COSO – COMMITTEE OF SPONSORING ORGANIZATIONS

OF THE TREADWAY COMMISSION

O QUE É COSO?

• O COSO (The Comitee of Sponsoring Organizations) é

uma entidade sem fins lucrativos, dedicada à melhoria dos

relatórios financeiros através da ética, efetividade dos

controles internos e governança corporativa.

Com a SOX as mudanças básicas foram nas regras de

governança corporativa com o aumento da

responsabilidade dos executivos das organizações bem

como dos responsáveis perante a emissão e divulgação de

relatórios financeiros. Também foi dada mais ênfase no

uso de controles internos mais rígidos.

SOX X COSO

O COSO identifica os objetivos essenciais do

negócio da organização e define controles internos,

fornece critérios a partir dos quais os sistemas de controle

podem ser avaliados, gera subsídios para que a

administração, auditoria e demais interessados possam

utilizar, avaliar e validar os controles.

VAMOS DEFINIR CONTROLES INTERNOS

O Comitê trabalha com independência, em relação as

suas entidades patrocinadoras. Seus integrantes são

representantes da indústria, dos contadores, das

empresas de investimento e da Bolsa de Valores de New

York.

Objetivo do Coso – Controle Interno, entenda-se por

Controle Interno um processo desenvolvido para garantir,

com razoável certeza, que sejam atingidos os objetivos da

empresa, nas seguintes categorias:

Eficiência e efetividade operacional – objetivos e

desempenho ou estratégia: esta categoria está

relacionada com os objetivos básicos da entidade,

inclusive com os objetivos e metas de desempenho e

rentabilidade, bem como da segurança e qualidade dos

ativos.

Confiança nos registros contábeis/ financeiros

objetivos de informação : todas as transações devem

ser registradas, todos os registros devem refletir

transações reais, consignadas pelos valores e

enquadramentos corretos.

Conformidade – objetivos de conformidade: com as

leis e normativos aplicáveis à entidade e sua área de

atuação.

A GESTÃO TEM RESPONSABILIDADE FUNDAMENTAL

NO DESENVOLVIMENTO E MANUTENÇÃO DE

CONTROLES INTERNOS EFETIVOS.

Controle interno é o nome da gestão de riscos associada com

programas e operações da organização.

Controles Internos – organização, políticas e procedimentos – são

ferramentas para ajudar a gestão financeira a atingir os resultados

e proteger a integridade de seus planos de ação.

ESTRUTURAS E METODOLOGIAS DE CONTROLE

ADOTADAS NA SARBANES COSO

________________________________________

_Todo fundamento por trás do COSO (2005) está baseado

em 4 conceitos chave:

Controles internos:

a. São processos;

b. São conduzidos por pessoas;

c. Ajudam a ter uma garantia razoável a respeito da

qualidade da informação;

d. São gerados para se alcançar objetivos específicos.

Estabelecimento de Objetivos

Identificação de Eventos

Resposta ao Risco

O COSO inicialmente era composto por 5 componentes

em 2004 foi ampliado para 8, foram acrescentados:

O COSO apresenta 8 dimensões que devem ser abrangidas

em um sistema de controles internos, são elas:

a. Ambiente de controle;

b. Estabelecimento de metas;

c. Identificação de problemas;

d. Avaliação de risco;

e. Resposta ao risco;

f. Atividades de controle;

g. Informações e comunicações;

h. Monitoramento.

a) AMBIENTE INTERNO DE CONTROLE

• O Ambiente interno de controle estabelece o tom da

organização e influência a consciência / percepção de

seus membros sobre a questão de controle (sua cultura de

controle). É a base para todos os outros componentes dos

controles internos,provendo disciplina e estrutura. Fatores

do ambiente de controle incluem integridade, ética,

valores, competência das pessoas, filosofia e estilo de

operação do gerenciamento; a forma de gerenciamento

define autoridades e responsabilidades, organiza e

desenvolve as pessoas envolvidas.

b) ESTABELECIMENTO DE OBJETIVOS

• Os objetivos devem existir antes da gestão identificar os

eventos potenciais que podem afetar seu sucesso.

• A gestão de riscos organizacionais garante que o

gerenciamento tenha implantado um processo para

estabelecer objetivos e que a escolha destes objetivos

esteja alinhada e suportada com a missão da entidade e

seja consistente com seus riscos.

c) IDENTIFICAÇÃO DE PROBLEMAS

• Eventos internos e externos afetando os resultados dos

objetivos de uma entidade devem ser identificados entre

riscos e oportunidades. Oportunidades ajudam a estratégia

do gerenciamento ou o processo de estabelecimento de

objetivos.

