O que é o COSO ERM: dimensões, princípios e vantagens

Nos últimos anos, escândalos financeiros, crises reputacionais, ataques cibernéticos e falhas de governança expuseram a vulnerabilidade de empresas que não possuem processos sólidos de gestão de riscos. Diante desse contexto, frameworks como o COSO ERM (Enterprise Risk Management) tornaram-se essenciais para orientar organizações na construção de ambientes mais seguros, resilientes e transparentes.

Para profissionais que desejam ingressar em carreiras relacionadas a GRC (Governança, Riscos e Conformidade), compreender o COSO ERM é um passo estratégico para atuar em processos de avaliação de riscos, controles internos, compliance e auditoria.

O que é o COSO ERM?

O COSO (Committee of Sponsoring Organizations of the Treadway Commission) é uma instituição norte-americana criada em 1985 com o objetivo de promover melhores práticas de governança corporativa, controles internos e gestão de riscos. 

Assim, em 2004, o COSO publicou a primeira versão de seu framework de Enterprise Risk Management (ERM), que depois foi atualizado e passou a se chamar “COSO ERM: Integrating with Strategy and Performance” em 2017. Essa versão reforçou o entendimento de que a gestão de riscos deve ser alinhada à cultura e integrada à estratégia, à execução e ao desempenho organizacionais, deixando de ser apenas um processo operacional.

Embora a versão de 2017 seja a mais atual e completa, os 8 componentes clássicos a seguir, publicados em 2004, ainda são amplamente estudados e ajudam a entender o processo do framework:

1. Ambiente interno
2. Fixação de objetivos
3. Identificação de eventos
4. Avaliação de risco
5. Resposta a risco
6. Atividades de controle
7. Informação e comunicação
8. Monitoramento
   

Na prática, o COSO ERM ajuda empresas a transformar a gestão de riscos em um instrumento de tomada de decisão, e não apenas em uma obrigação regulatória ou processo burocrático. Por isso, atualmente ele é uma das principais referências em auditoria e controles internos, compliance, gestão de riscos corporativos e governança.

As dimensões e os princípios do COSO ERM (2017)

A versão de 2017 reestruturou o framework a partir de cinco dimensões e 20 princípios fundamentais. Essas dimensões guiam a implementação de uma gestão de riscos moderna, abrangente e integrada, como descrito a seguir:

1. Governança e Cultura

A primeira dimensão compreende os elementos que sustentam o ambiente de governança e determinam como a organização pensa e se comporta em relação aos riscos. Ela inclui cinco princípios:

• Exercício da supervisão do board: o conselho precisa supervisionar e incentivar uma cultura de gestão de riscos.
• Estabelecimento da estrutura operacional: papéis e responsabilidades devem estar claros.
• Definição da cultura organizacional: valores, comportamentos e normas que influenciam decisões.
• Demonstração de compromisso com os valores.
• Atração, desenvolvimento e retenção de talentos.
  

2. Definição da Estratégia e Estabelecimento de Objetivos

O COSO ERM reforça que os riscos não devem ser avaliados apenas depois da estratégia definida. Pelo contrário, a estratégia precisa considerar riscos desde sua formulação, incluindo:

• Análise de contexto interno e externo: compreender fatores do meio que influenciam riscos e decisões.
• Definição do apetite ao risco: nível de risco aceitável que a organização está disposta a assumir.
• Avaliação de alternativas estratégicas: analisar riscos antes de escolher um caminho estratégico.
• Formulação dos objetivos empresariais: traduzir a estratégia em metas claras e mensuráveis.
  

3. Performance

A dimensão de performance é o coração operacional do COSO ERM. Trata-se de identificar, avaliar e priorizar riscos que podem afetar os objetivos definidos. Seus princípios são:

• Identificação de riscos: elaboração de matrizes de riscos.
• Avaliação da severidade dos riscos (probabilidade, impacto, velocidade, persistência): análises qualitativas e quantitativas.
• Priorização dos riscos: estabelecimento de critérios de urgência.
• Seleção de respostas ao risco: aceitar, mitigar, evitar, compartilhar ou buscar o risco.
• Desenvolvimento do portfólio de riscos: entender riscos em conjunto e não isoladamente.
  

4. Revisão e Monitoramento

Nenhum sistema de gestão de riscos é estático, pois, à medida que a organização evolui, novos riscos surgem e outros desaparecem. Por isso, o COSO ERM inclui uma dimensão dedicada à revisão e melhoria contínua, cujos princípios são:

• Monitoramento contínuo dos riscos e do ambiente.
• Revisão de desempenho: comparar expectativas com resultados.
• Modificação da gestão de riscos conforme mudanças no contexto empresarial.
  

5. Informação, Comunicação e Relatórios

A última dimensão destaca a importância da comunicação para que a gestão de riscos seja efetiva, o que inclui:

• Valorização de informações e tecnologia: garantir que os responsáveis pelo GRC (Governança, Riscos e Conformidade) tenham acesso a todas as informações necessárias, utilizando a tecnologia a seu favor para conectar todas as partes.
• Comunicação interna eficaz sobre os riscos: todos na empresa devem compreender quais são os riscos e como o seu trabalho pode afetá-los.
• Comunicação externa com stakeholders (reguladores, investidores, parceiros etc.): relatórios sobre riscos, cultura e performance, já que a documentação é essencial para ter mais eficiência nos processos.
  

Vantagens do COSO ERM para a gestão de riscos corporativos

O COSO ERM oferece uma série de benefícios que fortalecem a governança e aumentam a competitividade das organizações, tais como:

• Integração com a estratégia: ao integrar a gestão de riscos diretamente à formulação e execução das estratégias, o COSO ERM permite antecipar riscos, avaliar diferentes cenários e impactos e ainda direcionar investimentos para oportunidades com risco controlado.
• Visão não fragmentada: o framework incentiva a organização a observar seus riscos de maneira ampla e integrada, considerando interdependências entre áreas, impactos sistêmicos, efeitos em cascata e riscos emergentes. 
• Fortalecimento da governança corporativa: ao atribuir papéis e responsabilidades claros, o COSO ERM melhora a governança, permitindo uma maior participação do conselho de administração, maior alinhamento entre liderança e equipes, além de clareza sobre quem decide, quem monitora e quem executa.
• Comunicação mais clara e eficiente: ao priorizar a comunicação interna e externa, o framework reduz ruídos e aumenta a transparência, o que aumenta a confiança de investidores, credibilidade perante reguladores, alinhamento operacional, além de previsibilidade no cumprimento de metas.
  

Conclusão

Para quem está iniciando na área de GRC, compreender o COSO ERM é tão fundamental quanto dominar conceitos básicos de finanças ou direito empresarial. Trata-se de um framework robusto, amplamente aceito e capaz de orientar processos de gestão de riscos em qualquer tipo de organização.

Seu diferencial está na abordagem integrada entre cultura e valores, estratégia, riscos e desempenho, permitindo que as empresas não apenas evitem perdas, mas também identifiquem oportunidades e se tornem mais competitivas.

Assim, ao aplicar o COSO ERM, organizações conseguem fortalecer sua governança, antecipar ameaças, melhorar a tomada de decisão, potencializar resultados e aumentar a transparência e a confiança do mercado.

Perguntas frequentes sobre o COSO ERM

💡Quer saber mais sobre COSO ERM? Confira as fontes consultadas para este artigo:

• ACCA. (2021). COSO's enterprise risk management framework. ACCA. Disponível em: https://www.accaglobal.com/gb/en/student/exam-support-resources/professional-exams-study-resources/strategic-business-leader/technical-articles/coso-enterprise-risk-management-framework.html#main
• Assessoria Especial de Controle Interno. (2024). METODOLOGIA DE GESTÃO DE RISCOS ESTRATÉGICOS. Ministério das Cidades. Disponível em: https://www.gov.br/cidades/pt-br/acesso-a-informacao/acoes-e-programas/governanca/gestao-de-riscos-e-controles-internos/arquivos/Metodologia_de_Gestao_de_Risco_Estrategico_final.pdf
• Be Compliance. (2020). No que consiste o COSO – ERM? Be Compliance. Disponível em: https://becompliance.com/no-que-consiste-o-coso-erm/
• Escola Nacional de Administração Pública (Enap). (2018). Implementando a Gestão de riscos no setor público: Módulo 2 Estrutura do COSO ERM. Escola Nacional de Administração Pública (Enap). Disponível em: https://repositorio.enap.gov.br/jspui/bitstream/1/4089/1/Modulo%202-Estrutura%20do%20COSO%20ERM.pdf 
• Society of Corporate Compliance and Ethics & Health Care Compliance Association (SCCE & HCCA). (2020). Compliance Risk Management: Applying the COSO ERM Framework. Committee of Sponsoring Organizations of the Treadway Commission (COSO). Disponível em: https://www.coso.org/erm-framework