Escolar Documentos
Profissional Documentos
Cultura Documentos
Gere Nci Amen To
Gere Nci Amen To
Guia de Orientao
para Gerenciamento
de Riscos Corporativos
Guia de
Orientao para
Gerenciamento
de Riscos
Corporativos
2007
Crditos
Este trabalho foi desenvolvido pelo Subcomit de Gerenciamento de Riscos Corporativos do Comit de
Finanas e Contabilidade do IBGC.
Durante sua elaborao, este documento passou por processo intenso de discusso e audincia pblica,
tendo recebido diversas contribuies e sugestes.
Agradecemos Bovespa, pela cesso de suas instalaes no Rio de Janeiro para algumas das reunies
de trabalho e ao staff do IBGC, especialmente Simone Novotny Couto Pereira e Angela Rita Franco Donaggio,
que secretariaram os trabalhos. Agradecemos todos os membros do Subcomit de Gerenciamento de Riscos
Corporativos, principalmente Eduarda La Rocque, que coordenou a organizao deste documento.
Contribuies:
Antonio Laporta
Antonio Moura
Camila Nogueira
Carlos Antonio Rocca
Clarissa Lins
Eduardo de Vasconcellos
Heloisa B. Bedicks
Ives Pereira Muller
Joo Carlos Orzzi Lucas
Jose Luiz de Souza Motta
Lcio Carlos de Pinho Filho
Moacyr Carmo
Paulo Baraldi
Paulo Conte Vasconcellos
Roberto Lamb
Coordenao:
Eduarda La Rocque
Contribuies especiais:
Este guia contou com a participao extremamente relevante de Antonio Cocurullo, Eduardo Lins de
Carvalho, Jorge Luiz de Carvalho Brando e Lucia Hauptman, e com a inestimvel colaborao de Carlos
Eduardo Lessa Brando para tornar o texto o mais didtico possvel, aproximando-o do que deveria ser
um guia do IBGC.
ndice
1
2
Introduo
1.1 Conceituao de Risco
1.2 Benefcios do Modelo de GRCorp
Metodologia de Implantao
2.1 Identificao e Classificao dos Riscos
2.1.1 Associao com os Objetivos Estratgicos e Perfil de Riscos
2.1.2 Categorizao dos Riscos
2.1.2.1 Origem dos Eventos
2.1.2.1.1 Riscos Externos
2.1.2.1.2 Riscos Internos
2.1.2.2 Natureza dos Riscos
2.1.2.2.1 Riscos Estratgicos
2.1.2.2.2 Riscos Operacionais
2.1.2.2.3 Riscos Financeiros
2.1.2.3 Exemplos de Tipos de Riscos
2.1.2.3.1 Tecnologia
2.1.2.3.2 Ambiental
2.1.2.3.3 Conformidade
2.2 Avaliao dos Riscos
2.3 Mensurao dos Riscos
2.4 Tratamento dos Riscos
2.4.1 Evitar o Risco
2.4.2 Aceitar o Risco
2.4.2.1 Reter
2.4.2.2 Reduzir
2.4.2.3 Transferir e/ou Compartilhar
2.4.2.4 Explorar
2.4.3 Preveno e Reduo dos Danos
2.4.4 Capacitao
2.5 Monitoramento dos Riscos
2.6 Informao e Comunicao
9
11
12
14
16
16
16
18
18
18
18
18
19
19
19
19
20
20
20
21
22
23
23
23
23
23
24
24
24
25
26
27
Referncias
4.1 Literatura Relacionada
4.1.1 Livros
4.1.2 Artigos e Documentos Tcnicos
4.1.3 Algumas Normas Relacionadas ao Tema
4.1.4 Alguns Websites Relacionados ao Tema
33
28
29
29
29
29
30
30
30
34
34
34
35
36
Anexos
A Evoluo Histrica
A.1 Introduo
A.2 Vertente Financeira
A.3 Ramo de Auditoria
A.4 Lei Sarbanes-Oxley
A.5 Tecnologia da Informao
A.6 Norma ISO 31.000
B Gesto da Continuidade de Negcios
C Comit(s) de Risco
D Marco Legal e Regulatrio no Brasil
38
38
39
40
41
42
42
43
44
45
Apresentao
sobre parte dos conceitos envolvidos1, e as prticas entre as empresas so as mais variadas. Desta forma,
julga-se necessrio divulgar os conceitos para, em seguida, introduzir e disseminar a cultura de gerenciamento
de riscos corporativos. A partir do entendimento e alinhamento dos conceitos e da formao de um linguajar
comum, deve-se implantar o que melhor se aplica realidade de cada organizao no contexto em que se
encontra e atua. Dispor de um modelo mental e de termos e jargo adequados para viabilizar a discusso
das aplicaes prticas do gerenciamento integrado de riscos (especialmente entre os conselheiros de
administrao e especialistas no tema), representa uma das principais contribuies deste Guia para as
organizaes.
O IBGC acredita que as reflexes e sugestes trazidas com este Guia contribuiro para o
aperfeioamento do ambiente empresarial, por se tratar de uma valiosa ferramenta de gesto para o
desenvolvimento sustentvel das organizaes, beneficiando todas as partes interessadas.
1
Introduo
11
12
10
Introduo
11
apresente bons conhecimentos sobre o assunto2, sendo recomendvel que os demais tambm disponham de
conhecimento mnimo sobre o tema.
Aps introduo conceitual sobre riscos, detalha-se, no captulo 2, o processo de identificao, avaliao
e resposta aos riscos. O captulo 3 visa a auxiliar na implementao de um modelo de GRCorp que respeite o
estgio de desenvolvimento e a estratgia de longo prazo de cada organizao.
O termo risco proveniente da palavra risicu ou riscu, em latim, que significa ousar (to dare, em ingls).
Costuma-se entender risco como possibilidade de algo no dar certo, mas seu conceito atual envolve a
quantificao e qualificao da incerteza3, tanto no que diz respeito s perdas como aos ganhos, com relao
ao rumo dos acontecimentos planejados, seja por indivduos, seja por organizaes:
Quando investidores compram aes, cirurgies realizam operaes, engenheiros projetam pontes,
empresrios abrem seus negcios e polticos concorrem a cargos eletivos, o risco um parceiro
inevitvel. Contudo, suas aes revelam que o risco no precisa ser hoje to temido: administr-lo
tornou-se sinnimo de desafio e oportunidade. (Bernstein, p., p. VII, 3a edio,1996)
O risco inerente a qualquer atividade na vida pessoal, profissional ou nas organizaes, e pode
envolver perdas, bem como oportunidades. Em Finanas, a relao risco-retorno indica que quanto maior o
nvel de risco aceito, maior o retorno esperado dos investimentos. Esta relao vale tanto para investimentos
financeiros como para os negcios, cujo retorno determinado pelos dividendos e pelo aumento do valor
econmico da organizao.
Empreender significa buscar um retorno econmico-financeiro adequado ao nvel de risco associado
atividade. Ou seja, o risco inerente atividade de negcios, na qual a conscincia do risco e a capacidade
de administr-lo, aliadas disposio de correr riscos e de tomar decises, so elementos-chave. Assumir
riscos diferencia empresas lderes, mas tambm pode lev-las a estrondosos fracassos. O resultado das
iniciativas de negcios revela que o risco pode ser gerenciado a fim de subsidiar os administradores4 na
tomada de deciso, visando a alcanar objetivos e metas dentro do prazo, do custo e das condies prestabelecidas.
2 A composio do conselho de administrao (segundo item 2.17 do Cdigo do IBGC) deve buscar diversidade de experincias,
conhecimentos e perfis, de maneira que se possa reunir, dentre outros fatores, experincia em administrar crises e experincia em
identificao e controle de riscos.
3 Risco: evento futuro identificado, ao qual possvel associar uma probabilidade de ocorrncia. Incerteza: evento futuro identificado,
ao qual no possvel associar uma probabilidade de ocorrncia. Ignorncia: eventos futuros que, no momento da anlise, no
podero sequer ser identificados, muito menos quantificados (exemplo: eventos decorrentes de sistemas complexos como o climtico
as conseqncias do aquecimento global so imprevisveis). Faber, Manstetten e Proops, 1996, p. 209-211.
4 Administradores: conselheiros de administrao e diretoria. Tambm chamada de alta administrao.
12
A adoo de um modelo de GRCorp visa a permitir que a alta administrao e demais gestores da
organizao lidem eficientemente com a incerteza, buscando um balanceamento timo entre desempenho,
retorno e riscos associados.
A implantao do GRCorp traz vrios benefcios para a organizao:
a) Preserva e aumenta o valor da organizao, mediante a reduo da probabilidade e/ou impacto de
eventos de perda, combinada com a diminuio de custos de capital que resulta da menor percepo
de risco por parte de financiadores e seguradoras e do mercado em geral;
b) Promove maior transparncia, ao informar aos investidores e ao pblico em geral os riscos aos
quais a organizao est sujeita, as polticas adotadas para sua mitigao, bem como a eficcia das
mesmas;
c) Melhora os padres de governana, mediante a explicitao do perfil de riscos adotado, em
consonncia com o posicionamento dos acionistas e a cultura da organizao, alm de introduzir
uma uniformidade conceitual em todos os nveis da organizao, seu conselho de administrao e
acionistas.
Alm dos benefcios listados acima, a implementao de um modelo de GRCorp eficaz apresenta ainda
vrios outros resultados positivos para a organizao:
d) Desenho de processos claros para identificar, monitorar e mitigar os riscos relevantes;
e) Aprimoramento das ferramentas de controles internos (sistemas de controles) para medir, monitorar
e gerir os riscos;
f) Melhoria da comunicao entre as reas da organizao;
g) Identificao e priorizao dos riscos relevantes (exposio lquida, j considerando os impactos
interrelacionados e integrados a diversos tipos de riscos);
h) Definio de uma metodologia robusta para mensurar e priorizar riscos;
i) Definio e implementao do modelo de governana para gerir a exposio (fruns de deciso,
polticas e processos e definio de aladas);
13
j) Identificao de competncias para antecipar riscos relevantes e, se for o caso, mitig-los aps uma
anlise custo-benefcio;
k) Melhor entendimento do posicionamento competitivo da organizao;
l) Promoo de transparncia para os stakeholders5, em relao aos fatores que possam valorizar ou
prejudicar a organizao.
Em resumo, o GRCorp preserva e agrega valor econmico organizao, contribuindo fundamentalmente
para a realizao de seus objetivos e metas de desempenho, representando mais do que um mero conjunto de
procedimentos e polticas de controle. Alm disso, facilita a adequao da organizao aos requerimentos legais
e regulatrios, fatores crticos para sua perenidade.
5 Stakeholders - partes interessadas: pblicos relevantes com interesses pertinentes organizao, ou ainda, indivduos ou entidades
que assumam algum tipo de risco, direto ou indireto, em face da organizao. So elas, alm dos acionistas, os funcionrios, clientes,
fornecedores, credores, governos, entre outros.
14
Metodologia
da Implantao
16
16
16
18
18
18
18
18
19
19
19
19
20
20
20
21
22
23
23
23
23
23
24
24
24
25
26
15
Utilizando-se da definio proposta pelo COSO II6, o GRCorp um processo desenhado para identificar
e responder a eventos que possam afetar os objetivos estratgicos da organizao. Suas diretrizes devem ser
estabelecidas pelo conselho de administrao e as aes decorrentes devem ser implementadas pelos gestores,
com o objetivo de prover, com razovel segurana, a realizao das metas da organizao a partir de um adequado
alinhamento da estratgia com o seu apetite a riscos.
Em funo desta ampla definio h distintas metodologias e estruturas para o desenvolvimento e
implantao do GRCorp. A bibliografia anexa inclui exemplos de metodologias e estruturas que atendem s
boas prticas de GRCorp. O Guia se prope a apresentar aspectos relevantes destas metodologias e estruturas.
Os aspectos referentes a estruturas adequadas e de como implementar um modelo de GRCorp so tratados
no captulo 3. Neste captulo descrevem-se seis etapas fundamentais em uma metodologia de implantao
de um modelo de GRCorp: identificao e classificao, avaliao, mensurao, tratamento, monitoramento,
informao e comunicao dos riscos.
Para mapear, analisar e principalmente tomar decises em termos de priorizao e alocao de recursos
em consonncia com o gerenciamento de riscos, recomenda-se a categorizao destes eventos por natureza
e origem (na etapa de identificao dos riscos) e por relevncia (nas etapas de avaliao e mensurao dos
riscos), sempre associados aos objetivos estratgicos da organizao.
Cabe realar que o processo de identificao de riscos (item 2.1) pode resultar na identificao de
oportunidades, o que requer a participao de pessoas qualificadas, com viso holstica dos negcios da
organizao nos seus diferentes nveis. Os riscos corporativos identificados devem ser conhecidos por toda a
organizao e, portanto, devidamente comunicados pela alta administrao.
Aps a identificao dos riscos, torna-se necessrio adotar uma mtrica que permita a avaliao da
relevncia dos mesmos atravs de informaes relacionadas sua exposio e correspondentes fontes de
incertezas. Para determinar a relevncia dos riscos deve-se avaliar seu impacto (no apenas no desempenho
econmico-financeiro do perodo, mas tambm o impacto intangvel) e a probabilidade de ocorrncia (item 2.2).
Uma vez definidos os objetivos estratgicos da organizao, estes so traduzidos num conjunto de planos
e metas organizados e ordenados de aes sob os pontos de vista fsico e econmico-financeiro. O modelo de
GRCorp deve buscar quantificar a incerteza envolvida neste planejamento econmico-financeiro e projetar os
resultados da empresa em cenrios alternativos de preos, condies macroeconmicas e operacionais (etapa
de mensurao dos riscos item 2.3).
Depois de avaliados e mensurados, deve-se definir qual o tratamento que ser dado aos riscos (item
2.4) e como os mesmos devero ser monitorados (item 2.5) e informados s diversas partes interessadas
(item 2.6).
6 COSO - The Committee of Sponsoring Organizations of the Treadway Commission - entidade sem fins lucrativos dedicada, num
primeiro momento, melhoria dos relatrios financeiros atravs da tica, efetividade dos controles internos e governana corporativa.
No COSO II amplia-se a abordagem para tratar do GRCorp - ver Anexo A.4.
16
Trata-se da definio do conjunto de eventos, externos ou internos, que podem impactar os objetivos
estratgicos da organizao, inclusive os relacionados aos ativos intangveis7. importante ressaltar que sempre
existiro riscos desconhecidos pela organizao. O processo de identificao e anlise geral de riscos deve ser
monitorado e continuamente aprimorado.
2.1.1 - Associao com os Objetivos Estratgicos e Perfil de Riscos
Os objetivos estratgicos orientam como a organizao dever trabalhar para criar valor a todos que
investiram na organizao, o que depende crucialmente do perfil de riscos corporativos.
A definio do perfil de riscos prerrogativa do conselho de administrao que, por sua vez, reflete a
posio dos acionistas. O perfil de riscos significa em quanta exposio ao risco se aceita incorrer, o que envolve
tanto o nvel de apetite quanto o de tolerncia a riscos8.
O perfil de riscos dever estar refletido na cultura da organizao e, para isto, cabe ao conselho de
administrao outorgar um mandato claro para a diretoria administr-lo. A implantao de um modelo de
GRCorp requer o envolvimento ativo de ambos (conselho de administrao e diretoria), aprimorando o processo
de tomada de deciso da organizao, tanto no contexto da elaborao do seu planejamento estratgico, como
na sua execuo e monitoramento.
Para determinar o perfil de riscos de uma organizao so necessrias definies claras de indicadores
de desempenho e ndices de volatilidade, divididos em dois grupos: um de natureza financeira (valor de mercado,
gerao de caixa operacional, distribuio de dividendos, etc.) e outro de natureza qualitativa (transparncia,
idoneidade, reconhecimento de marca, ambiente de trabalho, responsabilidade socioambiental, etc.).
2.1.2 - Categorizao dos Riscos
Dentre os vrios critrios alternativos para a classificao dos riscos, h dois componentes que se interrelacionam: Pessoas principalmente como causas e a Reputao principalmente como conseqncia do
bom ou mau gerenciamento dos riscos.
O risco associado s Pessoas um componente causal presente na grande maioria dos riscos da
7 Ativos intangveis podem ser entendidos como os ativos e mtodos responsveis pela diferena entre o market value (valor de
mercado) e o book value (valor contbil) da organizao. So direitos, sem representao fsica, que do organizao uma posio
exclusiva ou preferencial no mercado, ou seja, contribuem para o seu valor econmico. Exemplos: carteira de clientes, reputao,
relacionamentos, imagem, processos, capacidade de inovao, softwares, marcas e patentes, direitos autorais, licenas, concesses,
pesquisa e desenvolvimento, etc.
