COSO ICIF e os Cinco Componentes de sua Estrutura de Controle

Em 1992, o Committee of Sponsoring Organizations of the Treadway Commission (COSO) publicou o guia “Internal Control – Integrated Framework” (COSO ICIF, COSO IC ou COSO I) com o objetivo de orientar as empresas quanto aos princípios e melhores práticas de controle interno, em especial para assegurar a produção de relatórios financeiros confiáveis e prevenir fraudes e distorções.

Quando a Lei Sarbanes-Oxley de 2002 (SOX) foi publicada, o mercado precisava adotar rapidamente uma estrutura baseada em controles para documentar seus controles. A legislação não exigia o uso do COSO, mas sim, que a entidade e os auditores utilizassem uma estrutura aceitável que tivesse certas características, e outras estruturas existentes não se qualificavam imediatamente, sem falar que ainda eram menos conhecidas que o COSO.

A estrutura do COSO segue sendo reconhecida como uma estrutura modelo para desenvolvimento, implementação e condução do controle interno, bem como para a avaliação de sua eficácia.

No caso das normas de auditoria do AICPA, elas se baseiam, essencialmente, no framework do COSO, e tem sido desde 1990, data da vigência do “Statement of Auditing Standards (SAS) nº 55 – Consideration of Internal Control in a Financial Statement Audit”. A mesma coisa com as normas internacionais de auditoria, como a ISA 315 e a ISA 330, por exemplo, que seguem em sinergia com a estrutura do COSO.

Os 5 componentes do COSO

Embora as pessoas acabem relacionando “controles” com ações como conciliações bancárias, assinaturas em documentos, aprovações de despesas entre outros do gênero, o COSO identifica-os como um dos elementos essenciais em um sistema de controle eficaz. Os cinco componentes são:

1. Ambiente de Controle: define o tom geral dos controles de uma organização. É a abordagem “top down”, o exemplo vem de cima. É a base para a condução de todos os outros componentes do controle interno.
   .
2. Avaliação de Riscos: é a identificação e análise de riscos na realização dos objetivos da organização. Os riscos devem ser identificados e gerenciados.
   .
3. Atividades de Controle: são as ações estabelecidas através de processos, políticas e procedimentos que auxiliam a empresa a garantir o cumprimento das diretrizes definidas pela administração para mitigar os riscos à realização dos objetivos. São desempenhadas em todos os níveis da organização.
   .
4. Informação e Comunicação: relaciona-se aos sistemas e relatórios que permitem à administração e aos colaboradores o cumprimento das suas responsabilidades. É um processo contínuo e iterativo de proporcionar, compartilhar e obter as informações necessárias.
   .
5. Atividades de Monitoramento: é um processo que supervisiona o desempenho do controle interno para se certificar da presença e do funcionamento de cada um dos cinco componentes de controle interno, inclusive a eficácia dos controles nos princípios relativos a cada componente.

Para alguns, felizmente; para outros, infelizmente. De todo modo, esses cinco componentes não são independentes. Com frequência, controles, processos e características do próprio negócio envolvem mais de um componente e, às vezes, o assunto não é atribuído exclusivamente, mas afeta outros componentes. Por exemplo, a TI (Tecnologia da Informação) é indispensável em muitas organizações. As redes, as comunicações, o CRM, o software usado na contabilidade entre outros possuem um papel significativo na manutenção dos controles.

Exemplos práticos da interconexão dos componentes do COSO

Para ilustrar melhor, vamos a alguns exemplos práticos?

• Os sistemas de informação, redes e outras conexões, são o “meio” para transmitir e-mail e distribuir relatórios para uso gerencial em um negócio (olha os componentes “informação e comunicação” e “atividades de monitoramento” do COSO).
  .
• O software da contabilidade é usado para registrar transações e resumir informações para relatórios financeiros (componentes “atividades de controle” e “informação e comunicação” do COSO).
  .
• A segurança e as senhas/credenciais são usadas para garantir que as pessoas autorizadas tenham acesso aos dados e funções necessárias para realizar seus trabalhos e para reduzir a capacidade geral dos indivíduos de cometer fraudes (componentes “atividades de controle” e “ambiente de controle” do COSO).
  .
• Claramente, a TI é um elemento-chave na maioria dos negócios atuais e permeia vários componentes na estrutura de controle do COSO.

Uma dica é que você certifique de considerar adequadamente os impactos da TI nas atividades de controle que registram e classificam dados e transações ao analisar os controles.

Por exemplo: ao examinar o controle que garante que apenas os itens que foram aceitos como pedidos legítimos sejam enviados, você deve considerar a função de quaisquer necessidades de arquivos de dados e gerados pelo computador. O software de vendas que autorizou a venda e o envio foi bem controlado e não estava sob a gestão da pessoa autorizada a fazer o envio? O arquivo de clientes autorizados também estava protegido contra adulteração? A transmissão da ordem de venda e autorização de envio foi segura e não sujeita a intervenção e alteração?

Além disso, pense também na importância da transmissão dos dados (componente “informação e comunicação”) e em fornecer relatórios tempestivos, oportunos e precisos à administração da empresa para que possam desempenhar sua função de supervisão e monitoramento de forma confiável. Comunicações ruins, imprecisas ou atrasadas também podem diminuir a qualidade geral do ambiente de controle.

Assim, em muitos casos, os componentes do COSO são interligados, eles não devem ser vistos como objetos únicos.

Por isso é importante desenvolver a visão sistêmica e enxergar as coisas de ponta a ponta.

Links adicionais sobre COSO

• Sumário Executivo em português – COSO ICIF (Internal Control – Integrated Framework)
  .
• The Updated COSO Internal Control Framework – Frequently Asked Questions (FAQ)
  .
• Livro – Internal Controls – Guidance for Private, Government and Nonprofit Entities (Lynford Graham)
  .
• Site Oficial – Guidance on Internal Control – ​​​​​​​Internal Cont​​rol Guidance​

.