A esfera corporativa contemporânea está cada vez mais dinâmica, com uma demanda crescente por conformidade regulatória e expectativas elevadas por parte da sociedade e dos órgãos governamentais. Nesse contexto, a gestão de riscos eficiente e a robustez de controles internos são condições essenciais para o sucesso das organizações. Esses fatores são especialmente críticos no setor de tecnologia, onde inovações emergem em ritmo acelerado, trazendo consigo novos riscos, desafios e oportunidades que exigem controles internos responsivos e resilientes.

Dentro desse cenário, o COSO ICIF 2013 (Internal Control - Integrated Framework) destaca-se como uma referência de mercado amplamente aceita para auxiliar as organizações no design, implementação e gestão de um sistema de controles internos, buscando gerenciar de forma eficaz os riscos corporativos.

Em 2021, a Auditoria Interna do Serpro, por meio de trabalho de consultoria, propôs um modelo para avaliar a maturidade em Governança, Riscos e Controles dos processos da cadeia de valor da empresa, com base no COSO ICIF. O Instituto dos Auditores Internos do Brasil (IIA), no âmbito da Avaliação Externa de Qualidade da Auditoria Interna do Serviço Federal de Processamento de Dados (Serpro) ressaltou como boa prática: “A avaliação de maturidade do Controle Interno da área auditada, baseada nos cinco componentes e 17 princípios do COSO ICIF, permite fornecer insights de melhorias nos processos de Governança, Riscos e Controles”.

Para otimizar o resultado conjunto das instâncias de controle, preservar e adicionar valor empresarial, a avaliação corporativa de maturidade dos controles internos com base no COSO ICIF é realizada em colaboração com a Superintendência de Controles, Riscos e Conformidade, que coordena o ciclo anual de autoavaliação junto aos gestores.

Entendendo o COSO ICIF

O COSO ICIF (Internal Control – Integrated Framework) ¹ é um modelo estruturado, desenvolvido pelo COSO (Committee of Sponsoring Organizations of the Treadway Commission). Lançado inicialmente em 1992, o COSO ICIF foi revisado em 2013 e tem sido continuamente aprimorado com publicações suplementares, incluindo o guia de Gerenciamento de Riscos Corporativos (COSO ERM Enterprise Risk Management 2017) ², Sustentabilidade Corporativa (COSO ICIF ICRS 2023) ³, Gerenciamento de Riscos de Fraude (COSO Fraud Risk Management Guide 2023) ⁴, entre outros.

Desenhado para auxiliar as organizações a estabelecer, avaliar e melhorar seus controles internos, esse Framework proporciona um conjunto de princípios fundamentais e conceitos-chave que formam a espinha dorsal para o desenvolvimento de um sistema de controle interno efetivo. Por ser flexível e adaptável, o COSO ICIF permite que as organizações o implementem de uma maneira que se alinhe com seu ambiente de negócios específico.

É composto por cinco componentes-chave e 17 princípios, onde cada um desempenha uma função essencial no sistema de controle interno:

1. Ambiente de Controle: Este componente estabelece o alicerce para um sistema de controle interno efetivo, abrangendo a filosofia de gestão da empresa, a estrutura organizacional e o compromisso da empresa com a competência, ética e integridade.

2. Avaliação de Risco: Este componente tem a função de identificar e analisar riscos que possam afetar a capacidade da empresa de atingir seus objetivos. A avaliação de risco é um processo dinâmico que deve ser revisado continuamente para refletir as mudanças no ambiente de negócios.

3. Atividades de Controle: São as políticas e procedimentos estabelecidos para gerenciar riscos e garantir que as diretrizes de gestão sejam executadas. As atividades de controle ocorrem em toda a organização, em todos os níveis e funções.

4. Informação e Comunicação: Informações relevantes devem ser identificadas, capturadas e comunicadas de maneira oportuna para permitir que os colaboradores cumpram suas atribuições. A comunicação eficaz também deve ocorrer de forma ampla, fluindo de cima para baixo, horizontalmente e de baixo para cima na organização.

5. Monitoramento: Este componente se refere ao processo que avalia a eficácia do sistema de controle interno ao longo do tempo, incluindo a avaliação regular das atividades de controle e a comunicação de deficiências que são identificadas. 

Atualmente, o COSO ICIF é vastamente utilizado por grandes empresas que precisam atestar a efetividade de seus controles internos perante órgãos reguladores ⁵, inclusive aquelas alcançadas pela Lei Sarbanes-Oxley ⁶. O framework não apenas auxilia no cumprimento das regulamentações, mas também fomenta uma cultura de controle interno robusta, essencial para auxiliar as empresas a navegar com segurança em um ambiente de negócios em constante transformação.

Para os que estão iniciando o contato com o COSO ICIF, recomenda-se começar com um projeto ou processo específico e identificar os riscos associados. Esses riscos podem então ser mapeados para os cinco componentes do COSO ICIF, facilitando a compreensão e implementação do framework.

Referências

1- https://www.coso.org/SitePages/Internal-Control.aspx?web=1

2- https://www.coso.org/SitePages/Enterprise-Risk-Management-Integrating-with-Strategy-and-Performance-2017.aspx?web=1

3- https://www.coso.org/SitePages/COSO-Releases-New-(ICSR)-Supplemental-Guidance.aspx?web=1

4- https://www.coso.org/SitePages/Fraud-Risk-Management-Guide.aspx?web=1

5- https://tax.thomsonreuters.com/news/coso-publishes-guidance-for-internal-control-over-sustainability-reporting/

6- Metodologia de Controles Internos para a Lei Sarbanes-Oxley (SOX) - Crowe Macro

____________________

Sobre o autor

Nilson Michiles é analista na Auditoria Interna do Serpro. É mestrando em Computação Aplicada, área ciência de dados aplicada à gestão de riscos, pela Universidade de Brasília. Possui especializações em Data Science e Administração Pública e é pesquisador visitante na Rutgers University, em New Jersey-EUA, com campo de pesquisa em Audit Analytics aplicado para identificação de fraudes e anomalias. Possui certificações CRMA (Certification in Risk Management Assurance) do Instituto de Auditores Internos-IIA, COBIT® 2019 Foundation, ISO 31000 entre outras. No Serpro, atua como gerente em Auditoria Empresarial e Pessoas, em trabalhos de avaliação e consultoria, além de participar na implementação da certificação de Garantia de Qualidade (Quality Assessment) do IIA. 

____________________

Mês Internacional da Auditoria Interna

Maio é o mês Internacional de Conscientização da Auditoria Interna. Anualmente, neste período, o The IIA incentiva profissionais, departamentos e institutos de todo o mundo a promoverem ativamente o valor da profissão de auditor, incluindo publicações nas redes sociais, usando as hashtags #IIAMAY e #IIABrasil.

Desde 2020, o IIA Brasil promove a campanha nacional IIA May Brasil, premiando as empresas sediadas no Brasil que desenvolvem as melhores ações de conscientização da profissão durante esse Mês de Conscientização. As empresas premiadas em 2023 serão divulgadas e homenageadas durante o 43º Conbrai, que ocorrerá de 26 a 28 de novembro, além disso, elas receberão um selo exclusivo do IIA Brasil e uma premiação de reconhecimento.