Panorama das Diretrizes COSO e COBIT


COSO é a abreviação por “Committee of Sponsoring Organizations of the Treadway Commission”, uma organização Norte Americana privada, fundada em 1985, que se dedica a desenvolver e estudar assuntos gerenciais e de governança empresarial com o intuito de fornecer linhas guia ou diretrizes para os executivos. As áreas de principal interesse do COSO são Governança Corporativa, Ética de Negócios, Controles Internos, Gestão de Riscos Corporativos, Fraudes e Relatórios Financeiros.

Em Setembro de 1992 o COSO publicou um relatório intitulado “Internal Control – Integrated Framework” (Controles Internos e Estrutura Integrada), ou ICIF. Em 2004 publicou um novo relatório intitulada “Enterprise Risk Management – Integrated Framework” (Gestão de Riscos Corporativos – Estrutura Integrada), ou ERMIF, que é considerado uma evolução das questões relativas aos controles internos, focado no mais amplo problema da gestão de riscos corporativos. O COSO publicou vários outros estudos e relatórios ao longo dos anos, todos relacionados a gestão de riscos, controles internos e prevenção de fraudes.

A SEC (Securities and Exchange Commission) dos EUA, sugere e recomenda que as empresas adotem a estrutura de processos de controle definidos pelo COSO (ICIF) para que possam adimplir as regras definidas pela SOx (Lei Sarbanes-Oxley). Além disso o ICIF e a estrutura COSO são um dos padrões mais usados pelas companhias Norte Americanas para avaliar a própria observância as regras do FCPA.

A clássica estrutura do COSO, descrita no ICIF, é baseada em alguns conceito de base:

  • Os Controles Internos são um processo. Se trata de um instrumento para uma determinada finalidade.
  • Os Controles Internos são influenciados pela pessoas. Não existem somente políticas, manuais, formulários mas sobretudo pessoas, em todos os níveis de uma organização.
  • Os Controles Internos podem fornecer somente uma razoável segurança, e não uma segurança absoluta, para a diretoria de uma corporação.
  • Os Controles Internos são centrado na realização de objetivos em uma ou mais categorias que podem ser separadas ou sobrepostas.

A estrutura descrita no ICIF do COSO consiste de cinco componentes, relacionados entre si. De acordo com o COSO, estes componentes fornecem uma estrutura efetiva para descrever e analisar o sistema de controles internos usado por uma empresa. Os componentes são os seguintes:

  • Ambiente de Controle (postura da organização e conscientização das pessoas)
  • Avaliação de Riscos (identificação e analise de riscos relevantes para alcançar os objetivos definidos)
  • Atividades de Controle (políticas e processos em todos os níveis para garantir a observância das diretrizes e medidas de prevenção dos riscos)
  • Informações e Comunicações (fluxos das informações e comunicações dentro da corporação)
  • Monitoramento (Processos de monitoramento e avaliação do sistema e dos demais processos)

Os oito componentes do ERMIF (Enterprise Risk Management) compreendem os cinco anteriores (do ICIF) ao passo que expandem o modelo de estrutura, de forma a atender a maior demanda que advém da gestão de riscos corporativos:

  • Ambiente interno
  • Definição de objetivos
  • Identificação de Eventos
  • Avaliação de riscos
  • Resposta a riscos
  • Atividades de Controle
  • Informação e Comunicação
  • Monitoramento

Maiores informações podem ser encontradas no site do COSO

COBIT (Control Objectives for Information and related Technology ) é um conjunto de diretrizes, indicadores, processos e melhores praticas para a gestão e governança dos sistemas informáticos. O COBIT foi criado em 1996 nos EUA em conjunto pela Information Systems Audit and Control Association (ISACA) e pelo IT Governance Institute (ITGI).

O COBIT é útil para gestores de TI (Tecnologia da Informação – Information Technology), usuários e auditores, ao longo dos anos se consolidou como o padrão internacional para estruturas de governança e controle de TI.
Vale mencionar, em contraposição, as normas ISO/IEC 27002 que também representam um padrão internacional de melhores praticas em TI, mas que são focadas sobretudos na gestão da segurança das informações. O COBIT, normalmente, abrange uma área mais ampla da ISO/IEC 27002, a qual é bem centrada nas questões relativas a segurança.

O “pacote” COBIT completo, compreende os seguintes pontos:

  • Sumario Executivo
  • Estrutura de Governança e Controle
  • Objetivos de Controle
  • Diretrizes de Gestão
  • Guia de Implementação
  • Guia de Seguros de TI

O COBIT está hoje na versão 4.1 (existe uma versão 5, mas não definitiva) e é composto por 34 processos de alto nível os quais cobrem 210 objetivos de controle divididos nos seguintes 4 domínios:

  • Planejamento e Organização
  • Aquisição e Implementação
  • Entrega e Suporte
  • Monitoramento e Avaliação

Maiores informações podem ser encontradas no site da ISACA

Previous Funções Básicas da Auditoria Interna Operacional
Next Metodologia do estudo do Controle Interno

No Comment

Leave a reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *