Governança, Gestão de Riscos e Controles Internos e segundo o COSO

8 GOVERNANÇA, GESTÃO DE RISCOS E CONTROLES INTERNOS: UMA ABORDAGEM BASEADA NO COSO

8.1 INTRODUÇÃO

A governança corporativa é um tema cada vez mais relevante na gestão das organizações, visto que busca promover a transparência, a prestação de contas e a responsabilidade dos órgãos de governança em relação aos resultados e às decisões tomadas. Nesse contexto, a gestão de riscos e os controles internos desempenham um papel fundamental para assegurar a eficácia das operações e a proteção dos ativos organizacionais.

Este capítulo tem como objetivo apresentar os conceitos e as práticas relacionadas à governança, gestão de riscos e controles internos, com base no framework desenvolvido pelo Committee of Sponsoring Organizations of the Treadway Commission (COSO). O COSO é uma referência amplamente reconhecida e adotada mundialmente para a estruturação e avaliação desses elementos nas organizações.

8.2 GOVERNANÇA CORPORATIVA SEGUNDO O COSO

A governança corporativa refere-se aos mecanismos e processos utilizados para direcionar e controlar uma organização, garantindo que ela alcance seus objetivos estratégicos, atue de forma ética e transparente, e esteja em conformidade com as leis e regulamentações aplicáveis. Segundo Tricker (2015), a governança corporativa envolve a definição de responsabilidades, a criação de mecanismos de prestação de contas e a busca por equilíbrio entre os interesses dos diferentes stakeholders.

Segundo o COSO (Committee of Sponsoring Organizations of the Treadway Commission), a governança corporativa refere-se ao conjunto de processos, estruturas e práticas utilizadas para dirigir e controlar uma organização, com o objetivo de alcançar seus objetivos, agregar valor e garantir a prestação de contas. O COSO destaca a importância da governança corporativa para a gestão eficaz dos riscos e a busca pela transparência, integridade e responsabilidade nas organizações.

De acordo com o COSO, a governança corporativa envolve a liderança e a supervisão dos órgãos de governança, como o conselho de administração, a alta administração e outros componentes-chave da organização. É responsabilidade desses órgãos definir a estratégia, estabelecer os objetivos e os limites de risco, e monitorar o desempenho e a conformidade da organização.

O COSO ressalta que a governança corporativa deve fornecer uma estrutura para a tomada de decisões, garantindo que os interesses de todas as partes interessadas sejam considerados. Isso inclui a adoção de práticas éticas, a comunicação transparente e a prestação de contas aos acionistas, colaboradores, clientes e demais partes interessadas.

A adoção de princípios de governança corporativa, conforme proposto pelo COSO, contribui para a criação de um ambiente de controle interno eficaz e para o alcance dos objetivos organizacionais. Esses princípios incluem o estabelecimento de objetivos claros, a identificação e avaliação de riscos, a definição de políticas e procedimentos, a atribuição de responsabilidades, a implementação de mecanismos de monitoramento e a melhoria contínua dos processos.

A governança corporativa, segundo o COSO, é uma disciplina fundamental para o bom funcionamento das organizações, fornecendo uma estrutura que permite a gestão adequada dos riscos, a tomada de decisões informadas e a busca pela eficiência e eficácia nos negócios.

8.3 GESTÃO DE RISCOS SEGUNDO O COSO

A gestão de riscos é um componente essencial da governança corporativa, pois visa identificar, avaliar e mitigar os riscos que podem afetar o alcance dos objetivos organizacionais. De acordo com o COSO (2017), a gestão de riscos deve ser integrada às atividades da organização e considerar tanto os riscos internos quanto os externos. A abordagem de gestão de riscos baseada no COSO é composta por oito componentes inter-relacionados, que incluem o estabelecimento de contexto, a identificação de eventos, a avaliação de riscos, a resposta aos riscos, o monitoramento, a comunicação e o estabelecimento de uma estrutura de governança.

A gestão de riscos, segundo o COSO (Committee of Sponsoring Organizations of the Treadway Commission), é um processo contínuo e integrado que visa identificar, avaliar e responder aos riscos que podem afetar a capacidade de uma organização alcançar seus objetivos. O COSO desenvolveu o Enterprise Risk Management - Integrated Framework, um modelo amplamente reconhecido e utilizado para auxiliar as organizações na implementação eficaz da gestão de riscos.

O modelo do COSO define a gestão de riscos como um componente essencial da governança corporativa e destaca a importância de uma abordagem integrada e sistemática para identificar e responder aos riscos. Ele fornece uma estrutura abrangente para a gestão de riscos, abordando desde a definição da estratégia e dos objetivos da organização até a implementação de medidas de monitoramento e comunicação dos riscos identificados.

O processo de gestão de riscos de acordo com o COSO envolve os seguintes componentes:

Ambiente interno: estabelecimento de uma cultura organizacional que valoriza a gestão de riscos e promove a responsabilidade pela identificação e resposta aos riscos.

Definição de objetivos: estabelecimento de objetivos claros e alinhados com a missão e a estratégia da organização, considerando os riscos associados.

Identificação de eventos de risco: identificação dos eventos que podem afetar a realização dos objetivos da organização, tanto internos quanto externos.

Avaliação de riscos: avaliação da probabilidade e do impacto dos eventos de risco identificados, levando em consideração a sua interdependência e o contexto organizacional.

Resposta aos riscos: desenvolvimento de estratégias e ações para lidar com os riscos identificados, incluindo a aceitação, mitigação, transferência ou evitar o risco.

Atividades de controle: implementação de políticas, procedimentos e práticas de controle para reduzir a probabilidade e o impacto dos riscos, bem como garantir a conformidade com leis e regulamentações.

Informação e comunicação: estabelecimento de um sistema de comunicação eficaz para compartilhar informações relevantes sobre riscos e sua gestão em toda a organização.

Monitoramento: monitoramento contínuo do processo de gestão de riscos para garantir sua eficácia e fazer ajustes necessários.

A gestão de riscos segundo o COSO visa proporcionar uma visão holística e integrada dos riscos enfrentados por uma organização, permitindo que ela tome decisões informadas e adote medidas proativas para minimizar a exposição a riscos e maximizar a realização de seus objetivos. Esse modelo é amplamente utilizado por empresas e instituições em todo o mundo como uma referência para a gestão eficaz de riscos.

8.4 CONTROLES INTERNOS SEGUNDO O COSO

Os controles internos são processos implementados pela administração para proporcionar segurança razoável em relação à realização dos objetivos da organização. Segundo o COSO (2013), os controles internos são compostos por cinco componentes: ambiente de controle, avaliação de riscos, atividades de controle, informações e comunicação, e monitoramento. Esses componentes trabalham de forma integrada para fornecer garantias sobre a eficácia das operações, a confiabilidade dos relatórios financeiros e o cumprimento das leis e regulamentos.

Os controles internos, segundo o COSO (Committee of Sponsoring Organizations of the Treadway Commission), referem-se às políticas, procedimentos e práticas estabelecidos por uma organização para garantir a efetividade e a eficiência das operações, a confiabilidade dos relatórios financeiros e o cumprimento das leis e regulamentações aplicáveis. O COSO desenvolveu o Internal Control - Integrated Framework, um modelo amplamente utilizado para auxiliar as organizações na concepção e implementação de controles internos eficazes.

O modelo do COSO de controles internos define cinco componentes essenciais dos controles internos:

Ambiente de controle: refere-se ao estabelecimento de uma cultura organizacional que valoriza a integridade, a ética e o comprometimento com o controle interno. Isso inclui a definição de responsabilidades, a promoção da conscientização sobre controles internos e o estabelecimento de canais de comunicação eficazes.

Avaliação de riscos: envolve a identificação e a avaliação dos riscos que podem afetar a consecução dos objetivos da organização. Isso inclui a compreensão dos fatores de risco, a avaliação da probabilidade e do impacto dos riscos e a priorização das áreas críticas que requerem maior atenção.

Atividades de controle: são as políticas e os procedimentos estabelecidos para mitigar os riscos identificados. Isso inclui controles preventivos para evitar erros e fraudes, controles de detecção para identificar problemas o mais cedo possível e controles corretivos para remediar deficiências.

Informação e comunicação: refere-se à obtenção e ao compartilhamento de informações relevantes para o processo de controle interno. Isso inclui o fluxo adequado de informações dentro e fora da organização, bem como a comunicação eficaz sobre políticas, procedimentos e responsabilidades relacionadas aos controles internos.

Monitoramento: envolve a avaliação contínua da eficácia dos controles internos. Isso inclui a realização de testes, revisões e avaliações periódicas para identificar deficiências, corrigir problemas e garantir a conformidade com os requisitos estabelecidos.

O modelo do COSO enfatiza a importância da abordagem integrada e do envolvimento de todos os níveis da organização na implementação e manutenção dos controles internos. Ele fornece uma estrutura abrangente que auxilia as organizações na identificação, avaliação e gerenciamento dos riscos, bem como na criação de um ambiente de controle eficaz.

Os controles internos, de acordo com o COSO, desempenham um papel fundamental na garantia da integridade e da confiabilidade das operações organizacionais. Eles fornecem uma estrutura para proteger os ativos, prevenir erros e fraudes, garantir a precisão dos registros contábeis e financeiros, além de promover o cumprimento das leis e regulamentações aplicáveis.

8.5 SEMELHANÇAS E DIFERENÇAS ENTRE OS MODELOS DO COSO DE GESTÃO DE RISCOS E DE CONTROLE INTERNO

O modelo de controle interno e o modelo de gestão de riscos desenvolvidos pelo COSO (Committee of Sponsoring Organizations of the Treadway Commission) têm semelhanças e diferenças importantes, mas ambos têm o objetivo de promover a efetividade e a eficiência das organizações.

8.5.1 SEMELHANÇAS:

Abordagem integrada: Tanto o modelo de controle interno quanto o modelo de gestão de riscos do COSO adotam uma abordagem integrada, considerando múltiplos componentes e sua interdependência para alcançar os objetivos organizacionais.

Foco na governança corporativa: Ambos os modelos enfatizam a importância da governança corporativa na condução dos negócios e na implementação de práticas de controle e gerenciamento de riscos eficazes.

Identificação de objetivos: Ambos os modelos destacam a importância de identificar e estabelecer objetivos claros para a organização, fornecendo uma base para o desenvolvimento de controles e estratégias de gerenciamento de riscos.

Avaliação de riscos: Tanto o controle interno quanto a gestão de riscos envolvem a identificação, avaliação e resposta aos riscos que podem afetar a organização. Ambos os modelos enfatizam a importância de uma análise sistemática dos riscos para orientar as decisões e as atividades da organização.

8.5.2 DIFERENÇAS:

Escopo de aplicação: O modelo de controle interno do COSO concentra-se principalmente nos aspectos relacionados à governança corporativa, à integridade dos relatórios financeiros e à conformidade com as leis e regulamentações aplicáveis. Por outro lado, o modelo de gestão de riscos do COSO abrange uma perspectiva mais ampla, incluindo a identificação e o gerenciamento de riscos estratégicos, operacionais e de conformidade.

Componentes específicos: Os dois modelos têm componentes comuns, como ambiente de controle, avaliação de riscos e atividades de controle. No entanto, o modelo de gestão de riscos do COSO inclui componentes adicionais, como definição de objetivos, identificação de eventos, avaliação de riscos, respostas a riscos e atividades de monitoramento.

Ênfases diferentes: O modelo de controle interno do COSO enfatiza a importância do ambiente de controle, da avaliação de riscos e das atividades de controle para garantir a confiabilidade dos relatórios financeiros e a conformidade com as leis e regulamentos. Já o modelo de gestão de riscos do COSO coloca mais ênfase na identificação, avaliação e gestão dos riscos em toda a organização, a fim de alcançar os objetivos estratégicos e operacionais.

Em resumo, o modelo de controle interno do COSO concentra-se principalmente nas práticas de controle e conformidade relacionadas à governança corporativa, enquanto o modelo de gestão de riscos do COSO abrange uma perspectiva mais ampla, incluindo a identificação e o gerenciamento de riscos estratégicos, operacionais e de conformidade.

8.5.3 COMPLEMENTARIEDADE DOS MODELOS DO COSO DE CONTROLE INTERNO E DE GESTÃO DE RISCOS

Ambos os modelos do COSO, controle interno e gestão de riscos, são complementares e podem ser utilizados para fortalecer as práticas de governança corporativa nas organizações.

O modelo de controle interno do COSO enfatiza a importância do ambiente de controle, avaliação de riscos e atividades de controle para garantir a integridade dos relatórios financeiros e a conformidade com as leis e regulamentações. Ele fornece uma estrutura para a implementação de controles internos eficazes que promovam a confiabilidade dos dados financeiros, a prevenção de fraudes e a conformidade com as obrigações legais.

Por outro lado, o modelo de gestão de riscos do COSO amplia o escopo, considerando os riscos em uma perspectiva estratégica, operacional e de conformidade. Ele enfatiza a identificação de objetivos, a identificação e avaliação de eventos de risco, a resposta aos riscos e as atividades de monitoramento. O objetivo é ajudar as organizações a entender e gerenciar os riscos associados às suas metas e operações, permitindo uma tomada de decisão mais informada e uma resposta proativa aos riscos.

A relação entre os dois modelos é estreita, pois a implementação eficaz do controle interno contribui para a gestão de riscos, e uma gestão de riscos sólida fortalece o controle interno. A implementação adequada do controle interno reduz a exposição aos riscos, proporcionando uma base sólida para a gestão de riscos, enquanto a gestão de riscos ajuda a identificar os controles internos necessários para mitigar os riscos identificados.

8.6 MODELOS DO COSO

O Committee of Sponsoring Organizations of the Treadway Commission (COSO) desenvolveu diferentes modelos para orientar as organizações na implementação de governança, gestão de riscos e controles internos. Esses modelos fornecem diretrizes abrangentes e estruturadas para promover a eficácia e eficiência dessas práticas. A seguir, serão apresentados os principais modelos do COSO:

8.6.1 MODELO DE CONTROLE INTERNO INTEGRADO (INTERNAL CONTROL - INTEGRATED FRAMEWORK)

Este modelo é amplamente utilizado para avaliar e melhorar os sistemas de controle interno das organizações. Foi inicialmente publicado em 1992 e passou por atualizações em 2013. O objetivo do modelo é fornecer um conjunto abrangente de componentes e princípios que ajudam a estabelecer um ambiente de controle eficaz. Ele enfatiza a importância da avaliação de riscos, do ambiente de controle, da informação e comunicação, do monitoramento e da atividade de controle.

8.6.2 MODELO DE GERENCIAMENTO DE RISCOS EMPRESARIAIS (ENTERPRISE RISK MANAGEMENT - INTEGRATED FRAMEWORK)

Esse modelo, lançado em 2004 e atualizado em 2017, concentra-se na gestão de riscos em toda a organização. Ele fornece uma estrutura para identificar, avaliar e responder aos riscos que podem afetar negativamente a consecução dos objetivos estratégicos da organização. O modelo do COSO ERM destaca a importância da cultura de gestão de riscos, da definição de objetivos, da avaliação de riscos, da resposta aos riscos e do monitoramento contínuo.

8.6.3 MODELO DE PREVENÇÃO E DETECÇÃO DE FRAUDES DO COSO (FRAUD RISK MANAGEMENT GUIDE):

Esse modelo, lançado em 2016, fornece orientações para as organizações implementarem controles efetivos para prevenir e detectar fraudes. Ele destaca a importância da cultura ética, da avaliação de riscos de fraude, do estabelecimento de políticas e procedimentos antifraude, da implementação de controles específicos para prevenção e detecção de fraudes, além do monitoramento contínuo.

Esses modelos do COSO são amplamente adotados e considerados referências importantes para as organizações que desejam estabelecer boas práticas de governança, gestão de riscos e controles internos. Cada modelo possui sua própria estrutura e ênfase, mas todos compartilham o objetivo comum de promover a eficácia e a eficiência na gestão organizacional.

8.7 IMPLEMENTAÇÃO DO FRAMEWORK COSO

A implementação do framework COSO requer um comprometimento da alta administração e a definição de responsabilidades claras. É essencial que a organização avalie e adapte os elementos do COSO à sua realidade e contextos específicos. De acordo com Elliott et al. (2016), a implementação eficaz da estrutura do COSO envolve a identificação dos principais riscos enfrentados pela organização, a definição de objetivos claros, a avaliação dos controles internos existentes e a implementação de melhorias quando necessário.

A comunicação e o treinamento dos colaboradores são aspectos cruciais para garantir a compreensão e adesão aos princípios e diretrizes estabelecidos pelo COSO. É importante promover uma cultura de controle interno, em que todos os membros da organização compreendam sua responsabilidade na gestão de riscos e na manutenção dos controles internos adequados.

Além disso, a avaliação contínua dos controles internos é fundamental para garantir sua eficácia ao longo do tempo. Isso envolve a realização de testes e auditorias internas, bem como a implementação de mecanismos de monitoramento e relatórios para identificar e corrigir eventuais deficiências.

8.8 BENEFÍCIOS DA GOVERNANÇA, GESTÃO DE RISCOS E CONTROLES INTERNOS

A implementação eficaz da governança, gestão de riscos e controles internos traz uma série de benefícios para as organizações. Esses benefícios incluem a redução de perdas financeiras, a proteção da reputação e imagem da organização, a melhoria da eficiência operacional, o cumprimento das leis e regulamentos, e a promoção da confiança dos stakeholders.

Além disso, uma estrutura robusta de governança, gestão de riscos e controles internos contribui para a tomada de decisões mais informadas e embasadas, permitindo que a organização se adapte às mudanças do ambiente de negócios e aproveite oportunidades de forma estratégica.

8.9 CONSIDERAÇÕES FINAIS

A governança corporativa, a gestão de riscos e os controles internos são elementos interligados que desempenham um papel crucial na garantia da sustentabilidade e sucesso das organizações. A utilização do framework do COSO fornece uma estrutura sólida para implementar e avaliar esses elementos, contribuindo para uma gestão eficaz e responsável.

No entanto, é importante ressaltar que a implementação de governança, gestão de riscos e controles internos deve ser adaptada à realidade e contexto específico de cada organização. É fundamental considerar as características do setor, o tamanho da organização e os objetivos estratégicos almejados.

Referências Bibliográficas

COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO). Internal Control - Integrated Framework. 2013. Disponível em: https://www.coso.org/Documents/990025P_Exec_Summ-16pg-web_09302015.pdf. Acesso em: 12 maio 2023.

COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO). Fraud Risk Management Guide. 2016. Disponível em: https://www.coso.org/Documents/2016-COSO-Fraud-Risk-Management-Guide. Acesso em: 12 maio 2023.

COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO). Enterprise Risk Management - Integrated Framework. 2017. Disponível em: https://www.coso.org/Documents/2017-ERM-Integrating-with-Strategy-and-Performance-Executive-Summary.pdf. Acesso em: 12 maio 2023.

ELLIOTT, Robert K.; KIEL, Leslie D.; ELLIOTT, William A. Financial Accounting and Reporting. Boston: Pearson, 2016.

TRICKER, Bob. Corporate Governance: Principles, Policies, and Practices. Oxford: Oxford University 

Fórum de Discussão

Car@ cursista,

Informamos que a avaliação desta disciplina será realizada através da participação ativa no fórum de discussão. Para isso, é importante que vocês respondam à pergunta proposta ou a qualquer um dos assuntos tratados na aula e também comentem as respostas dos colegas.

Lembrem-se de que a participação é fundamental para o processo de aprendizagem e para enriquecermos nossas reflexões e debates sobre o assunto abordado na disciplina. Portanto, encorajo todos vocês a participarem ativamente do fórum, trazendo suas perspectivas e opiniões sobre o tema.

Além disso, salientamos que a participação no fórum também pode contribuir para a nota de participação, que é uma das formas de avaliação utilizadas nesta disciplina. Dessa forma, é importante que todos se empenhem em participar e contribuir para a construção do conhecimento coletivo.

Lembramos também que o fórum é um espaço de diálogo e respeito mútuo, por isso, é fundamental que todos se expressem com civilidade e cordialidade, evitando qualquer tipo de ofensa ou desrespeito aos colegas.

Por fim, reforçamos o convite para que todos participem ativamente do fórum de discussão, pois isso contribuirá para uma aprendizagem mais rica e efetiva.

Atenciosamente,

Equipe CEGESP

 

Instruções para o envio do e-mail com o(s) comentário(s) do Fórum

1) Tire um print do seu comentário feito no fórum da aula (aperte a tecla “PrtScn” ou “PrintScreen” e depois clique  cole “Ctrl” + “V” no final da area de texto do seu e-mail  ou cole em um arquivo Word e anexe ao e-mail)

2) Colocar o título do e-mail da seguinte forma:

Nome Completo - FORUM da Aula: Nome da aula - Nome da disciplina

Exemplo: José da Silva – FORUM da Aula: Romantismo no Brasil – Literatura brasileira

3) enviar para avaliacao.cegesp@gmail.com

Observação: não enviar para contato@cegesp.com.br ou para contatocegesp@gmail.com, pois as avaliações enviadas para esses emails não serão computadas para o cálculo da média final, sendo atribuída a nota zero para a avaliação enviada para outro e-mail que não seja o avaliacao.cegesp@gmail.com

Optamos por esse tipo de procedimento/controle, porque ficará mais fácil tanto para @ cursista quanto para a equipe pedagógica acompanhar a entrega das avaliações.

Desejamos boa sorte na avaliação!

 

Pergunta de Partida:

Pergunta: Como vocês percebem a importância da governança, gestão de riscos e controles internos, de acordo com o modelo proposto pelo COSO, para o fortalecimento da organização e o alcance de seus objetivos estratégicos? Vocês consideram que essas práticas são amplamente adotadas nas organizações e contribuem para a melhoria da gestão e o enfrentamento dos desafios atuais? Compartilhem exemplos de casos em que a implementação desses conceitos trouxe benefícios significativos para a organização.