8 Enquanto apetite ao risco est associado ao nvel de risco que a organizao pode aceitar na busca e realizao de sua misso/
viso (anlise ex-ante), tolerncia ao risco diz respeito ao nvel aceitvel de variabilidade na realizao das metas e objetivos
definidos (atividade mais associada ao monitoramento, ex-post).
17
organizao. Por exemplo, a falha na formulao de objetivos claramente entendidos, aceitos e positivamente
concatenados dentro da organizao como um todo, um risco que acarreta perda de sinergia e valor empresarial.
Por outro lado, a eficcia e eficincia na formulao e/ou execuo desses objetivos acarretaro ganho de
sinergia e de valor empresarial.
Os eventos que podem atingir criticamente a Reputao da organizao em geral denominados risco
reputacional ou de imagem na verdade no se constituem num tipo especfico de risco, mas sim numa
conseqncia do mau gerenciamento dos riscos que se torna pblico. Exemplo: o impacto negativo sofrido por
uma empresa de marca valiosa acusada de prticas tais como o uso de material txico para produo de bens,
contratao de fornecedores com prticas trabalhistas condenveis, etc. O impacto negativo sofrido por essa
empresa, de marca forte, pode causar impacto positivo nas empresas concorrentes.
No h um tipo de classificao de riscos que seja consensual, exaustivo e aplicvel a todas as
organizaes; a classificao deve ser desenvolvida de acordo com as caractersticas de cada organizao,
contemplando as particularidades da sua indstria, mercado e setor de atuao. Por exemplo: os estoques de
materiais de consumo so menos relevantes para um banco do que para uma indstria, onde pode representar
um dos principais fatores de risco. Analogamente, as variveis relacionadas ao risco de mercado9 so cruciais
para um banco e podem no ser to relevantes para determinada organizao manufatureira.
Uma das formas de categorizao dos riscos consiste em desenhar uma matriz que considere a
origem dos eventos, a natureza dos riscos e uma tipificao dos mesmos, conforme ilustrado hipoteticamente
na Figura 1 abaixo:
Tipos
Operacional
Financeiro
Externo
Ambiental
Social
Tecnolgico
Legal
Financeiro
Interno
o r i gem d o s even t os
Macroeconmico
Ambiental
Social
Tecnolgico
Conformidade
9 Risco de mercado a denominao utilizada no sistema financeiro para o tipo de risco associado a perdas no valor da carteira de
ativos e passivos (incluindo derivativos) advindas de oscilaes de preos de aes, commodities, moedas e taxas de juros.
18
A classificao deve ser feita observando-se algumas diretrizes, normalmente encontradas na literatura
sobre gerenciamento de riscos.
2.1.2.1 - Origem dos Eventos
importante determinar a origem dos eventos (externos ou internos), pois auxilia na definio da
abordagem a ser empregada por parte da organizao.
2.1.2.1.1 - Riscos Externos: so ocorrncias associadas ao ambiente macroeconmico, poltico,
social, natural ou setorial em que a organizao opera. Exemplos: nvel de expanso do crdito, grau
de liquidez do mercado, nvel das taxas de juros, tecnologias emergentes, aes da concorrncia,
mudana no cenrio poltico, conflitos sociais, aquecimento global, catstrofes ambientais, atos
terroristas, problemas de sade pblica, etc. A organizao, em geral, no consegue intervir
diretamente sobre estes eventos e ter, portanto, uma ao predominantemente reativa. Isto no
significa que os riscos externos no possam ser gerenciados; pelo contrrio, fundamental que a
organizao esteja bem preparada para essa ao reativa.
2.1.2.1.2 - Riscos Internos: so eventos originados na prpria estrutura da organizao, pelos seus
processos, seu quadro de pessoal ou de seu ambiente de tecnologia. A organizao pode e deve, em
geral, interagir diretamente com uma ao pr-ativa.
2.1.2.2 - Natureza dos Riscos
Igualmente importante classificar a natureza dos riscos, o que permite sua agregao de uma forma
organizada e de acordo com a sua natureza - estratgica, operacional ou financeira - em funo da(s)
rea(s) da organizao que (so) afetada(s) pelos eventos. Cabe mencionar que os riscos podem
pertencer a categorias distintas e em alguns casos podero se encaixar em duas ou at mesmo em todas
as categorias concomitantemente. Em alguns segmentos de negcio mais regulados, notadamente os
bancos, o rgo regulador estabelece como boa parte dos riscos devem ser agrupados.
2.1.2.2.1 - Riscos Estratgicos
Os riscos estratgicos esto associados tomada de deciso da alta administrao e podem gerar
perda substancial no valor econmico da organizao10. Os riscos decorrentes da m gesto empresarial
muitas vezes resultam em fraudes relevantes nas demonstraes financeiras. Exemplos: falhas na
antecipao ou reao ao movimento dos concorrentes causadas por fuses e aquisies; diminuio
de demanda do mercado por produtos e servios da empresa causada por obsolescncia em funo de
desenvolvimento de novas tecnologias/produtos pelos concorrentes.
10 Segundo o estudo Disarming the Value Killers (Deloitte, 2006), o risco estratgico o principal motivador para a perda de valor
das aes do grupo de 100 empresas, entre as mil maiores organizaes globais, que registraram as maiores quedas no preo das
aes em perodos de um ms, ao longo do decnio 1994-2003.
19
20
Para se definir qual o tratamento que ser dado a determinado risco, o primeiro passo consiste em
determinar o seu efeito potencial, ou seja, o grau de exposio da organizao quele risco. Esse grau leva em
considerao pelo menos dois aspectos11: a probabilidade de ocorrncia e o seu impacto (em geral medido pelo
impacto no desempenho econmico-financeiro do perodo). Deve-se incorporar tambm o impacto intangvel
anlise (Figura 2).
A quantificao do grau de exposio nem sempre trivial, podendo haver interdependncia entre
os riscos em dois nveis: a) os eventos podem no ser independentes; b) um determinado evento pode gerar
impactos mltiplos, ou seja, efeitos sobre diferentes tipos de riscos, em diversas reas. Neste caso, o grau
de exposio ir depender do impacto financeiro consolidado e da probabilidade conjunta de todos os eventos e
deve ser medido quantitativamente de acordo com a metodologia proposta no item 2.3.
Para o caso de eventos independentes que tenham efeito sobre uma nica rea como a maior parte dos
riscos operacionais - o grau de exposio financeira calculado simplesmente pelo valor aproximado do impacto
financeiro multiplicado pela probabilidade de ocorrncia do evento. Os riscos associados a estes eventos podem
ser controlados para cada processo isoladamente. Incorpora-se ainda na abordagem o impacto intangvel de
cada um dos processos, tal como ilustrado nas figuras ao lado.
11 Metodologias especializadas consideram trs como sendo os aspectos fundamentais para uma boa anlise da importncia e
priorizao do controle de risco: capacidade de deteco e/ou preveno, probabilidade e impacto.
Grfico B
Exposio Financeira
Exposio
aceitvel
Alta
Mdia
Exposio Financeira
Impacto do evento
Exposio
inaceitvel
Exposio Final
Baixa
Grfico A
21
Baixo
Mdio
Alto
Probalidade de ocorrncia
Uma primeira abordagem para o gerenciamento de riscos pode adotar uma viso mais qualitativa
sobre os objetivos estratgicos da organizao e os impactos dos eventos de riscos sobre eles (avaliao
aproximada da exposio alta, mdia ou baixa, tal como ilustrado na Figura 2). Entretanto, uma vez definido
o direcionamento estratgico da organizao, este pode ser traduzido em termos quantitativos (objetivos,
indicadores de desempenho e metas financeiras) que orientaro o seu planejamento (projeo do oramento e
do plano plurianual).
A atividade de planejamento envolve detalhar, alm de outros dados, as receitas e as despesas operacionais, os
custos, investimentos e o fluxo de caixa projetado. Para isto necessrio que se projetem cenrios sobre as tendncias
de mercado, trajetrias das variveis macroeconmicas e financeiras, bem como as premissas operacionais. Consolida-
22
se, assim, um conjunto organizado e ordenado de planos e metas das aes, sob o ponto de vista fsico, econmico e
financeiro. O modelo de GRCorp deve buscar quantificar as incertezas envolvidas na fase de planejamento e projetar
os resultados da organizao em cenrios alternativos de preos, condies macroeconmicas e operacionais.
