O COSO cube é um diagrama que mostra a relação entre todas as partes de um sistema de controlo interno. Além de mostrar como essas partes estão conectadas, ele também identifica um número de princípios que uma organização deve seguir para atingir seus objetivos de controle interno.
O cubo COSO é uma parte de um framework de controle geralmente chamado de framework COSO. Ele foi criado pelo Comitê de Organizações Patrocinadoras da Comissão da Treadway, ou COSO. O COSO é composto por representantes de cinco organizações diferentes: a American Accounting Association, o American Institute of Certified Public Accountants, Financial Executives International, o Institute of Management Accountants e o Institute of Internal Auditors. Juntos, eles desenvolvem documentos de orientação para ajudar as organizações com avaliação de risco, controles internos e prevenção de fraudes.
O quadro COSO foi originalmente concebido em 1992, e posteriormente atualizado em 2013 e 2017. O quadro actualizado de 2013 contém o cubo COSO. A estrutura foi desenvolvida para ajudar as organizações a alcançar objetivos relacionados a operações, relatórios e conformidade. A finalidade do controle interno é garantir que esses objetivos sejam alcançados. Este processo é normalmente implementado pelo conselho de administração, gestão e outro pessoal de uma organização. Durante anos, a estrutura de 2013 foi considerada um padrão-ouro para aplicar e testar controles internos.
O cubo COSO
Embora a estrutura de 1992 fosse proficiente na avaliação dos controles existentes, ela não era abrangente. A versão 2013 abordou esta questão com a adição do cubo COSO, que se concentrou na concepção e implementação de uma estrutura de gestão de risco. O cubo COSO substituiu a imagem do princípio do framework anterior que tinha a forma de uma pirâmide.
O cubo é composto por um número de colunas e linhas que visualizam os sistemas de controle interno. As colunas do cubo compõem as três categorias objetivas. As filas do cubo são os cinco componentes. Na terceira dimensão está a estrutura organizacional.
As três categorias objetivas encontradas nas colunas consistem em operações, relatórios e conformidade. Na imagem, este é normalmente o lado superior do cubo.
Os cinco componentes encontrados nas linhas da face frontal do cubo incluem -- de cima para baixo -- o ambiente de controle, avaliação de risco, atividades de controle, informação e comunicação assim como atividades de monitoramento. O ambiente de controle é um conjunto de padrões, processos e estruturas que formam o controle interno. A avaliação de risco forma a base para a qual o risco é gerenciado - tanto em ambientes internos quanto externos. As atividades de controle são as políticas, procedimentos e padrões preventivos e detetives que auxiliam a gestão na mitigação de riscos. A informação e a comunicação estão relacionadas com a informação obtida que pode apoiar as componentes do controlo interno. As atividades de monitoramento incluem avaliações consistentes verificando se cada um dos cinco componentes do controle interno está presente e funcionando corretamente.
> forte> A estrutura organizacional é a hierarquia de uma organização. No lado direito do cubo -- da esquerda para a direita -- são exibidos o nível de entidade, divisão, unidade operacional e função de uma organização. Cada uma pode ser afetada pelas atividades da unidade de negócio, controles de função e controles de nível de negócio.
Os 17 princípios
A estrutura COSO também delineia 17 princípios que uma organização deve adotar para alcançar seus objetivos de controle interno. Os princípios estruturais enquadram-se em cada componente do cubo COSO: cinco princípios para o ambiente de controle, quatro para avaliação de risco, três para atividades de controle, três para informação e comunicação, e os dois últimos para atividades de monitoramento.
Control environments principles include:
- commit to integrity and ethical values;
- exercise oversight responsibility;
- establish structure and reporting lines;
- demonstrate a commitment to competence; and
- enforce accountability.
Risk assessment principles include:
- specify suitable objectives;
- identify and analyze risk;
- assess fraud risk; and
- identify and analyze significant changes.
Control activity principles include:
- select and develop control activities that mitigate risk;
- select and develop control activities involving technology; and
- deploy control activities through specific policies and procedures.
Information and communication principles include:
- use relevant information;
- communicate internally; and
- communicate externally.
Os princípios da actividade de monitorização incluem:
- avaliar e comunicar deficiências.
>i data-icon="1">A estrutura COSO actualizada
A estrutura COSO foi actualizada em 2017, com uma mudança de nome para "Enterprise Risk Management -- Integrating with Strategy and Performance". A atualização foca no ERM e considera mais fortemente o risco nos processos e na gestão do desempenho. Junto com a atualização, o gráfico mudou de um cubo para uma estrutura helixadecimal. As organizações que seguem a estrutura COSO anterior não precisam mudar para a nova estrutura. O cubo COSO pode continuar a ser útil para as organizações, uma vez que ainda fornece uma estrutura para melhorar a gestão de riscos e o controle interno. Um entendimento do cubo COSO fornece uma quantidade razoável de conhecimento de fundo para a versão 2017 do framework também.
O gráfico em forma de hélice para o framework COSO ERM representa como os princípios de Gerenciamento de Riscos são integrados ao longo do ciclo de vida de uma organização.
A hélice é baseada em cinco componentes, cada um suportado por múltiplos princípios. Idealmente, seguindo o gráfico atualizado do COSO, as organizações serão capazes de implementar e reforçar seus princípios, levando a uma melhor performance nas iniciativas ERM.
Os cinco componentes mostrados na hélice incluem:
- Governança e cultura -- que estabelecem a supervisão para ERM.
- Estratégia e definição de objetivos -- que formam um processo de planejamento estratégico.
- Performance -- que identifica os riscos que afetam os processos de planejamento estratégico. Isso também deve incluir uma forma de destacar e responder a questões aparentes.
- Revisão e revisão -- que foca na revisão do desempenho da organização para determinar como os componentes do ERM estão funcionando e se alguma mudança deve ser feita.
- Informação, comunicação e relatórios -- que foca na coleta e compartilhamento de informações conforme necessário, tipicamente de fontes internas e externas.
Vinte princípios suportam os cinco componentes, que devem levar as organizações a entender e gerenciar riscos e objetivos de negócios.