Na presente pesquisa detalhar-se-á o sistema de controle interno conforme normas definidas pelo Committee of Sponsoring Organizations of the Treadway Commission – COSO.
O COSO é uma entidade sem fins lucrativos dedicada à melhoria dos relatórios financeiros através da ética, efetividade dos controles internos e governança corporativa, mediante as metodologias ou referenciais do COSO I, voltado para a avaliação de controles internos contábeis e a do COSO II, que apresenta uma metodologia de gestão dos processos apoiada no gerenciamento de risco (PINTO, 2016).
Para o COSO I, a integração dos controles se baseia no uso de uma estrutura tridimensional, o chamado cubo do COSO, cujas dimensões compreendem os objetos de avaliação, as categorias de atividades de controle e os componentes de controles. Na primeira dimensão estão as três categorias de objetivos de controle: operações, relatórios financeiros e cumprimento das regras; na segunda dimensão estão os objetos de avaliação, ou seja, as unidades que deverão ser avaliadas; e na terceira dimensão encontram-se os cinco componentes de controle quais sejam o ambiente de controle, avaliação de riscos, atividades de controle, informação e comunicação e o monitoramento (BERGAMINI JUNIOR, 2005). A Figura 2 contempla a primeira extensão dos componentes do COSO.
Figura 2 – Componentes do Controle Interno – COSO I
Fonte: BICALHO (2012).
Segundo o Plano Contábil das Instituições do Sistema Financeiro Nacional (Cosif) (2014) o ambiente de controle envolve competência técnica e compromisso ético; é um fator intangível, essencial à efetividade dos controles internos. O ambiente de controle é aquele que reflete a cultura de controle da organização, onde são estabelecidas as normas, políticas e procedimentos a serem seguidos, os quais devem ser amplamente conhecidos pelos funcionários da entidade (COSIF, 2014). Almeida (2012) acrescenta que as atribuições dos funcionários devem ser claramente definidas e limitadas para que se possa assegurar a execução dos procedimentos de controles e detectar erros e irregularidades, apurando as devidas responsabilidades.
Para o TCU (2012) o ambiente interno é considerado a base, o alicerce para os demais componentes da gestão de riscos e do sistema de controle como um todo, pois cria e disciplina uma estrutura, proporcionando uma atmosfera favorável para o desenvolvimento de atividades e cumprimento de responsabilidades.
Ainda segundo o TCU, os fatores que compõem o ambiente interno incluem integridade e valores éticos, a filosofia da direção e o estilo gerencial, estrutura organizacional e de governança e políticas e práticas de recursos humanos (TCU, 2012).
A avaliação de riscos consiste na identificação e análise das incertezas que podem afetar o alcance das metas e objetivos definidos pela entidade nas categorias estratégica, operacional, comunicação e conformidade. Entende-se como avaliação de risco o processo contínuo e repetitivo para identificar e analisar as mudanças nas condições, oportunidades e riscos, realizar as ações necessárias, em especial as modificações no controle interno dirigidas às mudanças de risco (SILVA, 2009, apud PINTO 2016).
Os procedimentos de controle são as ações que, quando adotados de forma correta e tempestiva, permitem a mitigação dos riscos, e são classificados em procedimentos de controle de prevenção e detecção. De acordo com a NBC T 16.8, procedimentos de prevenção são medidas anteriores ao processamento de um ato ou um fato, utilizados na prevenção de omissões, inadequações e intempestividade da informação contábil, enquanto os procedimentos de detecção são medidas que buscam a identificação, concomitante ou a
posteriori, de erros, omissões, inadequações e intempestividade da informação contábil. O
Quadro 2 traz detalhamento das atividades de controles mais comuns, pertinentes ao componente do Coso atividades de controle.
Quadro 2 – Atividades de Controles
Atividades Tipo Descrição
Atribuição de autoridade
e limites de alçada Prevenção
Consiste em estabelecer competências e limites aos órgãos e unidades da estrutura organizacional, a fim de assegurar a realização dos atos por aqueles formalmente designados para efetivá-los.
