Artigo
01/06/2023
Atualizado em 10/04/2026

Coso: Estrutura e Componentes de Gerenciamento de Riscos Corporativos

A estrutura COSO oferece uma abordagem integrada com oito componentes para identificar, avaliar e gerenciar riscos, alinhando-os aos objetivos estratégicos e regulatórios das organizações.

Imagem de capa do artigo

O ambiente corporativo está repleto de diversas fontes de riscos, desde ameaças financeiras, riscos operacionais, até desafios regulatórios e reputacionais, as organizações precisam de sistemas robustos e eficazes para gerenciar adequadamente esses riscos.

Queria então comentar sobre uma abordagem amplamente conhecida e adotada, que é a do COSO, que significa: "Committee of Sponsoring Organizations of the Treadway Commission".

O COSO é uma organização privada dos Estados Unidos, patrocinada e formada por outras cinco organizações profissionais, incluindo o American Institute of Certified Public Accountants (AICPA) e o Institute of Management Accountants (IMA), que foi fundada em 1985 para orientar as empresas em torno de aspectos críticos do negócio, como governança corporativa, controles internos, gestão de fraudes e, evidentemente, gestão de riscos corporativos.

O COSO desenvolveu uma estrutura de gerenciamento de riscos corporativos, frequentemente referida como a "Estrutura COSO", que foi desenhada para ajudar as organizações a entender e lidar com os riscos importantes para a realização de seus objetivos.

Esta estrutura de gerenciamento de riscos corporativos do COSO é constituída de oito componentes inter-relacionados que refletem a forma como a gestão da organização é conduzida.

Acredito de que a estrutura do COSO e seus componentes são essenciais para muitas organizações por vários motivos, começando em primeiro lugar, porque proporciona uma abordagem sistemática e estruturada para identificar e gerenciar riscos. Depois em segundo lugar, porque promove a transparência e a responsabilidade, facilitando a compreensão dos riscos e a tomada de decisões informadas. Por fim, mas não menos importante em terceiro, a implementação da estrutura do COSO pode melhorar a eficiência operacional ao identificar e mitigar riscos que poderiam interferir no alcance dos objetivos organizacionais.

Os componentes do COSO são usados em diversas áreas da gestão corporativa, desde a gestão financeira até a gestão de recursos humanos e a governança de TI. Eles são aplicáveis a organizações de todos os tamanhos e em todas as indústrias, públicas ou privadas. No entanto, sua aplicação é especialmente crítica em setores altamente regulamentados, como o financeiro e o de saúde, onde a falha em gerenciar riscos pode ter graves consequências legais e reputacionais.

A Estrutura COSO representa uma abordagem integrada para o gerenciamento de riscos corporativos e é estruturada em torno de três dimensões principais: objetivos, componentes e unidades organizacionais.

1) Objetivos:

A Estrutura COSO estabelece três categorias de objetivos, que formam o eixo vertical da matriz do COSO:

1.A) Objetivos Estratégicos:

Estes são objetivos de alto nível, alinhados com a missão da organização e o plano estratégico global.

1.B) Objetivos de Operações:

Estes são objetivos que se referem à eficácia e eficiência das operações da organização, incluindo o desempenho financeiro e não financeiro.

1.C) Objetivos de Relatórios:

Estes se referem à confiabilidade, integridade e precisão dos relatórios da organização.

1.D) Objetivos de Conformidade:

Estes se referem ao cumprimento das leis e regulamentos aplicáveis à organização.

2) Componentes:

Os componentes formam o eixo horizontal da matriz do COSO e são os oito componentes de gerenciamento de riscos corporativos, que vou detalhar mais abaixo composta de: ambiente interno, fixação de objetivos, identificação de eventos, avaliação de riscos, resposta a riscos, atividades de controle, informações e comunicações e monitoramento.

3) Unidades Organizacionais:

Este eixo se refere às várias entidades dentro da organização, desde o nível da empresa como um todo até as divisões, unidades de negócios, subsidiárias ou outras partes da organização.

A interseção dessas três dimensões cria uma série de células ou "pontos de foco" onde o gerenciamento de riscos deve ser aplicado. Cada célula na matriz representa um objetivo único a ser alcançado dentro de uma unidade organizacional específica, usando um ou mais dos componentes do COSO.

A matriz do COSO ajuda as organizações a visualizar e entender como o gerenciamento de riscos corporativos é aplicado em toda a organização e como os diferentes componentes e objetivos interagem e se sobrepõem. Também pode ajudar a identificar áreas onde o gerenciamento de riscos pode estar faltando ou ser insuficiente e onde melhorias ou reforços podem ser necessários.

Queria então agora falar abaixo em mais detalhes sobre cada um desses 8 componentes (ou dimensões de um cubo do Coso que depois explico em outro post):

1) Ambiente Interno:

O ambiente interno determina a maneira como a organização percebe e aborda os riscos. É onde a administração estabelece uma filosofia de gestão de riscos, determinando o limite de apetite a risco. Esse ambiente é moldado pelos atributos individuais dos funcionários, como integridade, valores éticos e competência, bem como pelo ambiente de trabalho em que operam. É essencial que haja um alinhamento claro entre a cultura da empresa, a estratégia de negócios e a abordagem para gerenciar riscos.

2) Fixação de Objetivos:

A fixação de objetivos é o segundo componente crucial da gestão de riscos. Antes de identificar riscos potenciais, a organização deve ter objetivos claros. O gerenciamento de riscos corporativos assegura que a gestão estabelece um processo para definir esses objetivos e que eles estejam alinhados com a missão da organização e sejam compatíveis com o apetite a risco.

3) Identificação de Eventos:

A identificação de eventos é o processo de reconhecer eventos internos e externos que podem impactar a realização dos objetivos organizacionais. Esses eventos podem ser diferenciados em riscos, oportunidades, ou ambos. As oportunidades são canalizadas à alta administração, que definirá as estratégias ou os objetivos.

4) Avaliação de Riscos:

Uma vez identificados, os riscos devem ser avaliados quanto à sua probabilidade de ocorrência e ao impacto potencial sobre os objetivos da organização. Os riscos são avaliados considerando-se os efeitos inerentes e residuais. Essa análise permite à gestão entender melhor o perfil de risco da organização e tomar decisões informadas sobre a abordagem a ser adotada para gerenciá-los.

5) Resposta a Risco:

A resposta ao risco envolve identificar e avaliar possíveis respostas aos riscos, que podem incluir evitar, aceitar, reduzir ou compartilhar o risco. A gestão seleciona a ação mais adequada para alinhar os riscos com a tolerância ao risco e o apetite a risco da organização.

6.)Atividades de Controle:

As atividades de controle referem-se às políticas e procedimentos estabelecidos para garantir que as respostas aos riscos selecionados pela administração sejam executadas de maneira eficaz. Isso pode incluir controles internos, como procedimentos operacionais, auditorias internas e controles de acesso.

7) Informações e Comunicações:

Um sistema eficaz de informações e comunicações é vital para o GRC. Ele garante que informações relevantes sejam identificadas, coletadas e comunicadas de maneira oportuna, permitindo que os funcionários cumpram suas responsabilidades. A comunicação eficaz é caracterizada por um fluxo claro de informações em todas as direções da organização e pela clareza das funções e responsabilidades dos funcionários.

8) Monitoramento:

O monitoramento envolve a supervisão contínua do processo de gerenciamento de riscos corporativos e a realização de alterações conforme necessário. Por meio do monitoramento, a organização pode responder proativamente e se adaptar às mudanças nas circunstâncias. O monitoramento é realizado por meio de atividades gerenciais contínuas, avaliações independentes ou uma combinação desses dois procedimentos.

Como podemos ver acima, a estrutura do COSO fornece uma abordagem abrangente e integrada para o gerenciamento de riscos corporativos. Adotar e implementar esses componentes da gestão de riscos pode ajudar as organizações a identificar, avaliar e gerenciar efetivamente os riscos, garantindo o alinhamento com seus objetivos estratégicos e a conformidade com as normas regulatórias.

Queria dar algumas dicas de livros sobre o tema para quem deseja se aprofundar mais:

1) Gestão de Riscos com Controles Internos: Ferramentas, Certificações e Métodos para garantir a eficácia empresarial de Claudio Dias Lopes.

Este livro é uma referência abrangente sobre a aplicação prática de controles internos e gerenciamento de riscos em organizações, com uma forte ênfase no COSO. Ele descreve em detalhes as várias componentes do COSO e como elas se aplicam em várias situações. Este livro é recomendado para profissionais de controles internos, auditores, CFOs e qualquer pessoa envolvida no gerenciamento de riscos corporativos.

2) Controles Internos e Cultura Organizacional: Como consolidar a confiança na gestão de Sandro Jeger.

Este livro aborda a importância de uma sólida cultura organizacional na implementação eficaz dos controles internos. Ele também discute o papel do COSO na promoção de uma cultura de controles internos. É um livro útil para líderes de negócios e gestores interessados em fortalecer a cultura de controle e gerenciamento de riscos em suas organizações.

3) Auditoria: Abordagem Moderna e Completa de William C. Boynton e Raymond N. Johnson.

Embora não seja estritamente sobre o COSO, este livro dedica várias seções à discussão do COSO e seu papel na auditoria interna. Ele cobre o processo de auditoria do início ao fim e mostra como a estrutura do COSO pode ser usada para melhorar a qualidade e a eficácia da auditoria. Este livro é indicado para auditores internos e externos, bem como para estudantes de auditoria e contabilidade.

É importante destacar que, apesar de existirem poucos livros escritos originalmente em português especificamente sobre o COSO, há muitos outros livros excelentes sobre o assunto escritos em inglês e que foram traduzidos para o português.

Também existem muitos recursos online e cursos de formação que podem ser úteis para aqueles que desejam aprender mais sobre o COSO e sua aplicação no gerenciamento de riscos corporativos.

Podem baixar o documento do COSO pelo seguinte link abaixo:

https://media.licdn.com/dms/document/media/D4D1FAQF5nKjm_2D6FQ/feedshare-document-pdf-analyzed/0/1684766705958?e=1686787200&v=beta&t=W31tlDbhA8lMvuKgq0CbD9HWJJ9ksXQ7VhbMF8pM

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante