Estrutura COSO: Mitigue Riscos e Impulsione o Sucesso da sua Empresa

O controle, a gestão, a medição e a governança dos processos empresariais são essenciais para impulsionar a melhoria contínua e evitar riscos financeiros.

As organizações recorrem a controles internos, que são métodos empregados para garantir a segurança contra atividades fraudulentas, ao mesmo tempo em que asseguram a execução fluida dos processos. No entanto, quando esses controles internos falham, podem representar uma ameaça aos negócios.

Segundo um relatório, 43% das pequenas organizações sofrem fraudes devido à falta de controles internos, e 20% das grandes organizações enfrentam fraudes devido à substituição dos controles internos existentes.

Foi nesse contexto que o Comitê de Organizações Patrocinadoras (COSO) da Treadway Commission desenvolveu uma estrutura para auxiliar as empresas no controle e gestão de seus processos de negócio. Essa estrutura permite que as organizações garantam o alinhamento de seus processos, além de orientá-las na identificação e mitigação de riscos.

Embora a implementação da estrutura COSO não seja obrigatória, ela auxilia as organizações a cumprir padrões regulamentares e a evitar atividades fraudulentas, que de outra forma seriam difíceis de prevenir, uma falha que pode levar as organizações a enfrentarem grandes dificuldades.

Portanto, se você busca evitar tais problemas, continue a leitura. Este artigo explora a estrutura COSO, seus benefícios e como as organizações podem utilizá-la para mitigar riscos.

O que é a Estrutura COSO?

A estrutura COSO consiste em um conjunto de diretrizes e princípios que auxiliam as organizações no controle e gestão de seus processos de negócios.

O comitê COSO criou essa estrutura em 1992, sob a liderança de James Treadway, Jr., Conselheiro Geral e Vice-Presidente Executivo, contando com a participação de outras organizações do setor privado, incluindo:

  • Executivos Financeiros Internacionais (FEI)
  • Associação Americana de Contabilidade (AAA)
  • Instituto Americano de Contadores Públicos Certificados (AICPA)
  • O Instituto de Auditores Internos (IIA)
  • O Institute of Management Accountants (IMA), anteriormente conhecido como National Association of Cost Accountants

O comitê atualizou e modernizou a estrutura em 2013, representando-a pelo cubo COSO, conforme ilustrado abaixo.

Fonte: info.knowledgeleader.com

Este diagrama tridimensional demonstra como os diferentes elementos do sistema de controle interno trabalham em conjunto para alinhar os processos empresariais.

Em 2017, o comitê COSO apresentou uma estrutura complementar à estrutura COSO, com o objetivo de facilitar a avaliação e priorização de riscos pelas organizações, moldando o desempenho dos negócios e as estratégias de risco.

Assim, compreender a estrutura COSO traz benefícios significativos para a organização, guiando-a na gestão e no estabelecimento eficiente de controles internos em todo o ambiente de negócios. Processos de controle interno confiáveis garantem operações comerciais éticas, transparentes e alinhadas com os padrões do setor.

Benefícios da Estrutura COSO

Definir uma estratégia de mitigação de riscos adaptada ao cenário de segurança cibernética em constante mudança e aos novos desafios é fundamental para qualquer empresa.

Veja como a implementação da estrutura COSO pode ajudar as empresas a se manterem à frente de fraudes maliciosas e a protegerem seus processos de negócios e reputação.

#1. Avaliação de Risco Aprimorada

A gestão ineficaz é uma das principais causas da maioria dos incidentes no local de trabalho. Esses incidentes e riscos, que surgem em uma determinada área, podem impactar significativamente outras áreas de negócios, afetando todo o desempenho da empresa.

A implementação proativa da estrutura COSO e avaliações de risco eficazes podem auxiliar na identificação, gestão e prevenção de riscos, evitando que eles ocorram e afetem seus negócios.

#2. Controles Internos Aprimorados

A estrutura COSO proporciona às empresas controles internos mais eficazes para a mitigação de riscos, permite que os processos de negócios operem de forma mais uniforme, em conformidade com os controles internos definidos, e aproveita os dados necessários para a tomada de decisão assertiva.

#3. Detecção de Fraude Aprimorada

A estrutura COSO melhora a eficácia da detecção de fraudes e do gerenciamento de riscos, independentemente de hackers, cibercriminosos, funcionários confiáveis ou clientes estarem envolvidos em atividades fraudulentas.

A estrutura facilita a prevenção de atividades fraudulentas pelas organizações, através da definição de controles internos para detectar a fraude e responder a esses incidentes assim que ocorrem, de forma a mitigá-los antes que causem qualquer dano.

#4. Melhor Governança

A supervisão inadequada do desempenho dos negócios e a má governança levam a muitas falhas empresariais e perdas de receita. Portanto, o objetivo fundamental da estrutura COSO é aprimorar a função de governança corporativa das empresas, que monitora continuamente os riscos para garantir a conformidade com políticas, leis e metas.

#5. Segurança Aprimorada de Aplicativos

Além dos riscos de fraude e segurança cibernética, as organizações enfrentam ameaças contínuas de ataques de segurança aos aplicativos de negócios. A estrutura COSO oferece diretrizes para empresas e organizações avaliarem e aprimorarem seu ambiente de controle de aplicativos para melhor detecção e prevenção de incidentes de segurança cibernética.

#6. Flexibilidade Melhorada

É possível adaptar a estrutura COSO às necessidades e requisitos específicos de sua organização, independentemente do setor ou porte. Isso a torna ideal e eficiente para uma ampla gama de processos de negócios.

#7. Desempenho Estável

A estrutura COSO facilita a antecipação de riscos e o planejamento de prazos, limitando a variabilidade do desempenho. Como resultado, ela ajuda as organizações a maximizar a lucratividade e minimizar interrupções, melhorando a resiliência dos negócios.

#8. Custo-Benefício

A implementação correta da estrutura COSO permite que as organizações simplifiquem os processos de negócios, estabeleçam e implementem controles internos eficientes, mitiguem riscos de forma mais eficaz e gerenciem os custos de conformidade.

Utilização da Estrutura COSO

As organizações utilizam principalmente a estrutura COSO para projetar, desenvolver e implementar controles internos eficazes, bem como para aumentar sua eficácia geral.

A estrutura COSO fornece orientação às organizações para detectar e mitigar riscos, definir controles e objetivos claros e tomar decisões eficazes, permitindo que as organizações cumpram os requisitos éticos e legais, com foco na gestão e avaliação de riscos.

Essa estrutura é amplamente utilizada por empresas financeiras e de contabilidade, bem como por organizações de capital aberto.

A estrutura COSO possui aplicações práticas e empresariais, incluindo:

#1. Expansão das Operações

Suponha que sua organização planeje expandir suas operações para novas cidades ou países e precise garantir que todos os possíveis riscos que possam ameaçar seus processos de negócios tenham sido considerados e mitigados. Nesse caso, a estrutura COSO pode ser útil.

A estrutura COSO oferece uma abordagem sistemática para identificar, gerenciar e avaliar riscos, além de desenvolver estratégias de mitigação para os mesmos.

#2. Mudança na Estratégia

Imagine que sua organização planeja implementar mudanças significativas nos processos e operações de negócios, como o lançamento de um novo produto ou serviço, ou uma mudança nas estratégias de negócios. Nesse cenário, a utilização da estrutura COSO pode ser benéfica para sua empresa.

Ela pode auxiliar no planejamento e gerenciamento eficaz de mudanças significativas nos negócios, fornecendo uma maneira de identificar riscos potenciais associados às mudanças e criar planos para lidar com eles.

#3. Manter-se à Frente da Concorrência

Encontrar maneiras de se manter à frente da concorrência, seja enfrentando desafios de rivais ou percebendo perdas de negócios, é essencial para aumentar sua competitividade. Uma maneira de fazer isso é entender as preferências e requisitos do cliente.

A estrutura COSO ajuda as organizações a enfrentar esse desafio, oferecendo uma abordagem estruturada para pesquisa de mercado e análise de clientes.

Cinco Componentes Essenciais da Estrutura COSO

Os cinco componentes da estrutura COSO também são conhecidos como componentes de controle interno e são frequentemente referidos como ‘CRIME’, que é a abreviação de:

  • Ambiente de Controle
  • Avaliação de Risco
  • Informação e Comunicação
  • Atividades de Monitoramento
  • Atividades de Controle Existentes

Vamos analisar cada um desses componentes em mais detalhes.

Ambiente de Controle

O ambiente de controle é a base de todos os sistemas de controle interno, consistindo no conjunto de processos, normas e estruturas que garantem um sistema de controle interno eficaz em toda a organização.

Ele engloba parâmetros como a estrutura organizacional, os valores éticos da gestão e a autoridade delegada.

Um ambiente de controle robusto instila disciplina dentro da organização, garante a adesão da organização às políticas e requisitos de conformidade regulamentar e minimiza as chances de os funcionários se envolverem em atividades fraudulentas.

Assim, com a fraude se tornando mais comum na era atual e no mundo corporativo, o ambiente de controle é um dos componentes mais significativos e críticos da estrutura COSO.

Avaliação e Gestão de Riscos

A avaliação e gestão de riscos, às vezes chamada de gestão de riscos corporativos, inclui processos que ajudam a identificar e avaliar os riscos que podem prejudicar o bem-estar de uma empresa e afetar seus objetivos principais.

Os riscos podem ser internos ou externos. Enquanto os riscos internos incluem peculato e fraude, os riscos externos podem ser decorrentes de mudanças nas condições de mercado ou desastres naturais.

Informação e Comunicação

Os sistemas de informação e comunicação são cruciais para uma organização operar de forma eficiente, assegurando que as comunicações externas e internas sigam valores éticos, requisitos legais e práticas padrão do setor.

Esses sistemas garantem que informações relevantes estejam sempre disponíveis para quem precisa e que sua comunicação siga as melhores práticas para atingir as metas e objetivos de negócios.

A comunicação é um processo contínuo de iteração, obtenção, compartilhamento e fornecimento de informações em tempo hábil de fontes internas e externas em toda a organização, permitindo que a alta administração comunique a importância dos controles internos de forma eficaz.

Atividades de Monitoramento

É essencial monitorar regularmente todos os controles internos, através de avaliações contínuas e separadas, para garantir e verificar se eles funcionam corretamente. Além disso, as atividades de monitoramento auxiliam na avaliação do funcionamento dos sistemas de controle interno, permitindo que as organizações tomem ações corretivas sempre que necessário.

O monitoramento de controles internos permite que as organizações identifiquem riscos, problemas e pontos fracos dentro dos sistemas continuamente, para que possam ser corrigidos prontamente.

Atividades de Controle Existentes

As atividades de controle são processos, políticas e procedimentos de detecção e prevenção que auxiliam na mitigação dos riscos em uma organização e garantem que eles sejam controlados adequadamente.

Elas estão presentes em todos os níveis da organização, com o objetivo principal de garantir que os processos de negócios sejam executados de forma a permitir que uma organização atinja seus objetivos sem introduzir riscos desnecessários nos processos.

Exemplos de atividades de controle incluem controles físicos, como câmeras de segurança, segregação de funções e requisitos de autorização.

Como Implementar a Estrutura COSO?

A seguir, apresentamos as etapas para implementar a estrutura COSO, com o intuito de desenvolver sistemas de controle interno eficazes e aprimorar sua gestão e manutenção.

#1. Compreendendo a Estrutura COSO

As organizações que desejam aplicar a estrutura COSO devem designar uma equipe dedicada para compreender seu design e torná-los responsáveis por sua implementação.

A equipe deve compreender os benefícios, uso, aplicações e princípios da estrutura, com vistas a um sistema de controle interno eficaz.

#2. Desenvolvendo um Plano

Após a compreensão adequada da estrutura, a equipe deve desenvolver um plano de projeto ou roteiro para abordar o escopo de implementação da estrutura, as partes interessadas, os recursos, a estrutura organizacional e os cronogramas.

#3. Avaliando a Implementação de uma Estrutura

A implementação da estrutura COSO varia de empresa para empresa, e a avaliação dos sistemas de controle interno ajudará as organizações a identificar os riscos que devem ser abordados e mitigados.

A equipe de implementação deve definir objetivos de negócios claros, investigar e analisar o sistema atual de controles internos e identificar as lacunas, envolvendo funcionários de nível básico e gerenciamento sênior para reunir diversas perspectivas e desenvolver sistemas de controle interno robustos.

#4. Remediando as Soluções

Quaisquer fraquezas e vulnerabilidades identificadas durante a avaliação devem ser abordadas nesta etapa. Além disso, é fundamental desenvolver controles internos e soluções de correção para lidar com essas deficiências.

Você pode começar remediando soluções para os riscos com maior probabilidade de ocorrência e com potencial para causar maiores danos e impactos significativos, utilizando o melhor software de gestão de vulnerabilidades, e, em seguida, avançar para os demais.

#5. Testando, Relatando e Otimizando as Soluções

As organizações devem detalhar as soluções e realizar verificações para testar e relatar sua eficiência e eficácia.

Os stakeholders responsáveis devem manter-se informados sobre os resultados dos testes para fornecer feedback e sugestões de substituição sobre as soluções com lacunas e controles considerados ineficazes.

Este é um processo contínuo e repetitivo, no qual as avaliações regulares permitem sinais de alerta precoce para a tomada de medidas imediatas sobre as mudanças no ambiente de controle.

Limitações da Estrutura COSO

Apesar de a estrutura COSO trazer diversos benefícios para as organizações, ela também apresenta seus desafios e limitações, como:

  • Dificuldade de implementação: Um dos maiores desafios da estrutura COSO é a dificuldade de implementação, especialmente para organizações que nunca trabalharam com ela antes. A estrutura COSO exige comprometimento dedicado dos funcionários e da alta administração para ter sucesso.
  • Complexidade de uso: A estrutura COSO não é fácil de usar e compreender, pois emprega jargões técnicos e pode ser difícil de interpretar na maioria dos casos, especialmente para aqueles que não estão familiarizados com as mais recentes tecnologias e terminologias de negócios.
  • Demora: A estrutura COSO pode demandar tempo para ser compreendida e implementada, especialmente em organizações e empresas maiores, pois exige muito planejamento e coordenação entre várias equipes e departamentos.

Considerações Finais

A estrutura COSO é uma estrutura abrangente de gestão e mitigação de riscos que fornece orientações às organizações e empresas sobre como aprimorar seus sistemas de controle interno.

Ela se baseia em seus cinco componentes essenciais e inter-relacionados, que atuam em conjunto para atingir os objetivos organizacionais, auxiliar na detecção e prevenção de fraudes, proteger os ativos e garantir a conformidade com as leis e os requisitos regulamentares.

Portanto, se você está planejando criar um sistema de controles internos ou buscando maneiras de melhorar o existente, optar pela implementação de uma estrutura COSO eficaz é a escolha certa.

Em seguida, confira um guia abrangente sobre qualidade de dados.