Neste artigo, exploraremos essas referências, suas características e como elas podem ser aplicadas de forma harmoniosa para fortalecer a gestão de risco em sua organização. Duas dessas referências amplamente reconhecidas são a ISO 31000 e COSO.
ISO 31000: Uma Norma Internacional Genérica
A ISO 31000 é uma norma internacional amplamente conhecida no campo da gestão de risco. Ela faz parte do arcabouço normativo da ISO e abrange uma variedade de normas relacionadas à qualidade, meio ambiente, saúde, segurança, informação e conformidade. Diferente de uma norma de requisitos, a ISO 31000 é uma norma de diretrizes, o que significa que não é certificável. Ela fornece indicações que podem ser adotadas pela organização de acordo com suas necessidades e liberdade para adaptar e encontrar soluções alternativas.
A ISO 31000 foi projetada para ser genérica, visando atender empresas de diferentes tamanhos e setores. Ela abrange riscos de diversas naturezas, permitindo a adoção de qualquer tipo de risco dentro de sua estrutura. Embora a norma não estabeleça tratativas específicas para os riscos, ela destaca a importância de estabelecer ações para reduzi-los e mitigá-los quando ocorrerem.
COSO: Gerenciamento de Riscos Financeiros e de Compliance
O COSO, abreviação de Committee of Sponsored Organization, é outra referência amplamente utilizada por empresas que desejam gerenciar riscos financeiros e de compliance. O COSO foi estabelecido como resposta a escândalos de corrupção ocorridos nas décadas de 1960 e 1970, especialmente nos Estados Unidos.
Assim como a ISO 31000, o COSO enfatiza a necessidade de identificar e gerenciar riscos. No entanto, o COSO vai além, estabelecendo uma estrutura que divide o tratamento de riscos em três linhas de defesa. Enquanto a ISO 31000 não define as abordagens específicas para o tratamento dos riscos, o COSO estabelece uma estrutura conhecida como “modelo das três linhas de defesa”.
O Modelo das Três Linhas de Defesa
O COSO divide o tratamento de riscos em três linhas de defesa distintas:
Primeira linha de defesa: consiste nos controles aplicados nos processos em que os riscos ocorrem. Por exemplo, uma área financeira pode ter controles internos específicos para mitigar riscos financeiros.
Segunda linha de defesa: envolve controles realizados por outros processos, que monitoram e controlam as atividades da primeira linha de defesa. Por exemplo, um departamento de controle interno pode verificar os balanços de entradas e saídas de processos financeiros.
Terceira linha de defesa: refere-se a um processo independente, geralmente uma auditoria interna, que não está diretamente relacionado às outras duas linhas de defesa. Esse processo realiza auditorias para verificar se os riscos financeiros foram adequadamente implementados e controlados.
ISO 45001: Hierarquia de Cinco Níveis de Controle
Além da ISO 31000 e COSO, existe outra referência relevante para a gestão de riscos, a ISO 45001. Essa norma trata especificamente de gestão de riscos em saúde e segurança ocupacional. Diferentemente do COSO, que utiliza o modelo das três linhas de defesa, a ISO 45001 apresenta uma hierarquia de cinco níveis de controle para o tratamento de riscos.
Essa hierarquia pressupõe a eliminação do risco como o controle preferencial. Caso isso não seja possível, são sugeridos controles que reduzam ou modifiquem o risco, incluindo controles de engenharia, controles administrativos e controles de atenuação dos efeitos.
Conclusão
Embora a ISO 31000 e COSO e a ISO 45001 tenham abordagens e estruturas diferentes para a gestão de risco, elas não são contraditórias. Na verdade, essas referências se complementam e podem ser implantadas de maneira harmoniosa. É importante simplificar e adaptar as abordagens às necessidades específicas de sua organização.
Tanto a ISO 31000 quanto o COSO passam por etapas semelhantes, como a identificação do contexto da organização, a seleção dos principais cenários de risco e o tratamento dos riscos, seguido pelo aprendizado contínuo e aprimoramento do sistema de gestão de risco.
Ao compreender e utilizar essas referências de forma integrada, sua organização estará melhor preparada para enfrentar os desafios e garantir a eficácia de sua gestão de risco.
Quer saber mais sobre esse tema? Confira as dicas do Flavio Oliveira, nosso instrutor do curso de Certified Risk Professional ISO 31000:2018 nesse vídeo no nosso canal do YouTube.
