Quando se trata de gerenciamento de riscos, a ISO 31000 vs COSO são os dois padrões mais conhecidos. O principal objetivo desta disciplina é ajudar as empresas a tomar decisões corretas e alcançar objetivos estratégicos, seja aplicando estes padrões de maneira isolada, de maneira combinada, ou até mesmo aplicando diferentes padrões.
O propósito da gestão de riscos não é evitar que a empresa não enfrente nenhuma adversidade, mas sim que ela tenha sucesso. Todas as organizações enfrentam riscos enquanto buscam por seus objetivos. Estes dois padrões se propõem a ajudar as organizações a assumirem os riscos certos no nível certo.
Depois desta breve introdução, vamos conhecer as principais semelhanças e diferenças entre os dois principais padrões de gerenciamento de risco.
As principais semelhanças entre a ISO 31000 vs COSO
Apesar da origem diferente, ISO 31000 vs COSO compartilham algumas semelhanças:
1. Estímulo ao gerenciamento de riscos
As organizações ganham dinheiro assumindo riscos e perdem dinheiro quando não gerenciam os riscos que assumem. Por isso, os dois padrões também estimulam as organizações a assumir riscos, ou seja, aqueles que acontecem com frequência e se tornam cada vez mais relevantes.
2. Padrões não certificáveis
Tanto a ISO 31000 quanto o COSO são padrões apenas orientativos. São diferentes da ISO 9001 por exemplo, que é um padrão certificável. Cabe a cada empresa compreender as diretrizes e implementá-las, levando em conta seus aspectos culturais e suas necessidades.
3. Atualização recente
Os dois padrões são bem recentes, sendo que a última versão do COSO foi lançada em 2017 e a da ISO 31000 em 2018. Eles trazem melhorias que simplificam sua compreensão e implementação, além de atender as mais recentes demandas de mercado.
4. Gestão de riscos na tomada de decisão
A incorporação do risco no processo de tomada de decisões da organização é uma parte fundamental para garantir que a organização esteja assumindo os riscos certos na quantidade certa. Tanto a ISO 31000 como o COSO mencionam a importância.
As principais diferenças entre a ISO 31000 vs COSO
O volume de diferenças entre a ISO 31000 vs COSO é maior que o volume de semelhanças. Por esta razão, muitos sistemas de gestão de riscos seguem os dois padrões de forma combinada:
1. Estrutura
A ISO 31000:2018 foi desenvolvida por uma organização de padrões internacionais, por isso segue uma estrutura mais padronizada. A norma é bem objetiva, possui apenas 16 páginas.
Já o COSO, tem mais de 100 páginas. Ele inclui mais recursos visuais e não segue nenhum tipo de padrão “estrutural” comum.
2. Origem
O processo de desenvolvimento da ISO 31000:2018 contou com a participação de membros de mais de 70 países. No caso do COSO, a maior parte das contribuições veio dos Estados Unidos através da PricewaterhouseCoopers, uma das maiores prestadoras de serviços nas áreas de auditoria e consultoria.
3. Público-alvo
Apesar da versão mais recente do COSO ter uma ênfase maior em estratégia, a verdade é que o padrão é mais voltado para fins de contabilidade e auditoria, por isso foi criado buscando atender as necessidades dos auditores. Já a ISO 31000 surgiu envolvendo pessoas de diferentes áreas e com diferentes necessidades de gestão de riscos. Muitas organizações já contam com outros sistemas de gestão baseados na ISO, por isso acabam optando pela ISO 31000.
4. Foco
Novamente, devido a sua origem, o COSO se concentra mais na governança corporativa, enquanto a ISO 31000 se concentra quase exclusivamente no risco e o incorpora ao processo de planejamento estratégico.
5. Estrutura e Processos
A ISO fornece uma distinção clara entre os conceitos de Estrutura e Processo. Embora o processo que ela apresenta ainda seja muito simples, ela entra em detalhes sobre identificação e avaliação de riscos.
Já o COSO combina esses dois conceitos. No entanto, apenas um dos cinco componentes do framework menciona o processo de gerenciamento de risco.
6. Apetite por risco
A primeira versão da ISO 31000 lançada em 2009 não tratava do conceito de apetite ao risco. A versão 2018 menciona brevemente o tópico de “critérios” de risco, e usa terminologia diferente de outros recursos. A versão 2017 do COSO discute o apetite de risco com muito mais amplitude e fornece muitos exemplos visuais dos conceitos de apetite, tolerância e capacidade de risco.
7. Riscos vs Alcance dos Objetivos
Embora a versão de 2017 do COSO se concentre mais no alcance de objetivos, muitos entendem que ainda está incentivando a “busca” ao risco ou é centrada no risco. O propósito da gestão de riscos é criar e proteger valor, não minimizar riscos. Embora não seja o nível que muitos gostariam, a ISO 31000 coloca maior ênfase em ajudar a organização a atingir seus objetivos, em vez de simplesmente evitar consequências negativas dos riscos.
Esta não é uma lista definitiva. Uma análise mais detalhada revelaria ainda outras semelhanças e diferenças.
É importante reforçar que não há um padrão melhor ou mais recomendado. É preciso conhecer ambos para entender como eles podem ser aplicados de acordo com as necessidades e a cultura de sua empresa.
Você se interessou em aprender mais sobre Gestão de Riscos depois de ler este artigo? Então convido você a conhecer outros conteúdos que nós já elaboramos sobre este assunto aqui no blog!
- Como aprimorar a gestão da governança, riscos e conformidade
- 5 fatores críticos para um programa de Control Self-Assessment (CSA) eficaz
- 8 tópicos importantes da ISO 31000, versão 2018
