1

PROFESSOR
CLAUDIO ZORZO
AUDITORIA
Controle interno
 Estratégia Características do Objetivos da
Materialidade
Global trabalho - recursos auditoria

Elaboração do Seleção dos itens

Avaliação do
que serão Análise dos riscos
plano de auditoria Controle interno
examinados

Análise da
Formação do
Execução - Aplicação suficiência e Elaboração do
arquivo de
dos procedimentos adequação das relatório
auditoria
evidências
• Controle é uma ação tomada com o propósito de certificar-se de que algo
se cumpra de acordo com o que foi planejado.
• Controle só tem significado e relevância quando é estabelecido para
garantir o cumprimento de um objetivo definido e só faz sentido se
houver riscos de que esse objetivo não venha a ser alcançado.

Risco é qualquer
Objetivo é o que se
evento que possa
deseja alcançar; o que
impedir ou dificultar
foi definido no
o alcance de um
planejamento.
objetivo.
• Controle interno, controles internos e sistema ou estrutura de
controle(s) interno(s) são expressões sinônimas, utilizadas para
referir-se ao processo composto pelas regras de estrutura
organizacional e pelo conjunto de políticas e procedimentos
adotados por uma organização para a vigilância, fiscalização,
verificação e monitoramento, que permite prever, observar, dirigir
ou governar os eventos que possam impactar na consecução de
seus objetivos.
• É um processo organizacional de responsabilidade da própria
gestão, adotado com o objetivo de assegurar uma razoável
garantia de que os objetivos da organização sejam atingidos.
• A unidade de controle interno, quando existente na organização, é
parte da gestão e do sistema ou da estrutura de controle interno
da própria entidade.
• Tem o papel de assessorar gestores, com seu conhecimento
especializado, na definição de estratégias para gerenciamento de
riscos, na identificação e avaliação destes e na definição,
implantação e no monitoramento de controles internos
adequados para mitigá-los.
• A auditoria interna, que não deve ser confundida com controle
interno ou com unidade de ou do controle interno, é um
controle da própria gestão que tem por atribuição medir e
avaliar a eficiência e eficácia de outros controles.
• Importa destacar que não cabe à auditoria interna estabelecer
estratégias para gerenciamento de riscos ou controles internos
para mitigá-los, pois estas são atividades próprias dos gestores.
Cabe-lhe avaliar a qualidade desses processos.
 COSO
• O COSO® (Committee of Sponsoring Organizations of the Treadway
Commission) (Comitê das Organizações Patrocinadoras da Comissão
Treadway).
• O COSO é uma organização privada, sem fins lucrativos, dedicada a
melhoria dos relatórios financeiros, sobretudo pela aplicação e
cumprimento dos controles internos e é patrocinado pela cinco das
principais associações de classe de profissionais ligados à área
financeira nos EUA.

9
• Foi criado em 1985, nos Estados Unidos, inicialmente como a
National Commission on Fraudulent Financial Reporting (Comissão
Nacional sobre Fraudes em Relatórios Financeiros).
• A criação da comissão foi uma iniciativa independente, para estudar
as causas da ocorrência de fraudes em relatórios
financeiros/contábeis. Esta comissão era composta por
representantes das principais associações de classe de profissionais
ligados à área financeira.

10
• Atualmente o COSO é patrocinado por cinco das principais
associações de classe de profissionais ligados à área financeira nos
Estados Unidos, a saber:
 AICPA: American Institute of Certified Public Accounts - Instituto
Americano de Contadores Públicos Certificados
 AAA: American Accounting Association - Associação Americana de
Contadores
 FEI: Financial Executives Internacional - Executivos Financeiros
 IIA: The Insititute of Internal Auditors - Instituto dos Auditores
 IMA: Institute of Management Accountants- Instituto dos
Contadores Gerenciais
11
Organizações Patrocinadoras
• O COSO 1 trata da Internal Control – Integrated Framework
para ajudar empresas e outras organizações a avaliar e
aperfeiçoar seus sistemas de controle interno.

• O COSO 2 trata do programa de gerenciamento de riscos

corporativos e amplia seu alcance em controles internos.

13
• Para o COSO, o ponto de partida do controle é a definição de controle
interno:
• “Controle interno é um processo conduzido pela estrutura de
governança, administração e outros profissionais da entidade, e
desenvolvido para proporcionar segurança razoável com respeito à
realização dos objetivos relacionados a operações, divulgação e
conformidade”.

14
 O controle interno é:
• Conduzido para atingir objetivos em uma ou mais categorias – operacional,
divulgação e conformidade.
• Um processo que consiste em tarefas e atividades contínuas – um meio para um
fim, não um fim em si mesmo.
• Realizado por pessoas – não se trata simplesmente de um manual de políticas e
procedimentos, sistemas e formulários, mas diz respeito a pessoas e às ações que
elas tomam em cada nível da organização para realizar o controle interno.
• Capaz de proporcionar segurança razoável - mas não absoluta, para a estrutura de
governança e alta administração de uma entidade.
• Adaptável à estrutura da entidade – flexível na aplicação para toda a entidade ou
para uma subsidiária, divisão, unidade operacional ou processo de negócio em
particular.
15
• O sistema de controles internos compreende o plano de
organização e o conjunto integrado de método e
procedimentos adotados pela entidade na proteção do seu
patrimônio, promoção da confiabilidade e tempestividade dos
seus registros e demonstrações contábeis, e da sua eficácia
operacional.

16
• O “Internal Control – Integrated Framework” ou COSO I define o
controle interno como um processo conduzido pelo conselho de
administração, pela administração e pelo corpo de empregados de
uma organização, com a finalidade de possibilitar uma garantia
razoável quanto à realização dos objetivos nas seguintes
categorias:
a) Eficácia e eficiência das operações;
b) Confiabilidade das demonstrações financeiras;
c) Conformidade com leis e regulamentos cabíveis

17
• A Estrutura apresenta três categorias de objetivos:
 Operacional – Esses objetivos relacionam-se à eficácia e à eficiência das
operações da entidade, inclusive as metas de desempenho financeiro e
operacional e a salvaguarda de perdas de ativos.
 Divulgação – Esses objetivos relacionam-se a divulgações financeiras e não
financeiras, internas e externas, podendo abranger os requisitos de
confiabilidade, oportunidade, transparência ou outros termos estabelecidos
pelas autoridades normativas, órgãos normatizadores reconhecidos, ou às
políticas da entidade.
 Conformidade – Esses objetivos relacionam-se ao cumprimento de leis e
regulamentações às quais a entidade está sujeita.
18
• O modelo COSO I tornou-se referência mundial, pelo fato de:
1. uniformizar definições de controle interno;
2. definir componentes, objetivos e objetos do controle interno em
um modelo integrado;
3. delinear papéis e responsabilidades da administração;
4. estabelecer padrões para implementação e validação;
5. criar um meio para monitorar, avaliar e reportar controles
internos.
• É importante destacar que o controle interno é inerente a todos os
atos e processos administrativos de uma organização, de forma
que não pode e nem deve ser concebido separadamente, uma vez
que a sua integração é fator decisivo para o perfeito desempenho
das atividades a serem realizadas nas suas diversas unidades
administrativas.

20
• O propósito dos sistemas de controle interno é garantir que os
objetivos gerenciais estejam sendo atingidos; sendo que o
termo “controle interno” abrange os controles administrativos
(procedimentos que regem os processos decisórios) e os
controles contábeis (procedimentos que regem a confiabilidade
dos registros financeiros).

21
• Controle interno contábil = Compreende o plano de organização
e todos os procedimentos diretamente relacionados com a
salvaguarda do ativo e a fidedignidade dos registros financeiros.
• Geralmente compreende controles como os sistemas de
autorização e aprovação de contas, segregação entre as tarefas
contábeis, controle físico sobre ativos e auditoria interna.

22
• Controle interno administrativo = Compreende o plano de
organização e todos os métodos e procedimentos referentes à
eficiência operacional, e a obediência às diretrizes
administrativas que normalmente se relacionam indiretamente
com os registros contábeis.
• Incluem-se aqui controles como análises estatísticas, estudos
de tempo e movimentos, relatórios de desempenho, controle
de qualidade, treinamento etc.

23
• De acordo com os conceitos apresentados nota-se que o
sistema de controle interno vai além dos assuntos que se
relacionam exclusiva e diretamente com a contabilidade.
• Os seus elementos, quando isoladamente considerados, são
denominados de controles internos, os quais, agregadamente,
constituem o sistema de controle interno como um todo, que,
por sua vez, é composto dos seguintes subsistemas, dentre
outros

24
• Contabilidade; Orçamento;
• Custos; Vendas;
• Compras; Manutenção;
• Auditoria; Gerenciamento de riscos;
• Qualidade; Patrimônio;
• Segurança patrimonial; Recursos humanos;
• Departamento de relações com clientes;
• Informações gerenciais.

25
• Em 1992, o “COSO” publicou o “Internal Control – Integrated
Framework”, que estabelece uma estrutura de controles internos e
fornece ferramentas de avaliação para uso de empresas e de outras
entidades para avaliar seus sistemas de controle.
• Segundo o COSO 1 o controle interno deve ter a seguinte composição:
a) o ambiente de controle;
b) o processo de avaliação de risco da entidade;
c) o sistema de informação e comunicação;
d) atividades de controle; e
e) monitoramento de controles.

26
 COMPONENTES DO COSO
Ambiente de Controle
• Dá o “ritmo” da organização, influenciando a consciência de controle das pessoas que
nela trabalham. Base dos demais componentes, pois demonstra o grau e
comprometimento em todos os níveis da administração com a qualidade do controle
interno em seu conjunto.

Avaliação de Riscos
• Identificação e análise dos riscos relevantes para a consecução dos objetivos.

Atividades de Controle
• Políticas e procedimentos para assegurar que as diretrizes sejam seguidas.

Informação e Comunicação
• Identificação, captura e troca de informações.

Monitoramento
• Processo que avalia a qualidade do desempenho dos controles internos.
a) Ambiente de controle
• O ambiente de controle apresenta a filosofia da empresa
quanto à implementação de um controle interno eficaz.
• O ambiente de controle inclui as funções de governança e
administração e as atitudes, consciência e ações dos
responsáveis pela governança e administração no que se refere
ao controle interno da entidade e sua importância na entidade.

29
• Os fatores relacionados ao ambiente de controle incluem:
 integridade e valores éticos;
 competência das pessoas da entidade;
 filosofia e estilo operacional da organização;
 aspectos relacionados com a gestão, competência;
 forma de atribuição da autoridade e responsabilidade;
 políticas de recursos humanos.
b) Processo de avaliação de risco da entidade
• A administração é a responsável pelo controle interno da
entidade e pela elaboração das demonstrações contábeis da
entidade.
• Por consequência, o auditor deve fazer indagações junto à
administração sobre sua avaliação do risco, para prevenir sua
existência e detectá-lo.

31
• O auditor deve buscar entender se a entidade tem processo para:
a) identificar riscos de negócio relevantes para os objetivos das
demonstrações contábeis;
b) estimar a significância dos riscos;
c) avaliar a probabilidade de sua ocorrência; e
d) decidir sobre ações em resposta a esses riscos.

32
c) Sistema de informação e comunicação
• Um sistema de informação é composto de infra-estrutura
(componentes físicos e de hardware), software, pessoas,
procedimentos e dados.
• O auditor deve entender que a qualidade das informações
geradas por sistemas afeta a capacidade da administração de
tomar decisões apropriadas na gestão e controle das atividades
da entidade e no preparo de relatórios financeiros confiáveis.

33
• A comunicação, que envolve fornecer entendimento de funções
e responsabilidades individuais próprias do controle interno
sobre as demonstrações contábeis, pode assumir as formas de
manuais de políticas, manuais de relatórios contábeis e
financeiros e memorandos. A comunicação também pode ser
feita eletronicamente, verbalmente e por meio de ações da
administração.

34
d) Atividades de controle
• Atividades de controle são aquelas que o auditor julga
necessário entender para avaliar os riscos de distorção
relevante no nível da afirmação e desenhar procedimentos
adicionais de auditoria em resposta aos riscos avaliados.
• Uma auditoria não requer entendimento de todas as atividades
de controle relacionadas a cada classe significativa de
transações, saldo de conta e divulgação nas demonstrações
contábeis ou a toda afirmação relevante nessas demonstrações.

35
• Geralmente, as atividades de controle que podem ser
relevantes para a auditoria podem ser classificadas como
políticas e procedimentos que pertencem ao seguinte:
a) Revisões de desempenho
b) Processamento de informações
c) Controle físico
d) Segregação de funções

36
e) Monitoramento dos controles
• O monitoramento de controles é um processo para avaliar a
efetividade do desempenho dos controles internos ao longo do
tempo.
• Envolve avaliar a efetividade dos controles tempestivamente e
tomar as necessárias ações corretivas.
• A administração consegue o monitoramento de controles por
meio de atividades contínuas, avaliações separadas ou a
combinação de ambos.

37
• O monitoramento dos controles inclui considerar se eles estão
operando conforme o pretendido e que sejam adequadamente
modificados para atender as mudanças de condições e também
é feito para assegurar que os controles continuem a operar
efetivamente ao longo do tempo.
• Por exemplo, se a tempestividade e exatidão das conciliações
bancárias não forem monitoradas, é provável que os
funcionários parem de elaborá-las.

38
 3
1 DIMENSÃO – OBJETIVOS
2 D
I
D
I M
M E
E N
N
S S
à Ã
O O
C
-
O
M E
P S
O T
N
E R
N U
T T
E
U
S
R
A
CAIU NA PROVA
De acordo com o COSO ICIF 2013 (Internal Control — Integrated
Framework), julgue o item subsequente, relativo a controles internos.

1. (CESPE/CGC-JP/Controle interno/2018) Na realização do controle

interno, a análise sobre eficiência e eficácia relaciona-se ao exame das
demonstrações contábeis, porém não abrange as operações de
determinada instituição auditada.
• De acordo com o COSO ICIF 2013 (Internal Control — Integrated
Framework), julgue o item subsequente, relativo a controles
internos.

2. (CESPE/CGC-JP/Controle interno/2018) Controle interno

consiste no conjunto de processos desenhados para promover
uma asseguração razoável quanto ao alcance dos objetivos
relacionados a operações, relatórios financeiros e cumprimento
das leis.
• De acordo com o COSO ICIF 2013 (Internal Control — Integrated
Framework), julgue o item subsequente, relativo a controles internos.
3. (CESPE/CGC-JP/Controle interno/2018) Para atender aos objetivos
relacionados ao termo compliance, que se refere basicamente à adesão
de determinada instituição a leis e regulamentos, um auditor, ao analisar
o cumprimento de aspectos legais por parte de determinada prefeitura,
deve, por exemplo, verificar se o município está destinando o percentual
mínimo de recursos que, de acordo com a lei, deve ser aplicado em áreas
como saúde e educação.
• A respeito da atividade de controle interno, julgue o próximo item à luz
das disposições do Committee of Sponsoring Organizations of the
Tradeway Commission (COSO).
4. (CESPE/TELEBRÁS/Analista de controle/2015)Para o aprimoramento dos
controles internos, é importante que a organização adote um processo de
controles internos com foco em todas as categorias de objetivos, a saber:
operações, informações e compliance. Nesse sentido, caso uma organização
sofra perdas patrimoniais mediante desvio de recursos tais perdas
constituirão exemplo de deficiência de controles internos com
comprometimentos de objetivos da categoria objetivos operacionais.
Em relação ao ambiente de controle e à avaliação de riscos na
organização, julgue o item.

5. (CESPE/MPU/Controle interno/2015) Um efetivo ambiente de

controle é influenciado por fatores intangíveis, entre os quais se
destacam os valores éticos das pessoas nele inseridas.
6. (CESPE/SEFAZ-RS/AFRE/2019) A respeito do estudo e da avaliação do sistema contábil e dos
controles internos das entidades, julgue os itens seguintes.
I O sistema contábil e de controles internos compreende o plano de organização e o conjunto
integrado de métodos e procedimentos empregados pela entidade para a proteção de seu
patrimônio, para a promoção da confiabilidade e tempestividade dos seus registros e de suas
demonstrações contábeis, e para sua eficácia operacional.
II Na avaliação do sistema contábil e de controles internos, o auditor deve considerar o
ambiente de controle existente na entidade, os procedimentos de controle adotados pela
administração da entidade e a existência e efetividade da supervisão externa realizada por
órgãos específicos.
III Ao realizar o estudo e a avaliação do sistema contábil e de controles internos da entidade,
como base para determinar a natureza, a oportunidade e a extensão da aplicação dos
procedimentos de auditoria, o auditor deve considerar o grau de descentralização de decisão
adotado pela administração da entidade.
Assinale a opção correta.
a) Apenas o item I está certo.
b) Apenas o item II está certo.
c) Apenas os itens I e III estão certos.
d) Apenas os itens II e III estão certos.
e) Todos os itens estão certos.
7. (CESPE/SEFAZ-RS/AFRE/2019) Assinale a opção que indica o
componente de controle interno que serve de fundamento para os
demais componentes e que se refere diretamente aos valores éticos e à
criação de uma cultura de honestidade dentro de uma entidade.
a) ambiente de controle
b) processo de avaliação de risco
c) sistema de informação
d) atividades de controle
e) monitoramento dos controles
8. (FGV/IBGE/Auditor/2016) Uma determinada entidade está realizando
reestruturação das suas atividades. Um dos pontos de reestruturação foi a
incorporação de novos serviços, que exigirá a contratação de mais pessoas e a
aquisição de novos materiais. Em decorrência disso, a entidade identifica e
avalia as mudanças que poderiam afetar, de forma significativa, o sistema de
controle interno.
Essa postura da entidade está relacionada ao seguinte componente da
estrutura de controle interno:
a) ambiente de controle;
b) avaliação de riscos;
c) atividades de controle;
d) atividades de monitoramento;
e) informação e comunicação.
9. (FGV/TJ-PI/Contador/2016) De acordo com as Normas internacionais
para a prática profissional de auditoria interna, emitidas pelo Institute of
Internal Auditors, a avaliação do ambiente de controle é componente
essencial para se atingir os principais objetivos do sistema de controle
interno. São elementos constituintes do ambiente de controle, EXCETO:
a) atividades de controle sobre a tecnologia;
b) atribuição de autoridade e responsabilidade;
c) estilo operacional da administração;
d) integridade e valores éticos;
e) políticas e práticas de recursos humanos.
10. (IBADE/ARACRUZ/Auditor/2019) É responsável pela implantação do
sistema de controle interno na empresa:
a) auditor interno.
b) auditor externo.
c) C V M.
d) IBRACON.
e) administração da empresa.
11. (UFMG/UFMG/Auditor/2019) Considere as afirmações sobre o controle interno:
I. O controle interno visa proteger ativos, produzir dados contábeis confiáveis e ajudar
a administração na condução ordenada dos negócios da empresa.
II. O auditor, ao avaliar o controle interno de uma organização, deve levantar o
sistema de controle interno e pressupor que esse sistema levantado está sendo
seguido na prática.
III. O auditor pode reduzir o volume de testes de auditoria na hipótese de a empresa
ter um sistema de controle interno forte.
IV. O auditor não precisa executar testes caso o sistema de controle seja classificado
como excelente.
Com base em Almeida (2012), estão CORRETAS as afirmações:
a) I e II, apenas.
b) I e IV, apenas.
c) I e III, apenas.
d) II e IV, apenas.
12. (FGV/TCM-SP/Contador/2015) O COSO apresentou, em 1992, um modelo
amplamente aceito para o estabelecimento de controles internos denominado
“Controle Interno – Estrutura Integrada” – aplicável a entidades de grande, médio e
pequeno portes, com ou sem fins lucrativos, bem como ao setor público – , que ficou
popularmente conhecido como COSO I. Segundo esse modelo, controle interno:
a) é um processo de trabalho que deve ficar a cargo da unidade de auditoria interna de
cada entidade;
b) é um processo conduzido pela estrutura de governança, pela administração e por
pessoas da organização;
c) é um processo que consiste de tarefas que devem ser realizadas ao menos uma vez
em cada exercício financeiro;
d) visa proporcionar certeza de que os objetivos da entidade serão alcançados;
e) não auxilia a organização a prever eventos externos que possam afetar
negativamente o alcance de seus objetivos.
13. (FGV/TCM-SP/Contador/2015) O Comitê das Organizações Patrocinadoras da
Comissão Treadway (COSO, na sigla em inglês) publicou, em 2004, o modelo
denominado “Gerenciamento de Riscos Corporativos” (ERM, na sigla em inglês),
popularizado como COSO II. Segundo esse modelo, as quatro categorias de objetivos
comuns à maioria das organizações são:
a) objetivos contábeis; objetivos de controle; objetivos estratégicos e objetivos de
salvaguarda de ativos;
b) objetivos estratégicos; objetivos sociais; objetivos de lucro e objetivos de
divulgação;
c) objetivos estratégicos; objetivos operacionais; objetivos de comunicação e objetivos
de conformidade;
d) objetivos de conformidade; objetivos de comunicação; objetivos de relacionamento
com partes interessadas e objetivos ambientais e de sustentabilidade;
e) objetivos de comunicação; objetivos operacionais; objetivos de relacionamento com
partes interessadas e objetivos ambientais e de sustentabilidade.
14. (CESGRANRIO/CEFET-RJ/Auditor/2014) O sistema de controles
internos de uma empresa é composto por controles preventivos e
detectivos.
Os controles preventivos possuem o objetivo de :
a) revisar o desempenho das atividades operacionais.
b) estabelecer níveis de governança corporativa na empresa.
c) evitar a ocorrência de um problema relacionado ao processo.
d) verificar onde ocorreram os problemas de um determinado processo
e) gerenciar todos os riscos relacionados aos processos internos da
empresa.
15. (FUNIVERSA/SEAP-DF/Controle interno/2014) Com base nos modelos de
referência de controle interno adotados pelo COSO (Commitee of Sponsoring
Organizations of the Treadway Commission) — Comitê das Organizações
Patrocinadoras, assinale a alternativa correta.
a) Os controles internos estão essencialmente dirigidos para riscos de origem
financeira ou vinculados a resultados escriturais.
b) Pelos novos paradigmas, o papel essencial da auditoria interna é o de
avaliação da conformidade legal das despesas públicas.
c) O desenvolvimento de um conjunto de ações concretas para mitigação dos
riscos implica em que a administração não possa cogitar estratégia de sua
mera aceitação.
d) A importância da identificação de eventos de risco é o fato de que os riscos,
por serem negativos, sempre trazem ameaças e, portanto, possíveis perdas.
e) A comunicação é uma das categorias de objetivos comuns às organizações
em geral, que tem foco na confiabilidade e na disponibilidade das informações.
16. (FCC/TRT 13ª/Contador/2014) A referência mundial para sistemas de
controle interno é o Modelo The Committee of Sponsoring Organizations
of the Treadway Commission - COSO, que traz especificações relacionadas
a uma
a) estrutura voltada para a gestão de riscos.
b) padronização de papéis de trabalho.
c) metodologia de circularização de informações de acesso restrito.
d) metodologia de processamento digital de dados.
e) padronização de técnicas de amostragem.
17. (FGV/Prefeitura de Salvador/Controladoria/2018) A Estrutura Integrada de
Controle Interno proposta pelo Committee Of Sponsoring Organizations of the
Treadway Commission (COSO) organiza o controle interno em cinco
componentes.
Quando uma entidade que organizou o seu controle interno a partir da
estrutura do COSO realiza avaliações contínuas e/ou independentes para se
certificar da presença e do funcionamento dos componentes do controle
interno, está atendendo diretamente ao componente de:
a) ambiente de controle;
b) avaliação de riscos;
c) atividades de controle;
d) atividades de monitoramento;
e) informação e comunicação.
Gabarito:

1 E, 2 C, 3 C, 4 C, 5 C, 6 C, 7 A, 8 B, 9 A, 10 E, 11 C, 12 B, 13 C, 14 C, 15 E,
16 A, 17 D
PGR – GERENCIAMENTO DE RISCO
• Em 2001, o COSO associou-se a Pricewaterhouse-Coopers para
desenvolver o projeto de um framework (programa) que permitisse
efetivamente identificar, avaliar e gerenciar riscos.
• A metodologia de controle e avaliação de riscos mais utilizada a partir
deste ano é o PGR - programa de gerenciamento de riscos, também
chamado de ERM (Enterprise Risk Management). COSO II

60
• O gerenciamento de riscos corporativos é um processo
conduzido em uma organização pelo conselho de
administração, diretoria e demais empregados, aplicado no
estabelecimento de estratégias, formuladas para identificar em
toda a organização eventos em potencial, capazes de afetá-la, e
administrar os riscos de modo a mantê-los compatível com o
apetite a risco da organização e possibilitar garantia razoável do
cumprimento dos seus objetivos.
• O gerenciamento de riscos corporativos é:
 um processo contínuo e que flui através da organização;
 conduzido pelos profissionais em todos os níveis da organização;
 aplicado à definição das estratégias;
 aplicado em toda a organização, em todos os níveis e unidades, e inclui a
formação de uma visão de portfólio de todos os riscos a que ela está
exposta;
 formulado para identificar eventos em potencial, cuja ocorrência poderá
afetar a organização, e para administrar os riscos de acordo com seu apetite
a risco;
 capaz de propiciar garantia razoável para o conselho de administração e a
diretoria executiva de uma organização;
 orientado para a realização de objetivos em uma ou mais categorias
distintas, mas dependentes
• No PGR/ERM o controle interno está situado no centro, e faz parte
integral do gerenciamento de riscos corporativos.
• Esse gerenciamento é de caráter mais amplo do que o controle
interno, expandindo e acrescentando detalhes ao controle interno
para formar uma conceituação mais robusta e totalmente focada
em risco.

63
 1 DIMENSÃO

2 3

D D
I I
M M
E E
N N
S S
à Ã
O O
• Com base na missão ou visão estabelecida por uma organização, a
administração estabelece os planos principais, seleciona as estratégias e
determina o alinhamento dos objetivos nos níveis da organização.
• A estrutura de gerenciamento de riscos corporativos é orientada a fim de
alcançar os objetivos de uma organização e são classificados em quatro
categorias:
 Estratégicos – metas gerais, alinhadas com o que suportem à sua missão.
 Operações – utilização eficaz e eficiente dos recursos.
 Comunicação – confiabilidade de relatórios.
 Conformidade – cumprimento de leis e regulamentos aplicáveis.
• Risco é a possibilidade de algo acontecer e ter um impacto
negativo nos objetivos e é medido em termos de impactos e
probabilidades, pode-se entender como uma medida de
incerteza e engloba fatores que podem impedir o atingimento
dos objetivos organizacionais.
 Probabilidade é a possibilidade da ocorrência de uma ameaça.
 Impacto é o efeito ou consequência de um ataque ou incidente
para a organização.

67
• Não existe uma classificação completa sobre os riscos, sendo que as
necessidades empresariais e o contínuo aprimoramento estabelecem os
riscos de acordo com as metas, objetivos ou resultados da organização, em:
I - Estratégicos (para a direção da organização e a realização de seus planos)
II - Comerciais (para as relações comerciais, como falhas em contratos)
III - Operacionais (para a atividade-fim da organização, como recursos humanos
inadequados, dano físico em ativos ou ameaças à segurança física)
IV - Técnicos (para se administrar ativos, por exemplo, falhas em equipamentos)
V - Financeiro e de sistemas (para controles financeiros e sistemas, por
exemplo, fraudes)
VI - De conformidade (para cumprir com as obrigações legais).

68
• A premissa inerente ao gerenciamento de riscos é que toda
organização existe para gerar valor às partes interessadas e elas
enfrentam incertezas.
• O desafio de seus administradores é determinar até que ponto
aceitar essa incerteza, assim como definir como essa incerteza pode
interferir no esforço para gerar valor às partes interessadas.

Incertezas representam riscos e

oportunidades, com potencial para
destruir ou agregar valor.

69
• Assim, os eventos podem gerar impacto tanto negativo quanto
positivo ou ambos.
• Os eventos que geram impacto negativo representam riscos que
podem impedir a criação de valor ou mesmo destruir o valor
existente. Devem ser combatidos.
• Os eventos de impacto positivo podem contrabalançar os de
impacto negativo ou podem representar oportunidades, que por
sua vez representam a possibilidade de um evento ocorrer e
influenciar favoravelmente a realização dos objetivos, apoiando a
criação ou a preservação de valor. Devem ser otimizados.
70
• O gerenciamento de riscos corporativos é um processo conduzido
em uma organização pelo conselho de administração, diretoria e
demais empregados, aplicado no estabelecimento de estratégias,
formuladas para identificar em toda a organização eventos em
potencial, capazes de afetá-la, e administrar os riscos de modo a
mantê-los compatível com o apetite a risco da organização e
possibilitar garantia razoável do cumprimento dos seus objetivos.

71
• Para a IFAC (2001), o gerenciamento de risco é definido como um processo
para:
a) entender os objetivos organizacionais;
b) identificar os riscos associados ao alcance desses objetivos, em uma base
contínua, de forma a poder reagir a (ou iniciar) mudanças de uma maneira
apropriada e oportuna;
c) estimar os riscos, em termos da probabilidade de algo acontecer e o seu
potencial impacto;
d) estabelecer políticas apropriadas e procedimentos para gerenciá-las, na
proporção dos riscos ou oportunidades envolvidos;
e) monitorar e avaliar os riscos e os programas ou procedimentos utilizados para
tratá-los, afim de revisar riscos passados e buscar se antecipar aos futuros e
monitorar mudanças nos ambientes interno e externo para obter informação
que possa sinalizar uma necessidade de se reavaliar os objetivos da entidade ou
do controle.
• O gerenciamento de riscos contribui para assegurar
comunicação eficaz e o cumprimento de leis e regulamentos,
bem como evitar danos à reputação da organização e suas
consequências, ajudando a organização a atingir seus objetivos
e a evitar os perigos e surpresas em seu percurso.

73
 ATENÇÃO

• Se aplicado forma equivocada o programa de gerenciamento de risco

pode trazer efeitos adversos, expondo a organização a riscos enquanto
passa uma falsa impressão de controle.
• O ERM é composto pelo seguintes componentes:
a) Ambiente de Controle
b) Definição de Objetivos
c) Identificação de Eventos
d) Avaliação de Risco
e) Tratamento dos Riscos
f) Atividades de Controle
g) Informação e Comunicação
h) Monitoramento
75
• A face superior do cubo apresenta os objetivos que devem ser
objeto do gerenciamento de risco; a face frontal representa os
componentes do gerenciamento de riscos, ou, o que é
necessário fazer para atingir os objetivos; a face lateral
representa os níveis da organização objetos da gestão de riscos.
• Observe-se que a visão integrada dos elementos do modelo
demonstra o contexto das ações da direção ao gerenciar os
riscos da organização.
Fonte: CGU

78
Fonte: CGU

79
Fonte: CGU

80
• A rigor, o gerenciamento de riscos corporativos não é um processo
em série pelo qual um componente afeta apenas o próximo.
• É um processo multidirecional e interativo segundo o qual quase
todos os componentes influenciam os outros.

81
• Com maior enfoque em risco, a estrutura de gerenciamento de
riscos corporativos amplia o componente de gerenciamento de
riscos da estrutura de controle interno, criando quatro
componentes:
• fixação de objetivos (que é um pré-requisito do controle
interno), identificação de eventos, avaliação de riscos e
resposta a riscos.

82
• Ambiente de controle
 O ambiente interno é moldado pela história e cultura da organização e, por
sua vez, molda, de maneira explícita ou não, a cultura de riscos da
organização e a forma como eles são encarados e gerenciados (tom da
organização), influenciando a consciência de controle das pessoas.
 É a base para todos os outros componentes do sistema, provendo disciplina
e estrutura. Os fatores que compõem o ambiente interno incluem
integridade, valores éticos e competência das pessoas, maneira pela qual a
gestão delega autoridade e responsabilidades, estrutura de governança e
organizacional, o “perfil dos superiores” (ou seja, a filosofia da direção e o
estilo gerencial), as políticas e práticas de recursos humanos etc.
• Fixação de Objetivos
 Os objetivos devem ser definidos a priori para que seja possível identificar
os riscos a eles associados. A explicitação de objetivos, alinhados à missão e à
visão da entidade, é necessária para permitir a identificação de eventos que
potencialmente impeçam sua consecução.
 Definir os objetivos é, assim, uma pré-condição para identificação dos
eventos de risco e para avaliação e definição de estratégias para gerenciá-los
(resposta a riscos).
 O gerenciamento de riscos corporativos assegura que a administração
disponha de um processo implementado para estabelecer os objetivos que
propiciem suporte e estejam alinhados com a missão da organização e sejam
compatíveis com o seu apetite a riscos. 84
• Identificação de Eventos
 Todos os processos de uma organização têm algum risco associado,
inerente a sua própria natureza, assim, a identificação de eventos consiste em
determinar e catalogar esses riscos, nos diversos níveis da organização. Ou
seja, mapear a existência de situações que possam impedir o alcance dos
objetivos fixados ou a não existência de situações consideradas necessárias
para se chegar a tais objetivos ao nível da organização, de suas unidades de
negócio, processos e atividades.
 Os eventos são divididos em internos e externos que influenciam o
cumprimento dos objetivos de uma organização devem ser identificados e
classificados entre riscos e oportunidades. 85
 O processo de identificação de eventos de risco pode abranger tanto
riscos negativos, tidos como ameaças, cujas consequências são perdas,
como os riscos positivos, vislumbrados como oportunidades, cujas
consequências são ganhos que façam a organização a alcançar seus
objetivos aquém das expectativas, estes levando a organização a
alcançar resultados superiores aos obtidos atualmente ou além das
expectativas.
 Essas oportunidades são canalizadas para os processos de
estabelecimento de estratégias da administração ou de seus objetivos.
• Avaliação de Riscos
 Os riscos são analisados, considerando-se a sua probabilidade e o
impacto como base para determinar o modo pelo qual deverão ser
administrados.
 O objetivo da avaliação é formar uma base para o desenvolvimento de
estratégias (resposta a risco) de como os riscos serão administrados, de
modo a diminuir a probabilidade de ocorrência e/ou a magnitude do
impacto.
 Esses riscos são avaliados quanto à sua condição de inerentes e
residuais, por meio de análises qualitativas e quantitativas, ou da
combinação de ambas.

