COSO

Com a intenção de alcançar os objetivos previstos pela Lei Sarbanes-Oxley, muitas

organizações estão construindo sua estrutura de controles internos segundo as recomendações

do Commitee of Sponsoring Organizations of the Treadway Commission (COSO). Embora

existam outras estruturas de controles internos, e a Sarbanes não traz explicitamente o COSO

como modelo, espera-se que ela se torne o modelo dominante.

Foi criada em 1985 inicialmente como National Commission on Fraudulent Financial

Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros). Seu objetivo era

identificar o motivo de muitas demonstrações financeiras publicadas nos EUA com

informações fraudadas e desenvolver recomendações na tentativa de reduzir essa incidência.

Para formar a comissão as principais associações dos profissionais da área

contábil/financeira se uniram. São elas:

AICPA – American Institute of Certified Public Accounts (Instituto

Americano de Contadores Públicos)

AAA – American Accouting Association (Associação Americana de

Contadores)

FEI

– Financial Executives Internacional Executivos Financeiros

Internacional

IIA – The Institute of Internal Auditors (Instituto dos Auditores Internos)

IMA

– Institute of Management Accountants (Instituto dos Contadores

Gerenciais)

O trabalho do COSO é independente das instituições que o formam e sua metodologia

identifica os objetivos essenciais do negócio de uma organização, definindo o Controle

Interno e seus componentes, fornecendo critérios para avaliá-los.

a) Segundo o COSO, Controle Interno é um processo, que se torna efetivo através

das pessoas, as quais devem assegurar com razoável grau de segurança que os

seguintes objetivos fundamentais a qualquer negócio, serão atingidos.

Eficiência e efetividade operacional (objetivos de desempenho ou estratégia):

esta categoria está relacionada com os objetivos básicos da entidade, inclusive

com os objetivos e metas de desempenho e rentabilidade, bem como da

segurança e qualidade dos ativos;

b) Confiança nos registros contábeis/financeiros (objetivos de informação): todas

as transações devem ser registradas, todos os registros devem refletir

transações reais, consignadas pelos valores e enquadramentos corretos;

c) Conformidade (objetivos de conformidade) com leis e normativos aplicáveis à

entidade e sua área de atuação.

Para o COSO, a idéia principal de montar um controle interno é auxiliar a empresa

para que ela alcance seus objetivos, alertando que é responsabilidade de todos o cumprimento

dos controles internos. Porém deve ser do conhecimento dos envolvidos que o controle

interno oferece para a empresa uma garantia razoável e nunca uma garantia total de prevenção

aos riscos. Trata-se, na realidade, de um auxílio para a empresa e não garantia para o alcance

dos objetivos da organização.

O COSO fornecerá a base de discussão sobre a seleção de uma estrutura de controles

internos apropriada. Suas diretrizes não se referem explicitamente aos controles e

procedimentos de divulgação. Ao contrário, a estrutura descrita pelo COSO é mais

abrangente, incluindo tanto os controles e procedimentos de divulgação quanto os controles e

procedimentos internos para a emissão de relatórios financeiros.

A integração dos controles se baseia no uso de uma estrutura tridimensional (cubo do

COSO), cuja dimensão compreende os objetos de avaliação, as categorias de atividades de

controle e os componentes de controle. E que pode ser mais bem percebido na figura a seguir:

Figura 2 - Os cincos componentes essenciais da estrutura de um controle interno de acordo com o cubo COSO Fonte: COSO Deloitte Guia para melhorar a Governança Corporativa (2003)

2.8.1.1 Ambiente de Controle (Control environment)

O profissional que irá aplicar o COSO como metodologia para avaliar o Controle

Interno deve considerar que o ambiente de controle representa a cultura da organização com

relação a evitar riscos e assimilar a prática de controles.

Qual o comportamento da administração e dos funcionários em relação aos controles,

o grau de aceitação e colaboração em relação aos métodos de prevenção aplicados pela

O processo que assegura que

informações relevantes são identificadas e comunicadas tempestivamente Comunicações da Alta Administração Disponibilidade de informações e sistemas

A avaliação dos fatores internos e externos que têm impacto no desempenho de uma organização

Gerenciamento de riscos de negócio Gerenciamento de riscos de processo Avaliação de riscos na Auditoria Interna

Cultura de controle de uma organização. Código de Ética

Políticas e procedimentos formais Cultura de controles

Objetiva determinar se o controle interno está adequadamente desenhado e monitorado Análise Gerencial Comitê de Divulgação Auditorias Internas As políticas e procedimentos que ajudam a assegurar que as ações identificadas para gerenciar riscos são executadas tempestivamente Limites de autoridade Aprovações Segregação de funções Reconciliações Controles de tecnologia da informação

empresa? Para Dijk (2004) o ambiente de controle estabelece o tom da organização

influenciando a percepção de controle de seu pessoal.

2.8.1.2 Avaliação e gerenciamento de risco (Risk Assessment)

As principais funções do controle interno estão relacionadas ao cumprimento dos

objetivos da entidade. Assim, a existência de objetivos e metas é condição básica para a

existência dos controles internos. Se a entidade não possuir objetivos e metas claras, é

inviável a implantação de controles internos.

Uma vez estabelecidos os objetivos, deve-se:

- identificar os riscos que ameacem o seu cumprimento; e

- tomar as ações necessárias para o gerenciamento dos riscos identificados.

Os controles devem ser focados em áreas de maior risco, como as áreas de

complexidade contábil, unidades com equipe menos experiente ou com alto índice de

rotatividade dos membros-chave e em áreas que requerem estimativas subjetivas. Os controles

também devem estar adequados à avaliação do risco, quando um controle não identificar um

possível erro nos ajustes ou divulgações das informações, devendo ser considerado como

ineficaz para a organização.

