top of page
Buscar

Por que o seu COSO ERM não está entregando (e como transformar o framework em resultados reais)

  • jarbasinfo
  • 5 de set. de 2025
  • 2 min de leitura

Nos últimos anos, vejo cada vez mais organizações adotando o COSO ERM como referência para gestão de riscos corporativos. 


É um framework sólido, reconhecido globalmente… mas, na prática, muitas vezes ele não entrega o resultado esperado.


E não é culpa do COSO — o problema está na forma como ele é aplicado.


O problema na aplicação do COSO ERM


No papel, o COSO ERM 2017 propõe integração total entre gestão de riscos, estratégia e desempenho. Na realidade de muitas empresas, a implementação sofre com obstáculos comuns:


  1. Desconexão com a estratégia – O framework não é incorporado à tomada de decisão real, ficando restrito a documentos e reuniões pontuais.

  2. Cultura reativa – A gestão de riscos só aparece em auditorias, crises ou como resposta a incidentes.

  3. Governança isolada – Falta colaboração entre áreas, com processos em silos que dificultam evolução de maturidade.

  4. Ausência de métricas e revisões periódicas – Sem medir e reavaliar, não há evolução; apenas a percepção de que “estamos fazendo algo”.


Esses fatores transformam um framework robusto em um conjunto de boas intenções pouco efetivo.


O que os frameworks recomendam (mas as empresas não fazem)


  • COSO ERM 2017: Defende integração de riscos à estratégia e à performance, governança ativa e revisão contínua.

  • ISO 31000: Enfatiza a necessidade de contexto, avaliação de riscos e melhoria contínua do processo.

  • ISO 37301: Reforça a cultura de compliance, monitoramento e avaliação sistemática para garantir aderência e valor.


Em teoria, essas diretrizes são claras — na prática, elas exigem disciplina e metodologia para se tornarem rotina organizacional.


A solução: integração real e evolução de maturidade


Em um projeto que conduzi, desenvolvi e apliquei um modelo de maturidade em gestão de riscos e compliance que integrou COSO, ISO 31000 e ISO 37301 a um processo de avaliação e evolução contínua:


  1. Diagnóstico inicial profundo – Avaliação de maturidade em múltiplas dimensões, mapeando lacunas críticas.

  2. Plano de ataque direcionado – Ações específicas para cada dimensão e nível de maturidade, com prazos e responsáveis claros.

  3. Execução acompanhada – Governança ativa, engajamento da alta gestão e comunicação constante com as áreas.

  4. Mensuração de resultados – Indicadores objetivos para demonstrar ganhos tangíveis.

  5. Avaliações periódicas – Reaplicação da avaliação de maturidade a cada seis meses, garantindo ajustes e evolução real.


O resultado foi uma mudança perceptível: o discurso de governança deu lugar a práticas consolidadas, decisões mais seguras e uma cultura organizacional fortalecida.


Conclusão


Frameworks como o COSO ERM não falham por si só — eles deixam de gerar impacto quando não são integrados à realidade estratégica, cultural e operacional da organização. 


Ao unir diretrizes internacionais a um modelo de maturidade e a um ciclo de melhoria contínua, é possível transformar riscos em vantagem competitiva.


E na sua organização? O COSO ERM está gerando resultados reais ou continua sendo apenas um requisito formal?


💬 Compartilhe sua experiência e vamos trocar insights sobre como levar a gestão de riscos ao próximo nível.


Engrenagens com cadeado demonstrando processo travado.
Engrenagens com cadeado demonstrando processo travado.

 
 
 

Comentários

bottom of page