Novo COSO ERM:

Gerenciamento de Riscos Corporativos – Integrado com Estratégia e Performance

Redatores: Jerri Ribeiro, Jorge Manoel, Luciana Bacci e Mercedes Stinco

Janeiro de 2019

Definição do novo COSO ERM para gerenciamento de riscos corporativos: “cultura,

competências e práticas, integradas à definição de estratégia e sua execução, em que a
organização se apoia para gerenciar os riscos na criação, preservação e realização de
valor”1 .

1. I NTRODUÇÃO

O presente trabalho tem como objetivo discutir as principais mudanças trazidas pela publicação
Enterprise Risk Management – Integrating with Strategy and Performance (COSO ERM) e seu impacto na
governança corporativa das organizações. O novo documento foi lançado em setembro de 2017 e substituiu a
versão de 2004.

A atualização do COSO ERM visa atender às demandas do mercado que o documento anterior não
contemplava por serem decorrentes de mudanças econômicas, sociais e tecnológicas posteriores à publicação
de sua versão de 2004. Essa nova edição também tem o objetivo de atender à demanda dos conselhos de
administração (CA), com uma abordagem que busca integrar o gerenciamento de riscos à estratégia e à
performance.

Entre as principais demandas, citamos as expectativas dos conselhos de administração em relação às

práticas de gerenciamento de riscos corporativos existentes nas organizações e a capacidade de responder às
mudanças ocorridas nos últimos anos, tais como: (i) alta complexidade das estruturas de governança das
empresas, que estão cada vez mais globais e diversificadas ; (ii) desafios trazidos por mudanças tecnológicas
sem precedentes, com impactos ainda não conhecidos nos negócios; (iii) grande volume de riscos

1 Committee of Sponsoring Organizations of the Treadway Commission (COSO), Enterprise Risk Management – Integrating with
Strategy and Performance, 2017. Disponível em: <http://www.coso.org>. Acesso em: 23 nov. 2018 (tradução dos autores).
1
* Este documento reflete a opinião de grupo de trabalho, composto de membros das comissões de Comunicação e Mercado de
Capitais, Finanças e Contabilidade e de Gerenciamento de Riscos Corporativos do IBGC, e não necessariamente a do instituto.
significativos que têm se materializado nos últimos anos, muitos deles associados a erros estratégicos; e (iv)
desalinhamento entre missão, visão e valores da organização e suas escolhas estratégicas.

Diante desse cenário de aumento de complexidade e mudanças tecnológicas cada vez mais rápidas, os
stakeholders (partes interessadas) buscam mais transparência e prestação de contas de organizações e seus
administradores. O mesmo se aplica aos reguladores, que por meio de novas normas apresentam requisitos
para as estruturas de governança das organizações e para a divulgação de informações ao mercado. Entre os
exemplos, citamos a Lei n. 13.303/2016 (“Lei das Estatais”) e o regulamento atualizado do Novo Mercado, que
apresentam requisitos relacionados à estrutura de gerenciamento de riscos das organizações . Também
destacamos a Instrução CVM 586/2017, que trata, entre outros fatores, da divulgação de informações sobre
as estruturas de gerenciamento de riscos das companhias abertas.

2. PRINCIPAIS MUDANÇAS DO NOVO COSO ERM: I NTEGRANDO O GERENCIAMENTO DO RISCO À ESTRATÉGIA

E À PERFORMANCE

O novo framework do COSO ERM traz diversas mudanças que merecem a atenção dos agentes de
governança e profissionais de riscos das organizações, o que nos leva a recomendar sua leitura e estudo
aprofundado. Destacamos algumas que têm potencial de trazer importantes benefícios às estruturas de
governança das organizações e causar impactos consideráveis quando de sua implementação:

i. Nova estrutura alinhada ao ciclo de vida dos negócios: o framework foi desenvolvido a partir da
perspectiva do negócio e está organizado em componentes e princípios alinhados ao ciclo de vida dos
negócios, tornando a discussão sobre riscos mais intuitiva para todos os participantes do processo.
Seus componentes são: governança e cultura; estratégia e definição de objetivos; performance; análise
e revisão; e informação, comunicação e divulgação2.

ii. Integração dos riscos com a estratégia: o estudo aborda as discussões dos riscos relacionados à
estratégia sob três aspectos: (a) as implicações da estratégia escolhida e as alternativas a essa escolha;
(b) a possibilidade de a estratégia não estar alinhada com a missão, a visão e os valores fundamentais
da organização; e (c) o risco relacionado aos objetivos de negócio e às metas de performance. De
acordo com pesquisa publicada na revista Strategy+Business, “81% das maiores perdas de valor para
acionistas num período de dez anos são atribuídas a erros estratégicos”3.

2Ibidem.
3 Christopher Dann, Matthew Le Merle e Christopher Pencavel, “The Lesson of Lost Value”, Strategy+Business, n. 69, 27 nov. 2012.
Disponível em: <https://www.strategy-business.com/article/00146 >. Acesso em: 23 nov. 2018 (tradução dos autores).
2
* Este documento reflete a opinião de grupo de trabalho, composto de membros das comissões de Comunicação e Mercado de
Capitais, Finanças e Contabilidade e de Gerenciamento de Riscos Corporativos do IBGC, e não necessariamente a do instituto.
 iii. Governança: a publicação traz reflexões importantes sobre os papéis e responsabilidades de todos os
envolvidos no processo de gerenciamento de riscos corporativos; em especial, discute o papel do
conselho de administração na supervisão dos riscos das organizações. Procura ajudar a responder a
questões fundamentais apontadas pelo mercado, como a necessidade de levar ao conselho, com
maior frequência e de forma estruturada, a visão dos riscos críticos e o montante desses riscos, bem
como alertar para a necessidade de participação da diretoria e do conselho na definição e aprovação
dos níveis de apetite a riscos da organização.

iv. Cultura de riscos: este tema passa a ser central na abordagem do novo COSO ERM. A própria definição
de gerenciamento de riscos incorpora o conceito e faz parte do primeiro componente do framework:
governança e cultura. Os princípios de cultura estão mais focados na tomada de decisão e no
alinhamento com os comportamentos esperados e valores fundamentais da organização, enfatizando
a importância da cultura no gerenciamento de riscos.

v. Apetite a riscos e tolerância: a nova publicação do COSO ERM enfatiza a utilização desses elementos na
tomada de decisão, balanceando o perfil de riscos da organização, o apetite a riscos e a capacidade de
assumir riscos.

vi. Informação e tecnologia: O framework reconhece a importância do alinhamento em gerenciamento de

riscos corporativos com o uso da informação e o desenvolvimento de novas tecnologias. O estudo
ressalta a importância das tecnologias emergentes e a influência na estratégia das organizações.
Destaca, ainda, a necessidade de analisar os impactos dessas novas tecnologias tanto no portfólio de
riscos da organização quanto em suas práticas de gerenciamento de riscos, instigando profissionais de
riscos a adotarem mecanismos e metodologias que lhes permitam responder a tais demandas. Nesse
sentido, Data analytics e ataques cibernéticos são temas que estão transformando setores
econômicos e exercem impacto na geração (novas estratégias) e na destruição de valor das
organizações (roubo de dados, interferência em dispositivos de IoT – internet das coisas).

3. CONSIDERAÇÕES FINAIS

As organizações possuem diferentes propósitos, valores, princípios e estratégias, além de diversas

estruturas, filosofias operacionais e capacidades específicas de gerenciar riscos a partir de seus perfis . Mas , a
despeito dessas singularidades, o novo COSO ERM destaca como fundamental a consideração de forma
estruturada dos riscos no processo de tomada de decisão, sendo esta sua principal contribuição na
preservação e criação de valor da organização.
3
* Este documento reflete a opinião de grupo de trabalho, composto de membros das comissões de Comunicação e Mercado de
Capitais, Finanças e Contabilidade e de Gerenciamento de Riscos Corporativos do IBGC, e não necessariamente a do instituto.
 Nesse sentido, e com o objetivo orientar as organizações na incorporação das novas práticas e
conceitos do novo COSO ERM, recomendamos aos administradores as seguintes ações iniciais:

 incentivar discussões sobre o “apetite a risco” e o perfil de riscos da entidade dentro dos fóruns de
governança e como parte do processo de tomada de decisão;
 analisar os processos de identificação e avaliação dos riscos e verificar se consideraram os objetivos
estratégicos e metas de performance como ponto de partida;
 avaliar as práticas de reporte dos riscos aos entes de governança para identificar se ocorrem com a
frequência e qualidade necessárias. Também examinar se esses reportes são considerados parte do
processo de análise e monitoramento dos indicadores de performance da organização;
 incorporar as expectativas de gerenciamento de riscos em treinamentos, assim como medidas de
incentivos para melhorar a cultura de riscos da organização;
 promover a incorporação dos indicadores de riscos na tomada de decisão dos executivos.

Por fim, entendemos que a incorporação das novas práticas propostas pelo COSO ERM são relevantes
para o atendimento das expectativas das organizações e de seus stakeholders relacionadas à construção de
competências internas para identificar rapidamente os impactos das grandes mudanças tecnológicas, sociais e
políticas que estamos experimentando e responder com agilidade a eles.

***

4
* Este documento reflete a opinião de grupo de trabalho, composto de membros das comissões de Comunicação e Mercado de
Capitais, Finanças e Contabilidade e de Gerenciamento de Riscos Corporativos do IBGC, e não necessariamente a do instituto.