O impacto financeiro consolidado dos riscos na organizao pode ser medido quantitativamente em
termos da variao potencial do seu valor econmico, fluxo de caixa e resultado econmico, atravs de uma
metodologia que se denomina planejamento sob incerteza. Para viabilizar tal quantificao necessrio que a
organizao (i) tenha o seu negcio modelado em alguma ferramenta que possibilite simulaes e (ii) seja capaz
de gerar cenrios das principais variveis e consistentes entre si.
A modelagem passa pela identificao detalhada de cada um dos fatores que afetam as transaes e
indicadores de desempenho da organizao, incluindo todos os tipos de riscos identificados, e pela determinao
da dinmica de impacto de cada uma das operaes nas contas de resultados.
A gerao de cenrios envolve o conhecimento e previses de cada rea estratgica da organizao
e deve expressar a evoluo conjunta das variveis. A rea financeira pode traar previses para as variveis
macroeconmicas; a rea de crdito, para a inadimplncia de cada tipo de cliente; a rea comercial, para as
vendas; e estas, em conjunto com a de planejamento, para os preos, ndices de consumo, eficincia, capacidade,
etc. Associando-se probabilidades aos cenrios gerados, possvel quantificar o risco e estimar a probabilidade
de que qualquer mtrica de desempenho fique abaixo das metas oradas em cada perodo (ex.: gerao ou
necessidade de caixa, resultado contbil, etc.). recomendvel buscar a identificao e o gerenciamento dos riscos
integralmente, no apenas os riscos isolados, mas tambm os riscos mltiplos e comuns a diferentes reas12.
O processo de GRCorp passa a envolver, a partir de ento: o monitoramento das exposies, a avaliao
antecipada do impacto de novas operaes ou diferentes cenrios de mercado e a comparao com os
resultados efetivos, para identificao das fontes de desvio e reavaliao do modelo. Obtm-se, assim, maior
autoconhecimento e, conseqentemente, um processo decisrio antecipado de reduo de perdas e aumento de
ganhos, como tambm uma previsibilidade maior para os resultados futuros da organizao.
Depois de identificados, avaliados e mensurados, deve-se definir qual o tratamento que ser dado aos
riscos. Na prtica, a eliminao total dos riscos impossvel. Nesse contexto, a elaborao de um mapa de riscos
(tal como o esboado na Figura 2) apia a priorizao e visa direcionar os esforos relativos a novos projetos
e planos de ao elaborados, a fim de minimizar os eventos que possam afetar adversamente e maximizar
aqueles que possam trazer benefcios para a organizao. recomendvel alinhar a estrutura de controles
12 Para efeito de ilustrao de uma situao em que os impactos so mltiplos, podemos avaliar o efeito do evento variao da
cotao do dlar em uma organizao que tenha tanto contratos comerciais quanto financeiros dolarizados. Caso haja aumento da
cotao da moeda norte-americana, tanto o contrato financeiro como o comercial sero afetados e deve-se determinar a exposio
consolidada da organizao taxa de cmbio, que no independente de outros eventos, tais como mudanas na trajetria da taxa
de juros, no preo da matria-prima, preo do produto vendido, etc.
13 Os termos tratamento dos riscos ou resposta aos riscos so usados indistintamente ao longo deste guia.
23
internos aos objetivos estratgicos e ao nvel de exposio desejado pela organizao. A alta administrao
poder determinar seu posicionamento frente aos riscos, considerando seus efeitos, grau de averso e resposta,
complementada por uma anlise de custo-benefcio.
As vrias alternativas para tratamento dos riscos so descritas abaixo, iniciando-se pelo dilema bsico:
evitar ou aceitar o risco.
2.4.1 - Evitar o Risco: deciso de no se envolver ou agir de forma a se retirar de uma situao de risco.
Exemplo: uma organizao decide se desfazer de uma unidade de negcios.
2.4.2 - Aceitar o Risco: neste caso, apresentam-se quatro alternativas: reter, reduzir, transferir/
compartilhar ou explorar o risco.
2.4.2.1 - Reter: manter o risco no nvel atual de impacto e probabilidade. Exemplo: a diretoria
da empresa decide nada investir em melhorias da rea de informtica, assumindo que as perdas
e erros atualmente sabidos e esperados de informaes internas para o processo de deciso e
de gesto so (riscos) tolerveis.
2.4.2.2 - Reduzir: aes so tomadas para minimizar a probabilidade e/ou o impacto do risco.
Exemplo: uma organizao financeira identificou e avaliou o risco de seus sistemas permanecerem
inoperantes por um perodo superior a trs horas e concluiu que no aceitaria o impacto dessa
ocorrncia. A organizao investiu no aprimoramento de sistemas de auto-deteco de falhas e
de backup para reduzir a probabilidade de indisponibilidade do sistema.
2.4.2.3 - Transferir e/ou Compartilhar: atividades que visam reduzir o impacto e/ou
a probabilidade de ocorrncia do risco atravs da transferncia ou, em alguns casos, do
compartilhamento de uma parte do risco. Exemplo: uma concessionria de energia eltrica
identificou e avaliou os riscos de falhas naturais com danos eltricos em seus equipamentos
turbo-geradores e de potncia de grandes usinas. Aps analisar a melhor estratgia a ser
adotada no que tange s despesas possveis com franquia vis--vis os prmios de risco a serem
contratados, constitui-se um seguro destes equipamentos junto ao mercado, transferindo este
risco operacional categorizado como de alto impacto e baixa freqncia, inerente ao processo
de operao e manuteno.
Devem ser transferidos por meio de seguro os riscos tidos como catastrficos (riscos de baixa
freqncia e alta severidade), os riscos de alta freqncia que provoquem cumulativamente perdas
relevantes e todos aqueles cujo custo de transferncia seja inferior ao custo de reteno. Os custos
de seguro obtidos no mercado podem subsidiar a deciso sobre reteno versus transferncia
dos riscos. Alm de identificar os riscos que deseja transferir, os gestores de seguros precisam
conhecer profundamente a dinmica das operaes da organizao e o fluxo de informaes que
garantir a adequao do contrato de seguro por toda a vigncia das aplices, normalmente de
24
25
controlar um incndio, o evento, inicialmente classificado como de alto impacto, pode ser reclassificado
para mdio ou baixo impacto.
A avaliao da capacitao se d em duas dimenses principais: pessoas e processos. O exerccio de avaliao
de capacitao requer uma anlise comparativa s melhores prticas, com a identificao de eventuais
lacunas de capacitao. Uma vez definido o grau de tolerncia ao risco da organizao, deve-se adotar um
plano de ao para eliminar as lacunas inaceitveis para assegurar um gerenciamento de riscos eficaz.
Cabe alta administrao a avaliao contnua da adequao e da eficcia de seu modelo de GRCorp.
Este deve ser constantemente monitorado, com o objetivo de assegurar a presena e o funcionamento de todos
os seus componentes ao longo do tempo.
O monitoramento regular ocorre no curso normal das atividades gerenciais. J o escopo e a freqncia
de avaliaes ou revises especficas dependem, normalmente, de uma avaliao do perfil de riscos e da eficcia
dos procedimentos regulares de monitoramento. Vulnerabilidades e deficincias no GRCorp devem ser relatadas
aos nveis superiores de gesto e, dependendo da gravidade, reportadas alta administrao.
De um modo geral, os controles internos se estruturam em controles gerais e atividades de controles
especficos, como por exemplo, reconciliaes e confirmaes de posies ou fluxos contbeis, procedimentos
de testes, etc. Uma das metodologias para dar suporte a este processo de avaliao o uso de Matrizes de
Controles de Riscos, que evidenciam os objetivos e os riscos associados. Estas atividades de controle tm o
propsito de determinar em que proporo, atravs de distintos atributos, os objetivos considerados relevantes
pela administrao esto sendo efetivamente gerenciados.
A alta administrao deve dedicar especial ateno e fornecer diretrizes que orientem:14
a extenso e o contedo da documentao formal relativa a GRCorp na organizao: manuais de polticas
e procedimentos, organogramas, descries de funes e responsabilidades, instrues operacionais,
diagramas de fluxo, resultados de avaliaes, anlises e testes realizados;
o relato, a documentao interna e externa (quando aplicvel) de deficincias encontradas, assim como, o
respectivo nvel de ameaa ou exposio, percebida, potencial ou real, e oportunidades associadas para
reforo ou reviso dos controles utilizados; e
o contedo dos relatrios relativos a GRCorp e os nveis de informao estratgica: significncia de
problemas ou fatos anormais, princpios da cultura, implicaes prticas e comportamentais, informao
aos nveis superiores, laterais, diretoria, conselho de administrao, comit de auditoria, auditores e
outras entidades externas.