Eventos são situações que podem afetar os processos de controles da organização.

d) AVALIAÇÃO DE RISCO

• Toda entidade enfrenta uma variedade de riscos de fontes

internas e externas que devem ser avaliadas. Uma pré-

condição para avaliação de risco é o estabelecimento e

realização de objetivos. Avaliação de risco é a identificação

e análise de riscos relevantes para o atendimento dos

objetivos. Isto forma uma estrutura para determinação de

como os riscos deverão ser gerenciados. Mudanças

continuas sempre são necessárias por isso são necessários

mecanismos, condições de operação e regulamentos para

identificar e gerenciar riscos relacionados as mudanças.

A avaliação dos fatores internos e externos que têm impacto no desempenho de uma organização.

e) RESPOSTA AO RISCO

• O gerenciamento deve escolher a resposta ao risco: evitar,

aceitar, reduzir, compartilhar o risco e estabelecer ações

apropriadas aos riscos em função da tolerância ao risco da

entidade, isto é risco residual aceito.

Mitigar o risco

f) ATIVIDADES DE CONTROLE

• Atividades de controle são as políticas e procedimentos que

ajudam a garantir as diretivas da gestão e as ações

necessárias a serem tomadas para os riscos identificados

que podem prejudicar os objetivos. Elas incluem diversas

atividades como autorizações, verificações, conciliações,

revisões de desempenho das operações, segurança de

ativos e segregação de funções.

Atividades de Controles sobre processos pelosgestores, manuais ou automatizadas, para assegurarque as ações sobre riscos são executadas.

g) INFORMAÇÕES E COMUNICAÇÕES

• Informações pertinentes devem ser identificadas, coletadas

e comunicadas em um formulário com dados situados ao

longo do tempo, possibilitando às pessoas cumprirem com

suas responsabilidades. Sistemas de informação produzem

relatórios contendo finanças, operações existentes,

informações relativas a adequação que tornam possível

conduzir e controlar uma operação. Tais sistemas lidam

tanto com informações internas quanto com informações de

eventos externos, atividades e situações.

• Comunicações eficazes devem fluir por toda a organização.

Todo o pessoal deve receber uma mensagem clara da alta

gerência de que o controle de responsabilidades deve ser

levado a sério. Eles devem ter um meio de comunicar

informações significativas.

• A comunicação também precisa de ser eficaz com partes

externas, como contribuintes,outras agências,

fornecedores, governo e reguladores.

O processo que assegura que informações relevantes são identificadas e comunicadas

Comunicação

confiabilidade de relatórios

h) MONITORAMENTO

• Sistemas de controles internos precisam ser monitorados. Isto

é conseguido por meio do monitoramento de atividades em

andamento, avaliações separadas ou por uma combinação dos

dois. Monitoramento e atividades em andamento incluem

gestão regular e atividades de supervisão, e outras atividades

que o pessoal executa ao realizar suas tarefas. O escopo e a

freqüência de avaliações separadas, depende basicamente de

avaliações de risco e efetividade dos processos de

monitoramento que estão sendo realizados. Deficiências de

controles internos devem ser relatadas a níveis superiores

dentro da hierarquia.

Objetiva determinar se o controle interno está adequadamente desenhado e monitorado.

ESTRUTURA COSO DE CONTROLES INTERNOS

CONTROLES INTERNOS DEVEM SER

INTEGRADOS NOS PROCESSOS

MATURIDADE DOS CONTROLES INTERNOS

GLOSSÁRIO

VISÃO DO COBIT – SARBANES

• A conformidade com a SOX (Sarbanes Oxley) irá

impactar significativamente as organizações de TI na

maioria das empresas de capital aberto. Entretanto,

existe um grande problema: não existe nenhuma

menção específica nas seções da SOX voltada para a

TI, e mais importante ainda, não existe nenhuma

especificação de quais controles precisam ser

estabelecidos dentro da TI para estar em conformidade

com a SOX.

Estruturas e Metodologias de controle adotadas

na Sarbanes COBIT

• Para resolver este problema muitas empresas acabam

adotando o COBIT, pelo fato dele definir quais os objetivos

de controle que precisam ser implementados na TI. Além

disto, o COBIT é um modelo independente de plataforma,

independe de tecnologia, podendo ser adotado em

qualquer organização de TI.

• O COBIT está sintonizado com os requisitos legais destas

leis. O COBIT é o único modelo de controle que é

compatível com o COSO, cobre todas as atividades de TI e

é aceito geralmente pela comunidade de auditores.

• Assegurar que a TI está em conformidade com o COBIT

fará com que a maioria dos requisitos de conformidades já

tenham sido implementados. Usar o COBIT fará com que a

• organização esteja atendendo a maioria dos requisitos das

leis da SOX.

CONTROLES ADOTADAS NA SARBANES

PREMISSAS DO COBIT

QUAL O PRINCÍPIO DA ESTRUTURA DO COBIT?

CRITÉRIOS DE INFORMAÇÃO

Para satisfazer os objetivos de negócio, as informações

precisam estar em conformidade com os critérios chamados

requisitos de negócio.

Requisitos de Qualidade

Qualidade

Custo

Entrega

Requisitos Fiduciários (Relatório do COSO)

Eficácia e eficiência das Operações

Confiabilidade das Informações

Conformidade com Leis e Regulamentos

Requisitos de Segurança

Confidencialidade

Integridade

Disponibilidade

RECURSOS DE TI

I. Aplicações: sistemas automatizados e procedimentos manuais para processar informações

II. Informação: os dados de todos os formulários deentrada, processados e exibidos pelos sistemas deinformação, podendo ser qualquer formulário que éusado pelo negócio.

III. Infra-estrutura: inclui hardware, sistemas operacionais, sistemas de banco de dados, rede, multimídia, etc. É tudo que é necessário para o funcionamento das aplicações.

IV. Pessoas: pessoal necessário para planejar, organizar, adquirir, implementar, entregar, dar suporte, monitorar e avaliar os sistemas de informação e serviços. Eles podem ser internos ou terceirizados.

O COBIT POSSUI PROCESSOS QUE AUXILIAM A MANTER

A CONFORMIDADE COM A SARBANES

Adquirir e manter software aplicativo;

Adquirir e manter arquitetura tecnológica;

Desenvolver e manter procedimentos de TI;

Instalar e certificar soluções e mudanças;

Gerenciar mudanças;

Definir e gerenciar níveis de serviço;

Gerenciar serviços de terceiros;

Assegurar a segurança dos sistemas;

Gerenciar as configurações;

Gerenciar problemas;

Gerenciar dados;

Gerenciar operações.

BENEFÍCIOS DO COBIT

O COBIT lida com todos os aspectos dos problemas relacionados com

a Governança de TI;

O COBIT foi criado por um grande número de especialistas;

O ITGI ajudou com os seus 35 anos de experiência em segurança em

TI no desenvolvimento do COBIT;

O COBIT está em manutenção contínua. Periodicamente uma nova

versão é publicada; Os patrocinadores do COBIT são organizações

sem fins lucrativos, sua missão é ajudar seus clientes a alcançar seus

objetivos principais;

O COBIT pode ser aplicado em empresas de pequeno e grande porte;

Usar o COBIT pode introduzir ordem e qualidade nos

processos de TI;

O COBIT é compatível com outros padrões e pode ser

utilizado para gerenciar todos os processos de TI;

O COBIT está em conformidade com os regulamentos

como Sarbanes, Basiléia, entre outros.

Benefícios do COBIT

RELAÇÃO DO COBIT COM O COSO

O COSO declara que o controle interno é um processo estabelecido

pelo conselho, gerentes e outros, desenhado para fornecer uma

segurança razoável relacionada a realização dos objetivos declarados.

É uma estrutura aplicada para auditar processos em grandes empresas

e em qualquer atividade.

O COBIT apresenta controles de TI se preocupando com a informação

em geral – não apenas informação financeira – que é necessária para

suportar os requisitos de negócio e os recursos e processos associados

com TI.

Da mesma forma que o COSO identifica 8 componentes de controle

para alcançar os objetivos de finanças e controladoria, o COBIT

proporciona um guia detalhado para TI.

A diferença maior é que o COSO é genérico, pode ser utilizado em

qualquer atividade da empresa, enquanto que o COBIT é voltado

somente para a área de TI.

Referências

Committee of Sponsoring Organizations of the Treadway Commission

(COSO). Internal Control – Integrated Framework . New York: AICPA, 1992.