O COSO - Committee of Sponsoring Organizations of the Treadway Commission - é uma organização privada americana, fruto da National Commission on Fraudulent Financial Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros), iniciativa independente, criada em 1985, para estudar as causas da ocorrência de fraudes em relatórios financeiros e contábeis. A da National Commission on Fraudulent Financial Reporting era composta de representantes das principais associações de classe de profissionais ligados à área financeira. Seu primeiro objeto de estudo foram os controles internos. Posteriormente, a Comissão transformou-se em Comitê, que passou a ser conhecido como COSO - The Committee of Sponsoring Organizations (Comitê das Organizações Patrocinadoras). É uma entidade sem fins lucrativos, dedicada à melhoria dos relatórios financeiros fundamentados na ética, na efetividade dos controles internos e na governança corporativa, com o objetivo de prevenir e evitar fraudes nas demonstrações contábeis da empresa.
Na busca por criar procedimentos de boas práticas de controles internos, em O COSO, em 2004, lançou uma modelo de gerenciamento de risco internos, composto por oito componentes:
1 - Ambiente interno
Compreende o tom da organização e configura as bases para determinar como o risco é visto e localizado pelas pessoas da organização, incluindo o gerenciamento filosófico do risco e do apetite por ele, a integridade, os valores éticos e o ambiente no qual ocorrem as operações. As pessoas veem os riscos sob óticas diferentes, e a sua localização pode tornar-se extremamente difícil. Assim, um ambiente interno deve propiciar um clima adequado para a realização dessas atividades de antevisão, localização e entendimento dos riscos.
2 - Configuração dos objetivos
É necessário que os objetivos existam antes de o gerenciamento poder identificar eventos potenciais que afetem sua realização. Uma boa iniciativa de gerenciamento de risco assegura que a gerência elabore um conjunto de objetivos que suportem e alinhem-se à missão da organização e, ao mesmo tempo, sejam consistentes em relação ao apetite pelo risco. Os objetivos de uma instituição são traçados pela alta administração, e as iniciativas devem estar alinhadas a eles, sob pena de ocorrerem perdas significativas.
3 - Identificação de eventos
Eventos internos e externos afetam a realização dos objetivos de uma organização, os quais devem ser identificados e distinguidos entre riscos e oportunidades. Os eventos são canais do gerenciamento estratégico ou dos objetivos estabelecidos. Os gestores, no desempenho de suas atividades, devem preocupar-se constantemente com as mudanças ao seu redor, as quais são mais frequentes e ocorrem dentro e fora da organização e, necessariamente, afetam as operações. Portanto, é de vital importância a criação e a manutenção de um sistema que possibilite identificar eventos que, de alguma forma, afetam os objetivos traçados.
4 - Controle de risco
Os riscos são analisados considerando probabilidade e impacto como base para determinar qual deles deve ser administrado e controlado, sob uma base própria e residual. Já que o risco pode ser entendido como a volatilidade de resultados inesperados, relacionados ao valor das operações da organização, os gestores devem criar procedimentos e sistemas efetivos quanto à análise das potencialidades de ocorrência e dos impactos sobre os ativos
5 - Reação ao risco
A gerência promoverá a seleção das reações ao risco quanto a evitá-lo, aceitá-lo, reduzi-lo ou dividi-lo, desenvolvendo assim um conjunto de ações para alinhar os riscos à tolerância e ao apetite da organização. A reação sempre dependerá da capacidade de as pessoas envolvidas na administração perceberem em tempo hábil sua existência. A habilidade do gestor de termina as potencialidades de suas reações e, dessa forma, estabelece como tirar vantagem das oportunidades.
6 - Atividades de controle
Políticas e procedimentos são estabelecidos e implementados para ajudar a assegurar que as reações ao risco sejam efetivadas. Na criação do sistema de controles internos, o fundamento está na criação de políticas e procedimentos não apenas para sua implementação, mas também para sua manutenção e para as atividades de acompanhamento.
As atividades de controle podem ser desenvolvidas tanto por pessoas quanto por máquinas e equipamentos utilizados no processo operacional das instituições. Tais atividades visam assegurar que as ações e iniciativas sejam tomadas no sentido de prever os riscos associados para elaboração dos objetivos da organização.
7 - Informação e comunicação
A informação relevante é identificada, capturada e divulgada de maneira padronizada e em tempo hábil, para possibilitar às pessoas o cumprimento de sua responsabilidade. A efetiva comunicação também ocorre em amplo sentido, abrangendo todos os setores da organização.
A transmissão de notícias relevantes é o fator primordial em uma organização moderna que deseja atingir seus objetivos com relativo sucesso. Para tanto, uma estrutura de transmissão de informações e conhecimento deve ser criada e desenvolvida para conduzir as pessoas ao caminho da realização dos objetivos da organização
8 - Monitoramento
A totalidade de iniciativas de gerenciamento de risco é monitorada e, para tal, são necessárias modificações. O monitoramento é feito continuamente pelas atividades gerenciais, avaliações individuais ou ambas. O acompanhamento das medidas adotadas favorece a realização dos objetivos e a criação de valor. Assim, o monitoramento constante das atividades, dos riscos e dos eventos possibilita previsões e embasam as modificações necessárias ao aperfeiçoamento das estruturas quanto às falhas ou adaptações às mudanças.
Referências
Assi, Marcos. Gestão de riscos com controles internos: ferramentas, certificações e métodos para garantir a eficiência dos negócios. São Paulo: Saint Paul Editora, 2012.
Ministério do Desenvolvimento Regional. Manual de Gestão de Riscos, Controles Internos e Integridade. Brasília: Ministério Do Desenvolvimento Regional, 2020.
