrência do risco pode ocorrer por meio da transferência
dele para terceiros. Um exemplo clássico é a contratação de seguros.
ATIVIDADES DE CONTROLE
As atividades de controle são criadas para o tratamento dos riscos que possam gerar um impacto no
alcance de objetivos organizacionais. Sua implementação é efetuada em todos os níveis hierárquicos da
organização com base em normas e políticas definidas.
Esse componente pode contemplar a adoção das seguintes atividades:
Segregação de funções
Verificações de atividades
Implementação de instâncias de autorizações
Plano de continuidade de negócios
Definição de indicadores e metas de desempenho
Controles físicos
No bojo das atividades de controle, estão dispostos os seguintes princípios:
 
Imagem: Shutterstock.com
Operacionalização de atividades de controle para níveis aceitáveis de riscos.
 
Imagem: Shutterstock.com
javascript:void(0)
javascript:void(0)
Desenvolvimento de atividades de controle de tecnologia para o alcance dos objetivos organizacionais.
 
Imagem: Shutterstock.com
Estabelecimento de diretrizes e processos para essas atividades.
Usualmente, as atividades de controle não são implementadas quando a organização opta por aceitar ou
evitar determinado risco. A situação será diversa quando ela preferir reduzir ou compartilhá-lo: tais
atividades, conforme seu nível aceitável de riscos, deverão se fazer presentes.
Na implementação dessas atividades, são analisadas as seguintes questões:
 
Imagem: Shutterstock.com
COMPLETUDE
Verificação da extensão de execução dos processos organizacionais.
javascript:void(0)
 
Imagem: Shutterstock.com
EXATIDÃO
Análise da eficácia do processo organizacional.
 
Imagem: Shutterstock.com
VALIDADE
Verificação da efetividade do processo organizacional.
INFORMAÇÃO E COMUNICAÇÃO
A organização atua por meio de comunicações internas e externas que devem contribuir para o alcance
de objetivos. As informações devem ser legítimas e de qualidade para que possam ser divulgadas pelo
processo de comunicação. A geração e a divulgação delas, por fim, precisam ser garantidas por ela na
operacionalização do controle interno.
Esse componente segue os seguintes princípios:
1
Obtenção e utilização de informações de qualidade para o suporte do controle interno.
Divulgação de informações de apoio ao controle interno.
2
3
Prestação de contas para o público externo acerca de questões que impactam no controle interno.
Já a qualidade das informações é assegurada a partir do cumprimento dos seguintes requisitos:
Acessíveis às partes interessadas.
Confiáveis e atuais.
Asseguradas por boas práticas de segurança da informação.
Legítimas e apoiadas em formas de verificação.
Quanto ao método de comunicação, é preciso observar os seguintes pontos:
Cuidados no tom de voz e na comunicação não verbal existente em uma verbal.
Diferenças culturais, étnicas, sociais e econômicas, entre outras, podem influenciar na recepção de
mensagens enviadas. Deve-se assegurar que tais diferenças não contribuem para o erro de
interpretação da mensagem.
Avaliação da conveniência de métodos formais ou informais de acordo com o público-alvo.
Diante do retrospecto histórico de fraudes contábeis e financeiras ocorridas em todo o mundo, as
organizações passaram a ser mais demandadas para uma atuação mais transparente na prestação de
contas. Essa mudança de postura colaborou para o aprimoramento do processo de criação e
comunicação das informações na administração pública e nainiciativa privada.
 SAIBA MAIS
Propostas de referenciais de governança do Tribunal de Contas da União e do Instituto Brasileiro de
Governança Corporativa fortaleceram o processo de comunicação das organizações com o público
externo.
ATIVIDADES DE MONITORAMENTO
Para que os cinco componentes do controle interno estejam em operação da forma planejada, devem
ser executadas atividades de monitoramento para a correção de rumos, o cancelamento ou a
substituição de atividades.
Essas atividades podem ser realizadas de forma contínua, durante a execução da atividade, ou por uma
avaliação independente, que é conduzida por auditorias internas e externas.
Nas atividades de monitoramento, são respeitados os seguintes princípios:
Avaliação contínua e independente do controle interno

Comunicação de falhas ou deficiências nesse controle aos responsáveis ou, quando for o caso, à alta
administração e à estrutura de governança
VERIFICANDO O APRENDIZADO
1. COMPLETE O TEXTO A SEGUIR: “UMA ____, PARA ATENDER À SUA ____ POR MEIO DE
PROJETOS E PROCESSOS ORGANIZACIONAIS, DEVE ESTABELECER OBJETIVOS ALINHADOS
À SUA ____”.
A) Diretoria, programação, necessidade.
B) Avaliação, contabilidade, conformidade.
C) Organização, missão e visão, estratégia.
D) Estratégia, conformidade, ambição.
E) Assessoria, sustentabilidade, competência.
2. OS TRÊS CUBOS DO COSO 2013 REPRESENTAM AS SEGUINTES VARIÁVEIS:
A) Objetivos organizacionais, componentes e níveis hierárquicos da organização.
B) Eficácia, eficiência e efetividade.
C) Estratégia, processos e projetos.
D) Projetos, processos e indicadores.
E) Processos, indicadores e metas.
GABARITO
1. Complete o texto a seguir: “Uma ____, para atender à sua ____ por meio de projetos e
processos organizacionais, deve estabelecer objetivos alinhados à sua ____”.
A alternativa "C " está correta.
O alinhamento dos objetivos à estratégia por meio de projetos e processos atende à missão e à visão de
uma organização.
2. Os três cubos do COSO 2013 representam as seguintes variáveis:
A alternativa "A " está correta.
As três faces do cubo representam, de acordo com o COSO 2013, os objetivos organizacionais, os
componentes e os níveis hierárquicos da organização.
MÓDULO 4
 Descrever os riscos de uma auditoria
 
Imagem: Pedro Hikaru
RISCOS DE AUDITORIA
Deve-se diferenciar preliminarmente a auditoria de riscos na organização, cujo objeto está alinhado com
sua forma de gerenciamento, dos riscos de auditoria, que dizem respeito aos de uma auditoria gerar
opiniões que não retratam as distorções de informações financeiras e contábeis, as quais, aliás, também
podem conter fraudes e erros acima do aceitável.
O risco de auditoria está presente em todas as etapas de planejamento, execução e apresentação de
resultados de uma delas. Ele constitui a probabilidade de existências de falhas ou erros que não são
detectados durante uma auditoria.
O risco de auditoria é uma função dos riscos:
INERENTES
DE CONTROLE
DE DETECÇÃO
Os três serão detalhados nos próximos tópicos.
No exercício de suas atividades, o auditor tem de estipular o grau de certeza que deve ser alcançado
para que, dependendo do caso de uma auditoria interna ou externa, seja possível emitir uma
recomendação ou uma opinião. Sua valoração é altamente subjetiva, razão pela qual isso pode ensejar
diversas interpretações.
 
Imagem: Shutterstock.com
 EXEMPLO
O auditor pode querer 90% de certeza de seus achados. Neste caso, incorre-se em 10% de risco de
auditoria.
Comumente, aceita-se o valor de 5% de riscos. Como eles podem ser gerados dentro ou fora da
organização, o auditor precisa identificá-los e avaliá-los para uma maior eficácia da auditoria.
O risco de auditoria pode ser decorrente de nove fatores:
 
Imagem: Shutterstock.com
ÁREA DE ATUAÇÃO
A área de atuação em que a organização está inserida contribui para um nível mais baixo ou mais alto
de auditoria.
Exemplo: uma área com alto grau de maturidade contribui para um nível mais baixo; entretanto, uma
área de atuação nova no mercado, com alta sensibilidade a fatores externos, pode ensejar um risco mais
alto.
 
Imagem: Shutterstock.com
FILOSOFIA DE GESTÃO
Quanto mais conservadora a gestão de uma organização, maior a probabilidade de riscos de auditoria
mais baixos, isto é, uma organização focada em uma gestão mais agressiva pode implicar riscos mais
altos.
 
Imagem: Shutterstock.com
CONTROLES INTERNOS
Uma organização provida de um sistema de controles internos pode cooperar para um nível mais baixo
de riscos em detrimento de outra que não adota tais controles em suas operações financeiras e
contábeis.
 
Imagem: Shutterstock.com
HISTÓRICO DE AUDITORIAS ANTERIORES
A inexistência de um histórico ou de uma opinião com ressalvas pode contribuir para riscos mais altos,
porém opiniões limpas com poucos ajustes podem trazer riscos mais baixos.
 
Imagem: Shutterstock.com
ROTATIVIDADE DE DIREÇÃO
Uma alta rotatividade de direção pode significar a não continuidade de uma gestão, gerando riscos mais
altos. De forma contrária, a continuidade dela pode contribuir para que eles sejam mais baixos.
 
Imagem: Shutterstock.com
LITIGIOSIDADE COM FUNCIONÁRIOS E OUTRAS
ORGANIZAÇÕES
Uma maior litigiosidade pode significar uma gestão mais conturbada e com o potencial de apresentar
riscos altos de auditoria. No entanto, se ela for baixa, poderá trazer como consequência riscos menores.
 
Imagem: Shutterstock.com
REPUTAÇÃO DOS GESTORES
Uma organização cujos gestores preocupados estão com sua reputação pode ter como fruto direto uma
preocupação com boas práticas de gestão e, consequentemente, baixos riscos. Já aqueles que não se
preocupam com sua reputação podem não ter a mesma atenção com ela e, com isso, acarretar riscos
altos de auditoria.
 
Imagem: Shutterstock.com
COMPREENSÃO DO PAPEL DA AUDITORIA
Uma compreensão do papel da auditoria traz em seu bojo um melhor preparo dos gestores, o que
implicitamente pode cooperar para a melhor geração de relatórios com um menor índice de falhas e
erros e um baixo risco de auditoria.
Já nos casos de pouco conhecimento ou desconhecimento, os riscos passam a ser mais altos.
 
Imagem: Shutterstock.com
CONFLITO DE INTERESSES
O conflito de interesses dos gestores de uma organização contribui para um quadro de riscos maiores
que uma situação demarcada pela ausência de conflitos, o que, por si só, já implica riscos mais baixos.
TIPOS DE RISCOS ENVOLVIDOS NA AUDITORIA
No vídeo a seguir, o professor Pedro Hikaru Oishi comenta sobre os tipos de riscos envolvidos na
auditoria. Vamos assistir!
PROCESSO DE AUDITORIA
Ele pode ser afetado pelos seguintes tipos de riscos:
RISCO DE DISTORÇÃO RELEVANTE
Presentes nas demonstrações contábeis anteriores ao processo de auditoria, eles se encontram
presentes nos registros contábeis. Esse tipo de risco é decorrente de dois riscos: o inerente e de
controle.
RISCO INERENTE
Ele é vinculado à própria natureza da conta: quanto maior for a complexidade de sua natureza para fins
de interpretação, maior será o risco inerente.
Exemplo: um cálculo mais complexo de uma conta tem um risco inerente maior que um simples.
RISCO DE CONTROLE
O risco de controle refere-se ao grau de eficácia dos controles definidos para determinada operação. É o
risco que pode ocorrer, mesmo com a existência do controle interno. Quanto maior o controle, menor o
risco dele.
RISCO DE DETECÇÃO
Refere-se ao risco de o auditor não detectar distorções existentes.
Exemplo: trata-se do procedimento de reduzir os riscos de uma auditoria não conseguir detectar uma
distorção relevante, individual ou conjugada com outras distorções.
RELAÇÃO ENTRE OS RISCOS
Veremos agora a relação entre os riscos inerentes, de controle, de detecção e de auditoria:
 
Imagem: Pedro Hikaru
 Relação entre os riscos.
MATERIALIDADE
Os riscos são mensurados em função da:
Materialidade a ser definida pelo auditor de acordo com as circunstâncias particulares e específicasde
cada organização na seleção de assuntos

Extensão e natureza das distorções
A materialidade pode variar conforme a auditoria e ter aspectos qualitativos além dos quantitativos. Sua
definição depende da percepção do auditor em relação às informações de ordem financeira dos usuários
das demonstrações contábeis.
A materialidade e os riscos devem ser analisados de forma proporcional inversa, isto é, quanto maiores
os riscos, menor a materialidade. Segundo a mesma lógica, podemos dizer que, quanto menores eles
forem, maior ela será.
 ATENÇÃO
Os riscos de auditoria podem ser mantidos em um nível aceitável baixo, mas eles nunca poderão ser
zerados; afinal, todo trabalho implica a existência deles.
PROCEDIMENTOS DE AVALIAÇÃO DE RISCOS
De acordo com a norma NBC TA 315 (R1) do Conselho Federal de Contabilidade, os procedimentos de
avaliação de riscos são o conjunto de procedimentos utilizados para identificar e avaliar os riscos de uma
distorção relevante nas demonstrações contábeis e nas afirmações.
 
Imagem: Norma MBC TA 315 (R1)
 Procedimentos de avaliação de riscos.
Esses procedimentos são os primeiros a serem executados pelo auditor no processo de auditoria.
Falaremos a seguir sobre três deles:
INDAGAÇÕES À ADMINISTRAÇÃO
Referem-se aos procedimentos de indagação às pessoas que disponham de informações que possam
ajudar na identificação de riscos relevantes por fraude ou erro.
PROCEDIMENTOS ANALÍTICOS
Tratam daqueles referentes à avaliação da relação entre dados financeiros e não financeiros. Essa
correlação pode elucidar questões esclarecedoras no processo de auditoria.
OBSERVAÇÃO E INSPEÇÃO
Coletam-se dados da organização e do seu ambiente para dar suporte às indagações feitas à
administração.
 EXEMPLO
Para subsidiar a avaliação de riscos, o auditor pode utilizar procedimentos substantivos ou testes de
controles. Ambos também podem ser usados de forma combinada para sua maior eficácia.
javascript:void(0)
javascript:void(0)
javascript:void(0)
PROCEDIMENTO SUBSTANTIVO
De acordo com a norma NBC TA 330(R1) do Conselho Federal de Contabilidade, o procedimento
substantivo é o procedimento de auditoria planejado para detectar distorções relevantes no nível de
afirmações.
 
Imagem: Pedro Hikaru
 Procedimento substantivo.
ESTRUTURA
A estrutura desse procedimento será demonstrada a seguir:
TESTES DE DETALHES
PROCEDIMENTOS ANALÍTICOS
CLASSIFICAÇÃO DOS PROCEDIMENTOS
TESTES DE DETALHES
Consiste na identificação e validação de registros por meio de procedimentos de auditoria. São
procuradas evidências que suportem os registros, os quais, por sua vez, se fundamentam nas
afirmações da organização.
PROCEDIMENTOS ANALÍTICOS
Tratam dos procedimentos referentes à avaliação da relação entre dados financeiros e não financeiros.
Essa correlação pode elucidar questões esclarecedoras no processo de auditoria.
CLASSIFICAÇÃO DOS PROCEDIMENTOS
Os procedimentos substantivos são divididos pelos seguintes tipos:
Inspeção.
Observação.
Recálculo.
Reexecução.
Procedimentos analíticos e indagação (já citados anteriormente).
OUTROS QUESITOS
Abordaremos agora outros quesitos relativos ao procedimento substantivo:
 
Imagem: Shutterstock.com
INSPEÇÃO
Análise de registros e documentos físicos ou eletrônicos, internos ou externos, para fins de coleta de
evidências.
Exemplo: lançamentos contábeis e relatórios financeiros podem passar por inspeções.
 
Imagem: Shutterstock.com
OBSERVAÇÃO
É uma análise de processo organizacional que possibilita a coleta de evidência na execução, embora se
limite ao espaço temporal de observação.
Exemplo: a conferência de bens patrimoniais configura a adoção da observação em uma auditoria.
 
Imagem: Shutterstock.com
RECÁLCULO
Trata-se da conferência de cálculos matemáticos de documentos e registros.
Exemplo: conferir os lançamentos contábeis de um balanço patrimonial enquadra-se nesse tipo de
procedimento substantivo.
 
Imagem: Shutterstock.com
REEXECUÇÃO
Consiste na execução do procedimento de controle interno definido pela organização e pelo auditor.
Exemplo: a realização de uma conferência de atividades realizadas constitui, enquanto atividade de
controle, uma reexecução.
TESTES DE CONTROLE
Trata-se de um procedimento de auditoria que avalia a efetividade operacional dos controles com o
objetivo de prevenir, detectar e corrigir distorções relevantes no nível das informações.
Os testes de controle são regulados pela norma NBC TA 330(R1) do Conselho Federal de Contabilidade
quanto à aplicabilidade, à natureza e à extensão deles.
Esse procedimento deve ser realizado em duas situações:
Nas situações em que o auditor confia que os controles estão em operação na organização, de forma
efetiva, para determinar a natureza, a época e a extensão dos procedimentos substantivos.

