COSO III Internal Control Integrated Framework

Este Framework de 2013 é uma evolução do Framework de 1992, que reflete a evolução verificada no ambiente empresarial desde 1992. Tem a particularidade em atribuir à direção/administração a responsabilidade de estabelecer a importância de como o topo vê o

Controlo Interno e os standards de conduta esperados. Desta forma, cabe à

direção/administração definir os objetivos da organização alinhados com a sua visão, missão e estratégia.

Figura 6 - Coso III

Fonte: Adaptado do COSO (2013)

Relativamente ao Framework de 1992 este apresenta da mesma forma uma articulação entre os componentes apresentados, formando um sistema que reage dinamicamente às novas condições que se lhe apresentam.

Levantamento e análise do Controlo Interno numa IPSS

52

As principais mudanças entre o Framework de 1992 e o de 2013 são:

 Tipo de objetivos – o Framework de 1992 contemplava somente os relatórios financeiros, e o Framework de 2013 expande o conjunto de relatórios usados passando a contemplar todas as informações financeiras e não financeiras, internas e externas, tal como os relatórios sociais e de sustentabilidade e avaliação dos Controlos Internos, considerando os aspetos tal como a fiabilidade, tempestividade, transparência e outras caraterísticas relevantes;

 Gestão de riscos – no COSO de 1992 a gestão de riscos era apenas referente a riscos inerentes aos processos operacionais, tendo sido alargado o seu foco em 2013 incluindo a avaliação dos riscos de processos de tecnologias da informação e combate à fraude;

 Nova adequação ao modelo – os componentes do COSO de 1992 tinham fatores, mas não abordavam conceitos práticos, no COSO 2013 é feita a inclusão de dezassete novos princípios repartidos pelas cinco componentes, os quais apresentam os conceitos fundamentais associados a cada componente.

De acordo com o COSO (2013:9) “como esses princípios são originados diretamente dos componentes, uma organização poderá ter um Controlo Interno eficaz ao aplicar todos os princípios.”

Os princípios relacionados por cada componente e respetivas áreas de evolução encontram-se sintetizados no quadro seguinte:

Componentes e respetivas áreas de evolução Princípios relacionados a cada

componente

Ambiente de controlo:

Define expetativas relativamente aos padrões de conduta dos seus colaboradores e fornecedores, exigindo a sua avaliação e tratamento de desvios de forma atempada;

Estabelece requisitos de independência, competência e

1. A organização demonstra compromisso com a integridade e os valores éticos;

2. O Conselho de Administração demonstra independência da gestão e supervisiona o desenvolvimento e desempenho

habilitações para o Conselho de Administração;

Destaca a importância em atribuir responsabilidades pelo Controlo Interno;

Alinhamento dos incentivos e prémios com os seus objetivos estratégicos, desempenho de curto e longo prazo e risco.

do Controlo Interno;

3. A gestão estabelece, com a supervisão do Conselho de Administração, as estruturas, a autoridade e responsabilidades adequadas na busca dos objetivos;

4. A organização demonstra compromisso para atrair, desenvolver e reter talentos competentes, em linha com seus objetivos;

5. A organização atribui responsabilidades aos colaboradores relativamente ao seu papel ao nível do Controlo Interno, para alcançar os objetivos.

Avaliação do risco:

Esclarece que o processo de análise de risco inclui a sua identificação, análise e resposta;

Requer a avaliação do risco de fraude;

Dá relevância na avaliação de alterações (contexto externo, modelo de negócio, operações, sistemas de informação, relacionamento com outsourcers, liderança) e o seu impacto no Controlo Interno.

6. A organização específica os objetivos com clareza suficiente, a fim de permitir a identificação e a avaliação dos riscos associados aos seus objetivos.

7. A organização identifica os riscos à realização de seus objetivos, analisando-os para determinar a melhor forma de agir.

8. A organização considera o risco de fraude na avaliação dos riscos à realização dos objetivos;

9. A organização identifica e avalia as mudanças que podem afetar, de forma significativa o SCI.

Atividades de controlo:

É dado ênfase à ligação entre o risco e o controlo, existindo um conjunto de atividades preventivas e detetivas a vários níveis da organização, tendo em consideração a segregação de funções;

Identificação das atividades de controlo tais como as infraestruturas tecnológicas, segurança, aquisição, desenvolvimento e manutenção;

Obriga à reavaliação periódica das políticas e procedimentos estabelecendo responsabilidades pela sua execução.

10. A organização seleciona e desenvolve atividades de controlo que contribuem para a mitigação dos riscos a níveis aceitáveis;

11. A organização seleciona e implementa atividades de controlo sobre a tecnologia (controlos informáticos) que permitam alcançar os seus objetivos;

12. A organização implementa atividades de controlo através de políticas que definem o que é expectável e os procedimentos que colocam em prática essas políticas.

Levantamento e análise do Controlo Interno numa IPSS

54

Informação e comunicação:

Identificação de requisitos para a informação, validação das fontes de dados;

Atenção voltada para a proteção e fiabilidade da informação, considerando a forma como a informação suporta o funcionamento do Controlo Interno

Criação de canais de comunicação confidenciais, ou seja, linhas de denúncia.

13. A organização obtém, gera e usa informação relevante e de qualidade para suportar o funcionamento do Controlo Interno;

14. A organização transmite internamente, as informações necessárias para apoiar o funcionamento do Controlo Interno, incluindo os objetivos e as responsabilidades sobre o Controlo Interno;

15. A organização comunica com o público externo sobre assuntos que influenciam o funcionamento do Controlo Interno.

Atividades de monitorização:

É feita a distinção entre as avaliações contínuas e as avaliações externas considerando a monitorização a diferentes níveis da organização e a monitorização dos outsourcers, é prevista a utilização de tecnologia nas tarefas de monitorização.

São consideradas ações corretivas nas atividades de monitorização

16. A organização seleciona, desenvolve e realiza avaliações contínuas e/ou independentes para se certificar da presença e do funcionamento dos componentes do Controlo Interno;

17. A organização avalia e comunica eventuais deficiências detetadas no Controlo Interno, de forma oportuna, para o responsável pelas ações corretivas, incluindo a gestão de topo e o Conselho de Administração, conforme apropriado.

Quadro 4 - Princípios e componentes do COSO III Fonte: Adaptado do COSO (2013)