Escolar Documentos
Profissional Documentos
Cultura Documentos
© 2017 Todos os direitos reservados. Nenhuma parte desta publicação poderá ser reproduzida, distribuída novamente,
transmitida ou exibida em qualquer forma ou por qualquer meio sem permissão por escrito do COSO.
Conteúdo
Sumário Executivo
Prefácio
PwC—Autor
Componentes e Princípios
Estrutura
PwC—Autor
Prefácio
Índice
1. Introdução
5. Componentes e Princípios
Estrutura
6. Governança e Cultura
8. Performance
9. Revisão
Glossário de Palavras-Chave
1. Introdução
A Importância da Integração
5. Componentes e Princípios
6. Governança e Cultura
Introdução
Princípio 1: Aplica a Supervisão de Riscos do Conselho
Papeis e Responsabilidades
Independência
Viés Organizacional
Papeis e Responsabilidades
O Exercício do Julgamento
O Efeito da Cultura
Reforçando a Responsabilidade
Assunção de Responsabilidade
Endereçando a Pressão
Introdução
Mitigando Vieses
Entendendo a Tolerância
8. Desempenho
Introdução
Identificando os Riscos
Enquadrando o Risco
Avaliando o Risco
Abordagens de Avaliação
Viés na Avaliação
Estabelecendo Critérios
Priorizando Riscos
Viés na Priorização
Considerações Adicionais
9. Análise e Revisão
Introdução
Ambiente Interno
Ambiente Externo
Buscando Melhorias
Informações em Evolução
Fontes de Dados
Gerenciando Dados
Mudanças Requeridas
Métodos de Comunicação
Atributos do Reporte
Tipos de Reporte
Reporte e Cultura
Indicadores-Chave
Glossário de Termos-Chave
Apêndice
PwC—Autor
Agradecimentos
Conteúdo
A. Histórico do Projeto e Abordagem de Análise da Estrutura
Este projeto foi realizado pelo Committee of Sponsoring Organizations of the Treadway
Commission (COSO) (Comitê de Entidades Patrocinadoras da Comissão Treadway), cujo
propósito é fornecer thought leadership por meio do desenvolvimento de estruturas e diretrizes
abrangentes sobre os controles internos, o gerenciamento de riscos corporativos e a prevenção à
fraude para aprimorar o desempenho e a supervisão organizacionais e reduzir o número de
fraudes nas organizações. O COSO é uma iniciativa do setor privado, patrocinado e financiado
pelas seguintes entidades:
© 2017 Todos os direitos reservados. Nenhuma parte desta publicação poderá ser reproduzida,
distribuída, transmitida ou exibida em qualquer forma ou por qualquer meio sem permissão por
escrito do COSO. P254469-01 0516
espaço
Prefácio
Visando a dar continuidade à sua missão global, o Conselho do COSO contratou a elaboração da
obra Enterprise Risk Management—Integrated Framework (Gerenciamento de Riscos
Corporativos — Estrutura Integrada) publicando-a em 2004. Ao longo dos últimos dez anos, essa
publicação obteve ampla aceitação por parte das organizações em seus esforços para gerenciar
riscos. No entanto, também durante esse período, a complexidade dos riscos mudou, novos
riscos surgiram, e tanto os conselhos quanto os executivos intensificaram a conscientização e a
supervisão em relação ao gerenciamento de riscos corporativos, ao mesmo tempo que
demandavam um processo melhor de elaboração e apresentação de informações sobre riscos.
Esta atualização da publicação de 2004 aborda a evolução do gerenciamento de riscos
corporativos e a necessidade das organizações de aprimorar sua abordagem do assunto para
atender às demandas de um ambiente de negócios em constante evolução.
• Apresenta novas formas de ver os riscos para definir e alcançar os objetivos no contexto de
uma maior complexidade de negócios.
Os leitores poderão também querer consultar uma publicação complementar, o material Internal
Control—Integrated Framework (Controles Internos — Estrutura Integrada do COSO). São duas
publicações distintas, com focos diferentes e uma não substitui a outra. No entanto, elas estão
conectadas. A publicação Controles Internos — Estrutura Integrada abrange os controles
internos, que é um tópico mencionado parcialmente na publicação atualizada; dessa forma, o
documento anterior permanece viável e adequado para a elaboração, a implementação, a
condução e a avaliação de controles internos, bem como para um processo posterior de
elaboração e apresentação de informações.
O Conselho do COSO aproveita a oportunidade para agradecer a PwC por suas contribuições
para a publicação Gerenciamento de Riscos Corporativos — Integração à Estratégia e ao
Desempenho. A atenção integral da PwC às informações fornecidas por várias partes
interessadas, como também seus insights, foram fundamentais para assegurar que os pontos
fortes da publicação original fossem preservados e que o texto fosse redigido de forma mais clara
ou expandido nos pontos em que foi considerado necessário fazê-lo. O Conselho do COSO e a
PwC, juntos, gostariam também de agradecer o Conselho Consultivo e os Observadores por suas
contribuições para a avaliação e pelo fornecimento de feedback.
Robert B. Hirth
Dennis L. Chesley
Jr.
Sócio-líder de Projeto da PwC e Líder Global e na região da Ásia,
Presidente do
Américas e Pacífico da prática de Riscos e Regulamentações
COSO
espaço
PwC — Autor
Principais Colaboradores
Miles E.A. Everson Dennis L. Chesley Frank J. Martens
Líder do Trabalho e Líder Global e na Sócio-líder do Projeto e Líder Global e na Diretor-líder do Projeto e
região da Ásia, Américas e Pacífico da região da Ásia, Américas e Pacífico da Líder Global da Estrutura e da
prática de Advisory prática de Riscos e Regulamentações Metodologia de Risco
Nova York, EUA Washington DC, EUA Colúmbia Britânica, Canadá
À medida que buscamos otimizar uma série de possíveis resultados, percebemos que as decisões
raramente têm apenas dois aspectos, com uma resposta certa e a outra errada. Esse é o motivo
pelo qual o gerenciamento de riscos corporativos é tanto arte quanto ciência. E quando o risco é
levado em consideração na formulação da estratégia e dos objetivos de negócio de uma
organização, o gerenciamento de riscos corporativos auxilia na otimização dos resultados.
As organizações precisam ser mais flexíveis a mudanças. Elas precisam pensar estrategicamente
sobre como gerenciar as crescentes volatilidade, complexidade e ambiguidade do mundo,
particularmente nos níveis mais altos da organização e no Conselho, onde os interesses em jogo
são mais importantes.
A seguir, descrevemos por que faz sentido que a administração e os conselhos utilizem a
estrutura de gerenciamento de riscos corporativos,2 o que as organizações alcançaram aplicando o
gerenciamento de riscos corporativos, e quais benefícios adicionais podem ser obtidos por meio
do seu uso contínuo. Concluímos com uma análise do futuro.
Guia de Gerenciamento de Riscos Corporativos da Administração
A administração assume toda a responsabilidade por gerenciar os riscos para e entidade, mas é
importante que ela vá além disso: ela deve intensificar as conversas que tem com o conselho e
com as partes interessadas sobre o uso do gerenciamento de riscos corporativos para obter
vantagem competitiva. Isso começa com o uso das competências em gerenciamento de riscos
corporativos como parte da seleção e do aprimoramento de uma estratégia.
• Analisar e contestar:
−As respostas aos casos de desvio dos valores principais. A função de supervisão de riscos do
conselho inclui também chegar a um acordo em relação a todos esses itens juntamente com
a administração.
A administração como um todo — e não somente os diretores de riscos — é capaz de articular como
os riscos são considerados na seleção da estratégia ou nas decisões de negócio? é capaz de articular
claramente o apetite a riscos da entidade e como ele pode influenciar uma decisão específica? A
conversa resultante pode esclarecer como o enfoque em assumir riscos realmente funciona na
organização.
Os conselhos podem também pedir à alta administração que ela fale não somente sobre os processos
de riscos, mas também sobre a cultura de riscos. Como a cultura permite ou inibe uma assunção de
riscos responsável? Sob que perspectiva a administração monitora a cultura de riscos e como isso
mudou? À medida que as coisas mudarem — e elas mudarão independentemente do fato de estarem
ou não no radar da entidade, — de que forma o conselho poderá estar seguro em relação a uma
resposta apropriada e tempestiva por parte da administração?
Desde sua publicação, a Estrutura tem sido utilizada com êxito em todas as partes do mundo, em
todos os setores e em organizações de todos os tipos e portes para identificar riscos e gerenciá-
los de acordo com um determinado apetite a riscos, bem como para respaldar a consecução dos
objetivos. Mesmo assim, embora muitas empresas tenham aplicado a Estrutura na prática, ela
pode ser utilizada de modo ainda mais amplo. Ela se beneficiaria de uma verificação mais
profunda e clara de certos aspectos e fornece maiores insights sobre os vínculos entre estratégia,
risco e desempenho. Em resposta, contudo, a Estrutura atualizada desta publicação:
• Permite que as organizações prevejam melhor os riscos para que possam antecipar-se a eles,
compreendendo que a mudança gera oportunidades, e não apenas o potencial para crises.
Essa atualização também é uma forma de responder à necessidade de uma maior ênfase em como
o gerenciamento de riscos corporativos influencia a estratégia e seu desempenho.
Ouvimos algumas interpretações equivocadas em relação à Estrutura original desde que ela foi
lançada em 2004. Para esclarecer os fatos:
O gerenciamento de riscos corporativos é mais do que uma lista de riscos. Ele requer mais do
que apenas elaborar um inventário de todos os riscos a que a organização está exposta. Ele é mais
abrangente e inclui práticas que a administração implementa para gerenciar os riscos de forma ativa.
O gerenciamento de riscos corporativos aborda mais do que controles internos. Ele também
trata de outros tópicos, tais como a definição da estratégia, a governança, a comunicação com as
partes interessadas e a mensuração do desempenho. Seus princípios aplicam-se a todos os níveis e a
todas as áreas da organização.
Identificação e gerenciamento dos riscos por toda a entidade: Toda entidade enfrenta uma grande
quantidade de riscos que pode afetar várias áreas da organização. Às vezes, um risco pode ter
origem em uma área da entidade, mas acabar impactando outra área desta. Consequentemente,
a administração identifica e gerencia esses riscos que afetam a entidade como um todo para
manter e aprimorar o desempenho.
•Aumento dos resultados positivos e das vantagens e redução das surpresas negativas: O
gerenciamento de riscos corporativos permite que as entidades aprimorem sua capacidade de
identificar riscos e de definir respostas adequadas a eles, reduzindo surpresas e custos ou
prejuízos relacionados, enquanto beneficiam-se de desdobramentos positivos.
Esses benefícios enfatizam o fato de que o risco não deve ser visto somente como uma restrição
ou um desafio potenciais à elaboração e à concretização da estratégia. Em vez disso, a mudança
na qual o risco se baseia e as respostas organizacionais ao risco proporcionam oportunidades
estratégicas e competências-chave diferenciais.
No entanto, existem outras perguntas referentes à estratégia que as organizações estão ficando
cada vez melhores em fazer: Moldamos a demanda do cliente com precisão? A nossa cadeia de
suprimentos irá entregar no prazo e de acordo com o orçamento estipulado? Surgirão novos
concorrentes? A nossa infraestrutura tecnológica está à altura da tarefa? Esses são os tipos de
perguntas que os executivos enfrentam todos os dias, e responder a elas é fundamental para
colocar a estratégia em prática.
No entanto, o risco para a estratégia escolhida é somente um aspecto a ser considerado. Como
esta Estrutura enfatiza, existem dois aspectos adicionais do gerenciamento de riscos corporativos
que podem ter um efeito bem maior sobre o valor de uma entidade: a possibilidade de
desalinhamento da estratégia e as implicações da estratégia escolhida.
O primeiro deles, a possibilidade de a estratégia não estar alinhada à missão, à visão e aos
valores principais da organização é fundamental para as decisões que servem de base para a
seleção de uma estratégia. Cada entidade tem uma missão, uma visão e seus valores principais,
que definem o que ela está tentando alcançar e como ela quer conduzir o negócio. Algumas
organizações adotam uma postura cética em relação a realmente incorporar suas convicções
empresariais. Contudo, a missão, a visão e os valores principais demonstraram ser importantes
— e eles são ainda mais importantes quando se trata de gerenciar riscos e de permanecer
resiliente durante períodos de mudança.
A estratégia escolhida deve prestar suporte à missão e à visão da organização. Uma estratégia
desalinhada aumenta a possibilidade de a organização não realizar sua missão e sua visão ou
pode comprometer seus valores, mesmo se a estratégia tiver sido executada com êxito. Dessa
forma, o gerenciamento de riscos corporativos considera a possibilidade de a estratégia não estar
alinhada à missão e à visão da organização.
O gerenciamento de riscos corporativos, do modo como ele geralmente vem sendo praticado,
auxiliou muitas organizações na identificação, na avaliação e no gerenciamento dos riscos para a
estratégia. No entanto, as causas mais significativas da destruição do valor estão subjacentes à
possibilidade de a estratégia não apoiar a missão e a visão da entidade e às implicações da
estratégia.
Quando analisamos o futuro, descobrimos que existem várias tendências que afetarão o
gerenciamento de riscos corporativos. Quatro delas consistem em:
•Utilizar ao máximo a inteligência artificial e a automação: Muitas pessoas sentem que o mundo
entrou na era dos processos automatizados e da inteligência artificial. Independentemente de
convicções individuais, é importante que as práticas de gerenciamento de riscos corporativos
considerem o impacto das tecnologias atuais e futuras e aprimorem ao máximo suas
funcionalidades. Relacionamentos, tendências e padrões que antes eram indetectáveis agora
podem ser revelados, apresentando uma valiosa fonte de informações críticas para o
gerenciamento de riscos.
The Global Risks Report 2016 (Relatório Global de Riscos 2016), 11ª edição, Fórum Econômico Mundial (2016).
1
2
A Estrutura usa o termo "conselho de administração" ou "conselho", que abrange o órgão deliberativo, incluindo conselho,
conselho supervisor, conselho consultivo, sócios ou proprietários.
3
Gerenciamento de Riscos Corporativos — Estrutura Integrada, Sumário Executivo, COSO (2004).
Uma descrição mais completa desses 20 princípios será apresentada no final deste documento.
4
espaço
Agradecimentos
Um agradecimento especial às seguintes empresas e organizações por permitirem a participação
dos Membros do Conselho Consultivo e dos Observadores.
Observadores
• Federal Deposit Insurance Corporation (Harrison Greene)
Componentes e Princípios
1. Aplica a Supervisão de Riscos do Conselho — O conselho de administração realiza uma
supervisão da estratégia e cumpre as responsabilidades pela governança para prestar
suporte à administração em termos de concretização da estratégia e dos objetivos de
negócio da organização.
12. Prioriza os Riscos— A organização prioriza os riscos como uma base para a seleção das
respostas a esses riscos.
14. Elabora uma Visão do portfolio — A organização elabora e avalia uma visão do portfolio
de riscos.
15. Avalia as Mudanças Substanciais — A organização identifica e avalia as mudanças que
podem afetar substancialmente a estratégia e os objetivos de negócio.
19. Comunica Informações sobre Riscos — A organização usa canais de comunicação para
prestar suporte ao gerenciamento de riscos corporativos.
Este projeto foi realizado pelo Committee of Sponsoring Organizations of the Treadway
Commission (COSO) (Comitê de Entidades Patrocinadoras da Comissão Treadway), cujo
propósito é fornecer thought leadership por meio do desenvolvimento de estruturas e diretrizes
abrangentes sobre os controles internos, o gerenciamento de riscos corporativos e a prevenção à
fraude para aprimorar o desempenho e a supervisão organizacionais e reduzir o número de
fraudes nas organizações. O COSO é uma iniciativa do setor privado, patrocinado e financiado
por:
© 2017 Todos os direitos reservados. Nenhuma parte desta publicação poderá ser reproduzida, distribuída novamente,
transmitida ou exibida em qualquer forma ou por qualquer meio sem permissão por escrito do COSO.
espaço
PwC — Autor
Principais Colaboradores
Miles E.A. Everson Dennis L. Chesley Frank J. Martens
Líder do Trabalho e Líder Global e na Sócio-líder do Projeto e Líder Global e na Diretor-líder do Projeto e
região da Ásia, Américas e Pacífico da região da Ásia, Américas e Pacífico da Líder Global da Estrutura e da
prática de Advisory prática de Riscos e Regulamentações Metodologia de Risco
Nova York, EUA Washington DC, EUA Colúmbia Britânica, Canadá
Prefácio
Visando a dar continuidade à sua missão global, o Conselho do COSO contratou a elaboração da
obra Gerenciamento de Riscos Corporativos — Estrutura Integrada, publicando-a em 2004. Ao
longo dos últimos dez anos, essa publicação obteve ampla aceitação por parte das organizações
em seus esforços para gerenciar riscos. No entanto, também durante esse período, a
complexidade dos riscos mudou, novos riscos surgiram, e tanto os conselhos quanto os
executivos intensificaram a conscientização e a supervisão em relação ao gerenciamento de
riscos corporativos, ao mesmo tempo que demandavam um processo melhor de elaboração e
apresentação de informações sobre riscos. Esta atualização da publicação de 2004 aborda a
evolução do gerenciamento de riscos corporativos e a necessidade das organizações de aprimorar
sua abordagem do assunto para atender às demandas de um ambiente de negócios em constante
evolução. É uma estrutura concisa para o gerenciamento de riscos corporativos no seio da
organização de modo a aumentar a confiança da administração e das partes interessadas.
• Apresenta novas formas de ver os riscos para definir e alcançar os objetivos no contexto de
uma maior complexidade de negócios.
O Conselho do COSO aproveita a oportunidade para agradecer a PwC por suas contribuições
para a publicação Gerenciamento de Riscos Corporativos — Integração à Estratégia e ao
Desempenho. A atenção integral da PwC às informações fornecidas por várias partes
interessadas, como também seus insights, foram fundamentais para assegurar que os pontos
fortes da publicação original fossem preservados e que o texto fosse redigido de forma mais clara
ou expandido nos pontos em que foi considerado necessário fazê-lo. O Conselho do COSO e a
PwC, juntos, gostariam também de agradecer o Conselho Consultivo e os Observadores por suas
contribuições para a avaliação e pelo fornecimento de feedback.
Robert B. Hirth
Dennis L. Chesley
Jr.
Sócio-líder de Projeto da PwC e Líder Global e na região da Ásia,
Presidente do
Américas e Pacífico da prática de Riscos e Regulamentações
COSO
espaço
Conteúdo
Aplicação da Estrutura:
Contextualização
espaço
1. Introdução
A incorporação da prática de gerenciamento de riscos corporativos à
organização como um todo melhora a tomada de decisão na
definição da governança, da estratégia, da definição de objetivos e
das operações do dia a dia. Isso ajuda a aprimorar o desempenho
criando um vínculo mais estreito entre a estratégia e os objetivos de
negócio e os riscos. O esforço necessário para integrar o
gerenciamento de riscos corporativos proporciona à entidade um
caminho mais claro para gerar, preservar e realizar valor.
O risco afeta a capacidade da organização de alcançar sua estratégia e seus objetivos de negócio.
Dessa forma, um dos desafios da administração é determinar a proporção de riscos2 que a
organização é capaz de aceitar e para a qual está preparada. Um gerenciamento de riscos
corporativos eficaz permite que o conselho e a administração otimizem os resultados visando a
aperfeiçoar suas competências na geração, na preservação e, por fim, na realização de valor.
A administração dispõe de muitas opções quando se trata de como ela irá aplicar as práticas de
gerenciamento de riscos corporativos, e nenhuma abordagem é melhor do que a outra. No
entanto, para uma entidade, uma abordagem pode proporcionar mais benefícios em relação a
outra e estar mais bem alinhada com a filosofia geral de administração da organização. Esta
Estrutura estipula uma estrutura conceitual básica de ideias, as quais a organização integra a
outras práticas que ocorrem dentro da entidade. Os leitores que estiverem buscando informações
que abranjam mais do que uma estrutura, ou ainda diferentes práticas que possam ser aplicadas
para integrar conceitos de gerenciamento de riscos corporativos a uma entidade, considerarão
úteis os anexos no Volume II desta publicação.
O Gerenciamento de Riscos Corporativos afeta o Valor
O valor de uma entidade é consideravelmente determinado pelas decisões que a administração
toma — desde as decisões de estratégia gerais até as decisões do dia a dia. Essas decisões
podem determinar se o valor é gerado, preservado, obtido ou reduzido.
• Há criação de valor quando os benefícios obtidos dos recursos empregados excederem o custo
dos recursos. Por exemplo, quando um novo produto é elaborado e lançado de maneira bem-
sucedida e a margem de lucro é positiva ocorre a geração de valor. Esses recursos poderiam
ser pessoas, capital financeiro, tecnologia, processos e presença de mercado (marca).
• O valor é preservado quando o valor dos recursos utilizados nas operações do dia a dia mantém
os benefícios gerados. Por exemplo, o valor é preservado quando produtos, serviços e
capacidade de produção de nível superior são oferecidos, resultando em clientes e partes
interessadas satisfeitos e fiéis.
• O valor é obtido quando as partes interessadas obtêm os benefícios gerados pela entidade. Os
benefícios podem ser monetários ou não monetários.
O modo como o valor é gerado depende do tipo da entidade. As entidades com fins lucrativos
geram valor implementando de modo bem-sucedido uma estratégia que equilibra as
oportunidades de mercado e os riscos decorrentes da busca por tais oportunidades. As entidades
sem fins lucrativos e governamentais podem gerar valor oferecendo produtos e serviços que
mantenham um equilíbrio entre suas oportunidades de atender a comunidade como um todo e
quaisquer riscos associados. Independentemente do tipo de entidade, a integração das práticas de
gerenciamento de riscos corporativos a outros aspectos do negócio aumenta a confiança das
partes interessadas.
•Visão: As aspirações da entidade em relação ao seu estado futuro ou o que ela visa a
alcançar ao longo do tempo.
O gerenciamento de riscos corporativos4 não cria a estratégia da entidade, mas influencia seu
desenvolvimento. Uma organização que integra o gerenciamento de riscos corporativos à
definição da estratégia proporciona à administração as informações sobre riscos de que esta
precisa para analisar estratégias alternativas e, por fim, adotar uma estratégia específica.
Governança
A governança é o conceito mais amplo. Normalmente isso refere-se à alocação de papeis,
autoridades e responsabilidades às partes interessadas, ao conselho e à administração. Alguns
aspectos da governança não se enquadram no gerenciamento de riscos corporativos
(recrutamento e avaliação dos membros do conselho; desenvolvimento da missão, da visão e dos
valores principais da entidade).
Gerenciamento do Desempenho
O desempenho refere-se às ações, tarefas e funções necessárias para que a estratégia e os
objetivos de negócio de uma entidade sejam atingidos ou superados. O gerenciamento do
desempenho tem como foco o emprego eficiente de recursos. Relaciona-se à mensuração das
ações, tarefas e funções relativamente a metas pré-determinadas (tanto de curto quanto de longo
prazo) e à determinação se essas metas foram atingidas. No entanto, como a variedade de riscos
— tanto os conhecidos como os desconhecidos — pode afetar o desempenho de uma entidade,
uma série de medidas pode ser utilizada:
• Medidas relativas às partes interessadas, tais como possibilitar àqueles que precisam de
reciclagem quando estão sem trabalho aumentar seu nível educacional e de empregabilidade
básica.
Sempre existe um risco associado a uma meta de desempenho pré-determinada. Por exemplo, os
produtores agrícolas de grande escala enfrentarão uma determinada quantidade de riscos em
relação à própria capacidade de produzir o volume necessário para atender às demandas dos
clientes e às metas de lucratividade. De modo semelhante, as companhias aéreas terão uma
determinada quantidade de riscos em relação à própria capacidade de operar todos os voos dentro
do cronograma estipulado. Por outro lado, elas podem prever um menor risco de que 90% ou
mesmo 80% dos voos programados sairão no horário marcado versus 100% dos voos
programados. Nesses dois exemplos, há um determinado nível de risco associado à consecução
de metas pré-determinadas de desempenho volume de produção e operação dos voos.
O desempenho geral de uma entidade pode ser aprimorado por meio da integração do
gerenciamento de riscos corporativos às operações do dia a dia e da vinculação de modo mais
estreito dos objetivos de negócio aos riscos.
Controles Internos
O gerenciamento de riscos corporativos incorpora alguns conceitos de controles internos. Os
“controles internos” são o processo executado por uma entidade para proporcionar segunrança
razoável de que os objetivos serão atingidos. Os controles internos ajudam a organização a
identificar e analisar os riscos associados à consecução desses objetivos e como gerenciá-los.
Eles permitem que a administração permaneça focada nas operações da entidade e na busca por
suas metas de desempenho enquanto cumpre as leis e as regulamentações relevantes. Note,
porém, que alguns conceitos relativos ao gerenciamento de riscos corporativos não são
considerados no âmbito dos controles internos (por exemplo, conceitos de apetite pelo risco,
tolerância, estratégia e objetivos são estipulados no âmbito do gerenciamento de riscos
corporativos, mas vistos como pré-condições de controles internos).
Para evitar a repetição, alguns conceitos relativos aos controles internos válidos tanto para esta
publicação como para a publicação Controles Internos — Estrutura Integrada não foram
mencionados neste documento (p.ex., a avaliação de risco de fraude referente aos objetivos de
elaboração e de apresentação de informações financeiras, as atividades de controle relacionadas
aos objetivos de compliance, e a necessidade de realizar avaliações contínuas e separadas dos
objetivos operacionais). Contudo, alguns conceitos comuns relativos aos controles internos são
posteriormente desenvolvidos na seção da Estrutura5 (p.ex., governança de gerenciamento de riscos
corporativos). Consulte a publicação Controles Internos — Estrutura Integrada6 como parte da
aplicação da Estrutura nesta publicação.
•Identificar e gerenciar os riscos por toda a entidade: Toda entidade enfrenta uma grande
quantidade de riscos que pode afetar muitas áreas da organização. Às vezes, um risco pode ter
origem em uma área da entidade, mas acabar impactando outra área desta. A administração
deve identificar e gerenciar esses riscos que afetam a entidade como um todo para manter e
aprimorar o desempenho. Por exemplo, quando um banco percebeu que precisava lidar com
uma variedade de riscos em operações comerciais, a administração respondeu ao desafio
desenvolvendo um sistema para analisar informações de transações internas e de mercado que
eram respaldadas por informações externas relevantes. O sistema proporcionava uma visão
agregada dos riscos em todas as operações comerciais, permitindo, assim, a obtenção de
informações mais detalhadas sobre departamentos, clientes e comerciantes. Ele também
permitiu que o banco quantificasse os riscos relativos. O sistema atendeu aos requisitos de
gerenciamento de riscos corporativos da entidade e permitiu que o banco reunisse dados que
estavam dispersos para responder de modo mais eficaz aos riscos.
•Aprimorar a utilização dos recursos: A obtenção de informações sólidas sobre os riscos permite
que a administração avalie as necessidades gerais de recursos e aprimore sua alocação. Por
exemplo, uma empresa de comercialização e distribuição de gás reconheceu que sua
infraestrutura antiga aumentava o risco de ocorrer um vazamento. Ao analisar as tendências
em dados sobre vazamento de gás, a organização foi capaz de avaliar os riscos em toda a sua
rede de distribuição. A administração elaborou posteriormente um plano para substituir a
infraestrutura desgastada e reparar as seções que tinham vida útil remanescente. Essa
abordagem permitiu que a empresa mantivesse a integridade da infraestrutura e paralelamente
alocasse recursos adicionais significativos durante um período mais longo de tempo.
Como o risco está sempre presente e mudando, a busca pelos objetivos pode ser uma tarefa
difícil. Embora possa não ser possível que as organizações gerenciem todos os potenciais
resultados de um risco, elas podem aprimorar o modo como se adaptam às novas circunstâncias.
Às vezes isso é denominado como sustentabilidade organizacional, resiliência e agilidade. A
Estrutura incorpora esse conceito ao contexto amplo de criação, de preservação e de realização
de valor.
O gerenciamento de riscos corporativos tem como foco gerenciar os riscos para reduzir a
probabilidadede um evento ocorrer e gerenciar o impacto quando um evento ocorrer. O
"gerenciamento do impacto" poderá exigir que a organização se adapte às circunstâncias. Em
alguns casos extremos, isso poderá incluir a implementação de um plano de gerenciamento de
crises. O exemplo 1.1 ilustra o plano na prática.
Exemplo 1.1: Plano de Gerenciamento de Riscos
Uma companhia de cruzeiro marítimo está preocupada com um surto viral que poderá
acontecer enquanto seus navios estiverem no mar. Um navio de cruzeiro não tem
capacidade para manter os passageiros em quarentena durante uma epidemia, mas ele pode
realizar procedimentos para minimizar a disseminação do vírus. No entanto, mesmo com a
instalação e a higienização de estações por todo o navio, a disponibilização de áreas para
lavanderia e os procedimentos diários para desinfetar os corrimões, os lavatórios e outras
áreas comuns, os surtos virais ainda podem e vão acontecer. A organização responde a
isso implementando práticas específicas. Primeiro, a limpeza e a higienização de rotina da
parte interior da embarcação são intensificadas. Assim que o navio estiver no porto, todos
os passageiros são obrigados a desembarcar para permitir que uma equipe especialmente
treinada desinfete todo o navio. Posteriormente, os protocolos de limpeza são atualizados
com base no tipo de vírus encontrado. O horário de partida do próximo navio de cruzeiro
sofre um atraso para que todos os protocolos de limpeza sejam cumpridos. Na maioria dos
casos, o atraso é inferior a 48 horas. Ao dispor de competências robustas em gerenciamento
de riscos corporativos para reagir e adaptar-se imediatamente a cada situação singular, a
companhia é capaz de minimizar o impacto ao mesmo tempo que mantém a confiança do
passageiro na companhia de cruzeiro marítimo.
Algumas vezes, a organização não consegue retornar às suas operações normais no curto prazo
quando um evento ocorre. Nesses casos, a organização deve adotar uma solução a longo prazo.
Por exemplo, considere um navio de cruzeiro que tem seu funcionamento totalmente
interrompido por conta de um incêndio. Diferentemente do cenário de um surto viral descrito no
Examplo 1.1, que afeta somente alguns passageiros, o incêndio afeta todo mundo. Pode haver
uma necessidade imediata de assistência médica, de comida, de água e de acomodações ou
mesmo de uma convocação para desembarcar todos os passageiros. Como os navios raramente
ficam no mesmo lugar, um planejamento comum de como responder a uma crise pode ser menos
eficaz, uma vez que cada local e tipo de incidente apresentam desafios diferentes. No entanto, ao
programar o local de sua frota e organizar os horários de partida, a companhia pode estabelecer
rotas de forma que os navios estejam sempre em uma distância de 24 horas do porto ou de outro
navio de cruzeiro. Essa sobreposição permite que a companhia rapidamente reorganize os
navios e as tripulações para que estes auxiliem em uma emergência.
A administração estará mais bem posicionada se ela se antecipar ao que pode acontecer — o
provável, o possível e o pouco provável. A capacidade de adaptar-se a mudanças torna a
organização mais resiliente e capaz de evoluir diante das restrições do mercado e dos recursos.
Essa capacidade pode também proporcionar à administração a confiança para aumentar a
quantidade de riscos que a organização está disposta a aceitar e, por fim, acelerar o crescimento e
gerar valor.
1
Os termos definidos estão ligados ao Glossário de Termos-Chave quando primeiramente utilizados no documento.
2
Nesta publicação, os “riscos” (plural) referem-se a uma ou mais possíveis ocorrências que podem afetar a consecução dos
objetivos. O termo “risco” (singular) refere-se a todos os possíveis acontecimentos que podem afetar de maneira coletiva a
consecução dos objetivos.
Observe que algumas entidades utilizam termos diferentes, como "crenças", "propósito", "filosofia", "convicções fundamentais"
3
e "políticas". Independentemente da terminologia utilizada, os conceitos que servem de base para a missão, a visão e os valores
principais fornecem uma estrutura de comunicação para toda a entidade.
4
Ao longo deste documento, o “gerenciamento de riscos corporativos” refere-se à cultura, às competências e às práticas,
integradas à definição da estratégia e à sua execução, nas quais as organizações se baseiam para gerenciar os riscos da geração,
da preservação e da realização do valor. Não se refere a uma função, a um grupo ou a um departamento na entidade.
Considerações específicas no modelo operacional são discutidas no Anexo B no Volume II.
5
"Estrutura" refere-se coletivamente aos cinco componentes introduzidos no Capítulo 5 e incluídos individualmente nos
Capítulos 6, 7, 8, 9 e 10.
6
A publicação Controles Internos — Estrutura Integrada pode ser obtida em www.coso.org.
espaço
A caixa apresentada nesta página contém os termos que ampliam e respaldam a definição de
risco. A Estrutura enfatiza que o risco está relacionado à possibilidade de eventos ocorrerem,
geralmente analisados em termos de gravidade. Em alguns casos, o risco pode relacionar-se à
previsão de um evento inesperado que não acontece.
•Incerteza: A condição de não saber como possíveis eventos poderão ou não poderão
manifestar-se.
No contexto de riscos, os eventos são mais do que apenas transações rotineiras; eles incluem
questões empresariais mais amplas, como as mudanças no modelo operacional e de governança,
as influências geopolíticas e sociais e as negociações de contratação, entre outras coisas. Alguns
eventos que têm potencial de afetar a estratégia e os objetivos de negócio são prontamente
detectáveis uma mudança na taxa de juros, um concorrente lançando um novo produto ou a
aposentadoria de um funcionário-chave. Outros são menos evidentes, especialmente quando
vários eventos pequenos se agrupam para criar uma tendência ou condição. Por exemplo, pode
ser difícil identificar eventos específicos relacionados ao aquecimento global, mesmo assim é
geralmente aceito que isso está ocorrendo. Em alguns casos, as organizações podem nem ter
conhecimento de quais eventos poderão ocorrer ou ser capazes de identificá-los.
As organizações geralmente priorizam os riscos que podem ter um desfecho negativo, como um
prejuízo decorrente de um incêndio, a perda de um cliente-chave ou o surgimento de um novo
concorrente. No entanto, os acontecimentos também podem ter um desfecho positivo,8 por
exemplo um clima melhor do que aquele previsto, tendências mais consolidadas de retenção de
funcionários, ou melhores alíquotas tributárias, o que também deve ser considerado. Os eventos
que ajudam no alcance de um objetivo podem, ao mesmo tempo, representar um desafio para a
consecução de outros objetivos. Por exemplo, o lançamento de um produto cuja demanda é
maior do que a prevista tem um efeito positivo sobre o desempenho financeiro. No entanto, ele
também pode aumentar o risco à cadeia de suprimentos, o que pode levar à insatisfação dos
clientes se a empresa não conseguir fornecer o produto.
Alguns riscos têm impacto mínimo sobre uma entidade, enquanto outros têm um impacto maior.
O gerenciamento de riscos corporativos ajuda a organização a identificar, priorizar e enfocar os
riscos que possam impedir que o valor seja gerado, preservado e realizado, ou que possam
reduzir o valor atual. No entanto, não menos importante é o fato que ajuda as organizações a
buscar possíveis oportunidades.
Uma análise mais profunda da definição de gerenciamento de riscos corporativos enfatiza seu
foco no gerenciamento de riscos por meio de:
• Um reconhecimento da cultura.
O Reconhecimento da Cultura
A cultura é desenvolvida e moldada por pessoas de todos os níveis de uma entidade por meio do
que elas fazem e dizem. São as pessoas que estabelecem a missão, a estratégia e os objetivos de
negócio da entidade e implementam as práticas de gerenciamento de riscos corporativos. De
maneira análoga, o gerenciamento de riscos corporativos afeta as decisões e as ações das
pessoas. Cada indivíduo tem um referencial único, o que influencia o modo como ele identifica
e avalia os riscos e reage a eles. O gerenciamento de riscos corporativos ajuda as pessoas a tomar
decisões, ao mesmo tempo que entende que a cultura desempenha um importante papel na
formulação das decisões.
A Realização de Práticas
O gerenciamento de riscos corporativos não é estático, tampouco é um complemento ao negócio,
e sim contínuo, sendo aplicado a todo o escopo de atividades, bem como a projetos especiais e
novas iniciativas. Ele faz parte das decisões da administração em todos os níveis da entidade.
As práticas utilizadas no gerenciamento de riscos corporativos são aplicadas desde os níveis mais
elevados de uma entidade até suas divisões, unidades de negócio e áreas. As práticas visam a
ajudar as pessoas que estão dentro da entidade a entender melhor a estratégia da organização,
quais objetivos de negócio foram definidos, quais riscos existem, qual é a quantidade de risco
aceitável, de que forma os riscos impactam o desempenho e de que modo os riscos devem ser
gerenciados. Esse entendimento, por sua vez, presta suporte à tomada de decisão em todos os
níveis e ajuda a reduzir o viés organizacional.
O gerenciamento de riscos corporativos não para por aí; ele continua nas tarefas diárias da
entidade, e assim fazendo pode proporcionar benefícios significativos. É mais provável que uma
organização que incorpora o gerenciamento de riscos corporativos às tarefas diárias tenha custos
menores do que uma organização que "estabelece camadas" para os procedimentos de
gerenciamento de riscos corporativos. Em um mercado altamente competitivo, tais reduções de
custos podem ser essencial para o sucesso de um negócio. Da mesma forma, ao incorporar o
gerenciamento de riscos corporativos às operações principais da entidade, a administração
provavelmente irá identificar novas oportunidades de expandir os negócios.
Mas mesmo que haja expectativas razoáveis, as entidades podem enfrentar desafios imprevistos,
e é por essa razão que a análise regular das práticas de gerenciamento de riscos corporativos é
importante. A análise e a consequente revisão quando necessária ajuda a manter práticas
robustas que aumentam a confiança da administração na capacidade de a entidade responder de
maneira bem-sucedida aos acontecimentos inesperados e executar sua estratégia e seus objetivos
de negócio.
O apetite a riscos proporciona diretrizes sobre as práticas que uma organização é incentivada a
buscar ou não. Ele estabelece uma gama de práticas e orientações apropriadas e orienta as
decisões baseadas em riscos em vez de especificar um limite.
O apetite pelo risco não é estático; pode mudar de acordo com os produtos ou as unidades de
negócio e ao longo do tempo de acordo com a mudança da capacidade de gerenciar os riscos. Os
tipos e a quantidade de riscos que uma organização pode considerar aceitável podem mudar. Por
exemplo, durante tempos de crescimento econômico, uma empresa bem-sucedida e em
crescimento pode estar mais disposta a aceitar determinado risco de prejuízo financeiro do que
quando há uma recessão econômica e as perspectivas de negócio pioram. O apetite pelo risco
deve ser flexível o suficiente para adaptar-se às condições comerciais em mutação conforme
necessário, sem esperar por análises e aprovações periódicas da administração.
Embora o apetite a riscos seja introduzido aqui, 9 a Estrutura define vários casos nos quais o
apetite a riscos é aplicado como parte do gerenciamento de riscos corporativos. Algumas das
aplicações mais importantes do apetite a riscos são:
O termo "Entidade" é tão amplo que pode englobar uma ampla gama de estruturas jurídicas, incluindo entidades com fins
5
• Como a missão, a visão e os valores principais constituem a expressão inicial de quais tipos e
quantidade de risco são aceitáveis para consideração quando da formulação da estratégia.
• A possibilidade de que a estratégia e os objetivos de negócio possam não estar alinhados com a
missão, a visão e os valores principais da organização.
A figura 3.1 mostra a estratégia no contexto da missão, da visão e dos valores principais da
organização e como um fator que impulsiona o direcionamento e o desempenho gerais de uma
entidade.
Missão: Melhorar a saúde das pessoas que atendemos oferecendo cuidados de alta
qualidade, uma ampla gama de serviços e acesso adequado e tempestivo, incluindo um
excepcional atendimento a pacientes e compaixão.
Visão: Nosso hospital será o prestador de serviços de saúde escolhido por médicos e
pacientes e será conhecido por proporcionar qualidade incomparável, prestar serviços
renomados e ser um lugar incrível para exercer a medicina.
Valores Principais: Nossos valores servem de base para tudo o que pensamos, dizemos e
fazemos. Trataremos nossos médicos, pacientes e colegas com respeito, honestidade e
compaixão, ao mesmo tempo que os tornaremos responsáveis pela concretização desses
valores.
Nossa estratégia:
• Maximizar o valor para os nossos pacientes aprimorando a qualidade de uma diversa gama
de serviços.
• Gerenciar a prestação de serviços aos pacientes e reduzir o tempo de espera quando for
viável.
Os riscos associados à execução da estratégia podem também ser vistos da perspectiva dos
objetivos do negócio. Uma organização pode usar uma variedade de técnicas para avaliar os
riscos com base em algum tipo de medida comum. Sempre que possível, a organização deve
utilizar unidades similares para mensurar o risco de cada objetivo. Proceder dessa forma ajudará
a alinhar a gravidade do risco com as medidas de desempenho estabelecidas.
A relação entre risco e desempenho raramente é linear. Mudanças incrementais nas metas de
desempenho nem sempre resultam em mudanças correspondentes no risco (ou vice-versa).
Consequentemente, uma representação dinâmica e útil, às vezes em forma de gráfico, ilustra o
valor agregado do risco associado a diferentes níveis de desempenho. Tal representação
considera os riscos como uma série contínua de potenciais resultados ao longo da qual a
organização deve equilibrar a quantidade de risco à entidade com o desempenho desejado.
Existem diversos métodos de representar um perfil de risco. A Estrutura usa uma abordagem,
apresentada aqui, para ilustrar o relacionamento entre vários aspectos do gerenciamento de riscos
corporativos. Fazer isso ajuda a aprimorar as discussões sobre os riscos, o apetite a riscos, a
tolerância aos riscos e a relação geral com as metas de desempenho.
Na Figura 3.2, cada barra representa o valor agregado do risco em um determinado nível de
desempenho para um objetivo de negócio. A linha da meta representa o nível de desempenho
escolhido pela organização como parte da definição da estratégia, que é comunicada por meio de
um objetivo e de uma meta de negócio. As organizações podem elaborar diferentes abordagens
para conceitualizar e representar o perfil de risco da entidade.
Os perfis de risco que tendem a aumentar, conforme apresentado na Figura 3.2, são típicos,
dentre outros, de objetivos de negócio relacionados a:
Contudo, não existe uma forma ou uma tendência de perfil de risco universais. O perfil de risco
de cada entidade será diferente e dependerá de sua estratégia e de seus objetivos únicos. As
organizações podem usar seus perfis de risco para entender melhor a relação estreita entre risco,
desempenho almejado e desempenho real.
Os perfis de risco ajudam a administração a determinar qual quantidade de riscos é aceitável e
gerenciável na busca da estratégia e dos objetivos de negócio. Os perfis de risco10 podem ajudar a
administração a:
• Avaliar o possível impacto do risco em alvos pré-determinados (veja o Princípio 11: Avalia a
Gravidade do Risco e Princípio 14: Elabora uma Visão do portfolio).
Consulte o Anexo D no Volume II para uma discussão mias detalhada dos perfis de risco.
10
espaço
A Importância da Integração
O sucesso da entidade é o resultado de incontáveis decisões tomadas todos os dias pela
organização que afetam o desempenho e, em última análise, a consecução da estratégia ou dos
objetivos de negócio. A maior parte dessas decisões exige a seleção de uma abordagem dentre
várias alternativas. Muitas das decisões não serão simplesmente “certo” ou “errado,” mas
incluirão compensações mútuas: tempo versus qualidade; eficiência versus custo; risco versus
recompensa.
• Prever os riscos mais cedo ou de maneira mais explícita, oferecendo mais opções para
gerenciar os riscos e minimizar possíveis desvios em termos de desempenho, perdas,
incidentes ou falhas.
• Identificar e aproveitar oportunidades atuais e novas de acordo com o apetite pelo risco e a
estratégia da entidade.
• Elaborar e relatar uma visão do risco da carteira mais abrangente e consistente, permitindo
assim que a organização faça uma melhor alocação de recursos finitos.
A integração permite à organização tomar decisões que estão mais bem alinhadas com a
velocidade e a possível disrupção dos riscos individuais, além da busca de novas oportunidades.
Entidades que assumem riscos de maneira agressiva podem precisar obter informações de
maneira rápida e seguir processos mais simples de tomada de decisões para perseguir
oportunidades em constante mudança. Por exemplo, considere uma firma de investimentos à qual
foi oferecida a oportunidade de fazer uma oferta para a aquisição de uma empresa, mas precisa
dar uma resposta nas próximas horas. As práticas de gerenciamento de riscos da firma estão bem
integradas às competências no processo de licitação, permitindo à organização coletar e analisar
as informações disponíveis e tomar uma decisão no tempo estipulado.
Uma entidade que está apenas começando a desenvolver o gerenciamento de riscos corporativos
contará com práticas e competências limitadas. Mas à medida que a entidade amadurece, ela
estabelece práticas e competências mais especializadas que melhoram o processo de tomada de
decisões (tais como a identificação e a avaliação dos riscos e a resposta a eles). À medida que as
organizações integram de maneira consistente as considerações sobre risco, elas se tornam
menos dependentes de práticas e infraestrutura formalizadas e autônomas. Por exemplo, em uma
entidade totalmente integrada, os funcionários identificarão desvios em relação ao desempenho e
entenderão o efeito potencial sobre o perfil de risco sem depender de um programa de avaliação
independente.
O tempo não é o único fator que afeta a capacidade da entidade de integrar plenamente o
gerenciamento de riscos corporativos. O tamanho e o tipo importam, também (isto é, se a
entidade tem fins lucrativos, não tem fins lucrativos, é altamente regulada, etc.). Por exemplo,
uma grande empresa do ramo farmacêutico pode ter uma cultura de conscientização sobre riscos
altamente desenvolvida, mas os órgãos reguladores podem exigir que ela mantenha algumas
práticas autônomas de elaboração e apresentação de informações e de monitoramento.
Comparativamente, entidades menores não reguladas poderão enfocar mais o desenvolvimento
da conscientização sobre o risco e a integração do risco à elaboração e apresentação de
informações sobre desempenho.
Cultura
A incorporação de mais transparência e conscientização sobre o risco à cultura da entidade exige
providências tais como:
Competências
As competências de gerenciamento de riscos corporativos estão integradas à entidade quando:
• A organização frequentemente contrata indivíduos com experiência rotineira que podem julgar
e supervisionar de acordo com suas responsabilidades.
• Fornecedores, empreiteiros e outros terceiros são considerados nas discussões sobre risco e
desempenho.
Práticas
As práticas de gerenciamento de riscos corproativos estão integradas quando:
Para cada princípio, a Estrutura elabora considerações para a completa integração da cultura, das
práticas e das competências à entidade. Essas considerações não exaurem o tema, mas
demonstram a gama de inputs para a tomada de decisões e o julgamento pelos funcionários, pela
administração e pelo conselho.
espaço
5. Componentes e Princípios
A figura também mostra que quando o gerenciamento de riscos corporativos está integrado ao
desenvolvimento da estratégia, à formulação dos objetivos de negócio, e à implementação e ao
desempenho, ele consegue gerar valor. O gerenciamento de riscos corporativos não é estático.
Está integrado à elaboração da estratégia, à formulação dos objetivos de negócio e à execução
desses objetivos por meio da tomada de decisões no dia a dia.
Os cinco componentes11são:
•Governança e Cultura: A governança e a cultura juntas constituem a base para todos os outros
componentes do gerenciamento de riscos corporativos. A governança define a diretriz da
organização, reforçando a importância do gerenciamento de riscos corporativos, bem como
estabelecendo responsabilidades pela supervisão deste. A cultura é refletida na tomada de
decisões.
•Definição dos Objetivos e da Estratégia: O gerenciamento de riscos corporativos é integrado
ao plano estratégico da entidade por meio do processo de definição dos objetivos e da
estratégia de negócios. Por meio do entendimento do contexto do negócio, a organização
pode obter insights sobre fatores internos e externos e seu impacto sobre o risco. Uma
organização define seu apetite a riscos juntamente com a definição da estratégia. Os objetivos
de negócio permitem que a estratégia seja colocada em prática e moldam as operações diárias
e as prioridades da entidade.
•Desempenho: Uma organização identifica e avalia os riscos que podem afetar a capacidade da
entidade de concretizar sua estratégia e seus objetivos de negócio. Como parte da busca, a
organização identifica e avalia os riscos que podem afetar a consecução da estratégia e dos
objetivos de negócio. Ela prioriza os riscos de acordo com o seu nível de gravidade levando
em consideração o apetite a riscos da entidade. A organização então escolhe como responder
ao risco e monitora o desempenho em relação à mudança. Dessa forma, ela elabora uma visão
do portfolio de riscos que a entidade assumiu na execução da estratégia e dos objetivos de
negócio.
Dentro desses cinco componentes existe uma série de princípios, conforme ilustrado na Figura
5.2. Os princípios representam os conceitos fundamentais associados a cada componente. Esses
princípios são redigidos como coisas que as organizações fariam como parte das práticas de
gerenciamento de riscos corporativos da entidade. Embora esses princípios sejam universais e
façam parte de qualquer iniciativa de gerenciamento de riscos corporativos eficaz, a
administração deve exercer seu julgamento na aplicação de tais princípios. Cada princípio é
abrangido de modo detalhado nos respectivos capítulos sobre os componentes.
Figura 5.2: Princípios do Gerenciamento de Riscos
Durante uma avaliação, a administração pode também analisar a adequação dessas competências
e práticas, tendo em mente a complexidade da entidade e os benefícios que a organização busca
obter com o gerenciamento de riscos corporativos.
11
Os componentes são discutidos de maneira detalhada nos Capítulos de 6 a 10.
12
Uma discussão adicional sobre os controles para colocar os princípios em prática está definida na publicaçãoControles Internos
— Estrutura Integrada.
Os potenciais benefícios relacionados ao gerenciamento de riscos corporativos estão definidos no Capítulo 1: Introdução.
13
espaço
Estrutura
espaço
6. Governança e Cultura
Outro fator que tem uma influência crítica sobre o gerenciamento dos riscos corporativos é a
cultura. Seja a entidade uma empresa familiar privada de pequeno porte ou uma multinacional
complexa de grande porte, seja ela um órgão governamental ou uma organização sem fins
lucrativos, sua cultura reflete os valores principais da entidade: as convicções, as atitudes, os
comportamentos almejados e a importância de entender o risco. A cultura presta suporte ao
alcance da missão e da visão da entidade. Uma entidade que possui uma cultura consciente dos
riscos enfatiza a importância de gerenciar os riscos e incentivar um fluxo de informações
transparente e tempestivo sobre eles. Ela procede dessa forma sem atribuição de culpa, mas,
sim, com uma atitude de entendimento, de responsabilidade e de aprimoramento contínuo.
espaço
• Estiver ocupando atualmente ou tiver sido recentemente nomeado para ocupar um cargo
executivo na entidade.
Por exemplo, algumas organizações podem obter valor por meio do entendimento dos riscos à
estratégia. Nesse caso, a administração define como foco para o gerenciamento de riscos
corporativos as práticas para executar a estratégia e alcançar os objetivos de negócio — talvez
meios de diminuir surpresas e prejuízos ou ainda reduzir a variabilidade de desempenho. Outras
podem agregar valor por meio do alinhamento da missão, da visão e dos valores principais e das
implicações da estratégia escolhida em relação ao perfil de risco. Nesse caso, a administração
enfocaria mais a elaboração da estratégia e o aumento da gama de oportunidades como suporte à
estratégia.
Viés Organizacional
O viés na tomada de decisão sempre existiu e sempre existirá. É comum encontrar dentro de
uma entidade evidências de personalidades dominantes, uma confiança excessiva nos números,
descaso em relação a informações contrárias, peso excessivo dados a eventos recentes e uma
tendência a esquivar-se de riscos ou a assumir riscos. Então a dúvida não é se o viés existe, e sim
como o viés que afeta as decisões no âmbito do gerenciamento de riscos corporativos pode ser
gerenciado. Espera-se que o conselho entenda os potenciais vieses organizacionais que possam
existir e conteste a administração de modo que tais vieses sejam superados.
espaço
Uma estrutura operacional descreve como a entidade organiza e conduz suas operações do dia a
dia. Por meio da estrutura operacional, os profissionais são responsáveis pelo desenvolvimento e
pela implementação de práticas para gerenciar os riscos e permanecer alinhados aos valores
principais da entidade. Dessa maneira, uma estrutura operacional contribui para o gerenciamento
do risco à estratégia e aos objetivos de negócio.
Diferentes estruturas jurídicas podem ser mais ou menos adequadas, a depender do tamanho da
entidade e quaisquer estruturas regulatórias, tributárias ou acionárias relevantes. Uma entidade
de pequeno porte tende a operar como uma pessoa jurídica única. Entidades de grande porte
podem consistir em várias pessoas jurídicas distintas. Nesse caso, os riscos podem ser
segregados caso não se agrupem nas estruturas jurídicas.
A organização considera esses e outros fatores para decidir qual estrutura operacional irá adotar.
Por exemplo, o conselho de administração determina quais funções da administração possuem
pelo menos uma subordinação indireta e informal ao conselho, de forma a permitir uma
comunicação de todos os assuntos importantes. De modo semelhante, as linhas de subordinação
direta e informativa são definidas em todos os níveis da entidade.
Os membros do comitê são geralmente executivos ou líderes seniores nomeados ou eleitos pela
administração, e cada um contribui com suas habilidades, seu conhecimento e sua experiência
individuais.
As entidades com estruturas complexas podem ter diversos comitês, cada um composto por
membros da administração diferentes, mas que se sobrepõem. A estrutura que comporta
diversos comitês é então alinhada à estrutura operacional e aos níveis de subordinação, o que
permite que a administração tome decisões de negócios conforme necessário, com um
entendimento pleno dos riscos inerentes a essas decisões.
Autoridade e Responsabilidades
Em uma entidade que possui apenas um conselho de administração, o conselho atribui à
administração a autoridade para elaborar e implementar práticas que prestem suporte à
consecução da estratégia e dos objetivos de negócio. Por sua vez, a administração define as
funções e as responsabilidades para toda a entidade e suas unidades operacionais. A
administração também define as funções, as responsabilidades e a responsabilização dos
indivíduos, das equipes, das divisões e das áreas de forma alinhada com a estratégia e os
objetivos de negócio.
Em uma entidade que dispõe de dois conselhos, o conselho supervisor enfoca as decisões e as
estratégias a longo prazo que impactam o negócio. O conselho de administração fica encarregado
de supervisionar as operações diárias, incluindo a supervisão e a delegação de autoridade para
decidir aos membros da alta administração. De maneira semelhante à estrutura de governança de
uma entidade que possui apenas um conselho, a administração define as funções e as
responsabilidades para toda a entidade e para suas unidades operacionais.
• Indivíduos com função gerencial que têm autoridade e responsabilidade para a tomada de
decisões e para a supervisão das práticas de negócio para executar a estratégia e alcançar os
objetivos de negócio. Dentro da equipe de administração, o diretor de riscos 14geralmente é o
indivíduo responsável por fornecer expertise e coordenar as avaliações dos riscos.
• Outra equipe de profissionais que entende tanto as normas de conduta como os objetivos de
negócio da entidade em relação à sua área de responsabilidade e às práticas de gerenciamento
de riscos corporativos relacionadas nos respectivos níveis da entidade.
Definir a autoridade de modo claro é importante, uma vez que ela empodera as pessoas para que
elas ajam conforme necessário em uma determinada função, mas também impõe limites à
autoridade. As decisões baseadas em riscos são aprimoradas quando a administração:
• Delega autoridade somente até o ponto necessário para executar a estratégia e alcançar os
objetivos de negócio da entidade (p.ex., uma avaliação e aprovação de produtos novos
envolvem as áreas de negócio e de suporte, separadamente da equipe de vendas).
• Especifica transações que exigem análise e aprovação (p.ex., a administração pode ter
autoridade para aprovar aquisições).
• Analisa riscos novos e emergentes como parte da tomada de decisão (p.ex., nenhum parceiro de
negócios novo é aceito sem que uma due diligence seja realizada).
14
O diretor de riscos é a pessoa que tem autoridade em relação ao gerenciamento de riscos corporativos; outros nomes para essa
função podem ser "responsável pelo gerenciamento de riscos corporativos", "líder responsável por riscos", diretor da área de
gerenciamento de riscos" ou "diretor de riscos".
espaço
Muitos fatores moldam a cultura da entidade. Os fatores internos incluem, entre outros, o grau
de julgamento e de autonomia proporcionados aos funcionários, o modo como os funcionários da
entidade interagem entre si e com seus gestores, as normas e as regras, o layout físico do local de
trabalho e o sistema de recompensa em vigor. Os fatores externos incluem os requisitos
regulatórios e as expectativas dos clientes, dos investidores, além de outros elementos.
Todos esses fatores influenciam onde a entidade se enquadra na escala da cultura, que varia
desde avessa a riscos até agressiva em termos de riscos (veja a Figura 6.1). Quanto mais
próxima uma entidade estiver do último nível da escala de agressividade em relação a riscos,
mais propensa e disposta ela estará para aceitar os tipos e a quantidade maior de riscos que são
necessários para executar a estratégia e alcançar os objetivos de negócios (veja também o
Exemplo 6.2).
Figura 6.1: Spectro da Cultura
Uma usina nuclear tende a praticar uma cultura avessa a riscos em suas operações diárias.
Tanto a administração como as partes interessadas externas esperam que as decisões a
respeito de tecnologias e sistemas novos sejam tomadas cuidadosamente, com uma atenção
especial direcionada a detalhes e segurança para proporcionar expectativas razoáveis em
relação à confiabilidade da usina. Não é aconselhável que usinas nucleares invistam
fortemente em tecnologias inovadoras e não comprovadas que sejam críticas para o
gerenciamento das operações.
Por outro lado, uma empresa administradora de participações societárias tende a ser uma
entidade mais agressiva em termos de assunção de riscos. A administração e os investidores
externos terão grandes expectativas em relação a desempenho que irão exigir a assunção de
riscos potencialmente graves, ao mesmo tempo que ainda se enquadram no apetite a riscos
definido pela entidade.
Uma cultura bem desenvolvida não implica uma abordagem-modelo para o gerenciamento de
riscos corporativos. Os gerentes de algumas unidades operacionais podem estar preparados para
assumir mais riscos, enquanto outros podem ser mais conservadores. Por exemplo, uma unidade
de vendas agressiva pode direcionar sua atenção para a realização de uma venda sem dedicar
uma atenção especial ao compliance regulatório fora do apetite a riscos almejado, enquanto os
profissionais da unidade contratante podem focar em compliance total de acordo com o nível de
apetite a riscos almejado. Se trabalharem separadamente, essas duas unidades poderiam afetar
negativamente a entidade, mas, tendo um entendimento comum das decisões aceitáveis sobre
riscos, elas podem responder de modo adequado de acordo com o apetite a riscos definido a fim
de executar a estratégia e alcançar os objetivos de negócio da entidade.
O exercício do julgamento
O julgamento tem um papel significativo na definição da cultura desejada e no gerenciamento de
riscos em todo o espectro cultural. A entida normalmente exerce o julgamento:
• Quando há uma quantidade limitada de informações ou dados disponíveis para respaldar a
decisão.
O efeito da cultura
A cultura de uma organização afeta a maneira pela qual o risco é identificado e avaliado e a
resposta que é dada a ele, desde o momento de definição da estratégia, passando pela execução e
pelo desempenho. Exemplos incluem:
•O rigor nos processos de identificação dos riscos e de avaliação: A depender de onde está a
organização no espectro cultural, a natureza e os tipos de riscos e oportunidades podem
divergir. O que é visto como riscos potenciais por uma entidade avessa ao risco pode ser
considerado como uma oportunidade a ser aproveitada por outra. Por exemplo, um aumento na
demanda por pedidos on-line pode ser visto como um risco por uma empresa manufatureira
tradicional que vende produtos no varejo, mas como uma oportunidade de aumentar as vendas
por parte de um varejista que procure aumentar as vendas e a participação de mercado.
•A seleção das respostas ao risco e a alocação de recursos finitos: Uma entidade avessa ao risco
pode alocar as respostas ao risco ou recursos adicionais para ganhar mais confiança na
realização de um determinado objetivo de negócio. Os custos e benefícios associados às
respostas graduais ao risco podem ser interpretados de maneira menos favorável por entidades
mais agressivas na assunção de riscos. Por exemplo, a compra de apólices adicionais de seguro
pode ser incentivada por entidades avessas ao risco, mas ser vista como um uso ineficiente de
recursos financeiros por outra.
A falta de adesão aos valores principais geralmente decorre de uma das seguintes razões:
• A postura dos administradores e dos gestores não transmite as expectativas de forma eficaz.
Em uma cultura consciente dos riscos, os profissionais sabem o que a entidade defende e os
limites dentro dos quais eles podem atuar. Eles podem discutir e debater abertamente sobre quais
riscos devem ser assumidos para executar a estratégia e alcançar os objetivos de negócio da
entidade, sendo o resultado disso o alinhamento consistente do comportamento dos funcionários
e da administração com o apetite a riscos da entidade.
Uma start-up do setor de tecnologia está desenvolvendo um novo algoritmo que aumenta a
precisão do rastreamento de mudanças no comportamento dos clientes e nas preferências de
compras. No seu início, a start-up tinha uma cultura bastante agressiva de assunção de
riscos conforme completava as primeiras fases do estabelecimento de operações comerciais
e da identificação de possíveis parceiros comerciais, clientes e oportunidades de mercado. À
medida que a organização amadureceu ela estabeleceu parcerias mais formais com clientes
maiores. A start-up finalmente decidiu lançar ações na bolsa de valores para ter acesso a um
grupo maior de investidores. Com essa mudança, a empresa ficou à esquerda do espectro
cultural, o que refletiu o apetite a riscos da entidade e as mudanças correspondentes nas
práticas de gerenciamento de riscos corporativos e nas competências da entidade.
espaço
Ter uma posturaz consistente ajuda a organização a estabelecer um entendimento comum dos
valores principais, dos fatores que influenciam os negócios e dos comportamentos almejados dos
profissionais e dos parceiros comerciais. A consistência ajuda a unir a organização na busca da
estratégia e dos objetivos de negócio. Contudo, nem sempre é fácil manter uma postura
consistente. Por exemplo, diferentes mercados podem exigir diferentes abordagens da
motivação, da avaliação e dos serviços ao cliente. De tempos em tempos, esses fatores podem
pressionar diferentes níveis da entidade, resultando em uma mudança na postura da organização.
(Em entidades maiores, essa visão de postura da organização é algumas vezes mencionada como
"postura do nível intermediário"). No entanto, quanto mais consistente ela permanecer na
organização como um todo, mais consistente será o cumprimento das obrigações pelo
gerenciamento de riscos corporativos durante a busca da estratégia e dos objetivos de negócio da
entidade.
•Da manutenção de uma liderança forte: O conselho e a administração são importantes para
promover a conscientização e a postura adequadas em relação aos riscos por toda a entidade. A
cultura e, consequentemente, a conscientização sobre os riscos não podem ser transferidas das
equipes e das áreas de segunda linha por si mesmas; a liderança da organização deve ser a
propulsora real da mudança.
•Da realização de discussões abertas e francas sobre os riscos enfrentados pela entidade: A
administração não considera os riscos como algo negativo, entendendo sua administração
como algo crítico para a execução da estratégia e o alcance dos objetivos de negócio.
•Do incentivo à conscientização dos riscos por toda e entidade: A administração envia
constantemente mensagens aos profissionais que gerenciar os riscos faz parte das
responsabilidades diárias da administração, sendo não somente importante, mas também
fundamental para o sucesso e a sobrevivência da entidade.
Reforçando a Responsabilidade
Em última análise, o conselho de administração determina que o diretor-executivo 15 é
responsável por gerenciar os riscos enfrentados pela entidade estabelecendo práticas e
competências de gerenciamento de riscos corporativos para prestar suporte à consecução da
estratégia e dos objetivos de negócio da entidade. O diretor de riscos (CRO) e outros membros
da administração, juntos, são responsáveis por todos os aspectos da prestação de contas — desde
a elaboração inicial até a avaliação periódica das competências em cultura e gerenciamento de
riscos corporativos. A responsabilização pelo gerenciamento de riscos corporativos é
demonstrada em cada estrutura utilizada pela entidade.
A administração fornece orientações aos profissionais para que estes entendam os riscos. A
administração também demonstra liderança comunicando as expectativas em relação à conduta
em todos os aspectos do gerenciamento de riscos corporativos. Tal liderança demonstrada pela
alta administração ajuda a estabelecer e reforçar a responsabilização e o propósito comum.
• A administração garante que as informações sobre os riscos circulam por toda a entidade (p.ex.,
comunicando como as decisões são tomadas e como o risco é considerado como parte das
decisões).
• Os funcionários estão comprometidos com os objetivos de negócio coletivos (p.ex., por meio
do alinhamento das metas e do desempenho individuais com os objetivos de negócio da
entidade).
Assunção de responsabilidades
Em algumas estruturas de governança, as metas de desempenho partem do conselho de
administração, passando pelo diretor-executivo (CEO), pela administração e pelos demais
profissionais da entidade, e o desempenho é avaliado em cada um desses níveis. O conselho de
administração avalia o desempenho do diretor-executivo (CEO), que, por sua vez, avalia a
equipe de administração, e assim por diante. Em cada um dos níveis, a adesão aos valores
principais e aos comportamentos culturais almejados é avaliada, e recompensas são distribuídas
ou medidas disciplinares são aplicadas, conforme for apropriado. O conselho pode também
realizar uma autoavaliação para aferir seus pontos fortes e identificar oportunidades de melhorias
no gerenciamento de riscos corporativos.
Em outras estruturas de governança, tais como aquelas compostas de dois conselhos, o órgão
supervisor avalia o desempenho do conselho de administração como um todo e dos membros
individuais; a diretoria executiva avalia a equipe sênior da gerência que reporta diretamente a
ela.
A entidade que demonstra uma comunicação aberta e transparência proporciona uma variedade
de canais tanto para a administração como para os profissionais poderem relatar suas
preocupações sobre assunção de riscos e conduta ou comportamento empresarial possivelmente
inadequados ou excessivos sem medo de retaliação ou intimidação. A entidade também proíbe
qualquer forma de retaliação contra qualquer indivíduo que participe de boa fé em qualquer
investigação sobre um comportamento não condizente com as normas de conduta e com o apetite
a riscos da entidade. Os profissionais que se envolverem em retaliação ou intimidação
inapropriadas estão sujeitos a medidas disciplinares.
Irregularidades ocorrem por três motivos: pessoas cometem erros (por confundir-se ou não ter
conhecimento), pessoas têm seu momento de fraqueza e pessoas de má índole optam por
prejudicar outras. Tendo conhecimento de que qualquer uma dessas três coisas pode ocorrer,
uma organização deve alinhar seus valores principais e comportamento para ajudar as pessoas a
evitar cometer erros e para identificar potenciais infratores, quer sejam indivíduos ou grupos.
Isso requer avaliar e priorizar os riscos, bem como desenvolver formas de responder a eles de
forma detalhada, adequadamente.
15
Esta Estrutura refere-se ao "diretor-executivo (CEO).” Outros termos que descrevem essa posição de liderança sênior que
podem ser utilizados incluem “diretor-executivo,” “presidente,” “diretor-presidente,” ou “vice.”
espaço
•Atrair: Buscar o número necessário de candidatos que se enquadrem na cultura consciente dos
riscos desejada, nos comportamentos almejados, no estilo operacional e nas necessidades
organizacionais da entidade e que tenham as competências necessárias para as funções
propostas.
•Avaliar: Mensurar o desempenho dos indivíduos no que diz respeito a alcançar os objetivos de
negócio e demonstrar competências para gerenciar riscos corporativos em relação a normas
pré-acordadas.
Aumentos de salário e bônus são incentivos comuns, mas as recompensas não monetárias, como
a atribuição de responsabilidades maiores, a visibilidade e o reconhecimento também são
eficazes. A administração introduz e analisa regularmente as estruturas de recompensa e
mensuração da entidade conjuntamente com o comportamento desejado. Ao fazer isso, o
desempenho de indivíduos e das equipes são avaliados em relação às medidas definidas, que
incluem fatores de desempenho empresarial, bem como a competência demonstrada (veja o
Exemplo 6.5).
Uma empresa familiar que opera no ramo de fabricação de móveis está tentando conquistar
a fidelidade do cliente com seus móveis de alta qualidade. Ela envolve sua força de
trabalho para reduzir os índices de defeitos de fabricação, além de alinhar suas medidas de
desempenho, seus incentivos e suas recompensas tanto às metas de produção das unidades
operacionais como às expectativas visando a cumprir as normas de segurança e de
qualidade, as leis de segurança no trabalho, os programas de fidelidade do cliente e a
divulgação de informações precisas sobre recall de produtos. Depois de ter alinhado os
objetivos de negócio aos incentivos e às recompensas, a empresa observou nos funcionários
uma maior conscientização sobre suas responsabilidades e uma maior disposição para
trabalhar juntos para enfrentar os desafios. No final, verificou-se uma sensível diminuição
nos defeitos dos produtos.
Endereçando aa Pressão
A pressão em uma organização decorre de várias fontes. As metas que a administração
estabelece para a consecução da estratégia e dos objetivos de negócio geram pressão por sua
própria natureza. A pressão pode também ocorrer durante os ciclos regulares de tarefas
específicas (p.ex., negociação de um contrato de vendas), e pode, algumas vezes, ser
autoimposta. Uma mudança inesperada no contexto de negócios, tal como uma queda abrupta no
nível de atividade econômica, também pode aumentar a pressão.
A pressão pode motivar indivíduos, fazendo com que eles atendam às expectativas, ou causar
medo neles, fazendo com que eles tenham receio das consequências de não terem executado a
estratégia nem realizado os objetivos de negócio da entidade. No último caso, os indivíduos
podem burlar processos ou se envolver em atividades fraudulentas. As organizações podem ter
uma influência positiva sobre essa pressão restabelecendo o equilíbrio dos volumes de trabalho
ou aumentando os níveis de recurso, conforme apropriado, e continuar a comunicar a
importância do comportamento ético.
• Desequilíbrio entre recompensas para desempenho financeiro a curto prazo e recompensas para
partes interessadas focadas no longo prazo focadas, tais como metas de sustentabilidade
corporativa (veja o Exemplo 6.6).
Exemplo 6.6: O Preço da Pressão
Uma possível reação negativa à pressão deve ser levada em consideração quando da análise
da remuneração e dos incentivos. Por exemplo, os gerentes de investimento assumem
riscos em nome das carteiras de seus clientes, e o desempenho desses investimentos pode
afetar significativamente a remuneração da entidade. Uma taxa de administração baseada no
desempenho do fundo pode resultar em um comportamento bastante diferente em relação a
uma taxa com base no valor do fundo. O alinhamento da remuneração individual pode
ajudar a reforçar a cultura desejada. Por outro lado, as estruturas de incentivos que não
avaliarem de modo adequado os riscos associados à criação de pressão podem gerar um
comportamento inadequado.
Introdução
Toda entidade tem uma estratégia para concretizar sua missão e sua visão, bem como para
promover valor. Pode ser um desafio avaliar se a estratégia estará alinhada à missão, à visão e
aos valores principais da entidade; no entanto, trata-se de um desafio que deve ser enfrentado.
Ao integrar o gerenciamento de riscos corporativos à definição da estratégia, a organização
obtém insights sobre o perfil de risco associado à estratégia e aos objetivos de negócio. Isso
orienta a organização, ajudando a aprimorar a estratégia e as tarefas necessárias para realizá-la.
espaço
• Dinâmico, no qual novos riscos podem surgir a qualquer momento causando disrupção e
mudando o status quo (p.ex., um novo concorrente que faz com que as vendas de um produto
diminuam ou até mesmo torne o produto obsoleto).
• Complexo, com muitas interconexões e interdependências (p.ex., uma entidade com muitas
unidades operacionais em todo o mundo, cada uma delas com seus próprios regimes políticos,
suas próprias políticas regulatórias e leis tributárias).
Um exemplo de uma parte interessada externa é um órgão regulatório que concede a uma
entidade uma licença de operação, mas também tem a autoridade de aplicar sanções a essa
entidade ou forçá-la a encerrar suas operações temporária ou permanentemente. Outro exemplo
é um investidor que proporciona capital à entidade, mas que pode decidir investir em outra
organização se não concordar com a direção estratégica ou com o nível de desempenho da
referida entidade. Uma organização que identifica suas partes interessadas e seu ambiente
externo e até que ponto eles têm influência sobre o negócio pode estar mais bem posicionada
para antecipar-se às mudanças e adaptar-se a elas.
As partes interessadas externas não estão diretamente envolvidas nas operações da entidade, mas
elas:
O ambiente externo abrange vários fatores que podem ser categorizados pelo acrônimo PESTLE:
political, economic, social, technological, legal, and environmental (político, econômico, social,
tecnológico, jurídico e ambiental) (veja a Figura 7.1). O Exemplo 7.1 mostra um cenário para
ilustrar o conceito.
Duas empresas tecnológicas globais que concorrem entre si estão tentando aumentar as
receitas. A primeira empresa está considerando lançar um produto consolidado nos países
em desenvolvimento, enquanto a outra empresa está desenvolvendo um novo produto que
expandiria a base de consumidores existente. À medida que cada uma das empresas avalia
estratégias alternativas, elas consideram diferentes ambientes externos. A primeira empresa
é influenciada por fatores políticos, jurídicos e e econômicos à medida que ela lida com as
leis, as regulamentações governamentais e as cadeias de suprimentos específicas do país.
Por outro lado, a segunda empresa enfoca fatores sociais e tecnológicos à medida que ela
procura entender as necessidades dos consumidores em constante evolução. Mesmo que
ambas as empresas atuem no mesmo setor, elas contam com diferentes ambientes externos
que influenciam os perfis de risco específicos e, por fim, as estratégias escolhidas.
Algumas entidades analisam o apetite a riscos em termos qualitativos enquanto outras preferem
analisá-lo em termos quantitativos, geralmente enfocando o equilíbrio entre crescimento, retorno
e risco. Seja qual for a abordagem que a entidade selecionar para descrever seu apetite a riscos,
tal abordagem deve refletir a cultura da entidade. Além disso, se a organização quiser alterar
algum aspecto da cultura, o estabelecimento de um apetite grande por riscos pode ajudar a criar e
reforçar aquela cultura desejada.
A melhor abordagem para uma entidade é aquela que está alinhada à análise utilizada para
avaliar riscos em geral, sejam eles qualitativos ou quantitativos. A elaboração de declarações
sobre o apetite a riscos é um exercício de busca do equilíbrio perfeito entre o risco e a
oportunidade.
Quando analisados em conjunto, esses pontos podem ajudar a estruturar o apetite a riscos da
entidade e proporcionar maior precisão do que uma declaração única e de nível mais elevado. A
Figura 7.3 representa o perfil de risco como uma área sólida (na cor azul), preenchendo o espaço
por todo o eixo de desempenho a partir das barras de perfil de risco individuais (a partir da
ilustração anterior da Figura 3.2). Uma linha mostrando o apetite a riscos também foi
adicionada.
Fugura 7.3: Perfil de Risco Mostrando o Apetite por
Riscos e a Capacidade de Assumir Riscos
Seja qual for a representação do perfil de risco, as organizações podem também expressar a
capacidade de assumir riscos (conforme mostra a Figura 7.3), que é a quantidade máxima de
riscos que uma entidade é capaz de absorver durante seus esforços de consecução da estratégia e
dos objetivos de negócio. A capacidade de assumir riscos deve ser considerada quando da
definição do apetite a riscos, uma vez que a organização geralmente se empenha para manter o
apetite a riscos de acordo com sua capacidade. Não é típico de uma organização estipular o
apetite a riscos acima de sua capacidade de lidar com eles, mas em raras situações uma
organização pode escolher fazê-lo. Isso pode acontecer, por exemplo, no caso de uma
organização aceitar a ameaça da insolvência, considerando que o sucesso pode criar valor
considerável. Quando a organização estiver gerenciando riscos acima do seu apetite, espera-se
normalmente que a administração altere suas práticas para funcionar de acordo com tal apetite ou
aceite formalmente esse nível de assunção de riscos. Algumas organizações também procurarão
a aprovação do conselho em tais casos. (Uma discussão adicional sobre perfis de risco é
apresentada no Anexo D do Volume II)
Uma variedade de abordagens está disponível para determinar o apetite a riscos, incluindo a
viabilização de discussões, a análise das metas de desempenho passadas e atuais e a modelagem.
Ao estipular o apetite a riscos, a organização pode considerar as partes interessadas conforme
observado na discussão sobre o contexto dos negócios. Cabe à administração comunicar o apetite
a riscos pré-acordado em vários níveis de detalhes à entidade como um todo. Mediante
aprovação do conselho, a administração também reavalia e reforça o apetite a riscos ao longo do
tempo e à luz de considerações novas e emergentes.
Para algumas entidades, usar termos gerais como "baixo apetite" ou "alto apetite" é suficiente.
Outras podem ver tais declarações como vagas demais para comunicar e implementar o apetite a
riscos de modo eficaz, e, dessa forma, elas poderão buscar medidas mais quantitativas.
Geralmente, à medida que as organizações se tornam mais experientes no gerenciamento de
riscos corporativos, elas elaboram descrições mais precisas de seu apetite a riscos. Em alguns
casos, as organizações podem elaborar medições quantitativas ligadas à declaração sobre o
apetite a riscos. Essas medidas normalmente seriam consistentes com a estratégia e com as metas
de objetivos de negócio relacionadas. Por exemplo, uma entidade que canaliza suas práticas de
gerenciamento de riscos corporativos para a redução da variabilidade do desempenho pode
expressar o apetite pelo risco usando os resultados financeiros ou o beta das ações.
O apetite pelo risco deve ser posicionado e percebido como uma abordagem dinâmica para
moldar o perfil de risco da entidade em vez de ser uma restrição adicional ao desempenho. Por
essa razão, algumas entidades elaborarão uma série de expressões em cascata para apetite a
riscos, fazendo referência a "metas", "faixas", "pisos" ou "tetos" (veja o Exemplo 7.3). Outras
utilizarão termos quantitativos específicos como forma de aumentar a precisão.
Meta: Uma cooperativa de crédito com um apetite a riscos mais baixo para créditos de
liquidação duvidosa transmite essa mensagem a todos os níveis da empresa definindo uma
meta de perdas com crédito de liquidação duvidosa de 0,50% da carteira de crédito como
um todo.
Escala: Uma empresa de suprimentos médicos opera em uma escala de risco geral baixa.
Seu apetite a riscos mais baixo refere-se aos objetivos de segurança e compliance, incluindo
a saúde e a segurança dos funcionários, com um apetite a riscos ligeiramente mais alto em
relação aos objetivos estratégicos, operacionais e de elaboração e apresentação de
informações. Isso significa reduzir a uma quantidade razoavelmente viável os riscos
decorrentes dos diversos sistemas, produtos e equipamentos médicos e do ambiente de
trabalho, e cumprir as obrigações jurídicas que têm precedência sobre outros objetivos de
negócio.
Teto: Uma universidade aceita um apetite a riscos moderado enquanto ela busca expandir o
escopo de suas ofertas quando for prudente em termos financeiros e explorará
oportunidades para atrair novos estudantes. A universidade favorecerá novos programas
quando ela tiver ou puder obter prontamente as competências necessárias para oferecer tais
programas. No entanto, a universidade não aceitará programas que apresentarem riscos
graves tanto à sua missão como à sua visão, definindo um teto para as decisões aceitáveis.
Uma organização pode considerar qualquer série de parâmetros para ajudar a estruturar seu
apetite a riscos e apresentar uma precisão maior: Por exemplo, a organização pode considerar:
•O perfil de risco fornece informações sobre a atual quantidade de riscos da entidade e como eles
são distribuídos por toda a organização, bem como informações sobre as diferentes categorias
de riscos para ela. As organizações novas não terão um perfil de risco no qual se basear, mas
poderão obter informações importantes tanto do setor em que atuam como de suas
concorrentes.
•Capacidade para o risco A quantidade máxima de riscos que uma entidade é capaz de absorver
durante sua busca pela execução da estratégia e pela realização dos objetivos de negócio. Se o
apetite a riscos for muito alto, mas o nível de sua capacidade não for alto o suficiente para
resistir ao potencial impacto dos riscos relacionados, a entidade pode não ter êxito. Por outro
lado, se a capacidade para o risco da entidade exceder significativamente seu apetite a riscos, a
organização poderá perder oportunidades de agregar valor em benefício de suas partes
interessadas.
Uma organização pode articular declarações de apetite a riscos detalhadas no contexto de:
• Uma estratégia e objetivos de negócio que estão alinhados à missão, à visão e aos valores
principais da entidade.
O apetite a riscos é comunicado pela administração, aprovado pelo conselho e divulgado a todos
os níveis da entidade. A divulgação do apetite a riscos é importante, uma vez que o objetivo é
que todos os responsáveis pela tomada de decisões entendam o apetite a riscos de acordo com os
quais eles devem operar, especialmente aqueles que executam tarefas para alcançar os objetivos
de negócio da entidade (p.ex., equipes de vendas locais, gerentes nacionais).
A maior parte das organizações escolherá divulgar o apetite pelo risco de maneira ampla por toda
a entidade. Algumas poderão escolher enfocar funções mais seniores com responsabilidade direta
pelo gerenciamento do desempenho. Isso pode ocorrer, por exemplo, onde houver sensibilidade
às atividades dos concorrentes, acesso a informações privadas ou confidenciais, ou potencial de
apetite pelo risco que impeça o cumprimento das obrigações. Em algumas ocasiões, as
organizações também poderão escolher comunicar o apetite pelo risco a partes interessadas
externas, no seu todo ou de maneira resumida.
O exemplo 7.5 mostra como uma organização comunica o apetite a riscos para os demais níveis
por meio de declarações alinhadas aos objetivos de negócio de alto nível, que, por sua vez, estão
alinhados à estratégia geral da empresa.
Figura 7.5: Comunicação do Apetite a Riscos
Mas o apetite a riscos é somente uma parte da abordagem. Para incorporar plenamente o apetite a
riscos à tomada de decisões em vários níveis, ele não precisa ser disseminado para as outras
práticas e alinhado com elas. A Figure 7.4 mostra essas relações importantes e a aplicação do
apetite a riscos, da tolerância,19 e dos indicadores e elementos impulsionadores20 à medida que
são transmitidos a todas as áreas da entidade.
Uma organização deve avaliar as estratégias alternativas como parte de seu processo de definição
da estratégia, bem como avaliar os riscos e as oportunidades de cada opção. As estratégias
alternativas são avaliadas no contexto dos recursos e das competências da organização para
gerar, preservar e realizar valor. Uma parte do gerenciamento de riscos corporativos inclui a
avaliação das estratégias de duas perspectivas de risco diferentes: (1) a possibilidade de a
estratégia não estar alinhada à missão, à visão e aos valores principais da entidade e (2) as
implicações da estratégia escolhida.
Além disso, uma estratégia desalinhada aumenta o risco para as partes interessadas porque o
valor da organização e sua reputação podem ser afetados. Por exemplo, considere uma empresa
de telecomunicações que está considerando uma estratégia que restrinja as áreas nas quais seus
produtos e serviços estarão disponíveis visando a melhorar seu desempenho financeiro. No
entanto, essa estratégia está em desarmonia com a missão da organização de ser uma prestadora
de serviços fundamentais e uma das principais cidadãs corporativas na comunidade local.
Embora o aumento previsto nos resultados financeiros vise a atrair acionistas e investidores, ele
pode ser minado por um impacto negativo na reputação da organização perante grupos da
comunidade e órgãos reguladores que insistem que os serviços sejam mantidos.
Assim que o perfil de risco tiver sido definido para a estratégia selecionada, a administração será
mais capaz de analisar os tipos e a quantidade de riscos que ela enfrentará ao executar a
estratégia. Especificamente, ter conhecimento do perfil de risco permite que a administração
determine quais recursos serão necessários e alocados para prestar suporte à execução da
estratégia enquanto permanece fiel à meta de apetite a riscos da entidade. Os requisitos de
recursos incluem infraestrutura, conhecimento técnico e capital de giro.
As abordagens comuns para avaliar estratégias alternativas são a análise SWOT 21a modelagem, a
avaliação, a estimativa de receita, a análise da concorrência e a análise de cenário. A avaliação
é geralmente realizada pelos profissionais da administração que têm uma visão dos riscos que
abrange toda a entidade e entendem como a estratégia afeta o desempenho, ou seja, a
administração tem um entendimento no nível da entidade de como a estratégia escolhida prestará
suporte ao desempenho em todas as diferentes divisões, áreas e regiões.
O Exemplo 7.6 ilustra uma abordagem da organização para avaliar a possibilidade de estratégias
alternativas não estar alinhadas com a missão e com a visão, além das implicações das estratégias
alternativas sobre o perfil de risco da entidade. Esse exemplo ilustra a necessidade de entender
prioridades conflitantes entre clientes, funcionários e acionistas.
Exemplo 7.6: Considerando Estratégias Alternativas
Objetivo de Negócio Objetivo de Negócio Medição e Meta de
Desempenho
Por exemplo, uma fabricante de equipamentos esportivos tinha a seguinte estratégia: "Fazer o
negócio crescer expandindo os locais de fabricação globais." No entanto, quando ficou claro que
alguns locais globais apresentavam riscos que excediam o apetite a riscos da fabricante, a
estratégia foi atualizada: "Fazer o negócio crescer expandindo-o por locais de fabricação globais
de acordo com os requisitos de infraestrutura e com as regulamentações governamentais
estabelecidos."
O desenvolvimento do apetite a riscos deve alinhar-se com a elaboração da estratégia e dos
planos de negócio, do contrário pode parecer que os objetivos e prioridades são conflitantes, ou
mesmo criar tensões a respeito dos tipos e valores de risco refletidos na tomada de decisões.
Uma fabricante global de câmeras vendia filmadoras, mas, com as câmeras digitais
tornando-se cada vez mais populares, as vendas da empresa diminuíram. Em resposta a isso,
ela modificou sua estratégia adaptando-se às necessidades dos clientes e às novas
tecnologias em constante evolução. Ela agora desenvolve câmeras digitais e mitiga os
riscos de que seus produtos possam se tornar obsoletos. Essas alterações na estratégia são
respaldadas por mudanças nos objetivos de negócio e nas metas de desempenho relevantes.
Mitigando de Vieses
Vieses sempre existiram, mas a organização deve tentar ser imparcial — ou mitigar qualquer
viés — quando estiver avaliando estratégias alternativas. O primeiro passo é identificar qualquer
viés que possa existir durante o processo de definição da estratégia. Onde houver tal viés, a
organização deve tomar providências para diminuir o viés. O viés pode impedir a organização de
selecionar a melhor estratégia tanto para prestar suporte à missão, à visão e aos valores principais
da entidade como para refletir o apetite a riscos da entidade.
21
SWOT é o acrônimo de strengths, weaknesses, opportunities e threats (pontos fortes, deficiências, oportunidades e ameaças). A
análise SWOT é um método de planejamento estruturado que avalia esses quatro elementos.
espaço
•Ganhos de eficiência: Operar em um ambiente que apresente uma boa relação custo-benefício
em termos de energia.
Os objetivos de negócio podem fluir por todos os níveis da entidade (divisões, unidades
operacionais, áreas) ou serem aplicados de modo seletivo. Os objetivos que fluem por todos os
níveis da entidade tornam-se mais detalhados à medida que forem aplicados progressivamente
desde o nível hierárquico mais elevado até os demais níveis da entidade. Por exemplo, os
objetivos de negócio financeiros são repassados dos níveis hierárquicos superiores até os níveis
básicos, abrangendo desde as metas das divisões até as unidades operacionais individuais. Por
outro lado, muitos objetivos de negócio serão específicos de uma dimensão operacional, de uma
localização geográfica, de um produto ou de um serviço.
Alinhando os Objetivos de Negócio
Os objetivos individuais estão alinhados à estratégia da organização, independentemente de
como eles são estruturados e onde são aplicados. O alinhamento dos objetivos de negócio com a
estratégia presta suporte à entidade para que esta realize sua missão e concretize sua visão.
Os objetivos de negócio que não estão alinhados com a estratégia ou que estão parcialmente
alinhados a esta não prestarão suporte à realização da missão e à concretização da visão da
entidade, podendo adicionar um risco desnecessário ao perfil de risco da entidade. Ou seja, a
organização pode consumir recursos que poderiam ser de outra forma utilizados de modo mais
eficaz na execução de outros objetivos de negócio.
Os objetivos de negócio devem também estar alinhados ao apetite a riscos da entidade. Se eles
não estiverem, a entidade pode estar aceitando uma quantidade ou muito grande ou muito
pequena de riscos. Dessa forma, quando uma organização avalia um objetivo de negócio
proposto, ela deve analisar os potenciais riscos que poderão surgir e determinar seu impacto
sobre o perfil de risco. Um objetivo de negócio que faz com que a organização exceda o apetite
a riscos pode ser modificado ou, talvez, rejeitado.
Se a organização achar não ser capaz de estabelecer objetivos de negócio que prestem suporte ao
alcance da estratégia ao mesmo tempo que permanece de acordo com o apetite a riscos ou as
competências, faz-se necessária uma avaliação ou da estratégia ou do perfil de risco.
Assim como no caso da definição da estratégia, a organização precisa ter uma explicação
razoável de que o objetivo de negócio pode ser alcançado levando em consideração o apetite a
riscos ou os recursos disponíveis para a entidade. A expectativa tem como base as competências
e os recursos da entidade. Quando essa expectativa razoável não existir, a organização deve
escolher ou exceder o apetite a riscos, obter mais recursos ou mudar o objetivo de negócio.
Dependendo da relevância do objetivo de negócio para a estratégia, revisar a estratégia também
poderá ser necessário (veja o Exemplo 7.8).
Exemplo 7.8: Determinação das Implicações de um Objetivo de Negócio Selecionado
Como parte de sua estratégia de cinco anos, uma produtora agrícola está buscando cultivar
produtos orgânicos como um diferencial competitivo. A empresa analisa o custo da
transição para um ambiente orgânico e determina que um investimento significativo será
necessário, o que poderá ameaçar as metas de desempenho financeiro. Dada a importância
de manter o desempenho financeiro, a organização opta por descartar os objetivos de
negócio selecionados.
Em alguns casos, as organizações devem cumprir exigências externas que estabelecem a maneira
pela qual os objetivos de negócio são categorizados para fins de elaboração e apresentação de
informações. Por exemplo, se for exigido à organização que elabore e apresente informações
sobre sua avaliação de risco ambiental como parte do licenciamento para operar, ela
especificamente incluirá esses requisitos em seus objetivos de negócio e em seu relatório.
• Uma empresa de gestão de ativos busca obter um retorno sobre o investimento (return on
investment - ROI) de 5% ao ano sobre a sua carteira.
• Um restaurante estabelece como meta que os pedidos on-line sejam entregues em domicílio
dentro de um período de 40 minutos.
• Uma central de atendimento empenha-se para diminuir as ligações perdidas para 2% de todas
as ligações recebidas.
Ao definir metas, a organização pode influenciar seu perfil de risco. Uma meta agressiva pode
resultar em um perfil de risco maior para o objetivo de negócio em questão. Por exemplo, uma
organização pode definir metas de crescimento agressivas que aumentem os riscos da execução.
Por outro lado, uma organização pode definir uma meta de crescimento mais conservadora que
reduzirá o risco de não atingimento da meta, mas isso pode também fazer com que ela não esteja
mais alinhada com a consecução do objetivo de negócio.
O Exemplo 7.9 apresenta de forma mais completa os objetivos de negócio avaliados nos níveis
da entidade, da divisão, da unidade operacional e da área, juntamente com as metas de suporte.
O exemplo mostra como os objetivos de negócio aumentam em especificidade à medida que eles
são repassados a toda a entidade e em todos os níveis.
Exemplo 7.9: Amostra de Objetivos do Negócio por nível
Entendendo a Tolerância
A tolerância está estreitamente ligada ao apetite pelo risco — a variação aceitável no
desempenho. Ela descreve a escala de resultados aceitáveis em relação à consecução de um
objetivos de negócio de acordo com o apetite a riscos. Ela também proporciona uma abordagem
para mensurar se os riscos associados à consecução da estratégia e dos objetivos de negócio são
aceitáveis ou não.
Diferentemente do apetite a riscos, que é amplo, a tolerância é tática e focada, ou seja, ela deve
ser expressa em unidades mensuráveis (preferencialmente por meio das mesmas unidades
utilizadas para os objetivos de negócio), aplicada a todos os objetivos de negócio e executada por
toda a entidade. Ao estipular a tolerância, a organização avalia a importância relativa de cada
objetivo de negócio e de cada estratégia. Por exemplo, para esses objetivos considerados
altamente importantes para a consecução da estratégia da entidade ou quando uma estratégia for
altamente importante para a missão e a visão da entidade, a organização poderá querer
estabelecer um nível mais baixo de tolerância. A tolerância enfoca objetivos e desempenho, não
riscos específicos.
Uma grande empresa de engarramento de bebidas define como meta ter não mais de cinco
incidentes de tempo perdido por ano e define que a tolerância deve ser de zero a sete
incidentes. A variação que excede o teto da faixa de desempenho entre cinco e sete
representa incidentes maiores e que podem resultar em tempo perdido e em um aumento no
número de reclamações de saúde e segurança, o que é um resultado negativo para a
entidade. Por outro lado, a variação que fica aquém do piso da faixa de desempenho de até
cinco incidentes representa um benefício: um número menor de incidentes com tempo
perdido e de reclamações de saúde e segurança. A organização também precisa analisar o
custo de empenhar-se para conseguir manter um índice zero de incidentes que gerem tempo
perdido.
A proporção tanto da variação que excede o teto da faixa de desempenho como da variação que
fica aquém do piso da faixa de desempenho depende de vários fatores. Uma organização
estabelecida, por exemplo, com vasta experiência, pode mover a variação que excede o teto da
faixa de desempenho e a variação que fica aquém do piso da faixa de desempenho para mais
perto da meta à medida que ela adquire experiência em gerenciá-las a um nível de variação mais
baixo. O apetite a riscos da entidade é outro fator: uma entidade com um apetite a riscos mais
baixo pode preferir ter uma variação no desempenho menor do que a de uma entidade com um
apetite a riscos maior.
É comum que as organizações assumam que a variação que excede o teto da faixa de
desempenho seja um benefício, e que a variação que fica aquém do piso da faixa de desempenho
seja um risco. Exceder uma meta geralmente indica eficiência ou bom desempenho, e não
somente que uma oportunidade está sendo explorada. No entanto, estar aquém da meta não
necessariamente significa um fracasso: depende do objetivo da organização e de como a variação
é definida (veja o Exemplo 7.11).
Exemplo 7.11: Declarações sobre Tolerância
As organizações devem também entender o relacionamento entre custo e tolerância para que
possam lidar de forma eficaz com os riscos associados. Geralmente, quanto menor for a
tolerância, maior será a quantidade de recursos necessários para operar de acordo com aquele
nível de desempenho. Considere, por exemplo, as companhias aéreas, que monitoram a
pontualidade das chegadas e das partidas dos voos. Uma companhia aérea pode decidir
suspender várias rotas devido ao fato de a pontualidade do desempenho não se enquadrar na
tolerância revisada (reduzida) da companhia aérea. A companhia aérea teria então de ponderar
as implicações de abrir mão da receita de serviço para obter uma variação reduzida em sua meta
de desempenho.
espaço
8. Desempenho
Introdução
Torna-se possível gerar, preservar, realizar e minimizar a diminuição do valor de uma entidade
identificando e avaliando o risco, bem como respondendo a esse risco que pode impactar a
consecução da estratégia e dos objetivos de negócio da entidade. Riscos que tenham origem em
nível de transações podem ser tão disruptivos quanto aqueles identificados no nível da entidade.
Os riscos podem afetar uma unidade operacional ou a entidade como um todo. Os riscos podem
estar altamente correlacionados a fatores no contexto dos negócios ou a outros riscos. Além
disso, as respostas ao risco podem exigir investimentos significativos em infraestrutura ou
podem ser aceitas como parte do processo de fazer negócios. Pelo fato de o risco surgir de várias
fontes, exige-se uma gama de respostas de toda a entidade e em todos os níveis.
Esse componente da Estrutura enfoca as práticas que prestam suporte à organização na tomada
de decisões e na consecução da estratégia e dos objetivos de negócio. Para isso, as organizações
utilizam sua estrutura operacional para desenvolver uma prática que:
• Identifica riscos novos e emergentes para que a administração possa aplicar respostas ao risco
de modo tempestivo.
• Avalia a gravidade do risco, com um entendimento do modo como o risco pode mudar
dependendo do nível da entidade.
A Figura 8.1 mostra que essas práticas são iterativas, e os inputs em uma etapa do processo
geralmente são os outputs da etapa anterior. As práticas são realizadas em todos os níveis e com
responsabilidades e prestação de contas pelo gerenciamento de riscos corporativos apropriado
alinhadas ao nível de gravidade do risco.
Figura 8.1: Ligando Processos de Avaliação de Risco, Entradas, Abordagens e Saídas
espaço
Identificando os Riscos
A organização identifica os riscos novos, emergentes e em constante transformação associados à
consecução da estratégia e dos objetivos de negócio. Ela realiza atividades de identificação para
primeiramente fazer um inventário dos riscos, e depois para confirmar os riscos existentes como
ainda aplicáveis e relevantes. À medida que as práticas de gerenciamento de riscos corproativos
são cada vez mais integradas, o conhecimento e a conscientização dos riscos são atualizados por
meio das operações normais do dia a dia. Algumas entidades complementarão essas atividades
de tempos em tempos para confirmar que o inventário de riscos está completo. Com que
frequência a organização realiza isso depende de quão rapidamente os riscos mudam ou novos
riscos surgem. Quando for provável que os riscos demorarão meses ou anos para se
materializarem, a frequência com que a identificação do risco ocorre pode ser menor do que
quando os riscos são menos previsíveis ou ocorrerem em uma maior velocidade.
• São decorrentes de uma mudança nos objetivos de negócio (p.ex., a entidade adota uma nova
estratégia respaldada por objetivos de negócio ou faz alterações em um objetivo de negócio
existente).
• São decorrentes de uma mudança no contexto do negócio (p.ex., mudanças nas preferências do
consumidor em prol de produtos ambientalmente corretos ou orgânicos que potencialmente
tenham impactos negativos sobre as vendas dos produtos da empresa).
• Estão relacionados a uma mudança no contexto do negócio que pode não ter sido aplicada à
entidade anteriormente (p.ex., uma mudança nas regulamentações que resulte em novas
obrigações para a entidade).
• Foram previamente identificados mas foram alterados depois disso devido a uma modificação
no contexto de negócio, no apetite pelo risco ou nas premissas de apoio (por exemplo, um
aumento positivo nas previsões de venda que afetam a capacidade de produção).
Riscos emergentes são decorrentes de mudanças no contexto de negócio, e eles podem alterar o
perfil de risco da entidade no futuro. Observe que os riscos emergentes podem não ser
compreendidos suficientemente de modo que possam ser identificados e avaliados com precisão
logo que são reconhecidos, pondendo ser necessária uma nova identificação de maneira mais
frequente. Além disso, as organizações devem relatar informações em evolução sobre riscos
emergentes.
A identificação de riscos novos e emergentes ou mudanças nos riscos existentes permitem que a
organização tenha uma visão prospectiva e concede a ela tempo para avaliar o potencial nível de
gravidade dos riscos, assim como tirar vantagem dessas mudanças. Por sua vez, dispor de tempo
para avaliar o risco permite que a organização antecipe a forma como irá responder a ele ou
avalie a estratégia e os objetivos de negócio da entidade conforme necessário.
Alguns riscos podem permanecer desconhecidos — riscos para os quais não havia expectativa
razoável de que seriam considerados pela organização durante a identificação do risco. Esses
riscos geralmente estão relacionados a mudanças no contexto dos negócios. Por exemplo, as
ações ou intenções futuras da concorrência são geralmente desconhecidas, mas elas podem
representar novos riscos para o desempenho da entidade.
•O maior papel de big data e data analytics: Como as organizações podem acessar, transformar
e analisar de modo eficaz e eficiente grandes volumes de fontes de dados estruturados e não
estruturados.
•Esgotamento dos recursos naturais: Menor disponibilidade e maior custo dos recursos naturais
que impactam a procura, a oferta e o local dos produtos e dos serviços.
•Mobilidade das forças de trabalho: Forças de trabalho móveis e remotas que incorporam
atividades novas às operações diárias de uma entidade.
•Escassez da força de trabalho: Os desafios de manter uma força de trabalho com as habilidades
e os níveis de escolaridade exigidos pelas entidades para que seja possível prestar suporte ao
desempenho.
A Figura 8.2 ilustra como os riscos que têm impacto sobre os diferentes níveis da entidade
formam parte do inventário dos riscos:
• O risco 3 tem impacto sobre diferentes objetivos de negócio que depois se agregam e têm
impacto sobre os objetivos de negócio da entidade.
• O risco 4 tem impacto sobre um único objetivo de negócio e que também tem impacto sobre os
objetivos de negócio da entidade.
Figura 8.2: Risco Impacta em Diferentes Níveis
Pelo fato de o impacto dos riscos não poder ser limitado a níveis ou áreas específicas, as
atividades de identificação devem capturar todos os riscos, e independentemente de onde são
identificados, todos os riscos formam parte do inventário de riscos da entidade. Por exemplo,
uma entidade que identifica riscos no nível da estratégia relativamente à governança do conselho
e à consecução das metas de diversidade deve também considerar esses riscos no nível dos
objetivos de negócio. Ou uma organização que identifica o risco de perder o prazo de
faturamento de um cliente no nível dos objetivos de negócio deve considerar o impacto daquele
risco no nível da entidade.
Existente
Novo
Emergente
• Omonitoramento dos dadosde eventos passados pode ajudar a prever ocorrências futuras.
Embora os dados históricos geralmente sejam utilizados na avaliação de riscos — tendo como
base a experiência real com o nível de gravidade — eles podem também ser usados para
entender interdependências e desenvolver modelos preditivos e causais. As bases de dados
desenvolvidas e mantidas por prestadores de serviços terceirizados que coletam informações
sobre incidentes e prejuízos sofridos por setor ou região podem manter a organização
informada sobre potenciais riscos. Elas geralmente são disponibilizadas mediante assinatura.
Em alguns setores, consórcios são formados para compartilhar dados internos.
•Nas entrevistas é solicitado ao indivíduo que fale sobre seu conhecimento de eventos passados e
potenciais. Para obter informações de grandes grupos de pessoas, questionários ou pesquisas
podem ser utilizados.
•Os principais indicadores de riscos são medidas qualitativas ou quantitativas elaboradas para
identificar mudanças nos riscos existentes. Os indicadores de riscos não podem ser
confundidos com as medidas de desempenho, que são geralmente retrospectivas por natureza.
• Osworkshops reúnem indivíduos de diferentes áreas e níveis e têm como objetivo utilizar o
conhecimento coletivo do grupo e elaborar um rol de riscos à medida que eles se relacionarem
à estratégia e aos objetivos de negócio da entidade.
Sejam quais forem as abordagens selecionadas, uma organização avalia como as mudanças nas
premissas que servem de base para a estratégia e para os objetivos de negócio podem gerar riscos
novos ou emergentes. Por exemplo, em um caso a administração presumiu uma taxa de câmbio
de acordo com a moeda local para a importação de matérias primas. No entanto, a taxa de
câmbio real caiu mais de 10%, o que criou um novo risco para a consecução das metas gerais de
lucratividade. Além disso, a administração considerou o contexto dos negócios o panorama
econômico esperado para a entidade, as preferências em evolução do cliente e as taxas de
crescimento previstas quando da identificação dos riscos.
Ao identificar os riscos, a organização deve ter como objetivo descrever precisamente o próprio
risco, em vez de deter-se sobre outras considerações, tais como as causas principais do risco, os
possíveis impactos do risco, ou o efeito de uma implementação inadequada. A Figura 8.4
compara descrições dessas outras considerações, as quais são menos úteis, para tornar mais
precisas as descrições de risco, as quais são preferidas.
Figura 8.4: Descrevendo Riscos com Precisão
• Permite à organização gerenciar de maneira mais eficaz o inventário dos riscos e entender a
relação com a estratégia de negócios, com os objetivos e com o desempenho.
• Permite à organização avaliar de maneira mais precisa a gravidade do risco no contexto dos
objetivos de negócio.
Dessa forma, as organizações são incentivadas a descrever os riscos utilizando uma estrutura-
padrão de texto. Há duas abordagens possíveis:
Enquadrando o Risco
A teoria da perspectiva, que explora a tomada de decisões dos seres humanos, afirma que os
indivíduos não são neutros em relação ao risco; em vez disso, uma resposta à perda tende a ser
mais extrema do que uma resposta ao ganho. E com isso vem a tendência de interpretar de
maneira errada as probabilidades e as reações às melhores soluções. Além disso, a maneira pela
qual o risco é enquadrado — enfocando as vantagens (um possível ganho) ou as desvantagens
(uma possível perda) — frequentemente influencia a resposta. Tendo isso em mente, considere a
importância de descrever o risco com uma estrutura consistente de frases para diminuir o viés do
enquadramento. O exemplo 8.1 apresenta uma ilustração do enquadramento.
Exemplo 8.1: Enquadramento
1. Um ganho certo de $ 240, ou uma chance de 25% de ganhar $ 1.000 e uma chance de
75% de ganhar nada.
2. Um prejuízo certo de $ 750, ou uma chance de 75% de perder $ 1.000 e uma chance de
25% de perder nada.
No primeiro tipo, a maioria das pessoas seleciona um “ganho certo de $ 240,” porque ele é
enquadrado como positivo. No segundo tipo, a maior parte das pessoas seleciona uma
“chance de 75% de perder $ 1.000,” porque nesse caso o prejuízo é que é mais certo. De
acordo com a teoria prospectiva, as pessoas não querem arriscar aquilo que têm ou pensam
que têm, mas elas têm uma tolerância maior ao risco quando acham que conseguem
minimizá-lo.
22
Esta Estrutura faz uma diferenciação entre acontecimentos positivos e oportunidades. Os acontecimentos positivos referem-se
àqueles casos em que o desempenho supera a meta original. As oportunidades referem-se a uma ação ou possível ação que gera
ou altera as metas ou as abordagens de geração, de preservação e de realização de valor.
espaço
Avaliando o risco
Os riscos identificados e incluídos no inventário de uma entidade são avaliados com o objetivo
de entender o nível de gravidade de cada risco no que diz respeito à consecução da estratégia e
dos objetivos de negócio da entidade. As avaliações de risco respaldam a seleção das respostas.
Dada a gravidade dos riscos identificados, a administração decide a respeito dos recursos e das
capacidades a serem utilizadas para que o risco permaneça de acordo com o apetite a riscos da
entidade.
A figure 8.5 ilustra o inventário dos riscos mapeados para a estratégia e os objetivos de negócio.
Em uma avaliação de risco de cima para baixo na entidade, pode-se considerar o risco 4 como de
baixo nível de gravidade. Em uma avaliação no nível da unidade de negócios, o risco 4 pode ser
considerado mais significativo e assim ser mais grave.
Figura 8.5: Avaliando os Riscos em Diferentes Níveis
Para que as práticas de gerenciamento de risco sejam completas, uma avaliação de cima para
baixo considera os riscos identificados e avaliados em níveis mais baixos. Por exemplo, uma
avaliação no nível da entidade determinaria os riscos, mas deveria também considerar os riscos
graves identificados no nível dos objetivos de negócio da entidade, tais como o risco 2 para
determinar se, considerando a gravidade, são uma preocupação da entidade.
• No cenário 1, a organização reconhece que o risco poderia ter impacto sobre o objetivo de
negócio geral e no nível da entidade. Por exemplo, um erro de segurança em um processo
industrial pode, considerando sua magnitude, ter impacto sobre a entidade como um todo.
• No cenário 2, a gravidade do risco diminui em níveis mais altos da entidade, mostrando que
não tem o mesmo possível impacto sobre a entidade como um todo. Por exemplo, a lista de
pendências nas operações pode representar um risco para o processamento da gestão da
unidade operacional, mas pode não ter um impacto significativo no objetivo geral do negócio,
e no nível da entidade pode ter pouco ou nenhum impacto. No entanto, caso a lista de
pendências cresça, o risco poderia aumentar para o cenário 3 ou mesmo para o cenário 1.
• No cenário 3, dois riscos individualmente têm avaliação moderada de gravidade, mas juntos
eles têm impacto sobre os objetivos de negócio e a entidade de maneira mais significativa, e
por isso são avaliados como mais graves. Por exemplo, a incapacidade de recrutar funcionários
para áreas de apoio comuns tais como de conhecimento jurídico especializado representa um
risco baixo para cada unidade operacional, mas começa a ter impacto sobre a entidade de
maneira mais significativa no nível dos objetivos de negócio, já que a tendência poderia ter um
impacto negativo sobre a capacidade de consecução de um objetivo de negócio largamente
dependente do conhecimento jurídico especializado. No entanto, no nível da entidade, aquele
risco pode não ser tão significativo considerando a importância do objetivo de negócio para a
estratégia.
• No cenário 4, determinados riscos têm impacto sobre a entidade como um todo. Por exemplo, o
risco de uma oferta de aquisição por parte dos concorrentes tem impacto sobre a estratégia da
entidade como um todo, mas pode não ter impacto sobre os objetivos no nível da entidade
individualmente.
O período utilizado para avaliar os riscos deve ser o mesmo que aquele usado para a estratégia e
os objetivos de negócio relacionados. Por exemplo, caso os objetivos de negócio tenham como
foco um horizonte de três anos, a administração consideraria os riscos naquele período. Em
virtude de a estratégia e os objetivos de negócio de muitas entidades enfocarem períodos a curto
e médio prazos, a administração geralmente prioriza os riscos associados a esses períodos. No
entanto, na avaliação dos riscos da missão, da visão ou da estratégia, o período pode ser mais
longo. A administração precisa estar ciente dos períodos mais longos e não ignorar os riscos que
podem surgir ou ocorrer posteriormente.
Além disso, os riscos emanam de várias fontes e resultam em diferentes impactos. As causas
principais podem ter um impacto positivo ou negativo sobre a avaliação de um risco. A figura
8.7 mostra a variedade de resultados que podem ser obtidos de uma variedade de fontes.
Figura 8.7: Principais Causas e Impactos do Risco
−Modelos probabilísticos (por exemplo, valor em risco, fluxo de caixa em risco, distribuições
de perdas operacionais) que associam uma gama de acontecimentos e o impacto resultante à
probabilidade desses acontecimentos com base em determinadas premissas. O entendimento
de como cada fator de risco pode variar e ter impacto sobre o fluxo de caixa, por exemplo,
permite à administração mensurar e administrar o risco melhor.
−Modelos não probabilísticos (por exemplo, análise de sensibilidade, análise de cenário) usam
premissas subjetivas para estimar o impacto sobre um objetivo de negócio dos
acontecimentos sem quantificar uma probabilidade associada. Por exemplo, a análise de
cenário permite à administração entender o impacto sobre um objetivo de negócio para
aumentar a lucratividade em diferentes cenários, tais como o de um concorrente lançar um
novo produto, uma disrupção na cadeia de suprimentos ou um aumento nos custos dos
produtos.
A depender de quão complexa e madura a entidade é, a administração pode fazer uso de um grau
de julgamento e de expertise ao elaborar o modelo. Independentemente da abordagem utilizada,
quaisquer premissas devem ser estipuladas de maneira clara.
A gravidade prevista de um risco pode influenciar o tipo de abordagem usada. Para avaliar os
riscos que poderiam ter impactos extremos, a administração pode usar a análise de cenário, mas
para avaliar os efeitos de múltiplos eventos, ela pode encontrar simulações mais úteis (por
exemplo, teste de stress). Por outro lado, riscos altamente frequentes e de baixo impacto podem
ser mais bem adaptados ao rastreamento de dados e à computação cognitiva. Para obterem um
consenso em relação à gravidade do risco, as organizações podem empregar a mesma abordagem
que utilizaram como parte da identificação de riscos.
As avaliações também podem ser realizadas pela entidade por diferentes equipes. Nesse caso, a
organização estabelece uma abordagem para analisar quaisquer diferenças nos resultados da
avaliação. Por exemplo, se uma equipe classificar riscos específicos como "baixos", mas outra
equipe classificá-los como "médios", a administração avalia os resultados para determinar se
existem inconsistências na abordagem, nas premissas e nas perspectivas em relação aos objetivos
ou aos riscos de negócio.
Finalmente, parte da avaliação de risco é buscar entender as interdependências que podem existir
entre os riscos. As interdependências podem ocorrer quando múltiplos riscos afetam um objetivo
de negócio ou quando um risco desencadeia outro. Os riscos podem ocorrer simultânea ou
sequencialmente. Por exemplo, para uma empresa inovadora em tecnologia o atraso no
lançamento de novos produtos resulta em uma perda simultânea de participação no mercado e
em uma diminuição do valor da marca da entidade. O modo como a administração entende as
interdependências será refletido na avaliação do nível da gravidade.
•O risco inerente consiste em riscos para uma entidade que não disponha de ações diretas ou
focadas por parte da administração para alterar seu nível de gravidade.
•O risco residual almejado é a quantidade de risco que uma entidade prefere assumir nos seus
esforços de consecução da estratégia e dos objetivos de negócio, sabendo que a administração
implementará, ou implementou, ações diretas ou focadas para alterar a gravidade do risco.
•O risco residual real é o risco remanescente depois que a administração colocou em prática as
ações para alterar sua gravidade. O risco residual real deve ser igual ao risco residual almejado
ou menor do que ele. Quando o risco residual real exceder o risco almejado, as ações
adicionais que permitam que a administração altere ainda mais a gravidade do risco
posteriormente devem ser identificadas.
A administração pode identificar os riscos para os quais respostas desnecessárias tenham sido
aplicadas. Respostas a riscos redundantes são aquelas que não resultam em uma mudança
mensurável na gravidade do risco. A exclusão de tais respostas pode permitir à administração
alocar os recursos utilizados nessas respostas em outros pontos.
A figura 8.9 ilustra o perfil de risco de um único objetivo de negócio e um determinado nível de
desempenho. Se o nível de desempenho mudar, as mudanças correspondentes em cada um dos
riscos são capturadas. Isso pode levar a novos riscos, à mudança na gravidade dos riscos ou à
remoção dos riscos.
Figura 8.9: Perfil do Risco do Objetivo de Negócio
É o inventário de riscos que constitui a base sobre a qual uma organização é capaz de construir
um perfil de risco (conforme mostrado na Figura 8.9). Cada ponto de dados na curva de risco
representa a combinação e a gravidade dos riscos para aquele objetivo de negócio (conforme
ilustrado de maneira desagregada utilizando um mapa de calor na Figura 8.8). A administração
pode utilizar o perfil de risco em sua avaliação para:
Além disso, a administração avalia como diferentes riscos podem impactar de formas diferentes
o mesmo objetivo de negócio. Por exemplo, uma franquia de loja de hardware identifica o risco
de vendas fracas devido à inexistência de estoques de uma ampla gama de produtos desejados
por um grupo grande de clientes. A administração também tem consciência de que mudanças nos
esforços de marketing e publicidade podem afetar as vendas de maneira significativa. Com foco
no objetivo de negócio de vendas, a administração é capaz de entender melhor os riscos que têm
impacto sobre elas. O entendimento da gravidade de riscos diferentes ao mesmo objetivo de
negócio possibilita à administração tomar decisões conscientes do risco sobre a diversidade dos
produtos em estoque e o orçamento desejado a ser gasto com despesas de marketing e
publicidade para gerenciar o risco de vendas baixas.
Identificando Fatores que Justificam uma Reavaliação
A organização empenha-se para identificar os fatores que justificam uma reavaliação do nível de
gravidade quando necessário. Tais fatores são normalmente mudanças no contexto dos negócios,
mas também podem ser mudanças no apetite a riscos, servindo como indicadores antecipados de
mudanças nas premissas que respaldam a avaliação da gravidade. Os fatores desencadeadores
podem ser um aumento no número de reclamações de clientes, uma mudança desfavorável em
um índice econômico, uma queda nas vendas ou um pico na rotatividade de funcionários.
Também podem vir de um concorrente (por exemplo, o recall do produto de um concorrente por
causa de defeitos).
A gravidade dos riscos e a frequência com a qual ela pode mudar influenciarão a frequência com
que a avaliação poderá ser acionada. Por exemplo, os riscos associados a mudanças nos preços
de commodities podem precisar ser avaliados diariamente, mas os riscos associados a mudanças
no perfil demográfico ou nas preferências do mercado em relação a novos produtos poderão
precisar ser avaliados somente uma vez por ano.
Viés na Avaliação
A administração deve identificar e mitigar o efeito de vieses nas práticas de avaliação de riscos.
Por exemplo, o viés da confiança pode respaldar uma percepção pré-existente de um risco
conhecido. Além disso, como um risco é enquadrado também pode afetar como os riscos são
interpretados e avaliados. Por exemplo, para um determinado risco, pode haver uma gama de
potenciais impactos, cada um com uma probabilidade diferente. Assim, um risco com baixa
probabilidade mas alto impacto tem o mesmo resultado que um risco com alta probabilidade e
baixo impacto; no entanto, um risco pode ser aceitável para a organização enquanto outro não é.
Assim, a maneira pela qual o risco é apresentado à administração e enquadrado para ela é crucial
para minimizar qualquer viés.
O viés pode fazer com que a gravidade de um risco seja subestimada ou superestimada e
restringir o nível de eficácia da resposta ao risco selecionada. Subestimar a gravidade pode
resultar em uma resposta inadequada, deixando a entidade exposta e pode fazê-la violar o seu
apetite a riscos. Superestimar a gravidade de um risco pode resultar na utilização desnecessária
de recursos como forma de responder a tais riscos, gerando ineficiências na entidade. Isso pode
também comprometer o desempenho da entidade ou afetar sua capacidade de identificar novas
oportunidades.
Medidas adicionais, incluindo persistência, velocidade e complexidade, são discutidas no Princípio 14.
23
espaço
Estabelecendo Critérios
As organizações priorizam os riscos para ter uma base concreta para a tomada de decisões sobre
a resposta ao risco e para otimizar a alocação de recursos. Considerando os recursos disponíveis
para a entidade, a administração deve avaliar as ponderações que devem ser feitas relativamente
à alocação de recursos para mitigar um risco em detrimento de outro. A priorização de riscos,
dada sua gravidade, a importância do objetivo de negócio relacionado e o apetite a riscos da
entidade ajuda a administração na tomada de decisões.
•Velocidade: A velocidade com que um risco impacta uma entidade. A velocidade pode afastar
a entidade da variação de desempenho aceitável. (por exemplo, o risco de perturbações
decorrentes de greve de funcionários da alfândega e de portuários afetando o objetivo
relacionado ao gerenciamento eficiente da cadeia de suprimentos).
•Persistência: Por quanto tempo o risco tem impacto sobre a entidade (por exemplo, a
persistência da cobertura de mídia negativa e o impacto sobre as metas de vendas em seguida à
identificação de possíveis falhas nos freios e ao subsequente recall global de carros).
Priorizando Riscos
Os riscos com avaliações de gravidade semelhantes podem ser priorizados de modo diferente.
Isto é, dois riscos podem ser avaliados como "médios", mas a administração pode dar mais
prioridade para um porque ele tem mais velocidade e persistência (veja o Exemplo 8.3), ou
porque a resposta a um risco oferece um maior retorno ajustado ao risco do que outros riscos de
gravidade similar.
O modo como um risco é priorizado geralmente serve de base para as respostas ao risco que a
administração considera. As respostas mais eficazes abordam tanto a gravidade (impacto e
probabilidade) quanto a priorização de um risco (velocidade, complexidade etc.).
Os riscos de prioridade mais alta são mais propensos a ser aqueles que afetam a entidade como
um todo ou surgem no nível da entidade. Por exemplo, o risco de que novos concorrentes
introduzirão novos produtos e serviços no mercado poderá requerer uma maior adaptabilidade e
uma avaliação da estratégia e dos objetivos de negócio da entidade para que ela permaneça
viável e relevante.
A missão de uma empresa de serviços públicos é ser a distribuidora de energia elétrica mais
confiável na região em que ela opera. Um recente aumento na frequência e na persistência
de interrupções no fornecimento indica que a empresa está se aproximando de seu apetite a
riscos, o que faz com que seja menos provável que ela alcance seu objetivo de prestar
serviços confiáveis. Essa situação faz com que uma prioridade mais alta seja acionada para
esse risco. Uma mudança na prioridade pode resultar na necessidade de avaliar a resposta
ao risco, implementar respostas adicionais e alocar mais recursos para reduzir a
probabilidade de o risco infringir o apetite a riscos da organização.
Por meio do processo de priorização de riscos, a administração também reconhece que existem
riscos que a entidade opta por aceitar; ou seja, alguns deles já são considerados como
gerenciados a uma quantidade aceitável para a entidade e para os quais nenhuma resposta
adicional ao risco será contemplada.
As organizações priorizam os riscos de modo agregado quando um único responsável por risco
for identificado ou for provável que uma resposta ao risco comum será aplicada. Isso permite
que os riscos sejam claramente identificados e descritos por meio de uma taxonomia de risco
padronizada, o que permite que riscos comuns sejam priorizados de modo consistente por toda a
entidade. O resultado é uma resposta ao risco mais consistente e mais eficiente do que teria sido
se cada risco tivesse sido priorizado separadamente.
Os responsáveis pelo risco devem fazer uso da prioridade estipulada para selecionar e aplicar as
respostas apropriadas aos riscos no contexto dos objetivos de negócio e das metas de
desempenho. Em muitos casos, o responsável por gerenciar a resposta ao risco e o responsável
por gerenciar o risco podem ser duas pessoas diferentes ou podem estar em níveis diferentes
dentro da entidade. Os responsáveis por gerenciar o risco devem ter autoridade suficiente para
priorizar os riscos com base em suas responsabilidades e prestar contas pelo gerenciamento
eficaz do risco.
Viés na Priorização
A administração deve empenhar-se para priorizar os riscos e gerenciar os objetivos de negócio
concorrentes relacionados à alocação de recursos livre de vieses. Os objetivos de negócio
concorrentes podem incluir garantir recursos adicionais, alcançar medidas de desempenho
específicas, qualificar-se para incentivos e recompensas pessoais ou obter outros resultados
específicos.
Os critérios podem também ser utilizados como medidas para avaliar a gravidade de um risco, conforme discutido no Princípio
24
11.
espaço
•Aceite: Nenhuma medida é tomada para alterar a gravidade do risco. Esta resposta é adequada
quando o risco à estratégia e aos objetivos de negócio já estiver de acordo com o apetite a
riscos da entidade. Um risco que estiver fora dos limites do apetite a riscos da entidade e que a
administração busca aceitar geralmente exigirá a aprovação do conselho ou de outros órgãos
de supervisão.
•Recusa: Uma medida é tomada para remover o risco, o que pode significar suspender uma linha
de produção, recusar-se a expandir por um novo mercado geográfico ou vender uma divisão.
A opção por evitar sugere que a organização não era capaz de identificar uma resposta que
pudesse reduzir o impacto do risco a um nível aceitável de gravidade.
•Busca: Uma medida é tomada que aceita o risco maior de atingir um desempenho melhor. Isso
pode envolver a adoção de estratégias de crescimento mais agressivas, a expansão de
operações ou o desenvolvimento de novos produtos e serviços. Ao escolher explorar o risco, a
administração entende a natureza e a extensão de quaisquer mudanças necessárias para
alcançar o desempenho almejado enquanto não ultrapassa os limites de tolerância aceitáveis.
•Redução: Uma medida é tomada para reduzir a gravidade do risco. Isso envolve qualquer uma
das diversas decisões de negócio diárias que reduz o risco a um nível de gravidade alinhado ao
perfil de risco residual almejado e ao apetite a riscos da entidade.
Essas categorias de respostas ao risco exigem que este seja gerenciado no contexto dos negócios,
e de acordo com os objetivos, as metas de desempenho e o apetite a riscos da entidade. Em
alguns casos, a administração pode precisar analisar outro plano de ação, incluindo o seguinte:
•Avaliação do objetivo de negócio: A organização opta por avaliar e potencialmente revisar o
objetivo de negócio em decorrência da gravidade dos riscos e da tolerância identificados. Isso
poderá ocorrer quando outras categorias de respostas ao risco não representarem os planos de
ação almejados para a entidade.
As organizações poderão também optar por exceder o apetite a riscos se o efeito de permanecer
nos limites do apetite for considerado maior do que a potencial exposição decorrente de excedê-
lo. Por exemplo, a administração pode aceitar os riscos associados à aprovação acelerada de
novos produtos em prol de oportunidades e da vantagem competitiva relacionadas ao lançamento
mais rápido desses produtos no mercado. Quando uma entidade aceita reiteradamente os riscos
que se aproximam de seu apetite a riscos ou o ultrapassem como parte de suas operações
normais, uma avaliação e um ajuste do apetite a riscos da entidade podem ser necessários.
•Contexto dos negócios: As respostas ao risco são selecionadas ou customizadas de acordo com
o setor, a atuação geográfica, o ambiente regulatório, a estrutura operacional ou outros fatores.
•Apetite a riscos: A resposta ao risco ou traz o risco para os limites do apetite da entidade ou
mantém sua situação atual. A administração identifica a resposta que enquadra o risco residual
no apetite estipulado. Ela pode ser, por exemplo, uma combinação entre compra de apólice de
seguro e implementação de repostas internas para reduzir o risco a uma gama de tolerância.
•Gravidade do risco: A resposta ao risco deve refletir o tamanho, o escopo e a natureza dos
riscos e seu impacto sobre a entidade. Por exemplo, no ambiente de operações ou produção,
onde os riscos são influenciados por mudanças em termos de volume, a resposta proposta é
dimensionada para adaptar-se a uma atividade maior.
Geralmente, alguma das diversas respostas ao risco alinhará o risco residual à tolerância, e, às
vezes, uma combinação de respostas poderá apresentar o melhor resultado. Por outro lado, uma
resposta, às vezes, impactará vários riscos, e, nesse caso, a administração pode decidir que
medidas adicionais para abordar um risco específico não se fazem necessárias.
A resposta ao risco pode mudar o perfil de risco (veja o Exemplo 8.5). Assim que a
administração seleciona uma resposta ao risco, atividades de controle25tornam-se necessárias para
garantir que essa resposta ao risco seja executada conforme pretendido. A administração deve
reconhecer que o risco é gerenciado, mas não eliminado. Alguns riscos residuais sempre
existirão, não somente porque os recursos são limitados, mas por causa da incerteza futura e das
limitações inerentes a todas as tarefas.
Uma empresa de seguros implementa respostas ao risco para abordar novos requisitos
regulatórios em vigor no setor de seguros. Essas respostas exigirão que a empresa faça
investimentos adicionais em sua infraestrutura de tecnologia e mudanças em seus processos
atuais e aumente sua equipe de profissionais para ajudar com a implementação de modo a
atingir seus objetivos de cumprimento das exigências dos órgãos reguladores.
Considerações Adicionais
A seleção de uma resposta ao risco pode introduzir riscos novos que não foram identificados
anteriormente ou pode ter consequências indesejadas. Por exemplo, para o fruticultor no
Exemplo 8.5, o risco de enchentes prejudicarem a colheita foi diminuído pela aquisição da
apólice de seguros; no entanto, o fazendeiro pode agora enfrentar o risco de um baixo fluxo de
caixa.
25
As atividades de controle são discutidas na publicação Controles Internos — Estrutura Integrada.
espaço
Com a visão do portfolio, a administração está bem posicionada para determinar se o perfil de
risco residual da entidade está alinhado ao apetite geral por riscos. O mesmo risco em unidades
diferentes pode ser aceitável para as unidades operacionais, mas quando considerados de modo
agregado o cenário pode ser outro. Coletivamente, o risco pode exceder o apetite a riscos da
entidade como um todo, e, nesse caso, respostas ao risco adicionais ou diferentes serão
necessárias. Por outro lado, um risco pode não ser aceitável em uma unidade, mas pode
enquadrar-se na escala de outras. Por exemplo, algumas unidades operacionais possuem riscos
mais altos do que as outras, mas o risco geral permance nos limites do apetite a riscos da
entidade. E nos casos em que uma visão de carteira mostra que os riscos são significativamente
menores do que o apetite a riscos da entidade, a administração poderá decidir motivar cada um
dos gerentes das unidades operacionais a aceitar maior risco em certas áreas, com vistas a
aumentar o valor da organização.
Uma visão do portfolio também pode ser representada graficamente indicando os tipos e a
quantidade de riscos assumidos em comparação com o apetite a riscos da entidade para cada
área, estratégia e objetivo de negócio organizacionais. A visão do portfolio na Figura 8.10 ilustra
o alinhamento dos riscos aos objetivos de negócio e a relação entre os diferentes objetivos.
Na elaboração de uma visão de risco, há quatro níveis em ordem crescente de integração (do
mínimo para o máximo):
•Integração Mínima — Visão do Risco: De acordo com a visão centrada no risco, a entidade
identifica e analisa os riscos individualmente. O foco predominante é no evento de risco
subjacente em vez de no objetivo; por exemplo, o risco de uma violação que tenha impacto
sobre o cumprimento das regulações locais pela entidade.
•Integração Parcial — Visão do Perfil de Risco: Ao adotar uma visão mais integrada, uma
organização enfoca os objetivos de negócio e os riscos que se alinham com aqueles objetivos
(por exemplo, todos os objetivos que possam sofrer o impacto dos riscos relacionados a
compliance). Além disso, dependências que possam existir entre os objetivos de negócio são
identificadas e consideradas. Por exemplo, um objetivo de aumentar a excelência operacional
pode ser um pré-requisito para reforçar o balanço patrimonial e aumentar a participação de
mercado. Essa visão vale-se de informações utilizadas para criar uma visão centrada no risco
ou uma visão da categoria de risco.
•Integração Plena — Visão do portfolio: Nesse nível, o foco muda para a estratégia geral da
entidade e para os objetivos de negócio. Uma maior integração viabiliza a identificação, a
avaliação e a análise do risco, além de uma resposta a ele nos níveis adequados de tomada de
decisões. Os conselhos e a administração dão mais atenção à consecução da estratégia, ao
passo que a responsabilidade e o gerenciamento dos objetivos de negócio e dos riscos
individuais no inventário de riscos são promovidos pela entidade como um todo. Utilizando o
mesmo exemplo, o conselho analisa e questiona a administração sobre como a entidade está
aumentando a excelência operacional incluindo a administração dos riscos relacionados ao
cumprimento das obrigações regulatórias.
• Compensam outros riscos atuando como uma cobertura natural contra riscos.
• Mostram uma correlação positiva ou negativa com mudanças ocorrendo na gravidade dos
outros riscos.
Utilizando a Figura 8.10 como exemplo, uma organização elabora sua visão do portfolio e
observa as seguintes características:
•O risco de oscilações cambiais também pode funcionar como uma proteção natural pela qual
flutuações cambiais em um país compensam flutuações em outro.
O teste de stresse ajuda a organização a entender como o formato ou a altura da curva de risco
pode responder a possíveis mudanças. Por exemplo:
• A validação de eventos que podem tornar-se fontes de disrupção e fazer com que a curva de
risco ultrapasse o apetite pelo risco (por exemplo, o tamanho de uma possível falta de recursos
que tem impacto sobre a viabilidade do negócio, o que seria representado pela intersecção
entre a curva de risco e o apetite a riscos da entidade.
• O quão a curva de risco pode mover para cima ou para baixo como resposta às mudanças (por
exemplo, confirmando o quanto as mudanças nos indicadores de saúde econômica, tais como
níveis de desemprego e produto nacional bruto representam uma piora suficiente no contexto
dos negócios e fazendo com que a curva de risco mova para cima).
• As respostas ao risco que podem fazer com que as seções da curva tornem-se mais planas (por
exemplo, a diversificação de produtos, a elaboração de novas estratégias de hedge financeiro
ou a aquisição de apólices de seguro adicionais).
• A facilidade com que a organização pode mover-se ao longo da curva. A velocidade e agilidade
da organização ao tomar decisões e mover-se ao longo da curva de risco para uma nova
intersecção desejada de risco e desempenho (por exemplo, a capacidade e a velocidade do
ajuste dos volumes de produção como resposta a mudanças nas vendas).
Essas práticas ajudam a avaliar a capacidade de adaptação da entidade. Elas também ajudam a
administração a contestar as premissas que serviram de base para a seleção da estratégia e para a
avaliação do perfil de risco da entidade. Para tal, a análise da visão do portfolio pode também
fazer parte da avaliação que a organização faz na seleção de uma estratégia ou no
estabelecimento dos objetivos de negócio. A Figura 8.11 mostra a visão do portfolio de risco.
Figura 8.11: Perfil de Risco Mostrando o Risco
como um Portfolio
espaço
9. Análise e Revisão
Introdução
A estratégia ou os objetivos de negócio, assim como as práticas e competências de
gerenciamento de riscos corporativos da entidade, podem mudar ao longo do tempo conforme a
entidade adapta-se a um contexto de negócios em transformação. Além disso, o contexto de
negócios no qual a entidade opera também pode mudar, fazendo com que as práticas atuais não
se apliquem mais ou não sejam mais suficientes para respaldar os objetivos de negócio atuais ou
atualizados. Conforme necessário, a organização analisa suas práticas ou complementa suas
competências.
espaço
Ambiente Interno
•Crescimento rápido: Quando as operações se expandem rapidamente, as estruturas, os
processos empresariais, os sistemas de informação ou os recursos existentes podem ser
afetados. Os sistemas de informação podem não ser capazes de atender de modo eficaz aos
requisitos de informação sobre riscos devido ao aumento no volume de transações. Os papeis e
responsabilidades de supervisão de riscos podem precisar ser redefinidos à luz das mudanças
organizacionais e geográficas devido a uma aquisição. Os recursos podem ser forçados até o
ponto em que as atuais respostas ao risco e as medidas para gerenciá-lo são destruídas. Por
exemplo, os supervisores podem não ter êxito em adaptar-se a níveis de atividade mais
elevados que exigem a adição de turnos na área de produção ou o aumento do número de
profissionais.
•Inovação: Sempre que é lançada uma inovação, as respostas ao risco e as medidas para
gerenciá-lo provavelmente precisarão ser modificadas. Por exemplo, lançar competências de
vendas por meio de dispositivos móveis poderá exigir controles de acesso específicos da
tecnologia em questão. Os usuários poderão precisar de treinamento. A tecnologia de
inovação pode também aprimorar o gerenciamento de riscos corporativos. Por exemplo, um
novo sistema de uso de dispositivos móveis que captura informações sobre vendas
anteriormente indisponíveis torna a administração capaz de monitorar o desempenho, prever as
potenciais vendas e tomar decisões sobre o inventário em tempo real.
Ambiente Externo
•Mudança no ambiente regulatório ou econômico: Mudanças nas normas regulatórias ou na
economia podem resultar em aumento das pressões concorrenciais, em mudanças nos
requisitos operacionais e em riscos diferentes. Se uma falha em grande escala nas operações,
na elaboração e apresentação de informações e no compliance ocorrer em uma entidade, os
órgãos reguladores poderão introduzir normas regulatórias abrangentes que afetam todas as
entidades dentro de determinado setor. Por exemplo, se material tóxico for lançado em uma
área povoada ou ambientalmente sensível, poderá haver novas restrições de transporte por
todo o setor capazes de afetar a logística de embarque de mercadorias da entidade. Se uma
entidade de capital aberto for vista como uma empresa de pouca transparência, requisitos mais
rígidos de elaboração e apresentação de informações poderão ser estabelecidos por parte dos
órgãos reguladores para todas as empresas de capital aberto. A revelação de que pacientes
estão sendo tratados de forma precária em uma unidade de saúde pode levar à estipulação de
requisitos de cuidados à saúde adicionais para todas as unidades de saúde. E um ambiente
mais competitivo pode fazer com que os indivíduos tomem decisões que não estão alinhadas
ao apetite a riscos da entidade, fazendo, assim, com que suas exposições ao risco aumentem.
Cada uma dessas mudanças poderá exigir que a organização examine minuciosamente o
desenho e a aplicação de seu gerenciamento de riscos corporativos.
•Quais riscos estão ocorrendo que podem estar afetando o desempenho? A análise do
desempenho confirma se os riscos foram previamente identificados ou se riscos novos e
emergentes ocorreram. A organização também analisa se os atuais níveis de risco estão nos
limites de tolerância. Por exemplo, a análise do desempenho ajuda a confirmar que o risco de
atrasos devido a exigências adicionais de alvarás para construção ocorreu e afetou o número de
novos escritórios abertos, e se o número de escritórios a serem abertos está dentro da faixa de
desempenho aceitável.
•A entidade estava assumindo riscos suficientes para atingir sua meta? Quando uma
entidade não tiver cumprido sua meta, ela precisará determinar se isso aconteceu devido a
riscos que estavam impactando a consecução da meta ou se os riscos assumidos eram
insuficientes para prestar suporte ao alcance da meta. Usando o mesmo exemplo, supõe-se
que a entidade abra somente três escritórios. Nesse caso, a administração observa que as
equipes de planejamento e logística estão operando abaixo da capacidade e que outros recursos
reservados para prestar suporte à abertura de novos escritórios não foram utilizados. A
entidade assumiu riscos insuficientes, apesar de ter alocado recursos.
•A estimativa da quantidade de riscos foi precisa? Quando o risco não tiver sido avaliado com
precisão, a organização se pergunta por quê. Para responder a essa pergunta, a organização
deve contestar o entendimento do contexto dos negócios e as premissas que serviram de base
para a avaliação inicial. Ela deve também determinar se informações novas que ajudariam a
aperfeiçoar a avaliação foram disponibilizadas. Por exemplo, suponha uma entidade que abra
cinco escritórios e observa que a quantidade de riscos estimada estava muito baixa em
comparação com os tipos e a quantidade de riscos que ocorreram (por exemplo, mais
problemas, atrasos, e eventos inesperados do que inicialmente previsto).
Se uma organização determina que o desempenho não se enquadra em sua variação aceitável ou
que o desempenho almejado resulta em um perfil de risco diferente do esperado, ela poderá
precisar:
•Avaliar a cultura: Uma organização pode querer analisar a cultura e estipular se está adotando
as medidas de uma maneira consciente dos riscos. A organização sente-se confortável em
assumir riscos suficientes para ser bem-sucedida ou tem a tendência de assumir uma
quantidade exagerada de riscos e enfrentar resultados negativos?
•Analisar o desempenho almejado: Uma organização pode optar por revisar o nível do
desempenho almejado para refletir um entendimento melhor da razoabilidade dos potenciais
resultados do desempenho e a gravidade correspondente dos riscos para o objetivo de negócio.
•Reavaliar a gravidade dos resultados de risco: Uma organização pode realizar novamente a
avaliação de riscos enfocando aqueles que sejam relevantes, e os resultados poderão mudar
com base nas mudanças ocorridas no contexto dos negócios, na disponibilidade de novos
dados ou informações que permitam uma avaliação mais precisa ou nas contestações das
premissas que serviram de base para a avaliação inicial.
•Avaliar como os riscos são priorizados: Uma organização pode aproveitar a oportunidade para
aumentar ou diminuir a prioridade dos riscos identificados para prestar suporte à realocação de
recursos. A mudança reflete uma avaliação revisada dos critérios de priorização previamente
aplicados.
•Analisar as respostas ao risco: Uma organização pode considerar alterar ou adicionar repostas
para alinhar o risco com o desempenho almejado e com o seu perfil de risco. No caso de
riscos que são reduzidos em termos de gravidade, a organização poderá transferir recursos para
outros riscos ou objetivos de negócio. No caso de riscos que aumentam em termos de
gravidade, a organização poderá reforçar as respostas com processos, profissionais,
infraestrutura ou outros recursos adicionais. Como parte da análise das respostas aos riscos, a
organização poderá também considerar o monitoramento de atividades desenvolvidas e
implementadas como parte dos controles internos.26
•Analisar o apetite a riscos: Medidas corretivas são geralmente tomadas para manter ou restaurar
o alinhamento entre o perfil de risco e o apetite a riscos da entidade, podendo também
estender-se ao processo de revisão. No entanto, essa medida requer avaliação e aprovação do
conselho ou de outro órgão de supervisão de riscos.
Quando o monitoramento feito reiteradamente identifica novos riscos que não foram
identificados por meio das práticas de identificação de riscos da organização ou quando o risco
real for inconsistente com as classificações de gravidade, a administração deverá determinar se
uma avaliação das práticas de gerenciamento de riscos corporativos se faz necessária. Uma
discussão mais detalhada sobre a análise das práticas de avaliação de riscos pode ser encontrada
no Princípio 17.
Uma medida corretiva pode incluir a realocação de recursos, a análise dos objetivos de negócio
ou a exploração de estratégias alternativas (veja o Exemplo 9.1).
Exemplo 9.1: Análise das Competências da Entidade
26
Informações adicionais sobre as atividades de monitoramento são discutidas em Controles Internos – Estrutura Integrada.
espaço
Buscando Melhorias
Até as entidades com um gerenciamento de riscos corporativos adequado podem ser ainda mais
eficientes. Ao incorporarem avaliações contínuas às práticas de negócio, as organizações podem
identificar sistematicamente potenciais melhorias no gerenciamento de riscos corporativos.
Avaliações separadas também podem ser úteis.27 A busca de um melhor gerenciamento de riscos
corporativos deve ocorrer na entidade como um todo (veja o Exemplo 9.2).
Uma agência governamental aprender que têm práticas mais robustas para o
estabelecimento e a implantação de competências de governança e para a incorporação da
cultura desejada. De maneira alternativa, as práticas da organização de estabelecer e
implementar competências de informação e comunicação apresentam oportunidades de
melhoria. Embora a administração monitore as oportunidades de melhoria para todos os
componentes do gerenciamento de riscos corporativos, ela enfica o desenvolvimento das
práticas de informação e comunicação;
A administração busca melhorias contínuas por toda a entidade (áreas, unidades operacionais e
divisões) para aumentar a eficiência e a utilidade do gerenciamento de riscos corporativos em
todos os níveis. As oportunidades de reavaliar e aumentar a eficiência e a utilidade podem
ocorrer em qualquer uma das seguintes áreas:
•Nova tecnologia: Uma nova tecnologia pode oferecer uma oportunidade de aumentar a
eficiência. Por exemplo, uma entidade que utiliza dados de satisfação dos clientes acha que
eles são volumosos para serem processados. Para aumentar a eficiência, ela implementa uma
nova tecnologia de coleta de dados que indica os pontos-chave dos dados de modo rápido e
preciso.
•Apetite a riscos: A análise do desempenho esclarece os fatores que afetam o apetite a riscos da
entidade. Ela também proporciona à administração a oportunidade de aprimorar seu apetite a
riscos. Por exemplo, a administração pode monitorar o desempenho de um novo produto
dentro de um período de um ano e avaliar a volatilidade do mercado. Se a administração
determinar que o mercado está demonstrando um bom desempenho e uma volatilidade menor
do que a prevista inicialmente, a organização poderá responder aumentando seu apetite a
riscos para iniciativas semelhantes futuras.
•Categorias de Risco: Uma organização que busca por melhorias continuamente pode identificar
padrões à medida que os negócios passam por mudanças, o que pode fazer com que ela revise
suas categorias de risco. Por exemplo, as categorias de risco de uma entidade não incluem
riscos cibernéticos, mas, agora que a entidade decidiu oferecer vários produtos e serviços on-
line, ela está revisando as categorias para incluir riscos cibernéticos permitindo, assim, um
mapeamento preciso da estratégia.
•Comparação de pares: A análise das outras empresas que atuam no mesmo segmento pode
ajudar a organização a determinar se ela está operando fora dos limites do desempenho
setorial. Por exemplo, uma prestadora global de serviços de entrega de encomendas descobriu
durante um processo de avaliação e comparação com outras empresas do mesmo setor que
suas operações na Ásia apresentavam um desempenho significativamente abaixo do
desempenho da sua maior concorrente. Por conseguinte, ela está planejando avaliar e, se
necessário, revisar sua estratégia para aumentar sua competitividade e, consequentemente, seu
desempenho na Ásia.
27
Os leitores poderão também querer analisar a discussão sobre as atividades de monitoramento em Controles Internos –
Estrutura Integrada.
espaço
A velocidade na qual os dados são gerados é tão alta que geralmente é um desafio para a
administração processar esses dados e transformá-los em informações úteis. Os sistemas de
informação podem ajudar as entidades a enfrentar esse desafio. No entanto, o foco não deve ser
na criação de sistemas de informação novos e separados ou mesmo de fluxos separados para o
gerenciamento de riscos corporativos. É normalmente mais eficiente para uma organização
alavancar os sistemas de informação existentes para capturar o que for necessário para o
entendimento do risco, para tomar decisões conscientes do risco e para atender às exigências de
elaboração e apresentação de informações.
Para serem úteis, as informações devem estar disponíveis aos tomadores de decisão quando for
necessário. É também crucial que as informações sejam de alta qualidade. Caso os dados
subjacentes sejam imprecisos ou incompletos, a administração pode não ser capaz de fazer
julgamentos ou estimativas razoáveis nem tomar decisões acertadas.28 Para manter informações
de alta qualidade, as organizações implementam sistemas de gerenciamento de dados e
estabelecem políticas de gerenciamento das informações com responsabilidades e
responsabilizações claras.
Informações em Evolução
Os dados transformados em informações podem originar-se tanto de fontes estruturadas quanto
de fontes não estruturadas. Os dados estruturados normalmente referem-se a informações que são
altamente organizadas e que podem ser buscadas imediatamente (por exemplo, arquivos de bases
de dados, índices públicos ou planilhas). Ao contrário, dados não estruturados não seguem um
padrão pré-definido, nem são organizados (por exemplo, mensagens de e-mail, fotos, vídeos,
documentos de processamento de textos). Várias pesquisas estimaram que hoje os dados não
estruturados ultrapassam os dados estruturados em mais de 80%.
Um varejista que atua no mercado de consumo utiliza a inteligência artificial para obter
mais informações sobre como melhorar a experiência do cliente. Dessa maneira, a
administração consegue obter insights sobre os consumidores por meio das mídias sociais,
tais como os hábitos de compra, incluindo os padrões e preferências históricos. Os insights
podem ser utilizados para diminuir o risco de falta ou excesso de estoques, já que eles
proporcionam à administração uma visão melhor dos níveis corretos de estoque. Esse
gerenciamento aprimorado dos estoques reduz os custos operacionais e com recursos,
melhorando a experiência do cliente.
Fontes de Dados
Os dados transformados em informações tornam-se conhecimento (por exemplo, a análise de
comentários postados nas mídias sociais detecta possíveis riscos à marca da entidade). Assim, as
exigências de dados devem ser baseadas nas exigências de informações. O Exemplo 10.2 ilustra
como a empresa estipula que precisa de dados para fornecer informações de compliance a uma
parte interessada externa.
Gerenciando de Dados
Os dados devem ser bem gerenciados para proporcionar as informações corretas e respaldar
decisões conscientes dos riscos. Isso exige a obtenção e a preservação da qualidade dos dados e
ao mesmo tempo a permissão que diferentes tecnologias troquem e usem esses dados. O
gerenciamento de dados eficaz considera três elementos-chave: governança dos dados e das
informações, processos e controles e arquitetura.
•A governança dos dados e das informações ajuda a disponibilizar dados padronizados e de alta
qualidade aos usuários finais de modo tempestivo, verificável e seguro. A governança
também ajuda a padronizar a arquitetura de dados, autorizar normas, atribuir responsabilidades
e manter a qualidade. Além disso, ela define funções e responsabilidades claras para os
responsáveis pelos dados e pelas informações sobre riscos.
•Os processos e controles ajudam a entidade a reforçar a confiabilidade dos dados, permitindo
correções conforme necessário. Por exemplo, as organizações podem ter um processo para
identificar exemplos e padrões de dados tanto de baixa quanto de alta qualidade, e se os dados
são relevantes para atender às exigências. Ou podem ser capazes de identificar a consistência,
a redundância, a disponibilidade e a precisão dos dados. No entanto, o gerenciamento de dados
requer mais do que o simples uso de processos e controles para garantir sua qualidade. Ele
inclui também evitar primeiramente que problemas de qualidade ocorram.
Foi proposto o desafio a uma organização que atua no ramo de saúde de encontrar maneiras
de reduzir os casos de idosos que esquecem de tomar o remédio receitado. Deixar de tomar
uma dose pode reduzir os benefícios do medicamento e aumentar os riscos à saúde do
paciente. Como resposta, a empresa distribuiu wearables aos pacientes que identificam
quando o idoso deixa de tomar o remédio e monitoram a saúde geral de cada paciente. As
informações são relatadas ao prestador de serviços de saúde.
No entanto, a tecnologia pode também colocar novos riscos para a entidade, o que pode afetar
muito a consecução da estratégia e dos objetivos de negócio. A decisão sobre qual tecnologia
deve ser implementada depende de vários fatores, incluindo metas organizacionais, necessidades
do mercado, requisitos competitivos e custos e benefícios associados. Uma organização usa
esses fatores para equilibrar os benefícios da obtenção e do gerenciamento de informações e os
custos da seleção ou do desenvolvimento de tecnologias de suporte.
Mudanças Requeridas
A administração utiliza e elabora sua tecnologia para atender a uma ampla gama de requisitos,
incluindo aqueles decorrentes de mudanças internas e externas. À medida que as entidades
respondem às mudanças no contexto de negócios em que operam e adaptam sua estratégia e seus
objetivos de negócio, elas devem também avaliar suas tecnologias. Por exemplo, as expectativas
em constante mudança por parte dos clientes podem exigir que as organizações mudem a
tecnologia de forma que as informações sejam coletadas de modo mais tempestivo e os
comentários em mídias sociais monitorados de forma mais ativa.
28
Discussões adicionais sobre a qualidade das informações estão disponíveis em Controles Internos – Estrutura Integrada,
especificamente no Princípio 13.
29
A inteligência artificial pode ser definida como a teoria e o desenvolvimento de sistemas computacionais que realizam tarefas
que normalmente exigiriam a inteligência humana, tais como reconhecimento de voz, tomada de decisões, percepção visual e
outros fatores.
30
Algumas organizações referem-se a essas categorias de riscos comuns como “taxonomia de riscos.”
espaço
Uma entidade com canais de comunicação aberta pode também estar na extremidade receptora
de informações das partes interessadas externas. Por exemplo, os clientes e os fornecedores
podem fornecer inputs sobre a elaboração ou a qualidade de produtos ou serviços, permitindo
que a organização aborde as demandas ou as preferências em constante evolução do consumidor.
As consultas de grupos ambientais sobre as abordagens de sustentabilidade podem fornecer à
organização insights sobre as principais abordagens ou identificar potenciais riscos à sua
reputação. Essas informações podem ser recebidas por meio de comunicações via e-mail, fóruns
públicos, blogs, disque- denúncia e outros canais.
Uma empresa que tem como objetivo aprimorar sua comunicação sobre riscos optou por
revisar sua estrutura de governança elevando o cargo de seu diretor de riscos para garantir
que eles fossem integrados a todas as discussões sobre a estratégia de negócios. As
questões envolvendo riscos agora são discutidas por todo o conselho. A empresa constatou
que remover os riscos do comitê do conselho e incorporar responsabilidades pelo
gerenciamento de riscos corporativos à equipe de administração integraram melhor as
discussões sobre riscos e sobre a estratégia e tornaram os riscos mais claros.
A administração fornece quaisquer informações que podem auxiliar o conselho a cumprir suas
responsabilidades pela supervisão dos riscos. Não existe um único método correto de
comunicação com o conselho, mas a relação a seguir apresenta algumas abordagens comuns:
• Garantir que os relatórios apresentem o perfil de risco da entidade conforme alinhado com sua
declaração de apetite a riscos e vinculem as informações de riscos comunicadas às políticas de
exposição e de tolerâncias.
• Oferecer uma perspectiva longitudinal das exposições ao risco, incluindo dados históricos,
explicações sobre as tendências e informações prospectivas explicadas em relação às posições
atuais.
• Atualizar com uma frequência que seja consistente com o ritmo de evolução e o nível de
gravidade dos riscos.
• Usar modelos padronizados para prestar suporte a uma apresentação e a uma estrutura de
informações sobre os riscos que sejam consistentes ao longo do tempo.
A administração não deve subestimar a relevância das comunicações qualitativas abertas com o
conselho. Um diálogo dinâmico e construtivo sobre riscos deve existir entre a administração e o
conselho, incluindo uma disposição para contestar quaisquer premissas que servem de base para
a estratégia e para os objetivos de negócio da entidade. Os conselhos podem fomentar um
ambiente onde a administração se sinta confortável em apresentar as informações sobre os riscos
para o conselho mesmo que ela ainda não possua uma resposta definida para o risco que esteja
sendo planejada ou já esteja sendo executada. A administração pode sentir-se desconfortável em
discutir riscos emergentes com o conselho quando o nível de gravidade desses riscos também for
ambíguo. Ao estar aberto a conversas que ainda não apresentem uma solução final, o conselho
pode estimular a administração a estabelecer um diálogo mais tempestivo e esclarecedor, em vez
de esperar que esses riscos evoluam dentro da entidade.
Métodos de Comunicação
Para que as informações sejam recebidas conforme pretendido, elas devem ser comunicadas de
modo claro. Para terem certeza de que os métodos de comunicação estão funcionando, as
organizações devem avaliá-los periodicamente. Isso pode ser feito por meio de processos
existentes, tais como o estabelecimento das expectativas para o gerenciamento de riscos
corporativos nas metas de desempenho dos funcionários e as avaliações posteriores de
desempenho realizadas periodicamente.
Além da lista acima, linhas de comunicação à parte serão necessárias quando os canais normais
estiverem inoperantes ou forem insuficientes para comunicar questões que exigem uma maior
atenção. Muitas organizações disponibilizam uma forma de comunicar-se de modo anônimo
com o conselho de administração ou com um representante do conselho — como um canal de
denúncias. Muitas organizações estabelecem também protocolos e políticas de escalonamento
visando a facilitar a comunicação quando existem exceções em normas de conduta ou
comportamentos inapropriados ocorrendo.
espaço
• Outras partes que requerem a elaboração e apresentação de informações sobre riscos para que
sejam capazes de cumprir suas funções e responsabilidades.
A elaboração e apresentação de informações sobre os riscos pode ser feita por qualquer equipe
dentro da estrutura operacional. As equipes preparam relatórios, divulgando informações de
acordo com suas responsabilidades pelo gerenciamento dos riscos. Por exemplo, as equipes
prepararão as informações sobre os riscos como parte da apresentação do planejamento
financeiro e da preparação do orçamento visando a prestar suporte a pedidos de recursos
adicionais para manter o perfil de risco ou evitar que este se deteriore.
Atributos do Reporte
A elaboração e apresentação de informações reúne informações quantitativas e qualitativas sobre
os riscos, e a apresentação pode variar de bastante simples a mais complexa, dependendo do
porte, do escopo e da complexidade da entidade. As informações sobre os riscos prestam suporte
à administração nas tomadas de decisões, muito embora a administração precise ainda realizar
julgamentos na busca pelos objetivos de negócio e no contexto empresarial.
Tipos de Reporte
A elaboração e apresentação de informações sobre riscos podem incluir alguns dos itens a seguir
ou todos eles:
•A visão do portfolio de riscos descreve a gravidade dos riscos no nível da entidade que poderá
impactar a consecução da estratégia e dos objetivos de negócio da entidade. A elaboração e
apresentação de informações da visão do portfolio destaca as maiores ameaças para a entidade,
as interdependências entre riscos específicos e as oportunidades. A visão do portfolio de
riscos geralmente pode ser encontrada na elaboração e apresentação de informações da
administração e do conselho.
•A visão do perfil dos riscos, semelhante à visão de carteira, descreve a gravidade dos riscos, mas
enfoca diferentes níveis dentro da entidade. Por exemplo, o perfil de risco de uma divisão ou
de uma unidade operacional pode ser apresentado na elaboração e apresentação de
informações sobre riscos para a administração ou para certas áreas da entidade.
•A análise das causas-raiz permite que os usuários entendam as premissas e as mudanças que
serviram de base para as visões da carteira e do perfil dos riscos.
•A análise de riscos novos, emergentes e em constante mudança apresenta uma visão prospectiva
para prever as mudanças no universo de riscos, os efeitos sobre os requisitos e a alocação de
recursos e o desempenho previsto da entidade.
Existem várias formas pelas quais a administração pode elaborar e apresentar informações para o
conselho, mas é essencial que o foco dessa elaboração e apresentação seja o vínculo entre a
estratégia, os objetivos de negócio, o risco e o desempenho. A elaboração e apresentação de
informações para o conselho é o nível mais elevado de elaboração e apresentação de informações
e inclui a visão do portfolio. A elaboração e apresentação de informações para o conselho deve
estimular discussões sobre o desempenho da entidade na consecução da sua estratégia e de seus
objetivos de negócio e o impacto de potenciais riscos associados à consecução desses objetivos.
Reporte e Cultura
A cultura de uma entidade é baseada em comportamento e em postura, e mensurá-los geralmente
consiste em uma tarefa bem complexa. A elaboração e apresentação de informações sobre a
cultura da entidade podem ser incorporadas a:
Indicadores-chave
Os indicadores-chave são utilizados para prever a manifestação de um risco. Eles normalmente
são quantitativos, mas podem também ser qualitativos. Os indicadores-chave são comunicados
aos níveis da entidade que estiverem mais bem posicionados para gerenciar o desencadeamento
de um risco quando necessário. Eles devem ser comunicados juntamente com os indicadores-
chave de desempenho com o objetivo de demonstrar a inter-relação entre o risco e o
desempenho. Os indicadores-chave prestam suporte a uma abordagem proativa de gestão de
desempenho (veja o Exemplo 10.5).
Exemplo 10.5: Utilização dos Indicadores-Chave
Glossário de Termos-Chave
•Contexto de negócios: Tendências, eventos, relacionamentos e outros fatores que podem
influenciar, esclarecer ou mudar a estratégia e os objetivos de negócio atuais e futuros da
organização.
•Objetivos de Negócio: Medidas mensuráveis que a organização adota para alcançar sua
estratégia.
•Dados: Os fatos brutos que podem ser coletados em conjunto para serem analisados, utilizados
ou usados como referência.
•Entidade: Qualquer tipo de órgão com fins lucrativos, sem fins lucrativos ou governamental.
Uma entidade pode ser de capital aberto, privada, constituída com base em estrutura
cooperativa ou qualquer outro formato jurídico.
•Partes Interessadas Externas: Quaisquer partes que não estejam diretamente envolvidas nas
operações da entidade, mas são impactadas pela entidade, influenciam diretamente o ambiente
de negócios ou a reputação, a marca e a confiabilidade da entidade.
•Estrutura: Os cinco componentes consistem em (1) Governança e Cultura; (2) Definição dos
Objetivos e da Estratégia; (3) Consecução dos Objetivos e da Estratégia; (4) Análise e
Revisão; (5) Informação, Comunicação, e Elaboração e Apresentação de Informações.
•Missão: O propósito principal da entidade, que estabelece o que ela quer alcançar e por que ela
existe.
•Estrutura Operacional: A maneira pela qual a entidade organiza e conduz suas operações
diárias.
•Oportunidade: Uma ação ou possível ação que gera ou altera as metas ou as abordagens de
geração, de preservação e de realização de valor.
•Visão do portfolio: Uma visão composta dos riscos que a entidade enfrenta, o que posiciona a
administração e o conselho para que eles avaliem os tipos, a gravidade e as interdependências
dos riscos e como eles podem afetar o desempenho da entidade relativo à sua estratégia e aos
seus objetivos de negócio.
•Capacidade para o Risco: A quantidade máxima de riscos que uma entidade é capaz de
absorver durante seus esforços de consecução da estratégia e dos objetivos de negócio.
•Inventário dos Riscos: Todos os riscos que poderiam afetar uma entidade.
•Perfil de Risco: Uma visão composta dos riscos assumidos em um nível específico da entidade
ou dos aspectos do negócio que posicionam a administração para que esta analise os tipos, a
gravidade e as interdependências dos riscos e como eles podem afetar o desempenho
relativamente à estratégia e aos objetivos de negócio.
•Partes interessadas: As partes que têm uma participação presente ou futura em uma entidade.
•Estratégia: O plano da organização para alcançar sua missão e sua visão e aplicar seus valores
principais.
•Incerteza: A condição de não saber como possíveis eventos poderão ou não poderão
manifestar-se.
•Visão: As aspirações da entidade em relação ao seu estado futuro ou o que ela visa a alcançar
ao longo do tempo.
Anexos
espaço
Este projeto foi realizado pelo Committee of Sponsoring Organizations of the Treadway
Commission (COSO) (Comitê de Entidades Patrocinadoras da Comissão Treadway), cujo
propósito é fornecer thought leadership por meio do desenvolvimento de estruturas e diretrizes
abrangentes sobre os controles internos, o gerenciamento de riscos corporativos e a prevenção à
fraude para aprimorar o desempenho e a supervisão organizacionais e reduzir o número de
fraudes nas organizações. O COSO é uma iniciativa do setor privado, patrocinado e financiado
por:
© 2017 Todos os direitos reservados. Nenhuma parte desta publicação poderá ser reproduzida, distribuída, transmitida ou exibida
em qualquer forma ou por qualquer meio sem permissão por escrito do COSO.
espaço
PwC — Autor
Principais Colaboradores
Miles E.A. Everson Dennis L. Chesley Frank J. Martens
Líder do Trabalho e Líder Sócio-líder do Projeto Diretor-líder do Projeto
Global e na região da Ásia, Américas e e Líder Global e na região da Ásia, Américas e e Líder Global
Pacífico Pacífico da Estrutura
da prática de da prática de Riscos e Regulamentações e da Metodologia de
Advisory Washington DC, EUA Risco
Nova York, EUA Colúmbia Britânica,
Canadá
Agradecimentos
O Conselho do COSO e a PwC reconhecem com gratidão que muitos indivíduos dedicaram seu
tempo e seus esforços participando do projeto e contribuindo com vários aspectos dele. O
Conselho do COSO e a PwC também reconhecem os esforços consideráveis das organizações do
COSO e seus membros que responderam a pesquisas, participaram de oficinas e de reuniões e
forneceram comentários e feedback por meio da elaboração desta estrutura.
Conselho Consultivo
Douglas J. Anderson Mark Beasley Margaret Boissoneau
The Institute of Internal Auditors Universidade do Estado da United Technologies
(IIA) Carolina do Norte Corporation
Diretor-Superintendente da Professor de Gerenciamento de Liaison de Operações de
CAE Solutions Riscos Corporativos e Diretor Gerenciamento de Projetos
da Iniciativa de Gerenciamento
de Riscos Corporativos na
Deloitte
Observadores
Jennifer Bayuk James Dalkin Carol Fox
Citi Government Accountability Risk
Diretora-superintendente Office (equivalente à Management Society (RIMS)
Representante da International Controladoria Geral da União Diretora, Riscos Estratégicos
Systems Audit & no Brasil) e Corporativos
Controls Association, Diretor da
ISACA Equipe de Gestão Financeira
e Asseguração
Vincent Tophoff
International Federation
of Accountants
Gerente Técnico Sênior
Outras contribuições
A PwC deseja agradecer Geoffrey
Albutt, Catherine Jordan, Mark Tan,
Armando Urunuela e Karen Vitale
pelas contribuições à elaboração da
Estrutura.
espaço
Conteúdo
A. Histórico do Projeto e Abordagem de Análise da Estrutura
B. Resumo dos Comentários Públicos
C. Papeis e Responsabilidades do Gerenciamento de Riscos Corporativos
D. Ilustrações de Perfis de Risco
espaço
Desde 2004, a complexidade dos riscos mudou, novos riscos significativos surgiram e os
conselhos intensificaram tanto a conscientização como a supervisão em relação ao
gerenciamento de riscos enquanto solicitavam uma melhor elaboração e apresentação de
informações sobre riscos. As atualizações da Estrutura refletem conceitos e aplicações atuais e
em desenvolvimento de maneira que as organizações em todo o mundo consigam obter mais
valor do gerenciamento de riscos corporativos. Especificamente, ela agora proporciona mais
insights sobre a estratégia e o papel do gerenciamento de riscos corporativos na definição e na
execução da estratégia, aumenta o alinhamento entre o desempenho organizacional e o
gerenciamento de riscos corporativos e reflete as expectativas em relação à governança e à
supervisão.
1
Esse título foi utilizado ao longo de toda a fase de exposição pública, e depois o nome do documento foi alterado para
Enterprise Risk Management–Integrating with Strategy and Performance.
espaço
Foram recebidas 48 cartas com comentários do público e mais de 200 respostas foram dadas à
pesquisa online sobre a versão preliminar das explicações. As cartas com comentários do público
geraram mais de 1.600 comentários e a pesquisa online resultou em mais de 400 respostas livres
a respeito de muitos aspectos do documento atualizado. Todos os comentários foram
considerados nas revisões posteriores da Estrutura.
Além do feedback gerado pelo COSO, a equipe de projeto da PwC solicitou feedback do público
por meio de mais de quarenta reuniões, conferências e seminários durante o período de
exposição pública. Além disso, ela preparou uma série de vídeos, artigos sobre assuntos-chave
(por exemplo o gerenciamento do risco e do desempenho para respaldar a estratégia) e posts nas
mídias sociais, o que gerou mais de dois milhões e oitocentas mil impressões e mais de três mil
interações diretas do público.
Alguns respondentes procuraram obter mudanças fundamentais na Estrutura, ao passo que outros
reconheceram que a Estrutura permanece relevante e útil atualmente para os conselhos e para a
administração de entidades, independentemente do tipo ou tamanho. Esses respondentes pediram
que somente áreas específicas fossem atualizadas, conforme discutido detalhadamente abaixo.
Com relação aos princípios, alguns foram reunidos em um só. Especificamente, dois princípios
do componente de Governança e Cultura foram juntados em um só para enfocar valores básicos.
Além disso, no componente de Definição dos Objetivos e da Estratégia, os princípios "Analisa o
Risco enquanto Estabelece os Objetivos de Negócio" e "Define a Variação Aceitável no
Desempenho" foram juntados em um só, "Formula os Objetivos de Negócio", que enfoca o
estabelecimento de objetivos e a utilização da tolerância para entender o impacto do risco sobre a
consecução daqueles objetivos. Por último, no componente Informação, Comunicação e
Elaboração & Apresentação de Informações, os princípios "Utiliza Informações Relevantes" e
"Utiliza ao Máximo os Sistemas de Informação" foram juntados em um só para enfocar o suporte
dado pelas informações e pela tecnologia para as práticas de gerenciamento de riscos
corporativos.
Essas preocupações foram abordadas por meio da fusão dos princípios, conforme discutido
acima. Além disso, a Estrutura foi revisada para diminuir o tamanho das orações de modo a
facilitar a leitura. Especificamente, a ferramenta de medição de possibilidade de leitura Flesch-
Kincaid foi utilizada para identificar áreas de melhorias assim como confirmar a clareza de
normas e estruturas similares. Dada a complexidade de determinados assuntos, a Estrutura geral
permanece um documento abrangente para elaborar e esclarecer os conceitos de maneira
suficiente.
Definição do Gerenciamento de Riscos Corporativos e dos Riscos
Os respondentes deram várias sugestões para alterar as definições de risco e de gerenciamento de
riscos corporativos, incluindo o alinhamento das definições a outras estruturas e normas. As
sugestões para a definição do risco variaram, desde incluir somente o impacto, separar o risco em
acontecimentos adversos (ameaças) e oportunidades e enfocar as incertezas.
Depois de uma revisão e análise cuidadosas das definições de outras normas e estruturas,
decidiu-se que as definições da versão preliminar das explicações seria mantida. O Conselho do
COSO considera que tais definições refletem melhor a visão atual de risco e do gerenciamento
de riscos corporativos do COSO, alinhando-se com outras estruturas e thought leadership do
COSO.
Considerando o foco nas competências e nas práticas, em oposição a uma função específica, a
Estrutura apresenta uma discussão limitada sobre os modelos de linhas de defesa. Uma discussão
mais detalhada sobre os papeis e responsabilidades está incluída no Anexo C.
A Estrutura mantém o foco atual na “possibilidade de a estratégia não alinhar-se, nas implicações
da estratégia escolhida, além dos riscos à execução da estratégia” já que eles fornecem uma
análise mais detalhada da importância da integração do gerenciamento de riscos corporativos à
definição da estratégia. A Estrutura agora esclarece como o gerenciamento de riscos corporativos
é aplicada à estratégia e ao desempenho. Ela permanece vinculada à missão, à visão e aos
valores principais pelo fato de proporcionar o suporte do tipo e do valor do risco aceitáveis.
Além disso, a Estrutura mantém a relação hierárquica entre a estratégia e os objetivos de
negócio, e a terminologia da estratégia versus os objetivos estratégicos, já que ambos são
consistentes com estruturas frequentemente utilizadas de estratégia e de negócios.
Papel da Cultura
De maneira geral, houve forte apoio à inclusão e ao papel proeminente da cultura na versão
preliminar das explicações. Alguns respondentes sugeriram expandir ainda mais a discussão a
respeito do espectro cultural e enfatizar as relações com o gerenciamento do desempenho, com a
conduta e com os incentivos. Alguns sugeriram que a cultura não é parte da definição do
gerenciamento de riscos corporativos, ao passo que outros sugeriram que as entidades têm de
fato uma cultura e o risco é parte dele. Alguns queriam uma discussão sobre o risco de fraude já
que ele relaciona-se à cultura.
A Estrutura final revisou o Princípio 11, Avalia a Gravidade do Risco, para enfocar de maneira
mais explícita o impacto na consecução da estratégia e dos objetivos de negócio. Ela também
esclarece como os mapas de calor podem ser utilizados para delinear o risco no contexto dos
objetivos. Além disso, foi adicionada uma discussão sobre abordagens quantitativas às
avaliações de risco.
Alguns respondentes questionaram a aplicação prática dos perfis de risco, enquanto outros
observaram que limitar o perfil de risco a um gráfico pode ser muito prescritivo. Aqueles que
apoiam os perfis de risco observaram que estes oferecem uma explicação eficaz da relação entre
risco, metas de desempenho, capacidade de risco e apetite pelo risco.
A Estrutura final mantém o uso de perfis de risco já que eles proporcionam à administração uma
visão de como o risco tem impacto sobre o desempenho e como o apetite pelo risco pode ser
utilizado para tomar decisões. Foram feitas melhorias para esclarecer o gráfico de perfis de risco
em diferentes tipos de objetivos de negócio e como os perfis de risco podem ser utilizados com
dados quantitativos e qualitativos.
Informação e Tecnologia
Alguns respondentes solicitaram uma discussão detalhada sobre informação e tecnologia; outros
questionaram se o gerenciamento de dados e a tecnologia estavam no escopo do gerenciamento
de riscos corporativos. Vários enfocaram a elaboração e apresentação de informações de uma
perspectiva centrada no risco em oposição a um ponto de vista de negócios.
Orientações
Alguns respondentes solicitaram orientações sobre como uma empresa pode aplicar os conceitos
discutidos na Estrutura. Especificamente, eles pediram mais exemplos, incluindo estudos de caso
integrais ou reduzidos, ferramentas para ajudar na avaliação do gerenciamento de riscos
corporativos (por exemplo, modelos de maturidade), além de orientações gerais de
implementação (por exemplo, relatórios de risco).
2
Downloads do sítio na internet COSO.org
espaço
C. Papeis e Responsabilidades do
Gerenciamento de Riscos Corporativos
Em uma entidade, todos compartilham responsabilidades pelo gerenciamento de riscos
corporativos. O líder da entidade (i.e., diretor-executivo (CEO) ou presidente) é o principal
responsável e deve assumir a responsabilidade pela consecução da estratégia e dos objetivos de
negócio da entidade. Essa pessoa deve também obter um entendimento profundo dos fatores que
poderão impedir a consecução da estratégia. Cabe aos demais gerentes "viver na prática" os
comportamentos alinhados à cultura da entidade, supervisionar o gerenciamento de riscos
corporativos, utilizar ao máximo as ferramentas dos sistemas de informação e monitorar o
desempenho. Os demais profissionais são responsáveis por entender as normas e os
comportamentos culturais, os objetivos de negócio em sua área e as práticas de gerenciamento de
riscos corporativos relacionadas, bem como por ter uma postura que esteja alinhada a todos esses
fatores. O conselho de administração supervisiona os riscos à consecução da estratégia.
Este anexo analisa as abordagens que uma organização pode adotar para atribuir funções e
responsabilidade pelo gerenciamento de riscos corporativos e fornece orientações sobre as
funções e as responsabilidades do conselho de administração, do diretor-executivo (CEO), do
diretor de riscos (CRO), da administração e do auditor interno. As informações são apresentadas
de acordo com um “modelo de linhas de responsabilização.”
• Avaliar as estratégias alternativas, escolher uma estratégia e definir objetivos de negócio que
considerem prestar suporte às premissas relacionadas ao contexto dos negócios, aos recursos e
às competências de acordo com o apetite a riscos da entidade.
• Manter uma supervisão dos riscos enfrentados pela entidade (p.ex., orientar toda a
administração e os demais profissionais da entidade para que identifiquem, avaliem e
priorizem os riscos que poderão impedir a capacidade da entidade de executar sua estratégia e
alcançar seus objetivos de negócio e para que respondam a tais riscos e os comuniquem de
forma pró-ativa).
Diretor de Riscos
Uma das funções mais proeminentes no gerenciamento de riscos corporativos é a de diretor de
riscos. Esse cargo tem a tarefa de supervisionar o gerenciamento de riscos corporativos como
uma segunda linha de responsabilização. Ele normalmente deve ter acesso razoavelmente direto
ao CEO ou à autoridade com acesso para abordar questões ou tipos de risco específicos. Uma
alternativa a ter um diretor de riscos (CRO) é atribuir as responsabilidades subjacentes a outro
membro da administração, geralmente na segunda linha de responsabilização.
• Estabelecer e manter relações com os responsáveis pelo gerenciamento de riscos pela entidade
como um todo.
• Direcionar as exposições ao risco identificadas ou emergentes aos próximos níveis, que seriam
a alta administração e o conselho.
Administração
A administração abrange o CEO e os membros seniores que lideram as principais unidades
operacionais e as áreas viabilizadoras de negócios. Cada uma dessas funções de administração
pode ter responsabilidades e responsabilizações diferentes de acordo com as linhas do modelo de
responsabilização, dependendo da entidade. Por exemplo, um diretor de tecnologia (CTO) pode
exercer uma função de segunda linha em uma empresa de serviços financeiros, mas em uma
empresa de tecnologia esse mesmo cargo poderia desempenhar uma função de primeira linha.
Algumas entidades menores podem combinar os papeis, com uma pessoa tendo
responsabilidades por uma ou mais funções. Exemplos de administração para uma entidade
maior de capital aberto ou de capital fechado, uma entidade empresarial menor e uma entidade
governamental podem ser observados na Figura C.2.
Figura C.2: Funções gerenciais em diferentes entidades
• Direcionar as exposições ao risco identificadas ou emergentes aos próximos níveis, que são a
alta administração e o conselho para que eles tenham conhecimento delas e tomem
providências.
Existem vários métodos para alcançar a objetividade nessas duas linhas de responsabilização.
Por exemplo, uma empresa pode contar com equipes de gerenciamento de riscos corporativos
incorporadas à primeira linha, mas com uma função de risco de segunda linha à parte. Outra
empresa pode distribuir amplamente suas equipes de gerenciamento de riscos pelas duas linhas
de acordo com a complexidade e a natureza do negócio. Essas e outras abordagens podem
funcionar desde que não haja restrições a uma supervisão imparcial.
Auditores Externos
Os auditores externos proporcionam à administração e ao conselho de administração uma visão
única, independente e objetiva que pode contribuir para a consecução da estratégia e dos
objetivos de negócio de uma entidade.
Em uma auditoria externa, o auditor expressa uma opinião sobre a apresentação adequada das
demonstrações financeiras em conformidade com os princípios contábeis geralmente aceitos,
contribuindo, assim, para os objetivos de elaboração e apresentação externa das informações
financeiras da entidade. O auditor que conduz a auditoria das demonstrações financeiras pode
contribuir com esses objetivos fornecendo informações úteis à administração a respeito do
cumprimento das responsabilidades pelo gerenciamento de riscos corporativos. Tais
informações incluem:
• As constatações de auditoria, as informações analíticas e as recomendações de medidas
necessárias para o alcance dos objetivos de negócio estabelecidos.
É importante reconhecer que uma auditoria de demonstrações financeiras, por si só, normalmente
não inclui um foco significativo no gerenciamento de riscos corporativos. Tampouco resulta na
formação de opinião pelo auditor sobre o gerenciamento de riscos corporativos da entidade. No
entanto, quando leis ou regulamentações exigem que o auditor avalie as afirmações da empresa
em relação aos controles internos sobre a elaboração e a apresentação de informações financeiras
e a base de suporte para tais afirmações, o escopo do trabalho direcionado a essas áreas será
abrangente e informações e asseguração adicionais serão obtidas.
espaço
• Quando medidas corretivas são necessárias para a definição da estratégia, dos objetivos de
negócio, das metas de desempenho ou das respostas ao risco.
Tanto a abordagem quantitativa como a abordagem qualitativa podem ser usadas para representar
pontos. Se a organização dispuser de dados suficientes sobre uma estratégia ou um objetivo de
negócio, ela poderá usar uma abordagem mais quantitativa, como modelagem probabilística ou
análise de regressão. Quando os dados não estiverem disponíveis ou quando os objetivos de
negócio forem menos importantes, a organização poderá preferir usar uma abordagem
qualitativa, como a realização de entrevistas, workshops com facilitadores ou benchmarking.
O Exemplo D.1 mostra como uma entidade representou seu perfil de risco.
Definição dos Objetivos, da Estratégia e dos Riscos
Incorporação do Apetite a riscos
Usando um perfil de risco, a organização pode descrever seu apetite a riscos em relação a uma
estratégia ou a um objetivo de negócio propostos. Na Figura D.2, o apetite a riscos é
representado como uma linha horizontal paralela ao eixo x (desempenho). O gradiente da linha
indica que o apetite a riscos permanece consistente para todos os níveis de desempenho em um
certo momento. O eixo y (risco) usa a mesma métrica ou demonstração de apetite a riscos
conforme é mencionado na declaração de apetite a riscos de uma entidade. Por exemplo, o eixo
y pode representar receitas a descoberto, valor a descoberto ou outra métrica.
A seção da curva partindo do ponto de interseção (Ponto A), onde ela continua acima da linha do
apetite a riscos, indica um nível de desempenho que excede o apetite da entidade e em que o
risco torna-se um fator perturbador.
As organizações podem querer também incorporar uma linha paralela adicional acima do apetite
a riscos para indicar a capacidade da entidade de assumir riscos, conforme apresentado na Figura
D.3.
Figura D.3: Perfil de Risco com Capacidade de
Risco
A Figura D.4 mostra como os perfis podem ser comparados. A Alternativa A mostra uma curva
menos inclinada, indicando que a entidade enfrenta menos riscos incrementais à medida que o
desempenho aumenta. Isso significa que a interseção da curva de risco e do apetite a riscos está
mais à direita, indicando uma maior oportunidade de desempenho antes de a entidade exceder o
apetite. As entidades estabelecidas operando em mercados maduros e estáveis ou com partes
interessadas que preveem perfis de risco mais baixos podem buscar estratégias semelhantes à
Alternativa A.
Figura D.4: Perfis de Risco de Estratégias Alternativas
Por outro lado, as entidades que assumem riscos, como startups ou investidoras de risco, poderão
explorar estratégias mais típicas da Alternativa B. Nesse caso, a entidade buscaria um
desempenho mais agressivo em troca da assunção de riscos maiores.
As técnicas quantitativas e qualitativas são utilizadas para elaborar o perfil de riscos potenciais e
podem ser as mesmas ferramentas que são então utilizadas para dar suporte aos processos de
identificação e de avaliação de riscos. Isso inclui uma análise e uma modelagem quantitativas
quando houver dados suficientes para tal. Quando os dados não estiverem disponíveis, um
número maior de técnicas qualitativas poderá ser utilizado.
Além disso, ela mostra a distância entre a quantidade de riscos e o apetite a riscos aceitos.
Quanto mais agressiva for a entidade, menor será a distância entre a interseção da meta de
desempenho e a curva de risco (Ponto A), e entre a interseção da meta de desempenho e o apetite
a riscos (Ponto B).
A organização pode escolher usar diferentes métodos de avaliação para diferentes pontos da
curva de risco. Quando a variação aceitável no desempenho for o foco, a análise de dados de
risco poderá ser uma abordagem adequada. Quando da análise das seções extremas da curva,
workshops de análises de cenários poderão ser eficazes na determinação da altura e da forma da
curva.
Para riscos que são mais facilmente quantificáveis, ou quando um detalhamento ou uma exatidão
maiores forem necessários, é mais apropriada a utilização de uma abordagem de modelagem de
probabilidade (p.ex., cálculo do valor a descoberto ou dos fluxos de caixa a descoberto). Por
exemplo, quando a mesma empresa de tecnologia avalia o risco da manutenção de operações em
um país estrangeiro, ela utiliza a modelagem ao elaborar a curva para identificar pontos
suficientes, estipulando a gravidade da sua exposição cambial.
•A complexidade de um risco geralmente irá fazer com que a curva de risco suba para refletir um
risco maior.
•A persistência, que não foi apresentada na curva de risco por estar relacionada a uma terceira
dimensão, pode ser refletida no processo de diminuição da variação aceitável no desempenho
conforme a entidade reconhece o efeito contínuo sobre o desempenho.
Muitas organizações escolhem usar a gravidade como um critério de priorização. Por exemplo,
considere os perfis de risco na Figura D.7. Se fosse solicitado a uma organização que ela
priorizasse os riscos no Perfil de Risco A em comparação com os riscos no Perfil de Risco B, ela
poderia muito bem selecionar o Risco #3 no Perfil de Risco A como o mais importante devido à
sua gravidade absoluta (uma perspectiva centrada no risco). No entanto, se a organização fosse
visualizar o Perfil de Risco A da perspectiva do objetivo de negócio, ela poderia ver que a
entidade ainda está de acordo com seu apetite a riscos em relação à meta de desempenho
específica. Na verdade, tanto o Perfil de Risco A como o Perfil de Risco B apresentam a mesma
gravidade de risco em relação às suas respectivas metas de desempenho. Consequentemente, a
gravidade de um risco (p.ex., o Risco #3 no Perfil de Risco A) não deve ser a única base de
priorização em relação a outros riscos.
Figura D.7: Utilizando Perfis de Risco para Comparar Riscos Impactando Objetivos
•Aceite: Nenhuma medida adicional é tomada para afetar a gravidade do risco, e o perfil de risco
não sofre alterações. Essa resposta é adequada quando o desempenho da entidade e o risco
correspondente estiverem abaixo da linha do apetite a riscos e dentro dos parâmetros que
indicam uma variação aceitável no desempenho.
•Recusa: Uma medida é tomada para remover o risco, o que pode significar suspender uma linha
de produção, recusar-se a expandir por um novo mercado geográfico ou vender uma divisão.
A opção pela recusa sugere que a organização não é capaz de identificar uma resposta que
poderia reduzir o impacto do risco a um nível aceitável de gravidade. A remoção de um risco
geralmente direcionará a curva para baixo e/ou para a esquerda com a intenção de ter o
desempenho almejado à esquerda da inserção da curva de risco e do apetite a riscos.
•Busca: Uma medida é tomada e ela aceita o risco maior associado ao alcance de um
desempenho maior. Isso pode envolver a adoção de estratégias de crescimento mais
agressivas, a expansão de operações ou o desenvolvimento de novos produtos e serviços. Ao
escolher explorar o risco, a administração entende a natureza e a extensão de quaisquer
mudanças necessárias para alcançar o desempenho almejado, ao mesmo tempo que não excede
o risco residual almejado. Aqui a curva de risco não pode mudar, mas a meta pode ser
definida em um ponto mais alto, e consequentemente, definindo a meta em um ponto diferente
da curva de risco.
•Redução: Uma medida é tomada para reduzir a gravidade do risco. Isso envolve qualquer uma
das diversas decisões de negócio diárias que reduzem o risco residual para o perfil de risco
residual e o apetite a riscos almejados. O objetivo da resposta ao risco é mudar a altura e a
forma da curva, ou de seções aplicáveis da curva para permanecer de acordo com o apetite a
riscos estabelecido para a entidade. Por outro lado, para os riscos que já estão de acordo com o
apetite, a resposta por meio de redução pode estar relacionada à redução na variabilidade de
desempenho por meio da utilização de recursos adicionais. A redução eficaz de um risco seria
ver uma diminuição da inclinação da curva de risco nas seções impactadas pela resposta ao
risco.
A Figura D.8 mostra como um perfil de risco mudou após a aplicação de uma resposta ao risco,
como celebrar um contrato de seguro. Por exemplo, fruticultores podem adquirir um seguro
relacionado ao clima contra inundações ou tempestades que fariam com que seus níveis de
produção caíssem, ficando abaixo de um determinado volume mínimo. A curva de risco para
níveis de produção é menos inclinada para os resultados cobertos pelo seguro.
Figura D.8: Efeito da Resposta ao Risco
Ao passo que a visão do portfolio representa a visão do risco naquele nível, a administração pode
escolher representar aquela visão por meio de uma ampla gama de óticas. As Figuras D.9 e D.10
illustram duas alternativas para a visualização do perfil de risco. A primeira, a Figura D.9, ilustra
um perfil de risco ligado à estratégia e aos objetivos de negócio. A segunda, a Figura D.10,
ilustra o perfil de risco relacionado à visão do portfolio de objetivos da entidade.
Uma organização pode escolher como representar a carteira, a depender de como o desempenho
está articulado e de quem está participando. Por exemplo, o diretor financeiro pode enfocar uma
visão que expressa a gravidade do risco em relação ao desempenho financeiro. O diretor
operacional pode enfocar uma visão que expressa a gravidade do risco em relação ao
desempenho operacional. E o diretor de recursos humanos pode enfocar uma visão que expressa
a gravidade do risco em relação à cultura e à alocação de recursos. Contudo, cada uma dessas
visões baseia-se em um entendimento compartilhado do risco aos objetivos de negócio.
Por meio da visão do portfolio, a organização identifica os riscos que são graves no nível da
entidade. A Figura D.9 mostra a visão do portfolio de riscos.
Figura D.9: Visualização do Portfolio Utilizando Objetivos no Nível da Entidade
Ao preparar uma visão do portfolio, a organização pode também escolher elaborar um perfil de
risco que proporciona um contexto adicional à visão do portfolio. A Figura D.10 ilustra o perfil
de risco de dois objetivos no nível da entidade. O primeiro gráfico ilustra como o risco à
consecução do objetivo um (no nível atual de desempenho) está de acordo com o apetite a riscos
e a capacidade para o risco (e conforme mostrado em verde na Figura D.9). O segundo gráfico
ilustra como o risco à consecução do objetivo dois da entidade está acima do apetite a riscos, em
que pese estar de acordo com a capacidade de assumir riscos (mostrado em vermelho na Figura
D.9). Essas duas perspectivas são refletidas acima na Figura D.9.
Figura D.10: Relacionando o Perfil do Risco
ao Objetivo da Entidade
Uma organização normalmente utiliza tanto técnicas qualitativas quanto técnicas quantitativas ao
elaborar essa visão. As técnicas qualitativas, por sua vez, incluem análise de cenário e
benchmarking. As técnicas quantitativas incluem a modelagem da regressão e outros meios de
análise estatística para entender a sensibilidade da carteira a grandes mudanças e impactos.
Essas mudanças podem ser representadas como mudanças na curva ou no gradiente de risco.
A análise pode também identificar o ponto da curva onde a mudança se torna uma disrupção para
o desempenho da entidade. Por exemplo, utilizando o objetivo da entidade um, uma organização
identifica que uma queda de mais de 25% em um índice específico representa uma mudança
disruptiva em que a entidade excede seu apetite a riscos e afeta a consecução da estratégia. Isso
é representando no ponto em que o gradiente da curva aumenta significativamente (Ponto A).
Além disso, a organização determina que uma queda de 50% impactaria o desempenho a ponto
de fazer com que a entidade excedesse sua capacidade de assumir riscos, ameaçando sua
viabilidade. Isso é representado no ponto onde a curva de risco atravessa a linha da capacidade
de gerenciamento do risco (Ponto B).
• A organização tem desempenhado conforme esperado e alcançado sua meta? Usando o perfil
de risco, a organização avalia o desempenho definido e determina se as metas foram
alcançadas ou se ocorreram variações. O Ponto B na figura mostra uma organização que não
atingiu o desempenho planejado (Ponto A), mas permanece dentro da variação aceitável.
• Quais riscos estão ocorrendo que podem estar afetando o desempenho? Ao avaliar o
desempenho, a organização observa quais riscos ocorreram ou estão ocorrendo atualmente. O
monitoramento confirma se os riscos foram previamente identificados ou se riscos novos e
emergentes ocorreram. Em outras palavras, os riscos que foram identificados e avaliados e
que influenciam a forma e a altura da curva de risco são consistentes com o que é observado
na prática?
• A entidade estava assumindo riscos suficientes para atingir sua meta? Quando uma entidade
não atinge sua meta, ela busca entender se os riscos que ocorreram estão afetando a
consecução dessa meta ou se os riscos assumidos foram insuficientes para prestar suporte à
consecução da meta. Dado o real desempenho da entidade, conforme apresentado na figura,
o Ponto B também indica que mais riscos poderiam ter sido assumidos pela entidade para que
ela alcançasse sua meta.
• A estimativa do risco foi precisa? Nos casos em que o risco não tenha sido avaliado de modo
preciso, a organização busca entender o motivo. Ao analisar a avaliação da gravidade, a
organização contesta o entendimento do contexto de negócios, as premissas que serviram de
base para a avaliação inicial e se informações novas foram disponibilizadas para ajudar a
aprimorar os resultados da avaliação. O Ponto C na figura indica quando uma entidade
enfrentou mais riscos do que o previsto para um determinado nível de desempenho.