A avaliação de riscos é a identificação e análise dos riscos associados ao não

cumprimento das metas aos objetivos operacionais, aos de informações e aos de

conformidade. Esse conjunto forma a base para definir como esses riscos serão gerenciados.

Os administradores devem definir os níveis de riscos operacionais, de informação e de

conformidade que estão dispostos a assumir. A avaliação de riscos é uma responsabilidade da

administração, mas cabe à Auditoria Interna fazer uma avaliação própria dos riscos,

confrontando-a com a avaliação feita pelos administradores. A identificação e gerenciamento

dos riscos é uma ação pró-ativa, que permite evitar surpresas futuras desagradáveis para

empresas que os utilizam.

2.8.1.3 Controle de Atividades (Control activies)

São as atividades que, quando executadas a tempo e de maneira adequada, permitem a

redução ou administração dos riscos.

Podem ser consideradas de duas naturezas: atividades de prevenção ou de detecção.

Políticas, procedimentos e normatizações que irão garantir a boa realização do

tratamento do risco para que os objetivos da empresa sejam alcançados (COSO).

As principais atividades de controle, e suas respectivas naturezas são:

a) Alçadas (prevenção): limites determinados aos funcionários, quanto à

aprovação de valores ou assumir posições em nome da instituição.

b) Autorizações (prevenção): a administração determina as atividades e

transações que necessitam de aprovação de um supervisor para que sejam

efetivadas.

c) Conciliação (detecção): é a confrontação da mesma informação com dados

vindos de bases diferentes, adotando as ações corretivas, quando necessário.

d) Segurança Física (prevenção e detecção): os valores de uma entidade devem

ser protegidos contra uso, compra ou venda não-autorizados.

e) Segregação de Funções (prevenção): a segregação é essencial para a

efetividade dos controles internos. Ela reduz tanto o risco de erros humanos

quanto o risco de ações indesejadas.

2.8.1.4 Informação e comunicação

A comunicação é o fluxo de informações dentro de uma organização, devendo ocorrer

em todas as direções – dos níveis hierárquicos superiores aos inferiores “top down”, dos

inferiores aos superiores “down top” e, horizontalmente, entre níveis equivalentes.

Durante a auditoria, a verificação dos níveis hierárquicos leva a uma melhor análise da

sua forma de comunicação, pois uma hierarquia muito grande dificulta o processo de

comunicação.

Manter informadas todos os envolvidos nos processos é essencial para o bom

funcionamento dos controles. Informações sobre planos, ambiente de controle, riscos,

atividades de controle e desempenho devem ser transmitidas a toda a organização. Por outro

lado, as informações recebidas, independente da forma de comunicação, podendo ser ela, de

fontes externas ou internas, devem ser identificadas, capturadas, verificadas quanto à sua

confiabilidade e relevância, processadas e comunicadas às pessoas que as necessitam,

tempestivamente e de maneira adequada.

dos sistemas internos de comunicação – que podem variar desde complexos sistemas

computacionais a simples reuniões de equipes de trabalho – são importantes para obtenção

das informações necessárias ao acompanhamento dos objetivos operacionais, de informação e

de conformidade. O informal ocorre em conversas e encontros com clientes, fornecedores,

autoridades e empregados e é importante para obtenção das informações necessárias à

identificação de riscos e oportunidades.

2.8.1.5 Monitoração

A monitoração é a avaliação dos controles internos ao longo do tempo. É o melhor

indicador para saber se os controles internos estão sendo efetivos ou não. É feito tanto através

do acompanhamento contínuo das atividades quanto por avaliações eventuais, como auto-

avaliação, revisões e auditoria interna.

Sua função é verificar se os controles internos são adequados e efetivos. Controles

adequados são aqueles em que os cinco elementos do controle (ambiente, avaliação de riscos,

atividade de controle, informação & comunicação e monitoramento) estão presentes e

funcionando conforme planejado. Controles são eficientes quando a alta administração tem

uma razoável certeza do grau de atingimento dos objetivos operacionais propostos, de que as

informações fornecidas pelos relatórios e sistemas corporativos são confiáveis; e que as leis,

regulamentos e normas pertinentes estão sendo cumpridos.

2.8.1.6 Princípios COSO de Controle Interno

Dentro dos cinco componentes do COSO todos os princípios devem ser seguidos para

que os controles internos alcancem seus objetivos.

1- Integridade e Ética de valores

2- Importância do quadro de diretoria

3- Estilo e filosofia de operação da direção

4- Estrutura da Organização

5- Autoridade e responsabilidade

6- Recursos Humanos

7- Elementos do controle de atividades

9- Informação e tecnologia

10- Informação precisa

11- Controle de informação

12- Avaliação de risco e fraude

13- Diretoria de comunicação

14- Monitoração avançada

15- Diretoria e comitê de auditoria

16- Segregação (entre outros)

O COSO pode gerar valor para o gerenciamento da empresa como:

- Alinhamento do interesse por risco e estratégia

- Ligação do crescimento, risco e retorno.

- Melhoramento das decisões em relação à gestão de risco

- Minimização das surpresas e perdas operacionais

- Identificação e gerenciamento de riscos ao nível da organização

- Geração de respostas integradas para riscos múltiplos

- Absorção de oportunidades

- Racionalização do uso de capital.

No documento CONTROLES INTERNOS: CONTRIBUIÇÃO AO ESTUDO DE UMA METODOLOGIA (páginas 44-50)