Especializada na Implementação de Sistemas de Gestão de Compliance,
Integridade, Antissuborno e Lei Geral de Proteção de Dados.
Inicialmente importante esclarecer que o COSO® (Committee of Sponsoring Organizations of the Treadway Commission) é uma organização privada criada nos EUA em 1985 para prevenir e evitar fraudes nos procedimentos e processos internos da empresa.
Inicialmente criada como National Commission on Fraudulent Financial Reporting (em português: Comissão Nacional sobre Fraudes em Relatórios Financeiros), essa comissão era formada por representantes das principais associações de classes de profissionais ligados à área financeira. O primeiro objeto de estudo da comissão foram os controles internos das empresas. Essa comissão posteriormente tornou-se um comitê e passou a se chamar COSO - Committee of Sponsoring Organizations of the Treadway Commission (em português: Comitê das Organizações Patrocinadoras da Comissão Treadway).
O COSO é uma organização sem fins lucrativos, dedicada a melhoria dos relatórios financeiros, sobretudo pela aplicação da ética e efetividade na aplicação e cumprimento dos controles internos e é patrocinado pelas cinco das principais associações de classe de profissionais ligados à área financeira nos EUA.
Em decorrência da globalização e padronização internacional das técnicas de auditoria, as recomendações da COSO, relativas aos controles internos, bem como seu cumprimento e observância, são amplamente praticados e tidos como modelo e referência no Brasil e na maioria dos países.
Para se ter uma ideia melhor de como a estrutura do COSO é relacionada à SOX e ao ERM, segue uma breve comparação dos modelos.
Entenda a diferença entre SOX e ERM
O processo de pensamento básico do COSO é o mesmo quando aplicado à SOX ou ao ERM, mas as informações apresentadas nas publicações associadas a cada tipo diferem conforme discutido a seguir.
O modelo SOX representa a parte da estrutura do COSO no que se refere ao ICFR (Internal Control Over Financial Reporting).
Assim, verifica-se que o framework recomendado pelo COSO no modelo SOX está focado nos resultados e relatórios financeiros. Os relatórios financeiros externos são apenas uma parte dos objetivos de relatórios financeiros de uma empresa de capital aberto e os objetivos de relatórios financeiros são uma parte do conjunto de objetivos gerais da empresa.
Já no modelo Enterprise Risk Managment (ERM), há uma camada de “definição de objetivo”, como é chamado no modelo ERM. A razão é que os objetivos de relatórios financeiros externos já estão definido pela Security Exchange Commission (SEC), equivalente à Comissão de Valores Mobiliários (CVM) no Brasil.
A SEC tem por objetivo fornecer segurança razoável em relação à confiabilidade dos relatórios financeiros, além de projetar e manter um sistema eficaz de controles internos sobre relatórios financeiros. Prevenir ou detectar, em tempo hábil, fraudes que possam afetar materialmente as demonstrações contábeis.
A tarefa da SOX é identificar os riscos que sua empresa precisa controlar e monitorar para garantir que esses objetivos sejam atingidos.
Por outro lado, o ERM requer uma aplicação mais ampla da estrutura do COSO. Ele analisa todos os objetivos da empresa (relatórios estratégicos, operacionais, de conformidade e financeiros). Os objetivos de relatórios financeiros incluem objetivos de relatórios financeiros internos e externos. O ERM é uma visão abrangente dos sistemas de governanca, objetivos, riscos, controles e monitoramento da empresa.
A SOX é um subconjunto do ERM para uma empresa de capital aberto. Além disso, no que diz respeito à SOX, não há um componente objetivo estratégico, uma vez que a SOX não é uma questão de estratégia de negócios, mas um elemento de cumprimento da lei.
Em contraste, o ERM inclui um foco nos riscos em torno da estratégia de uma empresa.
- Quanto a identificação do evento. No ERM, a estrutura do COSO possui uma camada para a identificação de eventos internos e externos que afetam a realização dos objetivos da empresa. Embora o modelo SOX não chame uma camada separada de identificação de evento, é necessário, como parte de seu processo de avaliação de risco identificar e considerar os eventos internos e externos que podem afetar os relatórios financeiros externos.
- Referente a resposta ao Risco. No ERM uma empresa identifica e avalia uma ampla gama de riscos internos e externos. Na camada de resposta ao risco da estrutura, há uma discussão das quatro maneiras de responder a um risco. Uma empresa pode evitar, aceitar, reduzir ou compartilhar um risco. Embora essas quatro opções sejam discutidas na estrutura ERM, a discussão sobre a SOX geralmente trata apenas do controle dos riscos associados ao relatório financeiro externo.
Fonte: http://www.aclordi.com/whats-the-difference-between-sox-and-erm