COSO 2013 - Controles Internos + Riscos

No mês de maio de 2013 vimos o comitê denominado COSO (www.coso.org) divulgar sua nova versão do mais famoso e utilizado framework (modelo/padrão) de Controles Internos no mundo. Trata-se da versão 2013 do ICFR (Internal Control - Integrated Framework) que após 21 anos ganha uma cara nova, já que lá em 1992 as preocupações em termos de governança, compliance e principalmente riscos, eram outras.

O famoso cubo do COSO está bem atualizado com o que deve ser a maior preocupação das empresas em termos de Controles Internos: sustentabilidade dos negócios. Sim, tornar a empresa sustentável através de práticas contábeis, legais e de governança corporativa, garantem um ambiente duradouro e uma melhor mitigação de riscos, sejam eles inerentes ou residuais.

A atualização do cubo não só traz mais segurança ao ambiente de controle da empresa, como tornar imprescindível a presença da gestão de riscos, ponto este ainda relegado por muitas empresas.


Quer saber mais sobre a atualização do COSO? Veja neste link: http://www.coso.org/documents/COSO%202013%20ICFR%20Executive_Summary.pdf e também neste link: www.coso.org

Não confundir esta versão com àquela lançada em 2004 pelo próprio COSO, o ERM 2004, totalmente voltado para a gestão de riscos das empresas. Este trabalho inclusive se dá muito bem em sinergia com a ISO 31000, onde ambas tratam sobre a melhor gestão de riscos e como mitigar o ambiente empresarial.

MIGO e MIRO, juntos ou separados?

Em tempos de Olimpíadas, mitigar riscos empresariais ainda é necessário... brincadeiras esportivas à parte, vamos ao que interessa. Outro dia me deparei com uma situação intrigante: deixar que usuários tenham acesso às transações MIGO e MIRO (SAP) é de fato o pior dos mundos?

A MIGO é a entrada física de notas fiscais de produtos/materiais. A MIRO é a transação do SAP que gera o compromisso financeiro desta nota. O que ouço por aí é que isso não é possível, por uma série de fatores, principalmente pelo fator de SoD (Segregação de Funções). Pois bem, é possível sim e vou dizer o que penso: "Não é problema ter um risco, o problema é não ter este risco mitigado!"

Se existem auditorias no setor que faz o lançamento de MIGO e MIRO, se existem procedimentos claros no setor, se existem controles de acesso para que apenas os usuários que lançam as notas tenham acesso a essas transações, enfim, se existem controles internos que mitigam os principais riscos, não há o que temer.

Digamos que a empresa resolva ter uma CSC (Central de Serviços Compartilhados), como é no caso da empresa que trabalho, e resolva concentrar nela os lançamentos físicos e contábeis. Talvez seja a melhor saída, mas sempre o fantasma da segregação de função irá aparecer.

E aí pessoal, o risco está mitigado?

10 anos da Lei SOx (Sarbanes-Oxley)

Inaugurando o blog, que falará sobre riscos empresariais e suas formas de mitigação, lembramos que no dia 30 de Julho a Lei SOx completa 10 anos de existência. A lei que foi fruto de uma grande reação contra escândalos de fraude de grandes empresas estadunidenses e hoje é obrigatória para empresas que atuam na bolsa de Nova York. A SOx virou sinônimo de melhores práticas em riscos empresariais, controles internos e auditoria.

Com atenção à seção 404 (a SOx é dividida em 11 capítulos e 69 seções) que determina uma avaliação anual dos controles internos da empresa, esta seção visa garantir que os controles estão sendo monitorados, reavaliados, revistos, enfim, torna o processo dinâmico. Com esta medida, mesmo uma empresa não sendo obrigada a ter SOx, o número de riscos mitigados aumenta, já que ocorre um conhecimento maior do seu ambiente de controle.