Coso 2017

Número ISBN do eBook: 978-1-94549-886-2
© 2017 Todos os direitos reservados. Nenhuma parte desta publicação poderá ser reproduzida, distribuída novamente,
transmitida ou exibida em qualquer forma ou por qualquer meio sem permissão por escrito do COSO.
Conteúdo
Sumário Executivo
Prefácio
Comitê de Organizações Patrocinadoras da Comissão Treadway
PwC—Autor
O Cenário de Risco em constante transformação
Uma Estrutura Focada
Uma análise do Futuro
Componentes e Princípios
Estrutura
Committee of Sponsoring Organizations of the Treadway Commission
PwC—Autor
Prefácio
Índice
Aplicação da Estrutura: Contextualização
1. Introdução
2. Entendendo os Termos: Risk and Enterprise Risk Management
3. Estratégia, Objetivos do Negócio, e Performance
4. Integrando Enterprise Risk Management
5. Componentes e Princípios
Estrutura
6. Governança e Cultura
7. Estratégia e Objetivos- Configurações
8. Performance
9. Revisão
10. Informação, Comunicação e Reporte
Glossário de Palavras-Chave
1. Introdução
O Gerenciamento de Riscos Corporativos Afeta o Valor
Missão, Visão, e Valores Fundamentais
O Gerenciamento de Riscos Corporativos Afeta a Estratégia
O Gerenciamento de Riscos Corporativos é Vinculado ao Negócio
O Gerenciamento de Riscos Corporativos e a Capacidade de Adaptar-se, Sobreviver, e

Prosperar
2. |Entendendo os Termos: Riscos e Gerenciamento de Riscos Corporativos
Definição de Riscos e Incertezas
Definição do Gerenciamento de Riscos Corporativos
O Desenvolvimento das Competências
3. Estratégia, Objetivos do Negócio, e Desempenho
Gerenciamento de Riscos Corporativos e Estratégia
4. Integração do Gerenciamento de Riscos Corporativos
A Importância da Integração
Em Prol da Integração Total
A Abordagem da Integração na Estrutura
Componentes e Princípios do Gerenciamento de Riscos Corporativos
Avaliação do Gerenciamento de Riscos Corporativos
Introdução
Princípio 1: Aplica a Supervisão de Riscos do Conselho
Papeis e Responsabilidades
Habilidades, Experiências, e Conhecimento do Negócio
Independência
Adequando o Gerenciamento de Riscos Corporativos
Viés Organizacional
Princípio 2: Estabelece Estruturas Organizacionais
Estrutura Operacional e Níveis de Subordinação
Estruturas de Gerenciamento de Riscos Corporativos
Papeis e Responsabilidades
O Gerenciamento de Riscos Corporativos dentro da Entidade em Evolução
Princípio 3: Estipula a Cultura Desejada
Cultura e Comportamento Desejados
O Exercício do Julgamento
O Efeito da Cultura
O alinhamentos dos valores principais, da tomada de decisões e do comportamentoMudança

de Cultura
Uma Cultura em Mudança
Princípio 4: Demonstra Compromentimento com os Valores Essenciais
Refletindo Valores Essenciais em toda a Organização
Incorporação de uma Cultura Consciente dos Riscos
Reforçando a Responsabilidade
Assunção de Responsabilidade
Uma Comunicação Aberta e sem Retaliação
Resposta aos Desvios em Relação aos Valores Essenciais e aos Comportamentos

Princício 5: Atrai, Desenvolve e Retém os Indivíduos Capacitados
Estabelecimento e Avaliação de Competências
Atração, Desenvolvimento e Retenção de Indivíduos
Recompensando pelo Desempenho
Endereçando a Pressão
Preparando para a Sucessão
7. Definição dos Objetivos e da Estratégia
Introdução
Princípio 6: Analisa o Contexto dos Negócios
Entendimento do Contexto dos Negócios
Considerando o Ambiente Externo e as Partes Interessadas Externas
Considerando o Ambiente Interno e as Partes Interessadas Internas
Como o Contexto dos Negócios Afeta o Perfil de Risco
Princípio 7: Define o Apetite a Risco
Aplicando o Apetite a Riscos
Determinando o Apetite a Riscos
Articulação do Apetite a Riscos
Utilizando o Apetite a Riscos
Princípio 8: Avalia as Estratégias Alternativas
A importância do Alinhamento da Estratégia
Entendimento das Implicações da Estratégia Escolhida
Alinhando da Estratégia com o Apetite a Riscos
Realizando Alterações na Estratégia
Mitigando Vieses
Princípio 9: Formula os Objetivos de Negócio

Definindo os Objetivos de Negócio
Alinhando os Objetivos de Negócio
Entendendo as Implicações dos Objetivos de Negócio Escolhidos
Categorização dos Objetivos de Negócio
Definindo as Medidas e as Metas de Desempenho
Entendendo a Tolerância
Medidas de Desempenho e Tolerâncias Estabelecidas
8. Desempenho
Introdução
Princípio 10: Identifica os Riscos
Identificando os Riscos
Utilizando um Inventário dos Riscos
Abordagens à Identificação de Riscos
Enquadrando o Risco
Princípio 11: Avalia a Gravidade do Risco
Avaliando o Risco
Avaliando a Gravidade em Diferentes Níveis da Entidade
Selecionando Medidas de Gravidade
Abordagens de Avaliação
Riscos Inerentes, Riscos Almejados e Riscos Residuais
Retratando os Resultados da Avaliação
Identificando Fatores que Justificam uma Reavaliação
Viés na Avaliação
Princípio 12: Prioriza os Riscos
Estabelecendo Critérios
Priorizando Riscos
Utilizando o Apetite a Riscos para a Priorização de Riscos
Priorização em Todos os Níveis
Viés na Priorização
Princípio 13: Implementa as Respostas ao Risco
Escolhendo as Respostas ao Risco
Selecionando e Aplicando Respostas ao Risco
Considerando os Custos e os Benefícios das Respostas ao Risco
Considerações Adicionais
Princípio 14: Elabora uma Visão do Portfolio
Entendimento de uma Visão do Portfolio
Desenvolvendo uma Visão do portfolio
Analisando a Visão do Portfolio
9. Análise e Revisão
Introdução
Princípio 15: Avalia as Mudanças Substanciais
Integrando as Análises às Práticas de Negócio
Ambiente Interno
Ambiente Externo
Princípio 16: Avalia os Riscos e Desempenho
Considerando as Competências da Entidade
Princípio 17: Busca Melhorias no Gerenciamento de Riscos Corporativos
Buscando Melhorias
Princípio 18: Alavanca a Informação e a Tecnologia

Colocando as Informações Relevantes em Uso
Informações em Evolução
Fontes de Dados
Categorizando as Informações de Risco
Gerenciando Dados
Utilizando a Tecnologia para Suportar a Informação
Mudanças Requeridas
Princípio 19: Comunica Informações sobre Riscos
Comunicação com as Partes Interessadas
Comunicação com o Conselho
Métodos de Comunicação
Princípio 20: Elabora Reportes
Identificando os Usuários do Relatório e de suas Funções
Atributos do Reporte
Tipos de Reporte
Reportes para o Conselho
Reporte e Cultura
Indicadores-Chave
Frequência e Qualidade do Reporte
Glossário de Termos-Chave
Apêndice
Comitê de Entidades Patrocinadoras da Comissão Treadway
PwC—Autor
Agradecimentos
Conteúdo
A. Histórico do Projeto e Abordagem de Análise da Estrutura
B. Resumo dos Comentários Públicos
C. Papeis e Responsabilidades do Gerenciamento de Riscos Corporativos
D. Ilustrações de Perfis de Risco

=
espaço
Este projeto foi realizado pelo Committee of Sponsoring Organizations of the Treadway
Commission (COSO) (Comitê de Entidades Patrocinadoras da Comissão Treadway), cujo
propósito é fornecer thought leadership por meio do desenvolvimento de estruturas e diretrizes
abrangentes sobre os controles internos, o gerenciamento de riscos corporativos e a prevenção à
fraude para aprimorar o desempenho e a supervisão organizacionais e reduzir o número de
fraudes nas organizações. O COSO é uma iniciativa do setor privado, patrocinado e financiado
pelas seguintes entidades:
• American Accounting Association
• American Institute of Certified Public Accountants
• Financial Executives International
• Institute of Management Accountants
• The Institute of Internal Auditors

espaço acima - direitos autorais
© 2017 Todos os direitos reservados. Nenhuma parte desta publicação poderá ser reproduzida,
distribuída, transmitida ou exibida em qualquer forma ou por qualquer meio sem permissão por
escrito do COSO. P254469-01 0516
espaço
Prefácio
Visando a dar continuidade à sua missão global, o Conselho do COSO contratou a elaboração da
obra Enterprise Risk Management—Integrated Framework (Gerenciamento de Riscos
Corporativos — Estrutura Integrada) publicando-a em 2004. Ao longo dos últimos dez anos, essa
publicação obteve ampla aceitação por parte das organizações em seus esforços para gerenciar
riscos. No entanto, também durante esse período, a complexidade dos riscos mudou, novos
riscos surgiram, e tanto os conselhos quanto os executivos intensificaram a conscientização e a
supervisão em relação ao gerenciamento de riscos corporativos, ao mesmo tempo que
demandavam um processo melhor de elaboração e apresentação de informações sobre riscos.
Esta atualização da publicação de 2004 aborda a evolução do gerenciamento de riscos
corporativos e a necessidade das organizações de aprimorar sua abordagem do assunto para
atender às demandas de um ambiente de negócios em constante evolução.
O documento atualizado, agora intitulado Enterprise Risk Management—Integrating with

Strategy and Performance (Gerenciamento de Riscos Corporativos — Integração à Estratégia e
ao Desempenho), destaca a importância de avaliar os riscos tanto no processo de definição da
estratégia quanto no processo de estímulo ao desempenho. A primeira parte da publicação
atualizada apresenta uma perspectiva sobre os conceitos e as aplicações atuais e emergentes do
gerenciamento de riscos corporativos. A segunda parte, a Estrutura, foi organizada em cinco
componentes de fácil compreensão que apresentam diferentes pontos de vista e estruturas
operacionais e aprimoram as estratégias e a tomada de decisão. De modo resumido, esta
atualização:
• Apresenta maiores insights sobre o valor do gerenciamento de riscos corporativos ao definir e

colocar em prática uma estratégia.
• Intensifica o alinhamento entre o desempenho e o gerenciamento de riscos corporativos para

aprimorar a definição das metas de desempenho e o entendimento do impacto do risco sobre o
desempenho.
• Leva em conta as diferentes expectativas em relação à governança e à supervisão.
• Reconhece a globalização dos mercados e das operações e a necessidade de aplicar uma

abordagem comum, mas customizada, em todas as regiões.
• Apresenta novas formas de ver os riscos para definir e alcançar os objetivos no contexto de
uma maior complexidade de negócios.
• Expande a elaboração e a apresentação de informações para abordar expectativas em relação a

uma maior transparência para as partes interessadas.
• Considera as diferentes tecnologias emergentes e a proliferação de Data & Analytics como

suporte à tomada de decisão.
• Estabelece as definições, os componentes e os princípios mais importantes para todos os níveis
de gerenciamento envolvidos na elaboração, na implementação e na condução das práticas de
gerenciamento de riscos corporativos.
Os leitores poderão também querer consultar uma publicação complementar, o material Internal
Control—Integrated Framework (Controles Internos — Estrutura Integrada do COSO). São duas
publicações distintas, com focos diferentes e uma não substitui a outra. No entanto, elas estão
conectadas. A publicação Controles Internos — Estrutura Integrada abrange os controles
internos, que é um tópico mencionado parcialmente na publicação atualizada; dessa forma, o
documento anterior permanece viável e adequado para a elaboração, a implementação, a
condução e a avaliação de controles internos, bem como para um processo posterior de
elaboração e apresentação de informações.
O Conselho do COSO aproveita a oportunidade para agradecer a PwC por suas contribuições
para a publicação Gerenciamento de Riscos Corporativos — Integração à Estratégia e ao
Desempenho. A atenção integral da PwC às informações fornecidas por várias partes
interessadas, como também seus insights, foram fundamentais para assegurar que os pontos
fortes da publicação original fossem preservados e que o texto fosse redigido de forma mais clara
ou expandido nos pontos em que foi considerado necessário fazê-lo. O Conselho do COSO e a
PwC, juntos, gostariam também de agradecer o Conselho Consultivo e os Observadores por suas
contribuições para a avaliação e pelo fornecimento de feedback.
Robert B. Hirth
Dennis L. Chesley
Jr.
Sócio-líder de Projeto da PwC e Líder Global e na região da Ásia,
Presidente do
Américas e Pacífico da prática de Riscos e Regulamentações
COSO
espaço
Comitê de Entidades Patrocinadoras da

Comissão Treadway
Membros do Conselho
Robert B. Hirth Jr. Richard F. Chambers Mitchell A. Danaher
Presidente do COSO The Institute of Internal Auditors Financial Executives International
(IIA) (FEI)
Charles E. Landes Douglas F. Prawitt Sandra Richtermeyer

American Institute of Certified Public American Accounting Association Institute of Management
Accountants (AICPA) (AAA) Accountants (IMA)
PwC — Autor
Principais Colaboradores
Miles E.A. Everson Dennis L. Chesley Frank J. Martens
Líder do Trabalho e Líder Global e na Sócio-líder do Projeto e Líder Global e na Diretor-líder do Projeto e
região da Ásia, Américas e Pacífico da região da Ásia, Américas e Pacífico da Líder Global da Estrutura e da
prática de Advisory prática de Riscos e Regulamentações Metodologia de Risco
Nova York, EUA Washington DC, EUA Colúmbia Britânica, Canadá
Matthew Bagin Hélène Katz Katie T. Sylvis

Diretora Diretora Diretora
Washington DC, EUA Nova York, EUA Washington DC, EUA
Sallie Jo Perraglia Kathleen Crader Zelnik Maria Grimshaw

Gerente do Projeto Gerente do Projeto Sênior
Nova York, EUA Washington DC, EUA Nova York, EUA
espaço
O cenário de riscos em constante transformação

Nosso entendimento da natureza do risco e da arte e da ciência da escolha está no cerne da
economia moderna. Toda escolha que fazemos em busca dos objetivos tem seus riscos. Desde
as decisões operacionais do dia a dia até as essenciais concessões mútuas em reuniões do
conselho, lidar com o risco dessas escolhas faz parte da tomada de decisão.
À medida que buscamos otimizar uma série de possíveis resultados, percebemos que as decisões
raramente têm apenas dois aspectos, com uma resposta certa e a outra errada. Esse é o motivo
pelo qual o gerenciamento de riscos corporativos é tanto arte quanto ciência. E quando o risco é
levado em consideração na formulação da estratégia e dos objetivos de negócio de uma
organização, o gerenciamento de riscos corporativos auxilia na otimização dos resultados.
Nosso entendimento do risco e a nossa prática de gerenciamento de riscos corporativos foram

aperfeiçoados consideravelmente nas últimas décadas. No entanto, a margem de erros ainda está
sendo reduzida. O Fórum Econômico Mundial menciona em seu relatório as "crescentes
volatilidade, complexidade e ambiguidade do mundo."1Elas consistem em um fenômeno que
todos nós reconhecemos. As organizações deparam-se com desafios que afetam a
confiabilidade, a relevância e a confiança. As partes interessadas estão mais engajadas
atualmente, buscando uma transparência e uma responsabilização maiores em relação ao
gerenciamento do impacto dos riscos, ao mesmo tempo que avaliam a capacidade da liderança de
fazer com que as oportunidades se concretizem. Até o sucesso pode acarretar riscos negativos
adicionais — o risco de não ser capaz de atender a uma demanda inesperadamente alta ou de
manter a dinâmica de negócios prevista, por exemplo.
As organizações precisam ser mais flexíveis a mudanças. Elas precisam pensar estrategicamente
sobre como gerenciar as crescentes volatilidade, complexidade e ambiguidade do mundo,
particularmente nos níveis mais altos da organização e no Conselho, onde os interesses em jogo
são mais importantes.
A publicação Gerenciamento de Riscos Corporativos — Integração à Estratégia e ao

Desempenho oferece uma Estrutura ao conselho e à administração de entidades de todos os
portes. Ela baseia-se no atual nível de gerenciamento de riscos existente no curso normal dos
negócios. Além disso, ela mostra como a integração de práticas de gerenciamento de riscos
corporativos a todas as áreas de uma empresa ajuda a acelerar o crescimento e a melhorar o
desempenho. Ela contém também os princípios que podem ser aplicados — desde a tomada de
decisão estratégica até o desempenho.
A seguir, descrevemos por que faz sentido que a administração e os conselhos utilizem a
estrutura de gerenciamento de riscos corporativos,2 o que as organizações alcançaram aplicando o
gerenciamento de riscos corporativos, e quais benefícios adicionais podem ser obtidos por meio
do seu uso contínuo. Concluímos com uma análise do futuro.
Guia de Gerenciamento de Riscos Corporativos da Administração
A administração assume toda a responsabilidade por gerenciar os riscos para e entidade, mas é
importante que ela vá além disso: ela deve intensificar as conversas que tem com o conselho e
com as partes interessadas sobre o uso do gerenciamento de riscos corporativos para obter
vantagem competitiva. Isso começa com o uso das competências em gerenciamento de riscos
corporativos como parte da seleção e do aprimoramento de uma estratégia.
A administração, em particular, obterá, por meio desse processo, um entendimento de como a

consideração explícita do risco pode afetar a escolha da estratégia. O gerenciamento de riscos
corporativos enriquece o diálogo da administração contribuindo com uma perspectiva dos pontos
fortes e dos pontos fracos de uma estratégia à medida que as condições mudam e do nível de
enquadramento dessa estratégia em relação à missão e à visão da organização. Ele permite que a
administração se sinta mais confiante de que examinou as estratégias alternativas e considerou as
informações daqueles que irão implementar a estratégia selecionada na organização.
Assim que a estratégia for definida, o gerenciamento de riscos corporativos proporcionará à

administração uma forma eficaz de atender aos requisitos de sua função, estando ciente de que a
organização está atenta aos riscos que podem impactar sua estratégia e é capaz de gerenciá-los de
modo satisfatório. A aplicação do gerenciamento de riscos corporativos ajuda a desenvolver e
inspirar confiança das partes interessadas no ambiente atual, o que requer uma verificação mais
minuciosa do que nunca sobre como os riscos estão sendo abordados e gerenciados de maneira
ativa pela área.
O Guia de Gerenciamento de Riscos Corporativos do Conselho

Todo conselho tem uma função de supervisão, ajudando a prestar suporte à geração de valor em
uma entidade e evitando que ela enfraqueça. Tradicionalmente, o gerenciamento de riscos
corporativos tem exercido uma importante função de suporte no nível de conselho. Agora,
espera-se cada vez mais que os conselhos supervisionem o gerenciamento de riscos corporativos.
A Estrutura apresenta importantes considerações para os conselhos definirem e abordarem suas

responsabilidades pela supervisão de riscos. Essas considerações incluem governança e cultura;
definição dos objetivos e da estratégia; desempenho; informação, comunicação e elaboração &
apresentação de informações; e análise e revisão das práticas visando a aprimorar o desempenho
da entidade.
A função de supervisão de riscos do conselho pode incluir, entre outras coisas:
• Analisar e contestar:
−A estratégia e o apetite pelo risco propostos.
−O alinhamento da estratégia e dos objetivos de negócio com a missão, a visão e os valores

principais da entidade.
−As decisões de negócio significativas, incluindo fusões e aquisições, alocações de capital,
captação de recursos financeiros e decisões referentes a dividendos.
−As respostas a oscilações significativas no desempenho ou na visão do risco da carteira da

entidade.
−As respostas aos casos de desvio dos valores principais. A função de supervisão de riscos do
conselho inclui também chegar a um acordo em relação a todos esses itens juntamente com
a administração.
• Aprovar os incentivos e a remuneração da administração.
• Participar dos relacionamentos com investidores e com partes interessadas.
No prazo mais longo, o gerenciamento de riscos corporativos pode também aprimorar a

resiliência da empresa — sua capacidade de antecipar-se às mudanças e responder a elas. Ele
auxilia as organizações na identificação dos fatores que representam não somente riscos, mas
também mudanças, e de como essas mudanças poderiam impactar o desempenho e requerem
uma modificação na estratégia. Ao ver a mudança de modo mais claro, a organização pode
moldar seus próprios planos; por exemplo, ela deveria recuar de modo defensivo ou investir em
um novo negócio? O gerenciamento de riscos corporativos proporciona a estrutura certa para os
conselhos avaliarem o risco e adotarem uma mentalidade de incentivo à resiliência.
Questões para a administração
A administração como um todo — e não somente os diretores de riscos — é capaz de articular como
os riscos são considerados na seleção da estratégia ou nas decisões de negócio? é capaz de articular
claramente o apetite a riscos da entidade e como ele pode influenciar uma decisão específica? A
conversa resultante pode esclarecer como o enfoque em assumir riscos realmente funciona na
organização.
Os conselhos podem também pedir à alta administração que ela fale não somente sobre os processos
de riscos, mas também sobre a cultura de riscos. Como a cultura permite ou inibe uma assunção de
riscos responsável? Sob que perspectiva a administração monitora a cultura de riscos e como isso
mudou? À medida que as coisas mudarem — e elas mudarão independentemente do fato de estarem
ou não no radar da entidade, — de que forma o conselho poderá estar seguro em relação a uma
resposta apropriada e tempestiva por parte da administração?
O que o Gerenciamento de Riscos Corporativos alcançou até agora

O COSO publicou a obra Gerenciamento de Riscos Corporativos — Estrutura integrada em
2004. O propósito dessa publicação consistia em ajudar as entidades a proteger melhor e
aprimorar o valor das partes interessadas. Sua filosofia era de que "o valor é maximizado quando
a administração estabelece uma estratégia e objetivos para alcançar o equilíbrio ideal entre as
metas de crescimento e de retorno e os riscos a elas associados, utilizando seus recursos de modo
eficaz e eficiente na busca dos objetivos da entidade."3
Desde sua publicação, a Estrutura tem sido utilizada com êxito em todas as partes do mundo, em
todos os setores e em organizações de todos os tipos e portes para identificar riscos e gerenciá-
los de acordo com um determinado apetite a riscos, bem como para respaldar a consecução dos
objetivos. Mesmo assim, embora muitas empresas tenham aplicado a Estrutura na prática, ela
pode ser utilizada de modo ainda mais amplo. Ela se beneficiaria de uma verificação mais
profunda e clara de certos aspectos e fornece maiores insights sobre os vínculos entre estratégia,
risco e desempenho. Em resposta, contudo, a Estrutura atualizada desta publicação:
• Conecta de modo mais claro o gerenciamento de riscos corporativos com as diversas

expectativas das partes interessadas.
• Posiciona os riscos no contexto de desempenho de uma organização, e não como tema de um

exercício isolado.
• Permite que as organizações prevejam melhor os riscos para que possam antecipar-se a eles,
compreendendo que a mudança gera oportunidades, e não apenas o potencial para crises.
Essa atualização também é uma forma de responder à necessidade de uma maior ênfase em como
o gerenciamento de riscos corporativos influencia a estratégia e seu desempenho.
Esclarecimento de algumas interpretações equivocadas
Ouvimos algumas interpretações equivocadas em relação à Estrutura original desde que ela foi
lançada em 2004. Para esclarecer os fatos:
O gerenciamento de riscos corporativos não é uma área nem um departamento. É a cultura, as

competências e as práticas que as organizações integram à definição da estratégia e aplicam quando
colocam essa estratégia em prática, com o propósito de gerenciar os riscos da geração, da
preservação e da realização do valor.
O gerenciamento de riscos corporativos é mais do que uma lista de riscos. Ele requer mais do
que apenas elaborar um inventário de todos os riscos a que a organização está exposta. Ele é mais
abrangente e inclui práticas que a administração implementa para gerenciar os riscos de forma ativa.
O gerenciamento de riscos corporativos aborda mais do que controles internos. Ele também
trata de outros tópicos, tais como a definição da estratégia, a governança, a comunicação com as
partes interessadas e a mensuração do desempenho. Seus princípios aplicam-se a todos os níveis e a
todas as áreas da organização.
O gerenciamento de riscos corporativos não é um checklist. Ele é um conjunto de princípios com

base nos quais os processos podem ser desenvolvidos ou integrados para uma determinada
organização, além de ser um sistema de monitoramento, de aprendizado e de aprimoramento do
desempenho.
O gerenciamento de riscos corporativos pode ser utilizado por organizações de qualquer

porte. Se uma organização tiver uma missão, uma estratégia e objetivos — e a necessidade de
tomar decisões que considerem os riscos exaustivamente — então o gerenciamento de riscos
corporativos pode ser aplicado. Ele pode e deve ser aplicado por todos os tipos de organizações,
desde as pequenas empresas até as empresas sociais baseadas na comunidade, os órgãos
governamentais e as empresas que compõem a lista da Fortune 500.
Benefícios de um Gerenciamento de Riscos Corporativos Eficaz

Todas as organizações precisam definir uma estratégia e ajustá-la periodicamente, estando
sempre cientes tanto das oportunidades de geração de valor em constante transformação quanto
dos desafios que surgirão durante a busca por esse valor. Para isso, elas precisam de uma
estrutura que seja a melhor possível para otimizar a estratégia e o desempenho.
E é nesse momento que o gerenciamento de riscos corporativos entra em jogo. As organizações

que integram o gerenciamento de riscos corporativos a todos os seus setores podem obter muitos
benefícios, incluindo (entre outros):
•A ampliação do leque de oportunidades: Ao considerar todas as possibilidades — tanto os

aspectos positivos quanto os aspectos negativos dos riscos — a administração pode identificar
novas oportunidades e desafios singulares associados às oportunidades atuais.
Identificação e gerenciamento dos riscos por toda a entidade: Toda entidade enfrenta uma grande
quantidade de riscos que pode afetar várias áreas da organização. Às vezes, um risco pode ter
origem em uma área da entidade, mas acabar impactando outra área desta. Consequentemente,
a administração identifica e gerencia esses riscos que afetam a entidade como um todo para
manter e aprimorar o desempenho.
•Aumento dos resultados positivos e das vantagens e redução das surpresas negativas: O
gerenciamento de riscos corporativos permite que as entidades aprimorem sua capacidade de
identificar riscos e de definir respostas adequadas a eles, reduzindo surpresas e custos ou
prejuízos relacionados, enquanto beneficiam-se de desdobramentos positivos.
•Redução da variabilidade do desempenho: Para algumas organizações, o desafio consiste mais

em uma variabilidade no desempenho do que em surpresas e prejuízos. Realizar e entregar um
serviço antecipadamente ou de modo que exceda as expectativas pode ser tão preocupante
quanto realizar e entregar um serviço fora do prazo e de modo que não atenda às expectativas.
O gerenciamento de riscos corporativos permite que as organizações prevejam os riscos que
poderiam afetar seu desempenho e sejam capazes de implementar as medidas necessárias para
minimizar a disrupção e maximizar a oportunidade.
•Aprimoramento da utilização dos recursos: Todo risco poderia ser considerado um pedido de
recursos. A obtenção de informações sólidas sobre os riscos permite que a administração,
dispondo de recursos finitos, avalie as necessidades gerais de recursos, priorize os casos em
que os recursos são mais urgentes e aprimore sua alocação.
•Aprimoramento da resiliência da empresa: A viabilidade a médio e longo prazos de uma

entidade depende de sua capacidade de antecipar-se e responder às mudanças, não somente
para sobreviver, mas também para evoluir e prosperar. Isso é possível, em parte, por meio do
gerenciamento de riscos corporativos eficaz. Ele passa a ser cada vez mais importante à
medida que o ritmo das mudanças acelera e a complexidade dos negócios aumenta.
Esses benefícios enfatizam o fato de que o risco não deve ser visto somente como uma restrição
ou um desafio potenciais à elaboração e à concretização da estratégia. Em vez disso, a mudança
na qual o risco se baseia e as respostas organizacionais ao risco proporcionam oportunidades
estratégicas e competências-chave diferenciais.
A Função do Risco na Seleção da Estratégia

A seleção da estratégia consiste em fazer escolhas e aceitar concessões mútuas. Dessa forma, faz
sentido aplicar o gerenciamento de riscos corporativos, pois é a melhor abordagem para colocar
em prática a arte e a ciência de tomar decisões com base em informações concretas.
O risco é uma consideração a ser feita em muitos processos de definição da estratégia. No

entanto, o risco muitas vezes é avaliado principalmente em relação ao seu potencial efeito em
uma estratégia já definida. Em outras palavras, as discussões enfocam os riscos para a estratégia
atual: Implementamos uma estratégia, o que poderia afetar a relevância e a viabilidade da nossa
estratégia?
No entanto, existem outras perguntas referentes à estratégia que as organizações estão ficando
cada vez melhores em fazer: Moldamos a demanda do cliente com precisão? A nossa cadeia de
suprimentos irá entregar no prazo e de acordo com o orçamento estipulado? Surgirão novos
concorrentes? A nossa infraestrutura tecnológica está à altura da tarefa? Esses são os tipos de
perguntas que os executivos enfrentam todos os dias, e responder a elas é fundamental para
colocar a estratégia em prática.
No entanto, o risco para a estratégia escolhida é somente um aspecto a ser considerado. Como
esta Estrutura enfatiza, existem dois aspectos adicionais do gerenciamento de riscos corporativos
que podem ter um efeito bem maior sobre o valor de uma entidade: a possibilidade de
desalinhamento da estratégia e as implicações da estratégia escolhida.
O primeiro deles, a possibilidade de a estratégia não estar alinhada à missão, à visão e aos
valores principais da organização é fundamental para as decisões que servem de base para a
seleção de uma estratégia. Cada entidade tem uma missão, uma visão e seus valores principais,
que definem o que ela está tentando alcançar e como ela quer conduzir o negócio. Algumas
organizações adotam uma postura cética em relação a realmente incorporar suas convicções
empresariais. Contudo, a missão, a visão e os valores principais demonstraram ser importantes
— e eles são ainda mais importantes quando se trata de gerenciar riscos e de permanecer
resiliente durante períodos de mudança.
A estratégia escolhida deve prestar suporte à missão e à visão da organização. Uma estratégia
desalinhada aumenta a possibilidade de a organização não realizar sua missão e sua visão ou
pode comprometer seus valores, mesmo se a estratégia tiver sido executada com êxito. Dessa
forma, o gerenciamento de riscos corporativos considera a possibilidade de a estratégia não estar
alinhada à missão e à visão da organização.
O outro aspecto consiste nas implicações da estratégia escolhida. Quando a administração

desenvolve uma estratégia e trabalha em alternativas com o conselho, ela toma decisões sobre as
concessões mútuas inerentes à estratégia. Cada estratégia alternativa tem seu próprio perfil de
risco — essas são as implicações decorrentes da estratégia. O conselho de administração e a
administração precisam determinar como a estratégia funciona em paralelo ao apetite a riscos da
organização, como ela ajudará a organização a definir os objetivos e, por fim, como ela irá alocar
os recursos de modo eficiente.
O que é importante: O gerenciamento de riscos corporativos consiste tanto em entender as

implicações da estratégia e a possibilidade de desalinhamento dessa estratégia quanto em
gerenciar riscos para definir os objetivos. A figura abaixo mostra essas considerações no
contexto da missão, da visão e dos valores principais da organização e como um fator que
influencia o direcionamento e o desempenho gerais de uma entidade.
Figura 1: Estratégia em Contexto
O gerenciamento de riscos corporativos, do modo como ele geralmente vem sendo praticado,
auxiliou muitas organizações na identificação, na avaliação e no gerenciamento dos riscos para a
estratégia. No entanto, as causas mais significativas da destruição do valor estão subjacentes à
possibilidade de a estratégia não apoiar a missão e a visão da entidade e às implicações da
estratégia.
O gerenciamento de riscos corporativos aprimora a seleção da estratégia. A escolha de uma

estratégia requer uma tomada de decisão estruturada que analisa os riscos e alinha os recursos à
missão e à visão da organização.
Uma Estrutura Focada
A publicação Gerenciamento de Riscos Corporativos — Integração à Estratégia e ao
Desempenho esclarece a importância do gerenciamento de riscos corporativos no planejamento
estratégico e de sua incorporação pela organização como um todo — porque o risco influencia e
alinha a estratégia e o desempenho em todos os departamentos e em todas as áreas.
Figura 2: Governança de Riscos Corporativos
A Estrutura em si é um conjunto de princípios organizados em cinco componentes inter-

relacionados:
1. Governança e Cultura: A governança define a diretriz da organização, reforçando a

importância do gerenciamento de riscos corporativos, bem como estabelecendo
responsabilidades pela supervisão deste. A cultura está relacionada a valores éticos,
comportamentos almejados e entendimento dos riscos na entidade.
2. Definição dos Objetivos e da Estratégia: O gerenciamento de riscos corporativos, a

estratégia e a definição de objetivos trabalham em conjunto no processo de planejamento
estratégico. Um apetite a riscos é estabelecido e alinhado à estratégia; os objetivos de negócio
colocam a estratégia em prática ao mesmo tempo que servem de base para identificar e
avaliar o risco, bem como para responder a ele.
3. Desempenho: Os riscos que podem impactar o alcance da estratégia e dos objetivos de

negócio precisam ser identificados e avaliados. Os riscos são priorizados por nível de
gravidade no contexto de apetite a riscos. A organização então seleciona as respostas ao risco
e analisa a quantidade de riscos que ela assumiu em carteira. Os resultados desse processo são
relatados às principais partes interessadas no risco.
4. Análise e Revisão: Ao analisar seu desempenho, a organização pode levar em consideração
quão bem os componentes do gerenciamento de riscos corporativos estão funcionando ao
longo do tempo e à luz de mudanças substanciais e quais revisões são necessárias.
5. Informação, Comunicação e Elaboração & Apresentação de Informações: O

gerenciamento de riscos corporativos requer um processo contínuo de obtenção e de
compartilhamento das informações necessárias, tanto de fontes internas como de fontes
externas, que circulam por toda a organização, dos níveis mais baixos aos mais altos e vice-
versa.
Os cinco componentes da Estrutura atualizada são respaldados por um conjunto de princípios.4

Esses princípios abrangem tudo, desde a governança até o monitoramento. Eles podem ser
gerenciados em termos de tamanho, descrevendo as práticas que podem ser aplicadas de
diferentes formas para diferentes organizações, independentemente do porte, do tipo ou do setor
de atuação. A adesão a esses princípios pode criar uma expectativa razoável por parte da
administração e do conselho de que a organização não somente entende os riscos associados à
sua estratégia e aos seus objetivos de negócio como também se empenha para gerenciá-los.
Uma análise do futuro

