Num paradigma económico particularmente atribulado, as razões para investir num sistema de gestão

do risco integrado parecem ser cada vez mais evidentes. As deficiências na gestão do risco parecem ser o
principal fator explicativo da recente crise internacional do crédito e muitos intervenientes – desde os
investidores, aos administradores das empresas, passando pelas agências de notação financeira –
observam de forma cada vez mais atenta a abordagem de gestão do risco por parte das organizações
(Farrel, Hooper et al. 2009). Independentemente do facto de a crise financeira global ser vista como
resultado da assunção de riscos excessivos (Kashyap, Rajan et al. 2008) ou de esta ser atribuída aos
crescentes níveis de risco a que as organizações estão sujeitas (Raber 2003), ambas as perspetivas
identificam o risco como o grande responsável e destacam a importância de uma estrutura de
governação das sociedades adequada para gerir o risco. Com vista a criar valor para os acionistas, as
empresas executam a sua atividade económica em constante interação com o ambiente complexo em
que se inserem, estando constantemente expostas à incerteza, isto é, ao risco. Este pode ser visto quer
como uma oportunidade de adquirir mais valor para a empresa e para os seus acionistas, quer como
uma ameaça que poderá levar à perda de valor (Bonić e Đorđević 2012). Neste contexto, as organizações
encontram-se cada vez mais pressionadas no que diz respeito à identificação de todos os riscos que os
negócios possam ter de enfrentar (sociais, éticos, ambientais, financeiros, operacionais) e à maneira de
os gerir de forma aceitável. Entretanto, o reconhecimento das vantagens de estruturas de gestão de
risco empresarial aumentou a sua utilização relativamente a abordagens menos coordenadas da gestão
do risco, conforme é referido pelo The Institute of Internal Auditors (2009). Entre os principais
acontecimentos que contribuíram para o crescente interesse na gestão de risco empresarial estão as
alterações ao nível da regulamentação, a sensibilidade dos investidores à volatilidade dos resultados, o
aumento dos padrões de responsabilização das administrações e a convergência dos mercados de
capitais e de seguros. Este último fator teve como resultado o aparecimento de soluções integradas para
gerir os riscos. Green (2001) refere ainda os avanços tecnológicos ao nível do software informático e a
crescente sofisticação dos modelos analíticos estatísticos e económicos como fatores importantes para a

viabilização da gestão de risco empresarial. Kleffner, Lee et al. (2003) referem que a implementação de
uma gestão de risco empresarial pode estar relacionada com a mudança das expectativas relativamente
à eficácia do governo das sociedades. Estes autores referem que os reguladores de muitos países estão a
exercer pressão sobre as organizações no sentido de estas melhorarem o relato relativamente ao risco e
de adotarem uma gestão do risco mais integrada e abrangente. Tendo por base uma revisão literária,
este trabalho pretende resumir a evolução da gestão do risco nos últimos anos, identificando os
principais fatores que levaram ao aparecimento de um novo paradigma de gestão do risco, as principais
características desta nova abordagem e a importância de boas práticas de governo das sociedades para a
minimização do risco nas organizações e para a criação de valor para os agentes interessados.

2. Um Novo Paradigma de Gestão de Risco

O aumento da volatilidade no mundo dos negócios, os diversos fracassos e escândalos corporativos e a

fraude deixaram evidente a inadequação da abordagem fragmentada da gestão de risco tradicional.
Quon, Zeghal et al. (2012) sugerem que o fracasso das organizações é o resultado de uma fraca gestão
de risco e de debilidades no governo das sociedades, facto que levou ao aparecimento de uma
perspetiva integrada de medição e gestão de riscos conhecida como gestão de risco empresarial. Morais
(2008) refere que ambientes instáveis e fortemente competitivos com tecnologias sofisticadas e ciclos de
vida cada vez mais curtos e o acesso à informação global generalizado, fizeram crescer
exponencialmente o risco nas organizações. Este contexto tornou premente a necessidade de um
controlo moderno que privilegie o desempenho e a competitividade - em contraste com os controlos de
conformidade do passado – favorecendo a utilização económica e eficiente dos recursos e a eficácia das
organizações, áreas particularmente suscetíveis aos novos fatores de risco. Lam (2000) e Liebenberg e
Hoyt (2003) referem que muitas das principais organizações estão a abandonar as abordagens mais
tradicionais de gestão de risco em silos, onde as áreas de risco são geridas de forma independente, e a
adotar uma abordagem de gestão de risco empresarial como forma de responder às crescentes
expectativas ao nível da gestão de risco, transversal a toda a empresa.

A gestão de risco empresarial emergiu, assim, como um novo paradigma de gestão da carteira de riscos
que as organizações podem ter de enfrentar. Neste sentido os responsáveis têm vindo a desenvolver
mecanismos que permitam melhorar o governo das sociedades e a gestão de risco (Beasley, Clune et al.
2005). Ao longo do tempo, a função de gestão do risco evoluiu a par da alteração das necessidades dos
negócios, de modo a proporcionar valor acrescido reconhecido pelas organizações. Meulbroek (2002)
refere que, de um modo geral, o aumento da concorrência alterou a incidência da gestão do risco que
inicialmente era defensiva para um tipo de gestão de risco progressivamente mais ofensivo e estratégico.
O autor refere ainda que, enquanto a gestão do risco tradicional se preocupa essencialmente em
proteger a organização contra os efeitos financeiros negativos causados pelo risco, a gestão de risco
empresarial faz com que a gestão do risco seja parte integrante da estratégia global da organização
permitindo às organizações tomar melhores opções, ajustadas ao risco, que maximizam o valor acionista.
A função de gestão do risco, criada originalmente com o principal intuito de lidar com a transferência de
risco, é caracterizada como gestão de risco tradicional/defensiva. Esta abordagem centra-se
essencialmente em seguros e riscos contratuais e transacionais. A grande evolução que se seguiu foi a
alteração para uma função integrada/gestão de risco avançada, que coloca o foco na gestão de perdas
danosas cobertas pelo seguro através da prevenção e redução da gravidade dos riscos - tais como
responsabilidade civil, sinistros automóveis, acidentes dos trabalhadores, perdas relacionadas com
propriedades ou outros ativos. Esta abordagem centra-se essencialmente nas ameaças que as
organizações podem enfrentar. A modalidade de gestão do risco mais recente, conhecida como gestão
de risco empresarial, olha para o controlo dos riscos num âmbito mais alargado, dando respostas mais
concretas e profundas aos riscos estratégicos, operacionais e financeiros, entre outros, entendidos numa
perspetiva de carteira de riscos interligados. Em alguns casos, o âmbito da responsabilidade da função
de gestão do risco foi alargada de modo a incluir a planificação da continuidade das atividades. Esta
abordagem centra-se na tomada de decisões com base na informação relativamente às incertezas que
afetam o futuro da organização, conciliando a vertente de gestão de risco com uma vertente de análise
estratégica da organização (Egerdahl, Fox et al. 2012). A tendência para a adoção de sistemas de gestão
de risco empresarial é geralmente atribuída a uma combinação de fatores internos e externos. As
principais influências externas que têm conduzido as organizações a adotar uma abordagem de gestão
do risco mais integrada e
holística têm a ver com a emergência de riscos de âmbito mais alargado resultantes de fatores como a
globalização, a consolidação do setor financeiro e a liberalização, a atenção acrescida relativamente aos
aspetos regulamentares do governo das sociedades e o progresso tecnológico que possibilita uma
melhor análise e quantificação do risco (Miccolis e Shah 2000). Os fatores internos estão centrados numa
tónica de maximização do nível de riqueza do acionista. Os defensores da gestão de risco empresarial
argumentam que uma abordagem integrada permite aumentar o valor da organização, através da
redução de ineficiências inerentes à abordagem tradicional, melhorando a eficiência do capital,
estabilizando os ganhos e reduzindo os custos esperados do capital externo e dos procedimentos
regulamentares (Lam 2000; Miccolis e Shah 2000).

3. Gestão de Risco Tradicional vs Gestão de Risco Empresarial

A abordagem tradicional, baseada em silos, é composta por funções individuais e separadas de gestão
do risco, sem ter em conta que estas são mutuamente interdependentes. Atualmente, são ainda muitas
as organizações que continuam a tratar os riscos dessa forma segmentada, através da gestão de seguros,
de riscos cambiais, riscos operacionais, riscos de crédito e riscos associados aos produtos de base, cada
um deles conduzido como atividades de foco restrito e fragmentado. No entanto, é consensual que a
totalidade do risco a que uma organização se encontra sujeita não é igual à soma dos riscos considerados
de forma individual. Para além disso, têm sido apontadas diversas desadequações deste tipo de
abordagem no contexto das organizações modernas. Segundo o ERM Committee, essas desadequações
são provocadas por: 1. Maior complexidade dos riscos e interdependência dos mesmos como
consequência de um progresso acelerado da tecnologia, do processo de globalização, do ritmo acelerado
dos negócios, etc.; 2. Pressão por parte dos organismos profissionais e reguladores, investidores
institucionais, agências de crédito, intervenientes no mercado de capitais e outros para estabelecer
maior responsabilização relativamente à gestão de risco empresarial, como resultado de inúmeras
manipulações financeiras; 3. O desenvolvimento da teoria moderna do portfólio, que proporcionou o
enquadramento de um conjunto de instrumentos financeiros na gestão do risco global perceção das suas
contribuições para o risco total;

4. Os avanços tecnológicos e a experiência, que possibilitaram a quantificação de riscos individuais,

mesmo os mais raros e imprevisíveis anteriormente difíceis ou mesmo impossíveis de quantificar; 5.
Maior disponibilidade à partilha com outras empresas das experiências em matéria de gestão de risco,
especialmente com aquelas que não se apresentavam como concorrentes diretos. As desadequações das
abordagens de gestão do risco ditas tradicionais foram ultrapassadas em meados dos anos 90 pelo
aparecimento de um conceito conhecido como gestão de risco empresarial. No âmbito da gestão de
risco empresarial, todas as áreas de risco funcionam como partes de um sistema integrado, estratégico e
transversal a toda a empresa. Embora a gestão do risco seja coordenada com a supervisão de quadros
superiores, os funcionários de todos os níveis de uma organização que adote uma gestão de risco
empresarial são encorajados a olhar para a gestão do risco como uma parte integrante e contínua do seu
trabalho (Simkins e Ramirez 2008). A ideia principal do conceito de gestão de risco empresarial é
determinar o nível de risco considerado aceitável e como o utilizar com vista a acrescentar valor, razão
pela qual este é considerado como sendo parte integrante da estratégia de negócio. Nesse sentido, o
conceito de gestão de risco empresarial representa um novo paradigma de gestão do risco (resumido no
quadro 1) e estabelece uma base adequada para os processos de planeamento e tomada de decisão :

Gestão de Risco Tradicional Gestão de Risco Empresarial Risco entendido como perigos individuais Risco
perspetivado num contexto de estratégia de negócio Identificação e avaliação do risco Desenvolvimento
de uma carteira de riscos Destaque para os riscos pontuais Destaque para os riscos mais críticos
Atenuação dos riscos Otimização do risco Limites de risco Estratégia de risco Riscos sem responsáveis
Responsáveis pelo risco definidos Quantificação aleatória do risco Monitorização e medição do risco “O
risco não é responsabilidade minha” “O risco é responsabilidade de todos”

Quadro 1 – Gestão de Risco Tradicional VS Gestão de Risco Empresarial (Olson e Wu 2008)   4. Definição
de Gestão de Risco Empresarial

A gestão de risco empresarial é uma abordagem abrangente da gestão do risco que inclui a gestão de
risco estratégica e que tem aumentado a sua importância, em parte como resultado do Sarbanes-Oxley
Act de 2002, que estabelece uma maior responsabilidade para o Conselho de Administração
compreender e monitorizar os riscos de uma organização. Para dar resposta à necessidade de
orientação para implementar um sistema de gestão de risco empresarial, foram desenvolvidos vários
quadros normativos. O quadro normativo mais conhecido é, provavelmente, o “COSO’s Enterprise Risk
Management — Integrated Framework”, lançado em 2004 pelo Committee of Sponsoring Organizations
of the Treadway Commission (COSO). Este quadro normativo apresenta uma ferramenta de análise
comparativa para ajudar as organizações a desenvolver um mapa que as norteie durante o processo de
implementação de um sistema de gestão de risco empresarial. O COSO define gestão de risco
empresarial como “um processo efetuado pelo Conselho de Administração de uma organização, pelos
órgãos de gestão e outro pessoal, aplicado na definição da estratégia e de forma transversal a toda a
empresa, destinado a identificar acontecimentos potenciais que possam afetar a organização e gerir o
risco de forma que este esteja conforme a apetência pelo risco definida pela organização, de modo a
proporcionar uma garantia razoável quanto à realização dos objetivos da organização.” O modelo de
gestão de risco proposto pelo COSO (2004) está assente em 8 componentes que são afetadas de acordo
com os objetivos da organização que podem ser classificados em: estratégicos, táticos, comunicação,
regulação e conformidade legal. Existe uma relação direta entre objetivos e componentes, uma vez que
os objetivos são metas que a entidade pretende alcançar e as componentes são os meios necessários
para atingir esses objetivos. Os elementos, todos eles interligados, são o ambiente interno, a definição
de objetivos, a identificação dos acontecimentos, a avaliação dos riscos, as respostas aos riscos, as
atividades de controlo, a informação e comunicação e a monitorização. A gestão de risco empresarial é,
assim, o processo de identificar e analisar o risco a partir da perspetiva integrada e ampla da empresa. A
definição do COSO é intencionalmente ampla e diz respeito aos riscos e oportunidades que afetem a
criação ou a preservação de valor. No entanto, outros grupos definem a gestão de risco empresarial de
modo mais restrito. Por exemplo, a Casualty Atuarial Society (CAS) define a gestão de risco empresarial
como “o processo pelo qual as organizações de todos os setores avaliam, controlam, exploram,
financiam e monitorizam os riscos, qualquer que seja a sua origem, de modo a aumentar o valor de
curto e longo prazo da organização para as partes interessadas”. A CAS especifica os tipos de risco
considerados na gestão de risco empresarial

como riscos propriamente ditos, financeiros, operacionais e estratégicos. É de destacar que não existe
uma solução única e consensual relativamente à forma de olhar para a gestão de risco empresarial para
todas as organizações ou empresas. Morais (2004) refere que, neste modelo, controlo e risco são
inseparáveis e estão interligados numa estrutura integrada, cujos principais objetivos são a otimização
de oportunidades, a gestão do risco, o crescimento, a agregação de riscos e oportunidades para
melhorar os resultados, a resposta aos diversos riscos, a criação de valor para os diversos grupos
interessados (incluindo os acionistas) e a melhoria do governo da sociedade.

5. Intervenientes no processo de Gestão de Risco Empresarial

O risco está no centro das atenções de toda a organização, desde o Conselho de Administração, aos
gestores de topo, passando pelos gestores operacionais, auditores e reguladores externos, auditores
internos e Comissão de Auditoria (quando existe). O IIA (2009) refere que a administração tem a
responsabilidade global de assegurar que os riscos são geridos. Na prática, a administração irá delegar a
operacionalização da estrutura de gestão do risco à equipa de gestão, podendo haver uma função
separada para coordenar e fazer a gestão de projeto destas atividades e colocar ao dispor as
competências e conhecimentos de especialistas. Acrescenta ainda que todos os membros de uma
organização tem o seu papel no sucesso da gestão de risco empresarial, sendo que a principal
responsabilidade na identificação e gestão de riscos pertence aos administradores. Ayvaz e Pehlivanli
(2010) concluíram nos seus estudos que o Administrador Executivo (CEO) é o principal responsável pelas
atividades de gestão de risco empresarial, seguido pelo Conselho de Administração, alertando ainda para
a importância dos responsáveis pela auditoria interna e gestão do risco no processo. No mesmo sentido,
Walker, Shenkir et al. (2002) salientam que a implementação de uma gestão de risco empresarial não
pode ser bem sucedida sem o apoio firme dos quadros superiores. Kleffner, Lee et al. (2003) salientam
que o Conselho de Administração está a envolver-se cada vez mais nas atividades de gestão do risco e
que a sua influência está relacionada com a adoção de uma gestão de risco empresarial. Também
Burnaby e Hass (2009) destacam que a capacidade de uma empresa para alcançar os seus objetivos
estratégicos é reforçada pelos esforços desenvolvidos na gestão de risco, referindo que a participação
dos quadros superiores no estabelecimento de parâmetros de apetência pelo risco é importante.

A auditoria interna responde diretamente à Comissão de Auditoria, caso a empresa disponha deste
órgão. Caso não disponha, deve reportar à administração. Assim, a decisão da auditoria interna orientar
o seu trabalho para a identificação e avaliação dos riscos parte de instruções dadas pela Comissão de
Auditoria ou da administração. Beasley, Clune et al. (2005) demonstraram a existência de uma interação
entre a auditoria interna e o responsável pelo risco, bem como o enfoque da auditoria interna em
coordenar os esforços relativos à adoção e monitorização do processo de gestão de risco empresarial. O
responsável pela auditoria deverá ter em consideração o enquadramento da gestão do risco da
organização, incluindo os níveis de apetência ao risco definidos pela gestão para as diversas atividades
ou partes da organização. Caso não exista tal enquadramento, o responsável pela auditoria deverá
utilizar o seu julgamento de riscos após consultar os quadros superiores e o Conselho de Administração
(IPAI, 2009). Bekefi, Epstein et al. (2008) chamam a atenção relativamente ao papel que os gestores
financeiros desempenham na definição da apetência pelo risco, na promoção da conformidade com os
níveis de apetência ao risco, na gestão dos riscos nas áreas da sua responsabilidade e na comunicação
dos mesmos. Assim que os órgãos de gestão definam o nível de apetência pelo risco, a empresa deverá
avaliar os riscos e as oportunidades identificados e desenvolver estratégias que explorem as
oportunidades e minimizem a exposição desnecessária ou evitável (Frigo e Anderson 2011). Os
defensores da gestão de risco empresarial acreditam que as organizações que optem por seguir esta
estratégia precisam de uma pessoa ou de um grupo de pessoas responsáveis pela coordenação do
programa de gestão de risco empresarial e pela comunicação dos objetivos e dos resultados ao Conselho
de Administração. A pessoa ou grupo responsável deve promover a gestão de risco empresarial junto
dos órgãos de gestão e elevar a função a um patamar no qual seja possível divulgar a estratégia
financeira e de negócio da organização (Liebenberg e Hoyt 2003). Alguns estudos recentes sugerem que
as organizações olham para o Diretor de Risco e para a comissão de gestão de risco empresarial como
complementos e não como alternativas. Ao contrário daquilo que acontecia com os gestores de risco
tradicionais, os Diretores de Risco são normalmente designados pela administração e respondem
diretamente perante o CEO ou o Diretor Financeiro. Liebenberg e Hoyt (2003) referem que embora
inicialmente se considerasse que o papel do Diretor de Risco se limitava à gestão do risco, vários têm
sido aqueles que alertam para as responsabilidades deste com respeito às boas práticas de governo das
sociedades.

6. Regulamentação e Orientações

Morais (2008) refere que a introdução de diversas regulamentações que impõem uma postura de