Procedimentos de Autorização e aprovação
Prevenção e Detecção
A administração determina quais atividades necessitam de autorização e aprovação superior para que sejam efetivadas, sendo que a autorização assegura que sejam iniciados apenas os atos administrativos que ela tem intenção de realizar, enquanto a aprovação implica validar o ato e certificar sua conformidade legal e com as políticas e procedimentos estabelecidos pela organização.
Segregação de funções ou atividades e rotatividade de pessoas
Prevenção
Consiste em atribuir responsabilidades para diferentes pessoas para exercer atividades consideradas incompatíveis como autorização, execução, registro, custódia, revisão, atesto, aprovação ou auditoria, enquanto a rotatividade de pessoas em funções significa impedir que a mesma pessoa seja responsável por atividades sensíveis por um longo período de tempo, sendo o exemplo mais comum, a exigência de gozo de férias anuais.
Revisões, verificações e conciliações independentes
Detecção
Consistem na revisão de atos ou transações por um terceiro, não envolvido na sua execução, sendo muitas vezes utilizado para compensar a não adoção de outros controles preventivos ou detectivos, ou para contrabalançar outras falhas na estrutura de controle da organização como a ausência de segregação de funções.
Avaliação de
desempenho operacional Detecção
Incluem revisões da alta direção para comparar o desempenho atual em relação ao orçado, às previsões, aos períodos anteriores e aos concorrentes, incluindo uma análise dos indicadores de desempenho e outros dados operacionais ou financeiros. Essa atividade, a depender dos resultados, pode demandar por avaliações mais aprofundadas em operações, processos e atividades.
Supervisão direta Prevenção e Detecção
Consiste no acompanhamento do trabalho delegado aos funcionários pelo superior hierárquico e inclui as atividades de comunicação de atribuições, revisão e aprovação de trabalhos e orientação e treinamento dos supervisionados para o desempenho das atribuições.
Controles de acesso a
recursos e registros Prevenção
Os ativos críticos da organização devem ser protegidos contra desperdício, perda, mau uso, dano, utilização não autorizada ou apropriação indevida, sendo que, a depender do risco percebido, deve estabelecer controles para limitar o acesso a recursos e registros às pessoas autorizadas a sua guarda, conservação e controle, as quais devem ser obrigadas a prestar contas de sua custódia e utilização.
Fonte: TCU (2012).
Segundo a INTOSAI (2007), uma condição prévia para a informação confiável e relevante sobre as transações e eventos é o registro imediato e sua classificação adequada. A informação relevante deve ser identificada, armazenada e comunicada de uma forma e em determinado prazo que permita aos funcionários realizarem o controle interno e suas outras responsabilidades em um processo de comunicação tempestiva às pessoas adequadas. Por esse motivo, o sistema de controle interno propriamente dito e todas as transações e eventos significativos devem ser completamente documentados. Assim, a habilidade da administração para tomar decisões apropriadas é afetada pela qualidade da informação, o que implica que ela deva ser apropriada, oportuna, atualizada, precisa e acessível.
Após a implementação dos elementos anteriores que compõem o controle interno, é preciso fazer o monitoramento desse controle, a fim de verificar se o mesmo está adequado e sendo efetivo na organização. De acordo com a INTOSAI (2007), o monitoramento do controle interno busca assegurar que os controles funcionem como o previsto e que sejam modificados apropriadamente, conforme mudanças nas condições. O acompanhamento das atividades de controle pode ser contínuo ou através de avaliações específicas, dependendo da necessidade identificada.
Para o COSO II (ERM), existe um relacionamento direto entre os objetivos que uma organização se empenha em alcançar, e os componentes do gerenciamento de riscos
corporativos, que representam aquilo que é necessário para o seu alcance. Esse relacionamento é apresentado em uma matriz tridimensional em forma de cubo, que contempla os objetivos, as unidades e os componentes de controle estabelecidos em um primeiro momento pelo COSO I, como também a nova extensão prevista no COSO II.
As quatro categorias de objetivos estratégicos, operacionais, de comunicação e conformidade estão representadas nas colunas verticais. Os oito componentes de controle estão nas linhas horizontais e as unidades de uma organização a serem controladas são representadas na terceira dimensão. Essa representação ilustra a capacidade de manter o enfoque na totalidade do gerenciamento de riscos de uma organização, ou na categoria de objetivos, componentes, unidade da organização ou qualquer um dos subconjuntos.
A Figura 3 traz a nova estrutura dos componentes do controle interno segundo o estabelecido na metodologia do COSO II.
Figura 3 – Componentes do Controle Interno – COSO II
Fonte: COSO (2007).
O COSO é uma organização não governamental americana, formada por representantes de American Accounting Association (AAA), American Institute of Certified Public
Accounting (AICPA), Financial Executives International (FEI), Institute of Managements Accountants (IMA) e pelo Institute of Internal Auditors, criada com a finalidade de promover
a qualidade de relatórios contábeis por meio da gestão ética, de controles internos efetivos e da governança corporativa.
Em 1992, o COSO publicou o Internal Control – Integrated Framework (Controle Interno – Estrutura Integrada), denominado COSO I, para ajudar empresas e outras organizações a avaliar e aperfeiçoar seus sistemas de controle interno. Em 2007, o COSO editou sua obra, apresentando o controle interno como parte do gerenciamento de riscos corporativos e as atividades de gestão de riscos que vão além das áreas responsáveis pelas demonstrações contábeis. A obra publicada em 2007 foi nomeada Management Risk –
Integrated Framework (Gerenciamento de Riscos Corporativos – Estrutura Integrada),
conhecida como COSO II. A estrutura de gestão de riscos apresentada pelo COSO é conhecida e adotada por empresas e outras organizações a nível internacional (COSO, 1992).
Para Bicalho (2012), a diferença entre o COSO I e o COSO II diz respeito aos componentes inter-relacionados que foram redefinidos e tiveram sua conceituação reformulada com vistas à integração dos controles à atividade de gerenciamento de riscos e também às categorias de atividades de controle e às categorias de objetivos.
O COSO II inova ao trazer uma estrutura que facilita às organizações estabelecerem novos objetivos, contemplando as categorias estratégicas, operacionais, de comunicação e conformidade. Segundo o COSO (2007), essa classificação possibilita um enfoque nos aspectos distintos do gerenciamento de riscos de uma organização. Apesar de essas categorias serem distintas, elas se inter-relacionam, uma vez que determinado objetivo pode ser classificado em mais de uma categoria, tratam de necessidades diferentes da organização e podem permanecer sob a responsabilidade direta de diferentes executivos. Essa classificação também permite diferenciar o que pode ser esperado de cada categoria de objetivos.
O COSO II inova também ao trazer para elenco de componentes a fixação de objetivos, a identificação de eventos e a resposta a riscos, com o foco voltado para o gerenciamento de riscos corporativos. Segundo o COSO (2007), a fixação de objetivos devem ocorrer antes que a administração possa identificar os eventos em potencial que poderão afetar a sua realização. O gerenciamento de riscos corporativos assegura que a administração disponha de um processo implementado para estabelecer os objetivos que propiciem suporte e estejam alinhados com a missão da organização e sejam compatíveis com o seu apetite a riscos. Para o TCU (2012), toda organização tem uma razão para existir, que é a sua missão, sendo que para ocorrer o seu cumprimento é necessário estabelecer objetivos e as respectivas estratégias para alcançá-los.
A identificação de eventos contempla as ocorrências internas e externas que influenciam o cumprimento dos objetivos de uma organização e devem ser identificados e classificados entre riscos e oportunidades. Essas oportunidades são canalizadas para os processos de estabelecimento de estratégias da administração ou de seus objetivos (COSO, 2007).
Com a resposta a riscos a administração escolhe o possível tratamento que deverá ser dado aos eventos de riscos, evitando, aceitando, reduzindo ou compartilhando. Implica em desenvolver uma série de medidas para alinhar os riscos com a tolerância e com o apetite a riscos (COSO, 2007).