Solução ou preocupação? COSO ou CobiT?

O COSO – The Committee of Sponsoring Organizations (Comitê das Organizações Patrocinadoras) – busca os controles internos e avaliação de riscos, que uma vez identificados, devemos analisá-los e, em seguida, refletir sobre isso com base nas probabilidades ou freqüências que os problemas podem ocorrer. Mas qual seria o impacto nas operações, considerando os aspectos quantitativos e qualitativos; e quais ações seriam necessárias para administrar os riscos identificados.

Em primeiro lugar, é fundamental certificar-se de que a organização tem uma missão clara e que as metas e objetivos estão formalizados, além de avaliar os riscos com relação ao nível de dependência do setor e de processo. Quando possível, deve-se elaborar ainda um papel de trabalho para cada atividade relevante e priorizar as atividades e processos mais críticos e, se for o caso, aprimorá-los.

Vale ressaltar que as atividades de controle devem ser implementadas de maneira ponderada, consciente e consistente. Nada adianta introduzir um procedimento de controle se este for executado de maneira mecânica, sem foco nas condições e problemas que motivaram sua implantação.

Também é essencial que as situações adversas identificadas pelas atividades de controles sejam investigadas, adotando-se tempestivamente as ações corretivas apropriadas.

O CobiT (Control Objectives for Information and related Technology) também é controle interno, mas com foco mais objetivo na Tecnologia da Informação (TI), fator este de suma importância nas organizações. Afinal, somos dependentes pelo menos 130% de TI. Lógico que os 100% já são inerentes aos negócios da empresa — os 30% restantes seriam a grosso modo, a contingencia mínima necessária para que os processos e sistemas não parem (o CobiT trabalha muito bem esta idéia no DS4 – Delivery and Suport – contidas no CobiT 4.1).

Mas para que tanto controle? Justamente para minimizar os riscos. A lei americana Sarbanes Oxley, as melhores práticas de Governança Corporativa e os órgãos reguladores (CVM, Banco Central, SUSEP, SPC, entre outras) já estão cobrando das organizações à implementação das melhores práticas de controle.

Porém, algumas dúvidas pairam no ar. Como a organização se posicionou a este respeito? Já existe uma matriz de risco disponível? Há um Plano de Continuidade de Negócios implementado e testado? Podemos localizar na intranet ou algum manual com um glossário de riscos para o seu negócio? Se estas perguntas não possuem respostas imediatas e seguras, necessitamos buscar maior entendimento sobre estes riscos.

* Marcos Assi é coordenador do MBA Gestão de Riscos e Compliance da Trevisan Escola de Negócios, mestre em Ciências Contábeis pela PUC/SP, professor da FIA e Saint Paul Escola de Negócios, autor do livro “Controles Internos e Cultura Organizacional – como consolidar a confiança na gestão dos negócios” (Saint Paul Editora). É também consultor de Riscos Financeiros e Compliance da Daryus Consultoria.