Escolar Documentos
Profissional Documentos
Cultura Documentos
o
F
i
n
a
n
c
e
i
r
a
B
a
i
x
a
Baixo Mdio Alto
M
d
i
a
A
l
t
a
Exposio Final
1 1
Probalidade de ocorrncia
I
m
p
a
c
t
o
d
o
e
v
e
n
t
o
Grco A Grco B
Cadernos de Governana Corporativa IBGC 22
se, assim, um conjunto organizado e ordenado de planos e metas das aes, sob o ponto de vista fsico, econmico e
nanceiro. O modelo de GRCorp deve buscar quanticar as incertezas envolvidas na fase de planejamento e projetar
os resultados da organizao em cenrios alternativos de preos, condies macroeconmicas e operacionais.
O impacto nanceiro consolidado dos riscos na organizao pode ser medido quantitativamente em
termos da variao potencial do seu valor econmico, uxo de caixa e resultado econmico, atravs de uma
metodologia que se denomina planejamento sob incerteza. Para viabilizar tal quanticao necessrio que a
organizao (i) tenha o seu negcio modelado em alguma ferramenta que possibilite simulaes e (ii) seja capaz
de gerar cenrios das principais variveis e consistentes entre si.
A modelagem passa pela identicao detalhada de cada um dos fatores que afetam as transaes e
indicadores de desempenho da organizao, incluindo todos os tipos de riscos identicados, e pela determinao
da dinmica de impacto de cada uma das operaes nas contas de resultados.
A gerao de cenrios envolve o conhecimento e previses de cada rea estratgica da organizao
e deve expressar a evoluo conjunta das variveis. A rea nanceira pode traar previses para as variveis
macroeconmicas; a rea de crdito, para a inadimplncia de cada tipo de cliente; a rea comercial, para as
vendas; e estas, em conjunto com a de planejamento, para os preos, ndices de consumo, ecincia, capacidade,
etc. Associando-se probabilidades aos cenrios gerados, possvel quanticar o risco e estimar a probabilidade
de que qualquer mtrica de desempenho que abaixo das metas oradas em cada perodo (ex.: gerao ou
necessidade de caixa, resultado contbil, etc.). recomendvel buscar a identicao e o gerenciamento dos riscos
integralmente, no apenas os riscos isolados, mas tambm os riscos mltiplos e comuns a diferentes reas
12
.
O processo de GRCorp passa a envolver, a partir de ento: o monitoramento das exposies, a avaliao
antecipada do impacto de novas operaes ou diferentes cenrios de mercado e a comparao com os
resultados efetivos, para identicao das fontes de desvio e reavaliao do modelo. Obtm-se, assim, maior
autoconhecimento e, conseqentemente, um processo decisrio antecipado de reduo de perdas e aumento de
ganhos, como tambm uma previsibilidade maior para os resultados futuros da organizao.
2.4 Tratamento dos Riscos
13
Depois de identicados, avaliados e mensurados, deve-se denir qual o tratamento que ser dado aos
riscos. Na prtica, a eliminao total dos riscos impossvel. Nesse contexto, a elaborao de um mapa de riscos
(tal como o esboado na Figura 2) apia a priorizao e visa direcionar os esforos relativos a novos projetos
e planos de ao elaborados, a m de minimizar os eventos que possam afetar adversamente e maximizar
aqueles que possam trazer benefcios para a organizao. recomendvel alinhar a estrutura de controles
12 Para efeito de ilustrao de uma situao em que os impactos so mltiplos, podemos avaliar o efeito do evento variao da
cotao do dlar em uma organizao que tenha tanto contratos comerciais quanto nanceiros dolarizados. Caso haja aumento da
cotao da moeda norte-americana, tanto o contrato nanceiro como o comercial sero afetados e deve-se determinar a exposio
consolidada da organizao taxa de cmbio, que no independente de outros eventos, tais como mudanas na trajetria da taxa
de juros, no preo da matria-prima, preo do produto vendido, etc.
13 Os termos tratamento dos riscos ou resposta aos riscos so usados indistintamente ao longo deste guia.
Guia de Orientao para Gerenciamento de Riscos Corporativos 23
internos aos objetivos estratgicos e ao nvel de exposio desejado pela organizao. A alta administrao
poder determinar seu posicionamento frente aos riscos, considerando seus efeitos, grau de averso e resposta,
complementada por uma anlise de custo-benefcio.
As vrias alternativas para tratamento dos riscos so descritas abaixo, iniciando-se pelo dilema bsico:
evitar ou aceitar o risco.
2.4.1 - Evitar o Risco: deciso de no se envolver ou agir de forma a se retirar de uma situao de risco.
Exemplo: uma organizao decide se desfazer de uma unidade de negcios.
2.4.2 - Aceitar o Risco: neste caso, apresentam-se quatro alternativas: reter, reduzir, transferir/
compartilhar ou explorar o risco.
2.4.2.1 - Reter: manter o risco no nvel atual de impacto e probabilidade. Exemplo: a diretoria
da empresa decide nada investir em melhorias da rea de informtica, assumindo que as perdas
e erros atualmente sabidos e esperados de informaes internas para o processo de deciso e
de gesto so (riscos) tolerveis.
2.4.2.2 - Reduzir: aes so tomadas para minimizar a probabilidade e/ou o impacto do risco.
Exemplo: uma organizao nanceira identicou e avaliou o risco de seus sistemas permanecerem
inoperantes por um perodo superior a trs horas e concluiu que no aceitaria o impacto dessa
ocorrncia. A organizao investiu no aprimoramento de sistemas de auto-deteco de falhas e
de backup para reduzir a probabilidade de indisponibilidade do sistema.
2.4.2.3 - Transferir e/ou Compartilhar: atividades que visam reduzir o impacto e/ou
a probabilidade de ocorrncia do risco atravs da transferncia ou, em alguns casos, do
compartilhamento de uma parte do risco. Exemplo: uma concessionria de energia eltrica
identicou e avaliou os riscos de falhas naturais com danos eltricos em seus equipamentos
turbo-geradores e de potncia de grandes usinas. Aps analisar a melhor estratgia a ser
adotada no que tange s despesas possveis com franquia vis--vis os prmios de risco a serem
contratados, constitui-se um seguro destes equipamentos junto ao mercado, transferindo este
risco operacional categorizado como de alto impacto e baixa freqncia, inerente ao processo
de operao e manuteno.
Devem ser transferidos por meio de seguro os riscos tidos como catastrcos (riscos de baixa
freqncia e alta severidade), os riscos de alta freqncia que provoquem cumulativamente perdas
relevantes e todos aqueles cujo custo de transferncia seja inferior ao custo de reteno. Os custos
de seguro obtidos no mercado podem subsidiar a deciso sobre reteno versus transferncia
dos riscos. Alm de identicar os riscos que deseja transferir, os gestores de seguros precisam
conhecer profundamente a dinmica das operaes da organizao e o uxo de informaes que
garantir a adequao do contrato de seguro por toda a vigncia das aplices, normalmente de
Cadernos de Governana Corporativa IBGC 24
12 meses. A transferncia do risco no necessariamente elimina todas as potenciais perdas e, por
isto, necessrio dispor de um adequado plano de contingncia (Anexo B).
2.4.2.4 - Explorar: aumentar o grau de exposio ao risco na medida em que isto possibilita
vantagens competitivas. Exemplo: uma empresa produtora de petrleo usa as informaes
sobre o mercado futuro para especular no mercado de derivativos, aumentando sua exposio
ao preo da commodity.
2.4.3 - Preveno e Reduo dos Danos
Os riscos podem ser reduzidos pela preveno diminuio da probabilidade de ocorrncia e/ou
diminuio do impacto nanceiro esperado sobre a organizao, caso o evento ocorra e/ou pela
remediao controle dos danos aps a ocorrncia do evento. Para o risco cujo impacto possa afetar
adversamente a continuidade da operao, faz-se necessria a elaborao de um plano de contingncia
adequado e continuamente testado. Ainda mais amplo do que um plano de contingncia, as organizaes
devem avaliar a adoo de uma metodologia para a Gesto da Continuidade de Negcios (Anexo B).
As decises sobre evitar, reter, reduzir, transferir ou explorar riscos esto baseadas na avaliao do
impacto dos mesmos sobre os indicadores de desempenho escolhidos e sobre a imagem da organizao
vis--vis os custos de se estabelecerem controles internos.
Um dos objetivos da GRCorp buscar um nvel confortvel e balanceado de reteno, reduo,
explorao e transferncia de riscos, adequado a seu apetite denido estrategicamente, envolvendo os
objetivos, os riscos respectivos e os controles internos. Da mesma forma, pode haver critrios distintos
para enfocar o conceito e prticas de controles internos, que quando acentuados podem gerar custos,
muitas vezes excessivos. Na questo do equilbrio riscos versus controles versus custos, so muito
utilizadas as melhores prticas aplicveis aos tipos especcos ou categorias de risco, segmento de
negcios ou tecnologias em questo. As melhores prticas so geradas e disseminadas por institutos
independentes, internacionais ou nacionais, associaes de indstria ou prossionais e organismos de
normatizao e por entidades regulatrias, tais como as citadas nos Anexos.
Desta forma, a organizao ter uma resposta especca para cada evento signicativo. Devero ser
avaliados e monitorados os impactos positivos e negativos da ocorrncia dos eventos, considerando:
Risco inerente: risco natural; ausncia de qualquer ao que a direo possa realizar para alterar a
probabilidade de ocorrncia ou de impacto.
Risco residual: resultante do processo de tomada de aes e aplicao das melhores prticas de
controles internos ou da reposta da organizao ao risco.
2.4.4 Capacitao
Na avaliao dos riscos deve-se considerar a capacitao da organizao em lidar com os mesmos, o
que signica ser capaz de identic-lo, antecip-lo, mensur-lo, monitor-lo e, se for o caso, mitig-
lo. Como exemplo, um incndio pode ser classicado como um evento de alta magnitude para uma
organizao do setor orestal. Porm, se a organizao possui forte capacitao interna para prevenir e
Guia de Orientao para Gerenciamento de Riscos Corporativos 25
controlar um incndio, o evento, inicialmente classicado como de alto impacto, pode ser reclassicado
para mdio ou baixo impacto.
A avaliao da capacitao se d em duas dimenses principais: pessoas e processos. O exerccio de avaliao
de capacitao requer uma anlise comparativa s melhores prticas, com a identicao de eventuais
lacunas de capacitao. Uma vez denido o grau de tolerncia ao risco da organizao, deve-se adotar um
plano de ao para eliminar as lacunas inaceitveis para assegurar um gerenciamento de riscos ecaz.
2.5 Monitoramento dos Riscos
Cabe alta administrao a avaliao contnua da adequao e da eccia de seu modelo de GRCorp.
Este deve ser constantemente monitorado, com o objetivo de assegurar a presena e o funcionamento de todos
os seus componentes ao longo do tempo.
O monitoramento regular ocorre no curso normal das atividades gerenciais. J o escopo e a freqncia
de avaliaes ou revises especcas dependem, normalmente, de uma avaliao do perl de riscos e da eccia
dos procedimentos regulares de monitoramento. Vulnerabilidades e decincias no GRCorp devem ser relatadas
aos nveis superiores de gesto e, dependendo da gravidade, reportadas alta administrao.
De um modo geral, os controles internos se estruturam em controles gerais e atividades de controles
especcos, como por exemplo, reconciliaes e conrmaes de posies ou uxos contbeis, procedimentos
de testes, etc. Uma das metodologias para dar suporte a este processo de avaliao o uso de Matrizes de
Controles de Riscos, que evidenciam os objetivos e os riscos associados. Estas atividades de controle tm o
propsito de determinar em que proporo, atravs de distintos atributos, os objetivos considerados relevantes
pela administrao esto sendo efetivamente gerenciados.
A alta administrao deve dedicar especial ateno e fornecer diretrizes que orientem:
14
a extenso e o contedo da documentao formal relativa a GRCorp na organizao: manuais de polticas
e procedimentos, organogramas, descries de funes e responsabilidades, instrues operacionais,
diagramas de uxo, resultados de avaliaes, anlises e testes realizados;
o relato, a documentao interna e externa (quando aplicvel) de decincias encontradas, assim como, o
respectivo nvel de ameaa ou exposio, percebida, potencial ou real, e oportunidades associadas para
reforo ou reviso dos controles utilizados; e
o contedo dos relatrios relativos a GRCorp e os nveis de informao estratgica: signicncia de
problemas ou fatos anormais, princpios da cultura, implicaes prticas e comportamentais, informao
aos nveis superiores, laterais, diretoria, conselho de administrao, comit de auditoria, auditores e
outras entidades externas.
14 Exemplos prticos, tabelas e relatrios tpicos, relativos ao tpico Monitoramento podem ser encontrados no COSO II, Application
Techniques, 09/2004, pp. 85-91. Aos conselheiros e executivos interessados em um aprofundamento no tema gerenciamento de riscos
corporativos, no que tange a papis e responsabilidades especcas tpicas, recomenda-se a leitura dos Captulos 10 (Roles and
Responsibilities) e 11 (Limitations of Enterprise Risk Management) do mesmo documento.
Cadernos de Governana Corporativa IBGC 26
2.6 Informao e Comunicao
A comunicao gil e adequada com as diversas partes interessadas, acionistas, reguladores,
analistas financeiros e outras entidades externas tem a finalidade de permitir avaliaes mais rpidas
e objetivas a respeito dos riscos a que est exposta a organizao. O contedo da comunicao com o
ambiente externo e interno reflete as polticas, a cultura e as atitudes desejadas e valorizadas pela alta
administrao.
Devem ser veiculadas a losoa e a abordagem do GRCorp na organizao, assim como delegaes
claras de responsabilidade e autoridade. A divulgao de processos e procedimentos deve alinhar atitudes e
reforar a cultura da organizao. Mecanismos devem ser implementados e geridos de modo a estimular, e
no a reprimir, a comunicao de desvios ou suspeitas de violaes dos cdigos de conduta ou dos princpios
de ordem tica da organizao por todos os colaboradores, como por meio de exemplos e pelo reforo de
atitudes positivas pela alta administrao. Entre outros aspectos, devem ser veiculados de forma ecaz:
A importncia e a relevncia de um gereciamento efetivo dos riscos corporativos;
Os objetivos da organizao neste domnio;
O apetite e a tolerncia a riscos da empresa;
Uma linguagem comum para o assunto riscos;
As funes e responsabilidades dos diferentes componentes do modelo de GRCorp.
O sistema de GRCorp exerce um papel fundamental como instrumento para a homogeneizao de
linguagem, possibilitando: (i) relatrios direcionados para os diversos nveis de gesto; (ii) e o estabelecimento
de um canal claro de comunicao, em duas vias, entre a diretoria e o conselho de administrao. Este canal
o instrumento pelo qual o conselho ir orientar a gesto da diretoria em termos de limites de exposio ao
risco e tambm receber anlises qualitativas e quantitativas quanto aos riscos identicados, oportunidades e
retornos esperados das diversas operaes sob anlise.
Com relao comunicao externa, o aumento da transparncia para o mercado sobre os mecanismos
de gerenciamento de riscos adotados pela organizao constitui-se num diferencial, mesmo quando se trata de
uma obrigao legal.
Deve-se considerar que entidades regulatrias do exterior e do Brasil (SEC - Securities and Exchange
Commission, CVM - Comisso de Valores Mobilirios, Banco Central do Brasil, etc.) estabelecem nveis de
divulgaes em notas explicativas s demonstraes nanceiras sobre gerenciamento de riscos de um modo
amplo ou sobre determinadas contas ou transaes
15
.
15 Exemplos prticos, tabelas, relatrios, diagramas e grcos tpicos, relativos ao tpico Informao e Comunicao, tambm
podem ser encontrados no documento COSO II, 2004, pp.67-84.
Guia de Orientao para Gerenciamento de Riscos Corporativos 27
3.1 Arquitetura para o GRCorp 28
3.1.1 Processos Crticos (para o GRCorp) 29
3.1.2 Governana de Gerenciamento de Riscos 29
3.1.3 Organizao e Pessoas 29
3.1.4 Sistemas de Controle 29
3.1.5 Comunicao 30
3.2 Estrutura Funcional 30
3.3 O Gerenciamento de Riscos e o Conselho de Administrao 30
Implementao e
Estruturas Adequadas
para o Gerenciamento
de Riscos
3
Cadernos de Governana Corporativa IBGC 28
No existe uma nica forma para implementar um modelo de GRCorp, nem uma nica estrutura
adequada para tal, dependendo de uma anlise custo-benefcio em funo do porte, especicidades e nvel
de complexidade de cada organizao. Uma organizao que lida fortemente com commodities negociadas em
bolsa de valores e que apresenta uma gesto ativa do seu caixa, ou uma estrutura complexa de dvidas e
operaes envolvendo o mercado de derivativos, por exemplo, pode requerer sistemas de controle de riscos
nanceiros sosticados.
16
Por outro lado, para fazer frente aos riscos operacionais, no se pode comparar os esforos e recursos
que uma grande empresa sujeita adoo da Lei Sarbanes-Oxley (SOX)
17
com as exigncias e necessidades
das pequenas empresas.
O importante introduzir na organizao a prtica de tratar crtica, qualitativa e quantitativamente
os riscos, identicando-os, avaliando-os, tratando-os e calculando seus impactos de uma forma integrada.