87
Risco inerente é o risco do negócio, do processo ou da atividade,
independente dos controles adotados.
 Risco residual é o risco que remanesce após a mitigação por
controles.
• Resposta a Risco
 É o processo de desenvolver e determinar estratégias para gerenciar os
riscos identificados.
 A administração escolhe as respostas aos riscos - evitando, aceitando,
reduzindo ou compartilhando – desenvolvendo uma série de medidas
para alinhar os riscos com a tolerância e com o apetite a risco.

89
• O tratamento dos riscos inicia-se pelo dilema básico: evitar ou
aceitar o risco.
 Evitar o Risco: decisão de não se envolver ou agir de forma a se
retirar de uma situação de risco. Exemplo: uma organização decide se
desfazer de uma unidade de negócios.
 Aceitar o Risco: neste caso, apresentam-se quatro alternativas: reter,
reduzir, transferir/compartilhar ou explorar o risco.

90
 Avaliação de Risco

Identificar riscos de
negócio relevantes Decidir sobre ações em
para os objetivos da resposta a esses riscos
organização

Estimar a significância Avaliar a probabilidade

dos riscos de sua ocorrência
 Resposta aos Riscos

Evitar Reduzir Compartilhar Aceitar

• Suspensão das • Adoção de • Redução da • Não adotar
atividades. procedimentos probabilidade medidas
de controle ou do impacto. mitigadoras.
para minimizar
a probabilidade
e/ou o impacto
do risco.
 Planilha de riscos

Alto Impacto / Alto Impacto /

Baixa Probabilidade Alta Probabilidade
Compartilhar Evitar
Compartilhar
Reduzir

Baixo Impacto / Baixo Impacto /

Baixa Probabilidade Alta Probabilidade

Aceitar Reduzir

Probabilidade
• Atividades de Controle
 São as políticas e procedimentos estabelecidos e implementados para
assegurar que as respostas aos riscos sejam executadas com eficácia.
 As atividades de controle devem estar distribuídas por toda a organização,
em todos os níveis e em todas as funções.
 Elas incluem uma gama de controles preventivos e detectivos, como
procedimentos de autorização e aprovação, segregação de funções
(autorização, execução, registro e controle), controles de acesso a recursos e
registros, verificações, conciliações, revisões de desempenho, avaliação de
operações, de processos e de atividades, supervisão direta etc.
 As ações corretivas são um complemento

94
• Informações e Comunicações
 Todos na organização devem receber mensagens claras quanto ao seu papel e ao
modo como suas atividades influenciam e se relacionam com o trabalho dos
demais na consecução dos objetivos fixados.
 A importância do controle interno para a gestão das organizações está no seu
potencial informativo para suporte ao processo decisório. A habilidade da
administração de tomar decisões apropriadas é afetada pela qualidade da
informação, que deve ser útil, isto é, apropriada, tempestiva, atual e precisa.
 As informações relevantes são identificadas, colhidas e comunicadas de forma e
no prazo que permitam que cumpram suas responsabilidades.
 A comunicação eficaz também ocorre em um sentido mais amplo, fluindo em
todos níveis da organização.
95
• Monitoramento
 Monitorar diz respeito a avaliar, certificar e revisar a estrutura de gestão de
riscos e controles internos para saber se estão sendo efetivos ou não.
 Tem, portanto, o objetivo de avaliar a qualidade da gestão de risco e dos
controles internos ao longo do tempo, buscando assegurar que estes
funcionam como previsto e que são modificados apropriadamente, de acordo
com mudanças nas condições que alterem o nível de exposição a riscos.
 O monitoramento é realizado através de atividades gerenciais contínuas
ou avaliações independentes ou de ambas as formas.

96
• O primeiro modo é realizado pelo próprio corpo gerencial da entidade e
deve distinguir-se claramente da avaliação das operações.
• Consiste em identificar informações que irão indicar se o processo de gestão
de riscos e controles internos está funcionando eficazmente, por meio de
análises de variância, comparações de informações provindas de fontes
diversas etc., com a devida consideração em relação a mudanças de
processos, alterações no volume de transações, dentre outros fatores que
necessitam de atenção dado o seu potencial de alterar o nível de exposição
a riscos da entidade e de seus processos de negócio.
• No segundo modo, o monitoramento é realizado mediante
autoavaliação, pela própria equipe responsável pelo processo ou
por unidade de controle interno, podendo ainda ser executado por
auditoria interna ou externa.
• Todas as deficiências (condição, real ou potencial, que possa afetar o
alcance de objetivos) ou oportunidades para fortalecer o controle
interno (aumentar as probabilidades de alcance dos objetivos), devem
ser comunicadas às pessoas que podem adotar as ações necessárias.
•CAIU NA PROVA
• Com relação ao processo de controle interno e de avaliação e
gestão de riscos, julgue o item a seguir.
1. (CESPE/FUNPRESP-EXE/Analista/2016) Cabe ao controle interno
de uma entidade fiscalizar a administração e o corpo funcional dessa
entidade.
• Ainda à luz das disposições do COSO relativas a controle interno,
julgue o item a seguir.

2. (CESPE/TELEBRÁS/Analista administrativo/2015) Para que o

componente avaliação de riscos seja considerado efetivo, é
necessário que a organização implemente ações de gerenciamento
de riscos assim que os riscos sejam identificados.
• Ainda à luz das disposições do COSO relativas a controle interno, julgue o
item a seguir.

3. (CESPE/TELEBRÁS/Analista administrativo/2015) Caso uma organização

tenha o alcance de seus objetivos prejudicado pela ocorrência de
alterações inesperadas no ambiente externo, como aumento da inflação e
do desemprego, então ela precisará implementar melhorias no
componente avaliação de riscos.
• Em relação ao ambiente de controle e à avaliação de riscos na
organização, julgue o próximo item.

4. (CESPE/MPU/AFC/2015) A alta administração, que exerce a função de

governança da entidade, é responsável pela definição de um adequado
ambiente de controle, que independe da atuação da auditoria interna ou
externa
• Em relação ao ambiente de controle e à avaliação de riscos na
organização, julgue o próximo item.

5. (CESPE/MPU/AFC/2015) Independentemente da existência de uma

área específica de gestão de riscos, a auditoria interna é organizada
com a função de assegurar o cumprimento dos objetivos do negócio e
o gerenciamento de riscos.
6. (CESPE/SEFAZ-DF/Auditor/2018) Determinado componente do
gerenciamento de riscos corporativos permite que a organização considere
até que ponto eventos em potencial podem impactar o atingimento de
seus objetivos. O COSO denomina esse componente de
a) monitoramento.
b) atividades de controle.
c) avaliação de riscos.
d) identificação de eventos.
e) informações e comunicações.
7. (CESPE/TCE-PR/Analista de Controle/2016) A respeito de controles internos,
de acordo com o Manual de Gerenciamento de Riscos Corporativos — Estrutura
Integrada (COSO II), do Committee of Sponsoring Organization, assinale a opção
correta.
a) Em uma organização, o gerenciamento de riscos corporativos, processo
conduzido pelos seus membros, consiste em estabelecer estratégias para
identificar e administrar potenciais eventos capazes de afetá-la.
b) Nas atividades de monitoramento, a organização deve escolher e executar
avaliações para averiguar se os componentes do controle externo estão em
operação.
c) Segundo o COSO II, são quatro os componentes para o gerenciamento de
riscos corporativos: ambiente externo; fixação de objetivos; estabelecimento de
riscos; atividades de controle; e monitoramento.
d) No gerenciamento de riscos corporativos, a fixação dos objetivos será
realizada após a identificação dos eventos, a fim de se determinar quais ações
serão realizadas para cada tipo de risco.
e) Risco inerente é aquele que perdura mesmo depois da resposta dos dirigentes
da organização.
8. (FUNCAB/Prefeitura de vassouras/ATFM/2015) A função de auditoria
que pode ajudar a organização mediante a identificação e a avaliação das
exposições significativas a riscos e a contribuição para a melhoria dos
sistemas de controle é denominada:
a) Governança Corporativa.
b) Gestão de Risco.
c) Balanced Scorecard.
d) Análise de SWOT.
e) Avaliação do Risco Inerente.
9. (ESAF/CGU/AFC/2012) Acerca da aplicação da estrutura conceitual de
análise de risco, é correto afirmar que:
a) o gerenciamento de riscos corporativos é um processo em série, por
meio do qual um componente afeta apenas o próximo, e assim
sucessivamente.
b) uma fórmula bem sucedida de gerenciamento de riscos pode ser
replicada de maneira homogênea entre diversas organizações, desde que
elas atuem em campos semelhantes.
c) o controle interno, dado seu caráter fiscalizador, não pode ser tido como
parte integrante do gerenciamento de riscos corporativos.
d) um eficaz gerenciamento de riscos corporativos dita não só os objetivos
que a administração deve escolher, mas também sua estratégia.
e) o fato de um agente externo contribuir diretamente para que uma
organização alcance seus objetivos não o torna parte do gerenciamento de
riscos corporativos.
10. (FEPESE/CELESC/Contador/2018) De acordo com o Controle Interno do
COSO - Framework Integrado, qual dos seguintes componentes é
projetado para garantir que os controles internos continuem a operar
efetivamente?
a) Avaliação de risco
b) Ambiente de controle
c) Informação e comunicação
d) Atividades de controle
e) Monitoramento
11. (CESGRANRIO/PETROBRÁS/Auditor/2011) O gerenciamento de riscos dentro
da empresa é uma atividade fundamental que servirá de apoio para diversas
outras atividades, como planejamento estratégico, auditoria interna, etc. Nesse
contexto, durante uma auditoria, o auditor interno deve
a) preparar toda a estrutura da gestão de riscos, realizando o mapeamento de
todas as atividades chaves relacionadas ao processo auditado.
b) justificar à alta administração da empresa os pontos levantados em
consequência de falhas na gestão de riscos dos processos auditados.
c) identificar o tipo de risco associado aos processos auditados, verificando se
estão classificados adequadamente quanto à sua natureza, evitando a
ocorrência de duplicidade nos testes de auditoria.
d) avaliar a aplicação de ferramentas de alta tecnologia que são eficazes para a
realização da gestão dos riscos associados aos processos auditados.
e) avaliar e monitorar os riscos dos processos auditados, verificando as
consequências quando os objetivos não são atingidos e se os controles
associados mitigam os riscos existentes.
12. (FUNDATEC/BRDE/Analista de projetos/2017) De acordo com o
Committee Of Sponsoring Organizations Of The Treadway Commission
(COSO), são componentes de gerenciamento de riscos:
a) Estrutura Organizacional, Filosofia de Gerenciamento, Classificação de
Riscos e Apetite ao Risco.
b) Atividade de Controle, Identificação de Eventos, Gestão Financeira de
Liquidez e Avaliação.
c) Ambiente Interno, Fixação de Objetivos, Identificação de Eventos,
Avaliação de Riscos, Resposta aos Riscos, Atividade de Controle,
Informações e Comunicações.
d) Análise de Riscos, Probabilidade e Impacto, Tolerância e Apetite ao
Risco.
e) Identificação de Eventos, Avaliação de Riscos, Atividades Gerenciais
Contínuas, Avaliações Independentes e Processos Informatizados.
13. (Prefeitura do RJ/CGM/Contador/2016) Existe um relacionamento
direto entre os objetivos que uma organização se empenha em alcançar e
os componentes do gerenciamento de riscos corporativos, que
representam aquilo que é necessário para o seu alcance. Esse
relacionamento é apresentado pelo COSO por meio de uma matriz
tridimensional, em forma de cubo. A organização e as unidades de uma
organização estão dispostas na seguinte dimensão do cubo:
a) primeira
b) segunda
c) terceira
d) base
14. (ESAF/CGU/AFC/2012) De acordo com o COSO, o gerenciamento de
riscos corporativos é constituído de oito componentes interrelacionados.
Um deles, realizado por meio de atividades gerenciais contínuas,
avaliações independentes ou uma combinação desses dois procedimentos,
cuida da integridade do processo de gerenciamento de riscos corporativos,
provendo suas alterações, quando necessário. Trata-se da(o):
a) Avaliação de riscos.
b) Identificação de eventos.
c) Atividade de controle.
d) Monitoramento.
e) Fixação de objetivos.
15. (FGV/TCM-SP/Agente Contador/2015) O Comitê das Organizações
Patrocinadoras da Comissão Treadway (COSO, na sigla em inglês) publicou, em
2004, o modelo denominado “Gerenciamento de Riscos Corporativos” (ERM, na
sigla em inglês), popularizado como COSO II. Segundo esse modelo, as quatro
categorias de objetivos comuns à maioria das organizações são:
a) objetivos contábeis; objetivos de controle; objetivos estratégicos e objetivos
de salvaguarda de ativos;
b) objetivos estratégicos; objetivos sociais; objetivos de lucro e objetivos de
divulgação;
c) objetivos estratégicos; objetivos operacionais; objetivos de comunicação e
objetivos de conformidade;
d) objetivos de conformidade; objetivos de comunicação; objetivos de
relacionamento com partes interessadas e objetivos ambientais e de
sustentabilidade;
e) objetivos de comunicação; objetivos operacionais; objetivos de
relacionamento com partes interessadas e objetivos ambientais e de
sustentabilidade.
16. (FCC/TCE-RS/Auditor/2014) O Modelo The Committee of Sponsoring
Organizations of the Treadway Commission - COSO é mecanismo de
auditoria que tem como foco os riscos corporativos. Dentre os
componentes do COSO 1 estão: a definição de uma filosofia de tratamento
dos riscos e a observação do sistema de controle interno. Esses
componentes são denominados, respectivamente,
a) atividade de controle e monitoramento.
b) ambiente de controle e identificação de riscos.
c) identificação de riscos e avaliação de riscos.
d) ambiente de controle e monitoramento.
e) monitoramento e ambiente de controle.
• Gabarito:
• 1 C, 2 E, 3 C,4 E, 5 C, 6 C, 7 A, 8 B, 9 E, 10 E, 11 E, 12 C, 13 C, 14 D,
15 C, 16 D.
Risco de auditoria

NBCTA 315 R1 – Identificação e avaliação do

Risco de Auditoria
• O objetivo do auditor é identificar e avaliar os riscos de distorção
relevante independentemente se causados por fraude ou erro, por
meio do entendimento da entidade e do seu ambiente, inclusive do
controle interno da entidade, proporcionando assim uma base para o
planejamento e a implementação das respostas aos riscos
identificados.
 Estratégia Características
Objetivo dos
p do trabalho -
Global relatórios
recursos
l
a
n
e Avaliação do
j Análise dos
Controle Materialidade
riscos
a interno
m
e
n
Seleção dos Elaboração do
t itens que serão programa de
o examinados auditoria
Risco de auditoria:
• É o risco de que o auditor expresse uma opinião de auditoria inadequada
quando as demonstrações contábeis contiverem distorção relevante.

O risco de auditoria é uma função dos

riscos de distorção relevante e do risco
de detecção.
• Risco de distorção relevante é o risco de que as demonstrações contábeis
contenham distorção relevante antes da auditoria. Consiste em dois
componentes, descritos a seguir no nível das afirmações em risco inerente e
de controle.
i) risco inerente é a suscetibilidade de uma afirmação a respeito de uma
transação, saldo contábil ou divulgação, a uma distorção que possa ser
relevante, individualmente ou em conjunto com outras distorções, antes da
consideração de quaisquer controles relacionados;
ii) risco de controle é o risco de que uma distorção que possa ocorrer em uma
afirmação sobre uma classe de transação, saldo contábil ou divulgação e que
possa ser relevante, individualmente ou em conjunto com outras distorções,
não seja prevenida, detectada e corrigida tempestivamente pelo controle
interno da entidade.
• Risco de detecção é o risco de que os procedimentos executados pelo
auditor para reduzir o risco de auditoria a um nível aceitavelmente baixo
não detectem uma distorção existente que possa ser relevante,
individualmente ou em conjunto com outras distorções.

O risco de detecção se relaciona com a natureza, a

época e a extensão dos procedimentos que são
determinados pelo auditor para reduzir o risco de
auditoria a um nível baixo aceitável. Portanto, é uma
função da eficácia do procedimento de auditoria e de
sua aplicação pelo auditor
 Já existe nas
Inerente
Distorção atividades
relevante O controle
Risco de De controle
interno falha
auditoria
Auditor Amostra
De detecção
falha errada
 Relação entre os risco de auditoria

Há uma relação inversa entre o risco de

distorção relevante e o risco de
detecção
• Para fins das normas de auditoria, o risco de auditoria não inclui o
risco de que o auditor possa expressar uma opinião de que as
demonstrações contábeis estão erradas quando de fato estão corretas.
• Assim, risco de auditoria representa a possibilidade de o auditor dizer
que as demonstrações erradas estão certas, e não, dizer que as
demonstrações certas estão erradas.
• A análise do risco de auditoria é um processo que acompanha o auditor
ao longo de todo seu trabalho, devendo este ser conduzido, não no
sentido da sua eliminação, mas sim no sentido de reduzi-lo a níveis
aceitáveis.

O auditor não é obrigado e não pode reduzir o risco

de auditoria a zero, e, portanto, não pode obter
segurança absoluta de que as demonstrações
contábeis estão livres de distorção relevante devido
a fraude ou erro.
• O auditor deve ter segurança razoável, isso porque uma auditoria tem
limitações inerentes, e, como resultado, a maior parte das evidências de
auditoria que propiciam ao auditor obter suas conclusões e nas quais baseia
a sua opinião são persuasivas ao invés de conclusivas.
• As limitações inerentes de uma auditoria originam-se da:
natureza das informações contábeis;
natureza dos procedimentos de auditoria; e
necessidade de que a auditoria seja conduzida dentro de um período de
tempo razoável e a um custo razoável.
• Os Procedimentos de avaliação de risco para obter evidência de auditoria a
respeito do desenho e implementação dos controles relevantes podem
incluir:
indagações junto ao pessoal da entidade;
observação da aplicação de controles específicos;
inspeção de documentos e relatórios;
rastreamento das transações por meio de sistema de informação relevante
para as demonstrações contábeis.

A indagação isolada, porém, não é suficiente

para tais propósitos.
• O auditor deve identificar e avaliar os riscos de distorção relevante:
a) no nível das demonstrações contábeis; e
b) no nível de afirmação para classes de transações, saldos de conta e
divulgações.
• Riscos de distorção relevante no nível geral da demonstração contábil
referem-se aos riscos que se relacionam de forma disseminada às
demonstrações contábeis como um todo e que afetam
potencialmente muitas afirmações.

Riscos no nível das demonstrações contábeis podem derivar

especificamente de ambiente de controle deficiente. Por exemplo,
deficiências como a falta de competência da administração ou falta de
supervisão da elaboração das demonstrações contábeis podem ter efeito
mais disseminado sobre as demonstrações contábeis e podem exigir
uma resposta mais abrangente do auditor
• Os riscos de distorção relevante no nível da afirmação são avaliados para
que se determine a natureza, a época e a extensão dos procedimentos
adicionais de auditoria necessários para a obtenção de evidência de
auditoria apropriada e suficiente.

Afirmações são declarações da administração,

explícitas ou não, que estão incorporadas às
demonstrações contábeis, utilizadas pelo auditor
para considerar os diferentes tipos de distorções
potenciais que possam ocorrer.
• As afirmações usadas pelo auditor para considerar os diferentes
tipos de distorções potenciais que possam ocorrer podem se
enquadrar nas seguintes categorias:
a) afirmações sobre classes de transações e eventos e divulgações
relacionadas, para o período sob auditoria.
b) afirmações sobre saldos de contas e divulgações relacionadas no
fim do período.
a) afirmações sobre classes de transações e eventos e divulgações
relacionadas, para o período sob auditoria:
i) ocorrência – transações e eventos que foram registrados ou divulgados
ocorreram e tais transações e eventos são da entidade;
ii) integralidade – todas as transações e eventos que deviam ser registrados
foram registrados; e todas as divulgações relacionadas que deveriam ter sido
incluídas nas demonstrações contábeis foram incluídas;
iii) exatidão – valores e outros dados relacionados a transações e eventos
registrados foram registrados adequadamente, e respectivas divulgações foram
apropriadamente mensuradas e descritas;
iv) corte – as transações e eventos foram registrados no período contábil
correto;
v) classificação – as transações e eventos foram registrados nas contas
corretas;
vi) apresentação – transações e eventos estão apropriadamente agregados
ou desagregados e claramente descritos, e as respectivas divulgações são
relevantes e compreensíveis no contexto dos requisitos da estrutura de
relatório financeiro aplicável.
b) afirmações sobre saldos de contas e divulgações relacionadas no fim do
período:
i) existência – ativos, passivos e elementos do patrimônio líquido existem;
ii) direitos e obrigações – a entidade detém ou controla os direitos sobre
ativos e os passivos são obrigações da entidade;
iii) integralidade – todos os ativos, passivos e patrimônio líquido que deviam
ser registrados foram registrados, e todas as divulgações relacionadas que
deveriam ter sido incluídas nas demonstrações contábeis foram incluídas;
iv) exatidão, valorização e alocação – ativos, passivos e patrimônio líquido
estão incluídos nas demonstrações contábeis nos valores apropriados e
quaisquer ajustes resultantes de valorização ou alocação estão
adequadamente registrados, e as respectivas divulgações estão
apropriadamente mensuradas e descritas;
v) classificação – ativos, passivos e patrimônio líquido foram registrados nas
contas adequadas;
vi) apresentação – ativos, passivos e patrimônio líquido estão adequadamente
agregados ou desagregados e claramente descritos, e respectivas divulgações
são relevantes e compreensíveis no contexto dos requisitos da estrutura de
relatório financeiro aplicável.
• As informações obtidas na execução de procedimentos de avaliação de
riscos, inclusive as evidências de auditoria obtidas ao avaliar o desenho dos
controles e ao determinar se eles foram implementados, são utilizadas
como evidência de auditoria para apoiar a avaliação de riscos.
• A avaliação de riscos determina a natureza, a época e a extensão de
procedimentos adicionais de auditoria a serem executados.
• A relação entre o risco de auditoria e o nível estabelecido de
materialidade é inversamente proporcional, isto é, quanto maior for o
risco de auditoria, menor será o valor estabelecido como nível de
materialidade e vice-versa.

A ideia é que o auditor examine os itens que, se errados, causam um impacto maior na
situação patrimonial e financeira da empresa.
Isso permite ao auditor independente selecionar procedimentos de auditoria que,
combinados, possam reduzir o risco de auditoria a um nível aceitável, examinando os
valores considerados mais relevantes .
CAIU NA PROVA
• Julgue o próximo item, acerca das normas técnicas de auditoria.
1. (CESPE/TCU/AFCE/2015) O risco de auditoria é a possibilidade de o
auditor, por algum motivo alheio a sua vontade, vir a emitir uma
opinião tecnicamente inadequada sobre demonstrações contábeis
significativamente incorretas. Para fins de análise, o risco de auditoria
divide-se em três componentes: risco inerente, risco de controle e risco
de detecção.
• Considerando as etapas e as atividades envolvidas no planejamento e
na execução dos trabalhos do auditor, julgue o item que segue.

2. (CESPE/EMAP/Auditor interno/2018) Quando da avaliação do risco

de detecção, o auditor deve levar em conta que a organização está
exposta ao risco independentemente de quaisquer ações gerenciais
que possam reduzir a probabilidade de sua ocorrência ou seu impacto.
• Julgue o item a seguir, relativo ao planejamento de auditoria.

3. (CESPE/CGM-JP/Técnico de controle interno/2018) Os principais

aspectos não atrelados aos riscos, mas que deverão ser observados na
fase de planejamento incluem a verificação e a comunicação de
eventuais limitações relacionadas aos procedimentos da auditoria
interna, tendo em vista o volume ou a complexidade das transações e
das operações.
4. (CESPE/TCM-BA/Auditor/2018) Entre os riscos envolvidos em uma
auditoria, o único que existe apenas em função da realização do
trabalho de auditoria é o risco
a) residual.
b) de controle.
c) de detecção.
d) de distorção relevante.
e) inerente.
5. (CESPE/SEFAZ-RS/Auditor/2018) Com relação às afirmações e aos riscos
relativos às demonstrações financeiras, assinale a opção correta.
a) Os riscos e as afirmações se relacionam às demonstrações de maneira
parcial.
b) Os riscos se relacionam de forma generalizada às demonstrações financeiras
como um todo.
c) A existência é uma afirmação restrita às transações de contas que englobam
bens tangíveis.
d) A ocorrência é uma afirmação que se refere a todos os saldos iniciais.
e) As afirmações e os riscos restringem-se às contas de resultado nas
demonstrações.
6. (CESPE/CGE-CE/Auditor/2019) Um dos dois componentes de determinado
risco é a suscetibilidade de uma afirmação a respeito de uma transação, saldo
contábil ou divulgação, a uma distorção que possa ser relevante; outro
componente é o risco de que uma distorção que possa ocorrer em uma
afirmação ou em conjunto com outras distorções não seja prevenida,
detectada e corrigida tempestivamente pelo controle interno da entidade.
Essas informações caracterizam o risco
a) de auditoria.
b) de controle.
c) inerente.
d) de distorção relevante.
e) de detecção.
7. (CESPE/SEFAZ-RS/AFTE/2019) Na avaliação inicial de uma empresa auditada,
o auditor independente detectou a possibilidade de a entidade não vir a
concretizar um importante contrato de financiamento, por não atender aos
pré-requisitos estabelecidos pela instituição financeira.
Nessa situação hipotética, de acordo com as normas de auditoria vigentes,
identifica-se um exemplo de risco
a) de negócio.
b) inerente.
c) de controle.
d) significativo.
e) de fraude.
8. (CESPE/SEFAZ-RS/AFTE/2019) Com relação a riscos, julgue os itens a seguir.
I Risco do negócio ocorre quando o auditor independente necessita de laudos
externos para a avaliação de alguma informação.
II Se identificar risco significativo, a equipe de auditoria deverá solicitar
interrupção do contrato com o cliente até que a questão seja sanada.
III A avaliação do risco de distorção relevante pode mudar durante o curso da
auditoria.
IV Observação e inspeção são procedimentos utilizados para a avaliação de
riscos.
Estão certos apenas os itens
a) I e II.
b) II e III.
c) III e IV.
d) I, II e IV.
e) I, III e IV.
9. (CESPE/SEFAZ-RS/AFTE/2019) A emissão de opinião inadequada do auditor
sobre demonstrações contábeis finais que contenham distorção relevante
caracteriza o risco
a) de auditoria.
b) de controle.
c) de detecção.
d) de distorção relevante.
e) inerente.
10. (CESPE/TCM-BA/Auditor de controle externo/2018) Entre os riscos
envolvidos em uma auditoria, o único que existe apenas em função da
realização do trabalho de auditoria é o risco
a) residual.
b) de controle.
c) de detecção.
d) de distorção relevante.
e) inerente.
11. (COSEAC/UFF/Auditor/2019) O risco de distorção relevante que uma
demonstração contábil possa conter, relacionado a uma afirmação a
respeito de transação, saldo contábil ou divulgação, a uma distorção que
possa ser relevante, individualmente ou em conjunto com outras distorções,
antes de consideração de quaisquer controles relacionados, é denominado:
a) risco de controle.
b) risco inerente.
c) propensão ao risco.
d) possibilidade de risco.
e) risco evidenciado.
12. (CFC/CFC/Bacharel/2017) De acordo com a NBC TA 200 (R1) – OBJETIVOS
GERAIS DO AUDITOR INDEPENDENTE E A CONDUÇÃO DA AUDITORIA EM
CONFORMIDADE COM NORMAS DE AUDITORIA, risco de detecção é:
a) o risco de que as demonstrações contábeis contenham distorção relevante
antes da auditoria.
b) o risco de que o auditor expresse uma opinião de auditoria inadequada
quando as demonstrações contábeis contiverem distorção relevante.
c) o risco de que os procedimentos executados pelo auditor para reduzir o risco
de auditoria a um nível aceitavelmente baixo não detectem uma distorção
existente que possa ser relevante, individualmente ou em conjunto com outras
distorções.
d) o risco de que uma distorção que possa ocorrer em uma afirmação sobre uma
classe de transação, saldo contábil ou divulgação e que possa ser relevante,
individualmente ou em conjunto com outras distorções, não seja prevenida,
detectada e corrigida tempestivamente pelo controle interno da entidade.
13. (CONSULPLAN/TRF 2ª/Contador/2017) Na NBC TA 200 encontramos a definição de
“risco de distorção relevante”. Segundo a norma, “é o risco de que as demonstrações
contábeis contenham distorção relevante antes da auditoria. Consiste em dois
componentes: risco inerente e risco de controle”. Assinale a alternativa que apresenta
a definição correta de risco de controle, de acordo com a NBC TA 200.
a) É a suscetibilidade de uma afirmação a respeito de uma transação, saldo contábil ou
divulgação, a uma distorção que possa ser relevante, individualmente ou em conjunto
com outras distorções, antes da consideração de quaisquer controles relacionados.
b) É a suscetibilidade de uma afirmação a respeito de uma transação, saldo contábil
ou divulgação, a uma distorção que possa ser irrelevante, individualmente ou em
conjunto com outras distorções, que seja prevenida, detectada e corrigida
tempestivamente pelo controle interno da entidade.
c) É o risco de que uma distorção que possa ocorrer em uma afirmação sobre uma
classe de transação, saldo contábil ou divulgação e que possa ser relevante,
individualmente ou em conjunto com outras distorções, não seja prevenida, detectada
e corrigida tempestivamente pelo controle interno da entidade.
d) É o risco de que uma distorção que possa ocorrer em uma afirmação sobre uma
classe de transação, saldo contábil ou divulgação e que possa ser irrelevante,
individualmente ou em conjunto com outras distorções, que seja prevenida, detectada
e corrigida tempestivamente pelo controle interno da entidade.
14. (VUNESP/GUARULHOS/Inspetor de rendas/2019) Quanto aos tipos de
riscos de auditoria, é correto afirmar que
a) o risco de detecção independe da ação do auditor.
b) o risco de controle está ligado ao grau de eficácia dos procedimentos
conduzidos pelo auditor.
c) o risco inerente é um risco próprio da natureza da atividade em questão.
d) o risco de controle é o risco de o auditor não detectar um erro ou fraude.
e) o risco de detecção se divide em risco de controle e risco inerente.
15. (VUNESP/ITAPEVI-SP/Auditor/2019) A suscetibilidade de uma afirmação a
respeito de uma transação, saldo contábil ou divulgação, a uma distorção que
possa ser relevante, individualmente ou em conjunto com outras distorções,
antes da consideração de quaisquer controles relacionados, é denominada
risco
a) inerente.
b) de detecção.
c) sistemático.
d) de controle.
e) não sistêmico.
16. (UFG/Prefeitura de Goiânia/Auditor/2017) Risco de auditoria é o risco de
que o auditor expressa uma opinião de auditoria inadequada quando as
demonstrações contábeis contiverem distorção relevante. O risco de auditoria
é uma
a) exigência do risco de percepção e do risco pelo sócio do trabalho.
b) renúncia de suporte aos riscos em que se baseia a opinião do auditor.
c) função dos riscos de distorção relevante e do risco de detecção.
d) relação de eventos que exige conformidade com os riscos da auditoria.
17. (IF-CE/IF-CE/Tecnólogo- gestão/2017) Entende-se por risco inerente
a) a possibilidade de enganos na aplicação dos princípios fundamentais de
contabilidade, com reflexos significativos nas demonstrações financeiras.
b) o risco de não serem descobertos erros ou irregularidades relevantes
durante a aplicação dos procedimentos de auditoria.
c) o risco de não haver um bom sistema de controles internos que previna ou
detecte, em tempo hábil, erros ou irregularidades relevantes.
d) a percepção de possibilidade de ocorrência de erros ou irregularidades
relevantes, mesmo antes de se conhecer e avaliar a eficácia do sistema de
controles da empresa.
e) a existência de “caixa dois”.
18. (CRESCER/CRF-PI/Controlador/2016) O risco do trabalho de asseguração é
o risco de que o auditor expresse uma conclusão inapropriada caso a
informação sobre o objeto contenha distorções relevantes. Sobre o assunto, é
CORRETO afirmar que o risco de detecção:
a) É inversamente proporcional ao risco de distorção relevante.
b) É inversamente proporcional ao risco de controle de auditoria.
c) É composto por uma relação direta entre o risco inerente e o risco de
distorção relevante.
d) É o risco de que os procedimentos executados pelo auditor não detectem
uma distorção relevante.
19. (IBADE/IPERONO-RO/Auditor/2017) Assinale a alternativa correta a
respeito de risco de auditoria em relação a um caso no qual em uma situação
“A” os registros contábeis decorrem de cálculos complexos, na “B” os saldos
das contas são compostos de valores derivados de estimativas contábeis
sujeitas à incerteza significativa e na “C” há transações cujos registros refletem
o valor histórico do item sem a necessidade de cálculos complexos ou
estimativas.
a) Apenas na situação C é possível eliminar o risco de detecção.
b) Apenas nas situações A e C é possível que o auditor consiga reduzir o risco
de auditoria para zero.
c) As situações A e B apresentam um risco significativo do auditor expressar
uma opinião de que as demonstrações contábeis contêm distorção relevante
quando esse não for o caso.
d) O risco inerente tende a ser mais alto nas situações A e B em relação à C.
e) O controle interno pode eliminar os riscos de distorção relevante em
quaisquer das situações apresentadas.
20. (IBADE/IPERONO-RO/Auditor/2017) Quanto menor o risco que o
auditor está disposto a aceitar, maior deve ser o(a):
a) análise dos desvios.
b) seleção sistemática.
c) exercício do julgamento profissional.
d) tamanho da amostra.
e) aplicação de procedimento alternativo.
• Gabarito:

• 1 C, 2 E, 3 E, 4 C, 5 B, 6 D, 7 A, 8 C, 9 A, 10 C, 11 B, 12 C, 13 C, 14 C, 15
A, 16 C, 17 D, 18 A, 19 D, 20 D.