A gestão de riscos pode ser vista como uma ideia que remonta ao nascimento da existência humana e é importante e útil uma compreensão do histórico do gerenciamento de riscos.
Historicamente, o gerenciamento de riscos se concentrou na quantificação de riscos financeiros ou baseados em perigos “hazards”. Tendia a se concentrar em riscos específicos e negligenciava uma abordagem holística da organização. Em 1996 Peter Bernstein publicou o best-seller “Against the Gods – the remarkable history of risks” (em português “Contra os Deuses – a memorável história sobre riscos”) chamando a atenção para a demasiada confiança em modelos quantitativos.
Precisamos entender o histórico para entender e explicar onde estamos agora com relação a gerenciamento de riscos e para onde tudo isso leva para o futuro.
Nosso mundo em mudança produziu novos riscos que não se encaixam facilmente nos modelos históricos de referência, e a história nos diz que novos riscos surgem e velhos riscos desaparecem – podemos aprender lições sobre como as pessoas reagiram a novos riscos emergentes.
Os modelos de estruturas de gerenciamento de riscos corporativos (do inglês Enterprise Risk Management – ERM) começaram a surgir apenas a partir de 1995. Nesse contexto, a disciplina de gestão de riscos ainda é recente – são 25 anos desde o surgimento das primeiras Estruturas de referência para gestão de riscos.
Linha do tempo dos padrões de Gestão de Riscos Corporativos
Olhar para o passado, não apenas pode fornecer informações sobre a dinâmica de desenvolvimento do campo, mas também fornece orientações importantes para entender por que o mundo moderno se mostra como é, principalmente com algumas das superstições e irracionalidades herdadas.
Como exemplo, desde 2009, vivenciamos uma série de grandes eventos de risco, como a Primavera Árabe, grandes desastres naturais no Extremo Oriente, enchentes e inundações sem precedentes nas américas e aumento das queimadas espontâneas – notadamente na Austrália, a gama de crises de dívida soberana em muitos países da Zona Euro e os lentos sinais de recuperação nas economias ocidentais.
Tudo isso desafia e afeta a todos nós profissionais de gestão de riscos.
OBJETIVO DA GESTÃO DE RISCO
A partir da definição de risco e da definição de gerenciamento de riscos, descobrimos que o objetivo primordial da gestão de risco é ajudar as organizações a identificar, entender e gerenciar seus riscos e oportunidades e, assim, aumentar a probabilidade de alcançar seus objetivos, reduzindo a incerteza.
De fato, a maioria das realizações empolgantes e valiosas que a humanidade gostaria de fazer é complexa e não sem suas possíveis armadilhas. O gerenciamento de riscos pode ajudar as organizações a alcançar o que de outra forma poderia ser muito arriscado ou incerto. Um bom gerenciamento de riscos consiste em poder correr riscos.
Além disso, o gerenciamento de riscos também visa proteger as organizações e torná-las mais resilientes. Embora ambicioso, também é importante proteger o valor da organização. Por exemplo, na tentativa de ganhar uma corrida de automóveis, é importante que o carro e o motorista não sejam prejudicados (ganhando ou não). Nesse sentido, o principal objetivo do gerenciamento de riscos tem sido tradicionalmente o seu papel de salvaguarda.
O gerenciamento do chamado risco negativo pode ajudar a organização a atingir seus objetivos. Por “risco negativo”, entendemos eventos cujo resultado potencial é indesejável, antes da aplicação dos controles.
Também podemos ver razões mais negativas para o crescimento da importância do gerenciamento de riscos por meio de regulamentação. Cada vez mais, as organizações são obrigadas por lei, regulamento ou expectativas das partes interessadas a desenvolver competências de gerenciamento de riscos e fornecer relatórios que mostrem que essas competências são eficazes.
GESTÃO DE RISCOS CORPORATIVOS
Bastante útil diferenciar entendimento entre o que é um padrão (standard em inglês) de uma estrutura (framework em inglês). De uma forma geral a seguinte terminologia tem sido aceita:
Para entender o que é uma Estrutura de Gerenciamento de Riscos, vamos definir uma terminologia que vai ajudar a entender esse conceito. Uma estrutura, ou framework, é composta de Arquitetura de Risco, Estratégia e Protocolos => AREP
A Estrutura de Gerenciamento de Riscos está associada ao contexto da gestão de risco ou, em outras palavras, o contexto no qual opera o processo de no qual riscos são identificados e avaliados e gerenciados. Mais a frente vamos ver que tanto a ISO 31000 quanto o COSO ERM se referenciam a esse contexto.
DEFINIÇÃO DE ERM
O conceito de ERM ou Gestão de Riscos Corporativos começou a ganhar notoriedade ao redor do ano 2000, após a publicação de James Lam (2003) da GE Capital que afirmou ter sido o primeiro CRO Chief Risk Officer da história.
Ele descreveu ERM como “o gerenciamento integrado de risco de negócio, financeiro, operacional e transferência de risco para maximizar o valor do acionista da empresa”. Sua visão era que o ERM torna uma empresa mais bem-sucedida, criando uma visão única de todos os riscos e gerenciando-os de maneira consistente em toda a empresa.
Alguns anos depois a KPMG (2006) contribuiu com uma comparação entre a maneira até então tradicional de gestão de riscos e o conceito de ERM.
Abordagem Tradicional | Abordagem ERM |
Foco na identificação e análise | Risco alinhado com o contexto da estratégia de negócios |
Risco como ameaças individuais | Desenvolvimento de portfolio de riscos e riscos interconectados |
Foco em todos os riscos gerenciados em distintas áreas | Foco nos riscos críticos |
Mitigação de risco | Risco é da organização como um todo |
Riscos sem donos | Identificando e definindo responsabilidade para riscos |
Risco é assegurado / transferido | Monitoramento e mensuração de riscos |
Risco não é minha responsabilidade | Risco está embutido na responsabilidade de cada um |
PADRÕES DE GESTÃO DE RISCOS
COSO ERM
Importante: A Estrutura do COSO Controles Internos é diferente do COSO ERM (ou COSO II). O COSO Controles Internos foi lançado em 1992 e depois revisado em 2013. O COSO ERM (as vezes conhecido como COSO II), foi dedicado para a Gestão de Riscos e foi publicado em 2004 pela primeira vez e revisto em 2017.
Foi a primeira referência publicada a respeito da Gestão de Riscos Corporativos e aprofundou a discussão acerca do alinhamento das estruturas de controle aos riscos.
Composto por uma variedade de associações profissionais, incluindo American Accounting Association (AAA), o Instituto de Contadores Públicos Certificados (AICPA), Financial Executives International (FEI), Associação para Contadores e Profissionais Financeiros em Negócios (IMA) e o Instituto de Auditores Internos (IIA), o Comitê de Organizações Patrocinadoras (COSO) é um organização voluntária do setor privado.
O COSO se define como dedicado a orientar a gestão executiva e entidades de governança para o estabelecimento de operações comerciais mais eficazes, eficientes e éticas em uma base global.
O COSO defende que as organizações devem implementar gerenciamento de riscos corporativos (ERM) para melhor conectar sua supervisão de risco com a criação e proteção de valor do stakeholder.
O ERM é um processo que fornece uma visão abrangente e holística, de cima para baixo, dos principais riscos enfrentados por uma organização.
A última edição do COSO ERM – Enterprise Risk Management – Integrando com Estratégia e Performance, destaca a importância de considerar o risco no processo de estabelecimento de estratégias e no desempenho de condução. A primeira parte da publicação atualizada oferece uma perspectiva sobre conceitos atuais e em evolução, e aplicações de gerenciamento de riscos corporativos. A segunda parte, a Estrutura, está organizada em cinco componentes fáceis de serem entendidos, que acomodam diferentes pontos de vista e estruturas operacionais, além de aprimorar as estratégias e a tomada de decisões. A atualização em 2017 pode ser assim resumida:
- Fornece uma melhor visão do valor do gerenciamento de riscos corporativos ao configurar e implementar a estratégia.
- Melhora o alinhamento entre desempenho e gerenciamento de riscos corporativos para melhorar a definição de metas de desempenho e compreensão do impacto do risco no desempenho.
- Acomoda expectativas de governança e supervisão.
- Reconhece a globalização dos mercados e das operações, e a necessidade de se aplicar uma abordagem comum, embora adaptadas à realidade de cada mercado/operação.
- Apresenta novas formas de ver o risco para estabelecer e alcançar objetivos no contexto de maior complexidade de negócios.
- Expande o relatório para atender às expectativas de maior transparência das partes interessadas.
- Acomoda tecnologias em evolução e a proliferação de dados e análises no suporte à tomada de decisões.
- Traz definições, componentes e princípios fundamentais para todos os níveis de gerenciamento envolvidos na concepção, implementação e realização de práticas de gerenciamento de riscos corporativos.
ISO 31000
A Organização Internacional de Padronização amplamente conhecida como ISO, é um organismo internacional de definição de padrões que “constitui uma ponte entre o setor público e o privado”. Enquanto muitos dos seus institutos-membros fazem parte da estrutura governamental de seus países (ou são mandatados pelo governo), outros membros têm suas raízes no setor privado, tendo se configurado por parcerias nacionais de associações industriais.
A ISO se define como uma organização não governamental, que compreende uma rede dos institutos de padrões nacionais de 163 países, tendo um membro por país e um secretariado central em Genebra, Suíça, que coordena o sistema.
O ISO 31000 não trata apenas de um processo e não foi projetado para fornecer garantia em torno de controles, vez que centrado nas ações tomadas sobre riscos identificados e geridos para a efetiva melhora do desempenho da organização, remontando aos conceitos básicos de tomada de decisão disciplinada em torno de riscos vs. recompensa/conquista dos resultados esperados. Também não é específico para qualquer indústria, tipo ou tamanho de organização.
A ISO 31000 alinha intencionalmente práticas internacionais de gerenciamento de risco com padrões para gerar eficiência nos sistemas de gerenciamento, o que permite às organizações medir os desvios dos resultados esperados.
A ISO 31000, que define o risco como “efeito da incerteza sobre os objetivos”
Mas o que tudo isso significa para profissionais de risco? A maior mudança desta última versão está no foco de risco de uma organização pela “visão de janela traseira”, que podemos chamar de “uma orientação de posicionamento”, a qual se concentra na prevenção ou mitigação dos riscos conhecidos, sempre com foco no horizonte para avaliação dos obstáculos à persecução dos objetivos da empresa.
A mudança de perspectiva introduzida pela ISO 31000, no entanto, não substitui o que a gestão de riscos já trazia para as organizações, mas expande o valor que os gerentes de risco podem adicionar.
A versão atualizada da ISO 31000, de 2018, colocou em foco a criação e proteção do valor como o principal impulsionador da gestão de riscos, além de apresentar outros princípios relacionados, como melhoria contínua e a inclusão de partes interessadas.
Nesse aspecto, merece destaque os princípios projetados para que a gerência de risco forneça a criação e a proteção do valor a cada organização (ISO 31000:2018):
- integrado
- estruturado e abrangente
- personalizado
- inclusivo
- dinâmico
- com base nas melhores informações disponíveis
- conscientes dos fatores humanos e culturais
- foco na melhoria contínua
IBGC – Gerenciamento de riscos corporativos: evolução em governança e estratégia
Após 10 anos do lançamento do primeiro caderno sobre o tema, o Instituto Brasileiro de Governança Corporativa (IBGC) lança seu segundo caderno sobre gestão de riscos corporativos em 2017, agora com foco em governança e voltado principalmente para o Conselho de Administração.
O IBGC elaborou para esse novo trabalho um quadro que identifica o chamado “nível de maturidade” de cada empresa na gestão de risco, para identificar quais as práticas adotadas. Entre os temas abordados, destacam-se sustentabilidade, riscos cibernéticos e a relevância do papel do compliance.
Segundo as palavras da então coordenadora do grupo de discussão, Mercedes Stinco “Há todo um contexto de sociedade que pede maior transparência, tanto para o mercado, quanto para o próprio governo. Essa noção de que a reputação de uma organização pode ser questionada a qualquer momento, que você pode ter seus dados roubados, tudo isso pede uma celeridade importante”.
A publicação divide-se em três capítulos. No primeiro, são tratados os conceitos básicos sobre GRCorp (Gestão de Riscos Corporativos), sua importância e como a gestão de riscos se alinha às estratégias empresariais. No Capítulo 2, são abordadas as atribuições dos vários agentes da governança corporativa, com ênfase para o papel do Conselho de Administração a partir da ótica dos processos decisórios, das responsabilidades e dos direcionadores de riscos. Por fim, o Capítulo 3 traz subsídios para a implementação de uma estrutura de GRCorp adequada ao tamanho e à complexidade da organização, que respeite o estágio de maturidade do negócio e a estratégia de longo prazo de sua administração, apresentando as principais práticas recomendadas.
Destaca-se que para o adequado funcionamento do GRCorp, faz-se necessário o estabelecimento e formalização de uma estrutura de governança clara, a qual definirá atribuições e reponsabilidades de cada agente nos diferentes níveis e as práticas aplicáveis, a exemplo: quem (i) identificará e avaliará os riscos, (ii) tomará as decisões sobre o tratamento dos riscos, (iii) monitorará os riscos e (iv) fiscalizará o processo como um todo.
Nesse sentido, as principais reflexões a serem discutidas pelo Conselho de Administração e pela diretoria para a construção do modelo de governança de GRCorp incluem:
- O que pode comprometer o cumprimento das estratégias e metas?
- Onde estão as maiores oportunidades, ameaças e incertezas?
- Quais são os principais riscos?
- Quais os riscos a explorar?
- Qual a percepção desses riscos?
- Qual a exposição desses riscos? Existe diferença entre percepção e exposição desses riscos?
- Como a organização responde aos riscos?
- Existem informações confiáveis para tomada de decisões?
- O que é feito para assegurar que os riscos estejam em um nível aceitável de acordo com o apetite a riscos aprovado?
- Os executivos e gestores têm consciência da importância do processo de gestão de riscos?
- A organização tem as competências necessárias para gerir riscos assumidos?
- Quem identifica e monitora ativamente os riscos da organização?
- Que padrões, ferramentas e metodologias são utilizados?
O IBGC propõe os seguintes níveis de maturidade em relação ao estágio de GRCorp de uma organização: i) inicial, ii) fragmentado, iii) definido, iv) consolidado e v) otimizado.
Existem distintas alternativas para a construção da governança de GRCorp e para chegar ao nível de maturidade desejado. Cada organização deverá desenhar aquela mais adequada ao perfil do seu negócio, cultura organizacional, modelo de gestão e nível desejado de maturidade em relação às práticas de GRCorp.
Dessa forma, podemos destacar que o nível de maturidade em GRCorp em uma organização é definido pelos seguintes aspectos:
- As ações adotadas para alcançar suas metas e objetivos em relação ao GRCorp e ao sistema de controles internos;
- O nível de esforço (tempo e investimento) empreendido para alcançar essas metas e objetivos;
- Os resultados obtidos, assim como a eficácia e a eficiência das práticas implementadas;
- O nível de envolvimento dos profissionais em relação a essas práticas;
- O nível de entendimento da maturidade da organização, assim como das oportunidades de melhorias.
O modelo adotado pelo IBGC contempla 7 componentes, subdivididos em cinco níveis de maturidade para auxiliar a organização a compreender o seu estágio atual e assisti-la a definir onde pretende chegar. Também contempla um guia sugerido de implementação de GRCorp na empresa.
Os sete componentes do modelo são:
- Estratégia de GRCorp
- Governança de GRCorp
- Política de GRCorp
- Processo de GRCorp – Interação do processo de GRCorp com demais ciclos de gestão
- Linguagens de risco e métodos de avaliação
- Sistemas, dados e modelos de informação
- Cultura GRCorp, comunicação e treinamento e monitoramento (interno e externo) e melhoria contínua.
Quer avaliar a maturidade dos processos de gestão de riscos na sua organização e aprimorar a gestão de riscos corporativos?
Tem interesse em conhecer melhor os padrões de gestão de riscos?
Está procurando por treinamentos in company sobre riscos?
Esse vídeo traz um bate-papo informal, mas bem esclarecedor que tive com o Eduardo Luque, sócio da IRKO contábil sobre gestão de riscos, em especial sobre os padrões de gerenciamento de riscos. (Não deixe de assistir, são apenas 6 minutos)
Gostou do conteúdo? Não deixe de cadastrar seu e-mail para receber notificações:
Referências
ISO 31000 http://tiny.cc/f4l8jz
COSO ERM 2019 http://tiny.cc/13l8jz
IBGC Caderno 19 – Gerenciamento de riscos corporativos: evolução em governança e estratégia http://tiny.cc/v2l8jz
Deixe um comentário