A implantao de um modelo de GRCorp um processo de longa durao, que deve ser continuamente
aprimorado, dinmico, interativo e integrado ao processo de planejamento estratgico da organizao.
O item 3.1 trata da implementao do modelo de GRCorp, descrevendo a formulao da arquitetura para
o GRCorp. O item 3.2 aborda algumas tendncias em termos de estrutura funcional e o item 3.3 revisa o papel
do conselho de administrao no processo de GRCorp.
3.1 Arquitetura para o GRCorp
Para implantar um modelo de GRCorp e promover uma cultura de gerenciamento de riscos na organizao
deve-se elaborar uma arquitetura para facilitar e viabilizar o gerenciamento do risco propriamente dito, cuja
concepo e implementao trazem inmeros benefcios para a organizao, tais como:
Aderncia dos processos internos ao perl de riscos estabelecido pelo conselho de administrao;
Clareza quanto s regras de governana para gerir a exposio;
Endereamento de lacunas de capacitao de pessoas, processos e sistemas;
Implementao de sistemas de controles ecazes.
16 Ver Anexo A.2.
17 Ver Anexo A.4.
3
Implementao e Estruturas Adequadas para o Gerenciamento de Riscos
Guia de Orientao para Gerenciamento de Riscos Corporativos 29
Pode-se dividir a formulao da arquitetura para o GRCorp em cinco dimenses distintas que devem
girar em torno e se condicionar aos objetivos estratgicos e metas de desempenho da organizao. Abaixo,
listam-se as questes que devem ser abordadas com referncia aos objetivos e metas e em cada uma das
dimenses da arquitetura de risco identicadas:
Objetivos estratgicos e metas de desempenho:
Os objetivos estratgicos e metas de desempenho esto denidos, comprometidos e gerenciados?
A gesto dos objetivos e das metas estratgicas norteia as prioridades dos riscos, seus respectivos
controles e dos demais componentes da arquitetura de risco?
As mudanas no ambiente de negcios so antecipadamente gerenciadas em termos de objetivos,
metas, riscos e controles?
3.1.1 Processos Crticos (para o GRCorp)
a) Quais so os macroprocessos identicados como relevantes na fase de levantamento dos riscos?
b) Quais so os princpios que iro nortear eventual redesenho dos processos?
c) Qual o mecanismo para se descontinuar e/ou criar processos novos a partir da implantao do
modelo de GRCorp?
d) Quais so as aes crticas para mitigar os riscos relevantes?
3.1.2 Governana de Gerenciamento de Riscos (ver 3.3)
a) Quais so os fruns de deciso envolvidos?
b) Quais so os papis e responsabilidades desses fruns?
c) Qual a composio desses fruns?
d) Quais so as aladas?
e) Quais so as polticas necessrias para tomada de deciso gil e ecaz?
3.1.3 Organizao e Pessoas
a) Existem as capacitaes necessrias? Quais so as lacunas? Como endere-las?
b) O modelo organizacional facilita a identicao, monitoramento e mitigao dos riscos relevantes?
c) Como est sendo tratada a questo da sucesso de postos/pessoas-chave na organizao?
3.1.4 Sistemas de Controle
a) Existem controles adequados para mensurar a exposio?
b) Os relatrios gerenciais facilitam a identicao, monitoramento e mitigao dos riscos?
c) Os sistemas de TI (Tecnologia da Informao) so adequados?
Cadernos de Governana Corporativa IBGC 30
3.1.5 Comunicao
a) H comunicao adequada com os colaboradores?
b) Existe uniformidade conceitual quanto ao modelo de GRCorp?
c) O perl de riscos e seus benefcios esto devidamente comunicados para a organizao?
d) H um claro alinhamento entre o perl de riscos e os valores e cultura corporativa?
e) As responsabilidades e direitos decisrios esto devidamente explicitados e comunicados?
f) H comunicao adequada com os stakeholders externos?
3.2 Estrutura Funcional
Existem vrias alternativas para a construo de uma estrutura de gerenciamento de riscos e cada
organizao dever desenhar aquela mais adequada ao seu perl. Observa-se, no entanto, a tendncia pela
criao de uma unidade responsvel por esta nova funo. O gerenciamento dos riscos de um determinado
processo uma atividade a ser atribuda aos gestores desse processo, cabendo unidade executiva responsvel
pelo GRCorp integrar e orientar os vrios esforos, bem como interagir com a alta administrao. Esta unidade
executiva pode ser um departamento, ncleo, rea
18
ou unidade funcional composta por representantes de diversas
reas (comit)
19
. Caso se crie um comit executivo para o gerenciamento de riscos, este deve ter funo ativa no
processo decisrio dirio da organizao, apoiando a tomada de decises mais difceis ou complexas. Sugere-
se que o comit executivo seja coordenado pelo presidente ou diretor executivo da organizao e tenha como
membros o diretor nanceiro, os diretores operacionais, assessores e outros responsveis pelas reas envolvidas
com riscos. Esta composio depende do nvel de complexidade das operaes da organizao.
importante realar a distino entre as funes deste comit executivo para o gerenciamento de
riscos e as funes de um comit de riscos do conselho de administrao. Este ltimo teria uma abordagem mais
vinculada estratgia da organizao, sendo que em alguns casos o comit de auditoria assume esta funo.
Ver Anexo C.
3.3 O Gerenciamento de Riscos e o Conselho de Administrao
O conselho de administrao deve ser o responsvel por determinar os objetivos estratgicos e o perl
de riscos da organizao. Denir seu perl consiste em identicar o grau de apetite a riscos da organizao, bem
como as faixas de tolerncia a desvios em relao aos nveis de riscos determinados como aceitveis. O conselho
de administrao deve estabelecer tambm a poltica de responsabilidade da diretoria em: (i) avaliar a quais riscos
a organizao pode car exposta; e (ii) desenvolver procedimentos para administr-los.
O papel fundamental de implementar uma slida estrutura de gerenciamento de riscos e controle
18 Nas pequenas e mdias empresas, a funo pode ser exercida por uma nica pessoa.
19 Os comits (do conselho de administrao) se propem a estudar assuntos de sua competncia e preparam propostas para o
conselho de administrao, do qual normalmente fazem parte. muito comum existirem nas organizaes diversos comits executivos
que, no necessariamente, contam com a presena de membros do conselho de administrao.
Guia de Orientao para Gerenciamento de Riscos Corporativos 31
delegado aos gestores, com o comit de auditoria (ou instncia que desempenha sua funo), em nome do
conselho de administrao, exercendo a funo de superviso.
Como ponto de partida para anlise do modelo de GRCorp praticado atualmente pela organizao, ou
para institu-lo, sugere-se que o conselho de administrao discuta o tema com a diretoria, abordando pontos
tais como os elencados a seguir.
Este item serve, desta forma, como uma concluso, ao revisar os temas abordados ao longo do Guia (em
seguida a cada pergunta sugerida, feita referncia ao item correspondente neste Guia).
Em um primeiro momento deve-se indagar sobre itens que revelem o escopo e a maturidade do modelo
de GRCorp existente na organizao, conforme sugerido a seguir:
a) A organizao considera os riscos de maneira global e integrada ao planejamento estratgico?
(vide 2.1.1)
b) Os riscos so considerados de maneira ampla (no apenas os riscos nanceiros)? (vide 2.1.2)
c) Os ativos intangveis so considerados (ex: reputao)? (vide 2.1.2)
d) Que mtodos e ferramentas utilizam? (vide 2.3 e 2.4.3)
e) Como se controlam os riscos nanceiros? (vide 2.3 e Anexo A.2)
f) A organizao tem o gerenciamento de riscos como parte integrante da agenda de seus gestores e
comits? (vide 3.2)
g) A quem a gerncia/unidade de risco se reporta? (vide 3.2)
h) Como disseminada a cultura de gerenciamento de riscos? (vide 2.6)
i) As pessoas-chave so preparadas e cumprem seus papis? (vide 2.4.4 e 3.1.3)
Com base na realidade identicada atravs das perguntas acima, o Conselho de Administrao e/ou
Comit de Auditoria deve questionar a respeito de aspectos mais especcos, tais como:
j) Quais so os relatrios produzidos e quem os recebe? (vide 2.6)
k) Que controles so realizados? (vide 2.5)
l) O conselho de administrao e/ou comit de auditoria recebe relatrios peridicos abordando os
riscos e sua evoluo? (vide 2.6 e 3.2)
m) Quais so os principais riscos identicados? (vide 2.1)
n) Qual o tratamento dado a tais riscos? (vide 2.4)
A partir das respostas aos questionamentos, o conselho de administrao deve avaliar junto diretoria
quais os assuntos relativos ao modelo de GRCorp que devem ser levados ao conselho. Os membros do
conselho, por sua vez, devem fazer uma reexo conjunta sobre o processo relativo ao GRCorp mais
adequado organizao, respondendo s seguintes questes:
o) Quais riscos devem ser levados ao conselho de administrao e ao comit de auditoria?
p) Quais temas merecem uma discusso aprofundada?
q) avaliada a relao entre risco e oportunidade?
r) Qual deve ser o apetite a riscos da organizao (principalmente com relao aos riscos estratgicos
e nanceiros)?
Cadernos de Governana Corporativa IBGC 32
s) Como so estabelecidos os limites de tolerncia a riscos que pautam os controles e a superviso
das operaes?
t) O conselho de administrao reete explicitamente sobre riscos em seus processos decisrios?
Essas reexes so necessrias para que os membros do conselho de administrao, alm de evitar
penalidades e conseqncias danosas organizao e aos seus prprios membros, atentem para os riscos
que devem ser por ele analisados e para o seu papel dentro da estrutura de GRCorp da organizao, uma vez
que a preocupao com riscos fundamental para que ele cumpra bem a sua misso de proteger e valorizar o
patrimnio, bem como maximizar o retorno do investimento (conforme item 2.3 do Cdigo do IBGC).
Guia de Orientao para Gerenciamento de Riscos Corporativos 33
4.1 Literatura Relacionada 34
4.1.1 Livros 34
4.1.2 Artigos e Documentos Tcnicos 34
4.1.3 Algumas Normas Relacionadas ao Tema 35
4.1.4 Alguns Websites Relacionados ao Tema 36
Referncias
4
Cadernos de Governana Corporativa IBGC 34
BASILIA II (Basel II): International Convergence of Capital Measurement and Capital Standards: A Revised
Framework, 2005. Disponvel em: http://www.bis.org .
BERNSTEIN, P. Desao aos deuses: a fascinante histria do risco, 3
a
edio,Campus, Rio de Janeiro, 1996.
COSO Report, Internal Control Integrated Framework, 1997. Disponvel em: http://www.coso.org
COSO II, ERM - Enterprise Risk Management, 2004. Disponvel em: http://www.erm.coso.org
DELOITTE Research, Disarming the Value Killers, 2005. Disponvel em: http://www.deloitte.com/dtt/article/
0,1002,sid%253D2002%2526cid%253D72667,00.html. Consulta em 05/10/2006.
GALESNE, F. e LAMB, R., Decises de Investimentos da Empresa, Atlas, 1999.
IBGC, Cdigo das Melhores Prticas de Governana Corporativa, 3 edio. So Paulo, 2004.
SARBANES-OXLEY ACT, Public Company Accounting Reform and Investor Protection Act of 2002, EUA, 2002.
4.1 Literatura Relacionada
4.1.1 - Livros
BARALDI, P. Gerenciamento de Riscos Empresariais. Rio de Janeiro: Elsevier (Editora Campus), 2 edio
revista e ampliada, 2005.
BREALEY, R. e MYERS, S., Financiamento e Gesto de Risco, Bookman, 2005.
BRIGHAM, E.F., GAPENSKI, L.C. e EHRARDT, M.C., Administrao Financeira, Teoria e Prtica, Atlas, 2001.
CROUHY M., GALAI D., MARK R., Gerenciamento de risco: abordagem conceitual e prtica: uma viso
integrada dos riscos de crdito e de mercado. Rio de Janeiro: Qualitymark: So Paulo: SERASA, 2004.
FABER, M., MANSTETTEN, R. e PROOPS, J., Ecological economics: concepts and methods. Cheltenham:
Edward Elgar Publishing Ltd. 1996.
GRINBLAT, M. e TITMAN, S., Mercados Financeiros e Estratgia Corporativa, Bookman, 2005.
JORION, P., Value-at-Risk: A nova fonte de referncia para a gesto do risco nanceiro, BM&F, 2003.
NEIL D., Integrated Risk Management: Techniques and Strategies for Managing Corporate Risk, 1
Edio, Mc Graw Hill.
SCOTT H., Risk Management and Insurance, 2 Edio, Mc Graw Hill.
VAUGHAN E., VAUGHAN T., Fundamentals of Risk and Insurance, 9 Edio, Wiley, 2003.
4.1.2 - Artigos e Documentos Tcnicos
BACCI, L. C., Gerenciamento corporativo de riscos. So Paulo: TCC/FGV, 2003.
COCURULLO, A., COSO Report e ERM Comparao entre duas metodologias. Risk Update, 10 Edio, ano
2, janeiro de 2006.
______, Gesto de riscos corporativos, 3 Edio, So Paulo: Scortecci, 2004. 230 p., ISBN 85-7372-766-7
4
Referncias
Guia de Orientao para Gerenciamento de Riscos Corporativos 35
COCURULLO, A., VANCA, P., A importncia da gesto de riscos nos processos de auditoria. So Paulo:
IBRACON - no. 286 mai./jun. 2002
CARVALHO, E.J.L, FMEA: Metodologia para Auto Avaliao - Risco Operacional. Risk Update, 8 Edio, ano
1, outubro de 2005.
DELOITTE (Consultas em 05/10/2006), When Corporate Risk Becomes Personal, Corporate
Board Member, Special Supplement, 2005. Disponvel em: http://www.deloitte.com/dtt/article/
0,1002,sid%253D5604%2526cid%253D91334,00.html. Publicado em 08/02/2006 - site EUA.
______, Value-Based EnterpriseRisk Management, Deloitte Consulting, September 2005. http://www.
deloitte.com/dtt/article/0,1002,sid%253D2132%2526cid%253D94647,00.html. Publicado em 14/02/2006
- site EUA.
______, ERA - A Guide to Risk in the Organization for the C-Suite and the Boardroom, Deloitte, August
2005. Disponvel em: http://www.deloitte.com/dtt/article/0,1002,sid=2132&cid=99958,00.html. Publicado
em 14/02/2006 - site EUA.
______, In the Dark - What boards and executives dont know about the health of their businesses, A
Survey by Deloitte in Cooperation with the Economist Intelligence Unit, October 2004. Disponvel em: http://
www.deloitte.com/dtt/whitepaper/0,1017,sid%253D1007%2526cid%253D62386,00.html; publicado em
16/01/2006 - global site.
______, Assessing the Value of EnterpriseRisk Management, Economist intelligence Unit, October2004.
Disponvel em: http://www.deloitte.com/dtt/budget/0,2299,sid%253D20241%2526cid%253D67257,00.html.
Publicado em novembro de 2004 - site Deloitte Frana.
HENRIQUES, J.P., preciso gesto estratgica. Coimbra, Portugal: 1997. Disponvel em: http://student.dei.uc.pt
J.P. MORGAN, RiskMetrics Technical Document, 1995, Fourth Edition., New York.
LIMA DE PAULO, W., FERNANDES, F.C., RODRIGUES, L.G.B. e EIDT, J., Controles internos: Uma metodologia de
mensurao dos nveis de controles de riscos, 6 Congresso de Controladoria e Contabilidade Departamento
de Contabilidade e Atuaria FEA- USP 2006. Disponvel em: www.riskofce.com.br.
LA ROCQUE, E. e LOWENKRON, A., Mtricas e particularidades da Gesto de Risco em corporaes, Artigos
RiskControl - Lista de Riscos n 4, 2004. Disponvel em: http://www.riskcontrol.com.br.
PRICEWATERHOUSECOOPERS (PwC), Cadernos promocionais sobre gesto de riscos e prestao de servios
prossionais de auditoria e consultoria. USA: de 2002 2006.
ROCCA, C.A., Volatilidade e Gesto de Risco em empresas no nanceiras, Trabalho apresentado no seminrio
Gesto de riscos em empresas no nanceiras promovido pela ABRASCA, realizado na BOVESPA em
19/11/2004. Disponvel em: www.riskofce.com.br.
RISKMETRICS GROUP, Corporate Metrics, 1998.
4.1.3 - Algumas Normas Relacionadas ao Tema
AS/NZS HB 203:2004 Environmental Risk Management Principals and process.
______, 205:2004 OHS Risk Management Hand Book.
______, 221:2004 Business Continuity Management.
Cadernos de Governana Corporativa IBGC 36
______, 240:2004 Guidelines for managing risk in outsourcing utilizing the AS/NZS 4360 process.
______, 254:2004 Guide to control assurance and risk management.
______, 4360:2004 Risk Management (Trad.: Gesto de Riscos, Risk Tecnologia, 1 Edio, Junho de 2003). Risk
Management Guidelines Companion to ASA/NZS 4360:2004.
______, 4810.1 Medical devices - Risk management - Application of risk analysis.
BS 6079-3 Project Management - Part3: Guide to the management of business related project risk.
BSI - PD6668 Managing Risk for Corporate Governance.
BSI PAS 56:2003 Guide to Business Continuity Management.
CSA Q 850:1997 Risk Management Guidelines for Decision Makers.
IEC 60300-3-9 Risk analysis of technological systems Application guide.
IEC 62198 Project risk management Application guidelines.
ISO 10006 Quality management systems Guidelines for quality management in Projects.
ISO/IEC Guide 51:1999 Safety aspects Guidelines for their inclusion in standards.
______, 73:2002 Risk management Vocabulary - guidelines for use in standards.
JISQ 2001:2001 Guidelines for development and implementation of risk management system.
PCOAB, Public Company Accounting Oversight Board Auditing - Standard 2: disponvel em: http://www.pcaobus.org.
ONR 49000 Risk management for organizations and systems -Terms and principles.
______, 49001 Risk management for organizations and systems -Elements of the risk Management system.
______, 49002-1 Risk management for organizations and systems, Part 1: Guidelines for risk.
______, 49002-2 Risk management for organizations and systems, Part 2: Guidelines for the integration of risk
management into the general management system.
______, 49003 Risk management for organizations and systems, - Qualication of the risk manager.
SNZ HB 8669:2004 Guideline for Risk Management in Sport and Recreation.
4.1.4 - Alguns Websites Relacionados ao Tema
http://www.airmic.com
http://www.erm.coso.org
http://www.ferma-asso.org
http://www.listaderiscos.com.br/lr/portal/
http://www.orx.org
http://www.pcaobus.org
http://www.rims.org
http://www.risktech.com.br
http://www.rmmagazine.com
http://www.theirm.org
Guia de Orientao para Gerenciamento de Riscos Corporativos 37
A Evoluo Histrica 38
A.1 Introduo 38
A.2 Vertente Financeira 39
A.3 Ramo de Auditoria 40
A.4 Lei Sarbanes-Oxley 41
A.5 Tecnologia da Informao 42
A.6 Norma ISO 31.000 42
B Gesto da Continuidade de Negcios 43
C Comit(s) de Risco 44
D Marco Legal e Regulatrio no Brasil 45
Anexos
Cadernos de Governana Corporativa IBGC 38
A1 Introduo
O gerenciamento de riscos uma prtica usual e antiga que faz parte da rotina de qualquer empresrio
desde tempos muito remotos (vide Bernstein, p. 1996). Uma vasta literatura foi historicamente elaborada para
a rea de seguros (vide, por exemplo, Vaughan & Vaughan, 2003) e, mais recentemente, o tema entrou em
voga e tem se desenvolvido como uma metodologia estruturada a partir de vrias vertentes, dentre as quais se
destacam: Finanas, Auditoria e Tecnologia da Informao.
A idia do seguro nos remete a uma poca anterior a Cristo, com os seguros de transportes que
foi impulsionada pela navegao martima comercial. Os sucessivos incndios em Hamburgo (1672 a 1676)
coincidem com os primeiros seguros patrimoniais e com a fundao da ainda existente Hamburger Feuerkasse,
a mais antiga seguradora do mundo. Pode-se medir a prosperidade da indstria do seguro, iniciada com a
Revoluo Industrial e sustentada pelo progresso e desenvolvimento do sculo XX, pelas inmeras seguradoras
e resseguradoras existentes e pelos volumes extraordinrios de recursos movimentados por esta indstria.
A criao do Federal Deposit Insurance Corporation (FDIC) em 1933 proveu garantias governamentais
incondicionais maioria dos bancos credores. A taxa xa (sem riscos) das garantias de depsitos auxiliou na
diminuio dos requerimentos de capitais de mercados, assegurando aos depositrios a garantia do pagamento,
mesmo que seus bancos viessem a falir.
A preocupao com a busca de solues para avaliao de processos e/ou controles internos nas
empresas continua. Em 1947 surge a Organizao Internacional de Normatizao, ISO (International Organization
for Standardization). Desde ento, novas abordagens vm sendo desenvolvidas com o objetivo de incorporar
novos conceitos nas empresas e adequ-las s exigncias do mercado e de rgos reguladores, conforme
demonstrado na gura abaixo. Importante ressaltar que o cronograma no tem a pretenso de indicar todas
F
D
I
C
I
S
O
B
a
s
e
l
I
A
c
c
o
r
d
C
O
S
O
C
a
d
B
u
r
y
G
-
3
0
K
u
n
T
r
a
g
C
o
C
o
A
N
Z
C
O
B
I
T
B
a
s
e
l
I
A
m
e
n
d
m
e
n
t
R
e
s
o
l
u
o
B
A
C
E
N
2
.
5
5
4
T
u
r
n
b
u
l
l
P
r
o
p
o
s
a
l
f
o
r
a
n
e
w
c
a
p
i
t
a
l
a
d
e
q
u
a
c
y
(
B
a
s
e
l
I
I
)
S
a
r
b
a
n
e
s
-
O
x
l
e
y
C
O
S
O
I
I
-
E
R
M
C
o
n
s
u
l
t
a
t
i
v
e
D
o
c
u
m
e
n
t
T
h
e
N
e
w
B
a
s
e
l
C
a
p
i
t
a
l
A
c
c
o
r
d
1933 1947 1988 1992 1993 1994 1995 1996 1998 1999 2002 2004
A
Evoluo Histrica
Guia de Orientao para Gerenciamento de Riscos Corporativos 39
as metodologias e/ou abordagens disponveis, mas sim apresentar uma viso histrica de marcos regulatrios
importantes surgidos recentemente. A seguir, alguns links teis:
www.acionista.com.br/mercado/dc.htm
www.bcb.gov.br
www.bis.org/bcbs/index.htm
www.bouzas.com.br/2554_Integral.htm
www.group30.org/home.php
www.ic.coso.org/
www.isaca.org/cobit/
www.iso.org/iso/en/ISOOnline.frontpage
www.pch.gc.ca/progs/em-cr/verif/2003/2003_12/2_e.cfm?nav=0
www.sarbanes-oxley.com/section.php?level=1&pub_id=SEC-Rules
A.2 Vertente Financeira
Na indstria nanceira, o incentivo a implementar os sistemas de gerenciamento de riscos surgiu, na
dcada de 80, com a preocupao crescente do Bank of England e do Federal Reserve Board com a exposio
dos bancos relacionadas s operaes off-balance-sheet, conjugados com problemas de emprstimos para os
pases do terceiro mundo. O Bank of International Settlements (BIS) continuou o processo iniciado pelo Federal
Reserve Bank e pelo Bank of England enviando prvias de propostas para os bancos e demandando comentrios
e sugestes. Os primeiros resultados deste processo vieram em 1988, com o Acordo da Basilia e suas emendas
subseqentes a partir de 1996.
O primeiro Acordo, de 1988, tinha como foco a alocao de capital para fazer frente a riscos de crdito.
A partir de 1993, introduziram-se regras para o risco de mercado (vide denio na nota de rodap n 9)
que tem como grande referncia a publicao pelo JP Morgan do RiskMetrics (vide www.riskmetrics.com)
em outubro de 1994. O documento veio em resposta aos grandes desastres nanceiros do incio dos anos 90
(casos conhecidos como os da Procter & Gamble, Orange Count, Barings, etc) (ver Jorion, p. 2003 no item 4.1.1),
e introduziu o conceito de Value-at-Risk (VaR).
O VaR mede a perda potencial do valor de uma carteira com determinada probabilidade num dado
intervalo de tempo. A grande vantagem em geral atribuda ao VaR o de ser uma mtrica de risco que consegue
num nico nmero resumir todo o risco de mercado da instituio. Entretanto, o gerenciamento de riscos em
empresas no-nanceiras bem mais complexo. Desde a publicao do RiskMetrics observa-se um intenso
debate sobre como adaptar o conceito de VaR para estas empresas, e o nico consenso atingido foi o de que o
VaR no seria suciente, poia o gerenciamento de riscos em empresas necessariamente envolveria mltiplas
facetas, no apenas quantitativas, mas tambm qualitativas.
O conceito de VaR est muito associado marcao a mercado de ativos e passivos; e a falta de
liquidez dos ativos de uma empresa faz com que a mesma esteja mais preocupada com o fluxo de caixa
ou com o resultado em risco do que com o valor presente em risco. Desenvolveram-se, ento, conceitos
Cadernos de Governana Corporativa IBGC 40
tais como CfaR (Cashflow-at-Risk), EaR (Earnings-at-Risk) e PaR (Profit-at-Risk). Ver RISKMETRICS GROUP
(1998) e LA ROCQUE, E. e LOWENKRON, A. (2004).
Em junho de 1999, o Basle Committee on Banking Supervision do BIS, ou Comit da Basilia, props
uma uma nova estrutura para a adequao do capital, cuja publicao substituiu o acordo de 1988. Os objetivos
do novo acordo so:
Promover segurana e equilbrio no sistema nanceiro mediante a manuteno de pelo menos o
mesmo nvel de capital que os bancos mantm no sistema atual;
Aprimorar o nvel de competitividade de forma eqitativa. As novas regras no devem oferecer
incentivos para que reguladores em alguns pases elaborem regras mais atraentes para impulsionar
os investimentos em seus pases. Por exemplo, dois bancos com o mesmo portiflio deveriam ter o
mesmo capital onde quer que eles estejam atuando;
Constituir abordagem mais ampla para o gerenciamento de riscos, objetivando aprimorar o Acordo de
1988, mediante a incorporao de novas dimenses de risco (por exemplo, os riscos operacionais);
Focalizar em bancos que sejam internacionalmente ativos. Os princpios desta abordagem devem ser
exveis o suciente para atender instituies nanceiras com distintos nveis de complexidade e
sosticao.
Para alcanar estes objetivos, o Comit da Basilia props uma estrutura apoiada em trs pilares:
o primeiro trata da adequao do capital regulatrio mnimo com base nos riscos de mercado, de crdito e
operacionais; o segundo refora a capacidade dos supervisores bancrios em avaliar e adaptar o capital
regulatrio s condies de cada instituio nanceira; e o terceiro atribui transparncia e divulgao de
informaes um papel importante e relevante no fomento disciplina de mercado.
A.3 Ramo de Auditoria
Paralelamente a este desenvolvimento pelo ramo financeiro, auditores, contadores e legisladores
tm devotado ateno crescente aos controles internos. O Financial Accounting Standards Board (FASB)
publicou guias encorajando a divulgao de demonstraes financeiras mais completas, demonstrando
o que tem sido feito para mitigar os riscos e o modelo de governana instaurado para o gerenciamento
desses riscos entre outras iniciativas.
Um grupo de reguladores e prossionais tm publicado guias importantes relativos aos controles
internos e ao gerenciamento de riscos. Dentre os esforos notveis incluem-se:
Relatrio COSO (1992): elaborado previamente pelos contadores profissionais dos Estados
Unidos, estabelece padres para que os controles internos assegurem operaes eficientes,
relatrios financeiros confiveis e conformidade legal. Entre os aspectos de controles internos
so descritos em detalhes a mitigao e o monitoramento dos riscos. [mais informaes sobre
o COSO no item A.4]
o
p
a
r
a
G
e
r
e
n
c
i
a
m
e
n
t
o
d
e
R
i
s
c
o
s
C
o
r
p
o
r
a
t
i
v
o
s
1
Srie
Cadernos
de Governana
Corporativa
2
3
Guia de Orientao
para o Conselho Fiscal
Guia de Orientao
para Gerenciamento
de Riscos Corporativos
Manual Prtico de
Recomendaes Estatutrias
Patrocnio:
Apoio: