Uma visão geral do COSO

Apresento os aspectos essenciais dos referenciais do COSO para controles internos e gerenciamento de riscos.

O COSO é um referencial de controle interno e gerenciamento de riscos elaborado e mantido pelo Committee of Sponsoring Organizations of the Treadway Commission, cuja sigla é COSO.

Até hoje, o COSO publicou dois referenciais: o COSO I (Internal control: an integrated framework) e o COSO II (ERM: Enterprise Risk Management).

Não são metodologias de auditoria; os COSOs são modelos de controles internos que consideram riscos. A alta gestão do instituto federal deve ter a oportunidade de estudá-los e decidir se os utilizará, e em que medida, para construir sua estrutura de controles internos.

COSO I

O COSO I ficou conhecido como “Internal Control: a integrated framework” (“Controles internos: um modelo integrado”).

Prevê três categorias de controles internos:

  1. Operations (Operações)
  2. Financial reporting (Relatórios financeiros)
  3. Compliance (Conformidade)

E cinco componentes do controle interno:

  1. Control environment (Ambiente de controle)
  2. Risk assessment (Avaliação e gerenciamento de riscos)
  3. Control activities (Atividades de controle)
  4. Information and communication (Informação e comunicação)
  5. Monitoring (Monitoramento)

A proposta do COSO I é de que os controles internos apoiem o sucesso dos objetivos organizacionais, a emissão de relatórios confiáveis e tempestivos, e a conformidade com as normas pertinentes ao negócio.

COSO II

O COSO II ficou conhecido como “Enterprise Risk Management: integrated framework” (Gerenciamento de Risco Corporativo: estrutura integrada).

Prevê quatro categorias de controles internos:

  1. Estrategic (Estratégias)
  2. Operations (Operações)
  3. Reporting (Relatórios)
  4. Compliance (Conformidade)

E oito elementos do processo de controle interno:

  1. Internal environment (Ambiente interno)
  2. Objective setting (Definição dos objetivos)
  3. Event identification (Identificação de eventos)
  4. Risk assessment (Avaliação do risco)
  5. Risk response (Resposta ao risco)
  6. Control activities (Atividades de controle)
  7. Information and communication (Informação e comunicação)
  8. Monitoring (Monitoramento)

Desta vez, a proposta do COSO II é de que os controles internos funcionem para garantir que as operações garantam o sucesso da estratégia, que haja conformidade e que os relatórios sejam confiáveis.

Você pode encontrar mais informações sobre o COSO em sua página oficial.