QUESTÃO CERTA: Caso uma organização tenha o alcance de seus objetivos prejudicado pela ocorrência de alterações inesperadas no ambiente externo, como aumento da inflação e do desemprego, então ela precisará implementar melhorias no componente ‘avaliação de riscos’.
Avaliação de Riscos – Os riscos identificados são analisados com a finalidade de determinar a forma como serão administrados e, depois, serão associados aos objetivos que podem influenciar. Avaliam-se os riscos considerando seus efeitos inerentes e residuais, bem como sua probabilidade e seu impacto.
QUESTÃO CERTA: Uma determinada entidade está realizando reestruturação das suas atividades. Um dos pontos de reestruturação foi a incorporação de novos serviços, que exigirá a contratação de mais pessoas e a aquisição de novos materiais. Em decorrência disso, a entidade identifica e avalia as mudanças que poderiam afetar, de forma significativa, o sistema de controle interno. Essa postura da entidade está relacionada ao seguinte componente da estrutura de controle interno: avaliação de riscos;
QUESTÃO ERRADA: Uma adequada avaliação de riscos pressupõe estudo dos acontecimentos já vivenciados pela organização para a correta definição de seus objetivos, uma vez que a ocorrência de eventos futuros incertos não é administrável.
As técnicas para identificação de eventos, base para a avaliação de riscos, examinam tanto o passado quanto o futuro.
Além disso, primeiro define-se os objetivos da organização para depois identificar os eventos que podem influenciar no atingimento desses objetivos.
Por fim, embora o futuro seja incerto, a avaliação de riscos é justamente para que se possa dar uma resposta aos riscos avaliados, podendo-se atuar tanto no impacto quanto na probabilidade de ocorrência desses eventos.
QUESTÃO ERRADA: Para que o componente avaliação de riscos seja considerado efetivo, é necessário que a organização implemente ações de gerenciamento de riscos assim que os riscos sejam identificados.
O componente Avaliação de Riscos estabelece a base para determinar a maneira como os riscos serão gerenciados, ou seja, a ação ocorre a priori, antes que os riscos ocorram e sejam identificados. Não só quando os riscos sejam identificados e sim desde o começo.
Não vamos confundir identificação do risco com ocorrência do risco – o gerenciamento do risco realmente deve ocorrer antes de sua ocorrência, mas só é possível após sua identificação.
Gerenciamento de riscos conforme o COSO:
Análise do ambiente interno> Fixação de Objetivos > Identificação dos eventos (eventos negativos ou positivos) >avaliação dos riscos (inerentes e residuais) > resposta ao risco (evitar, reduzir, compartilhar ou aceitar os riscos) > atividades de controle > Informação e comunicação > monitoramento.
Vê-se que a identificação e avaliação de riscos são parte do gerenciamento, logo, não se pode dizer que para que o componente avaliação de riscos seja considerado efetivo, seja necessário que a organização implemente ações de gerenciamento de riscos assim que os riscos sejam identificados.
QUESTÃO ERRADA: A Organização Sigma e Teta (OST) não vem alcançando na sua totalidade os objetivos estabelecidos em seu processo de planejamento estratégico e identificou como principal causa disso a fragilidade de seus controles internos, pois foram registradas diversas situações que, segundo suas análises, apontam para essa fragilidade e para a necessidade de medidas corretivas urgentes. Com referência a essa situação hipotética e a aspectos correlatos, julgue os itens que se seguem à luz das disposições do COSO relativas a controle interno. Se eventuais irregularidades detectadas não forem tempestivamente corrigidas por ausência de linha clara e efetiva de comunicação às unidades responsáveis pelo seu gerenciamento, então será necessário que a OST adote medidas para aprimorar o componente avaliação de riscos e, com isso, evitar a recorrência das referidas irregularidades.
A palavra evitar macula a questão. Em Auditoria fala-se muito em minimizar irregularidades. O termo “evitar a recorrência” entregou a resposta para quem estava atento.
QUESTÃO ERRADA: De acordo com um princípio estabelecido pelo COSO, todos os riscos identificados ao longo das ações relacionadas ao componente avaliação de riscos devem ser gerenciados.
O erro da questão é afirmar que TODOS os riscos identificados ao longo das ações… devem ser gerenciados.
Segundo o Professor Davi Barreto, o gerenciamento de riscos deve levar em conta o benefício do controle em confronto com o seu custo. Assim, se o benefício em controlar superar seu custo, recomenda-se o gerenciamento dos riscos.
Não são TODOS os riscos. A organização pode considerar alguns riscos aceitáveis, por não valer a pena implementar atividades de gerenciamento para esses riscos.
“A administração especifica os objetivos dentro das categorias: operacional, divulgação e conformidade, com clareza suficiente para identificar e analisar os riscos à realização desses objetivos.”
Ou seja, não são todos os riscos que são gerenciados, mas apenas os relacionados às categorias de objetivo.
Fonte: COSO ICIF 2013, pág. 7.
QUESTÃO ERRADA: De acordo com a estrutura conceitual de análise de risco do tipo COSO, em uma negociação que envolva gestão de dívida pública sob a responsabilidade da Secretaria do Tesouro Nacional junto a terceiros, a avaliação dos riscos deve ser responsabilidade da auditoria interna.
Segundo o COSO:
Ao avaliar riscos, a administração considera os eventos previstos e imprevistos.
Segundo o COSO:
Os administradores devem definir os níveis de riscos que estão dispostos a assumir, pois avaliação de riscos é responsabilidade da administração, mas a auditoria interna pode fazer uma avaliação própria dos riscos, confrontando-a com a avaliação feita pelos administradores.
Estrutura Integrada de Gerenciamento de Riscos – ERM – COSO II:
Definição de Gerenciamento de Riscos corporativos: é um processo conduzido em uma organização pelo conselho de administração, diretoria e demais empregados, aplicado no estabelecimento de estratégias formuladas para identificar em toda a organização eventos em potencial, capazes de afetá-la e administrar os riscos de modo a mantê-los compatíveis com o apetite a risco da organização e possibilitar garantia razoável do cumprimento dos seus objetivos.
