Solução ou preocupação? COSO ou CobiT?
O COSO – The Committee of Sponsoring Organizations (Comitê das Organizações Patrocinadoras) – busca os controles internos e avaliação de riscos, que uma vez identificados, devemos analisá-los e, em seguida, refletir sobre isso com base nas probabilidades ou freqüências que os problemas podem ocorrer. Mas qual seria o impacto nas operações, considerando os aspectos quantitativos e qualitativos; e quais ações seriam necessárias para administrar os riscos identificados.
Em primeiro lugar, é fundamental certificar-se de que a organização tem uma missão clara e que as metas e objetivos estão formalizados, além de avaliar os riscos com relação ao nível de dependência do setor e de processo. Quando possível, deve-se elaborar ainda um papel de trabalho para cada atividade relevante e priorizar as atividades e processos mais críticos e, se for o caso, aprimorá-los.
Vale ressaltar que as atividades de controle devem ser implementadas de maneira ponderada, consciente e consistente. Nada adianta introduzir um procedimento de controle se este for executado de maneira mecânica, sem foco nas condições e problemas que motivaram sua implantação.
Também é essencial que as situações adversas identificadas pelas atividades de controles sejam investigadas, adotando-se tempestivamente as ações corretivas apropriadas.
O CobiT (Control Objectives for Information and related Technology) também é controle interno, mas com foco mais objetivo na Tecnologia da Informação (TI), fator este de suma importância nas organizações. Afinal, somos dependentes pelo menos 130% de TI. Lógico que os 100% já são inerentes aos negócios da empresa — os 30% restantes seriam a grosso modo, a contingencia mínima necessária para que os processos e sistemas não parem (o CobiT trabalha muito bem esta idéia no DS4 – Delivery and Suport – contidas no CobiT 4.1).
Mas para que tanto controle? Justamente para minimizar os riscos. A lei americana Sarbanes Oxley, as melhores práticas de Governança Corporativa e os órgãos reguladores (CVM, Banco Central, SUSEP, SPC, entre outras) já estão cobrando das organizações à implementação das melhores práticas de controle.
Porém, algumas dúvidas pairam no ar. Como a organização se posicionou a este respeito? Já existe uma matriz de risco disponível? Há um Plano de Continuidade de Negócios implementado e testado? Podemos localizar na intranet ou algum manual com um glossário de riscos para o seu negócio? Se estas perguntas não possuem respostas imediatas e seguras, necessitamos buscar maior entendimento sobre estes riscos.
* Marcos Assi é coordenador do MBA Gestão de Riscos e Compliance da Trevisan Escola de Negócios, mestre em Ciências Contábeis pela PUC/SP, professor da FIA e Saint Paul Escola de Negócios, autor do livro “Controles Internos e Cultura Organizacional – como consolidar a confiança na gestão dos negócios” (Saint Paul Editora). É também consultor de Riscos Financeiros e Compliance da Daryus Consultoria.
Pretty nice post. I just stumbled upon your blog and wanted to say that I have really enjoyed browsing your blog posts. In any case I’ll be subscribing to your feed and I hope you write again soon!