Estrutura do COSO
O Committee of Sponsoring Organization of the Treadway Commission (COSO), originado de estrutura criada a partir de iniciativa independente, patrocinado por cinco das principais associações de classe de profissionais ligados à área financeira dos Estados Unidos, sendo elas: i) American Institute of Certified Public Accounts (AICPA); ii) American Accounting Association (AAA); Financial Executives International (FEI); iii) The Institute of Internal Auditors (IIA); e iv) Institute of Management Accountants (IMA). Esse comitê age com independência para dedicar-se à melhoria dos relatórios financeiros através da ética, efetividade dos controles internos e governança.
Atualização das diretrizes
Em maio de 2013, o COSO divulgou atualizações da estrutura de recomendações para ajudar as empresas a aprimorar suas políticas e normas para controlar melhor suas atividades. No contexto do documento denominado Sumário Executivo – Estrutura de Gerenciamento de Riscos Corporativos, o comitê explicita dezessete princípios, os quais representam os conceitos fundamentais para o estabelecimento de controles internos eficazes. A seguir listamos tais princípios e seus grupos de atuação:
Ambiente de controle
1. A organização demonstra compromisso com a integridade e os valores éticos.
2. O conselho de administração demonstra independência da gestão e exercícios de supervisão do desenvolvimento e desempenho do controle interno.
3. A gestão estabelece, com supervisão da diretoria, estruturas, canais de comunicações e autoridades e responsabilidades na busca de objetivos adequados.
4. A organização demonstra compromisso para atrair, desenvolver e reter pessoas competentes, em alinhamento com os objetivos.
5. A organização mantém os indivíduos responsáveis por suas responsabilidades de controle interno na busca de objetivos.
Avaliação de Risco
6. A organização especifica os objetivos com clareza suficiente para permitir a identificação e avaliação dos riscos associados aos objetivos.
7. A organização identifica os riscos para a concretização de seus objetivos através da entidade, e analisa os riscos como uma base para determinar a forma como estes devem ser gerenciados.
8. A organização considera o potencial de fraude na avaliação dos riscos para conseguir os objetivos.
9. A organização identifica e avalia as mudanças que poderiam afetar significativamente o sistema de controles internos.
Atividades de Controle
10. A organização seleciona e desenvolve atividades de controle que contribuem para a mitigação dos riscos para a concretização dos objetivos para níveis aceitáveis.
11. A organização seleciona e desenvolve atividades de controle geral sobre a tecnologia para apoiar a realização dos objetivos.
12. A organização implanta atividades de controle por meio de políticas que estabelecem o que é esperado e os procedimentos que aplica políticas em ação.
Informação e Comunicação
13. A organização obtém ou gera e usa informações de qualidade relevantes para o apoio e funcionamento dos controles internos.
14. A organização comunica internamente informações, incluindo os objetivos e responsabilidades de controle interno, necessários para apoiar o funcionamento interno dos controles.
15. A organização comunica com as partes externas em relação a assuntos que afetem o funcionamento do controle interno.
Atividades de monitoramento
16. A organização seleciona, desenvolve e realiza curso e/ou separado das avaliações para verificar se os componentes dos controles internos estão presentes e em funcionamento.
17. A organização avalia e comunica deficiências de controle interno em tempo hábil para os responsáveis pela tomada de ações corretivas, incluindo diretoria e conselho de administração.
Reflexões para um sistema de controles internos
Traz, ainda, o documento os requisitos para um sistema eficaz de controle interno, onde este define que “um sistema eficaz proporciona uma garantia razoável quanto à realização dos objetivos da entidade”.
Deixa claro que um sistema eficaz de controle interno reduz, a um nível aceitável, o risco de não atingir o objetivo da entidade.
Que os cinco componentes destacados anteriormente estão relacionados e que cada um dos componentes e princípios relevantes estão presentes e funcionam a um nível aceitável mitigando o risco de não se atingir um objetivo.
Diz o documento que: “Quando existe uma grande deficiência no que diz respeito à presença e o funcionamento de um componente ou princípio relevante, ou no que diz respeito aos componentes que operam em conjunto de uma forma integrada na organização, não pode concluir que ele cumpriu os requisitos um sistema eficaz de controle interno”.
No capitulo de Limitações diz o documento que a estrutura de recomendações “reconhece que, embora o controle interno proporcione uma garantia razoável de alcançar os objetivos da entidade, as limitações existem” e que os controles internos não podem impedir um mau julgamento ou más decisões, ou prevê todos os eventos externos que podem causar prejuízo a uma organização e não deixar que ela atinja seus objetivos operacionais.
Mesmo em um sistema eficaz de controle interno pode ocorrer falhas, limitações, e essas podem resultar de vários aspectos, que:
- As adequações dos objetivos estabelecidos são pré-condições para os controles internos;
- O julgamento humano na tomada de decisão pode ser deficiente e está sujeito a viés;
- Problemas podem ocorrer devido a falhas humanas, oriundos de erros simples;
- Há que se ter capacidade de gestão para substituir os controles internos;
- Possibilidade da gestão, de funcionários e/ou terceiros para burlar os controles internos.
- Fatores externos que fogem ao controle da organização.
Estas limitações impedem que a diretoria e a administração tenha certeza absoluta da realização dos objetivos da entidade, isto é, que os controles internos promovem razão, garantia de poder, mas não de forma absoluta.
Contribuições do documento para as sociedades
O documento divulgado apresenta diversas indicações às empresas para aprimorar os controles internos existentes e destaca as seguintes:
- Prepare seu pessoal para a gestão, os capacitando para definir os perfis de risco e tomar ações corretivas quando for necessário.
- Atente para o excesso de confiança da tecnologia, pois podem mascarar problemas e representar riscos.
- Atenção, também, para as informações geradas na empresa, pois, pode se dar muita importância a determinadas informações enquanto que outras poderiam colocar em risco a empresa.
- Especifique os objetivos que são importantes para o seu negócio e que se beneficiariam com a aplicação de um sistema de controle completo e integrado.
- Identifique que decisões estratégicas de negócios ou operacionais recentes introduziram novos riscos.
- Identifique como os controles internos da empresa se adaptam as mudanças, se a empresa está preparada para as mudanças.
- Identificar se existem controles internos que tratam dos objetivos das divulgações internas, das divulgações não financeiras, das operações e de sua conformidade.
- Identificar se existem controles que podem ser aplicados a outros objetivos operacionais, de conformidade ou divulgação, considerando toda a empresa.
Recomenda-se que a sociedade aprenda com o passado, que assuma uma nova perspectiva sobre os controles existentes em relação aos riscos de não alcançar seus objetivos. Para isso tais questões devem ser tratadas:
- Que problemas já tivemos com os nossos controles existentes? Por que não os antecipamos?
- Que problemas poderiam ter sido evitados se tivéssemos maior controle interno sobre a causa-raiz?
- Como podemos fortalecer os nossos sistemas de controles internos conectando melhor objetivos, riscos e controles?
Avaliar os controles internos, através dessa atualização do COSO é de extrema importância para a empresa, pois, se tratam de um bom momento para rever seus objetivos, os controles existentes. As recomendações sugerem que as empresas definam:
- Com que profundidade implementamos os conceitos fundamentais estabelecidos na estrutura anterior?
- Deixamos de atender a algum princípio?
Opte pela modernização, para isso nomeie um líder para comandar a transição para a estrutura ora atualizada e defina o seguinte:
- Qual a visão da alta administração sobre a ampliação do uso de controles internos e a implementação da atualização do COSO?
- Como a empresa pode usar essa atualização para voltar a envolver os executivos, os conselhos e comitês no fortalecimento de nossos sistemas de controles internos?
- Como envolver as demais áreas, as unidades operacionais e as funções de auditoria interna, gestão de riscos, conformidade, finanças, tecnologia e recursos humanos nessa atualização?
Fonte:
- Sumário Executivo – COSO – Gerenciamento de Riscos Corporativos – Estrutura Integradas, 2007.
- Internal Control – Integraded Framework – Executive Summary – COSO – May 2013
- 10 minutos sobre por que a atualização do COSO merece sua atenção – Pwc