Pedro dos Santos Bonito
Aprovado em 3° lugar para Auditor do Estado no concurso CGE-RJ
ENTREVISTA: Pedro dos Santos Bonito – Aprovado em 3° lugar para Auditor do Estado no concurso CGE-RJ
Artigo
CGU: COSO – Estrutura Conceitual de Análise de Riscos
Olá, tudo bem? No artigo de hoje vamos falar sobre o COSO – Estrutura Conceitual de Análise de Riscos para a prova da CGU. Vamos lá?
CGU: Governança e Análise de Risco
CGU: COSO – Estrutura conceitual de análise de risco
O que é essa estrutura?
Em 1975, nos EUA, foi criado a National Commission on Fraudulent Financial Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros), trata-se de uma iniciativa independente, que busca analisar as ocorrências de fraudes nos relatórios financeiros das organizações. Fazia parte desta Comissão representantes das principais associações de classe profissional que tinham relações com a área financeira.
O primeiro objeto de estudo dessa Comissão foram os controles internos. Posteriormente, essa Comissão foi transformada em um Comitê, passando a ser chamado de COSO.
Mas o que é o COSO finalmente?
É uma entidade sem fins lucrativos, criada em 1985, cujo objetivo é auxiliar a Comissão Nacional a respeito dos Relatórios Financeiros com Fraudes. Essa entidade analisa os fatores que podem gerar fraudes nos relatórios financeiros e elabora recomendações para as organizações, seus auditores, órgãos reguladores, entre outros.
CGU: COSO – Estrutura conceitual de análise de risco – Quem faz parte desse Comitê
Falamos sobre o Comitê, mas quem faz parte desse Comitê?
As organizações que amparam esse Comitê são:
– Instituto Americano de Contadores Públicos Certificados;
– Instituto dos Auditores Internos;
– Associação Americana de Contadores;
– Instituto dos Contadores Gerenciais;
– Executivos Financeiros Internacionais.
Os ensinamentos do COSO são referências para os controles internos. Mas, o que são controles internos segundo o COSO?
CGU: COSO – Estrutura conceitual de análise de risco – Controle Interno segundo o COSO
Consoante o COSO, controle interno é o processo conduzido pela diretoria da organização, seus conselheiros ou outros empregados dessa organização, que buscam promover uma garantia razoável de que a companhia irá cumprir suas metas.
Atenção a isso: “buscam promover uma garantia razoável de que a companhia irá cumprir suas metas”, dado que é impossível ter uma garantia total disso.
No ano de 1992, foi publicado o trabalho Internal Control- Integrated Framework (Controles Internos – Um Modelo Integrado), o qual se tornou referência em relação à aplicação dos controles internos.
Resumo: O COSO é tido como um referencial de como os sistemas de controle interno das organizações devem funcionar. Para isso, ele estabelece várias diretrizes tendo como objetivo proteger a organização dos riscos. Como falamos, ele foi criado visando o aperfeiçoamento da qualidade de relatórios financeiros.
Para o COSO, controle interno é um componente do processo de gestão que procura atingir os objetivos da organização, utilizando o mínimo de recursos possíveis, de modo correto e tempestivo.
Hoje em dia existem dois modelos de COSO, o “Internal Control – Integrated Framework”, chamado também de COSO I e o “Enterprise Risk Management – Integrated Framework” (Gerenciamento de Riscos Corporativos – Estrutura Integrada), chamado de COSO II ou COSO ERM.
CGU: COSO – Estrutura conceitual de análise de risco – COSO I
Primeiramente, o que foi o COSO I?
O COSO I foi criado em 1992 e atualizado em 1993. Consoante o Comitê, no COSO I, o controle interno é conduzido pela Diretoria, Conselho e outros empregados da organização, que busca fornecer uma garantia razoável quanto ao alcance dos objetivos da organização. Relacionados à:
· Eficácia e eficiência das operações;
· Confiabilidade dos relatórios financeiros;
· Conformidade com a Lei e regulamentos aplicáveis.
O que quer dizer “garantia razoável”?
O controle interno não consegue garantir total que os objetivos da organização sejam alcançados, pois, existem limitações que o impedem. Sendo assim, os controles internos, por melhor que sejam, só conseguem garantir uma razoável segurança.
Para Almeida (1996), as limitações dos controles internos são geradas, principalmente, devido ao conluio dos empregados, quando eles não são instruídos adequadamente com relação às normas internas ou quando são negligentes.
Além do fato de que eventos externos estão fora do controle da organização. Assim, por melhor que seja o controle, é impossível prever totalmente como irá ocorrer um evento externo.
Ademais, outra limitação do controle interno é devido à relação custo x benefício, uma vez que o benefício desse controle deve superar os custos advindos dele.
CGU: Estrutura conceitual de análise de risco – Componentes do COSO I
O COSO I possui cinco componentes: Ambiente de Controle, Avaliação de Riscos, Atividade de Controle, Informação e Comunicação e Monitoramento.
· Ambiente de Controle -> Trata-se de fatores intangíveis que afetam o controle interno na entidade. É o conjunto de normas, processos e estruturas que servem de base para o controle interno na organização. Esse ambiente de controle é determinado pela alta administração e serve de base para o sistema de controle interno.
· Avaliação de Riscos -> É o procedimento para identificar e avaliar os riscos, uma vez que esses riscos precisam ser reduzidos a níveis aceitáveis. É muito importante que a Administração veja os riscos que podem impedir de alcançar seus objetivos.
· Atividade de Controle -> Trata-se das políticas e procedimentos visando reduzir os riscos. Essa atividade de Controle possui tanto natureza preventiva quanto detectiva, além de abranger muitas atividades.
· Informação e Comunicação -> A informação e comunicação é importante para que a organização cumpra os objetivos de controle interno, para apoiar o cumprimento dos objetivos organizacionais. Essas informações são geradas tanto de fontes internas quanto externas, visando auxiliar o funcionamento do controle interno.
· Monitoramento -> Trata-se do acompanhamento de modo contínuo das atividades, por meio de avaliações independentes e pontuais.
CGU: Estrutura conceitual de análise de risco – Matriz Tridimensional do COSO I (Cubo COSO)
O que é a matriz tridimensional?
Essa matriz tridimensional, ou Cubo COSO, é uma representação gráfica do Sistema de Controle Interno. Essas dimensões são:
1° dimensão: Categorias de objetivos;
2° dimensão: Níveis da Estrutura Organizacional;
3° dimensão: Componentes de Controle.
Desse modo, essas três dimensões demonstram a relação direta entre os objetivos de controle que a entidade precisa alcançar, os Componentes de Controle (3º dimensão) importantes para conseguir alcançar esses objetivos (1º dimensão) e os Níveis da Estrutura Organizacional (2º dimensão), o que se modifica de uma entidade para outra.
CGU: Estrutura conceitual de análise de risco – COSO II – ERM
O COSO publicou o Enterprise Risk Management – integrated framework (COSO II ou COSO-ERM), em 2004, sendo um documento utilizado como referência na gestão de riscos corporativos. Aperfeiçoando o COSO anterior, o COSO I, que falamos anteriormente.
Esse COSO II ou COSO-ERM foi elaborado com a finalidade de orientar as organizações no gerenciamento de riscos corporativos, além da aplicação de boas práticas a respeito desse tema.
O COSO II foi uma evolução do modelo anterior de COSO I. Isto é, além dele englobar o modelo do COSO I adicionou algumas ferramentas extras.
No COSO II a atividade “análise de riscos”, que estava prevista no COSO I, foi preenchida por: identificação de eventos, avaliação de riscos e resposta a riscos.
O COSO II traz conceitos como o apetite a risco e tolerância a riscos. O apetite a risco, refere-se à quantidade de risco que a organização está disposta a aceitar para criar valor. A tolerância a riscos, relaciona-se ao nível de variação aceitável para alcançar um objetivo.
Por fim, o COSO II agrega técnicas de gerenciamento integrado de riscos, ampliando o modelo do COSO I. Dado que, o primeiro modelo focava em avaliar e aperfeiçoar o sistema de Controle Interno, já o segundo modelo priorizava o risco corporativo.
CGU: Estrutura conceitual de análise de risco – COSO II – gerenciamento de riscos corporativos
O COSO II esclarece que o gerenciamento de riscos corporativos é: “Um processo conduzido em uma organização pelo conselho de administração, diretoria e demais empregados, aplicado no estabelecimento de estratégias, formuladas para identificar em toda a organização eventos em potencial, capazes de afetá-la, e administrar os riscos de modo a mantê-los compatível com o apetite a risco da organização e possibilitar garantia razoável do cumprimento dos seus objetivos”. Verifique que aparece novamente ” possibilitar garantia razoável do cumprimento dos seus objetivos”.
Sendo assim, o gerenciamento de riscos corporativos visa:
– Nivelar o apetite ao risco com os objetivos da organização;
– Encorajar a tomada de decisão da organização em resposta aos riscos;
– Reconhecer os riscos variados;
– Diminuir os fatores prejudiciais;
– Beneficiar-se das oportunidades.
CGU: Estrutura conceitual de análise de risco – Objetivos COSO II
Os objetivos conforme o COSO II são:
· Estratégico: Os objetivos estratégicos compatíveis com a missão da organização.
· Operacional: Os objetivos operacionais relativos à utilização eficiente e eficaz dos recursos da organização.
· Comunicação: Relacionados à confiança dos relatórios.
· Conformidade: Referente ao cumprimento das leis e dos atos normativos.
CGU: Estrutura conceitual de análise de risco – Componentes do COSO II
Além do mais, o COSO II alterou os componentes, passando a ser 8, diferentemente dos 5 componentes do COSO I. São os seguintes componentes do COSO II:
· Ambiente de Interno -> equivalente ao COSO I. Dado que, trata-se de fatores intangíveis que afetam o controle interno na entidade. Sendo um conjunto de normas, processos e estruturas que servem de base para o controle interno na organização;
· Fixação de Objetivos -> Todos os níveis da organização precisam fixar objetivos, para a Administração poder realizar a identificação e avaliação desses riscos relacionados a sua realização. Além disso, a administração deve buscar formas de administrar esses riscos.
· Identificação de Eventos -> Identificar os eventos que causam oportunidades ou riscos, para esquematizar situações que possam dificultar o alcance dos objetivos da organização.
· Avaliação de Riscos -> equivalente ao COSO I. Trata-se do procedimento para identificar e avaliar os riscos, visto que esses riscos precisam ser reduzidos a níveis aceitáveis;
· Resposta a Risco -> Cada risco mapeado pode ter uma resposta diferente, como: evitar, aceitar, compartilhar e reduzir, essa resposta depende do nível de exposição ao risco definido pela organização.
· Atividades de Controle -> equivalente ao COSO I. Trata-se das políticas e procedimentos visando reduzir os riscos, possuindo tanto natureza preventiva quanto detectiva;
· Informações e Comunicações -> equivalente ao COSO I. A informação e comunicação é importante para que a organização possa cumprir os objetivos de controle interno;
· Monitoramento -> equivalente ao COSO I. É o acompanhamento de modo contínuo das atividades, através de avaliações independentes e pontuais.
Espero que tenham gostado do artigo!
Um abraço e bons estudos!
Leonardo Mathias
@profleomathias
Cursos e Assinaturas
Prepare-se com o melhor material e com quem mais aprova em Concursos Públicos em todo o país!
Cursos e Assinaturas
Prepare-se com o melhor material e com quem mais aprova em Concursos Públicos em todo o país!