ISO 31000 e COSO – Gestão de Riscos: Entendendo as Referências

ISO 31000 e COSO – Gestão de Riscos: Entendendo as Referências

A gestão de risco é uma prática essencial para empresas de todos os tamanhos e setores, e existem várias referências importantes que podem orientar sua implementação. Duas dessas referências amplamente reconhecidas são a ISO 31000 e COSO.

Neste artigo, exploraremos essas referências, suas características e como elas podem ser aplicadas de forma harmoniosa para fortalecer a gestão de risco em sua organização. Duas dessas referências amplamente reconhecidas são a ISO 31000 e COSO.

 

ISO 31000: Uma Norma Internacional Genérica

A ISO 31000 é uma norma internacional amplamente conhecida no campo da gestão de risco. Ela faz parte do arcabouço normativo da ISO e abrange uma variedade de normas relacionadas à qualidade, meio ambiente, saúde, segurança, informação e conformidade. Diferente de uma norma de requisitos, a ISO 31000 é uma norma de diretrizes, o que significa que não é certificável. Ela fornece indicações que podem ser adotadas pela organização de acordo com suas necessidades e liberdade para adaptar e encontrar soluções alternativas.

A ISO 31000 foi projetada para ser genérica, visando atender empresas de diferentes tamanhos e setores. Ela abrange riscos de diversas naturezas, permitindo a adoção de qualquer tipo de risco dentro de sua estrutura. Embora a norma não estabeleça tratativas específicas para os riscos, ela destaca a importância de estabelecer ações para reduzi-los e mitigá-los quando ocorrerem.

 

COSO: Gerenciamento de Riscos Financeiros e de Compliance

O COSO, abreviação de Committee of Sponsored Organization, é outra referência amplamente utilizada por empresas que desejam gerenciar riscos financeiros e de compliance. O COSO foi estabelecido como resposta a escândalos de corrupção ocorridos nas décadas de 1960 e 1970, especialmente nos Estados Unidos.

Assim como a ISO 31000, o COSO enfatiza a necessidade de identificar e gerenciar riscos. No entanto, o COSO vai além, estabelecendo uma estrutura que divide o tratamento de riscos em três linhas de defesa. Enquanto a ISO 31000 não define as abordagens específicas para o tratamento dos riscos, o COSO estabelece uma estrutura conhecida como “modelo das três linhas de defesa”.

 

O Modelo das Três Linhas de Defesa

O COSO divide o tratamento de riscos em três linhas de defesa distintas:

Primeira linha de defesa: consiste nos controles aplicados nos processos em que os riscos ocorrem. Por exemplo, uma área financeira pode ter controles internos específicos para mitigar riscos financeiros.

Segunda linha de defesa: envolve controles realizados por outros processos, que monitoram e controlam as atividades da primeira linha de defesa. Por exemplo, um departamento de controle interno pode verificar os balanços de entradas e saídas de processos financeiros.

Terceira linha de defesa: refere-se a um processo independente, geralmente uma auditoria interna, que não está diretamente relacionado às outras duas linhas de defesa. Esse processo realiza auditorias para verificar se os riscos financeiros foram adequadamente implementados e controlados.

 

ISO 45001: Hierarquia de Cinco Níveis de Controle

Além da ISO 31000 e COSO, existe outra referência relevante para a gestão de riscos, a ISO 45001. Essa norma trata especificamente de gestão de riscos em saúde e segurança ocupacional. Diferentemente do COSO, que utiliza o modelo das três linhas de defesa, a ISO 45001 apresenta uma hierarquia de cinco níveis de controle para o tratamento de riscos.

Essa hierarquia pressupõe a eliminação do risco como o controle preferencial. Caso isso não seja possível, são sugeridos controles que reduzam ou modifiquem o risco, incluindo controles de engenharia, controles administrativos e controles de atenuação dos efeitos.

 

Conclusão

Embora a ISO 31000 e COSO e a ISO 45001 tenham abordagens e estruturas diferentes para a gestão de risco, elas não são contraditórias. Na verdade, essas referências se complementam e podem ser implantadas de maneira harmoniosa. É importante simplificar e adaptar as abordagens às necessidades específicas de sua organização.

Tanto a ISO 31000 quanto o COSO passam por etapas semelhantes, como a identificação do contexto da organização, a seleção dos principais cenários de risco e o tratamento dos riscos, seguido pelo aprendizado contínuo e aprimoramento do sistema de gestão de risco.

Ao compreender e utilizar essas referências de forma integrada, sua organização estará melhor preparada para enfrentar os desafios e garantir a eficácia de sua gestão de risco.

Quer saber mais sobre esse tema? Confira as dicas do Flavio Oliveira, nosso instrutor do curso de Certified Risk Professional ISO 31000:2018 nesse vídeo no nosso canal do YouTube.

QMS Certification

QMS Certification

A QMS Certification é um organismo de certificação internacional acreditado que atua especificamente com certificação de sistemas de gestão e treinamentos de normas aplicáveis.

Webinar do mês

Confira nossos conteúdos ao vivo!

Todo mês ensinamos ao novo gratuitamente, confira e se inscreva!

Nos webinars que você assistir ao vivo, há liberação de um certificado de participação ;)

Logo Q Academy Branco

Cursos online de
Sistemas de Gestão

Tratamento de Não Conformidades: Análise de Causa

Tratamento de Não Conformidades: Análise de Causa

No universo da gestão de qualidade, um dos aspectos mais cruciais é o tratamento eficaz de não conformidades. A análise de causa é um procedimento indispensável nesse contexto, proporcionando um caminho para evitar sua recorrência. Saiba mais!

Guia Completo Acreditação ONA

[Guia Completo] Acreditação ONA

Em 1 de março de 2024 a QMS adquiriu a TS4 Saúde e agora atua como uma instituição acreditadora credenciada (IAC) ONA. Mas afinal, o que é ONA?