Nível de riscos que, de forma ampla, uma organização dispõe-se a aceitar na busca de valor reflete na filosofia de gestão de riscos corporativos e, por sua vez, influencia a cultura e o estilo de operação (COSO, 2007).
O texto acima conceitua qual das alternativas a seguir:
Segundo a metodologia COSO-ERM – Gerenciamento de riscos corporativos – Estrutura Integrada, risco é representado pela possibilidade de que um evento ocorrerá e afetará negativamente a realização dos objetivos. Nesse sentido, o Comitê de Governança de um órgão da administração pública federal, durante o processo de mapeamento e avaliação dos riscos a nível estratégico institucional, se depara com duas situações. Na primeira constata o risco que a organização terá de enfrentar na falta de medidas que a administração possa adotar para alterar a probabilidade ou o impacto dos eventos. Na segunda situação identifica o risco que ainda permanece após a resposta da administração.
Na situação hipotética descrita, as duas espécies de risco identificadas pelo comitê são denominadas pelo COSO-ERM, respectivamente, como (assinale a alternativa correta):
A implantação de controle na administração pública no mundo tem desenvolvido componentes e princípios advindos do modelo integrado de controles internos do COSO (Committee Of Sponsoring Organizations of the Treadway Commission). Esse modelo está estruturado em componentes, entre os quais destaca-se a necessidade de mapear a existência de situações que possam impedir o alcance de resultados, para determinar e catalogar essas ameaças nos diversos níveis da organização.
Esse componente do modelo COSO é denominado:
Um dos componentes da Estrutura Integrada de Gerenciamento de Riscos proposta pelo COSO é a Identificação de Eventos.
De acordo com as diretrizes desse componente:
A Secretaria de Fazenda de um Estado da Federação mantém um volume significativo de informações sensíveis armazenado em seus sistemas informatizados. Porém, há indícios de que os controles de tecnologia da informação (TI) têm sido negligenciados, resultando em diversas deficiências no controle de TI. Tendo em vista a salvaguarda dos ativos do ente, procedimentos de revisão periódica dos registros de tentativas de acessos e comandos (não autorizados), com comunicação dos resultados ao gestor competente, podem ser associados ao seguinte componente do controle interno: