Modelo COSO – ERM

Conhecida como Treadway Commission, a National Commission on Fraudulent Financial Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros), criada originalmente em 1985 nos Estados Unidos, por uma iniciativa do setor privado, a Comissão tinha a finalidade de estudar as causas da ocorrência de fraudes em relatórios financeiros e contábeis, desenvolver recomendações para empresas públicas e seus auditores independentes e para as instituições educativas.

A Comissão teve o patrocínio de cinco associações de profissionais ligados à área financeira, sendo totalmente independente das entidades patrocinadoras:

• AAA - American Accounting Association (Associação Americana de Contadores);

• AICPA - American Institute of Certified Public Accounts (Instituto Americano de Contadores Públicos Certificados);

• IIA - The Insititute of Internal Auditors (Instituto dos Auditores Internos)

• IMA - Institute of Management Accountants (Instituto dos Contadores Gerenciais); e • FEI - Financial Executives Internacional (Executivos Financeiros Internacionais).

A Comissão passou a Comitê, ficando conhecida como COSO – The Committee of Sponsoring Organizations of the Treadway Commission (Comitê das Organizações Patrocinadoras).

A Treadway Commission publicou em 1992 publicou o trabalho Internal Control – Integrated Framework (Modelo Integrado Controle Interno), referência mundial para o estudo e aplicação dos controles internos. Uma abordagem necessária trata da diferença entre a gestão de riscos e o controle interno, embora não se descarte sua estreita inter-relação. Acompanham- se, para tanto, os argumentos de Brasil (2015) que afirmam que o Committee of Sponsoring Organizations of the Treadway Commission (COSO) é bem mais claro nessa distinção:

Enquanto o gerenciamento de riscos trata da identificação, avaliação e administração de riscos diante de incertezas e da geração de valor, permitindo a administração de riscos de forma compatível com o apetite de risco da organização e possibilitando um nível razoável de garantia em relação à realização dos seus [organização] objetivos, os controles internos têm a finalidade de possibilitar uma garantia razoável quanto à realização dos objetivos [da organização].

A estrutura conceitual de gestão de riscos COSO ERM foi uma adição à sua estrutura conceitual para controles internos, sem prejuízo da última, que está integrado ao gerenciamento de riscos (BRASIL, 2015) e liga a estratégia organizacional ao gerenciamento de riscos corporativos (NAGUMO, 2005), Brasil (2015) acrescenta que

para o COSO, pode existir uma estrutura conceitual de controles internos sem a estrutura de gerenciamento de riscos, dependendo dos objetivos que a organização deseja assegurar. Na estrutura isolada de controles internos, os objetivos a serem assegurados referem-se aos objetivos de garantir a eficiência e eficácia das operações, confiabilidade das demonstrações financeiras e compliance, enquanto que na estrutura de gerenciamento de riscos, há a adição de outra categoria de objetivos, ou seja, objetivos estratégicos, que operam em um nível superior ao dos outros. (BRASIL, 2015)

Dessa forma, explicitamente, o COSO ERM considera os controles internos como parte integrante do gerenciamento de riscos.

A versão anterior, conhecida como COSO Internal Control Framework, curiosamente criada em 1992, o mesmo ano em que Robert Kaplan e David Norton apresentaram o Balanced Scorecard (NAGUMO, 2005), padronizou o conceito de controle interno nas seguintes categorias: eficácia e eficiência das operações; confiabilidade de relatórios financeiros; cumprimento das leis e regulamentos aplicáveis (compliance).

O sistema COSO ERM, com base no framework de controle interno, engloba um conceito mais amplo de gerenciamento de risco corporativo, estendendo sua cobertura a riscos relacionados a estratégias (NAGUMO, 2005).

No Brasil, a metodologia COSO vem sendo utilizada por algumas instituições financeiras (Banco do Brasil, o Bradesco e o Santander), com adequações à realidade de cada uma, a fim de garantir um eficiente desenvolvimento, afirmam Farias, Luca e Machado (2015). Desse modo, COSO (2007) propõe que o gerenciamento de riscos corporativos é constituído de oito componentes inter-relacionados e integrados ao processo de gestão, onde a administração gerencia a organização. Esses componentes são: Ambiente Interno; Fixação de Objetivos; Identificação de Eventos; Avaliação de Riscos; Resposta a Risco; Atividades de Controle; Informações e Comunicações; Monitoramento.

• Ambiente Interno – o ambiente interno compreende o tom de uma organização e fornece a base pela qual os riscos são identificados e abordados pelo seu pessoal, inclusive a filosofia de gerenciamento de riscos, o apetite a risco, a integridade e os valores éticos, além do ambiente em que estes estão.

• Fixação de Objetivos – os objetivos devem existir antes que a administração possa identificar os eventos em potencial que poderão afetar a sua realização. O gerenciamento de riscos corporativos assegura que a administração disponha de um processo implementado para estabelecer os objetivos que propiciem suporte e estejam alinhados com a missão da organização e sejam compatíveis com o seu apetite a riscos.

• Identificação de Eventos – os eventos internos e externos que influenciam o cumprimento dos objetivos de uma organização devem ser identificados e classificados entre riscos e oportunidades. Essas oportunidades são canalizadas para os processos de estabelecimento de estratégias da administração ou de seus objetivos.

• Avaliação de Riscos – os riscos são analisados, considerando-se a sua probabilidade e o impacto como base para determinar o modo pelo qual deverão ser administrados. Esses riscos são avaliados quanto à sua condição de inerentes e residuais.

• Resposta a Risco – a administração escolhe as respostas aos riscos - evitando, aceitando, reduzindo ou compartilhando - desenvolvendo uma série de medidas para alinhar os riscos com a tolerância e com o apetite a risco.

• Atividades de Controle – políticas e procedimentos são estabelecidos e implementados para assegurar que as respostas aos riscos sejam executadas com eficácia.

• Informações e Comunicações – as informações relevantes são identificadas, colhidas e comunicadas de forma e no prazo que permitam que cumpram suas responsabilidades. A comunicação eficaz também ocorre em um sentido mais amplo, fluindo em todos níveis da organização.

• Monitoramento – a integridade da gestão de riscos corporativos é monitorada e são feitas as modificações necessárias. O monitoramento é realizado através de atividades gerenciais contínuas ou avaliações independentes ou de ambas as formas.

No gerenciamento de riscos corporativos, processo multidirecional e interativo, todos os componentes se influenciam mutuamente, um componente não afeta apenas o componente mais próximo, como em um processo em série (COSO, 2007). A representação desse relacionamento se compõe de uma matriz cúbica tridimensional, como apresentado na Figura 13, a seguir:

Figura 13 - Cubo COSO ERM

Fonte: Adaptado de COSO (2007)

Na Figura 13, as categorias de objetivos institucionais – operacional, divulgação e conformidade – são representadas pelas colunas, enquanto os cinco componentes são representados pelas linhas. A estrutura organizacional é representada pela terceira dimensão: níveis da entidade, divisões, unidades operacionais e funções. Essa representação ilustra a

capacidade proposta pelo modelo de manter o foco do gerenciamento de riscos de uma organização em todas as dimensões: objetivos, componentes, unidades da organização ou quaisquer dos seus subconjuntos.