Escolar Documentos
Profissional Documentos
Cultura Documentos
Junho de 2017
Machine Translated by Google
Este projeto foi encomendado pelo Comitê de Organizações Patrocinadoras da Comissão Treadway (COSO),
que se dedica a fornecer liderança de pensamento por meio do desenvolvimento de estruturas abrangentes e
orientação sobre controle interno, gerenciamento de riscos corporativos e dissuasão de fraudes destinadas a
melhorar o desempenho organizacional e supervisão e reduzir a extensão da fraude nas organizações.
©2017 Todos os direitos reservados. Nenhuma parte desta publicação pode ser reproduzida, redistribuída, transmitida ou exibida de qualquer forma ou por qualquer
meio sem permissão por escrito do COSO. P254469-01 0516
Machine Translated by Google
Sumário executivo
Prefácio
De acordo com sua missão geral, o Conselho do COSO comissionou e publicou em 2004 Enterprise Risk
Management—Integrated Framework. Na última década, essa publicação ganhou ampla aceitação pelas
organizações em seus esforços para gerenciar riscos. No entanto, também durante esse período, a complexidade
do risco mudou, novos riscos surgiram e tanto os conselhos quanto os executivos aumentaram sua conscientização
e supervisão do gerenciamento de riscos corporativos ao mesmo tempo em que solicitavam relatórios de risco
aprimorados. Esta atualização da publicação de 2004 aborda a evolução do gerenciamento de riscos corporativos
e a necessidade de as organizações melhorarem sua abordagem de gerenciamento de riscos para atender às
demandas de um ambiente de negócios em evolução.
O documento atualizado, agora intitulado Enterprise Risk Management—Integrating with Strategy and
Performance, destaca a importância de considerar o risco tanto no processo de definição da estratégia quanto na
condução do desempenho. A primeira parte da publicação atualizada oferece uma perspectiva dos conceitos e
aplicações atuais e em evolução do gerenciamento de riscos corporativos. A segunda parte, o Framework, está
organizada em cinco componentes fáceis de entender que acomodam diferentes pontos de vista e estruturas
operacionais e aprimoram estratégias e tomadas de decisão. Em suma, esta atualização:
• Aprimora o alinhamento entre o desempenho e o gerenciamento de riscos corporativos para melhorar a definição de
metas de desempenho e a compreensão do impacto do risco no desempenho.
• Apresenta novas formas de visualizar o risco para definir e atingir objetivos no contexto de maior complexidade de
negócios.
• Expande os relatórios para atender às expectativas de maior transparência das partes interessadas.
• Estabelece as principais definições, componentes e princípios para todos os níveis de gerenciamento envolvidos na
concepção, implementação e condução de práticas de gerenciamento de riscos corporativos.
Os leitores também podem consultar uma publicação complementar, o Controle Interno do COSO—
Quadro Integrado. As duas publicações são distintas e têm focos distintos; nenhum substitui o outro. No
entanto, eles se conectam. Controle Interno - Estrutura Integrada
engloba o controle interno, que é referenciado em parte nesta publicação atualizada, e, portanto, o documento
anterior permanece viável e adequado para projetar, implementar, conduzir e avaliar o controle interno e para o
consequente reporte.
O Conselho do COSO gostaria de agradecer à PwC por suas contribuições significativas no desenvolvimento
do Gerenciamento de Riscos Corporativos – Integração com Estratégia e Desempenho. Sua consideração
completa das contribuições fornecidas por muitas partes interessadas e sua visão foram fundamentais para
garantir que os pontos fortes da publicação original fossem preservados e que o texto fosse esclarecido ou
expandido onde foi considerado útil fazê-lo. A Diretoria do COSO e a PwC também gostariam de agradecer ao
Conselho Consultivo e aos Observadores por suas contribuições na revisão e fornecimento de feedback.
Junho de 2017
iii
Machine Translated by Google
Gestão de Riscos Corporativos | Integração com Estratégia e Desempenho
Membros do Conselho
PwC—Autor
Principais Contribuintes
Miles EA Everson Dennis L. Chesley , Frank J. Martens
Líder de engajamento e líder consultivo sócio líder do projeto e líder Diretor de Projetos e Líder de
global e da Ásia, Pacífico e Américas global e regulatório de riscos e Metodologia e Estrutura de Risco
(APA) da APA Global
Nova York, EUA Washington DC, EUA Colúmbia Britânica, Canadá
4 Junho de 2017
Machine Translated by Google
Sumário executivo
À medida que buscamos otimizar uma série de resultados possíveis, as decisões raramente são binárias, com uma
resposta certa e errada. É por isso que o gerenciamento de riscos corporativos pode ser chamado de arte e ciência.
E quando o risco é considerado na formulação da estratégia e dos objetivos de negócios de uma organização, o
gerenciamento de riscos corporativos ajuda a otimizar os resultados.
Nossa compreensão do risco e nossa prática de gerenciamento de risco corporativo melhoraram muito nas últimas
décadas. Mas a margem de erro está diminuindo. O Fórum Econômico Mundial comentou sobre a “crescente volatilidade,
complexidade e ambiguidade do mundo”.1 Esse é um fenômeno que todos reconhecemos. As organizações encontram
desafios que afetam a confiabilidade, a relevância e a confiança. As partes interessadas estão mais engajadas hoje,
buscando maior transparência e responsabilidade para gerenciar o impacto do risco, ao mesmo tempo em que avaliam
criticamente a capacidade da liderança de cristalizar oportunidades. Mesmo o sucesso pode trazer consigo um risco
negativo adicional – o risco de não ser capaz de atender a uma demanda inesperadamente alta ou manter o impulso
comercial esperado, por exemplo.
As organizações precisam ser mais adaptáveis às mudanças. Eles precisam pensar estrategicamente sobre como
gerenciar a crescente volatilidade, complexidade e ambiguidade do mundo, particularmente nos níveis seniores da
organização e na sala de reuniões, onde as apostas são mais altas.
Gerenciamento de riscos corporativos—A integração com estratégia e desempenho fornece uma estrutura
para conselhos e administração em entidades de todos os tamanhos. Ele se baseia no nível atual de gerenciamento
de risco que existe no curso normal dos negócios. Além disso, ele demonstra como a integração de práticas de
gerenciamento de riscos corporativos em toda a entidade ajuda a acelerar o crescimento e melhorar o desempenho.
Ele também contém princípios que podem ser aplicados – desde a tomada de decisões estratégicas até o
desempenho.
Abaixo, descrevemos por que faz sentido que a administração e os conselhos usem a estrutura de gerenciamento
de riscos corporativos2, o que as organizações alcançaram ao aplicar o gerenciamento de riscos corporativos e
quais benefícios adicionais podem obter por meio de seu uso contínuo. Concluímos com um olhar para o futuro.
Mais notavelmente, por meio desse processo, a administração obterá uma melhor compreensão de como a
consideração explícita do risco pode afetar a escolha da estratégia. O gerenciamento de riscos corporativos
enriquece o diálogo gerencial ao adicionar perspectiva aos pontos fortes e fracos de uma estratégia à medida que
as condições mudam e ao quão bem uma estratégia se ajusta à missão e visão da organização. Ele permite que a
administração se sinta mais confiante de que examinou estratégias alternativas e considerou a contribuição daqueles
em sua organização que implementarão a estratégia selecionada.
.................................................. .................................................. .
1 Relatório de Riscos Globais 2016, 11ª edição, Fórum Econômico Mundial (2016).
2 A Estrutura usa o termo “conselho de administração” ou “conselho”, que engloba o corpo diretivo, incluindo conselho, conselho fiscal, conselho de
administração, sócios gerais ou proprietário.
Junho de 2017 1
Machine Translated by Google
Gestão de Riscos Corporativos | Integração com Estratégia e Desempenho
Uma vez que a estratégia é definida, o gerenciamento de riscos corporativos fornece uma maneira eficaz para o gerenciamento
cumprir seu papel, sabendo que a organização está sintonizada com os riscos que podem afetar a estratégia e os está gerenciando
bem. A aplicação do gerenciamento de riscos corporativos ajuda a criar confiança e incutir confiança nas partes interessadas no
ambiente atual, que exige maior escrutínio do que nunca sobre como o risco está abordando e gerenciando ativamente esses riscos.
A Estrutura fornece considerações importantes para os conselhos na definição e tratamento de suas responsabilidades de
supervisão de risco. Essas considerações incluem governança e cultura; estratégia e definição de objetivos; atuação; informações,
comunicações e relatórios; e a revisão e revisão de práticas para melhorar o desempenho da entidade.
.................................................. .................................................. .
3
Gerenciamento de Riscos Corporativos—Estrutura Integrada, Sumário Executivo, COSO (2004).
2 Junho de 2017
Machine Translated by Google
Sumário executivo
Desde sua publicação, a Estrutura tem sido usada com sucesso em todo o mundo, em
todos os setores e em organizações de todos os tipos e tamanhos para identificar Limpando alguns
riscos, gerenciá-los dentro de um apetite de risco definido e apoiar a realização de equívocos
objetivos.
Ouvimos alguns equívocos sobre o Framework
No entanto, embora muitos tenham aplicado a Estrutura na prática, ela tem potencial
original desde que foi introduzido em 2004.
para ser usada de forma mais ampla. Ela se beneficiaria ao examinar certos aspectos
Para esclarecer as coisas:
com mais profundidade e clareza e ao fornecer uma visão mais ampla das ligações
entre estratégia, risco e desempenho. Em resposta, portanto, a Estrutura atualizada
nesta publicação: O gerenciamento de riscos corporativos não é
uma função ou departamento. É a cultura, as
capacidades e as práticas que as organizações
• Conecta mais claramente o gerenciamento de riscos corporativos com um
integram com a definição de orientação estratégica
muitas expectativas das partes interessadas.
e aplicam quando executam essa estratégia, com
• Posiciona o risco no contexto de uma organização o objetivo de gerenciar riscos na criação,
desempenho, e não como objeto de um exercício isolado. preservação e realização de valor.
• Permite que as organizações antecipem melhor os riscos para que possam O gerenciamento de riscos corporativos é mais
se antecipar, com a compreensão de que a mudança cria oportunidades, do que uma lista de riscos. Requer mais do que
não apenas o potencial para crises. fazer um inventário de todos os riscos dentro da
organização. É mais amplo e inclui práticas que a
Esta atualização também responde ao apelo por uma ênfase mais forte em como o
administração implementa para gerenciar ativamente
gerenciamento de riscos corporativos informa a estratégia e seu desempenho.
os riscos.
Junho de 2017 3
Machine Translated by Google
Gestão de Riscos Corporativos | Integração com Estratégia e Desempenho
• Reduzir a variabilidade do desempenho: para alguns, o desafio é menos com surpresas e perdas e
mais com variabilidade no desempenho. O desempenho antes do cronograma ou além das
expectativas pode causar tanta preocupação quanto o desempenho aquém do cronograma e das
expectativas. O gerenciamento de riscos corporativos permite que as organizações antecipem os
riscos que afetariam o desempenho e permitem que implementem as ações necessárias para
minimizar a interrupção e maximizar as oportunidades.
• Melhorar a implantação de recursos: cada risco pode ser considerado uma solicitação de
Recursos. A obtenção de informações robustas sobre o risco permite que o gerenciamento, em
face de recursos finitos, avalie as necessidades gerais de recursos, priorize a implantação de
recursos e melhore a alocação de recursos.
Mas há outras perguntas a serem feitas sobre estratégia, que as organizações estão se tornando melhores
em fazer: Modelamos a demanda do cliente com precisão? Nossa cadeia de suprimentos entregará dentro do
prazo e do orçamento? Novos concorrentes surgirão? Nossa infraestrutura de tecnologia está à altura da
tarefa? Esses são os tipos de perguntas com as quais os executivos lidam todos os dias, e respondê-las é
fundamental para a execução de uma estratégia.
No entanto, o risco para a estratégia escolhida é apenas um aspecto a ser considerado. Como esta Estrutura
enfatiza, há dois aspectos adicionais no gerenciamento de riscos corporativos que podem ter um efeito muito
maior no valor de uma entidade: a possibilidade de a estratégia não se alinhar e as implicações da estratégia
escolhida.
A primeira delas, a possibilidade de a estratégia não estar alinhada com a missão, visão e valores
centrais de uma organização, é central para as decisões que fundamentam a seleção da estratégia.
Cada entidade tem uma missão, visão e valores fundamentais que definem o que está tentando alcançar e
como deseja conduzir os negócios. Algumas organizações são céticas quanto a realmente abraçar seus
credos corporativos. Mas a missão, a visão e os valores fundamentais demonstraram ser importantes – e
eles são mais importantes quando se trata de gerenciar riscos e permanecer resiliente durante períodos de
mudança.
4 Junho de 2017
Machine Translated by Google
Sumário executivo
A estratégia escolhida deve apoiar a missão e a visão da organização. Uma estratégia desalinhada
aumenta a possibilidade de a organização não realizar sua missão e visão, ou comprometer seus valores,
mesmo que uma estratégia seja executada com sucesso. Portanto, a gestão de riscos corporativos
considera a possibilidade de a estratégia não estar alinhada com a missão e visão da organização.
O outro aspecto adicional são as implicações da estratégia escolhida. Quando a administração desenvolve
uma estratégia e trabalha por meio de alternativas com o conselho, ela toma decisões sobre os trade-offs
inerentes à estratégia. Cada estratégia alternativa tem seu próprio perfil de risco – essas são as implicações
decorrentes da estratégia. O conselho de administração e a gerência precisam determinar se a estratégia
funciona em conjunto com o apetite de risco da organização e como ela ajudará a conduzir a organização a
definir objetivos e, em última análise, alocar recursos de forma eficiente.
Aqui está o que é importante: o gerenciamento de riscos corporativos envolve tanto a compreensão
das implicações da estratégia e a possibilidade de a estratégia não se alinhar quanto o gerenciamento de
riscos para definir objetivos. A figura abaixo ilustra essas considerações no contexto da missão, visão, valores
centrais e como um impulsionador da direção e desempenho geral de uma entidade.
g mp c
gn n
EU
eu eueu
t
eu
eu
uma to uma
eu
no nsf
mr
h
r
f ESTRATÉGIA, r
O NEGÓCIO MELHORADA
MISSÃO, VISÃO E
VALORES FUNDAMENTAIS OBJETIVOS, & h ATUAÇÃO
ATUAÇÃO
P n
Reus n
kt m
uma
o st r or
t eg y & perf
uma
O gerenciamento de riscos corporativos, como normalmente é praticado, tem ajudado muitas organizações
a identificar, avaliar e gerenciar os riscos da estratégia. Mas as causas mais significativas de destruição de
valor estão embutidas na possibilidade de a estratégia não apoiar a missão e visão da entidade e as implicações
da estratégia.
O gerenciamento de riscos corporativos aprimora a seleção de estratégias. A escolha de uma estratégia exige
uma tomada de decisão estruturada que analise o risco e alinhe os recursos com a missão e a visão da
organização.
Junho de 2017 5
Machine Translated by Google
Gestão de Riscos Corporativos | Integração com Estratégia e Desempenho
3. Desempenho: Os riscos que podem afetar o alcance da estratégia e dos objetivos de negócios
precisam ser identificados e avaliados. Os riscos são priorizados por gravidade no contexto do
apetite de risco. A organização então seleciona as respostas aos riscos e tem uma visão de portfólio
da quantidade de risco que assumiu. Os resultados deste processo são reportados aos principais
stakeholders de risco.
6 Junho de 2017
Machine Translated by Google
Sumário executivo
Os cinco componentes da Estrutura atualizada são apoiados por um conjunto de princípios.4 Esses princípios abrangem
tudo, desde a governança até o monitoramento. Eles são gerenciáveis em tamanho e descrevem práticas que podem ser
aplicadas de diferentes maneiras para diferentes organizações, independentemente do tamanho, tipo ou setor. Aderir a esses
princípios pode fornecer à administração e ao conselho uma expectativa razoável de que a organização entenda e se esforce
para gerenciar os riscos associados à sua estratégia e objetivos de negócios.
3. Define a Cultura Desejada Estratégias 17. Busca Melhoria no 20. Relatórios de Risco,
13. Implementa Risco
4. Demonstra 9. Formula Negócios Gerenciamento de Riscos Cultura e
Respostas
compromisso Corporativos Desempenho
Objetivos 14. Desenvolve a Visualização do
com os valores essenciais Portfólio
5. Atrai, Desenvolve,
e retém capaz
Indivíduos
À medida que olhamos para o futuro, existem várias tendências que afetarão o gerenciamento de riscos
corporativos. Apenas quatro deles são:
• Lidando com a proliferação de dados: À medida que mais e mais dados se tornam disponíveis e a velocidade com que
novos dados podem ser analisados aumenta, o gerenciamento de riscos corporativos precisará se adaptar. Os
dados virão de dentro e de fora da entidade e serão estruturados de novas maneiras. As ferramentas avançadas de
análise e visualização de dados evoluirão e serão muito úteis para entender o risco e seu impacto, tanto positivo
quanto negativo.
• Gerenciando o custo do gerenciamento de riscos: Uma preocupação frequente expressa por muitos executivos de
negócios é o custo do gerenciamento de riscos, processos de conformidade e atividades de controle em comparação
com o valor obtido. À medida que as práticas de gerenciamento de riscos corporativos evoluem, será importante que
as atividades que abrangem risco, conformidade, controle e até mesmo governança sejam coordenadas de forma
eficiente para fornecer o máximo benefício para a organização. Isso pode representar uma das melhores oportunidades
para o gerenciamento de riscos corporativos redefinir sua importância para a organização.
.................................................. .................................................. ..
4 Uma descrição mais completa desses vinte princípios é fornecida no final deste documento.
Junho de 2017 7
Machine Translated by Google
Gestão de Riscos Corporativos | Integração com Estratégia e Desempenho
• Construindo organizações mais fortes: À medida que as organizações se tornam melhores na integração
do gerenciamento de riscos corporativos com estratégia e desempenho, uma oportunidade de fortalecer
a resiliência se apresentará. Ao conhecer os riscos que terão o maior impacto na entidade, as
organizações podem usar o gerenciamento de riscos corporativos para ajudar a implementar recursos
que lhes permitam agir antecipadamente. Isso abrirá novas oportunidades.
8 Junho de 2017
Machine Translated by Google
Sumário executivo
Agradecimentos
Um agradecimento especial às seguintes empresas e organizações por permitirem a participação de
Membros do Conselho Consultivo e Observadores.
Stroh)
• Protiviti Inc. (James DeLoach)
Junho de 2017 9
Machine Translated by Google
Gestão de Riscos Corporativos | Integração com Estratégia e Desempenho
Componentes e Princípios
1. Exerce a Supervisão de Riscos do Conselho—O conselho de administração supervisiona a estratégia e executa as
responsabilidades de governança para apoiar a administração no alcance dos objetivos estratégicos e de negócios.
4. Demonstra Compromisso com os Valores Fundamentais—A organização demonstra compromisso com os valores
fundamentais da entidade.
5. Atrai, desenvolve e retém indivíduos capazes—A organização está comprometida com a construção de capital
humano em alinhamento com a estratégia e os objetivos de negócios.
10. Identifica o risco—A organização identifica o risco que afeta o desempenho da estratégia e os objetivos de negócios.
12. Prioriza os riscos—A organização prioriza os riscos como base para selecionar as respostas aos riscos.
13. Implementa as respostas aos riscos—A organização identifica e seleciona as respostas aos riscos.
14. Desenvolve visão de portfólio—A organização desenvolve e avalia uma visão de portfólio de risco.
15. Avalia Mudanças Substanciais—A organização identifica e avalia mudanças que podem
afetar substancialmente a estratégia e os objetivos de negócios.
19. Comunica informações sobre riscos—A organização usa canais de comunicação para dar suporte ao gerenciamento de
riscos corporativos.
20. Relatórios sobre Risco, Cultura e Desempenho—A organização relata sobre risco, cultura e
desempenho em vários níveis e em toda a entidade.
10 Junho de 2017
Machine Translated by Google
Machine Translated by Google
Uma versão completaEmpreendimento Risco Gestão — Integração com Estratégia e atuação pode ser
do adquirido visitando o site www.coso.org.