Machine Translated by Google

Comitê de Organizações Patrocinadoras da Comissão Treadway

Gerenciamento de riscos corporativos

Integração com Estratégia e Desempenho
Sumário executivo

Junho de 2017
Machine Translated by Google

Este projeto foi encomendado pelo Comitê de Organizações Patrocinadoras da Comissão Treadway (COSO),
que se dedica a fornecer liderança de pensamento por meio do desenvolvimento de estruturas abrangentes e
orientação sobre controle interno, gerenciamento de riscos corporativos e dissuasão de fraudes destinadas a
melhorar o desempenho organizacional e supervisão e reduzir a extensão da fraude nas organizações.

O COSO é uma iniciativa do setor privado, patrocinada e financiada conjuntamente por:

• Associação Americana de Contabilidade

• Instituto Americano de Contadores Públicos Certificados

• Executivos Financeiros Internacionais

• Instituto de Contadores Gerenciais

• O Instituto de Auditores Internos

©2017 Todos os direitos reservados. Nenhuma parte desta publicação pode ser reproduzida, redistribuída, transmitida ou exibida de qualquer forma ou por qualquer
meio sem permissão por escrito do COSO. P254469-01 0516
Machine Translated by Google
Sumário executivo

Prefácio
De acordo com sua missão geral, o Conselho do COSO comissionou e publicou em 2004 Enterprise Risk
Management—Integrated Framework. Na última década, essa publicação ganhou ampla aceitação pelas
organizações em seus esforços para gerenciar riscos. No entanto, também durante esse período, a complexidade
do risco mudou, novos riscos surgiram e tanto os conselhos quanto os executivos aumentaram sua conscientização
e supervisão do gerenciamento de riscos corporativos ao mesmo tempo em que solicitavam relatórios de risco
aprimorados. Esta atualização da publicação de 2004 aborda a evolução do gerenciamento de riscos corporativos
e a necessidade de as organizações melhorarem sua abordagem de gerenciamento de riscos para atender às
demandas de um ambiente de negócios em evolução.
O documento atualizado, agora intitulado Enterprise Risk Management—Integrating with Strategy and
Performance, destaca a importância de considerar o risco tanto no processo de definição da estratégia quanto na
condução do desempenho. A primeira parte da publicação atualizada oferece uma perspectiva dos conceitos e
aplicações atuais e em evolução do gerenciamento de riscos corporativos. A segunda parte, o Framework, está
organizada em cinco componentes fáceis de entender que acomodam diferentes pontos de vista e estruturas
operacionais e aprimoram estratégias e tomadas de decisão. Em suma, esta atualização:

• Fornece maior percepção sobre o valor do gerenciamento de riscos corporativos ao definir e

realizando estratégia.

• Aprimora o alinhamento entre o desempenho e o gerenciamento de riscos corporativos para melhorar a definição de
metas de desempenho e a compreensão do impacto do risco no desempenho.

• Acomoda as expectativas de governança e supervisão.

• Reconhece a globalização dos mercados e operações e a necessidade de aplicar um princípio comum,

embora sob medida, abordagem em todas as geografias.

• Apresenta novas formas de visualizar o risco para definir e atingir objetivos no contexto de maior complexidade de
negócios.

• Expande os relatórios para atender às expectativas de maior transparência das partes interessadas.

• Acomoda tecnologias em evolução e a proliferação de dados e análises no apoio à tomada de decisões.

• Estabelece as principais definições, componentes e princípios para todos os níveis de gerenciamento envolvidos na
concepção, implementação e condução de práticas de gerenciamento de riscos corporativos.

Os leitores também podem consultar uma publicação complementar, o Controle Interno do COSO—
Quadro Integrado. As duas publicações são distintas e têm focos distintos; nenhum substitui o outro. No
entanto, eles se conectam. Controle Interno - Estrutura Integrada
engloba o controle interno, que é referenciado em parte nesta publicação atualizada, e, portanto, o documento
anterior permanece viável e adequado para projetar, implementar, conduzir e avaliar o controle interno e para o
consequente reporte.
O Conselho do COSO gostaria de agradecer à PwC por suas contribuições significativas no desenvolvimento
do Gerenciamento de Riscos Corporativos – Integração com Estratégia e Desempenho. Sua consideração
completa das contribuições fornecidas por muitas partes interessadas e sua visão foram fundamentais para
garantir que os pontos fortes da publicação original fossem preservados e que o texto fosse esclarecido ou
expandido onde foi considerado útil fazê-lo. A Diretoria do COSO e a PwC também gostariam de agradecer ao
Conselho Consultivo e aos Observadores por suas contribuições na revisão e fornecimento de feedback.

Robert B. Hirth Jr. Dennis L. Chesley

Presidente COSO Parceiro líder do projeto da PwC e líder
global e regulatório de riscos e da APA

Junho de 2017
iii
Machine Translated by Google
Gestão de Riscos Corporativos | Integração com Estratégia e Desempenho

Comitê de Organizações Patrocinadoras da

Comissão Treadway

Membros do Conselho

Robert B. Hirth Jr. Richard F. Chambers Mitchell A. Danaher

Presidente COSO O Instituto de Auditores Internos Financial Executives International

Charles E. Landes Douglas F. Prawitt Sandra Richtermeyer

Instituto Americano de Contadores Públicos Associação Americana de Contabilidade Instituto de Gestão
Certificados Contadores

PwC—Autor

Principais Contribuintes
Miles EA Everson Dennis L. Chesley , Frank J. Martens
Líder de engajamento e líder consultivo sócio líder do projeto e líder Diretor de Projetos e Líder de
global e da Ásia, Pacífico e Américas global e regulatório de riscos e Metodologia e Estrutura de Risco
(APA) da APA Global
Nova York, EUA Washington DC, EUA Colúmbia Britânica, Canadá

Matthew Bagin Hélène Katz Katie T. Sylvis

Diretor Diretor Diretora
Washington DC, EUA Nova York, EUA Washington DC, EUA

Sallie Jo Perraglia Kathleen Crader Zelnik Maria Grimshaw

Gerente Gerente Associado Sênior
Nova York, EUA Washington DC, EUA Nova York, EUA

4 Junho de 2017
Machine Translated by Google
Sumário executivo

O cenário de risco em mudança

Nossa compreensão da natureza do risco, a arte e a ciência da escolha, está no cerne de nossa economia
moderna. Cada escolha que fazemos na busca de objetivos tem seus riscos. Das decisões operacionais do dia-a-dia
aos trade-offs fundamentais na sala de reuniões, lidar com o risco nessas escolhas faz parte da tomada de decisão.

À medida que buscamos otimizar uma série de resultados possíveis, as decisões raramente são binárias, com uma
resposta certa e errada. É por isso que o gerenciamento de riscos corporativos pode ser chamado de arte e ciência.
E quando o risco é considerado na formulação da estratégia e dos objetivos de negócios de uma organização, o
gerenciamento de riscos corporativos ajuda a otimizar os resultados.

Nossa compreensão do risco e nossa prática de gerenciamento de risco corporativo melhoraram muito nas últimas
décadas. Mas a margem de erro está diminuindo. O Fórum Econômico Mundial comentou sobre a “crescente volatilidade,
complexidade e ambiguidade do mundo”.1 Esse é um fenômeno que todos reconhecemos. As organizações encontram
desafios que afetam a confiabilidade, a relevância e a confiança. As partes interessadas estão mais engajadas hoje,
buscando maior transparência e responsabilidade para gerenciar o impacto do risco, ao mesmo tempo em que avaliam
criticamente a capacidade da liderança de cristalizar oportunidades. Mesmo o sucesso pode trazer consigo um risco
negativo adicional – o risco de não ser capaz de atender a uma demanda inesperadamente alta ou manter o impulso
comercial esperado, por exemplo.

As organizações precisam ser mais adaptáveis às mudanças. Eles precisam pensar estrategicamente sobre como
gerenciar a crescente volatilidade, complexidade e ambiguidade do mundo, particularmente nos níveis seniores da
organização e na sala de reuniões, onde as apostas são mais altas.

Gerenciamento de riscos corporativos—A integração com estratégia e desempenho fornece uma estrutura
para conselhos e administração em entidades de todos os tamanhos. Ele se baseia no nível atual de gerenciamento
de risco que existe no curso normal dos negócios. Além disso, ele demonstra como a integração de práticas de
gerenciamento de riscos corporativos em toda a entidade ajuda a acelerar o crescimento e melhorar o desempenho.
Ele também contém princípios que podem ser aplicados – desde a tomada de decisões estratégicas até o
desempenho.

Abaixo, descrevemos por que faz sentido que a administração e os conselhos usem a estrutura de gerenciamento
de riscos corporativos2, o que as organizações alcançaram ao aplicar o gerenciamento de riscos corporativos e
quais benefícios adicionais podem obter por meio de seu uso contínuo. Concluímos com um olhar para o futuro.

Guia de gerenciamento para gerenciamento de riscos corporativos

A administração detém a responsabilidade geral pelo gerenciamento de riscos para a entidade, mas é importante
que a administração vá além: para aprimorar a conversa com o conselho e as partes interessadas sobre o uso do
gerenciamento de riscos corporativos para obter uma vantagem competitiva. Isso começa com a implantação de
recursos de gerenciamento de riscos corporativos como parte da seleção e refinamento de uma estratégia.

Mais notavelmente, por meio desse processo, a administração obterá uma melhor compreensão de como a
consideração explícita do risco pode afetar a escolha da estratégia. O gerenciamento de riscos corporativos
enriquece o diálogo gerencial ao adicionar perspectiva aos pontos fortes e fracos de uma estratégia à medida que
as condições mudam e ao quão bem uma estratégia se ajusta à missão e visão da organização. Ele permite que a
administração se sinta mais confiante de que examinou estratégias alternativas e considerou a contribuição daqueles
em sua organização que implementarão a estratégia selecionada.

.................................................. .................................................. .

1 Relatório de Riscos Globais 2016, 11ª edição, Fórum Econômico Mundial (2016).

2 A Estrutura usa o termo “conselho de administração” ou “conselho”, que engloba o corpo diretivo, incluindo conselho, conselho fiscal, conselho de
administração, sócios gerais ou proprietário.

Junho de 2017 1
Machine Translated by Google
Gestão de Riscos Corporativos | Integração com Estratégia e Desempenho

Uma vez que a estratégia é definida, o gerenciamento de riscos corporativos fornece uma maneira eficaz para o gerenciamento
cumprir seu papel, sabendo que a organização está sintonizada com os riscos que podem afetar a estratégia e os está gerenciando
bem. A aplicação do gerenciamento de riscos corporativos ajuda a criar confiança e incutir confiança nas partes interessadas no
ambiente atual, que exige maior escrutínio do que nunca sobre como o risco está abordando e gerenciando ativamente esses riscos.

O Guia do Conselho para Gerenciamento de Riscos Corporativos

Cada conselho tem um papel de supervisão, ajudando a apoiar a criação de valor em uma entidade e evitar seu declínio.
Tradicionalmente, o gerenciamento de riscos corporativos tem desempenhado um forte papel de apoio no nível do conselho. Agora,
espera-se cada vez mais que os conselhos forneçam supervisão do gerenciamento de riscos corporativos.

A Estrutura fornece considerações importantes para os conselhos na definição e tratamento de suas responsabilidades de
supervisão de risco. Essas considerações incluem governança e cultura; estratégia e definição de objetivos; atuação; informações,
comunicações e relatórios; e a revisão e revisão de práticas para melhorar o desempenho da entidade.

A função de supervisão de risco do conselho pode incluir, mas não se limita a:

• Revisar, desafiar e concordar com a administração em:

– Estratégia proposta e apetite ao risco.

– Alinhamento da estratégia e dos objetivos de negócios com a missão, visão e

valores fundamentais

– Decisões de negócios significativas, incluindo aquisições de fusões, alocações de capital, financiamento e

decisões relacionadas a dividendos

– Resposta a flutuações significativas no desempenho da entidade ou na visão de risco do portfólio.

– Respostas a casos de desvio dos valores fundamentais.

• Aprovar incentivos de gestão e remuneração.

Perguntas para
• Participação nas relações com investidores e stakeholders.
gestão
A longo prazo, o gerenciamento de riscos corporativos também pode aumentar a resiliência
Toda a administração – não apenas o
corporativa — a capacidade de antecipar e responder a mudanças. Ele ajuda as
diretor de risco – pode articular como o risco é
organizações a identificar fatores que representam não apenas risco, mas mudança, e
considerado na seleção de estratégias ou
como essa mudança pode afetar o desempenho e exigir uma mudança na estratégia. Ao
decisões de negócios? Eles podem articular
ver a mudança com mais clareza, uma organização pode elaborar seu próprio plano; por
claramente o apetite de risco da entidade e como
exemplo, deveria recuar defensivamente ou investir em um novo negócio? O gerenciamento
isso pode influenciar uma decisão específica? A
de riscos corporativos fornece a estrutura certa para que os conselhos avaliem os riscos e
conversa resultante pode esclarecer como é
adotem uma mentalidade de resiliência.
realmente a mentalidade para assumir riscos na
organização.

Os conselhos também podem pedir à alta O que o gerenciamento de riscos corporativos

administração que fale não apenas sobre
processos de risco, mas também sobre cultura.
Como a cultura permite ou inibe a tomada de
risco responsável? Que lente a administração usa
para monitorar a cultura de risco e como isso
mudou? À medida que as coisas mudam – e as
coisas vão mudar, estejam ou não no radar da
entidade – como o conselho pode ter certeza de
uma resposta apropriada e oportuna da
administração?
Alcançou
O COSO publicou Enterprise Risk Management—Integrated Framework em
2004. O objetivo dessa publicação era ajudar as entidades a proteger melhor e
aumentar o valor das partes interessadas. Sua filosofia subjacente era que “o valor é
maximizado quando a administração define a estratégia e os objetivos para atingir um
equilíbrio ideal entre as metas de crescimento e retorno e os riscos relacionados, e emprega
recursos de forma eficiente e eficaz em busca dos objetivos da entidade”.

.................................................. .................................................. .

3
Gerenciamento de Riscos Corporativos—Estrutura Integrada, Sumário Executivo, COSO (2004).

2 Junho de 2017
Machine Translated by Google
Desde sua publicação, a Estrutura tem sido usada com sucesso em todo o mundo, em
todos os setores e em organizações de todos os tipos e tamanhos para identificar
riscos, gerenciá-los dentro de um apetite de risco definido e apoiar a realização de
objetivos.
No entanto, embora muitos tenham aplicado a Estrutura na prática, ela tem potencial
para ser usada de forma mais ampla. Ela se beneficiaria ao examinar certos aspectos
com mais profundidade e clareza e ao fornecer uma visão mais ampla das ligações
entre estratégia, risco e desempenho. Em resposta, portanto, a Estrutura atualizada
nesta publicação:
• Conecta mais claramente o gerenciamento de riscos corporativos com um
muitas expectativas das partes interessadas.
• Posiciona o risco no contexto de uma organização
desempenho, e não como objeto de um exercício isolado.
• Permite que as organizações antecipem melhor os riscos para que possam
se antecipar, com a compreensão de que a mudança cria oportunidades,
não apenas o potencial para crises.
Esta atualização também responde ao apelo por uma ênfase mais forte em como o
gerenciamento de riscos corporativos informa a estratégia e seu desempenho.
Benefícios do Risco Corporativo Eficaz
Gestão
Todas as organizações precisam definir a estratégia e ajustá-la periodicamente,
sempre atentas às oportunidades em constante mudança de criação de valor e aos
desafios que ocorrerão na busca desse valor. Para fazer isso, eles precisam da
melhor estrutura possível para otimizar a estratégia e o desempenho.
É aí que entra o gerenciamento de riscos corporativos.
As organizações que integram o gerenciamento de riscos corporativos em
toda a entidade podem obter muitos benefícios, incluindo, mas não limitados a:
• Aumentar o leque de oportunidades: Ao considerar todas as possibilidades
- aspectos positivos e negativos do risco -
a administração pode identificar novas oportunidades e desafios únicos
associados às oportunidades atuais.
• Identificando e gerenciando riscos em toda a entidade: Cada entidade enfrenta
uma miríade de riscos que podem afetar muitas partes da organização.
Às vezes, um risco pode se originar em uma parte da entidade, mas afetar
uma parte diferente. Consequentemente, a administração identifica e
gerencia esses riscos de toda a entidade para sustentar e melhorar o
desempenho.
• Aumentar os resultados positivos e vantagens enquanto reduz
surpresas negativas: A gestão de risco empresarial permite que as entidades
melhorem sua capacidade de identificar riscos e estabelecer respostas
adequadas, reduzindo surpresas e custos ou perdas relacionadas, enquanto
lucram com desenvolvimentos vantajosos.
Sumário executivo
Limpando alguns
equívocos
Ouvimos alguns equívocos sobre o Framework
original desde que foi introduzido em 2004.
Para esclarecer as coisas:
O gerenciamento de riscos corporativos não é
uma função ou departamento. É a cultura, as
capacidades e as práticas que as organizações
integram com a definição de orientação estratégica
e aplicam quando executam essa estratégia, com
o objetivo de gerenciar riscos na criação,
preservação e realização de valor.
O gerenciamento de riscos corporativos é mais
do que uma lista de riscos. Requer mais do que
fazer um inventário de todos os riscos dentro da
organização. É mais amplo e inclui práticas que a
administração implementa para gerenciar ativamente
os riscos.
O gerenciamento de riscos corporativos
aborda mais do que o controle interno.
Ele também aborda outros tópicos, como definição
de estratégias, governança, comunicação com as
partes interessadas e medição de desempenho.
Seus princípios se aplicam em todos os níveis da
organização e em todas as funções.
O gerenciamento de riscos corporativos não é
uma lista de verificação. É um conjunto de
princípios sobre os quais os processos podem
ser construídos ou integrados para uma determinada
organização e é um sistema de monitoramento,
aprendizado e melhoria de desempenho.
O gerenciamento de riscos corporativos pode
ser usado por organizações de qualquer tamanho.
Se uma organização tem uma missão, uma
estratégia e objetivos – e a necessidade de tomar
decisões que considerem totalmente os riscos –
então o gerenciamento de riscos corporativos pode
ser aplicado. Ele pode e deve ser usado por todos
os tipos de organizações, desde pequenas empresas
até empresas sociais baseadas na comunidade,
agências governamentais e empresas da Fortune
500.
Junho de 2017 3
Machine Translated by Google
Gestão de Riscos Corporativos | Integração com Estratégia e Desempenho

• Reduzir a variabilidade do desempenho: para alguns, o desafio é menos com surpresas e perdas e
mais com variabilidade no desempenho. O desempenho antes do cronograma ou além das
expectativas pode causar tanta preocupação quanto o desempenho aquém do cronograma e das
expectativas. O gerenciamento de riscos corporativos permite que as organizações antecipem os
riscos que afetariam o desempenho e permitem que implementem as ações necessárias para
minimizar a interrupção e maximizar as oportunidades.

• Melhorar a implantação de recursos: cada risco pode ser considerado uma solicitação de
Recursos. A obtenção de informações robustas sobre o risco permite que o gerenciamento, em
face de recursos finitos, avalie as necessidades gerais de recursos, priorize a implantação de
recursos e melhore a alocação de recursos.

• Melhorar a resiliência empresarial: a viabilidade de médio e longo prazo de uma entidade

depende de sua capacidade de antecipar e responder às mudanças, não apenas para
sobreviver, mas também para evoluir e prosperar. Isso é, em parte, possibilitado pelo
gerenciamento eficaz de riscos corporativos. Torna-se cada vez mais importante à medida que o
ritmo das mudanças acelera e a complexidade dos negócios aumenta.
Esses benefícios destacam o fato de que o risco não deve ser visto apenas como uma potencial
restrição ou desafio para definir e executar uma estratégia. Em vez disso, a mudança subjacente ao
risco e as respostas organizacionais ao risco dão origem a oportunidades estratégicas e capacidades de
diferenciação chave.

O Papel do Risco na Seleção da Estratégia

A seleção de estratégia é sobre fazer escolhas e aceitar trade-offs. Portanto, faz sentido aplicar o
gerenciamento de riscos corporativos à estratégia, pois essa é a melhor abordagem para desvendar a
arte e a ciência de fazer escolhas bem informadas.

O risco é uma consideração em muitos processos de definição de estratégias. Mas o risco é

frequentemente avaliado principalmente em relação ao seu efeito potencial em uma estratégia já
determinada. Em outras palavras, as discussões se concentram nos riscos para a estratégia existente: Temos
uma estratégia em vigor, o que pode afetar a relevância e viabilidade de nossa estratégia?

Mas há outras perguntas a serem feitas sobre estratégia, que as organizações estão se tornando melhores
em fazer: Modelamos a demanda do cliente com precisão? Nossa cadeia de suprimentos entregará dentro do
prazo e do orçamento? Novos concorrentes surgirão? Nossa infraestrutura de tecnologia está à altura da
tarefa? Esses são os tipos de perguntas com as quais os executivos lidam todos os dias, e respondê-las é
fundamental para a execução de uma estratégia.

No entanto, o risco para a estratégia escolhida é apenas um aspecto a ser considerado. Como esta Estrutura
enfatiza, há dois aspectos adicionais no gerenciamento de riscos corporativos que podem ter um efeito muito
maior no valor de uma entidade: a possibilidade de a estratégia não se alinhar e as implicações da estratégia
escolhida.

A primeira delas, a possibilidade de a estratégia não estar alinhada com a missão, visão e valores
centrais de uma organização, é central para as decisões que fundamentam a seleção da estratégia.
Cada entidade tem uma missão, visão e valores fundamentais que definem o que está tentando alcançar e
como deseja conduzir os negócios. Algumas organizações são céticas quanto a realmente abraçar seus
credos corporativos. Mas a missão, a visão e os valores fundamentais demonstraram ser importantes – e
eles são mais importantes quando se trata de gerenciar riscos e permanecer resiliente durante períodos de
mudança.

4 Junho de 2017
Machine Translated by Google
Sumário executivo

A estratégia escolhida deve apoiar a missão e a visão da organização. Uma estratégia desalinhada
aumenta a possibilidade de a organização não realizar sua missão e visão, ou comprometer seus valores,
mesmo que uma estratégia seja executada com sucesso. Portanto, a gestão de riscos corporativos
considera a possibilidade de a estratégia não estar alinhada com a missão e visão da organização.

O outro aspecto adicional são as implicações da estratégia escolhida. Quando a administração desenvolve
uma estratégia e trabalha por meio de alternativas com o conselho, ela toma decisões sobre os trade-offs
inerentes à estratégia. Cada estratégia alternativa tem seu próprio perfil de risco – essas são as implicações
decorrentes da estratégia. O conselho de administração e a gerência precisam determinar se a estratégia
funciona em conjunto com o apetite de risco da organização e como ela ajudará a conduzir a organização a
definir objetivos e, em última análise, alocar recursos de forma eficiente.
Aqui está o que é importante: o gerenciamento de riscos corporativos envolve tanto a compreensão
das implicações da estratégia e a possibilidade de a estratégia não se alinhar quanto o gerenciamento de
riscos para definir objetivos. A figura abaixo ilustra essas considerações no contexto da missão, visão, valores
centrais e como um impulsionador da direção e desempenho geral de uma entidade.

g mp c
gn n
EU

eu eueu

t
eu
eu
uma to uma
eu

no nsf
mr
h
r
f ESTRATÉGIA, r
O NEGÓCIO MELHORADA
MISSÃO, VISÃO E
VALORES FUNDAMENTAIS OBJETIVOS, & h ATUAÇÃO
ATUAÇÃO
P n

Reus n
kt m
uma

o st r or
t eg y & perf
uma

O gerenciamento de riscos corporativos, como normalmente é praticado, tem ajudado muitas organizações
a identificar, avaliar e gerenciar os riscos da estratégia. Mas as causas mais significativas de destruição de
valor estão embutidas na possibilidade de a estratégia não apoiar a missão e visão da entidade e as implicações
da estratégia.
O gerenciamento de riscos corporativos aprimora a seleção de estratégias. A escolha de uma estratégia exige
uma tomada de decisão estruturada que analise o risco e alinhe os recursos com a missão e a visão da
organização.

Junho de 2017 5
Machine Translated by Google
Gestão de Riscos Corporativos | Integração com Estratégia e Desempenho

Uma estrutura focada

Gerenciamento de riscos corporativos—A integração com estratégia e desempenho esclarece a
importância do gerenciamento de riscos corporativos no planejamento estratégico e sua incorporação em toda a
organização, porque o risco influencia e alinha a estratégia e o desempenho em todos os departamentos e funções.

GESTÃO DE RISCO EMPRESARIAL

MISSÃO, VISÃO, ESTRATÉGIA O NEGÓCIO IMPLEMENTAÇÃO MELHORADA

& VALORES FUNDAMENTAIS DESENVOLVIMENTO OBJETIVO & ATUAÇÃO VALOR
FORMULAÇÃO

Governança Estratégia & atuação Análise Em formação,

& Cultura Definição de objetivos & Revisão Comunicação,
& Comunicando

O próprio Framework é um conjunto de princípios organizados em cinco componentes inter-relacionados:

1. Governança e Cultura: A governança define o tom da organização, reforçando a importância e

estabelecendo responsabilidades de supervisão para o gerenciamento de riscos corporativos. A
cultura diz respeito aos valores éticos, comportamentos desejados e compreensão do risco na entidade.

2. Estratégia e Definição de Objetivos: Gestão de riscos corporativos, estratégia e

o estabelecimento de objetivos trabalha em conjunto no processo de planejamento estratégico. Um
apetite de risco é estabelecido e alinhado com a estratégia; os objetivos de negócios colocam a
estratégia em prática enquanto servem como base para identificar, avaliar e responder ao risco.

3. Desempenho: Os riscos que podem afetar o alcance da estratégia e dos objetivos de negócios
precisam ser identificados e avaliados. Os riscos são priorizados por gravidade no contexto do
apetite de risco. A organização então seleciona as respostas aos riscos e tem uma visão de portfólio
da quantidade de risco que assumiu. Os resultados deste processo são reportados aos principais
stakeholders de risco.

4. Revisão e Revisão: Ao revisar o desempenho da entidade, uma organização pode

avalie quão bem os componentes de gerenciamento de riscos corporativos estão funcionando ao longo
do tempo e à luz de mudanças substanciais, e quais revisões são necessárias.

5. Informação, Comunicação e Relatórios: O gerenciamento de riscos corporativos requer um

processo contínuo de obtenção e compartilhamento das informações necessárias, tanto de
fontes internas quanto externas, que fluem para cima, para baixo e por toda a organização.

6 Junho de 2017
Machine Translated by Google
Sumário executivo

Os cinco componentes da Estrutura atualizada são apoiados por um conjunto de princípios.4 Esses princípios abrangem
tudo, desde a governança até o monitoramento. Eles são gerenciáveis em tamanho e descrevem práticas que podem ser
aplicadas de diferentes maneiras para diferentes organizações, independentemente do tamanho, tipo ou setor. Aderir a esses
princípios pode fornecer à administração e ao conselho uma expectativa razoável de que a organização entenda e se esforce
para gerenciar os riscos associados à sua estratégia e objetivos de negócios.

Governança Estratégia & atuação Análise Em formação,

& Cultura Definição de objetivos & Revisão Comunicação,
& Comunicando
1. Supervisão de Riscos do Conselho 6. Analisa negócios 10. Identifica o Risco 15. Avalia Substancial 18. Aproveita Informação e
de Exercícios Contexto Mudar Tecnologia
11. Avalia a gravidade
2. Estabelece Operacional 7. Define o Apetite ao Risco de Risco 16. Revisões de Risco e 19. Comunica o Risco
Estruturas 8. Avalia a alternativa 12. Prioriza os Riscos atuação Em formação

3. Define a Cultura Desejada Estratégias 17. Busca Melhoria no 20. Relatórios de Risco,
13. Implementa Risco
4. Demonstra 9. Formula Negócios Gerenciamento de Riscos Cultura e
Respostas
compromisso Corporativos Desempenho
Objetivos 14. Desenvolve a Visualização do
com os valores essenciais Portfólio

5. Atrai, Desenvolve,
e retém capaz
Indivíduos

Olhando para o futuro

Não há dúvida de que as organizações continuarão a enfrentar um futuro cheio de volatilidade, complexidade e
ambiguidade. O gerenciamento de riscos corporativos será uma parte importante de como uma organização gerencia e
prospera nesses tempos. Independentemente do tipo e tamanho de uma entidade, as estratégias precisam permanecer
fiéis à sua missão. E todas as entidades precisam exibir características que impulsionem uma resposta eficaz à mudança,
incluindo a tomada de decisão ágil, a capacidade de responder de maneira coesa e a capacidade adaptativa de dinamizar
e reposicionar, mantendo altos níveis de confiança entre as partes interessadas.

À medida que olhamos para o futuro, existem várias tendências que afetarão o gerenciamento de riscos
corporativos. Apenas quatro deles são:

• Lidando com a proliferação de dados: À medida que mais e mais dados se tornam disponíveis e a velocidade com que
novos dados podem ser analisados aumenta, o gerenciamento de riscos corporativos precisará se adaptar. Os
dados virão de dentro e de fora da entidade e serão estruturados de novas maneiras. As ferramentas avançadas de
análise e visualização de dados evoluirão e serão muito úteis para entender o risco e seu impacto, tanto positivo
quanto negativo.

• Aproveitando a inteligência artificial e a automação: muitas pessoas sentem que entramos

a era dos processos automatizados e da inteligência artificial. Independentemente das crenças individuais, é importante
que as práticas de gerenciamento de riscos corporativos considerem o impacto dessas e das tecnologias futuras e
aproveitem seus recursos. Relacionamentos, tendências e padrões anteriormente irreconhecíveis podem ser
descobertos, fornecendo uma rica fonte de informações críticas para o gerenciamento de riscos.

• Gerenciando o custo do gerenciamento de riscos: Uma preocupação frequente expressa por muitos executivos de
negócios é o custo do gerenciamento de riscos, processos de conformidade e atividades de controle em comparação
com o valor obtido. À medida que as práticas de gerenciamento de riscos corporativos evoluem, será importante que
as atividades que abrangem risco, conformidade, controle e até mesmo governança sejam coordenadas de forma
eficiente para fornecer o máximo benefício para a organização. Isso pode representar uma das melhores oportunidades
para o gerenciamento de riscos corporativos redefinir sua importância para a organização.

.................................................. .................................................. ..

4 Uma descrição mais completa desses vinte princípios é fornecida no final deste documento.

Junho de 2017 7
Machine Translated by Google
Gestão de Riscos Corporativos | Integração com Estratégia e Desempenho

• Construindo organizações mais fortes: À medida que as organizações se tornam melhores na integração
do gerenciamento de riscos corporativos com estratégia e desempenho, uma oportunidade de fortalecer
a resiliência se apresentará. Ao conhecer os riscos que terão o maior impacto na entidade, as
organizações podem usar o gerenciamento de riscos corporativos para ajudar a implementar recursos
que lhes permitam agir antecipadamente. Isso abrirá novas oportunidades.

Em resumo, o gerenciamento de riscos corporativos precisará mudar e se adaptar ao futuro

para fornecer consistentemente os benefícios descritos na Estrutura. Com o foco certo, os
benefícios derivados do gerenciamento de riscos corporativos superarão em muito os
investimentos e fornecerão às organizações confiança em sua capacidade de lidar com o futuro.

8 Junho de 2017
Machine Translated by Google
Sumário executivo

Agradecimentos
Um agradecimento especial às seguintes empresas e organizações por permitirem a participação de
Membros do Conselho Consultivo e Observadores.

Membros do Conselho Consultivo Observadores

Empresas e Organizações • Corporação Federal Asseguradora de Depósitos

(Harrison Greene) •
• Athene USA (Jane Karli) •
Escritório de Responsabilidade do Governo (James
Edison International (David J. Heller) • First
Dalkin)
Data Corporation (Lee Marks) • Georgia-Pacific
• Instituto de Contadores Gerenciais
LLC (Paul Sobel) • Invesco Ltd. (Suzanne
(Jeff Thompson) •
Christensen)
Institut der Wirtschaftsprüfer (Horst
• Microsoft (Jeff Pratt) •
Kreisel)
Departamento de Comércio dos EUA (Karen
• Federação Internacional de Contadores
Hardy) • United Technologies Corporation
(Vincent Tophoff) •
(Margaret Boissoneau) • Zurich Insurance
ISACA (Jennifer Bayuk)
Company (James Davenport)
• Sociedade de Gestão de Riscos (Carol Fox)

Ensino Superior e Associações

• Universidade Estadual da Carolina do Norte
(Mark Beasley) • Universidade de St. John
(Paul Walker) • Instituto de Auditores Internos
(Douglas J. Anderson)

Empresas de serviços profissionais

• Crowe Horwath LLP (William Watts)

• Deloitte & Touche LLP (Henry Ristuccia) • Ernst &
Young (Anthony J. Carmello) • James Lam &
Associates (James Lam) • Grant Thornton LLP
(Bailey Jordan) • KPMG LLP Americas (Deon
Minnaar) • Mercury Business Advisors Inc. (Patrick

Stroh)
• Protiviti Inc. (James DeLoach)

Ex-Membro do Conselho do COSO

• Presidente do COSO, 2009–2013 (David

Landsittel)

Junho de 2017 9
Machine Translated by Google
Gestão de Riscos Corporativos | Integração com Estratégia e Desempenho

Componentes e Princípios
1. Exerce a Supervisão de Riscos do Conselho—O conselho de administração supervisiona a estratégia e executa as
responsabilidades de governança para apoiar a administração no alcance dos objetivos estratégicos e de negócios.

2. Estabelece Estruturas Operacionais—A organização estabelece estruturas operacionais na busca da estratégia e

objetivos de negócios.

3. Define a Cultura Desejada—A organização define os comportamentos desejados que caracterizam o

cultura desejada da entidade.

4. Demonstra Compromisso com os Valores Fundamentais—A organização demonstra compromisso com os valores
fundamentais da entidade.

5. Atrai, desenvolve e retém indivíduos capazes—A organização está comprometida com a construção de capital
humano em alinhamento com a estratégia e os objetivos de negócios.

6. Analisa o contexto de negócios—A organização considera os efeitos potenciais do contexto de negócios

no perfil de risco.

7. Define o apetite ao risco—A organização define o apetite ao risco no contexto da criação,

preservando e valorizando.

8. Avalia Estratégias Alternativas—A organização avalia estratégias alternativas e

impacto potencial no perfil de risco.

9. Formula Objetivos de Negócios—A organização considera o risco ao estabelecer o

objetivos de negócios em vários níveis que alinham e apoiam a estratégia.

10. Identifica o risco—A organização identifica o risco que afeta o desempenho da estratégia e os objetivos de negócios.

11. Avalia a gravidade do risco—A organização avalia a gravidade do risco.

12. Prioriza os riscos—A organização prioriza os riscos como base para selecionar as respostas aos riscos.

13. Implementa as respostas aos riscos—A organização identifica e seleciona as respostas aos riscos.

14. Desenvolve visão de portfólio—A organização desenvolve e avalia uma visão de portfólio de risco.

15. Avalia Mudanças Substanciais—A organização identifica e avalia mudanças que podem
afetar substancialmente a estratégia e os objetivos de negócios.

16. Revisa Risco e Desempenho - A organização revisa o desempenho da entidade e considera

risco.

17. Busca Melhoria no Gerenciamento de Riscos Corporativos—A organização busca

melhoria do gerenciamento de riscos corporativos.

18. Alavanca os Sistemas de Informação—A organização aproveita as informações da entidade e

sistemas de tecnologia para apoiar o gerenciamento de riscos corporativos.

19. Comunica informações sobre riscos—A organização usa canais de comunicação para dar suporte ao gerenciamento de
riscos corporativos.

20. Relatórios sobre Risco, Cultura e Desempenho—A organização relata sobre risco, cultura e
desempenho em vários níveis e em toda a entidade.

10 Junho de 2017
Machine Translated by Google
Machine Translated by Google

Uma versão completaEmpreendimento Risco Gestão — Integração com Estratégia e atuação pode ser
do adquirido visitando o site www.coso.org.