COSO a abreviao por Committee of Sponsoring Organizations of the Treadway Commission, uma organizao Norte Americana privada, fundada

a em 1985, que se dedica a desenvolver e estudar assuntos gerenciais e de governana empresarial com o intuito de fornecer linhas guia ou diretrizes para os executivos. As reas de principal interesse do COSO so Governana Corporativa, tica de Negcios, Controles Internos, Gesto de Riscos Corporativos, Fraudes e Relatrios Financeiros. Em Setembro de 1992 o COSO publicou um relatrio intitulado Internal Control - Integrated Framework (Controles Internos e Estrutura Integrada), ou ICIF. Em 2004 publicou um novo relatrio intitulada Enterprise Risk Management - Integrated Framework (Gesto de Riscos Corporativos Estrutura Integrada), ou ERMIF, que considerado uma evoluo das questes relativas aos controles internos, focado no mais amplo problema da gesto de riscos corporativos. O COSO publicou vrios outros estudos e relatrios ao longo dos anos, todos relacionados a gesto de riscos, controles internos e preveno de fraudes. A SEC (Securities and Exchange Commission) dos EUA, sugere e recomenda que as empresas adotem a estrutura de processos de controle definidos pelo COSO (ICIF) para que possam adimplir as regras definidas pela SOx (Lei Sarbanes-Oxley). Alm disso o ICIF e a estrutura COSO so um dos padres mais usados pelas companhias Norte Americanas para avaliar a prpria observncia as regras do FCPA. A clssica estrutura do COSO, descrita no ICIF, baseada em alguns conceito de base:

Os Controles Internos so um processo. Se trata de um instrumento para uma determinada finalidade. Os Controles Internos so influenciados pela pessoas. No existem somente polticas, manuais, formulrios mas sobretudo pessoas, em todos os nveis de uma organizao. Os Controles Internos podem fornecer somente uma razovel segurana, e no uma segurana absoluta, para a diretoria de uma corporao. Os Controles Internos so centrado na realizao de objetivos em uma ou mais categorias que podem ser separadas ou sobrepostas.

A estrutura descrita no ICIF do COSO consiste de cinco componentes, relacionados entre si. De acordo com o COSO, estes componentes fornecem uma estrutura efetiva para descrever e analisar o sistema de controles internos usado por uma empresa. Os componentes so os seguintes:

Ambiente de Controle (postura da organizao e conscientizao das pessoas) Avaliao de Riscos (identificao e analise de riscos relevantes para alcanar os objetivos definidos) Atividades de Controle (polticas e processos em todos os nveis para garantir a observncia das diretrizes e medidas de preveno dos riscos) Informaes e Comunicaes (fluxos das informaes e comunicaes dentro da corporao) Monitoramento (Processos de monitoramento e avaliao do sistema e dos demais processos)

Os oito componentes do ERMIF (Enterprise Risk Management) compreendem os cinco anteriores (do ICIF) ao passo que expandem o modelo de estrutura, de forma a atender a maior demanda que advm da gesto de riscos corporativos:

Ambiente interno Definio de objetivos Identificao de Eventos Avaliao de riscos Resposta a riscos Atividades de Controle Informao e Comunicao Monitoramento

Maiores informaes podem ser encontradas no site do COSO COBIT (Control Objectives for Information and related Technology ) um conjunto de diretrizes, indicadores, processos e melhores praticas para a gesto e governana dos sistemas informticos. O COBIT foi criado em 1996 nos EUA em conjunto pela Information Systems Audit and Control Association (ISACA) e pelo IT Governance Institute (ITGI). O COBIT til para gestores de TI (Tecnologia da Informao - Information Technology), usurios e auditores, ao longo dos anos se consolidou como o padro internacional para estruturas de governana e controle de TI. Vale mencionar, em contraposio, as normas ISO/IEC 27002 que tambm representam um padro internacional de melhores praticas em TI, mas que so focadas sobretudos na gesto da segurana das informaes. O COBIT, normalmente, abrange uma rea mais ampla da ISO/IEC 27002, a qual bem centrada nas questes relativas a segurana. O pacote COBIT completo, compreende os seguintes pontos:

Sumario Executivo Estrutura de Governana e Controle Objetivos de Controle Diretrizes de Gesto Guia de Implementao Guia de Seguros de TI

O COBIT est hoje na verso 4.1 (existe uma verso 5, mas no definitiva) e composto por 34 processos de alto nvel os quais cobrem 210 objetivos de controle divididos nos seguintes 4 domnios:

Planejamento e Organizao

Aquisio e Implementao Entrega e Suporte Monitoramento e Avaliao

Maiores informaes podem ser encontradas no site da ISACA