14 Exemplos prticos, tabelas e relatrios tpicos, relativos ao tpico Monitoramento podem ser encontrados no COSO II, Application
Techniques, 09/2004, pp. 85-91. Aos conselheiros e executivos interessados em um aprofundamento no tema gerenciamento de riscos
corporativos, no que tange a papis e responsabilidades especficas tpicas, recomenda-se a leitura dos Captulos 10 (Roles and
Responsibilities) e 11 (Limitations of Enterprise Risk Management) do mesmo documento.
26
15 Exemplos prticos, tabelas, relatrios, diagramas e grficos tpicos, relativos ao tpico Informao e Comunicao, tambm
podem ser encontrados no documento COSO II, 2004, pp.67-84.
27
3
Implementao e
Estruturas Adequadas
para o Gerenciamento
de Riscos
28
29
29
29
29
30
30
30
28
No existe uma nica forma para implementar um modelo de GRCorp, nem uma nica estrutura
adequada para tal, dependendo de uma anlise custo-benefcio em funo do porte, especificidades e nvel
de complexidade de cada organizao. Uma organizao que lida fortemente com commodities negociadas em
bolsa de valores e que apresenta uma gesto ativa do seu caixa, ou uma estrutura complexa de dvidas e
operaes envolvendo o mercado de derivativos, por exemplo, pode requerer sistemas de controle de riscos
financeiros sofisticados.16
Por outro lado, para fazer frente aos riscos operacionais, no se pode comparar os esforos e recursos
que uma grande empresa sujeita adoo da Lei Sarbanes-Oxley (SOX)17 com as exigncias e necessidades
das pequenas empresas.
O importante introduzir na organizao a prtica de tratar crtica, qualitativa e quantitativamente
os riscos, identificando-os, avaliando-os, tratando-os e calculando seus impactos de uma forma integrada.
A implantao de um modelo de GRCorp um processo de longa durao, que deve ser continuamente
aprimorado, dinmico, interativo e integrado ao processo de planejamento estratgico da organizao.
O item 3.1 trata da implementao do modelo de GRCorp, descrevendo a formulao da arquitetura para
o GRCorp. O item 3.2 aborda algumas tendncias em termos de estrutura funcional e o item 3.3 revisa o papel
do conselho de administrao no processo de GRCorp.
Para implantar um modelo de GRCorp e promover uma cultura de gerenciamento de riscos na organizao
deve-se elaborar uma arquitetura para facilitar e viabilizar o gerenciamento do risco propriamente dito, cuja
concepo e implementao trazem inmeros benefcios para a organizao, tais como:
Aderncia dos processos internos ao perfil de riscos estabelecido pelo conselho de administrao;
Clareza quanto s regras de governana para gerir a exposio;
Endereamento de lacunas de capacitao de pessoas, processos e sistemas;
Implementao de sistemas de controles eficazes.
29
Pode-se dividir a formulao da arquitetura para o GRCorp em cinco dimenses distintas que devem
girar em torno e se condicionar aos objetivos estratgicos e metas de desempenho da organizao. Abaixo,
listam-se as questes que devem ser abordadas com referncia aos objetivos e metas e em cada uma das
dimenses da arquitetura de risco identificadas:
Objetivos estratgicos e metas de desempenho:
Os objetivos estratgicos e metas de desempenho esto definidos, comprometidos e gerenciados?
A gesto dos objetivos e das metas estratgicas norteia as prioridades dos riscos, seus respectivos
controles e dos demais componentes da arquitetura de risco?
As mudanas no ambiente de negcios so antecipadamente gerenciadas em termos de objetivos,
metas, riscos e controles?
3.1.1 Processos Crticos (para o GRCorp)
a) Quais so os macroprocessos identificados como relevantes na fase de levantamento dos riscos?
b) Quais so os princpios que iro nortear eventual redesenho dos processos?
c) Qual o mecanismo para se descontinuar e/ou criar processos novos a partir da implantao do
modelo de GRCorp?
d) Quais so as aes crticas para mitigar os riscos relevantes?
3.1.2 Governana de Gerenciamento de Riscos (ver 3.3)
a) Quais so os fruns de deciso envolvidos?
b) Quais so os papis e responsabilidades desses fruns?
c) Qual a composio desses fruns?
d) Quais so as aladas?
e) Quais so as polticas necessrias para tomada de deciso gil e eficaz?
3.1.3 Organizao e Pessoas
a) Existem as capacitaes necessrias? Quais so as lacunas? Como endere-las?
b) O modelo organizacional facilita a identificao, monitoramento e mitigao dos riscos relevantes?
c) Como est sendo tratada a questo da sucesso de postos/pessoas-chave na organizao?
3.1.4 Sistemas de Controle
a) Existem controles adequados para mensurar a exposio?
b) Os relatrios gerenciais facilitam a identificao, monitoramento e mitigao dos riscos?
c) Os sistemas de TI (Tecnologia da Informao) so adequados?
30
3.1.5 Comunicao
a) H comunicao adequada com os colaboradores?
b) Existe uniformidade conceitual quanto ao modelo de GRCorp?
c) O perfil de riscos e seus benefcios esto devidamente comunicados para a organizao?
d) H um claro alinhamento entre o perfil de riscos e os valores e cultura corporativa?
e) As responsabilidades e direitos decisrios esto devidamente explicitados e comunicados?
f) H comunicao adequada com os stakeholders externos?
Existem vrias alternativas para a construo de uma estrutura de gerenciamento de riscos e cada
organizao dever desenhar aquela mais adequada ao seu perfil. Observa-se, no entanto, a tendncia pela
criao de uma unidade responsvel por esta nova funo. O gerenciamento dos riscos de um determinado
processo uma atividade a ser atribuda aos gestores desse processo, cabendo unidade executiva responsvel
pelo GRCorp integrar e orientar os vrios esforos, bem como interagir com a alta administrao. Esta unidade
executiva pode ser um departamento, ncleo, rea18 ou unidade funcional composta por representantes de diversas
reas (comit)19. Caso se crie um comit executivo para o gerenciamento de riscos, este deve ter funo ativa no
processo decisrio dirio da organizao, apoiando a tomada de decises mais difceis ou complexas. Sugerese que o comit executivo seja coordenado pelo presidente ou diretor executivo da organizao e tenha como
membros o diretor financeiro, os diretores operacionais, assessores e outros responsveis pelas reas envolvidas
com riscos. Esta composio depende do nvel de complexidade das operaes da organizao.
importante realar a distino entre as funes deste comit executivo para o gerenciamento de
riscos e as funes de um comit de riscos do conselho de administrao. Este ltimo teria uma abordagem mais
vinculada estratgia da organizao, sendo que em alguns casos o comit de auditoria assume esta funo.
Ver Anexo C.
O conselho de administrao deve ser o responsvel por determinar os objetivos estratgicos e o perfil
de riscos da organizao. Definir seu perfil consiste em identificar o grau de apetite a riscos da organizao, bem
como as faixas de tolerncia a desvios em relao aos nveis de riscos determinados como aceitveis. O conselho
de administrao deve estabelecer tambm a poltica de responsabilidade da diretoria em: (i) avaliar a quais riscos
a organizao pode ficar exposta; e (ii) desenvolver procedimentos para administr-los.
O papel fundamental de implementar uma slida estrutura de gerenciamento de riscos e controle
18 Nas pequenas e mdias empresas, a funo pode ser exercida por uma nica pessoa.
19 Os comits (do conselho de administrao) se propem a estudar assuntos de sua competncia e preparam propostas para o
conselho de administrao, do qual normalmente fazem parte. muito comum existirem nas organizaes diversos comits executivos
que, no necessariamente, contam com a presena de membros do conselho de administrao.
31
delegado aos gestores, com o comit de auditoria (ou instncia que desempenha sua funo), em nome do
conselho de administrao, exercendo a funo de superviso.
Como ponto de partida para anlise do modelo de GRCorp praticado atualmente pela organizao, ou
para institu-lo, sugere-se que o conselho de administrao discuta o tema com a diretoria, abordando pontos
tais como os elencados a seguir.
Este item serve, desta forma, como uma concluso, ao revisar os temas abordados ao longo do Guia (em
seguida a cada pergunta sugerida, feita referncia ao item correspondente neste guia).
