Eduardo-Person-Pardin.png

Eduardo Person Pardini

É sócio principal, responsável pelos projetos de governança, gestão de riscos, controles internos e auditoria interna da Crossover Consulting & Auditing. É diretor executivo do Internal Control Institute - Chapter Brasil, palestrante e instrutor do IIA Brasil.

artigos colunistasLeia todos os artigos


Simplificando o COSO Controles Internos 2013!

Voltar

Muito tem se escrito sobre a versão do COSO Controles Internos, a qual foi publicada em 2013. Vou tentar simplificar esta visão e sugerir alguns passos para a aplicação da estrutura na organização.

Então vamos lá!

Esta versão passou a vigorar em 15 de dezembro último, e mesmo não tendo força de lei, ela é considerada pela lei Sarbanes-Oxley (SOX) o paradigma para a melhor prática de gestão dos processos de controles internos.

Isto implica em dizer que, para as empresas que devem avaliar seu sistema de controles internos, conforme solicitado pela Lei SOX, a partir desta data, a nova estrutura COSO Internal Control Framework passa ser o paradigma para aderência, o que trouxe um certo trabalho para as empresas se adequarem, principalmente para aquelas organizações que deixaram esta atividade para a última hora.

Gosto sempre de mencionar que todas as empresas, não somente aquelas sob a exigência da Lei SOX, podem obter ganhos significativos de eficiência, eficácia e economia, com a adoção desta estrutura em sua organização.

A primeira versão da estrutura foi publicada no inicio dos anos 90, e com certeza, naquela época, o ambiente corporativo e de negócios era bem diferente do atual ambiente, principalmente quanto aos quesitos relacionados com a globalização, com os sistemas eletrônicos integrados, e com comércio via web, por isso houve a necessidade desta revisão pelo Committee of Sponsoring Organizations of the Treadway Commission, mais conhecido como COSO.

Esta versão traz um alinhamento conceitual com a estrutura COSO ERM - Enterprise Risk Management, publicada no ano 2001, demonstrando com isto, que a organização pode ter um bom sistema de controles internos, mesmo que não tenha um processo de gerenciamento de riscos, contudo, o inverso não é uma verdade. Um processo de gerenciamento eficiente de riscos requer um bom sistema de controles internos.

Vamos ver quais foram as principais mudanças:

  • Na primeira versão, o objetivo relacionado com a integridade e consistência das informações estava concentrado somente nas informações financeiras. Nesta nova versão, este objetivo passa a valer para todas as informações, sejam elas financeiras ou não;
  • Também houve um reposicionamento dos componentes do controle interno, onde o ambiente de controle passa a ter grande relevância para a qualidade do sistema de controles internos. Esta alteração tem forte impacto na cultura da organização, pois requer o comprometimento com a ética e com as boas práticas de gerenciamento dos controles internos pela alta administração.
  • Outro componente que passa a ter maior ênfase é a avaliação de riscos, a qual, além da avaliação dos riscos inerentes ao processo operacional, determina que sejam identificados e avaliados os riscos relacionados ao sistema de processamento eletrônico, e os riscos de fraudes.

Um ponto positivo desta nova estrutura, que ajuda em muito as organizações a direcionarem seus esforços, é a indicação de diretrizes para cada um dos componentes, através de 16 princípios. Para cada um destes princípios, também são indicados os "focal points” , facilitando ainda mais o processo de adequação à estrutura COSO ICF.

Para aqueles que desejarem alinhar o sistema de controles internos com a estrutura COSO ICF, recomendo, de maneira simplificada, a adoção dos seguintes passos:

  1. Obtenha e compartilhe o conhecimento sobre o COSO ICF, seus princípios e sobre os "focal points" ,
  2. Com base em uma avaliação de riscos, determine os processos operacionais mais significativos, que serão objeto de alinhamento com a estrutura,
  3. Avalie o ambiente de controle dos processos que será foco de mapeamento,
  4. Proceda ao mapeamento dos processos, identificando os controles existentes,
  5. Defina os objetivos operacionais de cada processo mapeado,
  6. Com base nestes objetivos, identifique e avalie os riscos inerentes, riscos de TI e riscos de fraude,
  7. Associe os controles observados com os riscos identificados. Nesta fase, além de controles associados aos riscos, você também irá encontrar riscos sem controles, controles sem riscos, que merecerão uma avaliação posterior para determinar a inclusão ou eliminação do controle,
  8. Avaliar a disciplina e supervisão dos controles considerados chaves,
  9. E como resultado desta avaliação, programar melhorias para o fortalecimento do sistema de controles internos.

Para finalizar, não tenha a expectativa de que este processo seja rápido, pois não é, ele precisa de tempo para ser amadurecido. É importante ter uma equipe capacitada, e de preferência contar com um suporte especializado.

Será necessário, também, um planejamento estruturado, gestores sensibilizados e comprometidos com as boas práticas de gestão, perseverança, disciplina e muito foco, pois muitos temas terão forte impacto na cultura da organização, podendo gerar resistências.

Eduardo Person Pardini – Sócio principal, responsável pelos projetos de governança, gestão de riscos, controles internos e auditoria interna da Crossover Consulting & Auditing. É diretor executivo do Internal Control institute - chapter Brasil, palestrante e instrutor do IIA Brasil.

São Paulo, 28 de junho de 2015.