As estruturas COSO fornecem liderança de pensamento e orientação para organizações relativamente a controlos internos, gestão de risco empresarial (ERM), dissuasão de fraude e governança. Cumprir estas estruturas detalhadas pode ser desafiante e complexo e nem sempre é fácil incorporá-las nos processos de negócio. Neste blogue, discutimos como a implementação do software GRC adequado pode simplificar o seu percurso para a conformidade COSO nas áreas de controlo interno e gestão de risco empresarial. Exploramos os princípios fundamentais da orientação fornecida pelo COSO e explicamos como as estruturas de melhores práticas, fluxos de trabalho, modelos e formulários fornecidos pelo software GRC podem apoiar as organizações a operar de acordo com as orientações e fornecer provas adequadas de conformidade.
O que é a estrutura de controlo interno COSO?
O Comité das Organizações Patrocinadoras da Comissão Treadway (COSO) publicou pela primeira vez orientações sobre controlos internos em 1992 e a estrutura foi revista e emitida em maio de 2013 para ajudar as empresas a conceber e implementar controlos internos para reduzir a fraude. De acordo com a Associação de Examinadores de Fraude Certificados (ACFE), controlos internos fracos ou deficientes são responsáveis por quase metade de todas as fraudes. Para garantir que não se tornam um alvo fácil para os fraudadores, muitas organizações optam por adotar o modelo de controlo interno COSO globalmente reconhecido para assegurar que têm controlos internos eficazes para reduzir o risco e a fraude.
A estrutura de controlo interno COSO delineia requisitos para um sistema de controlo interno eficaz, enumera cinco princípios e explica como estes devem ser integrados num processo que faz parte das operações comerciais. Controlos internos robustos abrangem os conjuntos de processos, normas e estruturas que ajudam a detetar e prevenir fraudes internas, incluindo políticas, valores éticos corporativos, estrutura organizacional e compromisso de empregar funcionários competentes e éticos e, claro, a verificação robusta de dados operacionais e transacionais.
A estrutura COSO consiste em cinco componentes inter-relacionados:
Ambiente de controlo: Este componente define o tom no topo da organização e estabelece a base para o controlo interno. Abrange fatores como o compromisso da liderança com a integridade e valores éticos, estrutura organizacional, atribuição de autoridade e responsabilidade, e a cultura da organização.
Avaliação de risco: As organizações devem identificar e analisar riscos que possam impedi-las de atingir os seus objetivos. Este componente envolve a avaliação de riscos internos e externos, avaliando o seu potencial impacto e determinando como geri-los ou mitigá-los.
Atividades de controlo: As atividades de controlo são as políticas, procedimentos e práticas que as organizações implementam para mitigar riscos e alcançar os seus objetivos. Estas atividades podem incluir segregação de funções, processos de autorização, aprovação e escalamento, controlos físicos, controlos de tecnologia da informação, revisões de desempenho empresarial e formação de funcionários.
Informação e comunicação: Os sistemas de controlo interno eficazes dependem de informações oportunas e relevantes e de canais de comunicação claros. Este componente envolve garantir que as informações relevantes são identificadas, capturadas e comunicadas às pessoas certas dentro da organização para apoiar a tomada de decisões informada e a responsabilização.
Atividades de monitorização: As atividades de monitorização são essenciais para avaliar a eficácia dos controlos internos ao longo do tempo. Este componente envolve a monitorização contínua das atividades de controlo, avaliações periódicas do desempenho do sistema de controlo interno e comunicação de deficiências ou fraquezas para ação corretiva.
A estrutura de controlo interno COSO é uma abordagem abrangente para gerir controlos internos que ajuda as organizações a reduzir fraudes e alcançar os seus objetivos enquanto gerem o risco de forma eficaz. A estrutura é projetada para ser aplicada em todos os setores e organizações, independentemente do tamanho ou complexidade.
O que as organizações precisam de fazer para cumprir a estrutura de controlo interno COSO?
Para implementar a estrutura de controlo interno COSO, uma organização deve embarcar num processo sistemático que envolve os seguintes passos-chave, exigindo compromisso e apoio do conselho de administração, da gestão de topo e dos funcionários em todos os níveis.
Avaliar os seus sistemas de controlo interno existentes em relação aos componentes da estrutura COSO.
Identificar lacunas ou áreas de melhoria no seu ambiente de controlo interno, atividades de controlo, práticas de informação e comunicação e mecanismos de monitorização.
Implementar mudanças ou melhorias para alterar os seus sistemas de controlo interno de modo a alinhá-los com os princípios e objetivos da estrutura COSO.
