Panorama das Diretrizes COSO e COBIT


COSO é a abreviação por “Committee of Sponsoring Organizations of the Treadway Commission”, uma organização Norte Americana privada, fundada em 1985, que se dedica a desenvolver e estudar assuntos gerenciais e de governança empresarial com o intuito de fornecer linhas guia ou diretrizes para os executivos. As áreas de principal interesse do COSO são Governança Corporativa, Ética de Negócios, Controles Internos, Gestão de Riscos Corporativos, Fraudes e Relatórios Financeiros.

Em Setembro de 1992 o COSO publicou um relatório intitulado “Internal Control – Integrated Framework” (Controles Internos e Estrutura Integrada), ou ICIF. Em 2004 publicou um novo relatório intitulada “Enterprise Risk Management – Integrated Framework” (Gestão de Riscos Corporativos – Estrutura Integrada), ou ERMIF, que é considerado uma evolução das questões relativas aos controles internos, focado no mais amplo problema da gestão de riscos corporativos. O COSO publicou vários outros estudos e relatórios ao longo dos anos, todos relacionados a gestão de riscos, controles internos e prevenção de fraudes.

A SEC (Securities and Exchange Commission) dos EUA, sugere e recomenda que as empresas adotem a estrutura de processos de controle definidos pelo COSO (ICIF) para que possam adimplir as regras definidas pela SOx (Lei Sarbanes-Oxley). Além disso o ICIF e a estrutura COSO são um dos padrões mais usados pelas companhias Norte Americanas para avaliar a própria observância as regras do FCPA.

A clássica estrutura do COSO, descrita no ICIF, é baseada em alguns conceito de base:

  • Os Controles Internos são um processo. Se trata de um instrumento para uma determinada finalidade.
  • Os Controles Internos são influenciados pela pessoas. Não existem somente políticas, manuais, formulários mas sobretudo pessoas, em todos os níveis de uma organização.
  • Os Controles Internos podem fornecer somente uma razoável segurança, e não uma segurança absoluta, para a diretoria de uma corporação.
  • Os Controles Internos são centrado na realização de objetivos em uma ou mais categorias que podem ser separadas ou sobrepostas.

A estrutura descrita no ICIF do COSO consiste de cinco componentes, relacionados entre si. De acordo com o COSO, estes componentes fornecem uma estrutura efetiva para descrever e analisar o sistema de controles internos usado por uma empresa. Os componentes são os seguintes:

  • Ambiente de Controle (postura da organização e conscientização das pessoas)
  • Avaliação de Riscos (identificação e analise de riscos relevantes para alcançar os objetivos definidos)
  • Atividades de Controle (políticas e processos em todos os níveis para garantir a observância das diretrizes e medidas de prevenção dos riscos)
  • Informações e Comunicações (fluxos das informações e comunicações dentro da corporação)
  • Monitoramento (Processos de monitoramento e avaliação do sistema e dos demais processos)

Os oito componentes do ERMIF (Enterprise Risk Management) compreendem os cinco anteriores (do ICIF) ao passo que expandem o modelo de estrutura, de forma a atender a maior demanda que advém da gestão de riscos corporativos:

  • Ambiente interno
  • Definição de objetivos
  • Identificação de Eventos
  • Avaliação de riscos
  • Resposta a riscos
  • Atividades de Controle
  • Informação e Comunicação
  • Monitoramento

Maiores informações podem ser encontradas no site do COSO

COBIT (Control Objectives for Information and related Technology ) é um conjunto de diretrizes, indicadores, processos e melhores praticas para a gestão e governança dos sistemas informáticos. O COBIT foi criado em 1996 nos EUA em conjunto pela Information Systems Audit and Control Association (ISACA) e pelo IT Governance Institute (ITGI).

O COBIT é útil para gestores de TI (Tecnologia da Informação – Information Technology), usuários e auditores, ao longo dos anos se consolidou como o padrão internacional para estruturas de governança e controle de TI.
Vale mencionar, em contraposição, as normas ISO/IEC 27002 que também representam um padrão internacional de melhores praticas em TI, mas que são focadas sobretudos na gestão da segurança das informações. O COBIT, normalmente, abrange uma área mais ampla da ISO/IEC 27002, a qual é bem centrada nas questões relativas a segurança.

O “pacote” COBIT completo, compreende os seguintes pontos:

  • Sumario Executivo
  • Estrutura de Governança e Controle
  • Objetivos de Controle
  • Diretrizes de Gestão
  • Guia de Implementação
  • Guia de Seguros de TI

O COBIT está hoje na versão 4.1 (existe uma versão 5, mas não definitiva) e é composto por 34 processos de alto nível os quais cobrem 210 objetivos de controle divididos nos seguintes 4 domínios:

  • Planejamento e Organização
  • Aquisição e Implementação
  • Entrega e Suporte
  • Monitoramento e Avaliação

Maiores informações podem ser encontradas no site da ISACA


There is no ads to display, Please add some
Previous Funções Básicas da Auditoria Interna Operacional
Next Metodologia do estudo do Controle Interno

No Comment

Leave a reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *