Artigo
23/02/2024
Atualizado em 15/04/2026

Componentes do Controle Interno e a Metodologia do COSO: Relação entre controle interno, gestão de riscos corporativos e governança corporativa

A metodologia COSO integra controle interno, gestão de riscos e governança corporativa para garantir objetivos organizacionais, com atualizações que ampliam foco estratégico e sustentabilidade.

Imagem de capa do artigo

Os controles internos e a gestão de riscos são um conjunto integrado de processos realizados pela diretoria, gerência e outros funcionários de uma empresa, projetado para fornecer uma garantia razoável quanto à realização dos objetivos. Ainda, o valor dos controles internos vai além da simples exigência de conformidade e do relatório financeiro externo, pois controles internos efetivos podem auxiliar uma empresa a articular seu propósito, definir seus objetivos e estratégias, e crescer de forma sustentada, com confiança e integridade em todos os tipos de informações.

O que foi muito bem retratado pelo documento: "Internal Control—Integrated Framework" (Estrutura Integrada de Controle Interno) do Committee of Sponsoring Organizations of the Treadway Commission (COSO), estabeleceu os princípios e práticas para um eficaz controle interno, enfocando, principalmente, na confiabilidade dos relatórios financeiros e na prevenção de fraudes. Definindo controle interno como um processo destinado a mitigar riscos e atingir objetivos, este modelo posiciona o risco como uma possibilidade de eventos que afetem o alcance dos objetivos organizacionais.

A estrutura da metodologia do COSO é simbolizada por um cubo que representa três dimensões principais: os tipos de objetivos (operações, relatórios financeiros confiáveis e conformidade legal/regulamentar), a estrutura organizacional (abrangendo diversos níveis) e os componentes do controle interno (ambiente de controle, avaliação de riscos, atividades de controle, informação e comunicação e monitoramento), que vou falar mais abaixo.

Depois disto, há 20 anos atrás, em 2004, ainda veio o chamado "COSO-ERM" (Enterprise Risk Management - Integrated Framework), que é uma extensão do COSO inicial, crescendo seu escopo e trazendo elementos adicionais para um processo abrangente de gestão de riscos corporativos, que passou a englobar não só o controle interno, mas também o gerenciamento de riscos, o que faz todo sentido por sinal, como parte do processo de governança corporativa, enfatizando a importância de integrar a gestão de riscos na estratégia e no planejamento organizacional. Outro ponto bem relevante deste documento foi que trouxe novos conceitos para época como: o apetite e a tolerância a riscos, ampliando o foco para incluir objetivos estratégicos e uma resposta mais dinâmica aos riscos.

Já em 2017, o COSO atualizou o ERM com a versão: "Integrating with Strategy and Performance", que avançou ainda mais na integração entre estratégia, performance e risco, destacando mais a importância de considerar os riscos não apenas na implementação das estratégias, mas também na condução do desempenho organizacional, propondo 20 princípios organizados em cinco componentes inter-relacionados, que, se adotados, proporcionam uma expectativa razoável de que a organização compreende e busca gerenciar os riscos associados à sua estratégia e objetivos de negócios.

Além disto, aproveitando que estou falando do tema de atualização do COSO, no ano passado, em 2023, o COSO emitiu novas orientações complementares em relação ao controle interno sobre a elaboração de relatórios de sustentabilidade (ICSR), utilizando a reconhecida Estrutura Integrada de Controle Interno do COSO (ICIF).

Não dá para apenas falar em COSO sem comentar sobre a norma ISO 31000, que foi um esforço internacional para padronizar a gestão de riscos corporativos. Lançada originalmente em 2009, mas revisada em 2018, essa norma traz um processo de gestão de riscos que inclui etapas como estabelecimento do contexto, identificação, análise, avaliação, tratamento de riscos, comunicação e consulta, monitoramento e revisão crítica, estabelecendo uma linguagem comum e padronizada para a gestão de riscos, facilitando o entendimento e a comunicação entre diferentes partes interessadas.

A relação entre controle interno, gestão de riscos corporativos e governança corporativa é um aspecto importante no ambiente de negócios contemporâneo, enfatizando a necessidade de processos de controle e gestão de riscos que sejam integrados, dinâmicos e alinhados com os objetivos estratégicos das organizações. A governança corporativa, nesse sentido, é o mecanismo pelo qual o controle interno e a gestão de riscos são implementados de forma a assegurar que a organização esteja agindo de maneira ética, responsável e com integridade.

Mas voltando ao tema original do artigo, a estrutura original da metodologia do COSO, que é amplamente utilizada para atender aos requisitos de controles internos, como os, por exemplo, os estabelecidos pela SOX, traz um modelo que enfatiza que cada um dos cinco componentes deve estar presente e funcionando juntamente com os outros, e que todos são necessários para a eficácia do controle interno.

Queria então falar (novamente) sobre uma das dimensões deste cubo do COSO:

  • Ambiente de Controle: É a base (sólida) para todos os outros componentes de controle, fornecendo a disciplina e a estrutura necessárias. Inclui a governança e a ética; a atribuição de autoridade e responsabilidade; e as políticas e procedimentos que estabelecem um contexto operacional positivo e de suporte. Nesse ambiente, a alta administração demonstra através de suas ações a importância do controle interno, incluindo a gestão de risco, estabelecendo a expectativa de que os funcionários e a gerência de linha estejam envolvidos e comprometidos com essas iniciativas.
  • Avaliação de Riscos: A identificação e análise de riscos relevantes para a realização dos objetivos formam a base para determinar como os riscos devem ser geridos. A empresa deve considerar o potencial de eventos externos e internos que possam afetar a capacidade de implementar estratégias e alcançar objetivos, avaliando riscos como parte do processo de tomada de decisão.
  • Atividades de Controle: São as ações estabelecidas através de políticas e procedimentos que ajudam a garantir que as diretrizes de gestão sejam levadas a cabo. As atividades de controle ocorrem em toda a empresa, em todos os níveis e em todas as funções. Incluem uma gama de atividades como aprovações, autorizações, verificações, reconciliações, análises de desempenho operacional, segurança de ativos e segregação de funções.
  • Informação e Comunicação: Sistemas de informação pertinentes e funcionais são importantes para o funcionamento do controle interno, assim como para a gestão e controle das operações. A comunicação deve ser eficaz tanto verticalmente quanto horizontalmente dentro da empresa. Deve haver uma comunicação efetiva com partes externas, como clientes, fornecedores, reguladores e acionistas.
  • Monitoramento de Atividades: O monitoramento de controles internos deve ser uma operação contínua, realizada no curso normal das atividades. Seu alcance e frequência dependem de fatores como mudanças nas condições e a extensão de sua eficácia operacional. Deficiências devem ser reportadas a um nível superior de gestão. O monitoramento inclui atividades regulares, separações de avaliações ou uma combinação de ambas.

A implementação de um Sistema de Controles Internos e Gestão de Riscos robusto, seguindo as diretrizes do COSO, não apenas ajuda a mitigar riscos e melhorar a confiabilidade dos relatórios financeiros, mas também pode aprimorar a eficiência operacional e fortalecer a conformidade com as leis e regulamentos. Isso é especialmente relevante em um ambiente de negócios cada vez mais globalizado e regulado, onde as falhas de controle interno podem ter consequências significativas para a reputação e a viabilidade financeira de uma organização.

Esta estrutura atualizada em 2013 fornece às empresas os meios para desenvolver sistemas de controle interno eficientes e eficazes que sejam suficientemente flexíveis para se adaptar a ambientes operacionais e corporativos dinâmicos, reduzir riscos a níveis aceitáveis e sustentar um processo robusto de tomada de decisão e de governança.

Queria comentar por fim alguns benefícios, desafios e pontos relevantes que deveriam entender e se preocupar:

  • Desenvolvimento e Implementação: Criar e operacionalizar um sistema de controle interno efetivo representa um desafio significativo, particularmente em um contexto de modelos corporativos em constante evolução, dependência crescente de tecnologias, regulamentos mais rigorosos e um cenário de globalização. Um sistema de controle interno deve ser ágil para se ajustar às mudanças no ambiente corporativo, operacional e regulatório.
  • Uso de Julgamento: A eficácia do sistema de controle interno transcende a mera aderência a políticas e procedimentos; ela requer o exercício do julgamento. A administração e a estrutura de governança empregam o julgamento para determinar o nível adequado de controle. Este julgamento é utilizado para selecionar, desenvolver e distribuir controles em toda a organização e é igualmente aplicado durante o monitoramento e a avaliação da eficácia dos controles internos.
  • Flexibilidade da Estrutura: A metodologia do COSO oferece uma abordagem baseada em princípios, que permite às organizações exercerem julgamento na aplicação do controle interno em diversos níveis, da empresa como um todo, até cada área operacional, e suas funções específicas. Isso proporciona requisitos para um sistema de controle interno eficaz, considerando a presença e operação dos componentes e princípios, e como eles operam conjuntamente.
  • Análise e Gestão de Riscos: A metodologia também facilita a identificação e análise de riscos, permitindo que as organizações desenvolvam respostas apropriadas a riscos, com foco especial em medidas contra fraudes. Além disso, oferece uma oportunidade de estender a aplicação do controle interno para além dos relatórios financeiros, alcançando outros tipos de divulgação operacional e de conformidade.
  • Otimização de Controles: Outro benefício significativo da aplicação da metodologia do COSO é a capacidade de identificar e eliminar controles que são ineficazes, redundantes ou ineficientes, otimizando assim o sistema de controle interno e reduzindo custos desnecessários.
  • Para a estrutura de governança e administração: A metodologia do COSO também fornece um meio para implementar o controle interno em qualquer tipo de entidade, independentemente da indústria ou estrutura legal, e fornece uma abordagem flexível que permite julgamento na sua execução.
  • Para o Público Externo e Outras Partes: A aplicação desta metodologia aumenta a confiança na supervisão dos sistemas de controle interno e na capacidade da organização de atingir seus objetivos. Também melhora a compreensão da necessidade de um sistema eficaz de controle interno e reconhece que a administração pode eliminar controles ineficazes mediante o uso adequado de julgamento.
  • Dinâmica e Integração: É importante enfatizar que o controle interno não é estático, mas um processo dinâmico e integrado que se aplica a empresas de todos os tamanhos e tipos, incluindo aquelas sem fins lucrativos e órgãos governamentais. A implementação do controle interno varia entre empresas, podendo ser menos formal em entidades menores, mas ainda assim eficaz.
  • Limitações: Por fim, a metodologia do COSO também discute as limitações inerentes aos sistemas de controle interno, reconhecendo que nenhum sistema pode garantir sucesso absoluto, mas pode, no máximo, proporcionar uma garantia razoável quanto ao alcance dos objetivos da organização.

Aos interessados em saber mais e aplicar esta metodologia, podem baixar o documento completo original (em inglês) do COSO controles Internos em:

https://www.coso.org/_files/ugd/3059fc_a3a66be7a48c47e1a285cef0b1f64c92.pdf

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante