Quer conhecer a evolução da Gestão de Riscos?

https://vicenzisantiago.com/quer-conhecer-a-evolucao-da-gestao-de-riscos/

A gestão de riscos pode ser vista como uma ideia que remonta ao nascimento
da existência humana e é importante e útil uma compreensão do histórico do
gerenciamento de riscos.

Historicamente, o gerenciamento de riscos se concentrou na quantificação de

riscos financeiros ou baseados em perigos “hazards”.

Tendia a se concentrar em riscos específicos e negligenciava uma abordagem

holística da organização.

Em 1996 Peter Bernstein publicou o best-seller “Against the Gods – the

remarkable history of risks” (em português “Contra os Deuses – a memorável
história sobre riscos”) chamando a atenção para a demasiada confiança em
modelos quantitativos.

Precisamos entender o histórico para entender e explicar onde estamos agora

com relação a gerenciamento de riscos e para onde tudo isso leva para o
futuro.

Nosso mundo em mudança produziu novos riscos que não se encaixam

facilmente nos modelos históricos de referência, e a história nos diz que
novos riscos surgem e velhos riscos desaparecem – podemos aprender lições
sobre como as pessoas reagiram a novos riscos emergentes.

Os modelos de estruturas de gerenciamento de riscos corporativos (do inglês

Enterprise Risk Management – ERM) começaram a surgir apenas a partir de
1995. Nesse contexto, a disciplina de gestão de riscos ainda é recente – são 25
anos desde o surgimento das primeiras Estruturas de referência para gestão
de riscos.

Linha do tempo dos padrões de Gestão de Riscos Corporativos

PÚBLICA
Olhar para o passado, não apenas pode fornecer informações sobre a
dinâmica de desenvolvimento do campo, mas também fornece orientações
importantes para entender por que o mundo moderno se mostra como é,
principalmente com algumas das superstições e irracionalidades herdadas.

Como exemplo, desde 2009, vivenciamos uma série de grandes eventos de

risco, como a Primavera Árabe, grandes desastres naturais no Extremo
Oriente, enchentes e inundações sem precedentes nas américas e aumento
das queimadas espontâneas – notadamente na Austrália, a gama de crises de
dívida soberana em muitos países da Zona Euro e os lentos sinais de
recuperação nas economias ocidentais.

Tudo isso desafia e afeta a todos nós profissionais de gestão de riscos.

OBJETIVO DA GESTÃO DE RISCO

A partir da definição de risco e da definição de gerenciamento de

riscos, descobrimos que o objetivo primordial da gestão de risco é ajudar
as organizações a identificar, entender e gerenciar seus riscos e
oportunidades e, assim, aumentar a probabilidade de alcançar seus
objetivos, reduzindo a incerteza.

De fato, a maioria das realizações empolgantes e valiosas que a humanidade

gostaria de fazer é complexa e não sem suas possíveis armadilhas. O
gerenciamento de riscos pode ajudar as organizações a alcançar o que de
outra forma poderia ser muito arriscado ou incerto. Um bom
gerenciamento de riscos consiste em poder correr riscos.

Além disso, o gerenciamento de riscos também visa proteger as organizações

e torná-las mais resilientes. Embora ambicioso, também é importante
proteger o valor da organização. Por exemplo, na tentativa de ganhar uma
corrida de automóveis, é importante que o carro e o motorista não sejam
prejudicados (ganhando ou não). Nesse sentido, o principal objetivo do
gerenciamento de riscos tem sido tradicionalmente o seu papel de
salvaguarda.

O gerenciamento do chamado risco negativo pode ajudar a organização a

atingir seus objetivos. Por “risco negativo”, entendemos eventos cujo
resultado potencial é indesejável, antes da aplicação dos controles.

Também podemos ver razões mais negativas para o crescimento da

importância do gerenciamento de riscos por meio de regulamentação. Cada
vez mais, as organizações são obrigadas por lei, regulamento ou expectativas
das partes interessadas a desenvolver competências de gerenciamento de
riscos e fornecer relatórios que mostrem que essas competências são
eficazes.

PÚBLICA
GESTÃO DE RISCOS CORPORATIVOS

Bastante útil diferenciar entendimento entre o que é um padrão (standard

em inglês) de uma estrutura (framework em inglês). De uma forma geral a
seguinte terminologia tem sido aceita:

Para entender o que é uma Estrutura de Gerenciamento de Riscos, vamos

definir uma terminologia que vai ajudar a entender esse conceito. Uma
estrutura, ou framework, é composta de Arquitetura de Risco, Estratégia
e Protocolos => AREP

A Estrutura de Gerenciamento de Riscos está associada ao contexto da gestão

de risco ou, em outras palavras, o contexto no qual opera o processo de no
qual riscos são identificados e avaliados e gerenciados. Mais a frente vamos
ver que tanto a ISO 31000 quanto o COSO ERM se referenciam a esse
contexto.

DEFINIÇÃO DE ERM

O conceito de ERM ou Gestão de Riscos Corporativos começou a ganhar

notoriedade ao redor do ano 2000, após a publicação de James Lam (2003) da
GE Capital que afirmou ter sido o primeiro CRO Chief Risk Officer da história.

Ele descreveu ERM como “o gerenciamento integrado de risco de negócio,

financeiro, operacional e transferência de risco para maximizar o valor do
acionista da empresa”. Sua visão era que o ERM torna uma empresa mais
bem-sucedida, criando uma visão única de todos os riscos e gerenciando-os de
maneira consistente em toda a empresa.

PÚBLICA
Alguns anos depois a KPMG (2006) contribuiu com uma comparação entre a
maneira até então tradicional de gestão de riscos e o conceito de ERM.

Abordagem Tradicional Abordagem ERM

Foco na identificação e análise
Risco como ameaças individuais
Foco em todos os riscos gerenciados
em distintas áreas
Mitigação de risco
Riscos sem donos
Risco é assegurado / transferido
Risco não é minha responsabilidade
Risco alinhado com o contexto da
estratégia de negócios
Desenvolvimento de portfolio de
riscos e riscos interconectados
Foco nos riscos críticos
Risco é da organização como um todo
Identificando e definindo
responsabilidade para riscos
Monitoramento e mensuração de
riscos
Risco está embutido na
responsabilidade de cada um

PADRÕES DE GESTÃO DE RISCOS

COSO ERM

Importante: A Estrutura do COSO Controles Internos é diferente do COSO ERM

(ou COSO II). O COSO Controles Internos foi lançado em 1992 e depois
revisado em 2013.

O COSO ERM (as vezes conhecido como COSO II), foi dedicado para a Gestão
de Riscos e foi publicado em 2004 pela primeira vez e revisto em 2017.

Foi a primeira referência publicada a respeito da Gestão de Riscos

Corporativos e aprofundou a discussão acerca do alinhamento das estruturas
de controle aos riscos.

Composto por uma variedade de associações profissionais, incluindo American

Accounting Association (AAA), o Instituto de Contadores Públicos Certificados
(AICPA), Financial Executives International (FEI), Associação para Contadores
e Profissionais Financeiros em Negócios (IMA) e o Instituto de Auditores
Internos (IIA), o Comitê de Organizações Patrocinadoras (COSO) é um
organização voluntária do setor privado.

O COSO se define como dedicado a orientar a gestão executiva e entidades de

governança para o estabelecimento de operações comerciais mais eficazes,
eficientes e éticas em uma base global.

O COSO defende que as organizações devem implementar gerenciamento de

riscos corporativos (ERM) para melhor conectar sua supervisão de risco com a
criação e proteção de valor do stakeholder.

PÚBLICA
O ERM é um processo que fornece uma visão abrangente e holística, de cima
para baixo, dos principais riscos enfrentados por uma organização.

A última edição do COSO ERM – Enterprise Risk Management – Integrando com

Estratégia e Performance, destaca a importância de considerar o risco no
processo de estabelecimento de estratégias e no desempenho de condução. A
primeira parte da publicação atualizada oferece uma perspectiva sobre
conceitos atuais e em evolução, e aplicações de gerenciamento de riscos
corporativos.

A segunda parte, a Estrutura, está organizada em cinco componentes fáceis

de serem entendidos, que acomodam diferentes pontos de vista e estruturas
operacionais, além de aprimorar as estratégias e a tomada de decisões. A
atualização em 2017 pode ser assim resumida:
• Fornece uma melhor visão do valor do gerenciamento de riscos
corporativos ao configurar e implementar a estratégia.
• Melhora o alinhamento entre desempenho e gerenciamento de riscos
corporativos para melhorar a definição de metas de desempenho e
compreensão do impacto do risco no desempenho.
• Acomoda expectativas de governança e supervisão.
• Reconhece a globalização dos mercados e das operações, e a
necessidade de se aplicar uma abordagem comum, embora adaptadas à
realidade de cada mercado/operação.
• Apresenta novas formas de ver o risco para estabelecer e alcançar
objetivos no contexto de maior complexidade de negócios.
• Expande o relatório para atender às expectativas de maior
transparência das partes interessadas.
• Acomoda tecnologias em evolução e a proliferação de dados e análises
no suporte à tomada de decisões.
• Traz definições, componentes e princípios fundamentais para todos os
níveis de gerenciamento envolvidos na concepção, implementação e
realização de práticas de gerenciamento de riscos corporativos.

ISO 31000

A Organização Internacional de Padronização amplamente conhecida como

ISO, é um organismo internacional de definição de padrões que “constitui
uma ponte entre o setor público e o privado”. Enquanto muitos dos seus
institutos-membros fazem parte da estrutura governamental de seus países
(ou são mandatados pelo governo), outros membros têm suas raízes no setor
privado, tendo se configurado por parcerias nacionais de associações
industriais.

A ISO se define como uma organização não governamental, que compreende

uma rede dos institutos de padrões nacionais de 163 países, tendo um
membro por país e um secretariado central em Genebra, Suíça, que coordena
o sistema.

O ISO 31000 não trata apenas de um processo e não foi projetado para
fornecer garantia em torno de controles, vez que centrado nas ações tomadas

PÚBLICA
sobre riscos identificados e geridos para a efetiva melhora do desempenho da
organização, remontando aos conceitos básicos de tomada de decisão
disciplinada em torno de riscos vs. recompensa/conquista dos resultados
esperados. Também não é específico para qualquer indústria, tipo ou
tamanho de organização.

A ISO 31000 alinha intencionalmente práticas internacionais de

gerenciamento de risco com padrões para gerar eficiência nos sistemas de
gerenciamento, o que permite às organizações medir os desvios dos
resultados esperados.

A ISO 31000, que define o risco como “efeito da incerteza sobre os objetivos”
Mas o que tudo isso significa para profissionais de risco? A maior mudança
desta última versão está no foco de risco de uma organização pela “visão de
janela traseira”, que podemos chamar de “uma orientação de
posicionamento”, a qual se concentra na prevenção ou mitigação dos riscos
conhecidos, sempre com foco no horizonte para avaliação dos obstáculos à
persecução dos objetivos da empresa.

A mudança de perspectiva introduzida pela ISO 31000, no entanto, não

substitui o que a gestão de riscos já trazia para as organizações, mas expande
o valor que os gerentes de risco podem adicionar.

A versão atualizada da ISO 31000, de 2018, colocou em foco a criação e

proteção do valor como o principal impulsionador da gestão de riscos, além
de apresentar outros princípios relacionados, como melhoria contínua e a
inclusão de partes interessadas.

Nesse aspecto, merece destaque os princípios projetados para que a gerência

de risco forneça a criação e a proteção do valor a cada organização (ISO
31000:2018):
• integrado
• estruturado e abrangente
• personalizado
• inclusivo
• dinâmico
• com base nas melhores informações disponíveis
• conscientes dos fatores humanos e culturais
• foco na melhoria contínua

PÚBLICA