Committee of Sponsoring Organizations of the Treadway Comission (COSO)

Em pesquisa pioneira publicada em 1992, com o título Internal Control -

Integrated Framework (ICIF), revisada em 1994 e atualizada em 2011, o COSO (2011, p.1)

conceitua o controle interno como um “processo gerido pelo conselho de diretores, gestão ou outro pessoal de uma entidade, projetado para fornecer segurança razoável quanto à consecução dos objetivos” de controle interno.

Estes objetivos foram então classificados em 03 (três) categorias distintas e sobrepostas, descritas a seguir (COSO, 2011):

a) Eficácia e eficiência das operações: diretamente relacionada aos objetivos essenciais da organização, e que inclui metas de performance operacionais e financeiras, bem como a salvaguarda dos ativos contra perdas (Objetivos Operacionais);

b) Confiabilidade dos relatórios: relacionada à fidedigna preparação das informações e relatórios financeiros e não-financeiros, de âmbito externo ou interno (Objetivos de Relato); e

c) Conformidade com as leis e regulamentos aplicáveis: relacionada ao cumprimento das normas e da legislação vigentes e às quais a entidade encontra-se sujeita (Objetivos de Conformidade).

A estrutura de controle interno da entidade somente pode ser julgada eficaz em cada uma das três categorias de objetivos, se o órgão dirigente obtiver segurança razoável de que, respectivamente: os objetivos operacionais da entidade estejam sendo alcançados; os relatórios financeiros e não-financeiros, externos (para atender os stakeholdres e requerimentos legais) e internos (para atender à gestão e ao processo de tomada de decisão), estejam sendo preparados de forma confiável; e as leis e regulamentos aplicáveis estejam sendo cumpridos (COSO, 2011).

Chambers (2012, p.6) assevera que o COSO deveria acrescentar ao elenco de objetivos do controle interno, como um quarto objetivo separado, a “salvaguarda de ativos contra sua disposição ou uso não autorizado”, bem como incluir entre os objetivos de conformidade, além da observância das leis e regulamentos, também o cumprimento dos contratos e das políticas e procedimentos internos.

Importante ressaltar-se, neste momento, como a expressão “controle interno” deve ser compreendida. Primeiramente, conforme Beniger (1986, apud COSO, 1994, p.105), controle significa “influência intencional em direção a um objetivo pré-determinado”, ou seja, se não houver objetivos bem delineados e ações tomadas para seu alcance, não tem sentido se falar em controle. Por sua vez, classificar o controle como sendo “interno”, implica reconhecer que ele existe ou encontra-se “dentro dos limites” da organização ou entidade, o que “exclui as ações de reguladores ou auditores externos”.

Complementando a conceituação apresentada em seu Framework, o COSO (2011) esclarece que o controle interno é constituído por 05 (cinco) componentes inter-relacionados e integrados ao processo de gestão:

a) Ambiente de Controle (Control Environment) - trata-se da cultura ou consciência de controle que predomina na organização, especialmente dependente do comprometimento dos órgãos de direção (tom do topo), e que fornece a base estrutural e disciplinar para os demais componentes, sendo constituído pelos seguintes elementos: integridade, valores éticos e competência do pessoal, filosofia de gestão e estilo operacional, estrutura

organizacional, atribuição de autoridade e responsabilidade ao pessoal, políticas e práticas de recursos humanos;

b) Avaliação de Risco (Risk Assessment) - trata-se da necessidade de identificar, mensurar e analisar os riscos relevantes, provenientes do ambiente interno e / ou externo e de suas possíveis mudanças, enfrentados pela entidade para alcançar seus objetivos;

c) Atividades de Controle (Control Activities) - referem-se, indiscriminadamente, às políticas, controles e procedimentos estabelecidos pela organização para controlar seu desempenho, de modo a assegurar o cumprimento dos objetivos planejados e monitorar os riscos existentes, permeando todos os seus níveis, funções e processos; e incluindo um leque de atividades que vai desde autorizações, verificações, revisões de desempenho, segurança dos ativos à segregação de funções.

d) Informação e Comunicação (Information and Communication) - trata-se da identificação, registro e comunicação oportuna e precisa das informações, relativas ao ambiente interno e externo, relevantes e necessárias ao perfeito desempenho das atribuições do pessoal em todas as áreas da entidade; e

e) Atividades de Monitoramento (Monitoring Activities) - refere-se ao acompanhamento da qualidade do desempenho dos sistemas de controle interno, objetivando sua avaliação e a realização dos ajustes julgados necessários.

O COSO (2011, pp.11-13) elaborou uma lista com 17 “princípios” que devem ser observados para que se obtenha a eficácia em cada um dos cinco componentes do controle interno, conforme apresentado no Anexo A.

Todos os componentes atuam em sinergia e formam um sistema integrado que reage dinamicamente às mudanças das condições no ambiente em que atua a organização, representando o que é necessário para atingir os objetivos em qualquer tipo de entidade (COSO, 1994).

O relacionamento entre os cinco componentes é assim resumido pelo COSO (1994, p.17):

O ambiente de controle fornece uma atmosfera na qual as pessoas conduzem suas atividades e realizam as suas responsabilidades de controle. Ele serve como base para os outros componentes. Dentro deste ambiente, a administração avalia os riscos para a concretização de objetivos específicos. As atividades de controle são implementadas para ajudar a garantir que as

diretrizes para enfrentar os riscos sejam realizadas pela gestão. Enquanto isso, a informação relevante é registrada e comunicada por toda a organização. Todo o processo é monitorado e modificado conforme as condições o permitirem.

Existe, portanto, uma relação direta entre os componentes e os objetivos, que origina um princípio segundo o qual todos os cinco componentes devem estar presentes e funcionando efetivamente, para que se possa concluir sobre a real efetividade do controle interno respectivamente a cada uma das três categorias de objetivos existentes (COSO, 2011).

Este relacionamento deve estar presente em cada um dos níveis, divisões, unidades de operação ou funções da estrutura de uma entidade onde quer que haja relacionamento com o controle interno, representando a terceira face do Cubo do Controle Interno (COSO, 2011), conforme a Figura 2.

Figura 2. Relacionamento entre objetivos, componentes e estrutura da entidade

Fonte: COSO (2011, p.5).

Conforme observação de Chambers (2012), o rol apresentado nesta última face do Cubo também deveria ter incluído os “processos” de gestão da entidade, cuja avaliação revela-se importante para a eficácia do controle interno.

Ressalta-se que o controle interno deve ser percebido como um processo dinâmico e interativo, não podendo ser considerado um processo linear, onde cada componente somente se relacione com o próximo na sequência (COSO, 2011). Desta forma, um controle interno que não tenha atingido plenamente seus propósitos em algum componente, pode ser compensado por outro controle existente nos demais componentes, conquistando assim a efetividade pretendida (COSO, 1994).

Na medida em que consegue fornecer informações gerenciais sobre o progresso entidade (COSO, 1994), um sistema de controle interno eficaz permite que a gestão mantenha o foco no cumprimento de suas metas de desempenho operacional e financeiro, respeitando os limites da legislação pertinente e, ao mesmo tempo, minimizando os impactos e maximizando os benefícios advindos das mudanças que ocorram ao longo do caminho (COSO, 2011).

Resta destacar ainda que, como praticamente todos os funcionários produzem informações utilizadas no sistema de controle interno ou executam ações de controle, o controle interno torna-se “responsabilidade de todos em uma organização e, portanto, deve ser uma parte explícita ou implícita da descrição do trabalho de todos”, a começar de seu dirigente-chefe, que é o responsável pela definição do tone at the top, ou o “tom do topo”, da entidade (COSO, 1994, pp.6-7).

A estrutura conceitual apresentada reflete os seguintes aspectos fundamentais do controle interno (COSO, 2011):

a) É um processo dinâmico e interativo (meio) que visa atingir um fim; b) É realizado por pessoas que estão em todos os níveis da organização; c) É capaz de proporcionar uma segurança razoável e não absoluta;

d) É orientado para alcançar objetivos em áreas distintas, mas que se interrelacionam;

e) É adaptável à estrutura da organização.

Ao abordar as limitações do controle interno, o COSO (1994) alerta sobre a impossibilidade de que venha a garantir o pleno sucesso na consecução de seus objetivos, esclarecendo que, mesmo quando eficaz, seu papel se restringe a ajudar no seu alcance, pois não tem poder para mudar a má qualidade de uma gestão ou para intervir em eventos externos, como, por exemplo, as mudanças no cenário econômico.

Embora possa ter sido bem concebido e estar sendo bem operado, o controle interno não consegue assegurar a plena realização dos objetivos de uma entidade, podendo fornecer apenas uma “razoável - e não absoluta - garantia”, uma vez que a sua probabilidade de êxito acaba comprometida por limitações inerentes, como as decorrentes da restrição de recursos (imposta pela necessidade de observância da relação custo/benefício) para sua implementação, das falhas no processo de tomada de decisão e da possibilidade de ser burlado pelas pessoas (COSO, 1994, p.6).

Em virtude de ser operado por pessoas, o controle interno afeta e é afetado pelas competências, necessidades e prioridades de cada indivíduo de uma organização, o que impõe uma obrigação de que as responsabilidades e limites de autoridade sejam conhecidos, de

maneira a se estabelecer uma clara e estreita ligação entre seus deveres e a forma como são realizados, bem como com os objetivos da entidade (COSO, 1994).

Perante a mais-valia que o sistema de controle interno representa para a administração das organizações, e objetivando preservar sua eficácia, em função de sua tendência natural de se deteriorar ao longo do tempo, o COSO editou uma orientação específica sobre seu componente “monitoramento”.

Segundo o COSO (2009), quando projetado e implementado adequadamente, o monitoramento permite uma atuação pró-ativa na identificação e correção tempestiva dos problemas do sistema de controle interno, possibilitando o alcance da eficiência organizacional e a produção de informações mais precisas e confiáveis para a tomada de decisões.

O monitoramento baseia-se na avaliação contínua (no decurso das operações) ou pontual (aplicado em alguma circunstância eventual), que permite à gestão da organização determinar como está o funcionamento dos demais componentes de controle interno, com ênfase nos controles-chave que abordam os riscos significativos enfrentados para alcance dos objetivos organizacionais, bem como na identificação e comunicação das deficiências encontradas, em tempo hábil, às partes responsáveis pelas medidas corretivas e, dependendo de sua gravidade e necessidade de acompanhamento, ao corpo dirigente da entidade (COSO, 2009).