Não há dúvida de que as organizações continuarão a enfrentar um futuro repleto de volatilidade,
complexidade e ambiguidade. O gerenciamento de riscos corporativos será uma parte
importante de como uma organização gerencia e prospera nesses momentos.
Independentemente do tipo e do porte da entidade, as estratégias precisam ser fiéis à sua missão.
E todas as organizações precisam apresentar atributos que estimulem uma resposta eficaz às
mudanças, incluindo uma ágil tomada de decisão, a capacidade de responder de modo
consistente, bem como a capacidade de adaptação para mudar de direção e reposicionar-se
enquanto mantêm altos níveis de confiança entre as partes interessadas.
Quando analisamos o futuro, descobrimos que existem várias tendências que afetarão o
gerenciamento de riscos corporativos. Quatro delas consistem em:
•Lidar com a proliferação de dados: A crescente quantidade de dados acessível e o aumento da

velocidade com a qual os dados podem ser analisados estão fazendo com que o gerenciamento
de riscos corporativos precise se adaptar. Os dados virão tanto de dentro quanto de fora da
entidade e serão estruturados de novas formas. Ferramentas avançadas de análise e de
visualização de dados evoluirão e serão muito úteis para que as organizações entendam os
riscos e seu impacto — tanto positivo quanto negativo.
•Utilizar ao máximo a inteligência artificial e a automação: Muitas pessoas sentem que o mundo
entrou na era dos processos automatizados e da inteligência artificial. Independentemente de
convicções individuais, é importante que as práticas de gerenciamento de riscos corporativos
considerem o impacto das tecnologias atuais e futuras e aprimorem ao máximo suas
funcionalidades. Relacionamentos, tendências e padrões que antes eram indetectáveis agora
podem ser revelados, apresentando uma valiosa fonte de informações críticas para o
gerenciamento de riscos.
•Administrar o custo do gerenciamento de riscos: Uma preocupação constante demonstrada por

muitos executivos de negócio é o custo do gerenciamento de riscos, dos processos de
compliance e das atividades de controle em comparação com o valor obtido. À medida que as
práticas de gerenciamento de riscos corporativos evoluem, é importante que as atividades que
abranjam risco, compliance, controle e até governança sejam coordenadas de modo eficiente
para que ofereçam os benefícios máximos à organização. Essa pode ser uma das melhores
oportunidades para o gerenciamento de riscos corporativos redefinir sua importância diante da
organização.
•Construir organizações mais fortes: À medida que as organizações se tornarem melhores em

integrar o gerenciamento de riscos corporativos à sua estratégia e ao seu desempenho, surgirá
uma oportunidade de aumentar a resiliência. Quando estão cientes dos riscos que terão o
maior impacto sobre elas, as organizações podem utilizar o gerenciamento de riscos
corporativos para auxiliá-las na implementação das competências que permitirão que elas ajam
antecipadamente. Isso trará outras novas oportunidades.
De forma resumida, o gerenciamento de riscos corporativos precisará mudar e adaptar-se ao

futuro para ser capaz de oferecer de modo consistente os benefícios descritos na Estrutura. Com
o foco correto, os benefícios oriundos do gerenciamento de riscos corporativos superarão os
investimentos e proporcionarão às organizações uma segurança em sua capacidade de lidar com
o futuro.
The Global Risks Report 2016 (Relatório Global de Riscos 2016), 11ª edição, Fórum Econômico Mundial (2016).
1
2
A Estrutura usa o termo "conselho de administração" ou "conselho", que abrange o órgão deliberativo, incluindo conselho,
conselho supervisor, conselho consultivo, sócios ou proprietários.
3
Gerenciamento de Riscos Corporativos — Estrutura Integrada, Sumário Executivo, COSO (2004).
Uma descrição mais completa desses 20 princípios será apresentada no final deste documento.
4
espaço
Agradecimentos
Um agradecimento especial às seguintes empresas e organizações por permitirem a participação
dos Membros do Conselho Consultivo e dos Observadores.
Membros do Conselho Consultivo

Empresas e Organizações
• Athene USA (Jane Karli)
• Edison International (David J. Heller)
• First Data Corporation (Lee Marks)
• Georgia-Pacific LLC (Paul Sobel)
• Invesco Ltd. (Suzanne Christensen)
• Microsoft (Jeff Pratt)
• Departamento de Comércio dos Estados Unidos (Karen Hardy)
• United Technologies Corporation (Margaret Boissoneau)
• Zurich Insurance Company (James Davenport)
Instituições de Ensino Superior e Associações
• North Carolina State University (Mark Beasley)
• St. John’s University (Paul Walker)
• The Institute of Internal Auditors (Douglas J. Anderson)
Empresas de Serviços Profissionais
• Crowe Horwath LLP (William Watts)
• Deloitte & Touche LLP (Henry Ristuccia)
• Ernst & Young (Anthony J. Carmello)
• James Lam & Associates (James Lam)
• Grant Thornton LLP (Bailey Jordan)

• KPMG LLP Americas (Deon Minnaar)
• Mercury Business Advisors Inc. (Patrick Stroh)
• Protiviti Inc. (James DeLoach)
Ex-membro do Conselho do COSO
• Presidente do COSO, 2009–2013 (David Landsittel)
Observadores
• Federal Deposit Insurance Corporation (Harrison Greene)
• Government Accountability Office (equivalente à Controladoria Geral da União no Brasil)

(James Dalkin)
• Institute of Management Accountants (Jeff Thompson)
• Institut der Wirtschaftsprüfer (Horst Kreisel)
• International Federation of Accountants (Vincent Tophoff)
• ISACA (Jennifer Bayuk)
• Risk Management Society (Carol Fox)

espaço
Componentes e Princípios
1. Aplica a Supervisão de Riscos do Conselho — O conselho de administração realiza uma
supervisão da estratégia e cumpre as responsabilidades pela governança para prestar
suporte à administração em termos de concretização da estratégia e dos objetivos de
negócio da organização.
2. Estabelece Estruturas Operacionais — a organização estabelece estruturas operacionais na

busca pela estratégia e pelos objetivos de negócio.
3. Estipula a Cultura Desejada— A organização estipula os comportamentos desejados que

caracterizam a cultura desejada da entidade.
4. Demonstra Comprometimento com os Valores Principais— A organização demonstra um

comprometimento com os valores principais da entidade.
5. Atrai, Desenvolve e Retém os Indivíduos Capacitados— A organização está comprometida

em desenvolver capital humano de forma alinhada à estratégia e aos objetivos de negócio.
6. Analisa o Contexto dos Negócios — A organização analisa os potenciais efeitos do contexto

dos negócios sobre o perfil de risco.
7. Define o Apetite a riscos— A organização define o apetite a riscos no contexto de geração,

preservação e realização do valor.
8. Avalia as Estratégias Alternativas — A organização avalia as estratégias alternativas e o

impacto potencial sobre o perfil de risco.
9. Formula os Objetivos de Negócio — A organização analisa o risco enquanto estabelece os

objetivos de negócio em vários níveis de forma que se alinhem e prestem suporte à
estratégia.
10. Identifica os Riscos— A organização identifica os riscos que impactam a concretização da

estratégia e dos objetivos de negócio.
11. Avalia a Gravidade do Risco — A organização avalia a gravidade do risco.
12. Prioriza os Riscos— A organização prioriza os riscos como uma base para a seleção das
respostas a esses riscos.
13. Implementa as Respostas ao Risco— A organização identifica e seleciona as respostas ao

risco.
14. Elabora uma Visão do portfolio — A organização elabora e avalia uma visão do portfolio
de riscos.
15. Avalia as Mudanças Substanciais — A organização identifica e avalia as mudanças que
podem afetar substancialmente a estratégia e os objetivos de negócio.
16. Avalia os Riscos e o Desempenho — A organização avalia o desempenho e os riscos da

entidade.
17. Busca Melhorias no Gerenciamento de Riscos Corporativos — A organização busca

melhorias no gerenciamento de riscos corporativos.
18. Utiliza ao Máximo os Sistemas de Informação — A organização utiliza ao máximo seus

sistemas de informação e tecnologia para prestar suporte ao gerenciamento de riscos
corporativos.
19. Comunica Informações sobre Riscos — A organização usa canais de comunicação para
prestar suporte ao gerenciamento de riscos corporativos.
20. Elabora e Apresenta Informações sobre Riscos, Cultura e Desempenho — A organização

elabora e apresenta informações sobre riscos, cultura e desempenho em diversos níveis da
entidade como um todo.
Estrutura
espaço
por:
• American Accounting Association
• American Institute of Certified Public Accountants
• Financial Executives International
• Institute of Management Accountants
• The Institute of Internal Auditors

© 2017 Todos os direitos reservados. Nenhuma parte desta publicação poderá ser reproduzida, distribuída novamente,
transmitida ou exibida em qualquer forma ou por qualquer meio sem permissão por escrito do COSO.
espaço

Comissão Treadway
Membros do Conselho
Presidente do COSO The Institute of Internal Auditors Financial Executives International
(IIA) (FEI)

American Institute of Certified Public American Accounting Association Institute of Management
Accountants (AICPA) (AAA) Accountants (IMA)
PwC — Autor
Líder do Trabalho e Líder Global e na Sócio-líder do Projeto e Líder Global e na Diretor-líder do Projeto e
região da Ásia, Américas e Pacífico da região da Ásia, Américas e Pacífico da Líder Global da Estrutura e da
prática de Advisory prática de Riscos e Regulamentações Metodologia de Risco
Nova York, EUA Washington DC, EUA Colúmbia Britânica, Canadá


espaço
Prefácio
Visando a dar continuidade à sua missão global, o Conselho do COSO contratou a elaboração da
obra Gerenciamento de Riscos Corporativos — Estrutura Integrada, publicando-a em 2004. Ao
longo dos últimos dez anos, essa publicação obteve ampla aceitação por parte das organizações
em seus esforços para gerenciar riscos. No entanto, também durante esse período, a
complexidade dos riscos mudou, novos riscos surgiram, e tanto os conselhos quanto os
executivos intensificaram a conscientização e a supervisão em relação ao gerenciamento de
riscos corporativos, ao mesmo tempo que demandavam um processo melhor de elaboração e
apresentação de informações sobre riscos. Esta atualização da publicação de 2004 aborda a
evolução do gerenciamento de riscos corporativos e a necessidade das organizações de aprimorar
sua abordagem do assunto para atender às demandas de um ambiente de negócios em constante
evolução. É uma estrutura concisa para o gerenciamento de riscos corporativos no seio da
organização de modo a aumentar a confiança da administração e das partes interessadas.
O documento atualizado, agora intitulado Gerenciamento de Riscos Corporativos — Integração

à Estratégia e ao Desempenho, destaca a importância de avaliar os riscos tanto no processo de
definição da estratégia quanto no processo de estímulo ao desempenho. A primeira parte da
publicação atualizada apresenta uma perspectiva sobre os conceitos e as aplicações atuais e
emergentes do gerenciamento de riscos corporativos. A segunda parte, a Estrutura, foi
organizada em cinco componentes de fácil compreensão que levam em consideração diferentes
pontos de vista e estruturas operacionais e aprimora as estratégias e a tomada de decisão. De
modo resumido, esta atualização:
• Apresenta maiores insights sobre o valor do gerenciamento de riscos corporativos ao definir e

colocar em prática uma estratégia.
• Intensifica o alinhamento entre o desempenho e o gerenciamento de riscos corporativos para

aprimorar a definição das metas de desempenho e o entendimento do impacto do risco sobre o
desempenho.
• Leva em conta as diferentes expectativas em relação à governança e à supervisão.
• Reconhece a globalização dos mercados e das operações e a necessidade de aplicar uma

abordagem comum, mas customizada, em todas as regiões.
• Apresenta novas formas de ver os riscos para definir e alcançar os objetivos no contexto de
uma maior complexidade de negócios.
• Expande a elaboração e a apresentação de informações para abordar expectativas em relação a

uma maior transparência para as partes interessadas.
• Considera as diferentes tecnologias emergentes e a proliferação de Data & Analytics como

suporte à tomada de decisão.
• Estabelece as definições, os componentes e os princípios mais importantes para todos os níveis
de gerenciamento envolvidos na elaboração, na implementação e na condução das práticas de
Os leitores poderão também querer consultar uma publicação complementar, o material

Controles Internos — Estrutura Integrada do COSO. São duas publicações distintas, com focos
diferentes e uma não substitui a outra. No entanto, elas estão conectadas. A publicação
Controles Internos — Estrutura Integrada abrange os controles internos, que é um tópico
mencionado parcialmente na publicação atualizada; dessa forma, o documento anterior
permanece viável e adequado para a elaboração, a implementação, a condução e a avaliação de
controles internos, bem como para um processo posterior de elaboração e de apresentação de
informações.
O Conselho do COSO aproveita a oportunidade para agradecer a PwC por suas contribuições
para a publicação Gerenciamento de Riscos Corporativos — Integração à Estratégia e ao
Desempenho. A atenção integral da PwC às informações fornecidas por várias partes
interessadas, como também seus insights, foram fundamentais para assegurar que os pontos
fortes da publicação original fossem preservados e que o texto fosse redigido de forma mais clara
ou expandido nos pontos em que foi considerado necessário fazê-lo. O Conselho do COSO e a
PwC, juntos, gostariam também de agradecer o Conselho Consultivo e os Observadores por suas
contribuições para a avaliação e pelo fornecimento de feedback.
Robert B. Hirth
Dennis L. Chesley
Jr.
Sócio-líder de Projeto da PwC e Líder Global e na região da Ásia,
Presidente do
Américas e Pacífico da prática de Riscos e Regulamentações
COSO
espaço
Conteúdo
Aplicação da Estrutura: Contextualização

1. Introdução
2. Entendimento dos Termos: Riscos e Gerenciamento de Riscos Corporativos
3. Estratégia, Objetivos do Negócio e Desempenho
4. Integração do Gerenciamento de Riscos Corporativos
Estrutura
8. Desempenho
10. Informação, Comunicação e Elaboração & Apresentação de Informações
espaço
Aplicação da Estrutura:
Contextualização
espaço
1. Introdução
A incorporação da prática de gerenciamento de riscos corporativos à
organização como um todo melhora a tomada de decisão na
definição da governança, da estratégia, da definição de objetivos e
das operações do dia a dia. Isso ajuda a aprimorar o desempenho
criando um vínculo mais estreito entre a estratégia e os objetivos de
negócio e os riscos. O esforço necessário para integrar o
gerenciamento de riscos corporativos proporciona à entidade um
caminho mais claro para gerar, preservar e realizar valor.
Uma discussão sobre gerenciamento de riscos corporativos1começa com essa premissa

subjacente: toda entidade— seja ela com fins lucrativos, seja sem fins lucrativos ou
governamental — existe para gerar valor para suas partes interessadas. Esta publicação foi
elaborada com base em uma premissa relacionada: todas as entidades enfrentam riscos na busca
pelo valor. Os conceitos e os princípios do gerenciamento de riscos corporativos definidos nesta
publicação destinam-se a ser aplicados a todas as entidades, independentemente de sua estrutura
jurídica, do seu porte ou do setor ou da região em que operam.
O risco afeta a capacidade da organização de alcançar sua estratégia e seus objetivos de negócio.
Dessa forma, um dos desafios da administração é determinar a proporção de riscos2 que a
organização é capaz de aceitar e para a qual está preparada. Um gerenciamento de riscos
corporativos eficaz permite que o conselho e a administração otimizem os resultados visando a
aperfeiçoar suas competências na geração, na preservação e, por fim, na realização de valor.
A administração dispõe de muitas opções quando se trata de como ela irá aplicar as práticas de
gerenciamento de riscos corporativos, e nenhuma abordagem é melhor do que a outra. No
entanto, para uma entidade, uma abordagem pode proporcionar mais benefícios em relação a
outra e estar mais bem alinhada com a filosofia geral de administração da organização. Esta
Estrutura estipula uma estrutura conceitual básica de ideias, as quais a organização integra a
outras práticas que ocorrem dentro da entidade. Os leitores que estiverem buscando informações
que abranjam mais do que uma estrutura, ou ainda diferentes práticas que possam ser aplicadas
para integrar conceitos de gerenciamento de riscos corporativos a uma entidade, considerarão
úteis os anexos no Volume II desta publicação.
O Gerenciamento de Riscos Corporativos afeta o Valor
O valor de uma entidade é consideravelmente determinado pelas decisões que a administração
toma — desde as decisões de estratégia gerais até as decisões do dia a dia. Essas decisões
podem determinar se o valor é gerado, preservado, obtido ou reduzido.
• Há criação de valor quando os benefícios obtidos dos recursos empregados excederem o custo
dos recursos. Por exemplo, quando um novo produto é elaborado e lançado de maneira bem-
sucedida e a margem de lucro é positiva ocorre a geração de valor. Esses recursos poderiam
ser pessoas, capital financeiro, tecnologia, processos e presença de mercado (marca).
• O valor é preservado quando o valor dos recursos utilizados nas operações do dia a dia mantém
os benefícios gerados. Por exemplo, o valor é preservado quando produtos, serviços e
capacidade de produção de nível superior são oferecidos, resultando em clientes e partes
interessadas satisfeitos e fiéis.
• O valor é reduzido quando a administração implementa estratégias que não proporcionam os

resultados esperados ou não conseguem executar as tarefas diárias. Por exemplo, ocorre a
redução do valor quando recursos significativos são consumidos para desenvolver um novo
produto que é posteriormente abandonado.
• O valor é obtido quando as partes interessadas obtêm os benefícios gerados pela entidade. Os
benefícios podem ser monetários ou não monetários.
O modo como o valor é gerado depende do tipo da entidade. As entidades com fins lucrativos
geram valor implementando de modo bem-sucedido uma estratégia que equilibra as
oportunidades de mercado e os riscos decorrentes da busca por tais oportunidades. As entidades
sem fins lucrativos e governamentais podem gerar valor oferecendo produtos e serviços que
mantenham um equilíbrio entre suas oportunidades de atender a comunidade como um todo e
quaisquer riscos associados. Independentemente do tipo de entidade, a integração das práticas de
gerenciamento de riscos corporativos a outros aspectos do negócio aumenta a confiança das
partes interessadas.
Missão, Visão e Valores Principais

A missão, a visão e os valores principais da entidade3 definem como ela se empenha para chegar
onde quer e como ela quer conduzir os negócios. Eles transmitem às partes interessadas o
propósito da entidade. Para a maioria das entidades, a missão, a visão e os valores principais
permanecem estáveis ao longo do tempo, sendo geralmente reiterados durante a definição da
estratégia. Por outro lado, eles também podem evoluir à medida que as expectativas das partes
interessadas mudem. Por exemplo, uma equipe nova na alta administração pode apresentar ideias
diferentes em relação à missão visando a agregar valor à entidade.
•Missão: O propósito principal da entidade, que estabelece o que ela quer alcançar e por
que ela existe.
•Visão: As aspirações da entidade em relação ao seu estado futuro ou o que ela visa a
alcançar ao longo do tempo.
•Valores Principais: As convicções e os ideais da entidade em relação ao que é bom ou

ruim, aceitável ou inaceitável, que influenciam o comportamento da organização.
Na Estrutura (Capítulos de 6 a 10), a missão e a visão são consideradas no contexto de uma

organização que está definindo e realizando sua estratégia e seus objetivos de negócio. Os
valores principais são considerados no contexto da cultura que a entidade deseja incorporar.
O Gerenciamento de Riscos Corporativos Afeta a

Estratégia
A "Estratégia" refere-se ao plano da organização para concretizar sua missão e sua visão e para
aplicar seus valores principais. Uma estratégia bem definida estimula uma alocação de recursos
eficiente e uma tomada de decisões eficaz. Ela também oferece um roteiro que serve para
estabelecer os objetivos de negócio da entidade.
O gerenciamento de riscos corporativos4 não cria a estratégia da entidade, mas influencia seu
desenvolvimento. Uma organização que integra o gerenciamento de riscos corporativos à
definição da estratégia proporciona à administração as informações sobre riscos de que esta
precisa para analisar estratégias alternativas e, por fim, adotar uma estratégia específica.
O Gerenciamento de Riscos Corporativos é Vinculado ao

Negócio
O gerenciamento de riscos corporativos é integrado a todos os outros aspectos do negócio,
incluindo governança, gerenciamento do desempenho e controles internos.
Governança
A governança é o conceito mais amplo. Normalmente isso refere-se à alocação de papeis,
autoridades e responsabilidades às partes interessadas, ao conselho e à administração. Alguns
aspectos da governança não se enquadram no gerenciamento de riscos corporativos
(recrutamento e avaliação dos membros do conselho; desenvolvimento da missão, da visão e dos
valores principais da entidade).
Gerenciamento do Desempenho
O desempenho refere-se às ações, tarefas e funções necessárias para que a estratégia e os
objetivos de negócio de uma entidade sejam atingidos ou superados. O gerenciamento do
desempenho tem como foco o emprego eficiente de recursos. Relaciona-se à mensuração das
ações, tarefas e funções relativamente a metas pré-determinadas (tanto de curto quanto de longo
prazo) e à determinação se essas metas foram atingidas. No entanto, como a variedade de riscos
— tanto os conhecidos como os desconhecidos — pode afetar o desempenho de uma entidade,
uma série de medidas pode ser utilizada:
• Medidas financeiras, como o retorno sobre os investimentos, a receita ou a lucratividade.
• Medidas operacionais, como horas de operação, volumes de produção ou percentuais de

capacidade.
• Cumprimento de obrigações, como acordos de nível de serviço (SLAs) ou requisitos de

compliance regulatório.
• Medidas relativas a projetos, tais como o lançamento de um novo produto dentro de um

determinado período de tempo.
• Metas de crescimento, como a expansão da participação de mercado em um mercado

emergente.
• Medidas relativas às partes interessadas, tais como possibilitar àqueles que precisam de
reciclagem quando estão sem trabalho aumentar seu nível educacional e de empregabilidade
básica.
Sempre existe um risco associado a uma meta de desempenho pré-determinada. Por exemplo, os
produtores agrícolas de grande escala enfrentarão uma determinada quantidade de riscos em
relação à própria capacidade de produzir o volume necessário para atender às demandas dos
clientes e às metas de lucratividade. De modo semelhante, as companhias aéreas terão uma
determinada quantidade de riscos em relação à própria capacidade de operar todos os voos dentro
do cronograma estipulado. Por outro lado, elas podem prever um menor risco de que 90% ou
mesmo 80% dos voos programados sairão no horário marcado versus 100% dos voos
programados. Nesses dois exemplos, há um determinado nível de risco associado à consecução
de metas pré-determinadas de desempenho volume de produção e operação dos voos.
O desempenho geral de uma entidade pode ser aprimorado por meio da integração do
gerenciamento de riscos corporativos às operações do dia a dia e da vinculação de modo mais
estreito dos objetivos de negócio aos riscos.
Controles Internos
O gerenciamento de riscos corporativos incorpora alguns conceitos de controles internos. Os
“controles internos” são o processo executado por uma entidade para proporcionar segunrança
razoável de que os objetivos serão atingidos. Os controles internos ajudam a organização a
identificar e analisar os riscos associados à consecução desses objetivos e como gerenciá-los.
Eles permitem que a administração permaneça focada nas operações da entidade e na busca por
suas metas de desempenho enquanto cumpre as leis e as regulamentações relevantes. Note,
porém, que alguns conceitos relativos ao gerenciamento de riscos corporativos não são
considerados no âmbito dos controles internos (por exemplo, conceitos de apetite pelo risco,
tolerância, estratégia e objetivos são estipulados no âmbito do gerenciamento de riscos
corporativos, mas vistos como pré-condições de controles internos).
Para evitar a repetição, alguns conceitos relativos aos controles internos válidos tanto para esta
publicação como para a publicação Controles Internos — Estrutura Integrada não foram
mencionados neste documento (p.ex., a avaliação de risco de fraude referente aos objetivos de
elaboração e de apresentação de informações financeiras, as atividades de controle relacionadas
aos objetivos de compliance, e a necessidade de realizar avaliações contínuas e separadas dos
objetivos operacionais). Contudo, alguns conceitos comuns relativos aos controles internos são
posteriormente desenvolvidos na seção da Estrutura5 (p.ex., governança de gerenciamento de riscos
corporativos). Consulte a publicação Controles Internos — Estrutura Integrada6 como parte da
aplicação da Estrutura nesta publicação.
Benefícios do Gerenciamento de Riscos Corporativos

Uma organização precisa ser capaz de identificar os desafios futuros e adaptar-se a eles para
poder enfrentá-los. Ela deve participar da tomada de decisões ciente tanto das oportunidades de
geração de valor como dos riscos que desafiam tal geração. Em suma, ela deve integrar a prática
de gerenciamento de riscos corporativos tanto à definição da estratégia como à gestão do
desempenho e, ao fazer isso, ela obterá muitos benefícios relacionados a valor.
Os benefícios da integração do gerenciamento de riscos corporativos incluem a capacidade de:
•Ampliar o leque de oportunidades: Considerando todas as possibilidades razoáveis — tanto os

aspectos positivos como os aspectos negativos dos riscos — a administração pode identificar
oportunidades para a entidade, bem como desafios singulares associados às oportunidades
atuais e futuras. Por exemplo, quando os gerentes de uma empresa alimentícia local
consideraram que potenciais riscos provavelmente afetariam os objetivos de negócio de
crescimento sustentável da receita, eles constataram que os principais consumidores da
empresa estavam se tornando cada vez mais preocupados com a saúde e mudando sua dieta.
Tal mudança indicava um possível declínio na demanda futura pelos produtos que a empresa
fornecia então. Para responder a isso, a administração identificou formas de desenvolver novos
produtos e aperfeiçoar os existentes, o que permitiu que a empresa mantivesse a receita gerada
pelos atuais clientes (preservando o valor) e gerasse uma receita adicional atraindo uma base
de consumidores mais ampla (gerando valor).
•Aumentar os resultados positivos e as vantagens e diminuir as surpresas negativas: O

gerenciamento de riscos corporativos permite à organização aumentar sua capacidade de
identificar riscos e dar respostas adequadas, aumentando os resultados positivos e diminuindo
as surpresas negativas e os custos ou prejuízos relacionados. Por exemplo, uma empresa
manufatureira que fornece aos clientes peças produzidas na quantidade necessária e no prazo
em que elas serão necessárias para uso em produção corre o risco de ter de arcar com multas
pelo não cumprimento do prazo de entrega. Para responder a esse risco, a empresa avaliou
seus processos internos de envio de mercadorias analisando alguns fatores, como horário para
entregas, rotas típicas de entrega e consertos não programados na frota. Ela utilizou as
constatações para definir os cronogramas de manutenção da frota de serviço, programar as
entregas fora dos períodos de pico e encontrar alternativas para as rotas principais.
Reconhecendo que nem todos os gargalos no trânsito podem ser evitados, ela estabeleceu
protocolos para avisar os clientes de possíveis atrasos. Nesse caso, o desempenho foi
melhorado pela influência exercida pela administração sobre o risco nos limites de sua
capacidade (produção e programação) e pela adaptação aos riscos que estão além da sua
influência direta (atrasos causados pelo trânsito).
•Identificar e gerenciar os riscos por toda a entidade: Toda entidade enfrenta uma grande
quantidade de riscos que pode afetar muitas áreas da organização. Às vezes, um risco pode ter
origem em uma área da entidade, mas acabar impactando outra área desta. A administração
deve identificar e gerenciar esses riscos que afetam a entidade como um todo para manter e
aprimorar o desempenho. Por exemplo, quando um banco percebeu que precisava lidar com
uma variedade de riscos em operações comerciais, a administração respondeu ao desafio
desenvolvendo um sistema para analisar informações de transações internas e de mercado que
eram respaldadas por informações externas relevantes. O sistema proporcionava uma visão
agregada dos riscos em todas as operações comerciais, permitindo, assim, a obtenção de
informações mais detalhadas sobre departamentos, clientes e comerciantes. Ele também
permitiu que o banco quantificasse os riscos relativos. O sistema atendeu aos requisitos de
gerenciamento de riscos corporativos da entidade e permitiu que o banco reunisse dados que
estavam dispersos para responder de modo mais eficaz aos riscos.
•Reduzir a variabilidade do desempenho: Para algumas entidades, o desafio consiste menos em

surpresas e prejuízos e mais em variabilidade do desempenho. Realizar e entregar um serviço
antecipadamente ou de modo que exceda as expectativas pode ser tão preocupante quanto
realizar e entregar um serviço de modo que não atenda às expectativas. Por exemplo, no
âmbito dos serviços de transporte público, os passageiros ficariam aborrecidos se o ônibus ou
o trem saíssem com dez minutos de antecedência ou com dez minutos de atraso: ambas as
situações poderiam fazer com que os passageiros perdessem conexões com outros meios de
transporte. Para gerenciar tal variabilidade, os responsáveis pela definição dos horários de
chegada e de saída dos veículos de transporte público estabelecem intervalos na programação.
Os motoristas aguardam em paradas designadas até um horário definido, independentemente
de quando exatamente eles chegam. Fazer isso ajuda a amenizar a variabilidade nos horários
de viagem, além de melhorar o desempenho geral e o ponto de vista dos passageiros em
relação ao serviço de transporte público. O gerenciamento de riscos corporativos permite que
as entidades se antecipem aos riscos que poderiam impactar o desempenho e que elas sejam
capazes de implementar medidas para minimizar a disrupção.
•Aprimorar a utilização dos recursos: A obtenção de informações sólidas sobre os riscos permite
que a administração avalie as necessidades gerais de recursos e aprimore sua alocação. Por
exemplo, uma empresa de comercialização e distribuição de gás reconheceu que sua
infraestrutura antiga aumentava o risco de ocorrer um vazamento. Ao analisar as tendências
em dados sobre vazamento de gás, a organização foi capaz de avaliar os riscos em toda a sua
rede de distribuição. A administração elaborou posteriormente um plano para substituir a
infraestrutura desgastada e reparar as seções que tinham vida útil remanescente. Essa
abordagem permitiu que a empresa mantivesse a integridade da infraestrutura e paralelamente
alocasse recursos adicionais significativos durante um período mais longo de tempo.
Tenha em mente que os benefícios da integração do gerenciamento de riscos corporativos tanto à

definição da estratégia quanto à gestão do desempenho variarão de acordo com a entidade. Não
existe uma abordagem “única"disponível para todas as entidades. Contudo, a implementação do
gerenciamento de riscos corporativos geralmente ajudará a organização a alcançar suas metas de
desempenho e lucratividade e a evitar ou reduzir a perda de recursos.
O Gerenciamento de Riscos Corporativos e a Capacidade

de Adaptar-se, Sobreviver e Prosperar
Todas as entidades empenham-se para concretizar sua estratégia e alcançar seus objetivos de
negócio, e elas fazem isso em um ambiente de mudanças. A globalização dos mercados, os
avanços tecnológicos, as fusões e as aquisições, as flutuações dos mercados de capital, a
concorrência, a instabilidade política, as competências da força de trabalho e as regulamentações,
entre outros fatores, tornam difícil ter conhecimento de todos os possíveis riscos associados à
consecução da estratégia e dos objetivos de negócio.
Como o risco está sempre presente e mudando, a busca pelos objetivos pode ser uma tarefa
difícil. Embora possa não ser possível que as organizações gerenciem todos os potenciais
resultados de um risco, elas podem aprimorar o modo como se adaptam às novas circunstâncias.
Às vezes isso é denominado como sustentabilidade organizacional, resiliência e agilidade. A
Estrutura incorpora esse conceito ao contexto amplo de criação, de preservação e de realização
de valor.
O gerenciamento de riscos corporativos tem como foco gerenciar os riscos para reduzir a
probabilidadede um evento ocorrer e gerenciar o impacto quando um evento ocorrer. O
"gerenciamento do impacto" poderá exigir que a organização se adapte às circunstâncias. Em
alguns casos extremos, isso poderá incluir a implementação de um plano de gerenciamento de
crises. O exemplo 1.1 ilustra o plano na prática.
Exemplo 1.1: Plano de Gerenciamento de Riscos
Uma companhia de cruzeiro marítimo está preocupada com um surto viral que poderá
acontecer enquanto seus navios estiverem no mar. Um navio de cruzeiro não tem
capacidade para manter os passageiros em quarentena durante uma epidemia, mas ele pode
realizar procedimentos para minimizar a disseminação do vírus. No entanto, mesmo com a
instalação e a higienização de estações por todo o navio, a disponibilização de áreas para
lavanderia e os procedimentos diários para desinfetar os corrimões, os lavatórios e outras
áreas comuns, os surtos virais ainda podem e vão acontecer. A organização responde a
isso implementando práticas específicas. Primeiro, a limpeza e a higienização de rotina da
parte interior da embarcação são intensificadas. Assim que o navio estiver no porto, todos
os passageiros são obrigados a desembarcar para permitir que uma equipe especialmente
treinada desinfete todo o navio. Posteriormente, os protocolos de limpeza são atualizados
com base no tipo de vírus encontrado. O horário de partida do próximo navio de cruzeiro
sofre um atraso para que todos os protocolos de limpeza sejam cumpridos. Na maioria dos
casos, o atraso é inferior a 48 horas. Ao dispor de competências robustas em gerenciamento
de riscos corporativos para reagir e adaptar-se imediatamente a cada situação singular, a
companhia é capaz de minimizar o impacto ao mesmo tempo que mantém a confiança do
passageiro na companhia de cruzeiro marítimo.
Algumas vezes, a organização não consegue retornar às suas operações normais no curto prazo
quando um evento ocorre. Nesses casos, a organização deve adotar uma solução a longo prazo.
Por exemplo, considere um navio de cruzeiro que tem seu funcionamento totalmente
interrompido por conta de um incêndio. Diferentemente do cenário de um surto viral descrito no
Examplo 1.1, que afeta somente alguns passageiros, o incêndio afeta todo mundo. Pode haver
uma necessidade imediata de assistência médica, de comida, de água e de acomodações ou
mesmo de uma convocação para desembarcar todos os passageiros. Como os navios raramente
ficam no mesmo lugar, um planejamento comum de como responder a uma crise pode ser menos
eficaz, uma vez que cada local e tipo de incidente apresentam desafios diferentes. No entanto, ao
programar o local de sua frota e organizar os horários de partida, a companhia pode estabelecer
rotas de forma que os navios estejam sempre em uma distância de 24 horas do porto ou de outro
navio de cruzeiro. Essa sobreposição permite que a companhia rapidamente reorganize os
navios e as tripulações para que estes auxiliem em uma emergência.
A administração estará mais bem posicionada se ela se antecipar ao que pode acontecer — o
provável, o possível e o pouco provável. A capacidade de adaptar-se a mudanças torna a
organização mais resiliente e capaz de evoluir diante das restrições do mercado e dos recursos.
Essa capacidade pode também proporcionar à administração a confiança para aumentar a
quantidade de riscos que a organização está disposta a aceitar e, por fim, acelerar o crescimento e
gerar valor.
1
Os termos definidos estão ligados ao Glossário de Termos-Chave quando primeiramente utilizados no documento.
2
Nesta publicação, os “riscos” (plural) referem-se a uma ou mais possíveis ocorrências que podem afetar a consecução dos
objetivos. O termo “risco” (singular) refere-se a todos os possíveis acontecimentos que podem afetar de maneira coletiva a
consecução dos objetivos.
Observe que algumas entidades utilizam termos diferentes, como "crenças", "propósito", "filosofia", "convicções fundamentais"
3
e "políticas". Independentemente da terminologia utilizada, os conceitos que servem de base para a missão, a visão e os valores
principais fornecem uma estrutura de comunicação para toda a entidade.
4
Ao longo deste documento, o “gerenciamento de riscos corporativos” refere-se à cultura, às competências e às práticas,
integradas à definição da estratégia e à sua execução, nas quais as organizações se baseiam para gerenciar os riscos da geração,
da preservação e da realização do valor. Não se refere a uma função, a um grupo ou a um departamento na entidade.
Considerações específicas no modelo operacional são discutidas no Anexo B no Volume II.
5
"Estrutura" refere-se coletivamente aos cinco componentes introduzidos no Capítulo 5 e incluídos individualmente nos
Capítulos 6, 7, 8, 9 e 10.
6
A publicação Controles Internos — Estrutura Integrada pode ser obtida em www.coso.org.
espaço
2. Entendimento dos Termos: Riscos e

Gerenciamento de Riscos Corporativos
Definição de Riscos e Incertezas

A estratégia e os objetivos de negócio de uma entidade podem ser afetados por possíveis eventos.
A não possibilidade de prever totalmente a ocorrência de um evento (ou sua não ocorrência) e
seu respectivo impacto cria incerteza para uma organização. Existe incerteza para qualquer
entidade7 que se proponha a executar estratégias futuras e objetivos de negócio. Nesse contexto,
o risco é definido como:
A possibilidade de eventos ocorrerem e afetarem a consecução da estratégia e dos objetivos

de negócio.
A caixa apresentada nesta página contém os termos que ampliam e respaldam a definição de
risco. A Estrutura enfatiza que o risco está relacionado à possibilidade de eventos ocorrerem,
geralmente analisados em termos de gravidade. Em alguns casos, o risco pode relacionar-se à
previsão de um evento inesperado que não acontece.
•Evento: Um acontecimento ou um conjunto de acontecimentos.
•Incerteza: A condição de não saber como possíveis eventos poderão ou não poderão
manifestar-se.
•Gravidade: A mensuração de algumas considerações, tais como a probabilidade e o

impacto dos eventos ou o tempo necessário para recuperar-se de tais eventos.
No contexto de riscos, os eventos são mais do que apenas transações rotineiras; eles incluem
questões empresariais mais amplas, como as mudanças no modelo operacional e de governança,
as influências geopolíticas e sociais e as negociações de contratação, entre outras coisas. Alguns
eventos que têm potencial de afetar a estratégia e os objetivos de negócio são prontamente
detectáveis uma mudança na taxa de juros, um concorrente lançando um novo produto ou a
aposentadoria de um funcionário-chave. Outros são menos evidentes, especialmente quando
vários eventos pequenos se agrupam para criar uma tendência ou condição. Por exemplo, pode
ser difícil identificar eventos específicos relacionados ao aquecimento global, mesmo assim é
geralmente aceito que isso está ocorrendo. Em alguns casos, as organizações podem nem ter
conhecimento de quais eventos poderão ocorrer ou ser capazes de identificá-los.
As organizações geralmente priorizam os riscos que podem ter um desfecho negativo, como um
prejuízo decorrente de um incêndio, a perda de um cliente-chave ou o surgimento de um novo
concorrente. No entanto, os acontecimentos também podem ter um desfecho positivo,8 por
exemplo um clima melhor do que aquele previsto, tendências mais consolidadas de retenção de
funcionários, ou melhores alíquotas tributárias, o que também deve ser considerado. Os eventos
que ajudam no alcance de um objetivo podem, ao mesmo tempo, representar um desafio para a
consecução de outros objetivos. Por exemplo, o lançamento de um produto cuja demanda é
maior do que a prevista tem um efeito positivo sobre o desempenho financeiro. No entanto, ele
também pode aumentar o risco à cadeia de suprimentos, o que pode levar à insatisfação dos
clientes se a empresa não conseguir fornecer o produto.
Alguns riscos têm impacto mínimo sobre uma entidade, enquanto outros têm um impacto maior.
O gerenciamento de riscos corporativos ajuda a organização a identificar, priorizar e enfocar os
riscos que possam impedir que o valor seja gerado, preservado e realizado, ou que possam
reduzir o valor atual. No entanto, não menos importante é o fato que ajuda as organizações a
buscar possíveis oportunidades.
Definição do Gerenciamento de Riscos Corporativos

O gerenciamento de riscos corporativos é definido neste documento como:
A cultura, as competências e as práticas, integradas à definição da estratégia e à sua

execução, nas quais as organizações se baseiam para gerenciar os riscos da geração, da
preservação e da realização do valor.
Uma análise mais profunda da definição de gerenciamento de riscos corporativos enfatiza seu
foco no gerenciamento de riscos por meio de:
• Um reconhecimento da cultura.
• Um desenvolvimento das competências.
• Uma realização de práticas.
• Uma integração à definição da estratégia e à sua execução.
• Um gerenciamento dos riscos à estratégia e aos objetivos de negócio.
• Uma vinculação com o valor.
O Reconhecimento da Cultura
A cultura é desenvolvida e moldada por pessoas de todos os níveis de uma entidade por meio do
que elas fazem e dizem. São as pessoas que estabelecem a missão, a estratégia e os objetivos de
negócio da entidade e implementam as práticas de gerenciamento de riscos corporativos. De
maneira análoga, o gerenciamento de riscos corporativos afeta as decisões e as ações das
pessoas. Cada indivíduo tem um referencial único, o que influencia o modo como ele identifica
e avalia os riscos e reage a eles. O gerenciamento de riscos corporativos ajuda as pessoas a tomar
decisões, ao mesmo tempo que entende que a cultura desempenha um importante papel na
formulação das decisões.
O Desenvolvimento das Competências

As organizações buscam várias vantagens competitivas para gerar valor para si mesmas. O
gerenciamento de riscos corporativos auxilia as organizações no desenvolvimento das
habilidades que são necessárias para colocar em prática a missão e a visão da entidade, além de
ajudá-las a prever os desafios que possam impedir o sucesso organizacional. Uma organização
que consegue adaptar-se a mudanças é mais resiliente e capaz de evoluir diante das restrições e
das oportunidades do mercado e dos recursos.
A Realização de Práticas
O gerenciamento de riscos corporativos não é estático, tampouco é um complemento ao negócio,
e sim contínuo, sendo aplicado a todo o escopo de atividades, bem como a projetos especiais e
novas iniciativas. Ele faz parte das decisões da administração em todos os níveis da entidade.
As práticas utilizadas no gerenciamento de riscos corporativos são aplicadas desde os níveis mais
elevados de uma entidade até suas divisões, unidades de negócio e áreas. As práticas visam a
ajudar as pessoas que estão dentro da entidade a entender melhor a estratégia da organização,
quais objetivos de negócio foram definidos, quais riscos existem, qual é a quantidade de risco
aceitável, de que forma os riscos impactam o desempenho e de que modo os riscos devem ser
gerenciados. Esse entendimento, por sua vez, presta suporte à tomada de decisão em todos os
níveis e ajuda a reduzir o viés organizacional.
A integração à Definição da Estratégia e à sua Execução.

A organização define estratégias que estejam alinhadas com a sua missão e a sua visão e que
prestem suporte a elas. Ela também define objetivos de negócio derivados da estratégia da
entidade e que são adotados por suas unidades de negócio, divisões e áreas. No nível mais
elevado, o gerenciamento de riscos corporativos é integrado à definição da estratégia, com a
administração levando em consideração o perfil de risco geral da entidade e as implicações das
estratégias alternativas para cada perfil de risco. A administração considera especificamente
quaisquer novas oportunidades que surjam por meio da inovação e de buscas em estágios
iniciais.
O gerenciamento de riscos corporativos não para por aí; ele continua nas tarefas diárias da
entidade, e assim fazendo pode proporcionar benefícios significativos. É mais provável que uma
organização que incorpora o gerenciamento de riscos corporativos às tarefas diárias tenha custos
menores do que uma organização que "estabelece camadas" para os procedimentos de
gerenciamento de riscos corporativos. Em um mercado altamente competitivo, tais reduções de
custos podem ser essencial para o sucesso de um negócio. Da mesma forma, ao incorporar o
gerenciamento de riscos corporativos às operações principais da entidade, a administração
provavelmente irá identificar novas oportunidades de expandir os negócios.
O gerenciamento de riscos corporativos pode ser integrado a outros processos de gerenciamento

também. Ações específicas são necessárias para tarefas específicas, tais como planejamento
empresarial, operações e gestão financeira. Uma organização que está analisando riscos de
moeda e de crédito; por exemplo, poderá precisar desenvolver modelos e obter grandes
quantidades de dados que se fazem necessários para fins de análise. A integração das práticas de
gerenciamento de riscos corporativos às atividades operacionais da entidade e o entendimento de
como o risco tem um impacto potencial sobre a entidade como um todo, não somente em uma
área, pode fazer com que o gerenciamento de riscos corporativos torne-se mais eficaz.
Gerenciamento dos Riscos à Estratégia e aos Objetivos de Negócio

O gerenciamento de riscos corporativos é essencial para a consecução da estratégia e dos
objetivos de negócio. Práticas de gerenciamento de riscos corporativos bem elaboradas
proporcionam à administração e ao conselho de administração uma expectativa razoável de que
eles podem concretizar a estratégia e alcançar os objetivos de negócio gerais da entidade. Ter
uma expectativa razoável significa que a quantidade de incertezas em relação à consecução da
estratégia e dos objetivos de negócio é adequada para a entidade em questão, reconhecendo que
ninguém é capaz de prever riscos com exatidão.
Mas mesmo que haja expectativas razoáveis, as entidades podem enfrentar desafios imprevistos,
e é por essa razão que a análise regular das práticas de gerenciamento de riscos corporativos é
importante. A análise e a consequente revisão quando necessária ajuda a manter práticas
robustas que aumentam a confiança da administração na capacidade de a entidade responder de
maneira bem-sucedida aos acontecimentos inesperados e executar sua estratégia e seus objetivos
de negócio.
A Vinculação com o Valor

Uma organização deve gerenciar os riscos para a estratégia e os objetivos de negócio em relação
ao seu apetite a riscos— ou seja, os tipos e a quantidade de riscos, em um nível abrangente, que
ela está disposta a aceitar em sua busca pelo valor. A primeira expressão de apetite pelo risco é a
missão e a visão da entidade. Estratégias diferentes irão expor a entidade a diferentes riscos ou
diferentes quantidades de riscos semelhantes.
O apetite a riscos proporciona diretrizes sobre as práticas que uma organização é incentivada a
buscar ou não. Ele estabelece uma gama de práticas e orientações apropriadas e orienta as
decisões baseadas em riscos em vez de especificar um limite.
O apetite pelo risco não é estático; pode mudar de acordo com os produtos ou as unidades de
negócio e ao longo do tempo de acordo com a mudança da capacidade de gerenciar os riscos. Os
tipos e a quantidade de riscos que uma organização pode considerar aceitável podem mudar. Por
exemplo, durante tempos de crescimento econômico, uma empresa bem-sucedida e em
crescimento pode estar mais disposta a aceitar determinado risco de prejuízo financeiro do que
quando há uma recessão econômica e as perspectivas de negócio pioram. O apetite pelo risco
deve ser flexível o suficiente para adaptar-se às condições comerciais em mutação conforme
necessário, sem esperar por análises e aprovações periódicas da administração.
Embora o apetite a riscos seja introduzido aqui, 9 a Estrutura define vários casos nos quais o
apetite a riscos é aplicado como parte do gerenciamento de riscos corporativos. Algumas das
aplicações mais importantes do apetite a riscos são:
• Uso pela organização para tomar decisões que aumentam o valor.
• Ajuda no alinhamento entre a quantidade de riscos aceitável e a capacidade da organização de

gerenciar riscos e oportunidades.
• Relevância quando da definição da estratégia e dos objetivos de negócio, ajudando a

administração a analisar se as metas de desempenho estão alinhadas com a quantidade de
riscos aceitável.
• Ajuda na comunicação dos perfis de risco desejados pelo conselho.
• Relevância para a capacidade de assumir riscos e seu alinhamento com estes.
• Uso quando da avaliação dos riscos agregados da visão do portfolio.
O gerenciamento de riscos corporativos ajuda a administração a selecionar uma estratégia que

alinhe a geração de valor prevista com o apetite a riscos da entidade e suas competências para
gerenciá-los com maior frequência e consistência ao longo do tempo. Gerenciar riscos de acordo
com o apetite a riscos aprimora a capacidade da organização de gerar, preservar e realizar valor.
O termo "Entidade" é tão amplo que pode englobar uma ampla gama de estruturas jurídicas, incluindo entidades com fins
5
lucrativos, sem fins lucrativos e governamentais.

8
Esta Estrutura faz uma diferenciação entre resultados e oportunidades positivas. Os resultados positivos referem-se àqueles
casos em que o desempenho supera a meta original. As oportunidades referem-se a uma ação ou possível ação que gera ou
altera as metas ou as abordagens de geração, preservação e realização de valor.
O apetite a riscos é discutido no Princípio 7 da Estrutura: Definição do Apetite a riscos.
9
3. Estratégia, Objetivos do Negócio e
Desempenho
Gerenciamento de Riscos Corporativos e Estratégia

O gerenciamento de riscos corporativos ajuda a organização a entender melhor:
• Como a missão, a visão e os valores principais constituem a expressão inicial de quais tipos e
quantidade de risco são aceitáveis para consideração quando da formulação da estratégia.
• A possibilidade de que a estratégia e os objetivos de negócio possam não estar alinhados com a
missão, a visão e os valores principais da organização.
• Os tipos e a quantidade de riscos aos quais a organização possivelmente se expõe ao escolher

uma determinada estratégia.
• Os tipos e quantidade de risco inerente à consecução da estratégia e dos objetivos de negócio,

além da possibilidade de aceitação desse nível de risco e em última análise do valor.
A figura 3.1 mostra a estratégia no contexto da missão, da visão e dos valores principais da
organização e como um fator que impulsiona o direcionamento e o desempenho gerais de uma
entidade.
Figura 3.1: Estratégia em Contexto

Possibilidade de Desalinhamento da Estratégia e dos Objetivos de
Negócio
Tanto a missão como a visão são uma forma de ter uma visão abrangente dos tipos e da
quantidade de riscos que são aceitáveis para a entidade. Elas ajudam a organização a
estabelecer limites e a focar em como as decisões podem afetar a estratégia. Uma organização
que entende sua missão e sua visão pode definir estratégias que criarão o perfil de risco
almejado. Considere as declarações de uma prestadora de serviços de saúde no Exemplo 3.1.
Exemplo 3.1: Disseminação da Missão, da Visão e dos Valores Principais
Missão: Melhorar a saúde das pessoas que atendemos oferecendo cuidados de alta
qualidade, uma ampla gama de serviços e acesso adequado e tempestivo, incluindo um
excepcional atendimento a pacientes e compaixão.
Visão: Nosso hospital será o prestador de serviços de saúde escolhido por médicos e
pacientes e será conhecido por proporcionar qualidade incomparável, prestar serviços
renomados e ser um lugar incrível para exercer a medicina.
Valores Principais: Nossos valores servem de base para tudo o que pensamos, dizemos e
fazemos. Trataremos nossos médicos, pacientes e colegas com respeito, honestidade e
compaixão, ao mesmo tempo que os tornaremos responsáveis pela concretização desses
valores.
Essas declarações norteiam a organização na determinação dos tipos e da quantidade de riscos

que ela provavelmente encontrará e aceitará. A organização consideraria os riscos associados ao
oferecimento de cuidados de alta qualidade (missão), à oferta de acesso apropriado e tempestivo
(missão) e ao fato de ser um lugar incrível para exercer a medicina (visão). Levando em
consideração seu alto apreço por qualidade, serviços e gama de competências, a organização
provavelmente buscará uma estratégia que apresente um perfil de risco mais baixo em relação à
qualidade dos cuidados e dos serviços voltados aos pacientes. Isso pode significar oferecer
serviços a pacientes hospitalizados e/ou pacientes não hospitalizados, mas não uma presença on-
line primordial. Por outro lado, caso a organização tivesse estipulado sua missão em termos de
inovação nas abordagens adotadas para o atendimento dos pacientes ou canais avançados de
prestação de serviços, ela pode ter adotado uma estratégia com um perfil de risco diferente.
O gerenciamento de riscos corporativos pode ajudar a entidade a evitar um desalinhamento da

estratégia. Ele pode proporcionar insights à organização para garantir que a estratégia que ela
escolheu respalde a missão e a visão mais amplas da entidade para análise da administração e do
conselho.
Avaliação da Estratégia Escolhida
O gerenciamento de riscos corporativos não cria a estratégia da entidade, mas mantém a
organização informada sobre os riscos associados às estratégias alternativas consideradas e, por
fim, à estratégia adotada. A organização precisa avaliar como a estratégia escolhida poderia
afetar o perfil de risco da entidade, especificamente os tipos e a quantidade de riscos aos quais a
organização está potencialmente exposta.
Ao avaliar os potenciais riscos que poderão surgir da estratégia, a administração leva em

consideração também as premissas fundamentais que servem de base para a estratégia
selecionada. Essas premissas formam uma importante parte da estratégia e podem relacionar-se a
quaisquer considerações que formam parte do contexto de negócios da
entidade../../AppData/Local/Temp/wz7635/h - _idTextAnchor016. O gerenciamento de riscos
corporativos proporciona insights valiosos sobre como as mudanças sensíveis nas premissas são:
ou seja, se tais mudanças teriam um impacto pequeno ou grande sobre a execução da estratégia.
O exemplo 3.2 considera a missão e o valor da prestadora de serviços de saúde discutidos

anteriormente e como a entidade incorpora isso a sua estratégia. Usando a declaração
apresentada naquele exemplo, a organização pode avaliar quais riscos poderão resultar da
estratégia selecionada. Por exemplo, os riscos relacionados à inovação médica podem ser mais
evidentes, os riscos para a capacidade de prestar serviços médicos de alta qualidade podem
aumentar em decorrência de iniciativas de gestão de custos e os riscos referentes ao
gerenciamento de novas parcerias podem ser uma abordagem a qual a organização não enfocou
anteriormente. Esses e muitos outros riscos resultam da escolha da estratégia. Por outro lado,
resta a dúvida se a entidade provavelmente alcançará sua missão e sua visão com essa estratégia
ou se existe um alto risco em relação à consecução dos objetivos definidos.
Exemplo 3.2: Disseminação da Missão, da Visão e dos Valores Principais
Nossa estratégia:
• Maximizar o valor para os nossos pacientes aprimorando a qualidade de uma diversa gama
de serviços.
• Reduzir as tendências no aumento dos custos.
• Integrar as iniciativas de eficiência operacional e de gestão de custos.
• Alinhar médicos e integração clínica.
• Maximizar a inovação do programa clínico.
• Expandir parcerias estratégicas.
• Gerenciar a prestação de serviços aos pacientes e reduzir o tempo de espera quando for
viável.
Risco à Implementação da Estratégia e dos Objetivos de Negócio

Sempre existe um risco associado à execução da estratégia, o qual toda organização deve levar
em consideração. Aqui, o foco é entender a estratégia definida e quais são os riscos existentes em
relação à relevância e à viabilidade dessa estratégia. Às vezes, os riscos tornam-se importantes
o suficiente a ponto de uma organização poder querer reavaliar sua estratégia e considerar revisá-
la ou ainda escolher uma que apresente um perfil de risco mais adequado.
Os riscos associados à execução da estratégia podem também ser vistos da perspectiva dos
objetivos do negócio. Uma organização pode usar uma variedade de técnicas para avaliar os
riscos com base em algum tipo de medida comum. Sempre que possível, a organização deve
utilizar unidades similares para mensurar o risco de cada objetivo. Proceder dessa forma ajudará
a alinhar a gravidade do risco com as medidas de desempenho estabelecidas.
Gerenciamento dos Riscos Corporativos e Desempenho

A avaliação dos riscos à estratégia e aos objetivos de negócio exige que uma organização
entenda a relação entre o risco e o desempenho - a que se faz referência nesta Estrutura como
“perfil de risco.” O perfil de risco de uma entidade proporciona uma visão abrangente do risco
em um determinado nível da entidade (por exemplo, o nível geral da entidade, o nível da unidade
de negócios, o nível funcional) ou de um aspecto do modelo de negócios (por exemplo, produto,
serviço ou localização geográfica).
Essa visão abrangente permite que a administração analise o tipo, a gravidade e as

interdependências dos riscos e como eles podem afetar o desempenho. A organização deve
inicialmente entender o possível perfil de risco ao avaliar as estratégias alternativas. Uma vez
escolhida a estratégia, o foco muda para o entendimento do perfil atual de risco para a estratégia
escolhida e para os respectivos objetivos de negócio.
A relação entre risco e desempenho raramente é linear. Mudanças incrementais nas metas de
desempenho nem sempre resultam em mudanças correspondentes no risco (ou vice-versa).
Consequentemente, uma representação dinâmica e útil, às vezes em forma de gráfico, ilustra o
valor agregado do risco associado a diferentes níveis de desempenho. Tal representação
considera os riscos como uma série contínua de potenciais resultados ao longo da qual a
organização deve equilibrar a quantidade de risco à entidade com o desempenho desejado.
Existem diversos métodos de representar um perfil de risco. A Estrutura usa uma abordagem,
apresentada aqui, para ilustrar o relacionamento entre vários aspectos do gerenciamento de riscos
corporativos. Fazer isso ajuda a aprimorar as discussões sobre os riscos, o apetite a riscos, a
tolerância aos riscos e a relação geral com as metas de desempenho.
Na Figura 3.2, cada barra representa o valor agregado do risco em um determinado nível de
desempenho para um objetivo de negócio. A linha da meta representa o nível de desempenho
escolhido pela organização como parte da definição da estratégia, que é comunicada por meio de
um objetivo e de uma meta de negócio. As organizações podem elaborar diferentes abordagens
para conceitualizar e representar o perfil de risco da entidade.
Figura 3.2: Risco Relativo ao Desempenho
Os perfis de risco que tendem a aumentar, conforme apresentado na Figura 3.2, são típicos,
dentre outros, de objetivos de negócio relacionados a:
•Exploração de petróleo e gás: À medida que os esforços de exploração em busca de novas

reservas de petróleo e gás são direcionados a áreas cada vez mais remotas e inacessíveis, as
empresas do setor tendem a enfrentar um maior número de riscos para localizar os recursos.
•Recrutamento de recursos humanos especializados: Conforme as entidades procuram cada vez

mais conquistar nichos de mercado ou de produtos, os riscos associados à atração e à retenção
de recursos humanos especializados e experientes em sua força de trabalho aumentam.
•Transporte e logística: O aumento no número de locais ou no volume de mercadorias leva a um

crescimento na frota de transporte e na complexidade das operações, levando a um maior
risco.
•Captação de recursos para obras de construção e engenharia e melhorias: Em mercados sem

liquidez ou onde o nível de confiança do consumidor é baixo, aumenta-se a quantidade de
riscos associados à capacidade de a empresa garantir a captação de recursos para obras,
projetos ou iniciativas de construção e engenharia.
Contudo, não existe uma forma ou uma tendência de perfil de risco universais. O perfil de risco
de cada entidade será diferente e dependerá de sua estratégia e de seus objetivos únicos. As
organizações podem usar seus perfis de risco para entender melhor a relação estreita entre risco,
desempenho almejado e desempenho real.
Os perfis de risco ajudam a administração a determinar qual quantidade de riscos é aceitável e
gerenciável na busca da estratégia e dos objetivos de negócio. Os perfis de risco10 podem ajudar a
administração a:
• Entender o nível de desempenho no contexto do apetite a risco da entidade (veja o Princípio 7:

Define o Apetite a riscos).
• Encontrar o nível ótimo de desempenho levando em consideração a capacidade da organização

de gerenciar o risco (veja o Princípio 9: Formula os Objetivos de Negócio).
• Estipular a tolerância à variação de desemepnho relacionada à meta (veja o Princípio 9:

Formula os Objetivos de Negócio).
• Avaliar o possível impacto do risco em alvos pré-determinados (veja o Princípio 11: Avalia a
Gravidade do Risco e Princípio 14: Elabora uma Visão do portfolio).
Embora o perfil de risco mostrado aqui implique a necessidade de um nível específico de

exatidão, e talvez de dados para a criação, lembre-se de que ele também pode ser elaborado por
meio de informações qualitativas.
Consulte o Anexo D no Volume II para uma discussão mias detalhada dos perfis de risco.
10
espaço
4. Integração do Gerenciamento de Riscos

Corporativos
A Importância da Integração
O sucesso da entidade é o resultado de incontáveis decisões tomadas todos os dias pela
organização que afetam o desempenho e, em última análise, a consecução da estratégia ou dos
objetivos de negócio. A maior parte dessas decisões exige a seleção de uma abordagem dentre
várias alternativas. Muitas das decisões não serão simplesmente “certo” ou “errado,” mas
incluirão compensações mútuas: tempo versus qualidade; eficiência versus custo; risco versus
recompensa.
Ao tomar tais decisões, a administração e o conselho devem continuamente lidar com um

contexto empresarial dinâmico, o que exige que a mentalidade de gerenciamento de riscos
corporativos seja incorporada a todos os aspectos da entidade, em todos os momentos. Assim, a
Estrutura visualiza o gerenciamento de riscos corporativos somente daquela maneira. Não se
trata simplesmente de uma função ou departamento da entidade, algo que pode ser "tachado". Ao
contrário, as culturas, práticas e competências são integradas e aplicadas de maneira conjunta em
toda a entidade.
A integração do gerenciamento de riscos corporativos às atividades e aos processos de negócio

gera melhores informações que respaldam o aprimoramento da tomada de decisões e do
desempenho. Além disso, ajuda as organizações a:
• Prever os riscos mais cedo ou de maneira mais explícita, oferecendo mais opções para
gerenciar os riscos e minimizar possíveis desvios em termos de desempenho, perdas,
incidentes ou falhas.
• Identificar e aproveitar oportunidades atuais e novas de acordo com o apetite pelo risco e a
estratégia da entidade.
• Entender os desvios de desempenho e responder a eles de maneira mais rápida e consistente.
• Elaborar e relatar uma visão do risco da carteira mais abrangente e consistente, permitindo
assim que a organização faça uma melhor alocação de recursos finitos.
• Melhorar a colaboração, a confiança e o compartilhamento de informações em toda a

organização.
A integração permite à organização tomar decisões que estão mais bem alinhadas com a
velocidade e a possível disrupção dos riscos individuais, além da busca de novas oportunidades.
Entidades que assumem riscos de maneira agressiva podem precisar obter informações de
maneira rápida e seguir processos mais simples de tomada de decisões para perseguir
oportunidades em constante mudança. Por exemplo, considere uma firma de investimentos à qual
foi oferecida a oportunidade de fazer uma oferta para a aquisição de uma empresa, mas precisa
dar uma resposta nas próximas horas. As práticas de gerenciamento de riscos da firma estão bem
integradas às competências no processo de licitação, permitindo à organização coletar e analisar
as informações disponíveis e tomar uma decisão no tempo estipulado.
Quando as práticas e as competências de gerenciamento de riscos são separadas, a coleta das

informações relevantes, a identificação das partes interessadas e a tomada de decisões demoram
mais, o que pode prejudicar a capacidade da entidade de cumprir prazos curtos. Em suma, quanto
mais agressiva for a entidade na assunção de riscos, maior o valor da integração.
Em Prol da Integração Total

Para a maior parte das entidades, a integração do gerenciamento de riscos corporativos é um
esforço em andamento. Os fatores que influenciam a integração são a cultura, o tamanho, a
complexidade da entidade e por quanto tempo uma cultura consciente do risco foi adotada.
Uma entidade que está apenas começando a desenvolver o gerenciamento de riscos corporativos
contará com práticas e competências limitadas. Mas à medida que a entidade amadurece, ela
estabelece práticas e competências mais especializadas que melhoram o processo de tomada de
decisões (tais como a identificação e a avaliação dos riscos e a resposta a eles). À medida que as
organizações integram de maneira consistente as considerações sobre risco, elas se tornam
menos dependentes de práticas e infraestrutura formalizadas e autônomas. Por exemplo, em uma
entidade totalmente integrada, os funcionários identificarão desvios em relação ao desempenho e
entenderão o efeito potencial sobre o perfil de risco sem depender de um programa de avaliação
independente.
O tempo não é o único fator que afeta a capacidade da entidade de integrar plenamente o
gerenciamento de riscos corporativos. O tamanho e o tipo importam, também (isto é, se a
entidade tem fins lucrativos, não tem fins lucrativos, é altamente regulada, etc.). Por exemplo,
uma grande empresa do ramo farmacêutico pode ter uma cultura de conscientização sobre riscos
altamente desenvolvida, mas os órgãos reguladores podem exigir que ela mantenha algumas
práticas autônomas de elaboração e apresentação de informações e de monitoramento.
Comparativamente, entidades menores não reguladas poderão enfocar mais o desenvolvimento
da conscientização sobre o risco e a integração do risco à elaboração e apresentação de
informações sobre desempenho.
Em uma entidade plenamente integrada, a prática de gerenciamento de riscos corporativos

também afeta a estrutura operacional. Nesse ponto, a conscientização sobre o risco e a
responsabilidade por ele estão distribuídos de maneira mais uniforme pela estrutura operacional,
que frequentemente é caracterizada pelo entendimento de que "todo mundo é um gerente de
riscos." O conhecimento compartimentalizado é compartilhado pela entidade como um todo para
viabilizar uma melhor tomada de decisões.
As listas seguintes oferecem exemplos de como as organizações podem estimular a integração
total do gerenciamento de riscos corporativos por toda a cultura, as competências e as práticas da
entidade, levando a uma melhor tomada de decisões.
Cultura
A incorporação de mais transparência e conscientização sobre o risco à cultura da entidade exige
providências tais como:
• A implementação de fóruns ou outros mecanismos de compartilhamento de informações, de

tomada de decisões e de identificação de oportunidades.
• O estímulo às pessoas para relatar as questões e as preocupações a superiores hierárquicos sem

medo de retribuição.
• O esclarecimento e a comunicação dos papeis e das responsabilidades para a consecução da

estratégia e dos objetivos de negócio, incluindo as responsabilidades pelo gerenciamento de
risco.
• O alinhamento dos valores principais, comportamentos e tomada de decisões com incentivos e

modelos de remuneração.
• A elaboração e o compartilhamento de um entendimento robusto do contexto de negócios e dos

fatores que impulsionam a criação de valor.
Competências
As competências de gerenciamento de riscos corporativos estão integradas à entidade quando:
• A administração é capaz de tomar decisões adequadas considerando o apetite pelo risco e o

perfil de risco da entidade, além das mudanças no perfil que ocorrem ao longo do tempo.
• A organização frequentemente contrata indivíduos com experiência rotineira que podem julgar
e supervisionar de acordo com suas responsabilidades.
• A organização tem acesso a indivíduos capazes, especialistas no assunto ou outros rescursos

técnicos para respaldar a tomada de decisões.
• Ao fazer os investimentos necessários em tecnologia ou em outra infraestrutura, a

administração considera as ferramentas necessárias para viabilizar as responsabilidades
relativas ao gerenciamento de riscos corporativos.
• Fornecedores, empreiteiros e outros terceiros são considerados nas discussões sobre risco e
desempenho.
Práticas
As práticas de gerenciamento de riscos corproativos estão integradas quando:
• A formulação da estratégia considerar explicitamente o risco ao avaliar as opções.
• A administração ativamente aborda o risco ao perseguir metas de desempenho.
• As atividades são realizadas para monitorar o desempenho e as mudanças no perfil de risco de

maneira regular e consistente em toda a entidade.
• A administração é capaz de tomar decisões de acordo com a velocidade e o escopo de

mudanças na entidade.
O exemplo 4.1 descreve a integração na prática.
Exemplo 4.1: Integração na Prática
A administração de um grande órgão do governo integra as práticas de gerenciamento de

riscos corporativos às reuniões mensais de gestão do desempenho. Nessas reuniões, eles
analisam o desempenho e discutem riscos novos, emergentes e em mudança que afetam a
capacidade de servir o público de maneira eficaz. Isso estimula uma maior transparência e
capacidade de resposta aos riscos mais importantes, o compartilhamento de ideias sobre
como abordar o risco da melhor maneira, e uma maior consistência nas respostas dadas ao
risco em todas as operações do órgão.
A Abordagem da Integração na Estrutura

Cada componente do gerenciamento de riscos corporativos inclui princípios (estipulados no
capítulo seguinte), que se aplicam à criação, à manutenção e à realização de valor em uma
organização independentemente do tamanho, do tipo ou da localização. Os princípios e seus
componentes não representam conceitos isolados e autônomos. Cada um enfatiza a importância
da integração do gerenciamento de riscos corporativos à função de tomada de decisões.
Para cada princípio, a Estrutura elabora considerações para a completa integração da cultura, das
práticas e das competências à entidade. Essas considerações não exaurem o tema, mas
demonstram a gama de inputs para a tomada de decisões e o julgamento pelos funcionários, pela
administração e pelo conselho.
espaço
Componentes e Princípios do Gerenciamento de Riscos

Corporativos
A Estrutura consiste em cinco componentes inter-relacionados do gerenciamento de riscos
corporativos. A Figura 5.1 mostra esses componentes e sua relação com a missão, a visão e os
valores principais da entidade. As três fitas no diagrama da Definição dos Objetivos e da
Estratégia, Desempenho e Análise e Revisão representam os processos comuns realizados na
entidade como um todo. As outras duas fitas, Governança e Cultura, além de Informação,
Comunicação, Elaboração e Apresentação de Informações, representam elementos de suporte ao
Figura 5.1: Componentes do Gerenciamento de Riscos
A figura também mostra que quando o gerenciamento de riscos corporativos está integrado ao
desenvolvimento da estratégia, à formulação dos objetivos de negócio, e à implementação e ao
desempenho, ele consegue gerar valor. O gerenciamento de riscos corporativos não é estático.
Está integrado à elaboração da estratégia, à formulação dos objetivos de negócio e à execução
desses objetivos por meio da tomada de decisões no dia a dia.
Os cinco componentes11são:
•Governança e Cultura: A governança e a cultura juntas constituem a base para todos os outros
componentes do gerenciamento de riscos corporativos. A governança define a diretriz da
organização, reforçando a importância do gerenciamento de riscos corporativos, bem como
estabelecendo responsabilidades pela supervisão deste. A cultura é refletida na tomada de
decisões.
•Definição dos Objetivos e da Estratégia: O gerenciamento de riscos corporativos é integrado
ao plano estratégico da entidade por meio do processo de definição dos objetivos e da
estratégia de negócios. Por meio do entendimento do contexto do negócio, a organização
pode obter insights sobre fatores internos e externos e seu impacto sobre o risco. Uma
organização define seu apetite a riscos juntamente com a definição da estratégia. Os objetivos
de negócio permitem que a estratégia seja colocada em prática e moldam as operações diárias
e as prioridades da entidade.
•Desempenho: Uma organização identifica e avalia os riscos que podem afetar a capacidade da
entidade de concretizar sua estratégia e seus objetivos de negócio. Como parte da busca, a
organização identifica e avalia os riscos que podem afetar a consecução da estratégia e dos
objetivos de negócio. Ela prioriza os riscos de acordo com o seu nível de gravidade levando
em consideração o apetite a riscos da entidade. A organização então escolhe como responder
ao risco e monitora o desempenho em relação à mudança. Dessa forma, ela elabora uma visão
do portfolio de riscos que a entidade assumiu na execução da estratégia e dos objetivos de
negócio.
•Análise e Revisão: Ao analisar as competências e práticas de gerenciamento de riscos

corporativos, além do desempenho da entidade relativamente a suas metas, uma organização
pode considerar o quanto essas competências e práticas aumentaram o valor ao longo do
tempo e continuarão a gerar valor depois de mudanças substanciais.
Informação, Comunicação e Elaboração e Apresentação de Informações: A comunicação é um

processo contínuo e iterativo para obter e compartilhar informações pela entidade como um
todo. A administração utiliza informações relevantes tanto de fontes internas como de fontes
externas para prestar suporte ao gerenciamento de riscos corporativos. A organização utiliza
ao máximo os sistemas de informações para capturar, processar e gerenciar dados e
informações. Ao usar informações aplicáveis a todos os componentes, a organização elabora e
apresenta informações sobre riscos, cultura e desempenho.
Dentro desses cinco componentes existe uma série de princípios, conforme ilustrado na Figura
5.2. Os princípios representam os conceitos fundamentais associados a cada componente. Esses
princípios são redigidos como coisas que as organizações fariam como parte das práticas de
gerenciamento de riscos corporativos da entidade. Embora esses princípios sejam universais e
façam parte de qualquer iniciativa de gerenciamento de riscos corporativos eficaz, a
administração deve exercer seu julgamento na aplicação de tais princípios. Cada princípio é
abrangido de modo detalhado nos respectivos capítulos sobre os componentes.
Figura 5.2: Princípios do Gerenciamento de Riscos
Avaliação do Gerenciamento de Riscos Corporativos

A organização deve ter um meio de proporcionar de modo confiável às suas partes interessadas
uma expectativa razoável de que ela é capaz de gerenciar os riscos mantendo-os em um nível
aceitável. E ela faz isso avaliando as práticas de gerenciamento de riscos corporativos que são
adotadas. Tal avaliação é facultativa, a menos que seja exigida de outra forma por lei ou
regulamentação.
A Estrutura oferece critérios para a avaliação e a determinação se a cultura, as competências e as

práticas de gerenciamento de riscos corporativos gerem de maneira coletiva o risco da não
consecução da estratégia e da falta de apoio ao objetivos de negócio da entidade. Durante uma
avaliação, a organização pode analisar se:
• Os componentes e os princípios relacionados ao gerenciamento de riscos corporativos estão

presentes e funcionando.
• Os componentes relacionados ao gerenciamento de riscos corporativos estão operando em

conjunto e de maneira integrada.
• Os controles necessários para colocar os princípios relevantes em prática estão presentes e

funcionando. 12
Nessas três considerações, estar "presente" significa que os componentes, os princípios e os

controles existem na elaboração e na implementação do gerenciamento de riscos corporativos
para que a estratégia e os objetivos de negócio sejam concretizados. Estar "funcionando"
significa que eles continuam a funcionar para executar a estratégia e atingir os objetivos de
negócio. E "Operando em conjunto" refere-se às interdependências dos componentes e ao modo
coeso no qual eles funcionam. As organizações podem enfatizar determinados princípios e
aplicá-los de maneira diferente, dependendo dos benefícios que uma organização procura obter
por meio do gerenciamento de riscos corporativos.13 Quando esses componentes, princípios e
controles de suporte estão presentes e funcionando, a organização pode ter a expectativa razoável
de que o gerenciamento de riscos corporativos está ajudando-a a criar, manter e realizar valor.
Diferentes abordagens de avaliação do gerenciamento de riscos corporativos estão disponíveis.
Quando a avaliação é realizada para comunicação com as partes interessadas externas, ela
consideraria os princípios estipulados na Estrutura. Ao avaliar o gerenciamento de riscos
corporativos para fins internos, algumas organizações podem optar por utilizar alguma forma de
modelo de maturidade para concluir a avaliação, reconhecendo que este modelo precisa ser
adaptado para lidar com a complexidade do negócio. Os fatores que contribuem para a
complexidade podem incluir, entre outros, a localização geográfica da entidade, o setor em que
ela opera, a natureza, a extensão e a frequência com que mudanças ocorrem dentro dela, o
desempenho e a variação de desempenho históricos, o nível no qual ela depende da tecnologia e
a extensão da supervisão dos órgãos reguladores.
Durante uma avaliação, a administração pode também analisar a adequação dessas competências
e práticas, tendo em mente a complexidade da entidade e os benefícios que a organização busca
obter com o gerenciamento de riscos corporativos.
11
Os componentes são discutidos de maneira detalhada nos Capítulos de 6 a 10.
12
Uma discussão adicional sobre os controles para colocar os princípios em prática está definida na publicaçãoControles Internos
— Estrutura Integrada.
Os potenciais benefícios relacionados ao gerenciamento de riscos corporativos estão definidos no Capítulo 1: Introdução.
13
espaço
Estrutura
espaço
Princípios Relacionados à Governança e à Cultura

Introdução
O conselho de administração de uma entidade desempenha uma importante função na
governança, influenciando significativamente o gerenciamento de riscos corporativos. Esta
Estrutur a usa o termo "conselho de administração" ou "conselho", que abrange o órgão
deliberativo, incluindo o conselho, o conselho consultivo, os sócios ou os proprietários.
Quando o conselho é independente da administração e composto de modo geral de membros

experientes, qualificados e altamente talentosos, ele pode contribuir fornecendo um nível
apropriado de informações setoriais, empresariais e técnicas enquanto cumpre suas
responsabilidades pela supervisão. Essa contribuição inclui examinar minuciosamente as
atividades da administração quando necessário, apresentar outros pontos de vista, desafiar os
vieses organizacionais e tomar atitudes diante de irregularidades. O mais importante, no
cumprimento de sua função em supervisionar riscos, é que o conselho conteste a administração
sem assumir a função desta.
Outro fator que tem uma influência crítica sobre o gerenciamento dos riscos corporativos é a
cultura. Seja a entidade uma empresa familiar privada de pequeno porte ou uma multinacional
complexa de grande porte, seja ela um órgão governamental ou uma organização sem fins
lucrativos, sua cultura reflete os valores principais da entidade: as convicções, as atitudes, os
comportamentos almejados e a importância de entender o risco. A cultura presta suporte ao
alcance da missão e da visão da entidade. Uma entidade que possui uma cultura consciente dos
riscos enfatiza a importância de gerenciar os riscos e incentivar um fluxo de informações
transparente e tempestivo sobre eles. Ela procede dessa forma sem atribuição de culpa, mas,
sim, com uma atitude de entendimento, de responsabilidade e de aprimoramento contínuo.
espaço
Princípio 1: Aplica a Supervisão de Riscos do

Conselho
O conselho de administração realiza uma supervisão da estratégia e
cumpre as responsabilidades pela governança para prestar suporte à
administração em termos de concretização da estratégia e dos
objetivos de negócio.
Papeis e Responsabilidades e Responsabilidade

O conselho de administração é o principal responsável por supervisionar os riscos na entidade, e,
em muitos países, ele tem uma responsabilidade fiduciária para as partes interessadas da
entidade, incluindo a realização de avaliações das práticas de gerenciamento de riscos
corporativos. O conselho pleno normalmente é responsável pela supervisão do risco, deixando as
responsabilidades do dia a dia de gerenciamento do risco para a administração. Alguns conselhos
plenos mantêm a responsabilidade, enquanto outros delegam as responsabilidades inerentes ao
conselho a um comitê, como o comitê de risco. Independentemente da estrutura, é comum
elaborar uma declaração que define as respectivas responsabilidades do conselho e da
administração.
Habilidades, Experiência e Conhecimento do Negócio

O conselho de administração está bem posicionado para oferecer conhecimento especializado e
supervisão do gerenciamento de riscos corporativos por meio de suas competências, experiência
e conhecimento do negócio coletivos. Isso inclui, por exemplo, fazer as perguntas apropriadas
para contestar a administração, quando necessário, sobre a estratégia, os objetivos de negócio e
as metas de desempenho. Isso inclui também interagir com as partes interessadas externas e
apresentar visões e ações alternativas.
A supervisão de riscos é possível somente quando o conselho entende a estratégia da entidade e o

setor no qual ela opera, mantendo-se informado sobre as questões relevantes que a afetam.
Conforme o contexto empresarial muda, muda o risco da estratégia e dos objetivos de negócio.
Dessa forma, as qualificações necessárias para tornar-se membro do conselho poderão mudar ao
longo do tempo. Cada conselho deve determinar por si mesmo, bem como avaliar
periodicamente, se ele possui as habilidades, a expertise e a composição adequadas para realizar
uma supervisão de riscos eficaz. Por exemplo, as entidades expostas a riscos cibernéticos
podem precisar ter membros de conselho que tenham expertise em tecnologia da informação ou
acesso à expertise necessária por meio de consultores independentes.
Independência
O conselho deve ser independente de maneira geral. A independência permite que os diretores
sejam objetivos e avaliem o desempenho e o bem-estar da entidade sem nenhum conflito de
interesse ou influência indevida de partes interessadas. O conselho demonstra sua independência
por meio da apresentação por cada membro que o compõe da sua objetividade individual (veja o
Exemplo 6.1).
Exemplo 6.1: Fatores que Impedem a Independência do Conselho
A independência de um membro do conselho pode ficar impedida se ele:
• Detiver um interesse financeiro substancial na entidade.
• Estiver ocupando atualmente ou tiver sido recentemente nomeado para ocupar um cargo
executivo na entidade.
• Tiver recentemente prestado aconselhamento ao conselho de administração de modo

substancial.
• Tiver um relacionamento comercial substancial com a entidade, como ser um fornecedor,

um cliente ou uma prestadora de serviços terceirizada.
• Tiver uma relação contratual em andamento com a organização.
• Tiver doado uma quantia financeira significativa à entidade.
• Tiver relacionamentos comerciais ou pessoais com as principais partes interessadas dentro

da entidade.
• For membro de conselho de outras entidades que representam um potencial conflito de

interesse.
• Exerceu o mesmo cargo no conselho por um longo tempo.
Um conselho independente funciona como um peso e contrapeso para a administração,

garantindo que a entidade seja dirigida de acordo com os melhores interesses de suas partes
interessadas, e não com os de um número seleto de membros do conselho ou da administração.
Em que pese a independência ser normalmente o foco de companhias abertas, considerações

similares se aplicam a entidades privadas, órgãos governamentais e entidades sem fins lucrativos.
Adequação do Gerenciamento de Riscos Corporativos
É importante que o conselho entenda a complexidade da entidade e como a integração das
competências e das práticas de gerenciamento de riscos agregarão valor. O conselho participa de
conversas com a administração para determinar se o gerenciamento de riscos corporativos está
elaborado de maneira adequada para agregar valor.
Por exemplo, algumas organizações podem obter valor por meio do entendimento dos riscos à
estratégia. Nesse caso, a administração define como foco para o gerenciamento de riscos
corporativos as práticas para executar a estratégia e alcançar os objetivos de negócio — talvez
meios de diminuir surpresas e prejuízos ou ainda reduzir a variabilidade de desempenho. Outras
podem agregar valor por meio do alinhamento da missão, da visão e dos valores principais e das
implicações da estratégia escolhida em relação ao perfil de risco. Nesse caso, a administração
enfocaria mais a elaboração da estratégia e o aumento da gama de oportunidades como suporte à
estratégia.
Viés Organizacional
O viés na tomada de decisão sempre existiu e sempre existirá. É comum encontrar dentro de
uma entidade evidências de personalidades dominantes, uma confiança excessiva nos números,
descaso em relação a informações contrárias, peso excessivo dados a eventos recentes e uma
tendência a esquivar-se de riscos ou a assumir riscos. Então a dúvida não é se o viés existe, e sim
como o viés que afeta as decisões no âmbito do gerenciamento de riscos corporativos pode ser
gerenciado. Espera-se que o conselho entenda os potenciais vieses organizacionais que possam
existir e conteste a administração de modo que tais vieses sejam superados.
espaço
Princípio 2: Estabelece Estruturas Operacionais
A organização estabelece as estruturas operacionais na busca pela

estratégia e pelos objetivos de negócio.
Uma estrutura operacional descreve como a entidade organiza e conduz suas operações do dia a
dia. Por meio da estrutura operacional, os profissionais são responsáveis pelo desenvolvimento e
pela implementação de práticas para gerenciar os riscos e permanecer alinhados aos valores
principais da entidade. Dessa maneira, uma estrutura operacional contribui para o gerenciamento
do risco à estratégia e aos objetivos de negócio.
A estrutura operacional normalmente está alinhada com as estruturas jurídica e gerencial da

entidade. A estrutura jurídica influencia como a entidade opera e a estrutura gerencial define os
níveis de subordinação, as funções e as responsabilidades pela gestão e operação contínuas do
negócio.
Diferentes estruturas jurídicas podem ser mais ou menos adequadas, a depender do tamanho da
entidade e quaisquer estruturas regulatórias, tributárias ou acionárias relevantes. Uma entidade
de pequeno porte tende a operar como uma pessoa jurídica única. Entidades de grande porte
podem consistir em várias pessoas jurídicas distintas. Nesse caso, os riscos podem ser
segregados caso não se agrupem nas estruturas jurídicas.
Nos termos da estrutura de gestão, a elaboração e apresentação de informações normalmente

transcende as estruturas jurídicas da entidade. Por exemplo, uma empresa possui três divisões
jurídicas separadas, elaborando e apresentando informações como uma empresa consolidada.
Estrutura Operacional e Níveis de Subordinação

A organização estabelece uma estrutura operacional e níveis de subordinação para executar a
estratégia e alcançar os objetivos de negócio. É importante para a organização definir claramente
as responsabilidades ao estipular os níveis de subordinação. A organização pode também
estabelecer relacionamentos com terceiros externos que podem influenciar os níveis de
subordinação (p.ex., alianças empresariais estratégicas, terceirização ou empreendimentos
empresariais conjuntos).
Estruturas operacionais diferentes podem resultar em perspectivas diferentes de um perfil de

risco, o que pode afetar as práticas de gerenciamento de riscos corporativos. Por exemplo,
avaliar o risco dentro de uma estrutura operacional descentralizada pode indicar a existência de
poucos riscos, enquanto a visão dentro de um modelo centralizado pode indicar uma
concentração de riscos — talvez em relação a determinados tipos de cliente, câmbio ou
exposição tributária.
Os fatores a considerar no estabelecimento e na avaliação das estruturas operacionais podem
incluir:
• A estratégia e os objetivos de negócio da entidade.
• A natureza, o porte e a distribuição geográfica dos negócios da entidade.
• Os riscos associados à estratégia e aos objetivos de negócio da entidade.
• A atribuição da autoridade, da responsabilização e da responsabilidade a todos os níveis da

entidade.
• Os tipos de níveis de subordinação (p.ex., nível de subordinação direto/chefia direta em

comparação com nível de subordinação secundário) e canais de comunicação.
• Os requisitos de elaboração e apresentação de informações financeiras, tributárias, regulatórias,

entre outros.
A organização considera esses e outros fatores para decidir qual estrutura operacional irá adotar.
Por exemplo, o conselho de administração determina quais funções da administração possuem
pelo menos uma subordinação indireta e informal ao conselho, de forma a permitir uma
comunicação de todos os assuntos importantes. De modo semelhante, as linhas de subordinação
direta e informativa são definidas em todos os níveis da entidade.
Estruturas de Gerenciamento de Riscos Corporativos

A administração planeja, organiza e executa a estratégia e os objetivos de negócio de acordo com
a missão, a visão e os valores principais da entidade. Dessa forma, a administração precisa de
informações sobre como os riscos associados à estratégia ocorrem em toda a entidade. Um
método frequentemente utilizado de coletar tais informações é atribuir a responsabilidade a um
comitê.
Os membros do comitê são geralmente executivos ou líderes seniores nomeados ou eleitos pela
administração, e cada um contribui com suas habilidades, seu conhecimento e sua experiência
individuais.
As entidades com estruturas complexas podem ter diversos comitês, cada um composto por
membros da administração diferentes, mas que se sobrepõem. A estrutura que comporta
diversos comitês é então alinhada à estrutura operacional e aos níveis de subordinação, o que
permite que a administração tome decisões de negócios conforme necessário, com um
entendimento pleno dos riscos inerentes a essas decisões.
Independentemente da estrutura do comitê de administração específico estabelecido, é comum

estipular claramente a autoridade do comitê, os membros da administração que fazem parte do
comitê, a frequência das reuniões e as responsabilidades específicas e os princípios operacionais.
Em entidades de pequeno porte, a supervisão do gerenciamento de riscos corporativos pode ser
menos formal, com a administração muito mais envolvida nas decisões do dia a dia.
Autoridade e Responsabilidades
Em uma entidade que possui apenas um conselho de administração, o conselho atribui à
administração a autoridade para elaborar e implementar práticas que prestem suporte à
consecução da estratégia e dos objetivos de negócio. Por sua vez, a administração define as
funções e as responsabilidades para toda a entidade e suas unidades operacionais. A
administração também define as funções, as responsabilidades e a responsabilização dos
indivíduos, das equipes, das divisões e das áreas de forma alinhada com a estratégia e os
Em uma entidade que dispõe de dois conselhos, o conselho supervisor enfoca as decisões e as
estratégias a longo prazo que impactam o negócio. O conselho de administração fica encarregado
de supervisionar as operações diárias, incluindo a supervisão e a delegação de autoridade para
decidir aos membros da alta administração. De maneira semelhante à estrutura de governança de
uma entidade que possui apenas um conselho, a administração define as funções e as
responsabilidades para toda a entidade e para suas unidades operacionais.
As principais funções geralmente incluem o seguinte:
• Indivíduos com função gerencial que têm autoridade e responsabilidade para a tomada de
decisões e para a supervisão das práticas de negócio para executar a estratégia e alcançar os
objetivos de negócio. Dentro da equipe de administração, o diretor de riscos 14geralmente é o
indivíduo responsável por fornecer expertise e coordenar as avaliações dos riscos.
• Outra equipe de profissionais que entende tanto as normas de conduta como os objetivos de
negócio da entidade em relação à sua área de responsabilidade e às práticas de gerenciamento
de riscos corporativos relacionadas nos respectivos níveis da entidade.
A administração delega responsabilidade e tarefas para permitir que os profissionais sejam

capazes de tomar decisões. A administração periodicamente reformula suas estruturas reduzindo
ou adicionando níveis gerenciais, delegando mais ou menos responsabilidades e tarefas a níveis
hierárquicos mais baixos ou formando parcerias com outras entidades.
Definir a autoridade de modo claro é importante, uma vez que ela empodera as pessoas para que
elas ajam conforme necessário em uma determinada função, mas também impõe limites à
autoridade. As decisões baseadas em riscos são aprimoradas quando a administração:
• Delega autoridade somente até o ponto necessário para executar a estratégia e alcançar os
objetivos de negócio da entidade (p.ex., uma avaliação e aprovação de produtos novos
envolvem as áreas de negócio e de suporte, separadamente da equipe de vendas).
• Especifica transações que exigem análise e aprovação (p.ex., a administração pode ter
autoridade para aprovar aquisições).
• Analisa riscos novos e emergentes como parte da tomada de decisão (p.ex., nenhum parceiro de
negócios novo é aceito sem que uma due diligence seja realizada).
O Gerenciamento de Riscos Corporativos dentro da Entidade em

Evolução
À medida que uma entidade muda, as competências e o valor que ela busca obter do
gerenciamento de riscos corporativos também podem mudar. O gerenciamento de riscos
corporativos deve ser customizado de acordo com as competências da entidade, considerando
tanto o que a organização está buscando obter como a forma com que ela gerencia os riscos. É
comum que o modelo operacional mude à medida que a natureza da empresa e sua estratégia
evoluam. A administração, consequentemente, avalia regularmente a estrutura operacional e os
níveis de subordinação associados da entidade.
No atual mundo da tecnologia de informação em constante evolução, novas estruturas

operacionais estão surgindo. É possível que as estruturas operacionais padrão logo se tornem
"virtuais" por natureza, dependendo muito menos dos locais físicos e mais das interconexões
tecnológicas. Isso exigirá uma análise da maneira pela qual o risco se transformará como
resposta: Em que ponto da tomada de decisões o risco é considerado? Como isso afeta a
consecução da estratégia e dos objetivos de negócio da entidade? A administração deve estar
preparada para abordar essas questões sob uma nova estrutura operacional e entender como
mudanças decorrentes de inovação influenciarão as práticas de gerenciamento de riscos
corporativos.
14
O diretor de riscos é a pessoa que tem autoridade em relação ao gerenciamento de riscos corporativos; outros nomes para essa
função podem ser "responsável pelo gerenciamento de riscos corporativos", "líder responsável por riscos", diretor da área de
gerenciamento de riscos" ou "diretor de riscos".
espaço
Princípio 3: Estipula a Cultura Desejada
A organização estipula os comportamentos desejados que

caracterizam a cultura desejada da entidade.
Cultura e Comportamentos Desejados

A cultura de uma organização reflete seus valores, comportamentos e decisões principais. As
decisões por sua vez dependem das informações, dos julgamentos, das competências e da
experiência disponíveis. A cultura de uma entidade influencia o modo como ela aplica sua
Estrutura: como ela identifica os riscos, quais tipos de risco ela aceita e como ela os gerencia.
Cabe ao conselho de administração e à administração definir a cultura desejada para a entidade

como um todo, bem como para os indivíduos que atuam nela. Os valores principais promovem
os comportamentos desejados na tomada de decisões no dia a dia para atender às expectativas
das partes interessadas. O estabelecimento de uma cultura adotada por todos os funcionários em
que as pessoas façam a coisa certa no momento certo é crucial para que a organização seja capaz
de abraçar as oportunidades e gerenciar o risco de modo a executar a estratégia e alcançar os
Muitos fatores moldam a cultura da entidade. Os fatores internos incluem, entre outros, o grau
de julgamento e de autonomia proporcionados aos funcionários, o modo como os funcionários da
entidade interagem entre si e com seus gestores, as normas e as regras, o layout físico do local de
trabalho e o sistema de recompensa em vigor. Os fatores externos incluem os requisitos
regulatórios e as expectativas dos clientes, dos investidores, além de outros elementos.
Todos esses fatores influenciam onde a entidade se enquadra na escala da cultura, que varia
desde avessa a riscos até agressiva em termos de riscos (veja a Figura 6.1). Quanto mais
próxima uma entidade estiver do último nível da escala de agressividade em relação a riscos,
mais propensa e disposta ela estará para aceitar os tipos e a quantidade maior de riscos que são
necessários para executar a estratégia e alcançar os objetivos de negócios (veja também o
Exemplo 6.2).
Figura 6.1: Spectro da Cultura
Exemplo 6.2: As Duas Pontas do Espectro Cultural
Uma usina nuclear tende a praticar uma cultura avessa a riscos em suas operações diárias.
Tanto a administração como as partes interessadas externas esperam que as decisões a
respeito de tecnologias e sistemas novos sejam tomadas cuidadosamente, com uma atenção
especial direcionada a detalhes e segurança para proporcionar expectativas razoáveis em
relação à confiabilidade da usina. Não é aconselhável que usinas nucleares invistam
fortemente em tecnologias inovadoras e não comprovadas que sejam críticas para o
gerenciamento das operações.
Por outro lado, uma empresa administradora de participações societárias tende a ser uma
entidade mais agressiva em termos de assunção de riscos. A administração e os investidores
externos terão grandes expectativas em relação a desempenho que irão exigir a assunção de
riscos potencialmente graves, ao mesmo tempo que ainda se enquadram no apetite a riscos
definido pela entidade.
Uma cultura bem desenvolvida não implica uma abordagem-modelo para o gerenciamento de
riscos corporativos. Os gerentes de algumas unidades operacionais podem estar preparados para
assumir mais riscos, enquanto outros podem ser mais conservadores. Por exemplo, uma unidade
de vendas agressiva pode direcionar sua atenção para a realização de uma venda sem dedicar
uma atenção especial ao compliance regulatório fora do apetite a riscos almejado, enquanto os
profissionais da unidade contratante podem focar em compliance total de acordo com o nível de
apetite a riscos almejado. Se trabalharem separadamente, essas duas unidades poderiam afetar
negativamente a entidade, mas, tendo um entendimento comum das decisões aceitáveis sobre
riscos, elas podem responder de modo adequado de acordo com o apetite a riscos definido a fim
de executar a estratégia e alcançar os objetivos de negócio da entidade.
O exercício do julgamento
O julgamento tem um papel significativo na definição da cultura desejada e no gerenciamento de
riscos em todo o espectro cultural. A entida normalmente exerce o julgamento:
• Quando há uma quantidade limitada de informações ou dados disponíveis para respaldar a
decisão.
• Quando há mudanças inéditas na estratégia, nos objetivos de negócio, no desempenho ou no

perfil de risco da organização.
• Durante épocas de disrupção.
O julgamento depende de experiências pessoais, apetite pelo risco, competências e nível de

informações disponíveis, além do viés organizacional. O julgamento da administração é passível
de viés sempre que o excesso ou a falta de confiança nas capacidades da organização existirem,
por exemplo, ou as premissas subjacentes e correlações estabelecidas forem baseadas em
informações limitadas. Os comportamentos na entidade também podem levar a um viés
organizacional que afeta o julgamento. Dinâmicas de grupo em reuniões, estilos de comunicação
da administração, além do reconhecimento dos funcionários podem afetar a capacidade da
administração de realizar um bom julgamento.
O julgamento influencia a capacidade de uma organização de enfrentar períodos de crise e

retomar as operações normais de maneira mais eficiente. Durante períodos de disrupção, a
capacidade de uma organização funcionar de acordo com as políticas ou procedimentos
existentes pode ser prejudicada, exigindo que ela faça maior uso do julgamento e dos
comportamentos da administração e do conselho. As providências tomadas pela organização para
manter a entidade longe de uma crise dependem da responsabilização, dos comportamentos e das
ações dos funcionários. As organizações com equipes de gerenciamento com grande experiência,
competências estabelecidas e um apetite pelo risco bem definido provavelmente julgarão com
mais clareza. As partes interessadas por sua vez provavelmente terão maior confiança de que a
organização irá recuperar-se de maneira bem sucedida quando o julgamento tive demonstrado
estar coerente com os valores básicos da entidade.
O julgamento também afeta o quanto a inovação e a identificação de oportunidades são

estimuladas em uma entidade. Quando a organização caracteriza-se por suas práticas prescritivas
e delegações limitadas de competência, a inovação pode ser coibida. Uma organização que dá
mais ênfase a uma cultura consciente do risco pode valer-se mais do julgamento da
administração ao tomar decisões que aumentam o valor e ao buscar novas oportunidades de
acordo com o apetite pelo risco da entidade.
O efeito da cultura
A cultura de uma organização afeta a maneira pela qual o risco é identificado e avaliado e a
resposta que é dada a ele, desde o momento de definição da estratégia, passando pela execução e
pelo desempenho. Exemplos incluem:
•A determinação do escopo da definição dos objetivos de negócio e da estratégia: A cultura de

uma organização pode afetar os tipos de alternativas estratégicas que estão sendo
consideradas. Por exemplo, a despeito de estudos de viabilidade promissores, uma organização
avessa ao risco pode decidir não expandir as operações de mineração e de prospecção em
novas localizações geográficas.
•O rigor nos processos de identificação dos riscos e de avaliação: A depender de onde está a
organização no espectro cultural, a natureza e os tipos de riscos e oportunidades podem
divergir. O que é visto como riscos potenciais por uma entidade avessa ao risco pode ser
considerado como uma oportunidade a ser aproveitada por outra. Por exemplo, um aumento na
demanda por pedidos on-line pode ser visto como um risco por uma empresa manufatureira
tradicional que vende produtos no varejo, mas como uma oportunidade de aumentar as vendas
por parte de um varejista que procure aumentar as vendas e a participação de mercado.
•A seleção das respostas ao risco e a alocação de recursos finitos: Uma entidade avessa ao risco
pode alocar as respostas ao risco ou recursos adicionais para ganhar mais confiança na
realização de um determinado objetivo de negócio. Os custos e benefícios associados às
respostas graduais ao risco podem ser interpretados de maneira menos favorável por entidades
mais agressivas na assunção de riscos. Por exemplo, a compra de apólices adicionais de seguro
pode ser incentivada por entidades avessas ao risco, mas ser vista como um uso ineficiente de
recursos financeiros por outra.
•A análise do desempenho: As tendências no perfil de risco ou no contexto de negócios podem

ser abordadas de maneiras diferentes em diversos pontos do espectro cultural. Uma entidade
avessa ao risco pode realizar mudanças de maneira mais rápida nas respostas dadas a ele à
medida que são identificadas variações no desempenho. As entidades mais agressivas na
assunção de riscos podem esperar mais tempo antes de fazer mudanças ou podem fazer
mudanças menores. Por exemplo, as companhias aéreas podem mudar o horário dos voos de
maneira mais rápida como resposta a mudanças negativas nas condições meteorológicas do
que empresas de ônibus ou de trem, as quais podem conseguir continuar operando sem
interrupção por mais tempo.
O alinhamentos dos valores principais, da tomada de decisões e do

comportamento
A capacidade de uma organização de executar de maneira bem-sucedida sua estratégia e
objetivos de negócio é prejudicada quando o comportamento e as decisões da organização não
são consistentes com seus valores principais. A falta de alinhamento pode levar a uma perda da
confiança de partes interessadas, abordagens inconsistentes e desempenho pior do que o
planejado.
A falta de adesão aos valores principais geralmente decorre de uma das seguintes razões:
• A postura dos administradores e dos gestores não transmite as expectativas de forma eficaz.
• O conselho não supervisiona a adesão às normas por parte da administração.

• A gerência de nível médio e os gerentes de área não estão alinhados com a missão, a visão e a
estratégia da entidade.
• O risco é uma consideração a posteriori da definição da estratégia e do planejamento

empresarial.
• As metas de desempenho criam incentivos ou pressões que incentivam um comportamento

contrário aos valores principais.
• Não existe uma política de transferência de questões de riscos e de desempenho importantes

para níveis hierárquicos superiores.
• A investigação e a resolução da assunção de riscos excessiva são inapropriadas.
• A administração ou outros funcionários agem de maneira deliberada em descumprimento dos

valores principais.
Em uma cultura consciente dos riscos, os profissionais sabem o que a entidade defende e os
limites dentro dos quais eles podem atuar. Eles podem discutir e debater abertamente sobre quais
riscos devem ser assumidos para executar a estratégia e alcançar os objetivos de negócio da
entidade, sendo o resultado disso o alinhamento consistente do comportamento dos funcionários
e da administração com o apetite a riscos da entidade.
Uma cultura em mudança

A cultura não permanece a mesma ao longo do tempo (veja o Exemplo 6.3). Mudanças no seio
da organização e influências externas podem fazer com que a cultura da entidade mude. A nova
liderança pode ter uma posição e uma filosofia diferentes em relação ao gerenciamento de riscos
corporativos. Adicionalmente, uma aquisição poderia alterar a missão e a visão da entidade e
afetar sua tomada de decisões. Fusões e aquisições também podem levar a mudanças na cultura.
Essas mudanças afetarão como a organização encara o risco e influenciarão como as decisões são
tomadas.
Exemplo 6.3: Quando as Violações das Normas de Conduta Ocorrem
Uma start-up do setor de tecnologia está desenvolvendo um novo algoritmo que aumenta a
precisão do rastreamento de mudanças no comportamento dos clientes e nas preferências de
compras. No seu início, a start-up tinha uma cultura bastante agressiva de assunção de
riscos conforme completava as primeiras fases do estabelecimento de operações comerciais
e da identificação de possíveis parceiros comerciais, clientes e oportunidades de mercado. À
medida que a organização amadureceu ela estabeleceu parcerias mais formais com clientes
maiores. A start-up finalmente decidiu lançar ações na bolsa de valores para ter acesso a um
grupo maior de investidores. Com essa mudança, a empresa ficou à esquerda do espectro
cultural, o que refletiu o apetite a riscos da entidade e as mudanças correspondentes nas
práticas de gerenciamento de riscos corporativos e nas competências da entidade.
espaço
Princípio 4: Demonstra Comprometimento com os

Valores Essenciais
A organização demonstra comprometimento com os valores
essenciais.
Refletido Valores Essenciais em toda a Organização

O entendimento dos valores principais da entidade é fundamental para o gerenciamento dos
riscos corporativos. Os valores principais refletem-se nas ações e decisões executadas na
entidade como um todo. Sem um entendimento claro e firme dos valores comunicados pela alta
direção da organização e um comprometimento com esses valores, a conscientização do risco
pode ser prejudicada e as decisões inspiradas pelo risco podem ser inconsistentes com esses
valores. A maneira pela qual os valores são comunicados à organização é normalmente descrita
como a “postura” da organização.
Ter uma posturaz consistente ajuda a organização a estabelecer um entendimento comum dos
valores principais, dos fatores que influenciam os negócios e dos comportamentos almejados dos
profissionais e dos parceiros comerciais. A consistência ajuda a unir a organização na busca da
estratégia e dos objetivos de negócio. Contudo, nem sempre é fácil manter uma postura
consistente. Por exemplo, diferentes mercados podem exigir diferentes abordagens da
motivação, da avaliação e dos serviços ao cliente. De tempos em tempos, esses fatores podem
pressionar diferentes níveis da entidade, resultando em uma mudança na postura da organização.
(Em entidades maiores, essa visão de postura da organização é algumas vezes mencionada como
"postura do nível intermediário"). No entanto, quanto mais consistente ela permanecer na
organização como um todo, mais consistente será o cumprimento das obrigações pelo
gerenciamento de riscos corporativos durante a busca da estratégia e dos objetivos de negócio da
entidade.
O alinhamento da cultura com a postura da organização dá confiança às partes interessadas que a

entidade adere aos seus valores principais e à consecução da sua missão e visão. Por exemplo,
em uma entidade em que a "segurança em primeiro lugar" é um valor principal, a administração
mostra seu comprometimento estimulando todos em todos os níveis a identificar práticas de
segurança e repassá-las aos níveis hierárquicos superiores independentemente do seu papel na
organização. As partes interessadas externas tais como inspetores de segurança que observam o
conteúdo e o tom dos materiais de treinamento, as comunicações internas e a elaboração e a
apresentação de informações consequentemente terão confiança que a organização está adotando
sua cultura e valores principais.
Incorporação de uma Cultura Consciente dos Riscos
A administração define as características necessárias para a concretização da cultura almejada ao
longo do tempo, e o conselho realiza as supervisões e define o foco. Uma organização pode
incorporar uma cultura consciente dos riscos por meio:
•Da manutenção de uma liderança forte: O conselho e a administração são importantes para
promover a conscientização e a postura adequadas em relação aos riscos por toda a entidade. A
cultura e, consequentemente, a conscientização sobre os riscos não podem ser transferidas das
equipes e das áreas de segunda linha por si mesmas; a liderança da organização deve ser a
propulsora real da mudança.
•Do uso de um estilo de administração participativo: A administração incentiva os profissionais

a participar da tomada de decisões e a discutir os riscos associados à estratégia e aos objetivos
de negócio.
•Da aplicação da responsabilização a todas as ações: A administração documenta as políticas

de responsabilização e adere a elas, demonstrando aos profissionais que a falta de
responsabilização não é tolerada e que a prestação de contas é adequadamente recompensada.
•Do alinhamento dos comportamentos conscientes do risco e da tomada de decisões com o

desempenho: Os programas de remuneração e de incentivo estão alinhados com os valores
principais da organização, incluindo os comportamentos esperados, a adesão a códigos de
conduta, e a promoção da responsabilização pela tomada de decisões e por julgamentos
conscientes do risco.
•Da incorporação do risco à tomada de decisões: A Administração aborda os riscos de modo

consistente ao tomar as principais decisões de negócio, o que inclui discutir e avaliar os
cenários que podem ajudar todos a entender as inter-relações e os impactos dos riscos antes de
tomar uma decisão final.
•Da realização de discussões abertas e francas sobre os riscos enfrentados pela entidade: A
administração não considera os riscos como algo negativo, entendendo sua administração
como algo crítico para a execução da estratégia e o alcance dos objetivos de negócio.
•Do incentivo à conscientização dos riscos por toda e entidade: A administração envia
constantemente mensagens aos profissionais que gerenciar os riscos faz parte das
responsabilidades diárias da administração, sendo não somente importante, mas também
fundamental para o sucesso e a sobrevivência da entidade.
O alinhamento entre o comportamento individual e a cultura é essencial. A influência mais

poderosa vem da administração, que cria e mantém a pauta organizacional. De modo explícito, a
organização desenvolve políticas, regras e normas de conduta. A organização deve liderar pelo
exemplo de maneira implícita para refletir seus valores principais e normas de conduta. A chave
é que a administração reforce a importância daquilo que ela estabeleceu, reconhecendo que são
os processos implícitos e sutis que estabelecem a cultura de modo mais eficaz de acordo com
seus valores principais.
Reforçando a Responsabilidade
Em última análise, o conselho de administração determina que o diretor-executivo 15 é
responsável por gerenciar os riscos enfrentados pela entidade estabelecendo práticas e
competências de gerenciamento de riscos corporativos para prestar suporte à consecução da
estratégia e dos objetivos de negócio da entidade. O diretor de riscos (CRO) e outros membros
da administração, juntos, são responsáveis por todos os aspectos da prestação de contas — desde
a elaboração inicial até a avaliação periódica das competências em cultura e gerenciamento de
riscos corporativos. A responsabilização pelo gerenciamento de riscos corporativos é
demonstrada em cada estrutura utilizada pela entidade.
A administração fornece orientações aos profissionais para que estes entendam os riscos. A
administração também demonstra liderança comunicando as expectativas em relação à conduta
em todos os aspectos do gerenciamento de riscos corporativos. Tal liderança demonstrada pela
alta administração ajuda a estabelecer e reforçar a responsabilização e o propósito comum.
A responsabilização é evidente nas formas a seguir:
• A administração e o conselho claramente comunicando suas expectativas (por exemplo

elaborando e aplicando códigos de conduta).
• A administração garante que as informações sobre os riscos circulam por toda a entidade (p.ex.,
comunicando como as decisões são tomadas e como o risco é considerado como parte das
decisões).
• Os funcionários estão comprometidos com os objetivos de negócio coletivos (p.ex., por meio
do alinhamento das metas e do desempenho individuais com os objetivos de negócio da
entidade).
• A administração responde às violações das normas e aos desvios comportamentais (p.ex.,

fazendo o desligamento dos profissionais que não cumprirem as normas ou tomando outras
medidas para solucionar a não adesão às normas organizacionais; iniciando as avaliações de
desempenho).
Assunção de responsabilidades
Em algumas estruturas de governança, as metas de desempenho partem do conselho de
administração, passando pelo diretor-executivo (CEO), pela administração e pelos demais
profissionais da entidade, e o desempenho é avaliado em cada um desses níveis. O conselho de
administração avalia o desempenho do diretor-executivo (CEO), que, por sua vez, avalia a
equipe de administração, e assim por diante. Em cada um dos níveis, a adesão aos valores
principais e aos comportamentos culturais almejados é avaliada, e recompensas são distribuídas
ou medidas disciplinares são aplicadas, conforme for apropriado. O conselho pode também
realizar uma autoavaliação para aferir seus pontos fortes e identificar oportunidades de melhorias
no gerenciamento de riscos corporativos.
Em outras estruturas de governança, tais como aquelas compostas de dois conselhos, o órgão
supervisor avalia o desempenho do conselho de administração como um todo e dos membros
individuais; a diretoria executiva avalia a equipe sênior da gerência que reporta diretamente a
ela.
Uma Comunicação Aberta e Sem Retaliação

É responsabilidade da administração cultivar uma comunicação aberta e transparente sobre os
riscos e as expectativas em relação à assunção de riscos. A administração demonstra que o risco
não deve ser um tema a ser discutido somente em reuniões do conselho. E ela demonstra isso
transmitindo aos funcionários mensagens claras e consistentes de que o gerenciamento de riscos
faz parte das responsabilidades diárias de todos, sendo não somente valorizado, mas também
fundamental para o sucesso e a sobrevivência da entidade. A comunicação aberta e a
transparência em relação aos riscos permitem que a administração e os profissionais trabalhem
em conjunto continuamente para compartilhar informações por toda a entidade.
As informações sõa compartilhadas e transmitidas aos níveis hierárquicos superiores relevantes

na entidade. A transparência das informações pode relacionar-se a:
• Mudanças no entendimento das premissas que respaldam a definição da estratégia ou dos

• Adequação atual de uma resposta ao risco.
• Incidentes, falhas, erros ou prejuízos inesperados.
• Variações no desempenho incluindo excesso de desempenho, mesmo aquele facilitado por

terceiros.
• Mudanças no perfil ou na carteira de risco da entidade.
• Desvios em relação aos comportamentos esperados comparativamente aos valores principais da

organização.
Além disso, a administração proporciona ao conselho de administração um nível adequado de

informações sobre risco para determinar se as práticas atuais de gerenciamento de riscos
corporativos são adequadas. O conselho de administração pode supervisionar os riscos somente
se dispor de informações tempestivas e completas e quando as linhas de comunicação estiverem
abertas para discutir as questões com a administração.
A entidade que demonstra uma comunicação aberta e transparência proporciona uma variedade
de canais tanto para a administração como para os profissionais poderem relatar suas
preocupações sobre assunção de riscos e conduta ou comportamento empresarial possivelmente
inadequados ou excessivos sem medo de retaliação ou intimidação. A entidade também proíbe
qualquer forma de retaliação contra qualquer indivíduo que participe de boa fé em qualquer
investigação sobre um comportamento não condizente com as normas de conduta e com o apetite
a riscos da entidade. Os profissionais que se envolverem em retaliação ou intimidação
inapropriadas estão sujeitos a medidas disciplinares.
Resposta aos desvios em relação aos valores essenciais e aos

comportamentos
Se o estabelecimento de uma cultura em que a administração e os profissionais agem de acordo
com o comportamento desejado é fundamental para o gerenciamento de riscos corporativos,
então por que às vezes as coisas não dão certo? Até mesmo nessas entidades que demonstram
comprometimento com os valores principais de forma consistente às vezes acontecem falhas
operacionais, escândalos e crises — prejudicando reputações e por fim tornando a organização
incapaz de executar sua estratégia e alcançar seus objetivos de negócio.
Irregularidades ocorrem por três motivos: pessoas cometem erros (por confundir-se ou não ter
conhecimento), pessoas têm seu momento de fraqueza e pessoas de má índole optam por
prejudicar outras. Tendo conhecimento de que qualquer uma dessas três coisas pode ocorrer,
uma organização deve alinhar seus valores principais e comportamento para ajudar as pessoas a
evitar cometer erros e para identificar potenciais infratores, quer sejam indivíduos ou grupos.
Isso requer avaliar e priorizar os riscos, bem como desenvolver formas de responder a eles de
forma detalhada, adequadamente.
A organização transmite uma mensagem clara do comportamento aceitável e do comportamento

inaceitável todas as vezes em que as violações forem reveladas. As violações das normas de
conduta devem ser abordadas de maneira tempestiva e consistente (veja o Exemplo 6.4).
Exemplo 6.4: Quando ocorrem os desvios em relação aos valores principais
No caso de uma empresa global do setor farmacêutico, os custos com pesquisa e

desenvolvimento (P&D) estão geralmente entre os mais altos, uma vez que os produtos
podem demorar de 10 a 20 anos para serem desenvolvidos e lançados no mercado, sendo
necessário um investimento financeiro significativo. Durante a etapa de pesquisa, é comum
que muitos efeitos colaterais de um produto sejam identificados. Mas caso o setor de P & D
não tenha revelado todos os possíveis efeitos colaterais à administração, impendindo-a
assim de tomar decisões abalizadas a respeito de passar da fase de teste de medicamentos
para a produção, e o medicamento for lançado, pode haver efeitos graves à entidade caso os
pacientes que utilizam a droga experimentem efeitos colaterais danosos. Ademais, o fato de
a área de P&D não ter informado os efeitos colaterais poderia ser uma clara violação da
conduta que a empresa almeja.
A resposta a uma violação dependerá de sua magnitude, que é determinada pela administração,
considerando quaisquer leis e normas de conduta relevantes. As respostas são variadas,
algumas organizações poderão dar uma advertência ao funcionário, colocá-lo em um período de
observação/avaliação ou até mesmo demiti-lo. Em todos os casos, as expectativas a respeito do
comportamento consciente dos riscos, o julgamento e a tomada de decisões precisam permanecer
consistentes. A consistência garante que a cultura da entidade não venha a ser prejudicada.
15
Esta Estrutura refere-se ao "diretor-executivo (CEO).” Outros termos que descrevem essa posição de liderança sênior que
podem ser utilizados incluem “diretor-executivo,” “presidente,” “diretor-presidente,” ou “vice.”
espaço
Princípio 5: Atrai, Desenvolve e Retém os Indivíduos

Capacitados
A organização está comprometida em desenvolver capital humano
de forma alinhada à estratégia e aos objetivos de negócio.
Estabelecimento e Avaliação de Competências

A administração, sob a supervisão do conselho, define o capital humano necessário para executar
a estratégia e alcançar os objetivos de negócio. Entender as competências necessárias ajuda a
estabelecer como os diversos processos empresariais devem ser realizados e quais habilidades
devem ser aplicadas. Isso começa com o conselho de administração relativamente ao diretor-
executivo (CEO), e o diretor-executivo (CEO) relativamente à administração e aos profissionais
de cada uma das divisões, das unidades operacionais e das áreas da entidade. E isso significa
que o conselho de administração avalia a competência do diretor-executivo (CEO), e a
administração, por sua vez, avalia a competência na entidade como um todo, abordando
quaisquer deficiências ou excessos conforme necessário.
A área de recursos humanos ajuda a promover as competências ajudando a administração na

elaboração de descrições, funções e responsabilidades dos cargos, viabilizando treinamentos e
avaliando o desempenho individual para gerenciar riscos. A administração avalia os seguintes
fatores ao desenvolver os requisitos das competências:
• Conhecimento, habilidades e experiência em relação ao gerenciamento de riscos corporativos.
• Natureza e grau de julgamento e limites de autoridade a serem aplicados a um cargo específico.
• Os custos e os benefícios de diferentes níveis de habilidades e experiência.
Atração, Desenvolvimento e Retenção de Indivíduos

O compromisso contínuo com a competência conta com o suporte dos processos de gestão de
recursos humanos e são incorporados a estes. A administração estabelece em diferentes níveis a
estrutura e o processo para:
•Atrair: Buscar o número necessário de candidatos que se enquadrem na cultura consciente dos
riscos desejada, nos comportamentos almejados, no estilo operacional e nas necessidades
organizacionais da entidade e que tenham as competências necessárias para as funções
propostas.
•Treinar: Tornar os indivíduos capazes de desenvolver e manter as competências em

gerenciamento de riscos corporativos apropriadas para as funções e responsabilidades
atribuídas, reforçar as normas de conduta e os níveis de competência almejados, customizar o
treinamento de acordo com as necessidades específicas e analisar um conjunto de técnicas de
realização do trabalho, incluindo o fornecimento de instruções em sessões presenciais,
programas de autoestudo e treinamentos no local de trabalho.
•Mentorear: Fornecer orientações sobre o desempenho do indivíduo em relação às normas de

conduta e às competências, alinhar as habilidades e o conhecimento em profundidade do
indivíduo com a estratégia e os objetivos de negócio da entidade e ajudar o indivíduo a
adaptar-se a um ambiente externo em constante evolução.
•Avaliar: Mensurar o desempenho dos indivíduos no que diz respeito a alcançar os objetivos de
negócio e demonstrar competências para gerenciar riscos corporativos em relação a normas
pré-acordadas.
•Reter: Oferecer incentivos para motivar um indivíduo e reforçar o nível almejado de

desempenho e de conduta. Isso inclui oferecer treinamentos e credenciamentos conforme
apropriado.
Ao longo desse processo, qualquer comportamento inconsistente com as normas de conduta, as

políticas, as expectativas em relação ao desempenho e as responsabilidades pelo gerenciamento
de riscos corporativos é identificado, avaliado e corrigido tempestivamente.
Adicionalmente, as organizações devem identificar e avaliar continuamente essas funções que

são essenciais para alcançar a estratégia e os objetivos de negócio da entidade. Para decidir se
uma função é essencial ou não, deve-se avaliar as consequências de ter essa função temporária
ou permanentemente não preenchida. A seguinte pergunta precisa ser feita: Como a estratégia e
os objetivos de negócio serão alcançados se o cargo de, por exemplo, diretor-executivo, (CEO)
estiver vago?
Recompensando pelo Desempenho

O desempenho é consideravelmente influenciado pela proporção na qual os indivíduos assumem
responsabilidades e pelo modo como eles são recompensados. Cabe à administração e ao
conselho de administração estabelecer incentivos e outras recompensas desde que sejam
apropriados para todos os níveis da entidade, considerando a consecução dos objetivos de
negócio tanto a curto prazo como a longo prazo. O estabelecimento de tais incentivos e
recompensas requer avaliar e priorizar os riscos, bem como elaborar formas de responder a eles
de forma detalhada, adequadamente. Por outro lado, nos termos de um programa de incentivos,
os indivíduos que não aderirem às normas de conduta da entidade poderão sofrer penalidades,
não poderão ser promovidos, tampouco recompensados de qualquer outra forma.
Aumentos de salário e bônus são incentivos comuns, mas as recompensas não monetárias, como
a atribuição de responsabilidades maiores, a visibilidade e o reconhecimento também são
eficazes. A administração introduz e analisa regularmente as estruturas de recompensa e
mensuração da entidade conjuntamente com o comportamento desejado. Ao fazer isso, o
desempenho de indivíduos e das equipes são avaliados em relação às medidas definidas, que
incluem fatores de desempenho empresarial, bem como a competência demonstrada (veja o
Exemplo 6.5).
Exemplo 6.5: Desempenho, Incentivos e Recompensas
Uma empresa familiar que opera no ramo de fabricação de móveis está tentando conquistar
a fidelidade do cliente com seus móveis de alta qualidade. Ela envolve sua força de
trabalho para reduzir os índices de defeitos de fabricação, além de alinhar suas medidas de
desempenho, seus incentivos e suas recompensas tanto às metas de produção das unidades
operacionais como às expectativas visando a cumprir as normas de segurança e de
qualidade, as leis de segurança no trabalho, os programas de fidelidade do cliente e a
divulgação de informações precisas sobre recall de produtos. Depois de ter alinhado os
objetivos de negócio aos incentivos e às recompensas, a empresa observou nos funcionários
uma maior conscientização sobre suas responsabilidades e uma maior disposição para
trabalhar juntos para enfrentar os desafios. No final, verificou-se uma sensível diminuição
nos defeitos dos produtos.
Endereçando aa Pressão
A pressão em uma organização decorre de várias fontes. As metas que a administração
estabelece para a consecução da estratégia e dos objetivos de negócio geram pressão por sua
própria natureza. A pressão pode também ocorrer durante os ciclos regulares de tarefas
específicas (p.ex., negociação de um contrato de vendas), e pode, algumas vezes, ser
autoimposta. Uma mudança inesperada no contexto de negócios, tal como uma queda abrupta no
nível de atividade econômica, também pode aumentar a pressão.
A pressão pode motivar indivíduos, fazendo com que eles atendam às expectativas, ou causar
medo neles, fazendo com que eles tenham receio das consequências de não terem executado a
estratégia nem realizado os objetivos de negócio da entidade. No último caso, os indivíduos
podem burlar processos ou se envolver em atividades fraudulentas. As organizações podem ter
uma influência positiva sobre essa pressão restabelecendo o equilíbrio dos volumes de trabalho
ou aumentando os níveis de recurso, conforme apropriado, e continuar a comunicar a
importância do comportamento ético.
A pressão excessiva é geralmente associada a:
• Metas de desempenho irreais, especialmente no caso de resultados a curto prazo.
Objetivos de negócio irreconciliáveis de diferentes partes interessadas.
• Desequilíbrio entre recompensas para desempenho financeiro a curto prazo e recompensas para
partes interessadas focadas no longo prazo focadas, tais como metas de sustentabilidade
corporativa (veja o Exemplo 6.6).
Exemplo 6.6: O Preço da Pressão
Uma possível reação negativa à pressão deve ser levada em consideração quando da análise
da remuneração e dos incentivos. Por exemplo, os gerentes de investimento assumem
riscos em nome das carteiras de seus clientes, e o desempenho desses investimentos pode
afetar significativamente a remuneração da entidade. Uma taxa de administração baseada no
desempenho do fundo pode resultar em um comportamento bastante diferente em relação a
uma taxa com base no valor do fundo. O alinhamento da remuneração individual pode
ajudar a reforçar a cultura desejada. Por outro lado, as estruturas de incentivos que não
avaliarem de modo adequado os riscos associados à criação de pressão podem gerar um
comportamento inadequado.
A pressão também pode ser decorrente de mudanças: mudanças na estratégia, no modelo

operacional, nas atividades de aquisição ou desinvestimento e no contexto de negócio, o que
geralmente é externo à organização, como as iniciativas do concorrente no mercado. A
administração e o conselho devem estar preparados para definir e ajustar, conforme apropriado, a
pressão quando da atribuição de responsabilidades, da elaboração de medidas de desempenho e
da avaliação do desempenho. É responsabilidade da administração orientar aqueles aos quais ela
tenha delegado autoridade para tomar decisões apropriadas no decorrer dos negócios.
Preparando para a Sucessão

Para preparar-se para a sucessão, o conselho de administração e a administração devem elaborar
planos de contingência para atribuir responsabilidades importantes para o gerenciamento de
riscos corporativos. Em particular, os planos de sucessão para executivos-chave precisam ser
definidos, e os candidados à sucessão devem ser treinados, instruídos e orientados para que
sejam capazes de assumir a função. As entidades maiores geralmente identificam mais de uma
pessoa para preencher uma função crítica.
espaço
Princípios Relacionados à Definição dos Objetivos e da

Estratégia
Introdução
Toda entidade tem uma estratégia para concretizar sua missão e sua visão, bem como para
promover valor. Pode ser um desafio avaliar se a estratégia estará alinhada à missão, à visão e
aos valores principais da entidade; no entanto, trata-se de um desafio que deve ser enfrentado.
Ao integrar o gerenciamento de riscos corporativos à definição da estratégia, a organização
obtém insights sobre o perfil de risco associado à estratégia e aos objetivos de negócio. Isso
orienta a organização, ajudando a aprimorar a estratégia e as tarefas necessárias para realizá-la.
espaço
Princípio 6: Analisa o Contexto dos Negócios
A organização analisa os potenciais efeitos do contexto dos

negócios sobre o perfil de risco.
Entendimento do Contexto dos Negócios

Uma organização analisa o contexto dos negócios ao desenvolver a estratégia para prestar
suporte à sua missão, à sua visão e aos seus valores principais. O "contexto dos negócios" refere-
se a tendências, relacionamentos e outros fatores que influenciam a estratégia e os objetivos de
negócio atuais e futuros da organização. O contexto dos negócios pode ser:
• Dinâmico, no qual novos riscos podem surgir a qualquer momento causando disrupção e
mudando o status quo (p.ex., um novo concorrente que faz com que as vendas de um produto
diminuam ou até mesmo torne o produto obsoleto).
• Complexo, com muitas interconexões e interdependências (p.ex., uma entidade com muitas
unidades operacionais em todo o mundo, cada uma delas com seus próprios regimes políticos,
suas próprias políticas regulatórias e leis tributárias).
• Imprevisível, em que as mudanças ocorrem rapidamente e de maneira imprevista (e.g.,

flutuações na moeda e forças políticas).
Considerando o Ambiente Externo e as Partes Interessadas Externas

O ambiente externo faz parte do contexto dos negócios. Trata-se de qualquer coisa, incluindo as
partes interessadas externas, fora da entidade, que pode influenciar sua capacidade de concretizar
a estratégia e os objetivos de negócio.
Um exemplo de uma parte interessada externa é um órgão regulatório que concede a uma
entidade uma licença de operação, mas também tem a autoridade de aplicar sanções a essa
entidade ou forçá-la a encerrar suas operações temporária ou permanentemente. Outro exemplo
é um investidor que proporciona capital à entidade, mas que pode decidir investir em outra
organização se não concordar com a direção estratégica ou com o nível de desempenho da
referida entidade. Uma organização que identifica suas partes interessadas e seu ambiente
externo e até que ponto eles têm influência sobre o negócio pode estar mais bem posicionada
para antecipar-se às mudanças e adaptar-se a elas.
As partes interessadas externas não estão diretamente envolvidas nas operações da entidade, mas
elas:
• São afetadas pela entidade (clientes, fornecedores, concorrentes etc.).

• Diretamente influenciadas pelo ambiente de negócios da entidade (governo, órgãos reguladores
etc.).
• Têm influência sobre a reputação, a marca e a confiabilidade da entidade (comunidades, grupos

de interesse etc.).
O ambiente externo abrange vários fatores que podem ser categorizados pelo acrônimo PESTLE:
political, economic, social, technological, legal, and environmental (político, econômico, social,
tecnológico, jurídico e ambiental) (veja a Figura 7.1). O Exemplo 7.1 mostra um cenário para
ilustrar o conceito.
Figura 7.1: Categorias e Características do Ambiente Externo16
Categorias Características do Ambiente Externo
Política A natureza e a extensão da intervenção e da influência

governamentais, incluindo as políticas tributárias, as leis
trabalhistas, as leis ambientais, as restrições comerciais, as tarifas
e a estabilidade política
Econômica Taxas de juro, inflação, taxas de câmbio, disponibilidade de

crédito, crescimento do PIB etc.
Social Necessidades ou expectativas do cliente; perfil demográfico da

população, tais como a distribuição etária, o nível educacional e a
distribuição de renda
Tecnológica Atividade de P & D, automação e incentivos à tecnologia; índice

de mudanças ou disrupção tecnológica
Legal Leis (por exemplo, lei trabalhista, código do consumidor, leis

sobre saúde e segurança), normas regulatórias e/ou padrões da
indústria
Ambiental Catástrofes naturais ou causadas pelo homem, mudanças

climáticas em andamento, mudanças nas normas regulatórias
sobre consumo de energia, atitudes em relação ao meio ambiente.
Exemplo 7.1: Influências do Ambiente Externo
Duas empresas tecnológicas globais que concorrem entre si estão tentando aumentar as
receitas. A primeira empresa está considerando lançar um produto consolidado nos países
em desenvolvimento, enquanto a outra empresa está desenvolvendo um novo produto que
expandiria a base de consumidores existente. À medida que cada uma das empresas avalia
estratégias alternativas, elas consideram diferentes ambientes externos. A primeira empresa
é influenciada por fatores políticos, jurídicos e e econômicos à medida que ela lida com as
leis, as regulamentações governamentais e as cadeias de suprimentos específicas do país.
Por outro lado, a segunda empresa enfoca fatores sociais e tecnológicos à medida que ela
procura entender as necessidades dos consumidores em constante evolução. Mesmo que
ambas as empresas atuem no mesmo setor, elas contam com diferentes ambientes externos
que influenciam os perfis de risco específicos e, por fim, as estratégias escolhidas.
Considerando o Ambiente Interno 17 e as Partes Interessadas Internas

O ambiente interno de uma entidade consiste em tudo que está dentro da entidade e que pode
afetar sua capacidade de concretizar a estratégia e os objetivos de negócio (Figura 7.2). As partes
interessadas internas são aquelas pessoas que trabalham dentro da entidade e que influenciam
diretamente a organização (conselho de administração, administração e os demais profissionais).
Como as entidades variam consideravelmente em porte e estrutura, as partes interessadas
internas podem afetá-las de modo diferente mais de modo geral do que no nível da divisão, da
unidade operacional ou da área.
Figura 7.2: Categorias e Características do Ambiente Interno
Categorias Características do Ambiente Interno
Capital Ativos, incluindo caixa, equipamentos, imóveis, patentes
Pessoas Conhecimento, habilidades, atitudes, relacionamentos, valores e

cultura
Processo Atividades, tarefas, políticas ou procedimentos; mudanças nos

processos operacionais, de gerenciamento e de suporte
Tecnologia Tecnologia nova, adaptada e/ou adotada

Como o Contexto dos Negócios Afeta o Perfil de Risco
O efeito que o contexto dos negócios tem sobre o perfil de risco de uma entidade pode ser visto
em três etapas: desempenho passado, presente e futuro. Fazer uma análise do desempenho
passado pode proporcionar à organização informações valiosas que podem ser utilizadas na
moldagem de seus perfis de risco. Analisar o desempenho atual pode mostrar à organização
como as tendências, os relacionamentos e outros fatores atuais estão afetando o perfil de risco. E
ao refletir sobre como serão esses fatores no futuro, a organização pode analisar como seu perfil
de risco irá evoluir levando em consideração para onde ele está indo ou quer ir. O Exemplo 7.2
mostra como uma organização pode analisar o contexto dos negócios nos componentes do
Exemplo 7.2: Consideração do Contexto dos Negócios em cada um dos Componentes da

Estrutura
A administração de um varejista integra o entendimento do contexto dos negócios a outras

práticas de gerenciamento de riscos corporativos, como segue:
•Governança e Cultura: A organização elabora um entendimento da governança e das

tendências regulatórias relacionadas. O conselho incorpora esse entendimento sobre
expectativas emergentes à sua supervisão das práticas de gerenciamento de riscos
corporativos.
•Definição dos Objetivos e da Estratégia: A administração realiza uma análise detalhada

das tendências sociais e no varejo, dos índices de confiança do consumidor que
determinam o comportamento da sua base de clientes, incorporando essas constatações ao
ciclo de definição da estratégia para obter valor e sucesso no longo prazo.
•Desempenho: A administração incorpora seu entendimento de tendências ambientais e

como elas podem afetar a avaliação de riscos relativamente ao objetivo de reduzir o
empacotamento em 50% de acordo com seus valores principais.
•Análise e Revisão: A administração considera como mudanças nas práticas da força de

trabalho, isto é, o advento da força de trabalho móvel, podem também afetar a cultura e
as práticas de gerenciamento de riscos corporativos da entidade, incluindo oportunidades
para aprimorar as práticas atuais.
Informação, Comunicação e Elaboração e Apresentação de Informações: A administração

considera que a legislação a respeito da privacidade das informações pode afetar a
maneira pela qual a entidade obtém, comunica, elabora e apresenta informações sobre o
risco?
16
As categorias do ambiente externo podem também ser consideradas como categorias de risco potencial quando da identificação
e da avaliação de riscos.
17
O ambiente interno é explorado de modo mais detalhado no componente Governança e Cultura (Capítulo 6).
espaço
Princípio 7: Define o Apetite a Risco
A organização define o apetite a risco no contexto de geração, de

preservação e de realização de valor.
Aplicando o Apetite a Riscos

As decisões tomadas na seleção da estratégia e no desenvolvimento do apetite a riscos não são
lineares, com uma decisão sempre precedendo a outra. Também não existe um apetite a riscos
universal que possa ser aplicado a todas as entidades.
Muitas organizações desenvolvem a estratégia e o apetite a riscos paralelamente, aperfeiçoando

cada um deles ao longo do processo de definição da estratégia. Alguns conselhos fornecerão
input e poderão questionar a administração sobre sua escolha do apetite a riscos, enquanto
espera-se que outros concordem com a administração e aprovem o apetite a riscos definido.
Independentemente de como as decisões são tomadas, a organização teria um entendimento
preliminar do apetite a riscos com base na missão e na visão estabelecidas, além de estratégias
passadas. Esses são inputs importantes para qualquer apetite a riscos, o qual é refinado sempre
que uma organização analisa estratégias alternativas e seleciona uma estratégia desejada.
Algumas entidades analisam o apetite a riscos em termos qualitativos enquanto outras preferem
analisá-lo em termos quantitativos, geralmente enfocando o equilíbrio entre crescimento, retorno
e risco. Seja qual for a abordagem que a entidade selecionar para descrever seu apetite a riscos,
tal abordagem deve refletir a cultura da entidade. Além disso, se a organização quiser alterar
algum aspecto da cultura, o estabelecimento de um apetite grande por riscos pode ajudar a criar e
reforçar aquela cultura desejada.
A melhor abordagem para uma entidade é aquela que está alinhada à análise utilizada para
avaliar riscos em geral, sejam eles qualitativos ou quantitativos. A elaboração de declarações
sobre o apetite a riscos é um exercício de busca do equilíbrio perfeito entre o risco e a
oportunidade.
Quando analisados em conjunto, esses pontos podem ajudar a estruturar o apetite a riscos da
entidade e proporcionar maior precisão do que uma declaração única e de nível mais elevado. A
Figura 7.3 representa o perfil de risco como uma área sólida (na cor azul), preenchendo o espaço
por todo o eixo de desempenho a partir das barras de perfil de risco individuais (a partir da
ilustração anterior da Figura 3.2). Uma linha mostrando o apetite a riscos também foi
adicionada.
Fugura 7.3: Perfil de Risco Mostrando o Apetite por
Riscos e a Capacidade de Assumir Riscos
Seja qual for a representação do perfil de risco, as organizações podem também expressar a
capacidade de assumir riscos (conforme mostra a Figura 7.3), que é a quantidade máxima de
riscos que uma entidade é capaz de absorver durante seus esforços de consecução da estratégia e
dos objetivos de negócio. A capacidade de assumir riscos deve ser considerada quando da
definição do apetite a riscos, uma vez que a organização geralmente se empenha para manter o
apetite a riscos de acordo com sua capacidade. Não é típico de uma organização estipular o
apetite a riscos acima de sua capacidade de lidar com eles, mas em raras situações uma
organização pode escolher fazê-lo. Isso pode acontecer, por exemplo, no caso de uma
organização aceitar a ameaça da insolvência, considerando que o sucesso pode criar valor
considerável. Quando a organização estiver gerenciando riscos acima do seu apetite, espera-se
normalmente que a administração altere suas práticas para funcionar de acordo com tal apetite ou
aceite formalmente esse nível de assunção de riscos. Algumas organizações também procurarão
a aprovação do conselho em tais casos. (Uma discussão adicional sobre perfis de risco é
apresentada no Anexo D do Volume II)
Determinando o Apetite a Riscos

Não existe um apetite a riscos padrão ou certo que possa ser aplicado a todas as entidades. A
administração e o conselho de administração escolhem um apetite a riscos tendo pleno
entendimento das concessões mútuas envolvidas. O apetite a riscos pode incluir uma ou várias
representações que se alinhem e especifiquem coletivamente os tipos e a quantidade de riscos
aceitáveis.
Uma variedade de abordagens está disponível para determinar o apetite a riscos, incluindo a
viabilização de discussões, a análise das metas de desempenho passadas e atuais e a modelagem.
Ao estipular o apetite a riscos, a organização pode considerar as partes interessadas conforme
observado na discussão sobre o contexto dos negócios. Cabe à administração comunicar o apetite
a riscos pré-acordado em vários níveis de detalhes à entidade como um todo. Mediante
aprovação do conselho, a administração também reavalia e reforça o apetite a riscos ao longo do
tempo e à luz de considerações novas e emergentes.
Para algumas entidades, usar termos gerais como "baixo apetite" ou "alto apetite" é suficiente.
Outras podem ver tais declarações como vagas demais para comunicar e implementar o apetite a
riscos de modo eficaz, e, dessa forma, elas poderão buscar medidas mais quantitativas.
Geralmente, à medida que as organizações se tornam mais experientes no gerenciamento de
riscos corporativos, elas elaboram descrições mais precisas de seu apetite a riscos. Em alguns
casos, as organizações podem elaborar medições quantitativas ligadas à declaração sobre o
apetite a riscos. Essas medidas normalmente seriam consistentes com a estratégia e com as metas
de objetivos de negócio relacionadas. Por exemplo, uma entidade que canaliza suas práticas de
gerenciamento de riscos corporativos para a redução da variabilidade do desempenho pode
expressar o apetite pelo risco usando os resultados financeiros ou o beta das ações.
O apetite pelo risco deve ser posicionado e percebido como uma abordagem dinâmica para
moldar o perfil de risco da entidade em vez de ser uma restrição adicional ao desempenho. Por
essa razão, algumas entidades elaborarão uma série de expressões em cascata para apetite a
riscos, fazendo referência a "metas", "faixas", "pisos" ou "tetos" (veja o Exemplo 7.3). Outras
utilizarão termos quantitativos específicos como forma de aumentar a precisão.
Exemplo 7.3: Expressões sobre o Apetite a riscos
Meta: Uma cooperativa de crédito com um apetite a riscos mais baixo para créditos de
liquidação duvidosa transmite essa mensagem a todos os níveis da empresa definindo uma
meta de perdas com crédito de liquidação duvidosa de 0,50% da carteira de crédito como
um todo.
Escala: Uma empresa de suprimentos médicos opera em uma escala de risco geral baixa.
Seu apetite a riscos mais baixo refere-se aos objetivos de segurança e compliance, incluindo
a saúde e a segurança dos funcionários, com um apetite a riscos ligeiramente mais alto em
relação aos objetivos estratégicos, operacionais e de elaboração e apresentação de
informações. Isso significa reduzir a uma quantidade razoavelmente viável os riscos
decorrentes dos diversos sistemas, produtos e equipamentos médicos e do ambiente de
trabalho, e cumprir as obrigações jurídicas que têm precedência sobre outros objetivos de
negócio.
Teto: Uma universidade aceita um apetite a riscos moderado enquanto ela busca expandir o
escopo de suas ofertas quando for prudente em termos financeiros e explorará
oportunidades para atrair novos estudantes. A universidade favorecerá novos programas
quando ela tiver ou puder obter prontamente as competências necessárias para oferecer tais
programas. No entanto, a universidade não aceitará programas que apresentarem riscos
graves tanto à sua missão como à sua visão, definindo um teto para as decisões aceitáveis.
Piso: Uma empresa de tecnologia tem objetivos de crescimento setorial agressivos e

reconhece que esse crescimento requer um investimento de capital significativo. Embora
ela não aceite investir capital de forma imprudente, a administração é da opinião de que, no
mínimo, 25%, (i.e., o piso) do orçamento operacional deve ser alocado à busca pela
inovação tecnológica.
Uma organização pode considerar qualquer série de parâmetros para ajudar a estruturar seu
apetite a riscos e apresentar uma precisão maior: Por exemplo, a organização pode considerar:
•Parâmetros estratégicos, como novos produtos a serem buscados ou evitados, investimentos

para despesas de capital e atividades de fusão e aquisição.
•Parâmetros financeiros, como a variação máxima aceitável em termos de desempenho

financeiro, o retorno sobre ativos ou o retorno sobre capital ajustado de acordo com o risco, a
classificação de dívida almejada e o índice de capital de terceiros/capital próprio almejado.
•Parâmetros operacionais, como requisitos ambientais, metas de segurança, metas de qualidade

e concentrações de clientes.
A administração pode também analisar o perfil de risco da entidade, a capacidade da entidade

para assumir riscos, o nível de competência e de maturidade do gerenciamento de riscos
corporativos, entre outros fatores, ao determinar o apetite a riscos.
•O perfil de risco fornece informações sobre a atual quantidade de riscos da entidade e como eles
são distribuídos por toda a organização, bem como informações sobre as diferentes categorias
de riscos para ela. As organizações novas não terão um perfil de risco no qual se basear, mas
poderão obter informações importantes tanto do setor em que atuam como de suas
concorrentes.
•Capacidade para o risco A quantidade máxima de riscos que uma entidade é capaz de absorver
durante sua busca pela execução da estratégia e pela realização dos objetivos de negócio. Se o
apetite a riscos for muito alto, mas o nível de sua capacidade não for alto o suficiente para
resistir ao potencial impacto dos riscos relacionados, a entidade pode não ter êxito. Por outro
lado, se a capacidade para o risco da entidade exceder significativamente seu apetite a riscos, a
organização poderá perder oportunidades de agregar valor em benefício de suas partes
interessadas.
•A competência e a maturidade do gerenciamento de riscos corporativosfornecem informações

sobre quão bem o gerenciamento de riscos corporativos está funcionando. Uma organização
madura é geralmente capaz de definir as competências em gerenciamento de riscos
corporativos que fornecem insights melhores sobre o atual apetite a riscos da entidade e sobre
os fatores que influenciam sua capacidade de assumir riscos. Uma organização menos madura
com competências em gerenciamento de riscos corporativos indefinidas pode não ter o mesmo
entendimento, o que pode resultar em uma declaração de apetite a riscos mais ampla ou em
uma declaração que precisará ser redefinida antes do tempo normal. A competência e a
maturidade do gerenciamento de riscos corporativos também influenciam o modo como a
organização adere ao apetite a riscos e atua de acordo com este.
Articulação do Apetite a Riscos
Algumas organizações articulam o apetite a riscos como um único ponto; outras como uma série
de pontos (veja o Exemplo 7.4).
Exemplo 7.4: Expressão do Apetite por Riscos
Uma organização pode articular declarações de apetite a riscos detalhadas no contexto de:
• Uma estratégia e objetivos de negócio que estão alinhados à missão, à visão e aos valores
principais da entidade.
• Categorias de objetivos de negócio18.
• Metas de desempenho da entidade.
Algumas organizações desenvolverão e articularão o apetite pelo risco utilizando outras

abordagens, tais como categorias de risco. Essas abordagens às vezes são mais fáceis de
gerenciar e avaliar. No entanto, elas também podem levar as organizações a gerenciar o risco de
maneira compartimentalizada, em vez de adotar uma visão integrada do gerenciamento de riscos
corporativos.
O apetite a riscos é comunicado pela administração, aprovado pelo conselho e divulgado a todos
os níveis da entidade. A divulgação do apetite a riscos é importante, uma vez que o objetivo é
que todos os responsáveis pela tomada de decisões entendam o apetite a riscos de acordo com os
quais eles devem operar, especialmente aqueles que executam tarefas para alcançar os objetivos
de negócio da entidade (p.ex., equipes de vendas locais, gerentes nacionais).
A maior parte das organizações escolherá divulgar o apetite pelo risco de maneira ampla por toda
a entidade. Algumas poderão escolher enfocar funções mais seniores com responsabilidade direta
pelo gerenciamento do desempenho. Isso pode ocorrer, por exemplo, onde houver sensibilidade
às atividades dos concorrentes, acesso a informações privadas ou confidenciais, ou potencial de
apetite pelo risco que impeça o cumprimento das obrigações. Em algumas ocasiões, as
organizações também poderão escolher comunicar o apetite pelo risco a partes interessadas
externas, no seu todo ou de maneira resumida.
O exemplo 7.5 mostra como uma organização comunica o apetite a riscos para os demais níveis
por meio de declarações alinhadas aos objetivos de negócio de alto nível, que, por sua vez, estão
alinhados à estratégia geral da empresa.
Figura 7.5: Comunicação do Apetite a Riscos
Utilizando o Apetite a Riscos

O apetite a riscos serve para nortear como uma organização aloca recursos, tanto à entidade
como um todo quanto às unidades operacionais individuais. O objetivo é alinhar a alocação de
recursos com a missão, a visão e os valores principais da entidade. Dessa forma, quando a
administração aloca recursos a todas as unidades operacionais, ela considera o apetite a riscos da
entidade e os planos de geração de valor das unidades operacionais individuais. Por exemplo, a
administração pode escolher alocar uma porção maior de recursos aos objetivos de negócio com
um apetite menor por riscos versus os objetivos de negócio com um apetite maior por riscos. A
organização procura alinhar pessoas, processos e infraestrutura para implementar a estratégia e
os objetivos de negócio com êxito enquanto permanece fiel a sua meta de apetite a riscos.
O apetite a riscos é incorporado às decisões sobre como a organização opera. A administração,

sob a supervisão do conselho, monitora continuamente o apetite a riscos em todos os níveis e
considera mudanças quando necessário. Dessa forma, a administração cria uma cultura que
enfatiza a importância do apetite a riscos e mantém os responsáveis pela implementação do
gerenciamento de riscos corporativos dentro dos parâmetros do apetite a riscos.
Mas o apetite a riscos é somente uma parte da abordagem. Para incorporar plenamente o apetite a
riscos à tomada de decisões em vários níveis, ele não precisa ser disseminado para as outras
práticas e alinhado com elas. A Figure 7.4 mostra essas relações importantes e a aplicação do
apetite a riscos, da tolerância,19 e dos indicadores e elementos impulsionadores20 à medida que
são transmitidos a todas as áreas da entidade.
Figura 7.4: Apetite por Riscos, Tolerância, Limites e Elementos Impulsionadores
 Aplica-se por meio da elaboração da

estratégia e da definição dos objetivos
 Enfoca as metas gerais do negócio

(centrado nos objetivos)
Apetite  Ajuda na tomada de decisões
 Ajuda na avaliação no nível da carteira
 Liga a estratégia às providências a tomar
 Aplica-se à implementação da estratégia
 Enfoca os objetivos e a diferença em

relação ao plano (foco nos objetivos)
Tolerância
 Ajuda na tomada de decisões e na
avaliação
 Liga a estratégia às providências a tomar
 Aplica-se em qualquer nível do negócio
Indicadores e Elementos  Considera riscos específicos,

normalmente isolados (foco nos riscos)
Impulsionadores
 Liga os riscos às providências a tomar
(por exemplo, indicadores-chave)
18
A definição dos objetivos de negócio é discutida no Princípio 9. Eles foram incluídos aqui para ilustrar melhor como o apetite a
riscos flui desde a estratégia até os objetivos de negócio.
19
A tolerância é discutida posteriormente neste capítulo no Princípio 9.
20
Os limites e os elementos impulsionadores são discutidos no componente de desempenho.
espaço
Princípio 8: Avalia as Estratégias Alternativas
A organização avalia as estratégias alternativas e o possível impacto

sobre o perfil de risco.
Uma organização deve avaliar as estratégias alternativas como parte de seu processo de definição
da estratégia, bem como avaliar os riscos e as oportunidades de cada opção. As estratégias
alternativas são avaliadas no contexto dos recursos e das competências da organização para
gerar, preservar e realizar valor. Uma parte do gerenciamento de riscos corporativos inclui a
avaliação das estratégias de duas perspectivas de risco diferentes: (1) a possibilidade de a
estratégia não estar alinhada à missão, à visão e aos valores principais da entidade e (2) as
implicações da estratégia escolhida.
A importância do Alinhamento da Estratégia

A estratégia deve prestar suporte à missão e à visão, bem como estar alinhada aos valores
principais da entidade e ao seu apetite a riscos. Se não estiver, a entidade pode não ser capaz de
alcançar sua missão e sua visão.
Além disso, uma estratégia desalinhada aumenta o risco para as partes interessadas porque o
valor da organização e sua reputação podem ser afetados. Por exemplo, considere uma empresa
de telecomunicações que está considerando uma estratégia que restrinja as áreas nas quais seus
produtos e serviços estarão disponíveis visando a melhorar seu desempenho financeiro. No
entanto, essa estratégia está em desarmonia com a missão da organização de ser uma prestadora
de serviços fundamentais e uma das principais cidadãs corporativas na comunidade local.
Embora o aumento previsto nos resultados financeiros vise a atrair acionistas e investidores, ele
pode ser minado por um impacto negativo na reputação da organização perante grupos da
comunidade e órgãos reguladores que insistem que os serviços sejam mantidos.
Entendimento das Implicações da Estratégia Escolhida

Ao avaliar estratégias alternativas, a organização busca identificar e entender os potenciais riscos
e oportunidades de cada estratégia analisada. Os riscos identificados coletivamente formam um
perfil de risco para cada opção: ou seja, estratégias diferentes geram perfis de risco diferentes. A
administração e o conselho usam esses perfis de risco quando decidem qual a melhor estratégia a
ser adotada, dado o apetite a riscos da entidade. Em alguns casos, essa avaliação poderá precisar
considerar várias estratégias para entender a possível dependência de uma estratégia em relação à
outra.
Outra consideração a ser feita quando da avaliação de estratégias alternativas são as premissas
subjacentes relacionadas ao contexto de negócio, aos recursos e às competências. Essas
premissas são uma parte importante da estratégia. Elas podem relacionar-se a quaisquer das
considerações internas e externas que formam uma parte do contexto de negócios da entidade.
Quando as premissas não são comprovadas, geralmente o risco de disrupção é mais alto do que o
risco que existiria se a organização tivesse uma maior certeza da não ocorrência de eventos de
disrupção associados a uma estratégia. O nível de confiança da administração e do conselho
associado a cada premissa impactará o perfil de risco de cada uma das estratégias. Ademais, uma
estratégia geralmente apresenta um perfil de risco mais alto quando um número significativo de
premissas é estabelecido ou quando as premissas deixam em larga medida de ser confirmadas.
Assim que o perfil de risco tiver sido definido para a estratégia selecionada, a administração será
mais capaz de analisar os tipos e a quantidade de riscos que ela enfrentará ao executar a
estratégia. Especificamente, ter conhecimento do perfil de risco permite que a administração
determine quais recursos serão necessários e alocados para prestar suporte à execução da
estratégia enquanto permanece fiel à meta de apetite a riscos da entidade. Os requisitos de
recursos incluem infraestrutura, conhecimento técnico e capital de giro.
O esforço e o nível de precisão necessários para a avaliação das estratégias alternativas

dependerão da relevância e da complexidade da decisão, dos recursos e das competências
disponíveis e da quantidade de estratégias que estiver sendo avaliada. Quanto mais relevante ou
complexa for a decisão, mais detalhada será a avaliação, talvez usando diversas abordagens.
As abordagens comuns para avaliar estratégias alternativas são a análise SWOT 21a modelagem, a
avaliação, a estimativa de receita, a análise da concorrência e a análise de cenário. A avaliação
é geralmente realizada pelos profissionais da administração que têm uma visão dos riscos que
abrange toda a entidade e entendem como a estratégia afeta o desempenho, ou seja, a
administração tem um entendimento no nível da entidade de como a estratégia escolhida prestará
suporte ao desempenho em todas as diferentes divisões, áreas e regiões.
Ao desenvolver estratégias alternativas, a administração adota determinadas premissas. Essas

premissas subjacentes podem ser sensíveis a mudanças, e essa propensão a mudanças pode afetar
consideravelmente o perfil de risco. Assim que a estratégia tiver sido escolhida, e a propensão a
mudanças nas premissas compreendida, a organização poderá desenvolver os mecanismos de
supervisão necessários em relação às premissas passíveis de mudança.
O Exemplo 7.6 ilustra uma abordagem da organização para avaliar a possibilidade de estratégias
alternativas não estar alinhadas com a missão e com a visão, além das implicações das estratégias
alternativas sobre o perfil de risco da entidade. Esse exemplo ilustra a necessidade de entender
prioridades conflitantes entre clientes, funcionários e acionistas.
Exemplo 7.6: Considerando Estratégias Alternativas
Objetivo de Negócio Objetivo de Negócio Medição e Meta de
Desempenho
 Risco de que uma

 Possibilidade de operar de variabilidade adicional nas
tal maneira que a qualidade operações possa afetar a
e a segurança não estão satisfação dos clientes e
Alternativa 1 alinhadas com os valores diminuir o valor
principais da empresa  Risco de que o aumento da
complexidade das
operações: por exemplo,
normas regulatórias, leis
tributárias, taxas cambiais)
possam afetar a eficiência
das operações
 Possibilidade de operar de  Risco de que a empresa
tal maneira que o clima não possa manter serviços
possa ser um fator que de transporte de alta
dificulta as condições de qualidade ao longo do ano,
Alternativa 2 trabalho para os o que significa que a
profissionais e para o satisfação dos clientes seria
equipamento, com impacto afetada
sobre a segurança das
operações
 Risco de operar de maneira
 Possibilidade de operar de que o investimento em
Alternativa 3 maneira que o aumento dos práticas de transporte de
custos possa diminuir o alta qualidade aumente os
retorno para os acionistas custos e tenha impacto
sobre o retorno aos
acionistas
Alinhando da Estratégia com o Apetite a Riscos

Uma organização deve prever que a estratégia escolhida por ela poderá ser executada de acordo
com o apetite a riscos da entidade; ou seja, a estratégia deve estar alinhada ao apetite a riscos. Se
o risco associado a uma estratégia específica for inconsistente com o apetite a riscos da entidade
ou com a capacidade para a assunção de riscos desta, a estratégia precisará ser revisada, uma
estratégia alternativa selecionada ou o apetite a riscos reavaliado.
Por exemplo, uma fabricante de equipamentos esportivos tinha a seguinte estratégia: "Fazer o
negócio crescer expandindo os locais de fabricação globais." No entanto, quando ficou claro que
alguns locais globais apresentavam riscos que excediam o apetite a riscos da fabricante, a
estratégia foi atualizada: "Fazer o negócio crescer expandindo-o por locais de fabricação globais
de acordo com os requisitos de infraestrutura e com as regulamentações governamentais
estabelecidos."
O desenvolvimento do apetite a riscos deve alinhar-se com a elaboração da estratégia e dos
planos de negócio, do contrário pode parecer que os objetivos e prioridades são conflitantes, ou
mesmo criar tensões a respeito dos tipos e valores de risco refletidos na tomada de decisões.
Realizando Alterações na Estratégia

Normalmente as organizações realizam sessões periódicas de definição da estratégia para traçar
tanto as estratégias de longo prazo quanto as estratégias de curto prazo. Uma alteração na
estratégia será necessária se a organização determinar que a atual estratégia não é capaz de gerar,
realizar ou preservar o valor; ou se uma mudança no contexto dos negócios fizer com que a
entidade chegue muito próximo da quantidade máxima de riscos que ela está disposta a aceitar
ou exigir recursos e competências que não estejam disponíveis para a organização. Por fim, os
avanços no contexto dos negócios podem fazer com que a organização não tenha mais uma
expectativa razoável de que ela poderá alcançar sua estratégia (veja o Exemplo 7.7).
Exemplo 7.7: Realização de Alterações na Estratégia
Uma fabricante global de câmeras vendia filmadoras, mas, com as câmeras digitais
tornando-se cada vez mais populares, as vendas da empresa diminuíram. Em resposta a isso,
ela modificou sua estratégia adaptando-se às necessidades dos clientes e às novas
tecnologias em constante evolução. Ela agora desenvolve câmeras digitais e mitiga os
riscos de que seus produtos possam se tornar obsoletos. Essas alterações na estratégia são
respaldadas por mudanças nos objetivos de negócio e nas metas de desempenho relevantes.
Mitigando de Vieses
Vieses sempre existiram, mas a organização deve tentar ser imparcial — ou mitigar qualquer
viés — quando estiver avaliando estratégias alternativas. O primeiro passo é identificar qualquer
viés que possa existir durante o processo de definição da estratégia. Onde houver tal viés, a
organização deve tomar providências para diminuir o viés. O viés pode impedir a organização de
selecionar a melhor estratégia tanto para prestar suporte à missão, à visão e aos valores principais
da entidade como para refletir o apetite a riscos da entidade.
21
SWOT é o acrônimo de strengths, weaknesses, opportunities e threats (pontos fortes, deficiências, oportunidades e ameaças). A
análise SWOT é um método de planejamento estruturado que avalia esses quatro elementos.
espaço
Princípio 9: Formula os Objetivos de Negócio
A organização analisa o risco enquanto estabelece os objetivos de

negócio em vários níveis de forma que se alinhem e prestem suporte
à estratégia.
Definindo os Objetivos de Negócio

A organização elabora objetivos de negócio que são mensuráveis ou observáveis, alcançáveis e
relevantes. Os objetivos de negócio funcionam como vínculo a práticas dentro da entidade com
o intuito de prestar suporte à execução da estratégia. Por exemplo, os objetivos de negócio
podem estar relacionados a:
•Desempenho financeiro: Manter operações lucrativas para todas as empresas.
•Aspirações em relação ao cliente: Estabelecer centros de atendimento ao cliente em locais

convenientes para que os clientes possam ter acesso a eles.
•Excelência operacional: Negociar contratos de trabalho competitivos para atrair e reter os

funcionários.
•Obrigações de compliance: Cumprir as leis de saúde e segurança vigentes em todos os locais de

trabalho.
•Ganhos de eficiência: Operar em um ambiente que apresente uma boa relação custo-benefício
em termos de energia.
•Liderança em inovação: Liderar a inovação no mercado por meio de frequentes lançamentos de

novos produtos.
Os objetivos de negócio podem fluir por todos os níveis da entidade (divisões, unidades
operacionais, áreas) ou serem aplicados de modo seletivo. Os objetivos que fluem por todos os
níveis da entidade tornam-se mais detalhados à medida que forem aplicados progressivamente
desde o nível hierárquico mais elevado até os demais níveis da entidade. Por exemplo, os
objetivos de negócio financeiros são repassados dos níveis hierárquicos superiores até os níveis
básicos, abrangendo desde as metas das divisões até as unidades operacionais individuais. Por
outro lado, muitos objetivos de negócio serão específicos de uma dimensão operacional, de uma
localização geográfica, de um produto ou de um serviço.
Alinhando os Objetivos de Negócio
Os objetivos individuais estão alinhados à estratégia da organização, independentemente de
como eles são estruturados e onde são aplicados. O alinhamento dos objetivos de negócio com a
estratégia presta suporte à entidade para que esta realize sua missão e concretize sua visão.
Os objetivos de negócio que não estão alinhados com a estratégia ou que estão parcialmente
alinhados a esta não prestarão suporte à realização da missão e à concretização da visão da
entidade, podendo adicionar um risco desnecessário ao perfil de risco da entidade. Ou seja, a
organização pode consumir recursos que poderiam ser de outra forma utilizados de modo mais
eficaz na execução de outros objetivos de negócio.
Os objetivos de negócio devem também estar alinhados ao apetite a riscos da entidade. Se eles
não estiverem, a entidade pode estar aceitando uma quantidade ou muito grande ou muito
pequena de riscos. Dessa forma, quando uma organização avalia um objetivo de negócio
proposto, ela deve analisar os potenciais riscos que poderão surgir e determinar seu impacto
sobre o perfil de risco. Um objetivo de negócio que faz com que a organização exceda o apetite
a riscos pode ser modificado ou, talvez, rejeitado.
Se a organização achar não ser capaz de estabelecer objetivos de negócio que prestem suporte ao
alcance da estratégia ao mesmo tempo que permanece de acordo com o apetite a riscos ou as
competências, faz-se necessária uma avaliação ou da estratégia ou do perfil de risco.
Entendendo as Implicações dos Objetivos de Negócio Escolhidos

A organização possui muitas opções quando precisa tomar uma decisão em relação a objetivos
de negócio. Considere, por exemplo, uma organização que tem a oportunidade de fazer um
upgrade em seus sistemas operacionais principais e replanejar sua atual infraestrutura de TI.
Uma opção é perseguir um objetivo de negócio consistente em identificar um fornecedor
adequado e realizar uma parceria com um terceiro para desenvolver um sistema de TI
customizado. A outra opção seria a organização desenvolver seu próprio sistema internamente
investindo significativamente em suas competências em TI e aumentando o número de
profissionais da área. Ambos os objetivos estão alinhados à estratégia geral e, dessa forma, a
administração deve avaliar tanto um quanto o outro e determinar o plano de ação adequado de
acordo com as potenciais implicações para o perfil de risco, para os recursos e para as
competências da entidade.
Assim como no caso da definição da estratégia, a organização precisa ter uma explicação
razoável de que o objetivo de negócio pode ser alcançado levando em consideração o apetite a
riscos ou os recursos disponíveis para a entidade. A expectativa tem como base as competências
e os recursos da entidade. Quando essa expectativa razoável não existir, a organização deve
escolher ou exceder o apetite a riscos, obter mais recursos ou mudar o objetivo de negócio.
Dependendo da relevância do objetivo de negócio para a estratégia, revisar a estratégia também
poderá ser necessário (veja o Exemplo 7.8).
Exemplo 7.8: Determinação das Implicações de um Objetivo de Negócio Selecionado
Como parte de sua estratégia de cinco anos, uma produtora agrícola está buscando cultivar
produtos orgânicos como um diferencial competitivo. A empresa analisa o custo da
transição para um ambiente orgânico e determina que um investimento significativo será
necessário, o que poderá ameaçar as metas de desempenho financeiro. Dada a importância
de manter o desempenho financeiro, a organização opta por descartar os objetivos de
negócio selecionados.
Categorização dos Objetivos de Negócio

Muitas organizações agrupam os objetivos de negócio em categorias comuns. Algumas
organizações classificam ou agrupam objetivos de negócio para alinhá-los com os aspectos
específicos da estratégia, tais como a participação de mercado, o foco no cliente ou a
responsabilidade corporativa. As organizações também podem alinhar seus objetivos de negócio
aos vários grupos da entidade, tais como operações, recursos humanos ou outras áreas definidas.
Independentemente de como são categorizados, eles devem estar alinhados com as práticas de
negócio, com os produtos, com as localizações geográficas e com quaisquer outras dimensões
organizacionais. O modo como uma organização categoriza seus objetivos de negócio é
decidido pela administração.
Em alguns casos, as organizações devem cumprir exigências externas que estabelecem a maneira
pela qual os objetivos de negócio são categorizados para fins de elaboração e apresentação de
informações. Por exemplo, se for exigido à organização que elabore e apresente informações
sobre sua avaliação de risco ambiental como parte do licenciamento para operar, ela
especificamente incluirá esses requisitos em seus objetivos de negócio e em seu relatório.
As organizações precisam ser cuidadosas em não confundir as categorias de objetivos de negócio

com as categorias de risco. As categorias de risco estão relacionadas aos grupos de riscos
compartilhados ou comuns que potencialmente impactam esses objetivos de negócio.
Definindo as Medidas e as Metas de Desempenho

A organização define metas para monitorar seu desempenho e prestar suporte à consecução dos
objetivos de negócio. Por exemplo:
• Uma empresa de gestão de ativos busca obter um retorno sobre o investimento (return on
investment - ROI) de 5% ao ano sobre a sua carteira.
• Um restaurante estabelece como meta que os pedidos on-line sejam entregues em domicílio
dentro de um período de 40 minutos.
• Uma central de atendimento empenha-se para diminuir as ligações perdidas para 2% de todas
as ligações recebidas.
Ao definir metas, a organização pode influenciar seu perfil de risco. Uma meta agressiva pode
resultar em um perfil de risco maior para o objetivo de negócio em questão. Por exemplo, uma
organização pode definir metas de crescimento agressivas que aumentem os riscos da execução.
Por outro lado, uma organização pode definir uma meta de crescimento mais conservadora que
reduzirá o risco de não atingimento da meta, mas isso pode também fazer com que ela não esteja
mais alinhada com a consecução do objetivo de negócio.
Como outro exemplo, considere novamente a empresa de gestão de ativos da lista

supramencionada que entende que um ROI de 5% permitirá que a entidade alcance seus
objetivos financeiros. Se ela se esforçar para obter um retorno de 7%, ela poderia assumir um
maior risco na execução. Se ela se empenhar para obter um retorno de 3%, o que permite um
perfil de risco menos agressivo, ela não alcançará seus objetivos financeiros mais amplos. (A
identificação e a avaliação dos riscos associados à consecução do objetivo de negócio e o
monitoramento da adequação das medidas e das metas de desempenho são discutidos no
Capítulo 8.)
O Exemplo 7.9 apresenta de forma mais completa os objetivos de negócio avaliados nos níveis
da entidade, da divisão, da unidade operacional e da área, juntamente com as metas de suporte.
O exemplo mostra como os objetivos de negócio aumentam em especificidade à medida que eles
são repassados a toda a entidade e em todos os níveis.
Exemplo 7.9: Amostra de Objetivos do Negócio por nível
Objetivo do Negócio Medição do Desempenho e

Meta
Objetivos do Negócio  Continuar a desenvolver  Haver sempre oito

(entidade) produtos inovadores que produtos em P & D
despertem o interesse dos  5% de crescimento anual
consumidores, excitando-
os
 Expandir a presença da
empresa no comércio
varejista de comida
saudável
Objetivos do Negócio na  Aumentar o espaço nas  7% de aumento do espaço
América do Norte (divisão) gôndolas em grandes lojas nas gôndolas
que compartilhem nossos  92% de índice de espaço
valores principais nas gôndolas
 Continuar a obter
produtos nos mercados
locais
Objetivos do Negócio na área  Desenvolver produtos de  4,8 de 5 na pesquisa de
de confeitaria (unidade alta qualidade e seguros satisfação do consumidor
operacional) para refeições rápidas que
superem as expectativas
dos consumidores
Objetivos do Negócio para  Manter uma rotatividade  Rotatividade de menos de
Recursos Humanos (área) anual favorável de 10%
funcionários  Recrutamento de 50
 Recrutar e treinar gerentes gerentes de vendas
de vendas no próximo ano  95% de índice de
treinamento da equipe de
vendas
Entendendo a Tolerância
A tolerância está estreitamente ligada ao apetite pelo risco — a variação aceitável no
desempenho. Ela descreve a escala de resultados aceitáveis em relação à consecução de um
objetivos de negócio de acordo com o apetite a riscos. Ela também proporciona uma abordagem
para mensurar se os riscos associados à consecução da estratégia e dos objetivos de negócio são
aceitáveis ou não.
O entendimento da tolerância à variação do desempenho permite à administração agregar valor

para a entidade. Por exemplo, o limite adequado para a variação aceitável geralmente não deve
ultrapassar o ponto onde o perfil de risco cruza com o apetite a riscos. No entanto, quando o
limite adequado estiver abaixo do apetite a riscos, a administração poderá mudar suas metas e
ainda permanecer nos limites de seu apetite geral por riscos. O ponto máximo em que a meta de
desempenho poderia ser estipulada é onde o limite correto de tolerância cruza com o apetite a
riscos ("A" na Figura 7.5).
Figura 7.5 Perfil de Risco Mostrando a Tolerância
Diferentemente do apetite a riscos, que é amplo, a tolerância é tática e focada, ou seja, ela deve
ser expressa em unidades mensuráveis (preferencialmente por meio das mesmas unidades
utilizadas para os objetivos de negócio), aplicada a todos os objetivos de negócio e executada por
toda a entidade. Ao estipular a tolerância, a organização avalia a importância relativa de cada
objetivo de negócio e de cada estratégia. Por exemplo, para esses objetivos considerados
altamente importantes para a consecução da estratégia da entidade ou quando uma estratégia for
altamente importante para a missão e a visão da entidade, a organização poderá querer
estabelecer um nível mais baixo de tolerância. A tolerância enfoca objetivos e desempenho, não
riscos específicos.
A operação de acordo com a tolerância definida proporciona à administração uma maior

confiança de que a entidade permanece nos limites do apetite a riscos, bem como proporciona
um maior nível de segurança de que a entidade alcançará seus objetivos de negócio.
Medidas de Desempenho e Tolerâncias Estabelecidas

As medidas de desempenho que estão relacionadas ao objetivo de negócio ajudam a confirmar
que o desempenho real da entidade está no limite da tolerância estabelecida (veja o Exemplo
7.10). As medidas de desempenho podem ser ou quantitativas ou qualitativas. A tolerância
também considera tanto a variação que excede o teto como a variação que fica aquém do piso da
faixa de desempenho, às vezes mencionada como uma variação positiva ou negativa. Observe
que a variação que excede o teto da faixa de desempenho e a variação que fica aquém do piso da
faixa de desempenho nem sempre são definidas a distâncias equivalentes da meta.
Exemplo 7.10 Variação da Meta Aquém do Piso da Faixa de Desempenho
Uma grande empresa de engarramento de bebidas define como meta ter não mais de cinco
incidentes de tempo perdido por ano e define que a tolerância deve ser de zero a sete
incidentes. A variação que excede o teto da faixa de desempenho entre cinco e sete
representa incidentes maiores e que podem resultar em tempo perdido e em um aumento no
número de reclamações de saúde e segurança, o que é um resultado negativo para a
entidade. Por outro lado, a variação que fica aquém do piso da faixa de desempenho de até
cinco incidentes representa um benefício: um número menor de incidentes com tempo
perdido e de reclamações de saúde e segurança. A organização também precisa analisar o
custo de empenhar-se para conseguir manter um índice zero de incidentes que gerem tempo
perdido.
A proporção tanto da variação que excede o teto da faixa de desempenho como da variação que
fica aquém do piso da faixa de desempenho depende de vários fatores. Uma organização
estabelecida, por exemplo, com vasta experiência, pode mover a variação que excede o teto da
faixa de desempenho e a variação que fica aquém do piso da faixa de desempenho para mais
perto da meta à medida que ela adquire experiência em gerenciá-las a um nível de variação mais
baixo. O apetite a riscos da entidade é outro fator: uma entidade com um apetite a riscos mais
baixo pode preferir ter uma variação no desempenho menor do que a de uma entidade com um
apetite a riscos maior.
É comum que as organizações assumam que a variação que excede o teto da faixa de
desempenho seja um benefício, e que a variação que fica aquém do piso da faixa de desempenho
seja um risco. Exceder uma meta geralmente indica eficiência ou bom desempenho, e não
somente que uma oportunidade está sendo explorada. No entanto, estar aquém da meta não
necessariamente significa um fracasso: depende do objetivo da organização e de como a variação
é definida (veja o Exemplo 7.11).
Exemplo 7.11: Declarações sobre Tolerância
Objetivo de Negócio Meta Tolerância
Retorno sobre os Meta de 5% de retorno anual 3% a 7% de retorno anual

investimentos para um sobre a carteira
gerente de ativos
Pedidos online de entrega em Meta de entrega em 40 Tempo de entrega entre 30 e

domicílio de um restaurante minutos cinquenta minutos
Diminuir o número de Meta de 2% do número total 1% a 5% do número total de

ligações perdidas em um call de ligações ligações
center
As organizações devem também entender o relacionamento entre custo e tolerância para que
possam lidar de forma eficaz com os riscos associados. Geralmente, quanto menor for a
tolerância, maior será a quantidade de recursos necessários para operar de acordo com aquele
nível de desempenho. Considere, por exemplo, as companhias aéreas, que monitoram a
pontualidade das chegadas e das partidas dos voos. Uma companhia aérea pode decidir
suspender várias rotas devido ao fato de a pontualidade do desempenho não se enquadrar na
tolerância revisada (reduzida) da companhia aérea. A companhia aérea teria então de ponderar
as implicações de abrir mão da receita de serviço para obter uma variação reduzida em sua meta
de desempenho.
espaço
8. Desempenho
Princípios Relacionados ao Desempenho
Introdução
Torna-se possível gerar, preservar, realizar e minimizar a diminuição do valor de uma entidade
identificando e avaliando o risco, bem como respondendo a esse risco que pode impactar a
consecução da estratégia e dos objetivos de negócio da entidade. Riscos que tenham origem em
nível de transações podem ser tão disruptivos quanto aqueles identificados no nível da entidade.
Os riscos podem afetar uma unidade operacional ou a entidade como um todo. Os riscos podem
estar altamente correlacionados a fatores no contexto dos negócios ou a outros riscos. Além
disso, as respostas ao risco podem exigir investimentos significativos em infraestrutura ou
podem ser aceitas como parte do processo de fazer negócios. Pelo fato de o risco surgir de várias
fontes, exige-se uma gama de respostas de toda a entidade e em todos os níveis.
Esse componente da Estrutura enfoca as práticas que prestam suporte à organização na tomada
de decisões e na consecução da estratégia e dos objetivos de negócio. Para isso, as organizações
utilizam sua estrutura operacional para desenvolver uma prática que:
• Identifica riscos novos e emergentes para que a administração possa aplicar respostas ao risco
de modo tempestivo.
• Avalia a gravidade do risco, com um entendimento do modo como o risco pode mudar
dependendo do nível da entidade.
• Prioriza os riscos, permitindo que a administração otimize a alocação de recursos em resposta a

esses riscos.
• Identifica e seleciona as respostas ao risco.
• Desenvolve uma visão de carteira para aprimorar a capacidade da organização de articular a

quantidade de riscos assumidos durante os esforços de consecução da estratégia e dos
objetivos de negócio no nível da entidade.
A Figura 8.1 mostra que essas práticas são iterativas, e os inputs em uma etapa do processo
geralmente são os outputs da etapa anterior. As práticas são realizadas em todos os níveis e com
responsabilidades e prestação de contas pelo gerenciamento de riscos corporativos apropriado
alinhadas ao nível de gravidade do risco.
Figura 8.1: Ligando Processos de Avaliação de Risco, Entradas, Abordagens e Saídas
espaço
Princípio 10: Identifica os Riscos
A organização identifica os riscos que impactam a consecução da

estratégia e dos objetivos de negócio.
Identificando os Riscos
A organização identifica os riscos novos, emergentes e em constante transformação associados à
consecução da estratégia e dos objetivos de negócio. Ela realiza atividades de identificação para
primeiramente fazer um inventário dos riscos, e depois para confirmar os riscos existentes como
ainda aplicáveis e relevantes. À medida que as práticas de gerenciamento de riscos corproativos
são cada vez mais integradas, o conhecimento e a conscientização dos riscos são atualizados por
meio das operações normais do dia a dia. Algumas entidades complementarão essas atividades
de tempos em tempos para confirmar que o inventário de riscos está completo. Com que
frequência a organização realiza isso depende de quão rapidamente os riscos mudam ou novos
riscos surgem. Quando for provável que os riscos demorarão meses ou anos para se
materializarem, a frequência com que a identificação do risco ocorre pode ser menor do que
quando os riscos são menos previsíveis ou ocorrerem em uma maior velocidade.
Riscos novos, emergentes e em constante transformação incluem aqueles que:
• São decorrentes de uma mudança nos objetivos de negócio (p.ex., a entidade adota uma nova
estratégia respaldada por objetivos de negócio ou faz alterações em um objetivo de negócio
existente).
• São decorrentes de uma mudança no contexto do negócio (p.ex., mudanças nas preferências do
consumidor em prol de produtos ambientalmente corretos ou orgânicos que potencialmente
tenham impactos negativos sobre as vendas dos produtos da empresa).
• Estão relacionados a uma mudança no contexto do negócio que pode não ter sido aplicada à
entidade anteriormente (p.ex., uma mudança nas regulamentações que resulte em novas
obrigações para a entidade).
• Eram anteriormente desconhecidos (p.ex., a descoberta de uma suscetibilidade à corrosão em

matérias-primas utilizadas no processo de manufatura da empresa).
• Foram previamente identificados mas foram alterados depois disso devido a uma modificação
no contexto de negócio, no apetite pelo risco ou nas premissas de apoio (por exemplo, um
aumento positivo nas previsões de venda que afetam a capacidade de produção).
Riscos emergentes são decorrentes de mudanças no contexto de negócio, e eles podem alterar o
perfil de risco da entidade no futuro. Observe que os riscos emergentes podem não ser
compreendidos suficientemente de modo que possam ser identificados e avaliados com precisão
logo que são reconhecidos, pondendo ser necessária uma nova identificação de maneira mais
frequente. Além disso, as organizações devem relatar informações em evolução sobre riscos
emergentes.
A identificação de riscos novos e emergentes ou mudanças nos riscos existentes permitem que a
organização tenha uma visão prospectiva e concede a ela tempo para avaliar o potencial nível de
gravidade dos riscos, assim como tirar vantagem dessas mudanças. Por sua vez, dispor de tempo
para avaliar o risco permite que a organização antecipe a forma como irá responder a ele ou
avalie a estratégia e os objetivos de negócio da entidade conforme necessário.
Alguns riscos podem permanecer desconhecidos — riscos para os quais não havia expectativa
razoável de que seriam considerados pela organização durante a identificação do risco. Esses
riscos geralmente estão relacionados a mudanças no contexto dos negócios. Por exemplo, as
ações ou intenções futuras da concorrência são geralmente desconhecidas, mas elas podem
representar novos riscos para o desempenho da entidade.
As organizações querem identificar os riscos que provavelmente causarão interrupções nas

operações e impactarão a expectativa razoável em relação à consecução da estratégia e dos
objetivos de negócio da entidade. Tais riscos representam uma mudança significativa no perfil de
risco e podem ser ou eventos específicos ou circunstâncias em evolução. A seguir, alguns
exemplos:
•Tecnologia emergente: Avanços na tecnologia que podem impactar a importância e a

longevidade dos produtos e dos serviços existentes.
•O maior papel de big data e data analytics: Como as organizações podem acessar, transformar
e analisar de modo eficaz e eficiente grandes volumes de fontes de dados estruturados e não
estruturados.
•Esgotamento dos recursos naturais: Menor disponibilidade e maior custo dos recursos naturais
que impactam a procura, a oferta e o local dos produtos e dos serviços.
•Aumento de entidades virtuais: A crescente proeminência de entidades virtuais que influenciam

a procura, a oferta e os canais de distribuição de estruturas de mercado tradicionais.
•Mobilidade das forças de trabalho: Forças de trabalho móveis e remotas que incorporam
atividades novas às operações diárias de uma entidade.
•Escassez da força de trabalho: Os desafios de manter uma força de trabalho com as habilidades
e os níveis de escolaridade exigidos pelas entidades para que seja possível prestar suporte ao
desempenho.
•Mudanças em estilos de vida, serviços de saúde e perfis demográficos: Os novos hábitos e as

novas necessidades dos clientes atuais e futuros à medida que a população passa por
mudanças.
•Ambiente político: Medidas de um governo que alteram as operações de um setor em um país.
Implícita na identificação de riscos está a identificação de oportunidades.22 Isto é, às vezes

oportunidades surgem do risco. Por exemplo, as mudanças no perfil demográfico e na população
em envelhecimento podem ser consideradas tanto como um risco para a atual estratégia de uma
entidade como uma oportunidade de renovar a força de trabalho para buscar melhor o
crescimento. De maneira análoga, avanços na tecnologia podem representar uma ameaça aos
modelos de distribuição e de serviço para os varejistas, bem como uma oportunidade para mudar
o modo como os clientes varejistas obtêm mercadorias (p.ex., por meio de serviços on-line).
Quando são identificadas oportunidades, elas são divulgadas a toda a organização para serem
consideradas como parte da definição dos objetivos e da estratégia de negócio.
Utilizando um Inventário dos Riscos

Um inventário dos riscos é simplesmente uma lista dos riscos enfrentados pela entidade. A
depender do número de riscos individuais identificados, as organizações podem estruturar o
inventário dos riscos por categoria de modo a oferecer definições-padrão para riscos diferentes.
Isso permite que riscos parecidos sejam agrupados, tais como riscos financeiros, riscos ao
consumidor ou de compliance (ou de maneira mais ampla de obrigações). Dentro de cada
categoria, as organizações podem escolher definir os riscos em subcategorias mais detalhadas. O
inventário dos riscos pode ser atualizado para refletir mudanças identificadas pela administração.
A Figura 8.2 ilustra como os riscos que têm impacto sobre os diferentes níveis da entidade
formam parte do inventário dos riscos:
• O risco 1 potencialmente impacta a estratégia diretamente.
• O risco 2 tem impacto sobre os objetivos de negócio da entidade.
• O risco 3 tem impacto sobre diferentes objetivos de negócio que depois se agregam e têm
impacto sobre os objetivos de negócio da entidade.
• O risco 4 tem impacto sobre um único objetivo de negócio e que também tem impacto sobre os
objetivos de negócio da entidade.
Figura 8.2: Risco Impacta em Diferentes Níveis
Pelo fato de o impacto dos riscos não poder ser limitado a níveis ou áreas específicas, as
atividades de identificação devem capturar todos os riscos, e independentemente de onde são
identificados, todos os riscos formam parte do inventário de riscos da entidade. Por exemplo,
uma entidade que identifica riscos no nível da estratégia relativamente à governança do conselho
e à consecução das metas de diversidade deve também considerar esses riscos no nível dos
objetivos de negócio. Ou uma organização que identifica o risco de perder o prazo de
faturamento de um cliente no nível dos objetivos de negócio deve considerar o impacto daquele
risco no nível da entidade.
Para demonstrar que a identificação do risco é abrangente, a administração avaliará o risco e as

oportunidades em todos as áreas e em todos os níveis da entidade — aqueles riscos que são
comuns em mais de uma área, bem como aqueles que são específicos de alguns produtos e de
algumas ofertas de serviços, de jurisdições ou de outras áreas.
Abordagens à Identificação de Riscos

Uma variedade de abordagens para identificar riscos está disponível. A organização pode
identificar os riscos como parte das atividades diárias, tais como elaboração do orçamento,
planejamento de negócios, análises de desempenho e reuniões como considerações nos processos
de aprovação de novos produtos e projetos e como resposta a reclamações dos clientes,
incidentes ou perdas financeiras. As atividades de identificação integradas à entidade como um
todo podem ser complementadas por outras atividades direcionadas, tais como questionários
simples, oficinas facilitadas e entrevistas. Algumas abordagens podem ser viabilizadas pela
tecnologia, tais como rastreamento de dados e análise complexa de dados.
Dependendo do porte, da atuação geográfica e da complexidade da entidade, a administração
pode usar mais de uma técnica. Por exemplo, uma entidade pode coletar dados internos sobre
incidentes e prejuízos históricos e analisá-los para identificar riscos novos, emergentes e que
estão passando por mudanças. Além disso, a natureza e o tipo de risco podem determinar a
técnica apropriada. Por exemplo, a administração pode usar abordagens mais sofisticadas para
identificar os riscos associados à aquisição. Algumas organizações podem basear-se em
informações de outras organizações do mesmo setor ou da mesma região com o objetivo de estar
a par de potenciais riscos. A Figura 8.3 e a relação abaixo apresentam informações sobre
abordagens úteis para diferentes tipos de riscos.
Figura 8.3: Abordagens à Identificação de Riscos
Tipo de Computação Rastreamento de Entrevistas Indicadores- Análise do Workshops

Risco Cognitiva Dados chave Processo
Existente      
Novo    
Emergente    
• Acomputação cognitiva permite às organizações coletar e analisar grandes volumes de dados

para detectar tendências futuras e insights significativos sobre riscos novos e mergentes, assim
como mudanças nos riscos existentes de maneira mais eficiente do que um ser humano.
• Omonitoramento dos dadosde eventos passados pode ajudar a prever ocorrências futuras.
Embora os dados históricos geralmente sejam utilizados na avaliação de riscos — tendo como
base a experiência real com o nível de gravidade — eles podem também ser usados para
entender interdependências e desenvolver modelos preditivos e causais. As bases de dados
desenvolvidas e mantidas por prestadores de serviços terceirizados que coletam informações
sobre incidentes e prejuízos sofridos por setor ou região podem manter a organização
informada sobre potenciais riscos. Elas geralmente são disponibilizadas mediante assinatura.
Em alguns setores, consórcios são formados para compartilhar dados internos.
•Nas entrevistas é solicitado ao indivíduo que fale sobre seu conhecimento de eventos passados e
potenciais. Para obter informações de grandes grupos de pessoas, questionários ou pesquisas
podem ser utilizados.
•Os principais indicadores de riscos são medidas qualitativas ou quantitativas elaboradas para
identificar mudanças nos riscos existentes. Os indicadores de riscos não podem ser
confundidos com as medidas de desempenho, que são geralmente retrospectivas por natureza.
• Aanálise do processo envolve o desenvolvimento de um diagrama do processo para entender

melhor as inter-relações dos inputs, das tarefas, dos outputs e das responsabilidades de seus
componentes. Uma vez mapeados, os riscos podem ser identificados e avaliados por meio de
uma comparação com os objetivos de negócio relevantes.
• Osworkshops reúnem indivíduos de diferentes áreas e níveis e têm como objetivo utilizar o
conhecimento coletivo do grupo e elaborar um rol de riscos à medida que eles se relacionarem
à estratégia e aos objetivos de negócio da entidade.
Sejam quais forem as abordagens selecionadas, uma organização avalia como as mudanças nas
premissas que servem de base para a estratégia e para os objetivos de negócio podem gerar riscos
novos ou emergentes. Por exemplo, em um caso a administração presumiu uma taxa de câmbio
de acordo com a moeda local para a importação de matérias primas. No entanto, a taxa de
câmbio real caiu mais de 10%, o que criou um novo risco para a consecução das metas gerais de
lucratividade. Além disso, a administração considerou o contexto dos negócios o panorama
econômico esperado para a entidade, as preferências em evolução do cliente e as taxas de
crescimento previstas quando da identificação dos riscos.
Ao identificar os riscos, a organização deve ter como objetivo descrever precisamente o próprio
risco, em vez de deter-se sobre outras considerações, tais como as causas principais do risco, os
possíveis impactos do risco, ou o efeito de uma implementação inadequada. A Figura 8.4
compara descrições dessas outras considerações, as quais são menos úteis, para tornar mais
precisas as descrições de risco, as quais são preferidas.
Figura 8.4: Descrevendo Riscos com Precisão
Outras Considerações Descrições Imprecisas do Descrições Preferidas do

Risco Risco
 Falta de treinamento  O risco de que erros de

aumenta o risco de processamento tenham
ocorrência de erros de impacto sobre a qualidade
processamento e de das unidades de
Possíveis causas principais incidentes manufatura
 O moral baixo dos  O risco de perda de
funcionários contribui para funcionários-chave e de
o risco de saída de pessoas- rotatividade, com impacto
chave, levando a uma alta sobre as metas de retenção
rotatividade de funcionários
 O novo produto é mais  O risco de a demanda
bem-sucedido do que o exceder as metas de
planejado, a capacidade de produção com impacto
produção mal consegue sobre o serviço ao cliente
atender ao aumento na  O risco de interrupções
demanda, levando a atrasos deliberadas no acesso de
na entrega, clientes usuários tem impacto sobre
insatisfeitos e efeitos a capacidade de manter a
Possíveis impactos negativos sobre a reputação confidencialidade dos
associados à ocorrência de da empresa dados dos clientes
 O risco de interrupções
riscos
deliberadas no acesso de
usuários devido a sistemas
de legado de TI que levem
ao vazamento de dados dos
clientes, a punições dos
órgãos reguladores, à perda
de clientes e a uma
cobertura negativa da
imprensa
 O risco de que a  O risco de pagamentos

conciliação bancária não incorretos aos clientes com
Possíveis efeitos das consiga identificar os impacto sobre os resultados
respostas ao risco pagamentos incorretos aos financeiros da entidade
implementadas de maneira clientes  O risco de defeitos nos
 O risco de que as produtos terem impacto
inadequada
verificações de sobre as metas de
asseguração da qualidade qualidade e de segurança
não consigam detectar
defeitos do produto antes
da distribuição
A identificação precisa do risco:
• Permite à organização gerenciar de maneira mais eficaz o inventário dos riscos e entender a
relação com a estratégia de negócios, com os objetivos e com o desempenho.
• Permite à organização avaliar de maneira mais precisa a gravidade do risco no contexto dos
• Auxilia a administração na identificação das causas-raiz e dos impactos típicos e,

consequentemente, na seleção e na aplicação da resposta mais apropriada ao risco.
• Permite à organização entender as inter-dependências entre riscos e nos objetivos de negócio.
• Presta suporte à agregação de riscos para gerar a visão do portfolio.
Dessa forma, as organizações são incentivadas a descrever os riscos utilizando uma estrutura-
padrão de texto. Há duas abordagens possíveis:
• A possibilidade de [descrever a potencial ocorrência ou circunstância] e os impactos associados

sobre [descrever os objetivos de negócio específicos definidos pela organização].
−Exemplo: A possibilidade de uma mudança nas taxas de câmbio e os impactos associados

sobre a receita.
• O risco para [descrever a categoria definida pela organização] em relação a [descrever a

possível ocorrência ou circunstância] e [descrever o impacto relacionado].
−Exemplo: O risco associado ao desempenho financeiro em relação a uma possível mudança

nas taxas de câmbio e o impacto sobre a receita.
Enquadrando o Risco
A teoria da perspectiva, que explora a tomada de decisões dos seres humanos, afirma que os
indivíduos não são neutros em relação ao risco; em vez disso, uma resposta à perda tende a ser
mais extrema do que uma resposta ao ganho. E com isso vem a tendência de interpretar de
maneira errada as probabilidades e as reações às melhores soluções. Além disso, a maneira pela
qual o risco é enquadrado — enfocando as vantagens (um possível ganho) ou as desvantagens
(uma possível perda) — frequentemente influencia a resposta. Tendo isso em mente, considere a
importância de descrever o risco com uma estrutura consistente de frases para diminuir o viés do
enquadramento. O exemplo 8.1 apresenta uma ilustração do enquadramento.
Exemplo 8.1: Enquadramento
Dois tipos de escolhas são apresentadas a um indivíduo:
1. Um ganho certo de $ 240, ou uma chance de 25% de ganhar $ 1.000 e uma chance de
75% de ganhar nada.
2. Um prejuízo certo de $ 750, ou uma chance de 75% de perder $ 1.000 e uma chance de
25% de perder nada.
No primeiro tipo, a maioria das pessoas seleciona um “ganho certo de $ 240,” porque ele é
enquadrado como positivo. No segundo tipo, a maior parte das pessoas seleciona uma
“chance de 75% de perder $ 1.000,” porque nesse caso o prejuízo é que é mais certo. De
acordo com a teoria prospectiva, as pessoas não querem arriscar aquilo que têm ou pensam
que têm, mas elas têm uma tolerância maior ao risco quando acham que conseguem
minimizá-lo.
22
Esta Estrutura faz uma diferenciação entre acontecimentos positivos e oportunidades. Os acontecimentos positivos referem-se
àqueles casos em que o desempenho supera a meta original. As oportunidades referem-se a uma ação ou possível ação que gera
ou altera as metas ou as abordagens de geração, de preservação e de realização de valor.
espaço
Princípio 11: Avalia a Gravidade do Risco
A organização avalia a gravidade do risco.
Avaliando o risco
Os riscos identificados e incluídos no inventário de uma entidade são avaliados com o objetivo
de entender o nível de gravidade de cada risco no que diz respeito à consecução da estratégia e
dos objetivos de negócio da entidade. As avaliações de risco respaldam a seleção das respostas.
Dada a gravidade dos riscos identificados, a administração decide a respeito dos recursos e das
capacidades a serem utilizadas para que o risco permaneça de acordo com o apetite a riscos da
entidade.
Avaliando a Gravidade em Diferentes Níveis da Entidade

A gravidade do risco é avaliada em vários níveis (divisões, áreas e unidades operacionais) de
acordo com os objetivos de negócio sobre os quais ele pode ter impacto. Pode ser, por exemplo,
que os riscos que são avaliados como importantes no nível da unidade operacional da entidade
sejam menos importantes no nível da divisão ou no nível da entidade. Nos níveis mais altos da
entidade, os riscos tendem a ter um impacto maior sobre a reputação, a marca e a credibilidade.
A utilização de terminologia e de categorias-padrão de risco ajuda na avaliação dos riscos em

todos os níveis da organização. Os riscos comuns a unidades de negócio, divisões e áreas
também podem ser agrupados. Por exemplo, os riscos de disrupções tecnológicas identificados
por várias divisões podem ser agrupados e avaliados coletivamente. De maneira análoga, os
riscos mensurados em níveis hierárquicos cada vez mais altos dentro de uma entidade podem
também ser agrupados. Quando riscos comuns são agrupados, a classificação da gravidade pode
mudar. Os riscos que são de baixa gravidade individualmente podem tornar-se mais ou menos
graves quando considerados coletivamente em unidades de negócio ou divisões.
A figure 8.5 ilustra o inventário dos riscos mapeados para a estratégia e os objetivos de negócio.
Em uma avaliação de risco de cima para baixo na entidade, pode-se considerar o risco 4 como de
baixo nível de gravidade. Em uma avaliação no nível da unidade de negócios, o risco 4 pode ser
considerado mais significativo e assim ser mais grave.
Figura 8.5: Avaliando os Riscos em Diferentes Níveis
Para que as práticas de gerenciamento de risco sejam completas, uma avaliação de cima para
baixo considera os riscos identificados e avaliados em níveis mais baixos. Por exemplo, uma
avaliação no nível da entidade determinaria os riscos, mas deveria também considerar os riscos
graves identificados no nível dos objetivos de negócio da entidade, tais como o risco 2 para
determinar se, considerando a gravidade, são uma preocupação da entidade.
A figura 8.6 ilustra quatro cenários comuns.
• No cenário 1, a organização reconhece que o risco poderia ter impacto sobre o objetivo de
negócio geral e no nível da entidade. Por exemplo, um erro de segurança em um processo
industrial pode, considerando sua magnitude, ter impacto sobre a entidade como um todo.
• No cenário 2, a gravidade do risco diminui em níveis mais altos da entidade, mostrando que
não tem o mesmo possível impacto sobre a entidade como um todo. Por exemplo, a lista de
pendências nas operações pode representar um risco para o processamento da gestão da
unidade operacional, mas pode não ter um impacto significativo no objetivo geral do negócio,
e no nível da entidade pode ter pouco ou nenhum impacto. No entanto, caso a lista de
pendências cresça, o risco poderia aumentar para o cenário 3 ou mesmo para o cenário 1.
• No cenário 3, dois riscos individualmente têm avaliação moderada de gravidade, mas juntos
eles têm impacto sobre os objetivos de negócio e a entidade de maneira mais significativa, e
por isso são avaliados como mais graves. Por exemplo, a incapacidade de recrutar funcionários
para áreas de apoio comuns tais como de conhecimento jurídico especializado representa um
risco baixo para cada unidade operacional, mas começa a ter impacto sobre a entidade de
maneira mais significativa no nível dos objetivos de negócio, já que a tendência poderia ter um
impacto negativo sobre a capacidade de consecução de um objetivo de negócio largamente
dependente do conhecimento jurídico especializado. No entanto, no nível da entidade, aquele
risco pode não ser tão significativo considerando a importância do objetivo de negócio para a
estratégia.
• No cenário 4, determinados riscos têm impacto sobre a entidade como um todo. Por exemplo, o
risco de uma oferta de aquisição por parte dos concorrentes tem impacto sobre a estratégia da
entidade como um todo, mas pode não ter impacto sobre os objetivos no nível da entidade
individualmente.
Figura 8.6: Avaliação da Gravidade em Diferentes Níveis
Selecionando Medidas de Gravidade

A admninistração seleciona medidas para avaliar a gravidade do risco. Normalmente essas
medidas são consistentes com o tamanho, com a natureza e com a complexidade da entidade e do
seu apetite a riscos. Limites diferentes podem também ser utilizados em diferentes níveis de uma
entidade para a qual o risco estiver sendo avaliado. Os patamares utilizados para avaliar a
gravidade de um risco podem ser customizados de acordo com o nível de avaliação — por
entidade ou por unidade operacional. Valores aceitáveis de risco ao desempenho financeiro, por
exemplo, podem ser maiores no nível da entidade do que no nível da unidade operacional.
A administração determina a gravidade relativa do risco para selecionar uma resposta ao risco
apropriada, alocar recursos e prestar suporte à tomada de decisão e ao desempenho da
administração. As medidas podem incluir:23
•Impacto: Resultado ou efeito de um risco. Pode existir um leque de possíveis impactos

associados a um risco. O impacto de um risco pode ser positivo ou negativo em relação à
estratégia ou aos objetivos de negócio.
•Probabilidade: A possibilidade de um risco ocorrer. Isso pode ser expresso em termos de

ocorrência de uma probabilidade ou frequência. A probabilidade pode ser expressa de várias
maneiras, como os exemplos seguintes mostram:
−Qualitativa: "A possibilidade de um risco relacionado a uma potencial ocorrência ou

circunstância e seus impactos relacionados sobre um objetivo de negócio específico [dentro
do período contemplado pelo objetivo de negócio; p.ex., 12 meses] é remota."
−Quantitativa: "A possibilidade de um risco relacionado a uma potencial ocorrência ou

do período contemplado pelo objetivo de negócio; p.ex., 12 meses] é de 80%."
−Frequência: "A possibilidade de o risco relacionado a uma potencial ocorrência ou

do período contemplado pelo objetivo de negócio; p.ex., 12 meses] é de uma vez a cada 12
meses."
Como parte do processo de avaliação, a administração considera as possíveis combinações de

probabilidade e de impacto. Por exemplo, pode haver um risco baixo de incidentes operacionais
levando a prejuízos maiores do que 20% da receita da entidade. Ao mesmo tempo, pode haver
uma maior probabilidade de incidentes operacionais levarem a prejuízos de menos de 1% da
receita da entidade. Sempre quando a administração identificar quando um risco é disruptivo ou
necessita de uma mudança na resposta, aquele risco é contabilizado nas atividades de avaliação.
O período utilizado para avaliar os riscos deve ser o mesmo que aquele usado para a estratégia e
os objetivos de negócio relacionados. Por exemplo, caso os objetivos de negócio tenham como
foco um horizonte de três anos, a administração consideraria os riscos naquele período. Em
virtude de a estratégia e os objetivos de negócio de muitas entidades enfocarem períodos a curto
e médio prazos, a administração geralmente prioriza os riscos associados a esses períodos. No
entanto, na avaliação dos riscos da missão, da visão ou da estratégia, o período pode ser mais
longo. A administração precisa estar ciente dos períodos mais longos e não ignorar os riscos que
podem surgir ou ocorrer posteriormente.
Além disso, os riscos emanam de várias fontes e resultam em diferentes impactos. As causas
principais podem ter um impacto positivo ou negativo sobre a avaliação de um risco. A figura
8.7 mostra a variedade de resultados que podem ser obtidos de uma variedade de fontes.
Figura 8.7: Principais Causas e Impactos do Risco
As medidas de gravidade devem estar alinhadas à estratégia e aos objetivos de negócio da

entidade. O exemplo 8.2 ilustra como a organização identifica os riscos para seus objetivos de
negócio e então aplica a medida apropriada. Quando diferentes impactos são identificados para
um objetivo de negócio, a administração fornece orientações sobre como avaliar a gravidade do
impacto. Quando múltiplos impactos resultarem em diferentes avaliações de gravidade ou
requererem uma resposta ao risco diferente, caberá à administração determinar se será necessário
identificar e avaliar riscos adicionais separadamente.
Exemplo 8.2: Alinhando os Objetivos do Negócio, Risco e Medições de Severidade
Tipo de Objetivo de Risco Meta e Tolerância Medidas de Gravidade

Objetivo Negócio Identificado
Classificação Probabilidade
/ Tipo de
Impacto
Os objetivos Continuar a A possibilidade Meta: Oito Impacto Possível

de negócio desenvolver de que a produtos em moderado
para a produtos organização não desenvolvimento sobre a
divisão de inovadores consiga a qualquer satisfação do
refeições que desenvolver momento consumidor
rápidas despertem o novos produtos
(unidade interesse dos que superem as Tolerância:
Número de novos
operacional) consumidore expectativas do
produtos em
s, excitando- cliente
desenvolvimento
os entre seis e doze a
qualquer
momento
Objetivos de Recrutar e A possibilidade Meta: Recrutar Menor Possível
Negócio treinar de a 50 gerentes de impacto
para gerentes de organização não venda de produtos sobre as
Recursos vendas no ser capaz de operações/
Humanos próximo identificar de Tolerância: A
entidade recruta Recursos
ano. maneira
entre 35 e 50 Humanos
adequada
gerentes de
pessoas produto no
capacitadas próximo ano
para serem
gerentes de
vendas
A possibilidade Meta: Treinar Improvável

de a 95% dos gerentes
organização ser de vendas
incapaz de
programar Tolerância: A
entidade treina
treinamento
um mínimo de
para os novos
85% dos gerentes
gerentes de de vendas no
vendas próximo ano
Abordagens de Avaliação
As abordagens utilizadas para avaliar riscos podem ser qualitativas, quantitativas ou uma
combinação das duas.
• As abordagens de avaliação qualitativa, tais como entrevistas, oficinas, pesquisas e

benchmarking, são frequentemente utilizadas quando não é nem praticável nem viável do
ponto de vista da relação custo-benefício obter dados suficientes para a quantificação. As
avaliações qualitativas são mais eficientes para completar; no entanto, há limitações na
capacidade de identificar correlações ou realizar uma análise da relação custo-benefício.
• As abordagens da avaliação quantitativa, tais como a modelagem, as árvores de decisão, as

simulações Monte Carlo etc., permitem uma maior precisão e um maior nível de
detalhamento, respaldando uma análise da relação custo-benefício. Consequentemente, as
abordagens quantitativas são normalmente utilizadas em atividades mais complexas e
sofisticadas para complementar as técnicas qualitativas. Abordagens quantitativas incluem:
−Modelos probabilísticos (por exemplo, valor em risco, fluxo de caixa em risco, distribuições
de perdas operacionais) que associam uma gama de acontecimentos e o impacto resultante à
probabilidade desses acontecimentos com base em determinadas premissas. O entendimento
de como cada fator de risco pode variar e ter impacto sobre o fluxo de caixa, por exemplo,
permite à administração mensurar e administrar o risco melhor.
−Modelos não probabilísticos (por exemplo, análise de sensibilidade, análise de cenário) usam
premissas subjetivas para estimar o impacto sobre um objetivo de negócio dos
acontecimentos sem quantificar uma probabilidade associada. Por exemplo, a análise de
cenário permite à administração entender o impacto sobre um objetivo de negócio para
aumentar a lucratividade em diferentes cenários, tais como o de um concorrente lançar um
novo produto, uma disrupção na cadeia de suprimentos ou um aumento nos custos dos
produtos.
A depender de quão complexa e madura a entidade é, a administração pode fazer uso de um grau
de julgamento e de expertise ao elaborar o modelo. Independentemente da abordagem utilizada,
quaisquer premissas devem ser estipuladas de maneira clara.
A gravidade prevista de um risco pode influenciar o tipo de abordagem usada. Para avaliar os
riscos que poderiam ter impactos extremos, a administração pode usar a análise de cenário, mas
para avaliar os efeitos de múltiplos eventos, ela pode encontrar simulações mais úteis (por
exemplo, teste de stress). Por outro lado, riscos altamente frequentes e de baixo impacto podem
ser mais bem adaptados ao rastreamento de dados e à computação cognitiva. Para obterem um
consenso em relação à gravidade do risco, as organizações podem empregar a mesma abordagem
que utilizaram como parte da identificação de riscos.
As avaliações também podem ser realizadas pela entidade por diferentes equipes. Nesse caso, a
organização estabelece uma abordagem para analisar quaisquer diferenças nos resultados da
avaliação. Por exemplo, se uma equipe classificar riscos específicos como "baixos", mas outra
equipe classificá-los como "médios", a administração avalia os resultados para determinar se
existem inconsistências na abordagem, nas premissas e nas perspectivas em relação aos objetivos
ou aos riscos de negócio.
Finalmente, parte da avaliação de risco é buscar entender as interdependências que podem existir
entre os riscos. As interdependências podem ocorrer quando múltiplos riscos afetam um objetivo
de negócio ou quando um risco desencadeia outro. Os riscos podem ocorrer simultânea ou
sequencialmente. Por exemplo, para uma empresa inovadora em tecnologia o atraso no
lançamento de novos produtos resulta em uma perda simultânea de participação no mercado e
em uma diminuição do valor da marca da entidade. O modo como a administração entende as
interdependências será refletido na avaliação do nível da gravidade.
Riscos Inerentes, Riscos Almejados e Riscos Residuais

A administração avalia o risco inerente, o risco residual almejado e o risco residual real como
parte da avaliação de riscos.
•O risco inerente consiste em riscos para uma entidade que não disponha de ações diretas ou
focadas por parte da administração para alterar seu nível de gravidade.
•O risco residual almejado é a quantidade de risco que uma entidade prefere assumir nos seus
esforços de consecução da estratégia e dos objetivos de negócio, sabendo que a administração
implementará, ou implementou, ações diretas ou focadas para alterar a gravidade do risco.
•O risco residual real é o risco remanescente depois que a administração colocou em prática as
ações para alterar sua gravidade. O risco residual real deve ser igual ao risco residual almejado
ou menor do que ele. Quando o risco residual real exceder o risco almejado, as ações
adicionais que permitam que a administração altere ainda mais a gravidade do risco
posteriormente devem ser identificadas.
A administração pode identificar os riscos para os quais respostas desnecessárias tenham sido
aplicadas. Respostas a riscos redundantes são aquelas que não resultam em uma mudança
mensurável na gravidade do risco. A exclusão de tais respostas pode permitir à administração
alocar os recursos utilizados nessas respostas em outros pontos.
Retratando os Resultados da Avaliação

Os resultados da avaliação geralmente são representados por meio de um "mapa de calor" ou
outra representação gráfica para destacar a gravidade relativa de cada um dos riscos para a
consecução de uma estratégia específica ou de um objetivo de negócio específico. Cada risco
indicado no mapa de calor assume um determinado nível de desempenho para uma estratégia
específica ou um objetivo de negócio específico.
Os riscos avaliados para um determinado objetivo de negócio são representados no mapa de

calor por meio da utilização de medidas de gravidade selecionadas pela entidade para um
determinado nível de desempenho. As várias combinações de probabilidade e impacto (medidas
de gravidade), dado o apetite a riscos da entidade, são codificadas por cores para refletir um nível
de gravidade específico. Na Figura 8.8, a entidade possui quatro classificações de gravidade do
risco, variando de vermelho a verde. A codificação por cores está alinhada a um resultado de
gravidade específico, refletindo o apetite a riscos da entidade. Entidades avessas ao risco podem
ter mais espaços vermelhos comparativamente a entidades agressivas na assunção de riscos.
Figura 8.8: Mapa de Calor dos Objetivos de