Nos casos em que os procedimentos substantivos não trazem evidências de auditoria suficientes no
quesito informações.
 COMENTÁRIO
Esses testes avaliam os controles internos que podem ter sido implementados de acordo com os
princípios do COSO 2013 (apresentado no módulo anterior).
Analisemos a natureza e a extensão dos testes de controle.
Quanto a elas, o auditor, nas atividades de planejamento e execução, precisa observar as seguintes
questões:
EVIDÊNCIAS DE AUDITORIA
Análise das evidências de auditoria sobre a efetividade operacional dos controles que, com outros
procedimentos de auditoria, contemple o modo de aplicação dos controles em determinado período,
consistência de aplicação, responsáveis e formas de aplicação.
EXISTÊNCIA DE CONTROLES INDIRETOS
Questionamento, para fins de coleta de evidência, sobre a existência de controles indiretos que apoiem
os controles.
VERIFICANDO O APRENDIZADO
1. PREENCHA O TEXTO A SEGUIR: “O PROCESSO DE AUDITORIA PODE SER AFETADO PELOS
SEGUINTES TIPOS DE RISCOS: RISCO DE ____ RELEVANTE, ____ INERENTE, RISCO DE ____ E
RISCO DE DETECÇÃO”.
A) Conformidade, fator, complexidade.
B) Altura, taxa, produtividade.
C) Distorção, risco, controle.
D) Avaliação, risco, assessoria.
E) Estratégia, taxa, complexidade.
javascript:void(0)
javascript:void(0)
2. OS RISCOS SÃO MENSURADOS EM FUNÇÃO TANTO DA MATERIALIDADE A SER DEFINIDA
PELO AUDITOR SEGUNDO CIRCUNSTÂNCIAS PARTICULARES E ESPECÍFICAS DE CADA
ORGANIZAÇÃO NA SELEÇÃO DE ASSUNTOS QUANTO DA EXTENSÃO E DA NATUREZA DAS
DISTORÇÕES. APONTE A ALTERNATIVA CORRETA.
A) A análise sob a ótica contábil implica riscos de materialidade.
B) Realizada por auditores, a análise de materialidade depende de variáveis da sustentabilidade.
C) Materialidade e evidências físicas se integram em função da similaridade física.
D) A materialidade e os riscos devem ser analisados de forma proporcional inversa.
E) Projetos de melhoria de processos.
GABARITO
1. Preencha o texto a seguir: “O processo de auditoria pode ser afetado pelos seguintes tipos de
riscos: risco de ____ relevante, ____ inerente, risco de ____ e risco de detecção”.
A alternativa "C " está correta.
Riscos de distorção relevante, inerente, de controle e de detecção são os tipos de risco do processo de
auditoria.
2. Os riscos são mensurados em função tanto da materialidade a ser definida pelo auditor
segundo circunstâncias particulares e específicas de cada organização na seleção de assuntos
quanto da extensão e da natureza das distorções. Aponte a alternativa correta.
A alternativa "D " está correta.
Quanto maiores os riscos, menor a materialidade. Quanto menor eles forem, maior ela será.
CONCLUSÃO
CONSIDERAÇÕES FINAIS
Conhecemos os primórdios da história do homem nos aspectos relacionados aos riscos do dia a dia e
das organizações ainda nascentes. Nessa retrospectiva, apresentamos os principais marcos temporais
que apoiaram o desenvolvimento dos referenciais de riscos atuais aplicados na administração pública e
na iniciativa privada.
Para estabelecermos uma melhor compreensão das formas de tratamento deles, apontamos os
principais referenciais de gerenciamento de riscos ede controles internos, demonstrando ainda suas
particularidades e características. Versamos, por fim, sobre os conceitos básicos dos riscos de uma
auditoria cujos respectivos procedimentos complementares podem colaborar para a coleta de evidências
em procedimentos ligados a ela.
AVALIAÇÃO DO TEMA:
REFERÊNCIAS
CONSELHO FEDERAL DE CONTABILIDADE. NBC TA 200 (R1): objetivos gerais do auditor
independente e a condução da auditoria em conformidade com as normas de auditoria. Brasília: CFC,
2016.
CONSELHO FEDERAL DE CONTABILIDADE. NBC TA 315 (R1): identificação e avaliação dos riscos de
distorção relevante por meio do entendimento da entidade e do seu ambiente. Brasília: CFC, 2016.
CONSELHO FEDERAL DE CONTABILIDADE. NBC TA 330 (R1): resposta do auditor aos riscos
avaliados. Brasília: CFC, 2016.
CONSELHO FEDERAL DE CONTABILIDADE. NBC TI 01: da auditoria interna. Brasília: CFC, 2016.
INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Código das melhores práticas de
governança corporativa. 5. ed. 2015.
COSO – THE COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION.
Controle interno – estrutura integrada: sumário executivo. Trad. PricewaterhouseCoopers Brasil. São
Paulo: PWC3, 2013.
COSO – THE COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION.
 Gerenciamento de riscos corporativos – estrutura integrada: Sumário executivo, Estrutura. Trad.
PricewaterhouseCoopers Brasil. São Paulo: PWC, 2007.
THE INSTITUTE OF INTERNAL AUDITORS. O modelo das três linhas – uma ferramenta importante
para o sucesso de toda organização. 2020.
TRIBUNAL DE CONTAS DA UNIÃO. Referencial básico de governança aplicável a órgãos e
entidades da administração pública: 2ª versão. Brasília: TCU, 2014.
EXPLORE+
Acesse os seguintes sites para pesquisar sobre:
Conselho Federal de Contabilidade
Normas de auditoria interna e auditoria independente.
Tribunal de Contas da União
Governança pública.
Tribunal de Contas da União
Normas que regem a auditoria na administração pública.
CONTEUDISTA
Pedro Hikaru Oishi
 CURRÍCULO LATTES
javascript:void(0);