Inicialmente importante esclarecer que o  COSO® (Committee of Sponsoring Organizations of the Treadway Commission) é uma organização privada criada nos EUA em 1985 para prevenir e evitar fraudes nos procedimentos e processos internos da empresa.
Inicialmente criada como National Commission on Fraudulent Financial Reporting (em português: Comissão Nacional sobre Fraudes em Relatórios Financeiros), essa comissão era formada por representantes das principais associações de classes de profissionais ligados à área financeira. O primeiro objeto de estudo da comissão foram os controles internos das empresas. Essa comissão posteriormente tornou-se um comitê e passou a se chamar COSO - Committee of Sponsoring Organizations of the Treadway Commission (em português: Comitê das Organizações Patrocinadoras da Comissão Treadway).
O COSO é uma organização sem fins lucrativos, dedicada a melhoria dos relatórios financeiros, sobretudo pela aplicação da ética e efetividade na aplicação e cumprimento dos controles internos e é patrocinado pelas cinco das principais associações de classe de profissionais ligados à área financeira nos EUA.
Em decorrência da globalização e padronização internacional das técnicas de auditoria, as recomendações da COSO, relativas aos controles internos, bem como seu cumprimento e observância, são amplamente praticados e tidos como modelo e referência no Brasil e na maioria dos países.
Para se ter uma ideia melhor de como a estrutura do COSO é relacionada à SOX e ao ERM, segue uma breve comparação dos  modelos.

Entenda a diferença entre SOX e ERM

O processo de pensamento básico do COSO é o mesmo quando aplicado à SOX ou ao ERM, mas as informações apresentadas nas publicações  associadas a cada tipo diferem conforme discutido  a seguir.

 

O modelo SOX representa a parte da estrutura do COSO no que se refere ao ICFR (Internal Control Over Financial Reporting).

 

Assim, verifica-se que o framework recomendado pelo COSO no modelo SOX está focado nos resultados e relatórios financeiros. Os relatórios financeiros externos são apenas uma parte dos objetivos de relatórios financeiros de uma empresa de capital aberto e os objetivos de relatórios financeiros são uma parte do conjunto de objetivos gerais da empresa.

 

Já no modelo Enterprise Risk Managment (ERM), há uma camada de “definição de objetivo”, como é chamado no modelo  ERM. A razão é que os objetivos de relatórios financeiros externos já estão definido pela Security Exchange Commission (SEC), equivalente à Comissão de Valores Mobiliários (CVM) no Brasil.

 

A SEC tem por objetivo fornecer segurança razoável em relação à confiabilidade dos relatórios financeiros, além de projetar e manter um sistema eficaz de controles internos sobre relatórios financeiros. Prevenir ou detectar, em tempo hábil, fraudes que possam afetar materialmente as demonstrações contábeis.

 

A tarefa da SOX  é identificar os riscos que sua empresa precisa controlar e monitorar para garantir que esses objetivos sejam atingidos.

 

Por outro lado, o ERM requer uma aplicação mais ampla da estrutura do COSO. Ele analisa todos os objetivos da empresa (relatórios estratégicos, operacionais, de conformidade e financeiros). Os objetivos de relatórios financeiros incluem objetivos de relatórios financeiros internos e externos. O ERM é uma visão abrangente dos sistemas de governanca, objetivos, riscos, controles e monitoramento da empresa.

 

A SOX é um subconjunto do ERM para uma empresa de capital aberto. Além disso, no que diz respeito à SOX, não há um componente objetivo estratégico, uma vez que a SOX não é uma questão de estratégia de negócios, mas um elemento de cumprimento da lei.

 

Em contraste, o ERM inclui um foco nos riscos em torno da estratégia de uma empresa.

 

  • Quanto a identificação do evento. No ERM, a estrutura do COSO possui uma camada para a identificação de eventos internos e externos que afetam a realização dos objetivos da empresa. Embora o modelo SOX não chame uma camada separada de identificação de evento, é necessário, como parte de seu processo de avaliação de risco identificar e considerar os eventos internos e externos que podem afetar os relatórios financeiros externos.
  • Referente a resposta ao Risco. No ERM uma empresa identifica e avalia uma ampla gama de riscos internos e externos. Na camada de resposta ao risco da estrutura, há uma discussão das quatro maneiras de responder a um risco. Uma empresa pode evitar, aceitar, reduzir ou compartilhar um risco. Embora essas quatro opções sejam discutidas na estrutura ERM, a discussão sobre a SOX geralmente trata apenas do controle dos riscos associados ao relatório financeiro externo. 

 

 

Fonte: http://www.aclordi.com/whats-the-difference-between-sox-and-erm