Em um primeiro momento deve-se indagar sobre itens que revelem o escopo e a maturidade do modelo
de GRCorp existente na organizao, conforme sugerido a seguir:
a) A organizao considera os riscos de maneira global e integrada ao planejamento estratgico?
(vide 2.1.1)
b) Os riscos so considerados de maneira ampla (no apenas os riscos financeiros)? (vide 2.1.2)
c) Os ativos intangveis so considerados (ex: reputao)? (vide 2.1.2)
d) Que mtodos e ferramentas utilizam? (vide 2.3 e 2.4.3)
e) Como se controlam os riscos financeiros? (vide 2.3 e Anexo A.2)
f) A organizao tem o gerenciamento de riscos como parte integrante da agenda de seus gestores e
comits? (vide 3.2)
g) A quem a gerncia/unidade de risco se reporta? (vide 3.2)
h) Como disseminada a cultura de gerenciamento de riscos? (vide 2.6)
i) As pessoas-chave so preparadas e cumprem seus papis? (vide 2.4.4 e 3.1.3)
32
33
4
Referncias
34
34
34
35
36
34
Referncias
BASILIA II (Basel II): International Convergence of Capital Measurement and Capital Standards: A Revised
Framework, 2005. Disponvel em: http://www.bis.org .
BERNSTEIN, P. Desafio aos deuses: a fascinante histria do risco, 3a edio,Campus, Rio de Janeiro, 1996.
COSO Report, Internal Control Integrated Framework, 1997. Disponvel em: http://www.coso.org
COSO II, ERM - Enterprise Risk Management, 2004. Disponvel em: http://www.erm.coso.org
DELOITTE Research, Disarming the Value Killers, 2005. Disponvel em: http://www.deloitte.com/dtt/article/
0,1002,sid%253D2002%2526cid%253D72667,00.html. Consulta em 05/10/2006.
GALESNE, F. e LAMB, R., Decises de Investimentos da Empresa, Atlas, 1999.
IBGC, Cdigo das Melhores Prticas de Governana Corporativa, 3 edio. So Paulo, 2004.
SARBANES-OXLEY ACT, Public Company Accounting Reform and Investor Protection Act of 2002, EUA, 2002.
4.1.1 - Livros
BARALDI, P. Gerenciamento de Riscos Empresariais. Rio de Janeiro: Elsevier (Editora Campus), 2 edio
revista e ampliada, 2005.
BREALEY, R. e MYERS, S., Financiamento e Gesto de Risco, Bookman, 2005.
BRIGHAM, E.F., GAPENSKI, L.C. e EHRARDT, M.C., Administrao Financeira, Teoria e Prtica, Atlas, 2001.
CROUHY M., GALAI D., MARK R., Gerenciamento de risco: abordagem conceitual e prtica: uma viso
integrada dos riscos de crdito e de mercado. Rio de Janeiro: Qualitymark: So Paulo: SERASA, 2004.
FABER, M., MANSTETTEN, R. e PROOPS, J., Ecological economics: concepts and methods. Cheltenham:
Edward Elgar Publishing Ltd. 1996.
GRINBLAT, M. e TITMAN, S., Mercados Financeiros e Estratgia Corporativa, Bookman, 2005.
JORION, P., Value-at-Risk: A nova fonte de referncia para a gesto do risco financeiro, BM&F, 2003.
NEIL D., Integrated Risk Management: Techniques and Strategies for Managing Corporate Risk, 1
Edio, Mc Graw Hill.
SCOTT H., Risk Management and Insurance, 2 Edio, Mc Graw Hill.
VAUGHAN E., VAUGHAN T., Fundamentals of Risk and Insurance, 9 Edio, Wiley, 2003.
4.1.2 - Artigos e Documentos Tcnicos
BACCI, L. C., Gerenciamento corporativo de riscos. So Paulo: TCC/FGV, 2003.
COCURULLO, A., COSO Report e ERM Comparao entre duas metodologias. Risk Update, 10 Edio, ano
2, janeiro de 2006.
______, Gesto de riscos corporativos, 3 Edio, So Paulo: Scortecci, 2004. 230 p., ISBN 85-7372-766-7
35
COCURULLO, A., VANCA, P., A importncia da gesto de riscos nos processos de auditoria. So Paulo:
IBRACON - no. 286 mai./jun. 2002
CARVALHO, E.J.L, FMEA: Metodologia para Auto Avaliao - Risco Operacional. Risk Update, 8 Edio, ano
1, outubro de 2005.
DELOITTE (Consultas em 05/10/2006), When Corporate Risk Becomes Personal, Corporate
Board Member, Special Supplement, 2005. Disponvel em: http://www.deloitte.com/dtt/article/
0,1002,sid%253D5604%2526cid%253D91334,00.html. Publicado em 08/02/2006 - site EUA.
______, Value-Based EnterpriseRisk Management, Deloitte Consulting, September 2005. http://www.
deloitte.com/dtt/article/0,1002,sid%253D2132%2526cid%253D94647,00.html. Publicado em 14/02/2006
- site EUA.
______, ERA - A Guide to Risk in the Organization for the C-Suite and the Boardroom, Deloitte, August
2005. Disponvel em: http://www.deloitte.com/dtt/article/0,1002,sid=2132&cid=99958,00.html. Publicado
em 14/02/2006 - site EUA.
______, In the Dark - What boards and executives dont know about the health of their businesses, A
Survey by Deloitte in Cooperation with the Economist Intelligence Unit, October 2004. Disponvel em: http://
www.deloitte.com/dtt/whitepaper/0,1017,sid%253D1007%2526cid%253D62386,00.html; publicado em
16/01/2006 - global site.
______, Assessing the Value of EnterpriseRisk Management, Economist intelligence Unit, October2004.
Disponvel em: http://www.deloitte.com/dtt/budget/0,2299,sid%253D20241%2526cid%253D67257,00.html.
Publicado em novembro de 2004 - site Deloitte Frana.
HENRIQUES, J.P., preciso gesto estratgica. Coimbra, Portugal: 1997. Disponvel em: http://student.dei.uc.pt
J.P. MORGAN, RiskMetrics Technical Document, 1995, Fourth Edition., New York.
LIMA DE PAULO, W., FERNANDES, F.C., RODRIGUES, L.G.B. e EIDT, J., Controles internos: Uma metodologia de
mensurao dos nveis de controles de riscos, 6 Congresso de Controladoria e Contabilidade Departamento
de Contabilidade e Atuaria FEA- USP 2006. Disponvel em: www.riskoffice.com.br.
LA ROCQUE, E. e LOWENKRON, A., Mtricas e particularidades da Gesto de Risco em corporaes, Artigos
RiskControl - Lista de Riscos n 4, 2004. Disponvel em: http://www.riskcontrol.com.br.
PRICEWATERHOUSECOOPERS (PwC), Cadernos promocionais sobre gesto de riscos e prestao de servios
profissionais de auditoria e consultoria. USA: de 2002 2006.
ROCCA, C.A., Volatilidade e Gesto de Risco em empresas no financeiras, Trabalho apresentado no seminrio
Gesto de riscos em empresas no financeiras promovido pela ABRASCA, realizado na BOVESPA em
19/11/2004. Disponvel em: www.riskoffice.com.br.
RISKMETRICS GROUP, Corporate Metrics, 1998.
4.1.3 - Algumas Normas Relacionadas ao Tema
AS/NZS HB 203:2004 Environmental Risk Management Principals and process.
______, 205:2004 OHS Risk Management Hand Book.
______, 221:2004 Business Continuity Management.
36
______, 240:2004 Guidelines for managing risk in outsourcing utilizing the AS/NZS 4360 process.
______, 254:2004 Guide to control assurance and risk management.
______, 4360:2004 Risk Management (Trad.: Gesto de Riscos, Risk Tecnologia, 1 Edio, Junho de 2003). Risk
Management Guidelines Companion to ASA/NZS 4360:2004.
______, 4810.1 Medical devices - Risk management - Application of risk analysis.
BS 6079-3 Project Management - Part3: Guide to the management of business related project risk.
BSI - PD6668 Managing Risk for Corporate Governance.
BSI PAS 56:2003 Guide to Business Continuity Management.
CSA Q 850:1997 Risk Management Guidelines for Decision Makers.
IEC 60300-3-9 Risk analysis of technological systems Application guide.
IEC 62198 Project risk management Application guidelines.
ISO 10006 Quality management systems Guidelines for quality management in Projects.
ISO/IEC Guide 51:1999 Safety aspects Guidelines for their inclusion in standards.
______, 73:2002 Risk management Vocabulary - guidelines for use in standards.
JISQ 2001:2001 Guidelines for development and implementation of risk management system.
PCOAB, Public Company Accounting Oversight Board Auditing - Standard 2: disponvel em: http://www.pcaobus.org.
ONR 49000 Risk management for organizations and systems -Terms and principles.
______, 49001 Risk management for organizations and systems -Elements of the risk Management system.
______, 49002-1 Risk management for organizations and systems, Part 1: Guidelines for risk.
______, 49002-2 Risk management for organizations and systems, Part 2: Guidelines for the integration of risk
management into the general management system.
______, 49003 Risk management for organizations and systems, - Qualification of the risk manager.
SNZ HB 8669:2004 Guideline for Risk Management in Sport and Recreation.
4.1.4 - Alguns Websites Relacionados ao Tema
http://www.airmic.com
http://www.erm.coso.org
http://www.ferma-asso.org
http://www.listaderiscos.com.br/lr/portal/
http://www.orx.org
http://www.pcaobus.org
http://www.rims.org
http://www.risktech.com.br
http://www.rmmagazine.com
http://www.theirm.org
37
Anexos
A Evoluo Histrica
A.1 Introduo
A.2 Vertente Financeira
A.3 Ramo de Auditoria
A.4 Lei Sarbanes-Oxley
A.5 Tecnologia da Informao
A.6 Norma ISO 31.000
B Gesto da Continuidade de Negcios
C Comit(s) de Risco
D Marco Legal e Regulatrio no Brasil
38
38
39
40
41
42
42
43
44
45
38
A1 Introduo
COSO II - ERM
Consultative Document
The New Basel Capital 70.7.76276 -7.276 09dT 9.T 6.7627. ref]TJET0 0 0.5 kBT/T_055
Sarbanes - Oxley
Turnbull
Proposal for a new
capital adequacy (Basel II)
COBIT
Basel I Amendment
ANZ
CoCo
Kun Trag
G-30
COSO
CadBury
Basel I Accord
ISO
FDIC
O gerenciamento de riscos uma prtica usual e antiga que faz parte da rotina de qualquer empresrio
desde tempos muito remotos (vide Bernstein, p. 1996). Uma vasta literatura foi historicamente elaborada para
a rea de seguros (vide, por exemplo, Vaughan & Vaughan, 2003) e, mais recentemente, o tema entrou em
voga e tem se desenvolvido como uma metodologia estruturada a partir de vrias vertentes, dentre as quais se
destacam: Finanas, Auditoria e Tecnologia da Informao.
A idia do seguro nos remete a uma poca anterior a Cristo, com os seguros de transportes que
foi impulsionada pela navegao martima comercial. Os sucessivos incndios em Hamburgo (1672 a 1676)
coincidem com os primeiros seguros patrimoniais e com a fundao da ainda existente Hamburger Feuerkasse,
a mais antiga seguradora do mundo. Pode-se medir a prosperidade da indstria do seguro, iniciada com a
Revoluo Industrial e sustentada pelo progresso e desenvolvimento do sculo XX, pelas inmeras seguradoras
e resseguradoras existentes e pelos volumes extraordinrios de recursos movimentados por esta indstria.
A criao do Federal Deposit Insurance Corporation (FDIC) em 1933 proveu garantias governamentais
incondicionais maioria dos bancos credores. A taxa fixa (sem riscos) das garantias de depsitos auxiliou na
diminuio dos requerimentos de capitais de mercados, assegurando aos depositrios a garantia do pagamento,
mesmo que seus bancos viessem a falir.
A preocupao com a busca de solues para avaliao de processos e/ou controles internos nas
empresas continua. Em 1947 surge a Organizao Internacional de Normatizao, ISO (International Organization
for Standardization). Desde ento, novas abordagens vm sendo desenvolvidas com o objetivo de incorporar
novos conceitos nas empresas e adequ-las s exigncias do mercado e de rgos reguladores, conforme
demonstrado na figura abaixo. Importante ressaltar que o cronograma no tem a pretenso de indicar todas
39
as metodologias e/ou abordagens disponveis, mas sim apresentar uma viso histrica de marcos regulatrios
importantes surgidos recentemente. A seguir, alguns links teis:
www.acionista.com.br/mercado/fidc.htm
www.bcb.gov.br
www.bis.org/bcbs/index.htm
www.bouzas.com.br/2554_Integral.htm
www.group30.org/home.php
www.ic.coso.org/
www.isaca.org/cobit/
www.iso.org/iso/en/ISOOnline.frontpage
www.pch.gc.ca/progs/em-cr/verif/2003/2003_12/2_e.cfm?nav=0
www.sarbanes-oxley.com/section.php?level=1&pub_id=SEC-Rules
40
tais como CfaR (Cashflow-at-Risk), EaR (Earnings-at-Risk) e PaR (Profit-at-Risk). Ver RISKMETRICS GROUP
(1998) e LA ROCQUE, E. e LOWENKRON, A. (2004).
Em junho de 1999, o Basle Committee on Banking Supervision do BIS, ou Comit da Basilia, props
uma uma nova estrutura para a adequao do capital, cuja publicao substituiu o acordo de 1988. Os objetivos
do novo acordo so:
Promover segurana e equilbrio no sistema financeiro mediante a manuteno de pelo menos o
mesmo nvel de capital que os bancos mantm no sistema atual;
Aprimorar o nvel de competitividade de forma eqitativa. As novas regras no devem oferecer
incentivos para que reguladores em alguns pases elaborem regras mais atraentes para impulsionar
os investimentos em seus pases. Por exemplo, dois bancos com o mesmo portiflio deveriam ter o
mesmo capital onde quer que eles estejam atuando;
Constituir abordagem mais ampla para o gerenciamento de riscos, objetivando aprimorar o Acordo de
1988, mediante a incorporao de novas dimenses de risco (por exemplo, os riscos operacionais);
Focalizar em bancos que sejam internacionalmente ativos. Os princpios desta abordagem devem ser
flexveis o suficiente para atender instituies financeiras com distintos nveis de complexidade e
sofisticao.
Para alcanar estes objetivos, o Comit da Basilia props uma estrutura apoiada em trs pilares:
o primeiro trata da adequao do capital regulatrio mnimo com base nos riscos de mercado, de crdito e
operacionais; o segundo refora a capacidade dos supervisores bancrios em avaliar e adaptar o capital
regulatrio s condies de cada instituio financeira; e o terceiro atribui transparncia e divulgao de
informaes um papel importante e relevante no fomento disciplina de mercado.
41
Relatrio Cadbury (1992): o documento ingls recomenda aos diretores que confirmem nos relatrios
anuais de suas empresas a reviso da efetividade dos controles internos corporativos.
Kon Trag (1994) e Turnbull (1999): documentos de origem alem e inglesa, respectivamente,
propiciam uma abordagem ampla e robusta para o gerenciamento de riscos. Os conceitos e diretrizes
constantes desses documentos assemelham-se aos princpios emanados pelo COSO II ERM.
Alm destas, outras importantes iniciativas foram introduzidas nos ltimos dez anos. Como exemplo,
o estudo do grupo dos 30 (G-30) publicado em julho de 1993, que propiciou uma abordagem abrangente e
avanada para gerenciamento de riscos. O estudo do G-30 prov um guia prtico contendo 20 recomendaes,
relacionadas principalmente ao gerenciamento de instrumentos derivativos.
Em resposta aos escndalos corporativos do incio do sculo XX (Enron, WorldCom, Adelphia, entre
outros), surge em 2002 nos Estados Unidos a Lei Sarbanes-Oxley (SOX). Formulada por dois congressistas
americanos, Paul Sarbanes e Michael Oxley, enfatizou o papel fundamental dos controles internos e fez com que
boas prticas de governana corporativa se transformassem em exigncia legal.
A SOX foi aprovada e promulgada pelo Congresso Americano em julho de 2002, afetando todas as
empresas americanas e estrangeiras que possuiam ttulos e aes negociados em bolsas americanas. Tal lei
serviu de base para regulamentaes locais ao redor do mundo, colocando em voga toda a metodologia que
a rea de auditoria vinha desenvolvendo para aprimorar os controles internos. A SOX recomenda e, portanto,
no obriga, que o framework de controles internos a ser utilizado pelas empresas seja baseado no COSO The
Committee of Sponsoring Organizations of the Tradeway Commission.
O COSO uma entidade sem fins lucrativos, dedicada melhoria dos relatrios financeiros atravs da
tica, efetividade dos controles internos e governana corporativa.
Seu primeiro objeto de estudo foram os controles internos. Em 1992 publicou o trabalho Controles
Internos Estrutura Integrada, com o objetivo de auxiliar as entidades corporativas e demais organizaes a
avaliar e aprimorar seus sistemas de controles internos. Esta publicao (COSO I) tornou-se referncia mundial
para o estudo e a aplicao dos controles internos.
Em setembro de 2004, foi lanado o documento Gerenciamento de Riscos Corporativos Estrutura
Integrada. conhecido como COSO II, busca um foco mais robusto e extensivo no tpico de gerenciamento de
riscos corporativos.
Esta metodologia de aplicao dos controles internos e gerenciamento de riscos foi adotada pelo PCAOB
Public Company Accounting Oversight Board, que o rgo criado pela SOX para supervisionar as empresas de
auditoria das companhias abertas com ttulos negociados nas bolsas de valores americanas. Pode-se dizer que
as metodologias propostas pelo COSO tornaram-se uma grande referncia para mapeamento e avaliao dos
controles internos das empresas que querem se certificar como aderentes aos requisitos da SOX. De acordo com
esta metodologia, o controle interno parte integrante do gerenciamento de riscos corporativos.
42
Encontra-se em estgio de desenvolvimento (em WD-Working Draft) a norma ISO 31000: General
Guidelines for Principles and Implementation of Risk Management. Seu desenvolvimento atribuiu-se a um comit
especial, denominado ISO Technical Management Board on Risk Management, composto por delegaes de 35
pases, formadas por profissionais de diversos setores de atividades como: financeiro, indstria, governana
corporativa, segurana, agronegcios, qualidade, meio ambiente, tecnologia, projetos, sade, defesa e seguros,
dentre outros. O ISO/IEC Guide 73 tambm ser submetido reviso como conseqncia dos trabalhos de
construo da ISO 31000.
O Brasil, representado pela ABNT (Associao Brasileira de Normas Tcnicas), est entre os pases
participantes e colabora com o desafio de tornar a ISO 31000 uma norma geral de gerenciamento de riscos,
atravs da consolidao de diferentes conceitos e terminologias, da apresentao de diretrizes e princpios para
a implementao de estruturas de gerenciamento de riscos aplicveis s organizaes, independentemente de
seu tamanho, segmento ou rea de atuao.
A finalizao dos trabalhos est prevista para 2008. A perspectiva que, futuramente, as normas ISO
das reas que tratem de gerenciamento de riscos reflitam os mesmos conceitos da ISO 31000.
43
44
Comit(s) de Riscos20
Quando o conselho de administrao constitui comits para melhor desempenhar o seu papel de
orientao e superviso do direcionamento estratgico dos negcios e da ao dos gestores, o comit de
riscos do conselho de administrao ser parte deste e, como tal, o escopo de sua atuao estar voltado para
a identificao dos riscos decorrentes das estratgias alternativas sob deciso do conselho de administrao.
Caber ao comit a discusso e a clara definio do apetite a riscos da organizao e a direo adequada
a ser sugerida como orientao emanada da alta administrao. A este comit tambm caber sugerir os limites
de tolerncia aos diferentes riscos identificados como aceitveis pelo conselho de administrao. Os limites
constituiro a ferramenta para a rea executiva conduzir as polticas da empresa.
Uma orientao voltada para a tolerncia a riscos poder ser estabelecida, por exemplo, em termos
de percentual de prejuzos aceitveis para cada linha de negcios; neste caso, aproximando-se o limite de
tolerncia estabelecido, caber rea executiva propor ao conselho de administrao a sada do negcio, com
a liquidao dos ativos ou outra sada semelhante (stop loss).
No processo decisrio dirio, os executivos, sob o comando do principal executivo, ou de outro, como, por
exemplo, o titular de uma diretoria de riscos, ou de uma gerncia de riscos, podero constituir um comit
executivo para o gerenciamento de riscos. A esse comit, de carter executivo, competiria a funo de tomada de
deciso, de escolha e implementao de polticas alternativas, como por exemplo, decidir a realizao de medidas
de proteo (hedge) de posies e escolher os parceiros mais adequados deciso. Nessa situao, o comit
executivo toma decises dentro dos parmetros de apetite a riscos definidos pelo conselho de administrao e
administra e controla as posies com base em parmetros de tolerncia previamente definidos.
A distino das funes de direcionamento estratgico e das funes executivas deve estar presente na
formatao dos comits, na sua composio, nas agendas de trabalho, evitando-se que, ou se aloquem funes
executivas a um comit do conselho de administrao ou se estendam atribuies estatutrias a comits
executivos no-estatutrios.
Por outro lado, importante considerar que o comit de riscos do conselho de administrao ter uma
dinmica de trabalho muito diferente da dinmica de trabalho de um comit executivo, uma vez que este poder
se reunir, ou tomar decises conjuntas quase que diariamente, o que geralmente ser impossvel (e inadequado)
para um comit do conselho de administrao.
20 Os Comits (do conselho de administrao) estudam assuntos de sua competncia e preparam propostas para o conselho de
administrao, do qual fazem parte. Existem, no entanto, comits executivos, no necessariamente com a presena de membros do
conselho de administrao.
45
A responsabilidade pelo GRCorp ser, ento, distribuda em uma unidade de apoio do conselho
de administrao o Comit de Riscos e uma unidade executiva encarregada do processo decisrio no
gerenciamento de riscos da organizao.
Nas organizaes que no comportem comits distintos, constitudos por diferentes membros, ser
importante desenhar processos de gesto e de governana que segreguem funes estratgicas e funes
executivas de forma matricial ou, na impossibilidade desta hiptese, desenhar atribuies para os administradores
que segreguem essas funes em instncias distintas, ou em momentos e reunies distintos.
H no Brasil regulamentaes que esto em linha com a SOX e Basilia. A Comisso de Valores
Mobilirios (CVM), atravs da Instruo n 220/94, definiu regras relacionadas com controles internos de certa
forma similares s impostas pela SOX. Para as instituies financeiras, o Conselho Monetrio Nacional instituiu,
atravs da Resoluo n 2554/98 do Banco Central do Brasil, a implementao de Sistema de Controles Internos
para as atividades desenvolvidas e para os Sistemas de Informaes, bem como para garantir o cumprimento das
normas legais e regulamentares aplicveis.
O Banco Central definiu tambm um conjunto de regras que se constituem na Basilia brasileira:
Res.2099/1994: risco de crdito
Res.2606/1999: exposio a moedas;
Res.2804/2000: risco de liquidez;
Circular 2972/2001: risco pr-fixado;
Comunicado 12.746/2004 sobre a implementao de Basilia II no Brasil;
Resoluo 3.380/2006: risco operacional
H, ainda, as regulamentaes referentes ao controle de riscos para fundos de penso (elaboradas pela
SPC) e para seguradoras (SUSEP), que tambm esto alinhadas com as melhores prticas internacionais.
46
Deloitte
Energias do Brasil
A Energias do Brasil uma holding que rene ativos nas reas de gerao,
distribuio e comercializao de energia eltrica, mantendo como guia, em seus
negcios, um elevado padro tico, com base em valores como transparncia, rigor e
eficincia. Dedicada a ser uma das empresas lderes do setor energtico brasileiro, sem
contudo descuidar da sua responsabilidade scio-ambiental, a companhia estabeleceu
polticas para conduzir suas atividades sem pr em risco o seu sistema financeiro ou
as comunidades por ela afetadas. Sem ferir o seu entorno nem se esquivar de prestar
contas de seus atos. apoiada nesses slidos princpios que a Energias do Brasil se
sente confiante em patrocinar este guia, fonte de orientao para outras companhias
que desejem, tambm, trilhar o caminho das boas prticas empresariais.
KPMG
A&E Consultoria
47
48
Serpro
Srie
Cadernos
de Governana
Corporativa
1
2
3
Guia de Orientao
para o Conselho Fiscal
Manual Prtico de
Recomendaes Estatutrias
Guia de Orientao
para Gerenciamento
de Riscos Corporativos
Patrocnio:
Apoio:
Fundado em 27 de novembro de
1995, o IBGC - sociedade civil de
mbito nacional, sem fins lucrativos - tem o propsito de "ser referncia em governana corporativa,
contribuindo para o desempenho
sustentvel das organizaes e
influenciando os agentes de nossa
sociedade no sentido de maior
transparncia, justia e responsabilidade."
Guia de Orientao
para Gerenciamento
de Riscos Corporativos