Monitorizar e avaliar a eficácia dos seus sistemas de controlo interno e ajustar conforme necessário para abordar riscos em evolução e mudanças no ambiente de negócios.
Como pode o software GRC apoiar uma organização a cumprir os requisitos de controlo interno COSO?
Desenvolver um sistema de controlo interno bem pensado pode ser um processo assustador e demorado, e as folhas de cálculo e processos manuais muitas vezes carecem da automação e governança de dados necessárias. As plataformas GRC oferecem estruturas de melhores práticas prontas a usar, modelos, fluxos de trabalho e formulários que permitem às empresas estruturar os seus processos de controlo interno de acordo com a estrutura de controlo interno COSO.
As equipas de GRC podem configurar a monitorização de controlo automatizada dentro da plataforma GRC. A monitorização de controlo permite que as organizações gerem o risco de forma proativa usando controlos baseados em regras predefinidas para detetar riscos em grandes conjuntos de dados e notificar o stakeholder relevante. Desde transações irregulares e verificações de controlo falhadas até não conformidade e falhas de auditoria, potenciais riscos e problemas podem ser detetados com base em regras predeterminadas e alertas são enviados aos stakeholders, permitindo-lhes tomar as ações necessárias.
Os controlos podem ser configurados para sinalizar áreas de preocupação em todo o seu programa GRC, incluindo prazos não cumpridos, anomalias em dados operacionais e transacionais, gastos excessivos de orçamento, incidentes críticos para o negócio, ou quando KPIs ou indicadores-chave de risco (KRIs) atingem níveis intoleráveis. Este nível de automação deteta riscos que de outra forma teriam passado despercebidos e fornece uma camada extra de garantia para as equipas de risco.
Além disso, a monitorização de controlo é um componente crítico da conformidade SOX, pois permite que as empresas mantenham controlos internos eficazes sobre relatórios financeiros, identifiquem e corrijam fraquezas ou deficiências na sua estrutura de controlo, e forneçam garantia de que os seus relatórios financeiros são precisos e confiáveis. Os controlos internos fornecem monitorização em tempo real de processos financeiros-chave, como reconhecimento de receitas, contas a pagar e folha de pagamento, detetando problemas precocemente e reduzindo o risco. O software GRC automatiza todo o processo de controlo interno, criando uma camada de defesa automatizada e eliminando verificações manuais demoradas. O processo de escalamento e resolução também é automatizado usando fluxos de trabalho predefinidos para facilitar processos passo a passo, incluindo escalamentos, aprovações, assinaturas e notificações. O software mantém um registo de auditoria completo de como os controlos são definidos, geridos, escalados e resolvidos, fornecendo prova de conformidade com as diretrizes de controlo interno COSO.
A funcionalidade de conformidade e auditoria no software GRC também pode ser usada para manter a conformidade com as orientações COSO. As empresas podem construir uma “biblioteca de obrigações” que inclui todos os requisitos estabelecidos na estrutura COSO e monitorizar a conformidade com cada aspeto. Qualquer auditoria interna contra os requisitos COSO também pode ser realizada na plataforma.
O que é a estrutura de gestão de risco empresarial COSO?
Atualizada pela última vez em 2017, a estrutura de gestão de risco empresarial (ERM) COSO fornece orientações detalhadas para empresas sobre gestão de risco empresarial, integrando-se com estratégia e desempenho. É projetada para apoiar as organizações a tornarem-se mais adaptáveis à mudança e a pensar estrategicamente sobre como o risco pode impactar o seu sucesso, estratégia e desempenho a longo prazo.
A estrutura de gestão de risco empresarial COSO exige que as organizações implementem um programa ERM de melhores práticas para gerir o risco com um registo de risco ativo, controlos, indicadores-chave de risco (KRIs), avaliações de risco regulares e monitorização e relatórios de risco contínuos. Mas além da gestão de risco tradicional, a estrutura de gestão de risco empresarial COSO tem um forte foco na ligação do risco aos objetivos estratégicos e ao desempenho empresarial para apoiar a tomada de decisões a nível do conselho.
A estrutura de gestão de risco COSO delineia claramente o envolvimento do conselho na definição de estratégia, apetite de risco e alinhamento da estratégia e objetivos com a missão, visão e valores da empresa. Aborda como o conselho deve lidar com flutuações de desempenho empresarial e o seu envolvimento em decisões de negócios significativas como fusões e aquisições, incentivos aos funcionários, remuneração e alocação de capital e financiamento de projetos.
A estrutura consiste em princípios organizados em cinco componentes conectados:
Governança e cultura: As empresas devem implementar uma boa governança para estabelecer o tom da organização, enfatizando a importância de definir responsabilidades de supervisão para a gestão de risco empresarial. As empresas também devem estabelecer uma boa cultura que se relacione com os valores éticos, comportamentos desejados e consciência de risco dentro da entidade.
Estratégia e definição de objetivos: A gestão de risco empresarial, estratégia e definição de objetivos devem ser integradas no processo de planeamento estratégico. Um apetite de risco deve ser definido e alinhado com a estratégia, enquanto os objetivos de negócio e a estratégia devem servir como base para identificar, avaliar e responder aos riscos.
Desempenho: Os riscos que podem afetar a realização dos objetivos estratégicos e de negócio devem ser identificados e avaliados. Os riscos devem ser priorizados com base na gravidade relativa ao apetite de risco. A organização deve selecionar respostas de risco apropriadas e ter uma visão abrangente do risco global assumido. Os resultados deste processo são relatados aos principais stakeholders.
Revisão e revisão: As organizações devem rever o desempenho do ERM. O COSO estipula que uma organização deve avaliar a eficácia dos componentes de gestão de risco empresarial ao longo do tempo e entender como os níveis de risco flutuam com base em decisões de negócios e mudanças operacionais, determinando as revisões necessárias.
Informação, comunicação e relatórios: O COSO afirma que a gestão de risco empresarial eficaz requer a recolha e partilha contínua de informações relevantes de fontes internas e externas, uma boa comunicação deve garantir que flui para cima, para baixo e através da organização.
A estrutura de gestão de risco empresarial COSO garante que uma organização tenha uma visão holística e consistente dos riscos que podem afetar os seus objetivos, operações, reputação e stakeholders. Também apoia o alinhamento da gestão de risco com a estratégia, visão e valores da organização. A estrutura de gestão de risco empresarial COSO é projetada para melhorar os relatórios, a medição de desempenho e a tomada de decisões, fornecendo garantia aos stakeholders de que a organização está a gerir os seus riscos de forma eficaz.
O que as organizações precisam de fazer para cumprir a estrutura de gestão de risco empresarial COSO?
Para implementar a estrutura de gestão de risco empresarial COSO, uma organização deve implementar um programa ERM de melhores práticas ligado aos seus objetivos estratégicos e desempenho empresarial. Isto permitirá que compreendam facilmente o impacto do risco no desempenho operacional e no desempenho geral do negócio e façam as alterações necessárias. Aqui estão 5 processos-chave que uma empresa pode implementar para cumprir os requisitos de gestão de risco empresarial COSO.
Estabeleça um processo de gestão de risco baseado nas melhores práticas, que inclua a criação de um registo de riscos, a realização de avaliações de risco regulares, a definição de indicadores-chave de risco, a definição de um apetite pelo risco e a operação dentro dele, o estabelecimento de estratégias de resposta e mitigação de riscos, a monitorização dos níveis de risco e a resolução de problemas, bem como a elaboração de relatórios detalhados sobre os riscos.
Estabeleça controlos suficientes para reduzir o risco e monitorize e teste os controlos regularmente para garantir a sua eficácia.
Defina uma estratégia alinhada com a missão e os valores da organização e estabeleça etapas claras para alcançar a estratégia, gerindo cuidadosamente qualquer risco estratégico.
Relacione o desempenho empresarial com o risco, permitindo compreender o impacto do risco no desempenho global da empresa.
Crie uma cultura de consciencialização do risco em toda a organização, com uma estrutura de governação estabelecida, formação adequada e orientações claras para o envolvimento da administração.
Como é que o software de GRC pode ajudar uma organização a cumprir os requisitos de gestão de risco empresarial do COSO?
A utilização de plataformas de software GRC consolida processos, sistemas e fontes de dados de risco díspares numa visão holística, proporcionando uma visão profunda do perfil de risco, estado e desempenho de uma organização. As organizações podem utilizar a plataforma para criar um registo de riscos online abrangente, onde vários departamentos podem registar diretamente e assumir a responsabilidade pelo risco. As equipas podem utilizar modelos e questionários de avaliação de risco online para calcular a probabilidade, gravidade e impacto do risco e gerar classificações de risco. Os dados transacionais e operacionais podem ser extraídos para a solução a partir de outros sistemas e fontes de dados através de ligações API, permitindo às equipas definir indicadores-chave de risco (KRI) e definir tolerâncias ao risco com base em dados reais. Isto permite às organizações definir um quadro de apetite pelo risco e operar dentro dele.
Uma vez estabelecido o sistema e concluído o registo de riscos, as equipas podem definir controlos para monitorizar o risco de forma contínua e são enviadas notificações e alertas automatizados quando o grau de risco atinge um nível intolerável. As equipas podem executar relatórios instantâneos e visualizar painéis de controlo em tempo real para obter uma visão geral completa do seu perfil de risco e analisar em detalhe para resolver áreas problemáticas.
O software envolve toda a organização no processo de gestão de risco e garante que todos os intervenientes em toda a empresa podem assumir a responsabilidade pelo risco. Isto torna a gestão de risco mais acessível, responsável, rastreável e resolúvel, proporcionando visibilidade da exposição ao risco às equipas de liderança, de acordo com o quadro de gestão de risco do COSO. Os fluxos de trabalho automatizados poupam tempo e recursos valiosos e aceleram o processo de correção de riscos. As plataformas de GRC descobrem potenciais oportunidades de crescimento. Em vez de utilizar simplesmente a ferramenta para mitigar o risco, a plataforma utiliza capacidades analíticas para ponderar os potenciais resultados, permitindo a tomada de riscos calculados.
Para além de permitirem que as empresas implementem processos de ERM baseados nas melhores práticas, muitas plataformas de GRC modernas permitem que as empresas mapeiem o risco em relação aos objetivos estratégicos e ao desempenho empresarial, para alinharem ainda mais os seus processos com os requisitos do quadro de gestão de risco empresarial do COSO. As empresas podem utilizar as capacidades de planeamento estratégico das plataformas de GRC para delinear os seus planos estratégicos. As plataformas de GRC com capacidades de planeamento estratégico permitem que as organizações decomponham os seus objetivos e metas estratégicos globais em programas, projetos, tarefas e ações mais pequenos, que podem ser distribuídos pela empresa a vários intervenientes. A cada tarefa é atribuído um responsável, um prazo, um orçamento, SLAs e KPIs para garantir a sua conclusão.
À medida que as informações são introduzidas e as tarefas são concluídas, o progresso pode ser facilmente acompanhado em todos os níveis da estratégia. As visualizações em árvore simples ajudam os líderes a visualizar o progresso e as notificações automatizadas assinalam prazos não cumpridos e ações incompletas. Quando as tarefas são concluídas, os fluxos de trabalho notificam as pessoas relevantes para que possam passar à fase seguinte da estratégia, permitindo-lhes prosseguir com a tarefa subsequente. Estas ferramentas garantem que os colaboradores de todos os níveis compreendem o seu papel na concretização da estratégia da organização, permitindo aos líderes monitorizar o progresso e resolver problemas, e simplificam o processo de disseminação de alterações estratégicas. As empresas que gerem o risco e a estratégia na mesma plataforma integrada podem facilmente mapear o risco em relação aos seus objetivos estratégicos, permitindo-lhes controlar quaisquer riscos estratégicos que possam afetar a sua estratégia e assumir riscos calculados na prossecução dos seus objetivos estratégicos. Esta funcionalidade permite às organizações alinhar facilmente os seus processos com os requisitos de gestão de risco empresarial do COSO.
As modernas plataformas GRC oferecem uma ampla variedade de integrações API, permitindo-lhes extrair dados transacionais e operacionais de outras folhas de cálculo e sistemas para a plataforma GRC. Isto permite às empresas compreender o impacto do risco no desempenho operacional, por exemplo, se o nível de risco era elevado, o desempenho diminuiu? Se assumir um risco não afetou o desempenho, a organização pode querer assumir riscos semelhantes no futuro. Ou se um risco era elevado e o desempenho diminuiu significativamente, provavelmente quererão introduzir mais controlos para reduzir o risco. Ligar o risco e o desempenho empresarial ajuda as equipas de liderança a tomar as decisões certas para fazer crescer a organização, ajuda nas decisões relativas à alocação de orçamento e recursos e descobre oportunidades onde a recompensa supera o risco. Mapear estas duas áreas pode ser difícil quando os dados estão dispersos por diferentes departamentos, mas ao integrar dados de risco e desempenho numa plataforma holística, as empresas podem mapear estas áreas interligadas e facilmente executar relatórios sobre como os níveis de risco estão a impactar o desempenho empresarial, tanto positiva como negativamente.
Descubra como a adoção das estruturas COSO pode apoiar a sua organização
No ambiente empresarial em rápida evolução de hoje, seguir as orientações das estruturas COSO para controlos internos e gestão de risco empresarial é uma excelente forma de qualquer organização operar de forma eficaz e responsável. A Riskonnect oferece uma plataforma integrada para simplificar a implementação e gestão dos princípios COSO. Alinhe perfeitamente o risco com os objetivos de negócio, garantindo ao mesmo tempo uma gestão de risco robusta e controlos internos. Solicite uma demonstração hoje para saber como a Riskonnect pode ajudar a sua organização a alinhar as suas operações com os requisitos COSO e alcançar a conformidade.
