Avaliação de controles internos: contratações públicas

19 Avaliação de Controles Internos: Contratações Públicas – Kleberson Roberto de Souza De modo similar, a Instrução Normativa Conjunta CGU/MP nº 01/2016 conceitua risco como “possibilidade de ocorrência de um evento que venha a ter impacto no cumprimento dos objetivos. O risco é medido em termos de impacto e probabilidade”. Em face do exposto, podemos concluir que os riscos permeiam toda a nossa vida e enfrentamos riscos o tempo todo, em qualquer atividade na vida pessoal, profissional ou no dia a dia das organizações. 2.3 Classificação de Risco Para o COSO, há dois tipos de riscos: inerente e residual . Risco inerente é o que existe independentemente de controles para sua mitigação. Residual e o risco que permanece após a resposta da administração (COSO, 2006). É o risco que permanece mesmo após a implementação de controles internos para reduzir a possibilidade de ocorrência ou seu impacto. 1. RISCO INERENTE (RI) RI – (Controle) = RR 2. RISCO RESIDUAL (RR) Risco da atividade ou processo de trabalho, independente da estrutura de controle interno existente para mitigar os riscos. O entendimento conceitual dessa classificação é fundamental para o ade- quado gerenciamento de riscos. Quando se deseja medir a efetividade da es- trutura de controle existente, realiza-se a avaliação do risco inerente e residual, permitindo a identificação de possíveis falhas ou excessos na estrutura de con- troles internos. Por exemplo, se existem muitos controles para mitigar um risco que inerentemente já é baixo ou se o controle existente não está funcionando efetivamente para mitigar determinado risco priorizado. 2.4 Controles Internos O Instituto Americano de Contadores Públicos Certificados , por meio de Relatório Especial da Comissão de Procedimentos de Auditoria, definiu controles internos como