AMBIENTE DE CONTROLE
É o ambiente físico e virtual onde cada departamento opera suas atividades, para o COSO cada unidade de negócio está exposta a cenários diferentes de riscos, portanto, deve-se observar os eventos de riscos sob a ótica de cada ambiente de controle.
FIXAÇÃO DE OBJETIVOS
Se trata da identidade da empresa, missão, visão e valores, são definidos pela alta administração, fixar esses objetivos é importante para definição do apetite dos riscos, ou seja, para definir a gravidade dos riscos considerando a relevância dos impactos na identidade organizacional.
IDENTIFICAÇÃO DE EVENTOS
Eventos são situações em potencial, que ainda não ocorreram, mas que podem causar impacto na consecução dos objetivos da organização, caso venham a ocorrer. Eventos internos podem ser controlados pela empresa, no entanto, os eventos externos causados por mudanças políticas, ambientais tecnológicas etc. Precisam ser mensurados.
AVALIAÇÃO DE RISCO
Depois que os riscos são identificados eles deverão ser avaliados com informações relevantes à gestão como: se o risco é interno ou externo, se é estratégico, operacional, financeiro ou de conformidade, se é inerente ou residual, passar pela matriz de probabilidade x impacto para classificar a gravidade. A avaliação dos riscos necessita de interação com o planejamento estratégico da empresa, pois sempre que os objetivos fixados sofrerem alterações a avaliação do risco deve ser revisada.
RESPOSTA AO RISCO
Definir uma resposta ao risco é primeiro passo para o plano de ação, como resposta utiliza-se as classificações mais comuns: eliminar, mitigar, compartilhar, aceitar passivamente ou ativamente. Aceitar o risco é uma forma de resposta, ou seja, mesmo que a empresa “não faça nada” em relação ao risco, ainda assim responderá a ele, desde que essa inércia seja consciente.
ATIVIDADE DE CONTROLE
São os famosos controles internos estabelecidos para evitar a materialização dos riscos, são as políticas internas, uso de ferramentas, planilhas, alçadas ou procedimentos capazes de detectar ou prevenir o risco.
INFORMAÇÃO E COMUNICAÇÃO
Aqui o COSO entende que a organização deve adotar meios de comunicação sobre os riscos como: e-mails, intranet e comunicados, além disso, a organização deve adotar mecanismos de se manter informada sobre acontecimentos globais, devendo acessar canais de comunicação externa como: assinatura de revistas, podcast e artigos do ramo da atividade econômica da empresa que trazem assuntos relevantes sobre economia, política, sociedade, tecnologia, leis e possibilita identificação de eventos externos.
MONITORAMENTO
É o acompanhamento da eficiência dos controles internos, aqui aplicam-se os testes de controle que visam assegurar que os processos estão adequados aos objetivos estratégicos, ao ambiente, aos recursos e aos riscos em busca de aprimoramento dos controles e identificação de novos riscos.
CLIQUE NA IMAGEM E ME SEGUE LÁ NO INSTAGRAM