Para atingir aos objetivos previstos, as companhias devem estruturar seus controles internos. Embora existam diversas estruturas de controles internos, a exemplo do Guidance on Assessing Control (CoCo) desenvolvido pelo CICA, do Control Objectives for Information and Related Technology (Cobit), desenvolvido pelo ISACF e do Turnbull Report, desenvolvido ICAEW, esta pesquisa se propõe a investigar a metodologia sugerida pelo
COSO I e pelo COSO-ERM, que desmembra os controles internos em oito elementos de controle:
a) Ambiente de Controle
O ambiente de controle influencia a consciência de controle dos funcionários. O controle interno reflete o comprometimento de todos. Para o COSO compreende o tom de uma organização e fornece a base pela qual os riscos são identificados e abordados pelo seu pessoal, inclusive filosofia de gerenciamento de riscos, o apetite a risco, a integridade e os valores éticos, além do ambiente em que estes estão.
Consoante, Antunes (1998, p. 63), aborda que “é o que estabelece o tom de uma organização, influenciando a consciência de controle de suas pessoas. Este é o fundamento para todos os outros componentes do controle interno, promovendo disciplina e estrutura.”
O ambiente de controle deve ser uma situação permanente e contínua, existente em cada uma das áreas da empresa, visando constantemente à redução dos riscos e ao aumento da eficácia dos processos. Isto pode ser conseguido se cada um estiver atento aos elementos que compõem esse ambiente: integridade, ética e competência dos funcionários; definição de responsabilidades; padrões de gerenciamento; organização e alocação de recursos. (TENÓRIO, 2007; SILVA, ALAN, 2009)
b) Fixação de Objetivos
Os objetivos devem existir antes que a administração possa identificar os eventos em potencial que poderão afetar a sua realização. Segundo o COSO, o gerenciamento de riscos corporativos assegura que a administração disponha de um processo implementado para estabelecer os objetivos que propiciem suporte e estejam alinhados com a missão da organização e sejam compatíveis com o seu apetite a riscos. Na visão de Tenório (2007, p. 54), este elemento deve anteceder a avaliação do risco.
c) Identificação de Eventos
A aplicação de controles internos requer a identificação e avaliação contínua de eventos que influenciam nos objetivos da organização, quer sejam de natureza interna ou externa. Neste contexto, o COSO sugere que esses eventos devem ser identificados e classificados entre riscos e oportunidades. As oportunidades são canalizadas para os processos de estabelecimento de estratégias da administração ou de seus objetivos.
Para Crepaldi (2004, p. 257), a eficiência do sistema de controle interno em sua totalidade deve permitir detectar não somente irregularidades de atos intencionais, como também erros de atos não intencionais.
d) Avaliação de Riscos
A avaliação de riscos é o ato pelo qual a organização deve analisar constantemente em suas tarefas a probabilidade de que eles ocorram, medindo também o impacto que eles exercem nos objetivos de seus negócios ou serviços.
No decorrer de uma avaliação de riscos, segundo Ching et. al. (2005, p.58), “cada objetivo, do nível mais alto (como ‘dirigir uma companhia lucrativa’) ao mais baixo (como ‘salvaguardar caixa’), é documentado e, cada risco que possa prejudicar ou impedir a realização do objetivo é identificado e priorizado.”
e) Resposta ao Risco
Neste elemento, os administradores definem a resposta que darão ao risco identificado - evitar, aceitar, reduzir ou mitigá-lo – o que corresponde a um conjunto de ações para alinhar o risco com a tolerância e apetite que os administradores predefiniram para a empresa. (Tenório, 2007)
f) Atividades de Controle
As atividades de controle são as políticas, procedimentos e práticas que ajudam a garantir que as ações necessárias para atingir os objetivos operacionais, para assegurar que as respostas aos riscos sejam executadas com eficácia.
Corroborando com esse entendimento, Ching et. al. (2005, p. 58), “o componente atividade de controle representa o conjunto de atividades focadas em cada objetivo de controle, com fim de atenuar os riscos identificados anteriormente.”
Percebe-se que as atividades de controle ocorrem por meio da organização, em todos os níveis e em todas as funções, da definição e execução dos processos operacionais e dos controles e responsabilidades pela sua execução.
g) Monitoramento
Todos os funcionários são responsáveis pelos controles internos, através do adequado desempenho de suas atribuições e da imediata comunicação de falhas ou deficiências verificadas no funcionamento dos controles às chefias ou órgãos responsáveis pela solução do problema, que deverá ser prontamente providenciada.
O monitoramento se dá por meio de acompanhamentos sistemáticos, nos quais se avalia se os objetivos estão sendo alcançados, se os limites estabelecidos estão sendo cumpridos e se eventuais falhas estão sendo prontamente identificadas e corrigidas. Além disso, a totalidade da gerência de risco da empresa é monitorada e modificações são feitas quando necessário. Podem incluir a supervisão interna e externa e pode ser realizada pela
administração, funcionários ou partes externas. (TENÓRIO, 2007; ZANETE, DUTRA e ALBERTON, 2007)
Moreira (2006, p. 08) descreve as atividades de monitoramento:
a) Avaliação independente da pertinência dos dados contidos no repositório de controles; b) Verificação das atividades de testes, ou seja, se elas são completas, precisas e pontuais; c) Confirmação de que as pessoas que avaliaram as atividades de controle o fizeram com compreensão total e completa das implicações decorrentes; e d) Comprovação de que a documentação completa e precisa é mantida.
h) Informação e Comunicação
Comunicação, na definição de Antunes (1998, p. 63), é a identificação, captura e troca de informação, numa estrutura de tempo e forma que possibilite as pessoas cumprirem suas responsabilidades.
Um sistema de controle eficiente necessita que os resultados e as informações originadas da administração gerencial, sejam transmitidas a todos os interessados, bem como o inverso, partindo dos níveis mais baixos da organização para a administração, transmitindo informações sobre os resultados, as deficiências e as questões geradas. (CHING et. al., 2005; TENÓRIO, 2007)
Percebe-se que uma comunicação efetiva deve ocorrer amplamente por meio da organização. Todos os funcionários, de todos os níveis, devem ter em mente seu respectivo papel no sistema de controle e quais são as informações importantes a serem comunicadas.