Академический Документы
Профессиональный Документы
Культура Документы
PROFESSOR
CLAUDIO ZORZO
AUDITORIA
Controle interno
Estratégia Características do Objetivos da
Materialidade
Global trabalho - recursos auditoria
Análise da
Formação do
Execução - Aplicação suficiência e Elaboração do
arquivo de
dos procedimentos adequação das relatório
auditoria
evidências
• Controle é uma ação tomada com o propósito de certificar-se de que algo
se cumpra de acordo com o que foi planejado.
• Controle só tem significado e relevância quando é estabelecido para
garantir o cumprimento de um objetivo definido e só faz sentido se
houver riscos de que esse objetivo não venha a ser alcançado.
Risco é qualquer
Objetivo é o que se
evento que possa
deseja alcançar; o que
impedir ou dificultar
foi definido no
o alcance de um
planejamento.
objetivo.
• Controle interno, controles internos e sistema ou estrutura de
controle(s) interno(s) são expressões sinônimas, utilizadas para
referir-se ao processo composto pelas regras de estrutura
organizacional e pelo conjunto de políticas e procedimentos
adotados por uma organização para a vigilância, fiscalização,
verificação e monitoramento, que permite prever, observar, dirigir
ou governar os eventos que possam impactar na consecução de
seus objetivos.
• É um processo organizacional de responsabilidade da própria
gestão, adotado com o objetivo de assegurar uma razoável
garantia de que os objetivos da organização sejam atingidos.
• A unidade de controle interno, quando existente na organização, é
parte da gestão e do sistema ou da estrutura de controle interno
da própria entidade.
• Tem o papel de assessorar gestores, com seu conhecimento
especializado, na definição de estratégias para gerenciamento de
riscos, na identificação e avaliação destes e na definição,
implantação e no monitoramento de controles internos
adequados para mitigá-los.
• A auditoria interna, que não deve ser confundida com controle
interno ou com unidade de ou do controle interno, é um
controle da própria gestão que tem por atribuição medir e
avaliar a eficiência e eficácia de outros controles.
• Importa destacar que não cabe à auditoria interna estabelecer
estratégias para gerenciamento de riscos ou controles internos
para mitigá-los, pois estas são atividades próprias dos gestores.
Cabe-lhe avaliar a qualidade desses processos.
COSO
• O COSO® (Committee of Sponsoring Organizations of the Treadway
Commission) (Comitê das Organizações Patrocinadoras da Comissão
Treadway).
• O COSO é uma organização privada, sem fins lucrativos, dedicada a
melhoria dos relatórios financeiros, sobretudo pela aplicação e
cumprimento dos controles internos e é patrocinado pela cinco das
principais associações de classe de profissionais ligados à área
financeira nos EUA.
9
• Foi criado em 1985, nos Estados Unidos, inicialmente como a
National Commission on Fraudulent Financial Reporting (Comissão
Nacional sobre Fraudes em Relatórios Financeiros).
• A criação da comissão foi uma iniciativa independente, para estudar
as causas da ocorrência de fraudes em relatórios
financeiros/contábeis. Esta comissão era composta por
representantes das principais associações de classe de profissionais
ligados à área financeira.
10
• Atualmente o COSO é patrocinado por cinco das principais
associações de classe de profissionais ligados à área financeira nos
Estados Unidos, a saber:
AICPA: American Institute of Certified Public Accounts - Instituto
Americano de Contadores Públicos Certificados
AAA: American Accounting Association - Associação Americana de
Contadores
FEI: Financial Executives Internacional - Executivos Financeiros
IIA: The Insititute of Internal Auditors - Instituto dos Auditores
IMA: Institute of Management Accountants- Instituto dos
Contadores Gerenciais
11
Organizações Patrocinadoras
• O COSO 1 trata da Internal Control – Integrated Framework
para ajudar empresas e outras organizações a avaliar e
aperfeiçoar seus sistemas de controle interno.
13
• Para o COSO, o ponto de partida do controle é a definição de controle
interno:
• “Controle interno é um processo conduzido pela estrutura de
governança, administração e outros profissionais da entidade, e
desenvolvido para proporcionar segurança razoável com respeito à
realização dos objetivos relacionados a operações, divulgação e
conformidade”.
14
O controle interno é:
• Conduzido para atingir objetivos em uma ou mais categorias – operacional,
divulgação e conformidade.
• Um processo que consiste em tarefas e atividades contínuas – um meio para um
fim, não um fim em si mesmo.
• Realizado por pessoas – não se trata simplesmente de um manual de políticas e
procedimentos, sistemas e formulários, mas diz respeito a pessoas e às ações que
elas tomam em cada nível da organização para realizar o controle interno.
• Capaz de proporcionar segurança razoável - mas não absoluta, para a estrutura de
governança e alta administração de uma entidade.
• Adaptável à estrutura da entidade – flexível na aplicação para toda a entidade ou
para uma subsidiária, divisão, unidade operacional ou processo de negócio em
particular.
15
• O sistema de controles internos compreende o plano de
organização e o conjunto integrado de método e
procedimentos adotados pela entidade na proteção do seu
patrimônio, promoção da confiabilidade e tempestividade dos
seus registros e demonstrações contábeis, e da sua eficácia
operacional.
16
• O “Internal Control – Integrated Framework” ou COSO I define o
controle interno como um processo conduzido pelo conselho de
administração, pela administração e pelo corpo de empregados de
uma organização, com a finalidade de possibilitar uma garantia
razoável quanto à realização dos objetivos nas seguintes
categorias:
a) Eficácia e eficiência das operações;
b) Confiabilidade das demonstrações financeiras;
c) Conformidade com leis e regulamentos cabíveis
17
• A Estrutura apresenta três categorias de objetivos:
Operacional – Esses objetivos relacionam-se à eficácia e à eficiência das
operações da entidade, inclusive as metas de desempenho financeiro e
operacional e a salvaguarda de perdas de ativos.
Divulgação – Esses objetivos relacionam-se a divulgações financeiras e não
financeiras, internas e externas, podendo abranger os requisitos de
confiabilidade, oportunidade, transparência ou outros termos estabelecidos
pelas autoridades normativas, órgãos normatizadores reconhecidos, ou às
políticas da entidade.
Conformidade – Esses objetivos relacionam-se ao cumprimento de leis e
regulamentações às quais a entidade está sujeita.
18
• O modelo COSO I tornou-se referência mundial, pelo fato de:
1. uniformizar definições de controle interno;
2. definir componentes, objetivos e objetos do controle interno em
um modelo integrado;
3. delinear papéis e responsabilidades da administração;
4. estabelecer padrões para implementação e validação;
5. criar um meio para monitorar, avaliar e reportar controles
internos.
• É importante destacar que o controle interno é inerente a todos os
atos e processos administrativos de uma organização, de forma
que não pode e nem deve ser concebido separadamente, uma vez
que a sua integração é fator decisivo para o perfeito desempenho
das atividades a serem realizadas nas suas diversas unidades
administrativas.
20
• O propósito dos sistemas de controle interno é garantir que os
objetivos gerenciais estejam sendo atingidos; sendo que o
termo “controle interno” abrange os controles administrativos
(procedimentos que regem os processos decisórios) e os
controles contábeis (procedimentos que regem a confiabilidade
dos registros financeiros).
21
• Controle interno contábil = Compreende o plano de organização
e todos os procedimentos diretamente relacionados com a
salvaguarda do ativo e a fidedignidade dos registros financeiros.
• Geralmente compreende controles como os sistemas de
autorização e aprovação de contas, segregação entre as tarefas
contábeis, controle físico sobre ativos e auditoria interna.
22
• Controle interno administrativo = Compreende o plano de
organização e todos os métodos e procedimentos referentes à
eficiência operacional, e a obediência às diretrizes
administrativas que normalmente se relacionam indiretamente
com os registros contábeis.
• Incluem-se aqui controles como análises estatísticas, estudos
de tempo e movimentos, relatórios de desempenho, controle
de qualidade, treinamento etc.
23
• De acordo com os conceitos apresentados nota-se que o
sistema de controle interno vai além dos assuntos que se
relacionam exclusiva e diretamente com a contabilidade.
• Os seus elementos, quando isoladamente considerados, são
denominados de controles internos, os quais, agregadamente,
constituem o sistema de controle interno como um todo, que,
por sua vez, é composto dos seguintes subsistemas, dentre
outros
24
• Contabilidade; Orçamento;
• Custos; Vendas;
• Compras; Manutenção;
• Auditoria; Gerenciamento de riscos;
• Qualidade; Patrimônio;
• Segurança patrimonial; Recursos humanos;
• Departamento de relações com clientes;
• Informações gerenciais.
25
• Em 1992, o “COSO” publicou o “Internal Control – Integrated
Framework”, que estabelece uma estrutura de controles internos e
fornece ferramentas de avaliação para uso de empresas e de outras
entidades para avaliar seus sistemas de controle.
• Segundo o COSO 1 o controle interno deve ter a seguinte composição:
a) o ambiente de controle;
b) o processo de avaliação de risco da entidade;
c) o sistema de informação e comunicação;
d) atividades de controle; e
e) monitoramento de controles.
26
COMPONENTES DO COSO
Ambiente de Controle
• Dá o “ritmo” da organização, influenciando a consciência de controle das pessoas que
nela trabalham. Base dos demais componentes, pois demonstra o grau e
comprometimento em todos os níveis da administração com a qualidade do controle
interno em seu conjunto.
Avaliação de Riscos
• Identificação e análise dos riscos relevantes para a consecução dos objetivos.
Atividades de Controle
• Políticas e procedimentos para assegurar que as diretrizes sejam seguidas.
Informação e Comunicação
• Identificação, captura e troca de informações.
Monitoramento
• Processo que avalia a qualidade do desempenho dos controles internos.
a) Ambiente de controle
• O ambiente de controle apresenta a filosofia da empresa
quanto à implementação de um controle interno eficaz.
• O ambiente de controle inclui as funções de governança e
administração e as atitudes, consciência e ações dos
responsáveis pela governança e administração no que se refere
ao controle interno da entidade e sua importância na entidade.
29
• Os fatores relacionados ao ambiente de controle incluem:
integridade e valores éticos;
competência das pessoas da entidade;
filosofia e estilo operacional da organização;
aspectos relacionados com a gestão, competência;
forma de atribuição da autoridade e responsabilidade;
políticas de recursos humanos.
b) Processo de avaliação de risco da entidade
• A administração é a responsável pelo controle interno da
entidade e pela elaboração das demonstrações contábeis da
entidade.
• Por consequência, o auditor deve fazer indagações junto à
administração sobre sua avaliação do risco, para prevenir sua
existência e detectá-lo.
31
• O auditor deve buscar entender se a entidade tem processo para:
a) identificar riscos de negócio relevantes para os objetivos das
demonstrações contábeis;
b) estimar a significância dos riscos;
c) avaliar a probabilidade de sua ocorrência; e
d) decidir sobre ações em resposta a esses riscos.
32
c) Sistema de informação e comunicação
• Um sistema de informação é composto de infra-estrutura
(componentes físicos e de hardware), software, pessoas,
procedimentos e dados.
• O auditor deve entender que a qualidade das informações
geradas por sistemas afeta a capacidade da administração de
tomar decisões apropriadas na gestão e controle das atividades
da entidade e no preparo de relatórios financeiros confiáveis.
33
• A comunicação, que envolve fornecer entendimento de funções
e responsabilidades individuais próprias do controle interno
sobre as demonstrações contábeis, pode assumir as formas de
manuais de políticas, manuais de relatórios contábeis e
financeiros e memorandos. A comunicação também pode ser
feita eletronicamente, verbalmente e por meio de ações da
administração.
34
d) Atividades de controle
• Atividades de controle são aquelas que o auditor julga
necessário entender para avaliar os riscos de distorção
relevante no nível da afirmação e desenhar procedimentos
adicionais de auditoria em resposta aos riscos avaliados.
• Uma auditoria não requer entendimento de todas as atividades
de controle relacionadas a cada classe significativa de
transações, saldo de conta e divulgação nas demonstrações
contábeis ou a toda afirmação relevante nessas demonstrações.
35
• Geralmente, as atividades de controle que podem ser
relevantes para a auditoria podem ser classificadas como
políticas e procedimentos que pertencem ao seguinte:
a) Revisões de desempenho
b) Processamento de informações
c) Controle físico
d) Segregação de funções
36
e) Monitoramento dos controles
• O monitoramento de controles é um processo para avaliar a
efetividade do desempenho dos controles internos ao longo do
tempo.
• Envolve avaliar a efetividade dos controles tempestivamente e
tomar as necessárias ações corretivas.
• A administração consegue o monitoramento de controles por
meio de atividades contínuas, avaliações separadas ou a
combinação de ambos.
37
• O monitoramento dos controles inclui considerar se eles estão
operando conforme o pretendido e que sejam adequadamente
modificados para atender as mudanças de condições e também
é feito para assegurar que os controles continuem a operar
efetivamente ao longo do tempo.
• Por exemplo, se a tempestividade e exatidão das conciliações
bancárias não forem monitoradas, é provável que os
funcionários parem de elaborá-las.
38
3
1 DIMENSÃO – OBJETIVOS
2 D
I
D
I M
M E
E N
N
S S
à Ã
O O
C
-
O
M E
P S
O T
N
E R
N U
T T
E
U
S
R
A
CAIU NA PROVA
De acordo com o COSO ICIF 2013 (Internal Control — Integrated
Framework), julgue o item subsequente, relativo a controles internos.
1 E, 2 C, 3 C, 4 C, 5 C, 6 C, 7 A, 8 B, 9 A, 10 E, 11 C, 12 B, 13 C, 14 C, 15 E,
16 A, 17 D
PGR – GERENCIAMENTO DE RISCO
• Em 2001, o COSO associou-se a Pricewaterhouse-Coopers para
desenvolver o projeto de um framework (programa) que permitisse
efetivamente identificar, avaliar e gerenciar riscos.
• A metodologia de controle e avaliação de riscos mais utilizada a partir
deste ano é o PGR - programa de gerenciamento de riscos, também
chamado de ERM (Enterprise Risk Management). COSO II
60
• O gerenciamento de riscos corporativos é um processo
conduzido em uma organização pelo conselho de
administração, diretoria e demais empregados, aplicado no
estabelecimento de estratégias, formuladas para identificar em
toda a organização eventos em potencial, capazes de afetá-la, e
administrar os riscos de modo a mantê-los compatível com o
apetite a risco da organização e possibilitar garantia razoável do
cumprimento dos seus objetivos.
• O gerenciamento de riscos corporativos é:
um processo contínuo e que flui através da organização;
conduzido pelos profissionais em todos os níveis da organização;
aplicado à definição das estratégias;
aplicado em toda a organização, em todos os níveis e unidades, e inclui a
formação de uma visão de portfólio de todos os riscos a que ela está
exposta;
formulado para identificar eventos em potencial, cuja ocorrência poderá
afetar a organização, e para administrar os riscos de acordo com seu apetite
a risco;
capaz de propiciar garantia razoável para o conselho de administração e a
diretoria executiva de uma organização;
orientado para a realização de objetivos em uma ou mais categorias
distintas, mas dependentes
• No PGR/ERM o controle interno está situado no centro, e faz parte
integral do gerenciamento de riscos corporativos.
• Esse gerenciamento é de caráter mais amplo do que o controle
interno, expandindo e acrescentando detalhes ao controle interno
para formar uma conceituação mais robusta e totalmente focada
em risco.
63
1 DIMENSÃO
2 3
D D
I I
M M
E E
N N
S S
à Ã
O O
• Com base na missão ou visão estabelecida por uma organização, a
administração estabelece os planos principais, seleciona as estratégias e
determina o alinhamento dos objetivos nos níveis da organização.
• A estrutura de gerenciamento de riscos corporativos é orientada a fim de
alcançar os objetivos de uma organização e são classificados em quatro
categorias:
Estratégicos – metas gerais, alinhadas com o que suportem à sua missão.
Operações – utilização eficaz e eficiente dos recursos.
Comunicação – confiabilidade de relatórios.
Conformidade – cumprimento de leis e regulamentos aplicáveis.
• Risco é a possibilidade de algo acontecer e ter um impacto
negativo nos objetivos e é medido em termos de impactos e
probabilidades, pode-se entender como uma medida de
incerteza e engloba fatores que podem impedir o atingimento
dos objetivos organizacionais.
Probabilidade é a possibilidade da ocorrência de uma ameaça.
Impacto é o efeito ou consequência de um ataque ou incidente
para a organização.
67
• Não existe uma classificação completa sobre os riscos, sendo que as
necessidades empresariais e o contínuo aprimoramento estabelecem os
riscos de acordo com as metas, objetivos ou resultados da organização, em:
I - Estratégicos (para a direção da organização e a realização de seus planos)
II - Comerciais (para as relações comerciais, como falhas em contratos)
III - Operacionais (para a atividade-fim da organização, como recursos humanos
inadequados, dano físico em ativos ou ameaças à segurança física)
IV - Técnicos (para se administrar ativos, por exemplo, falhas em equipamentos)
V - Financeiro e de sistemas (para controles financeiros e sistemas, por
exemplo, fraudes)
VI - De conformidade (para cumprir com as obrigações legais).
68
• A premissa inerente ao gerenciamento de riscos é que toda
organização existe para gerar valor às partes interessadas e elas
enfrentam incertezas.
• O desafio de seus administradores é determinar até que ponto
aceitar essa incerteza, assim como definir como essa incerteza pode
interferir no esforço para gerar valor às partes interessadas.
69
• Assim, os eventos podem gerar impacto tanto negativo quanto
positivo ou ambos.
• Os eventos que geram impacto negativo representam riscos que
podem impedir a criação de valor ou mesmo destruir o valor
existente. Devem ser combatidos.
• Os eventos de impacto positivo podem contrabalançar os de
impacto negativo ou podem representar oportunidades, que por
sua vez representam a possibilidade de um evento ocorrer e
influenciar favoravelmente a realização dos objetivos, apoiando a
criação ou a preservação de valor. Devem ser otimizados.
70
• O gerenciamento de riscos corporativos é um processo conduzido
em uma organização pelo conselho de administração, diretoria e
demais empregados, aplicado no estabelecimento de estratégias,
formuladas para identificar em toda a organização eventos em
potencial, capazes de afetá-la, e administrar os riscos de modo a
mantê-los compatível com o apetite a risco da organização e
possibilitar garantia razoável do cumprimento dos seus objetivos.
71
• Para a IFAC (2001), o gerenciamento de risco é definido como um processo
para:
a) entender os objetivos organizacionais;
b) identificar os riscos associados ao alcance desses objetivos, em uma base
contínua, de forma a poder reagir a (ou iniciar) mudanças de uma maneira
apropriada e oportuna;
c) estimar os riscos, em termos da probabilidade de algo acontecer e o seu
potencial impacto;
d) estabelecer políticas apropriadas e procedimentos para gerenciá-las, na
proporção dos riscos ou oportunidades envolvidos;
e) monitorar e avaliar os riscos e os programas ou procedimentos utilizados para
tratá-los, afim de revisar riscos passados e buscar se antecipar aos futuros e
monitorar mudanças nos ambientes interno e externo para obter informação
que possa sinalizar uma necessidade de se reavaliar os objetivos da entidade ou
do controle.
• O gerenciamento de riscos contribui para assegurar
comunicação eficaz e o cumprimento de leis e regulamentos,
bem como evitar danos à reputação da organização e suas
consequências, ajudando a organização a atingir seus objetivos
e a evitar os perigos e surpresas em seu percurso.
73
ATENÇÃO
78
Fonte: CGU
79
Fonte: CGU
80
• A rigor, o gerenciamento de riscos corporativos não é um processo
em série pelo qual um componente afeta apenas o próximo.
• É um processo multidirecional e interativo segundo o qual quase
todos os componentes influenciam os outros.
81
• Com maior enfoque em risco, a estrutura de gerenciamento de
riscos corporativos amplia o componente de gerenciamento de
riscos da estrutura de controle interno, criando quatro
componentes:
• fixação de objetivos (que é um pré-requisito do controle
interno), identificação de eventos, avaliação de riscos e
resposta a riscos.
82
• Ambiente de controle
O ambiente interno é moldado pela história e cultura da organização e, por
sua vez, molda, de maneira explícita ou não, a cultura de riscos da
organização e a forma como eles são encarados e gerenciados (tom da
organização), influenciando a consciência de controle das pessoas.
É a base para todos os outros componentes do sistema, provendo disciplina
e estrutura. Os fatores que compõem o ambiente interno incluem
integridade, valores éticos e competência das pessoas, maneira pela qual a
gestão delega autoridade e responsabilidades, estrutura de governança e
organizacional, o “perfil dos superiores” (ou seja, a filosofia da direção e o
estilo gerencial), as políticas e práticas de recursos humanos etc.
• Fixação de Objetivos
Os objetivos devem ser definidos a priori para que seja possível identificar
os riscos a eles associados. A explicitação de objetivos, alinhados à missão e à
visão da entidade, é necessária para permitir a identificação de eventos que
potencialmente impeçam sua consecução.
Definir os objetivos é, assim, uma pré-condição para identificação dos
eventos de risco e para avaliação e definição de estratégias para gerenciá-los
(resposta a riscos).
O gerenciamento de riscos corporativos assegura que a administração
disponha de um processo implementado para estabelecer os objetivos que
propiciem suporte e estejam alinhados com a missão da organização e sejam
compatíveis com o seu apetite a riscos. 84
• Identificação de Eventos
Todos os processos de uma organização têm algum risco associado,
inerente a sua própria natureza, assim, a identificação de eventos consiste em
determinar e catalogar esses riscos, nos diversos níveis da organização. Ou
seja, mapear a existência de situações que possam impedir o alcance dos
objetivos fixados ou a não existência de situações consideradas necessárias
para se chegar a tais objetivos ao nível da organização, de suas unidades de
negócio, processos e atividades.
Os eventos são divididos em internos e externos que influenciam o
cumprimento dos objetivos de uma organização devem ser identificados e
classificados entre riscos e oportunidades. 85
O processo de identificação de eventos de risco pode abranger tanto
riscos negativos, tidos como ameaças, cujas consequências são perdas,
como os riscos positivos, vislumbrados como oportunidades, cujas
consequências são ganhos que façam a organização a alcançar seus
objetivos aquém das expectativas, estes levando a organização a
alcançar resultados superiores aos obtidos atualmente ou além das
expectativas.
Essas oportunidades são canalizadas para os processos de
estabelecimento de estratégias da administração ou de seus objetivos.
• Avaliação de Riscos
Os riscos são analisados, considerando-se a sua probabilidade e o
impacto como base para determinar o modo pelo qual deverão ser
administrados.
O objetivo da avaliação é formar uma base para o desenvolvimento de
estratégias (resposta a risco) de como os riscos serão administrados, de
modo a diminuir a probabilidade de ocorrência e/ou a magnitude do
impacto.
Esses riscos são avaliados quanto à sua condição de inerentes e
residuais, por meio de análises qualitativas e quantitativas, ou da
combinação de ambas.
87
Risco inerente é o risco do negócio, do processo ou da atividade,
independente dos controles adotados.
Risco residual é o risco que remanesce após a mitigação por
controles.
• Resposta a Risco
É o processo de desenvolver e determinar estratégias para gerenciar os
riscos identificados.
A administração escolhe as respostas aos riscos - evitando, aceitando,
reduzindo ou compartilhando – desenvolvendo uma série de medidas
para alinhar os riscos com a tolerância e com o apetite a risco.
89
• O tratamento dos riscos inicia-se pelo dilema básico: evitar ou
aceitar o risco.
Evitar o Risco: decisão de não se envolver ou agir de forma a se
retirar de uma situação de risco. Exemplo: uma organização decide se
desfazer de uma unidade de negócios.
Aceitar o Risco: neste caso, apresentam-se quatro alternativas: reter,
reduzir, transferir/compartilhar ou explorar o risco.
90
Avaliação de Risco
Identificar riscos de
negócio relevantes Decidir sobre ações em
para os objetivos da resposta a esses riscos
organização
Aceitar Reduzir
Probabilidade
• Atividades de Controle
São as políticas e procedimentos estabelecidos e implementados para
assegurar que as respostas aos riscos sejam executadas com eficácia.
As atividades de controle devem estar distribuídas por toda a organização,
em todos os níveis e em todas as funções.
Elas incluem uma gama de controles preventivos e detectivos, como
procedimentos de autorização e aprovação, segregação de funções
(autorização, execução, registro e controle), controles de acesso a recursos e
registros, verificações, conciliações, revisões de desempenho, avaliação de
operações, de processos e de atividades, supervisão direta etc.
As ações corretivas são um complemento
94
• Informações e Comunicações
Todos na organização devem receber mensagens claras quanto ao seu papel e ao
modo como suas atividades influenciam e se relacionam com o trabalho dos
demais na consecução dos objetivos fixados.
A importância do controle interno para a gestão das organizações está no seu
potencial informativo para suporte ao processo decisório. A habilidade da
administração de tomar decisões apropriadas é afetada pela qualidade da
informação, que deve ser útil, isto é, apropriada, tempestiva, atual e precisa.
As informações relevantes são identificadas, colhidas e comunicadas de forma e
no prazo que permitam que cumpram suas responsabilidades.
A comunicação eficaz também ocorre em um sentido mais amplo, fluindo em
todos níveis da organização.
95
• Monitoramento
Monitorar diz respeito a avaliar, certificar e revisar a estrutura de gestão de
riscos e controles internos para saber se estão sendo efetivos ou não.
Tem, portanto, o objetivo de avaliar a qualidade da gestão de risco e dos
controles internos ao longo do tempo, buscando assegurar que estes
funcionam como previsto e que são modificados apropriadamente, de acordo
com mudanças nas condições que alterem o nível de exposição a riscos.
O monitoramento é realizado através de atividades gerenciais contínuas
ou avaliações independentes ou de ambas as formas.
96
• O primeiro modo é realizado pelo próprio corpo gerencial da entidade e
deve distinguir-se claramente da avaliação das operações.
• Consiste em identificar informações que irão indicar se o processo de gestão
de riscos e controles internos está funcionando eficazmente, por meio de
análises de variância, comparações de informações provindas de fontes
diversas etc., com a devida consideração em relação a mudanças de
processos, alterações no volume de transações, dentre outros fatores que
necessitam de atenção dado o seu potencial de alterar o nível de exposição
a riscos da entidade e de seus processos de negócio.
• No segundo modo, o monitoramento é realizado mediante
autoavaliação, pela própria equipe responsável pelo processo ou
por unidade de controle interno, podendo ainda ser executado por
auditoria interna ou externa.
• Todas as deficiências (condição, real ou potencial, que possa afetar o
alcance de objetivos) ou oportunidades para fortalecer o controle
interno (aumentar as probabilidades de alcance dos objetivos), devem
ser comunicadas às pessoas que podem adotar as ações necessárias.
•CAIU NA PROVA
• Com relação ao processo de controle interno e de avaliação e
gestão de riscos, julgue o item a seguir.
1. (CESPE/FUNPRESP-EXE/Analista/2016) Cabe ao controle interno
de uma entidade fiscalizar a administração e o corpo funcional dessa
entidade.
• Ainda à luz das disposições do COSO relativas a controle interno,
julgue o item a seguir.
A ideia é que o auditor examine os itens que, se errados, causam um impacto maior na
situação patrimonial e financeira da empresa.
Isso permite ao auditor independente selecionar procedimentos de auditoria que,
combinados, possam reduzir o risco de auditoria a um nível aceitável, examinando os
valores considerados mais relevantes .
CAIU NA PROVA
• Julgue o próximo item, acerca das normas técnicas de auditoria.
1. (CESPE/TCU/AFCE/2015) O risco de auditoria é a possibilidade de o
auditor, por algum motivo alheio a sua vontade, vir a emitir uma
opinião tecnicamente inadequada sobre demonstrações contábeis
significativamente incorretas. Para fins de análise, o risco de auditoria
divide-se em três componentes: risco inerente, risco de controle e risco
de detecção.
• Considerando as etapas e as atividades envolvidas no planejamento e
na execução dos trabalhos do auditor, julgue o item que segue.
• 1 C, 2 E, 3 E, 4 C, 5 B, 6 D, 7 A, 8 C, 9 A, 10 C, 11 B, 12 C, 13 C, 14 C, 15
A, 16 C, 17 D, 18 A, 19 D, 20 D.