Negócio
A figura 8.9 ilustra o perfil de risco de um único objetivo de negócio e um determinado nível de
desempenho. Se o nível de desempenho mudar, as mudanças correspondentes em cada um dos
riscos são capturadas. Isso pode levar a novos riscos, à mudança na gravidade dos riscos ou à
remoção dos riscos.
Figura 8.9: Perfil do Risco do Objetivo de Negócio
É o inventário de riscos que constitui a base sobre a qual uma organização é capaz de construir
um perfil de risco (conforme mostrado na Figura 8.9). Cada ponto de dados na curva de risco
representa a combinação e a gravidade dos riscos para aquele objetivo de negócio (conforme
ilustrado de maneira desagregada utilizando um mapa de calor na Figura 8.8). A administração
pode utilizar o perfil de risco em sua avaliação para:
• Confirmar que o desempenho está dentro dos limites da tolerância.
• Confirmar que o risco está de acordo com o apetite a riscos.
• Comparar a gravidade de um risco em vários pontos da curva.
• Avaliar o ponto de disrupção na curva, no qual a quantidade de riscos tenha excedido

consideravelmente o apetite a riscos da entidade e impacte seu desempenho ou a consecução
da estratégia e dos objetivos de negócio.
Além disso, a administração avalia como diferentes riscos podem impactar de formas diferentes
o mesmo objetivo de negócio. Por exemplo, uma franquia de loja de hardware identifica o risco
de vendas fracas devido à inexistência de estoques de uma ampla gama de produtos desejados
por um grupo grande de clientes. A administração também tem consciência de que mudanças nos
esforços de marketing e publicidade podem afetar as vendas de maneira significativa. Com foco
no objetivo de negócio de vendas, a administração é capaz de entender melhor os riscos que têm
impacto sobre elas. O entendimento da gravidade de riscos diferentes ao mesmo objetivo de
negócio possibilita à administração tomar decisões conscientes do risco sobre a diversidade dos
produtos em estoque e o orçamento desejado a ser gasto com despesas de marketing e
publicidade para gerenciar o risco de vendas baixas.
Identificando Fatores que Justificam uma Reavaliação
A organização empenha-se para identificar os fatores que justificam uma reavaliação do nível de
gravidade quando necessário. Tais fatores são normalmente mudanças no contexto dos negócios,
mas também podem ser mudanças no apetite a riscos, servindo como indicadores antecipados de
mudanças nas premissas que respaldam a avaliação da gravidade. Os fatores desencadeadores
podem ser um aumento no número de reclamações de clientes, uma mudança desfavorável em
um índice econômico, uma queda nas vendas ou um pico na rotatividade de funcionários.
Também podem vir de um concorrente (por exemplo, o recall do produto de um concorrente por
causa de defeitos).
A gravidade dos riscos e a frequência com a qual ela pode mudar influenciarão a frequência com
que a avaliação poderá ser acionada. Por exemplo, os riscos associados a mudanças nos preços
de commodities podem precisar ser avaliados diariamente, mas os riscos associados a mudanças
no perfil demográfico ou nas preferências do mercado em relação a novos produtos poderão
precisar ser avaliados somente uma vez por ano.
Viés na Avaliação
A administração deve identificar e mitigar o efeito de vieses nas práticas de avaliação de riscos.
Por exemplo, o viés da confiança pode respaldar uma percepção pré-existente de um risco
conhecido. Além disso, como um risco é enquadrado também pode afetar como os riscos são
interpretados e avaliados. Por exemplo, para um determinado risco, pode haver uma gama de
potenciais impactos, cada um com uma probabilidade diferente. Assim, um risco com baixa
probabilidade mas alto impacto tem o mesmo resultado que um risco com alta probabilidade e
baixo impacto; no entanto, um risco pode ser aceitável para a organização enquanto outro não é.
Assim, a maneira pela qual o risco é apresentado à administração e enquadrado para ela é crucial
para minimizar qualquer viés.
O viés pode fazer com que a gravidade de um risco seja subestimada ou superestimada e
restringir o nível de eficácia da resposta ao risco selecionada. Subestimar a gravidade pode
resultar em uma resposta inadequada, deixando a entidade exposta e pode fazê-la violar o seu
apetite a riscos. Superestimar a gravidade de um risco pode resultar na utilização desnecessária
de recursos como forma de responder a tais riscos, gerando ineficiências na entidade. Isso pode
também comprometer o desempenho da entidade ou afetar sua capacidade de identificar novas
oportunidades.
Medidas adicionais, incluindo persistência, velocidade e complexidade, são discutidas no Princípio 14.
23
espaço
Princípio 12: Prioriza os Riscos
A organização prioriza os riscos como base para a seleção das

respostas a eles.
Estabelecendo Critérios
As organizações priorizam os riscos para ter uma base concreta para a tomada de decisões sobre
a resposta ao risco e para otimizar a alocação de recursos. Considerando os recursos disponíveis
para a entidade, a administração deve avaliar as ponderações que devem ser feitas relativamente
à alocação de recursos para mitigar um risco em detrimento de outro. A priorização de riscos,
dada sua gravidade, a importância do objetivo de negócio relacionado e o apetite a riscos da
entidade ajuda a administração na tomada de decisões.
As prioridades são determinadas por meio da aplicação de critérios pré-acordados.24 Os exemplos

desses critérios incluem:
•Adaptabilidade: A capacidade de uma entidade de adaptar-se aos riscos e responder a eles

(p.ex., responder a mudanças no perfil demográfico, como o envelhecimento da população e o
impacto sobre os objetivos de negócio relacionados à inovação dos produtos).
•Complexidade: O escopo e a natureza de um risco para o sucesso da entidade. A

interdependência dos riscos normalmente aumenta sua complexidade (por exemplo, riscos de
obsolescência dos produtos e baixas vendas ao objetivo da empresa de ser líder de mercado em
tecnologia e satisfação do cliente).
•Velocidade: A velocidade com que um risco impacta uma entidade. A velocidade pode afastar
a entidade da variação de desempenho aceitável. (por exemplo, o risco de perturbações
decorrentes de greve de funcionários da alfândega e de portuários afetando o objetivo
relacionado ao gerenciamento eficiente da cadeia de suprimentos).
•Persistência: Por quanto tempo o risco tem impacto sobre a entidade (por exemplo, a
persistência da cobertura de mídia negativa e o impacto sobre as metas de vendas em seguida à
identificação de possíveis falhas nos freios e ao subsequente recall global de carros).
•Recuperação: A capacidade de uma entidade de retornar à tolerância (p.ex., continuar a operar

após uma inundação grave ou outro desastre natural). A recuperação exclui o tempo necessário
para retornar à tolerância, o que é considerado parte da persistência, e não parte da
recuperação.
A priorização também leva em conta a gravidade do risco em comparação com o apetite a riscos.
Uma prioridade mais alta pode ser dada aos riscos que apresentam maior probabilidade de
aproximar-se do apetite a riscos estabelecido ou ultrapassá-lo.
Priorizando Riscos
Os riscos com avaliações de gravidade semelhantes podem ser priorizados de modo diferente.
Isto é, dois riscos podem ser avaliados como "médios", mas a administração pode dar mais
prioridade para um porque ele tem mais velocidade e persistência (veja o Exemplo 8.3), ou
porque a resposta a um risco oferece um maior retorno ajustado ao risco do que outros riscos de
gravidade similar.
Exemplo 8.3: Priorização de Riscos
No caso de uma grande cadeia de restaurantes, responder ao risco de que as reclamações

dos clientes permaneçam não resolvidas e atrair uma cobertura desfavorável nas mídias
sociais poderá ser considerado uma prioridade mais alta do que responder ao risco de ter
negociações contratuais com fornecedores prorrogadas. Ambos os riscos são graves, mas
a velocidade e o escopo de uma avaliação on-line minuciosa pode ter um impacto maior
sobre o desempenho e a reputação da cadeia de restaurantes, exigindo uma resposta mais
rápida a um feedback negativo.
O modo como um risco é priorizado geralmente serve de base para as respostas ao risco que a
administração considera. As respostas mais eficazes abordam tanto a gravidade (impacto e
probabilidade) quanto a priorização de um risco (velocidade, complexidade etc.).
Os riscos de prioridade mais alta são mais propensos a ser aqueles que afetam a entidade como
um todo ou surgem no nível da entidade. Por exemplo, o risco de que novos concorrentes
introduzirão novos produtos e serviços no mercado poderá requerer uma maior adaptabilidade e
uma avaliação da estratégia e dos objetivos de negócio da entidade para que ela permaneça
viável e relevante.
Utilizando o Apetite a Riscos para a Priorização de Riscos

A administração deve também comparar o apetite a riscos ao priorizá-los. Os riscos que fazem
com que a entidade que aborde o apetite a riscos em relação a um objetivo de negócio específico
geralmente são considerados como prioridades mais altas (veja o exemplo 8.4). Além disso, pode
ser dada prioridade aos níveis de desempenho que se aproximam dos limites mais altos de
tolerância.
Exemplo 8.4: Relação entre o Perfil de Risco e o Apetite a riscos
A missão de uma empresa de serviços públicos é ser a distribuidora de energia elétrica mais
confiável na região em que ela opera. Um recente aumento na frequência e na persistência
de interrupções no fornecimento indica que a empresa está se aproximando de seu apetite a
riscos, o que faz com que seja menos provável que ela alcance seu objetivo de prestar
serviços confiáveis. Essa situação faz com que uma prioridade mais alta seja acionada para
esse risco. Uma mudança na prioridade pode resultar na necessidade de avaliar a resposta
ao risco, implementar respostas adicionais e alocar mais recursos para reduzir a
probabilidade de o risco infringir o apetite a riscos da organização.
Por meio do processo de priorização de riscos, a administração também reconhece que existem
riscos que a entidade opta por aceitar; ou seja, alguns deles já são considerados como
gerenciados a uma quantidade aceitável para a entidade e para os quais nenhuma resposta
adicional ao risco será contemplada.
Priorização em Todos os Níveis

A priorização dos riscos ocorre em todos os níveis de uma entidade, e diferentes riscos podem
receber diferentes prioridades em diferentes níveis. Por exemplo, os riscos de alta prioridade no
nível operacional podem ser considerados de baixa prioridade no nível da entidade. A
organização atribui uma prioridade no nível em que o risco é gerenciado e com aqueles que são
responsáveis por gerenciá-lo.
As organizações priorizam os riscos de modo agregado quando um único responsável por risco
for identificado ou for provável que uma resposta ao risco comum será aplicada. Isso permite
que os riscos sejam claramente identificados e descritos por meio de uma taxonomia de risco
padronizada, o que permite que riscos comuns sejam priorizados de modo consistente por toda a
entidade. O resultado é uma resposta ao risco mais consistente e mais eficiente do que teria sido
se cada risco tivesse sido priorizado separadamente.
Os responsáveis pelo risco devem fazer uso da prioridade estipulada para selecionar e aplicar as
respostas apropriadas aos riscos no contexto dos objetivos de negócio e das metas de
desempenho. Em muitos casos, o responsável por gerenciar a resposta ao risco e o responsável
por gerenciar o risco podem ser duas pessoas diferentes ou podem estar em níveis diferentes
dentro da entidade. Os responsáveis por gerenciar o risco devem ter autoridade suficiente para
priorizar os riscos com base em suas responsabilidades e prestar contas pelo gerenciamento
eficaz do risco.
Viés na Priorização
A administração deve empenhar-se para priorizar os riscos e gerenciar os objetivos de negócio
concorrentes relacionados à alocação de recursos livre de vieses. Os objetivos de negócio
concorrentes podem incluir garantir recursos adicionais, alcançar medidas de desempenho
específicas, qualificar-se para incentivos e recompensas pessoais ou obter outros resultados
específicos.
Os critérios podem também ser utilizados como medidas para avaliar a gravidade de um risco, conforme discutido no Princípio
24
11.
espaço
Princípio 13: Implementa as Respostas ao Risco
A organização identifica e seleciona as respostas ao risco.
Escolhendo as Respostas ao Risco

Para todos os riscos identificados, a administração seleciona e aplica uma resposta ao risco. A
administração considera a gravidade e a priorização do risco, assim como o contexto e os
objetivos relacionados do negócio. Finalmente, a resposta ao risco também responde pelas metas
de desempenho da organização. As respostas ao risco enquadram-se nas categorias a seguir:
•Aceite: Nenhuma medida é tomada para alterar a gravidade do risco. Esta resposta é adequada
quando o risco à estratégia e aos objetivos de negócio já estiver de acordo com o apetite a
riscos da entidade. Um risco que estiver fora dos limites do apetite a riscos da entidade e que a
administração busca aceitar geralmente exigirá a aprovação do conselho ou de outros órgãos
de supervisão.
•Recusa: Uma medida é tomada para remover o risco, o que pode significar suspender uma linha
de produção, recusar-se a expandir por um novo mercado geográfico ou vender uma divisão.
A opção por evitar sugere que a organização não era capaz de identificar uma resposta que
pudesse reduzir o impacto do risco a um nível aceitável de gravidade.
•Busca: Uma medida é tomada que aceita o risco maior de atingir um desempenho melhor. Isso
pode envolver a adoção de estratégias de crescimento mais agressivas, a expansão de
operações ou o desenvolvimento de novos produtos e serviços. Ao escolher explorar o risco, a
administração entende a natureza e a extensão de quaisquer mudanças necessárias para
alcançar o desempenho almejado enquanto não ultrapassa os limites de tolerância aceitáveis.
•Redução: Uma medida é tomada para reduzir a gravidade do risco. Isso envolve qualquer uma
das diversas decisões de negócio diárias que reduz o risco a um nível de gravidade alinhado ao
perfil de risco residual almejado e ao apetite a riscos da entidade.
•Compartilhamento: Uma medida é tomada para reduzir a gravidade do risco transferindo ou de

qualquer outra forma compartilhando uma parte do risco. Técnicas comuns incluem a
terceirização para prestadoras de serviços especializados, a aquisição de produtos de seguros e
a participação em operações de hedging. Da mesma forma que a resposta por meio de
redução, o compartilhamento de riscos diminui o risco residual de maneira consistente com o
apetite a riscos da entidade.
Essas categorias de respostas ao risco exigem que este seja gerenciado no contexto dos negócios,
e de acordo com os objetivos, as metas de desempenho e o apetite a riscos da entidade. Em
alguns casos, a administração pode precisar analisar outro plano de ação, incluindo o seguinte:
•Avaliação do objetivo de negócio: A organização opta por avaliar e potencialmente revisar o
objetivo de negócio em decorrência da gravidade dos riscos e da tolerância identificados. Isso
poderá ocorrer quando outras categorias de respostas ao risco não representarem os planos de
ação almejados para a entidade.
•Avaliação da estratégia: A organização opta por avaliar e potencialmente revisar a estratégia

dado o nível de gravidade dos riscos identificados e o apetite a riscos da entidade. Do mesmo
modo que acontece com a avaliação dos objetivos de negócio, isso poderá ocorrer quando
outras categorias de respostas ao risco não representarem os planos de ação almejados para a
entidade.
As organizações poderão também optar por exceder o apetite a riscos se o efeito de permanecer
nos limites do apetite for considerado maior do que a potencial exposição decorrente de excedê-
lo. Por exemplo, a administração pode aceitar os riscos associados à aprovação acelerada de
novos produtos em prol de oportunidades e da vantagem competitiva relacionadas ao lançamento
mais rápido desses produtos no mercado. Quando uma entidade aceita reiteradamente os riscos
que se aproximam de seu apetite a riscos ou o ultrapassem como parte de suas operações
normais, uma avaliação e um ajuste do apetite a riscos da entidade podem ser necessários.
Selecionando e Aplicando Respostas ao Risco

A administração seleciona e aplica as respostas ao risco e paralelamente avalia os fatores a
seguir:
•Contexto dos negócios: As respostas ao risco são selecionadas ou customizadas de acordo com
o setor, a atuação geográfica, o ambiente regulatório, a estrutura operacional ou outros fatores.
•Custos e benefícios: Custos e benefícios previstos geralmente são proporcionais à gravidade e à

priorização do risco.
•Obrigações e expectativas: A resposta ao risco aborda geralmente as normas setoriais aceitas, as

expectativas das partes interessadas e o alinhamento com a missão e a visão da entidade.
•Priorização do risco: A prioridade atribuída ao risco influencia a alocação de recursos. As

respostas ao risco que apresentam altos custos de implementação (p.ex., atualizações de
sistemas, aumento da força de trabalho) para riscos de baixa prioridade precisam ser
cuidadosamente avaliadas e podem não ser apropriadas devido à prioridade avaliada.
•Apetite a riscos: A resposta ao risco ou traz o risco para os limites do apetite da entidade ou
mantém sua situação atual. A administração identifica a resposta que enquadra o risco residual
no apetite estipulado. Ela pode ser, por exemplo, uma combinação entre compra de apólice de
seguro e implementação de repostas internas para reduzir o risco a uma gama de tolerância.
•Gravidade do risco: A resposta ao risco deve refletir o tamanho, o escopo e a natureza dos
riscos e seu impacto sobre a entidade. Por exemplo, no ambiente de operações ou produção,
onde os riscos são influenciados por mudanças em termos de volume, a resposta proposta é
dimensionada para adaptar-se a uma atividade maior.
Geralmente, alguma das diversas respostas ao risco alinhará o risco residual à tolerância, e, às
vezes, uma combinação de respostas poderá apresentar o melhor resultado. Por outro lado, uma
resposta, às vezes, impactará vários riscos, e, nesse caso, a administração pode decidir que
medidas adicionais para abordar um risco específico não se fazem necessárias.
A resposta ao risco pode mudar o perfil de risco (veja o Exemplo 8.5). Assim que a
administração seleciona uma resposta ao risco, atividades de controle25tornam-se necessárias para
garantir que essa resposta ao risco seja executada conforme pretendido. A administração deve
reconhecer que o risco é gerenciado, mas não eliminado. Alguns riscos residuais sempre
existirão, não somente porque os recursos são limitados, mas por causa da incerteza futura e das
limitações inerentes a todas as tarefas.
Exemplo 8.5: Perfis de Risco em Mutação
Um fruticultor de médio porte está analisando a possibilidade de adquirir uma apólice de

seguros contra enchentes ou tempestades que compensaria qualquer queda na produção
abaixo de um volume mínimo. O perfil de risco final para os níveis de produção
consideraria potenciais resultados de desempenho cobertos pelo seguro.
Considerando os Custos e os Benefícios das Respostas ao Risco

A administração deve analisar os potenciais custos e benefícios de diferentes respostas ao risco.
Geralmente, os custos e os benefícios previstos são proporcionais à gravidade e à priorização do
risco. Por exemplo, um risco de alta prioridade com maior gravidade pode justificar um aumento
nas despesas com recursos, considerando os benefícios esperados da resposta.
As mensurações de custo e de benefício para a seleção e a aplicação de respostas ao risco são

feitas com base em vários níveis de precisão. Os custos compreendem custos diretos, custos
indiretos (quando mensuráveis na prática) e, para algumas entidades, custos de oportunidade
associados ao uso de recursos. A mensuração dos objetivos pode ser mais subjetiva, uma vez
que eles geralmente são difíceis de quantificar. Em muitos casos, no entanto, o benefício de uma
resposta ao risco pode ser avaliado no contexto da consecução da estratégia e dos objetivos de
negócio da entidade. Em alguns casos, devido à importância de uma estratégia ou de um objetivo
de negócio, pode não haver uma resposta ao risco adequada do ponto de vista de custos e
benefícios. Em tais casos, a organização pode selecionar uma resposta ou escolher reavaliar a
estratégia e os objetivos de negócio da entidade.
A administração também é responsável pelas respostas ao risco que abordem quaisquer

obrigações regulatórias, o que, novamente, pode não ser o mais adequado do ponto de vista de
custos e benefícios, mas está de acordo com as obrigações jurídicas e outras (veja o Exemplo
8.6). Na seleção da resposta apropriada, a administração deve considerar as expectativas das
partes interessadas, tais como acionistas, órgãos reguladores e clientes.
Exemplo 8.6: Relação entre o Perfil de Risco e o Apetite a riscos
Uma empresa de seguros implementa respostas ao risco para abordar novos requisitos
regulatórios em vigor no setor de seguros. Essas respostas exigirão que a empresa faça
investimentos adicionais em sua infraestrutura de tecnologia e mudanças em seus processos
atuais e aumente sua equipe de profissionais para ajudar com a implementação de modo a
atingir seus objetivos de cumprimento das exigências dos órgãos reguladores.
Considerações Adicionais
A seleção de uma resposta ao risco pode introduzir riscos novos que não foram identificados
anteriormente ou pode ter consequências indesejadas. Por exemplo, para o fruticultor no
Exemplo 8.5, o risco de enchentes prejudicarem a colheita foi diminuído pela aquisição da
apólice de seguros; no entanto, o fazendeiro pode agora enfrentar o risco de um baixo fluxo de
caixa.
No caso de riscos recém-identificados, a administração deve avaliar a gravidade e a prioridade

relacionadas, determinando a eficácia da resposta ao risco proposta. Por outro lado, a seleção de
uma resposta ao risco pode apresentar novas oportunidades não analisadas anteriormente. A
administração pode identificar respostas inovadoras, que, embora se enquadrem nas categorias
de resposta descritas anteriormente, podem ser completamente novas para a entidade ou até
mesmo para o setor. Tais oportunidades podem surgir quando opções de resposta ao risco
existentes atingem o limite de eficácia e quando melhorias adicionais provavelmente apresentem
somente mudanças marginais na gravidade de um risco. A administração redireciona quaisquer
novas oportunidades ao processo de definição da estratégia.
25
As atividades de controle são discutidas na publicação Controles Internos — Estrutura Integrada.
espaço
Princípio 14: Elabora uma Visão do Portfolio
A organização elabora e avalia uma visão do portfolio de risco.
Entendimento de uma Visão do Portfolio

O gerenciamento de riscos corporativos permite que a organização avalie as potenciais
implicações para o perfil de risco do ponto de vista da organização como um todo ou da carteira.
A administração primeiramente analisa o risco, uma vez que ele está relacionado a cada divisão,
unidade operacional ou área. Cada gestor elabora uma avaliação composta dos riscos que reflete
o perfil de risco residual da unidade referente aos seus objetivos de negócio e à tolerância.
Uma visão de carteira permite à administração e ao conselho analisar o tipo, a gravidade e as

interdependências dos riscos, bem como de que forma eles podem afetar o desempenho da
entidade. Ao usar a visão do portfolio, a organização identifica os riscos que são graves no nível
da entidade. Eles podem incluir riscos que surgem no nível da entidade assim como riscos
operacionais e de processamento que podem prejudicar a entidade como um todo.
Com a visão do portfolio, a administração está bem posicionada para determinar se o perfil de
risco residual da entidade está alinhado ao apetite geral por riscos. O mesmo risco em unidades
diferentes pode ser aceitável para as unidades operacionais, mas quando considerados de modo
agregado o cenário pode ser outro. Coletivamente, o risco pode exceder o apetite a riscos da
entidade como um todo, e, nesse caso, respostas ao risco adicionais ou diferentes serão
necessárias. Por outro lado, um risco pode não ser aceitável em uma unidade, mas pode
enquadrar-se na escala de outras. Por exemplo, algumas unidades operacionais possuem riscos
mais altos do que as outras, mas o risco geral permance nos limites do apetite a riscos da
entidade. E nos casos em que uma visão de carteira mostra que os riscos são significativamente
menores do que o apetite a riscos da entidade, a administração poderá decidir motivar cada um
dos gerentes das unidades operacionais a aceitar maior risco em certas áreas, com vistas a
aumentar o valor da organização.
Desenvolvendo uma Visão do Portfolio

Uma visão do portfolio de riscos pode ser elaborada de várias formas. Um dos métodos é focar
as principais categorias de riscos em todas as unidades operacionais ou os riscos para a entidade
como um todo, usando métricas como capital ajustado de acordo com o risco ou o capital a
descoberto. O método é particularmente útil quando da avaliação do risco em comparação com
os objetivos de negócio estabelecidos em termos de rendimentos, crescimento e outras medidas
de desempenho, às vezes relacionadas ao capital alocado ou disponível. As informações obtidas
podem ser úteis para a realocação do capital às unidades operacionais e para a modificação da
direção estratégica (outros métodos qualitativos também podem ser utilizados para a elaboração
dessa visão do portfolio).
Uma visão do portfolio também pode ser representada graficamente indicando os tipos e a
quantidade de riscos assumidos em comparação com o apetite a riscos da entidade para cada
área, estratégia e objetivo de negócio organizacionais. A visão do portfolio na Figura 8.10 ilustra
o alinhamento dos riscos aos objetivos de negócio e a relação entre os diferentes objetivos.
Figura 8.10: Visão do Portfolio de Riscos
Na elaboração de uma visão de risco, há quatro níveis em ordem crescente de integração (do
mínimo para o máximo):
•Integração Mínima — Visão do Risco: De acordo com a visão centrada no risco, a entidade
identifica e analisa os riscos individualmente. O foco predominante é no evento de risco
subjacente em vez de no objetivo; por exemplo, o risco de uma violação que tenha impacto
sobre o cumprimento das regulações locais pela entidade.
•Integração Limitada — Visão da Categoria de Risco: Essa visão utiliza as informações

capturadas na visualização do inventário de riscos, organizando-os pela utilização de
categorias ou outro esquema de classificação. As categorias de risco normalmente refletem a
estrutura operacional da entidade e respaldam papeis e responsabilidades. Um departamento de
compliance, por exemplo, terá a responsabilidade de ajudar a organização a gerenciar os riscos
relacionados ao cumprimento de obrigações regulatórias.
•Integração Parcial — Visão do Perfil de Risco: Ao adotar uma visão mais integrada, uma
organização enfoca os objetivos de negócio e os riscos que se alinham com aqueles objetivos
(por exemplo, todos os objetivos que possam sofrer o impacto dos riscos relacionados a
compliance). Além disso, dependências que possam existir entre os objetivos de negócio são
identificadas e consideradas. Por exemplo, um objetivo de aumentar a excelência operacional
pode ser um pré-requisito para reforçar o balanço patrimonial e aumentar a participação de
mercado. Essa visão vale-se de informações utilizadas para criar uma visão centrada no risco
ou uma visão da categoria de risco.
•Integração Plena — Visão do portfolio: Nesse nível, o foco muda para a estratégia geral da
entidade e para os objetivos de negócio. Uma maior integração viabiliza a identificação, a
avaliação e a análise do risco, além de uma resposta a ele nos níveis adequados de tomada de
decisões. Os conselhos e a administração dão mais atenção à consecução da estratégia, ao
passo que a responsabilidade e o gerenciamento dos objetivos de negócio e dos riscos
individuais no inventário de riscos são promovidos pela entidade como um todo. Utilizando o
mesmo exemplo, o conselho analisa e questiona a administração sobre como a entidade está
aumentando a excelência operacional incluindo a administração dos riscos relacionados ao
cumprimento das obrigações regulatórias.
Quando do desenvolvimento da visão do portfolio, as organizações podem observar riscos que:
• Aumentam em gravidade à medida que são progressivamente consolidados em níveis mais

elevados dentro da empresa.
• Diminuem em gravidade à medida que são progressivamente consolidados.
• Compensam outros riscos atuando como uma cobertura natural contra riscos.
• Mostram uma correlação positiva ou negativa com mudanças ocorrendo na gravidade dos
outros riscos.
Utilizando a Figura 8.10 como exemplo, uma organização elabora sua visão do portfolio e
observa as seguintes características:
•A gravidade das disrupções tecnológicas aumenta conforme agregam-se paulatinamente os

riscos, havendo o reconhecimento de que várias empresas dependem de sistemas operacionais
e tecnologias comuns.
•O risco de inadimplemento da contraparte diminui em termos de gravidade pelo fato de a

entidade não ter um único credor considerado grande o suficiente para ter impacto sobre a
entidade como um todo.
•O risco de um baixo volume de vendas de várias unidades operacionais pode funcionar como
uma proteção natural em que vendas baixas em uma unidade operacional são compensadas por
um bom volume de vendas em uma outra.
•O risco de oscilações cambiais também pode funcionar como uma proteção natural pela qual
flutuações cambiais em um país compensam flutuações em outro.
•Umas forte correlação entre o risco de recalls de produtos e o risco de descumprimento de

obrigações aumenta a prioridade das respostas a ambos os riscos.
•Uma forte correlação entre os objetivos de negócio exige o investimento em soluções

tecnológicas de última geração, minimizando os prejuízos e as ineficiências que são levadas
em conta na seleção das respostas ao risco.
A elaboração de uma visão do portfolio de riscos da entidade permite a tomada de decisões

baseada neles e ajuda a estabelecer metas de desempenho e gerenciar as mudanças seja no perfil
de risco ou no desempenho. Considerações importantes no estabelecimento de metas e na
resposta às mudanças incluem o entendimento de quais riscos têm a tendência de aumentar ou
diminuir, se há o surgimento de novos riscos e se os riscos existentes tornam-se menos
relevantes. Ao utilizar uma visão do portfolio para entender a relação entre o risco e o
desempenho, a organização pode avaliar os resultados da estratégia e dos objetivos de negócio de
acordo com seu apetite pelo risco.
Analisando a Visão do Portfolio

Para avaliar a visão do portfolio de riscos, a organização irá querer utilizar tanto as técnicas
qualitativas quanto as técnicas quantitativas. As técnicas quantitativas incluem a modelagem da
regressão e outros meios de análise estatística para entender a sensibilidade da carteira a
mudanças e a impactos. As técnicas qualitativas, por sua vez, incluem análise de cenário e
benchmarking.
Ao realizar o teste de estresse na carteira, a administração pode avaliar:
• As premissas que servem de base para a avaliação da gravidade do risco.
• Os comportamentos de riscos individuais sob condições de tensão.
• As interdependências dos riscos dentro da visão do portfolio.
• A eficácia das respostas ao risco existentes.
A realização do teste de estresse, da análise do cenário ou de outros exercícios analíticos ajuda a

organização a evitar grandes surpresas e prejuízos e a responder melhor a eles. A organização
usa diferentes técnicas para avaliar o efeito das mudanças no contexto dos negócios ou de outras
variáveis sobre o objetivo de negócio ou a estratégia da entidade. Por exemplo, uma
organização pode escolher analisar o efeito de uma mudança nas taxas de juros por meio da visão
do portfolio. Por outro lado, a organização pode buscar entender o impacto de múltiplas variáveis
ocorrendo simultaneamente, como mudanças nas taxas de juros em combinação com um pico
nos preços de commodities que impactam a lucratividade da entidade. Por fim, a organização
pode escolher avaliar o impacto de um evento em grande escala, como um incidente operacional
ou falha de terceiros. Ao analisar o efeito de mudanças hipotéticas na visão do portfolio, a
organização identifica potenciais novos riscos emergentes ou em constante mudança e avalia a
adequação das respostas aos riscos existentes.
O teste de stresse ajuda a organização a entender como o formato ou a altura da curva de risco
pode responder a possíveis mudanças. Por exemplo:
• A validação de eventos que podem tornar-se fontes de disrupção e fazer com que a curva de
risco ultrapasse o apetite pelo risco (por exemplo, o tamanho de uma possível falta de recursos
que tem impacto sobre a viabilidade do negócio, o que seria representado pela intersecção
entre a curva de risco e o apetite a riscos da entidade.
• O quão a curva de risco pode mover para cima ou para baixo como resposta às mudanças (por
exemplo, confirmando o quanto as mudanças nos indicadores de saúde econômica, tais como
níveis de desemprego e produto nacional bruto representam uma piora suficiente no contexto
dos negócios e fazendo com que a curva de risco mova para cima).
• As respostas ao risco que podem fazer com que as seções da curva tornem-se mais planas (por
exemplo, a diversificação de produtos, a elaboração de novas estratégias de hedge financeiro
ou a aquisição de apólices de seguro adicionais).
• A facilidade com que a organização pode mover-se ao longo da curva. A velocidade e agilidade
da organização ao tomar decisões e mover-se ao longo da curva de risco para uma nova
intersecção desejada de risco e desempenho (por exemplo, a capacidade e a velocidade do
ajuste dos volumes de produção como resposta a mudanças nas vendas).
Essas práticas ajudam a avaliar a capacidade de adaptação da entidade. Elas também ajudam a
administração a contestar as premissas que serviram de base para a seleção da estratégia e para a
avaliação do perfil de risco da entidade. Para tal, a análise da visão do portfolio pode também
fazer parte da avaliação que a organização faz na seleção de uma estratégia ou no
estabelecimento dos objetivos de negócio. A Figura 8.11 mostra a visão do portfolio de risco.
Figura 8.11: Perfil de Risco Mostrando o Risco
como um Portfolio
espaço
Princípios Relativos à Análise e à Revisão
Introdução
A estratégia ou os objetivos de negócio, assim como as práticas e competências de
gerenciamento de riscos corporativos da entidade, podem mudar ao longo do tempo conforme a
entidade adapta-se a um contexto de negócios em transformação. Além disso, o contexto de
negócios no qual a entidade opera também pode mudar, fazendo com que as práticas atuais não
se apliquem mais ou não sejam mais suficientes para respaldar os objetivos de negócio atuais ou
atualizados. Conforme necessário, a organização analisa suas práticas ou complementa suas
competências.
espaço
Princípio 15: Avalia as Mudanças Substanciais
A organização identifica e avalia as mudanças que podem afetar de

maneira significativa a estratégia e os objetivos de negócio.

As organizações normalmente preveem muitas mudanças na elaboração da estratégia e dos
objetivos de negócio e no desempenho, mas elas também precisam estar conscientes do potencial
para mudanças maiores e mais significativas que podem ocorrer e que têm um efeito mais
intenso. Mudanças substanciais podem levar a riscos novos ou alterados e afetar as premissas-
chave que respaldam a estratégia. As práticas para a identificação de tais mudanças devem ser
incorporadas às atividades de negócio e realizadas continuamente. Muitas práticas de
gerenciamento são capazes de identificar mudanças substanciais no curso normal da gestão de
uma empresa. Por exemplo, avaliar o plano da empresa de incorporar um recém-adquirido
empreendimento conjunto poderá ser uma forma de identificar a necessidade de
aperfeiçoamentos futuros em tecnologia da informação.
Mudanças substanciais, como a aquisição de uma entidade ou a implementação de um novo

sistema, poderiam potencialmente mudar a visão do portfolio de riscos da entidade ou afetar o
funcionamento do gerenciamento de riscos corporativos. No caso de uma aquisição, a
integração das operações da empresa adquirida poderia afetar a cultura atual da entidade, bem
como a responsabilidade pelos riscos. A implementação de um novo sistema poderia apresentar
novas exposições relacionadas à segurança da informação, o que poderia influenciar o modo
como os dados são capturados e gerenciados.
As organizações avaliam como a mudança pode afetar o gerenciamento de riscos corporativos e

a consecução de suas estratégias e de seus objetivos de negócio. Isso requer a identificação de
mudanças ambientais internas e externas relacionadas ao contexto dos negócios, bem como de
mudanças na cultura. Alguns exemplos de mudanças significativas tanto no ambiente externo
quanto no ambiente interno são assinaladas abaixo.
Ambiente Interno
•Crescimento rápido: Quando as operações se expandem rapidamente, as estruturas, os
processos empresariais, os sistemas de informação ou os recursos existentes podem ser
afetados. Os sistemas de informação podem não ser capazes de atender de modo eficaz aos
requisitos de informação sobre riscos devido ao aumento no volume de transações. Os papeis e
responsabilidades de supervisão de riscos podem precisar ser redefinidos à luz das mudanças
organizacionais e geográficas devido a uma aquisição. Os recursos podem ser forçados até o
ponto em que as atuais respostas ao risco e as medidas para gerenciá-lo são destruídas. Por
exemplo, os supervisores podem não ter êxito em adaptar-se a níveis de atividade mais
elevados que exigem a adição de turnos na área de produção ou o aumento do número de
profissionais.
•Inovação: Sempre que é lançada uma inovação, as respostas ao risco e as medidas para
gerenciá-lo provavelmente precisarão ser modificadas. Por exemplo, lançar competências de
vendas por meio de dispositivos móveis poderá exigir controles de acesso específicos da
tecnologia em questão. Os usuários poderão precisar de treinamento. A tecnologia de
inovação pode também aprimorar o gerenciamento de riscos corporativos. Por exemplo, um
novo sistema de uso de dispositivos móveis que captura informações sobre vendas
anteriormente indisponíveis torna a administração capaz de monitorar o desempenho, prever as
potenciais vendas e tomar decisões sobre o inventário em tempo real.
•Mudanças substanciais na liderança e nos profissionais: Uma mudança na administração pode

afetar o gerenciamento de riscos corporativos. Um principiante na administração pode não
entender a cultura da entidade e ter uma filosofia diferente ou enfocar exclusivamente o
desempenho, excluindo o apetite a riscos ou a tolerância.
Ambiente Externo
•Mudança no ambiente regulatório ou econômico: Mudanças nas normas regulatórias ou na
economia podem resultar em aumento das pressões concorrenciais, em mudanças nos
requisitos operacionais e em riscos diferentes. Se uma falha em grande escala nas operações,
na elaboração e apresentação de informações e no compliance ocorrer em uma entidade, os
órgãos reguladores poderão introduzir normas regulatórias abrangentes que afetam todas as
entidades dentro de determinado setor. Por exemplo, se material tóxico for lançado em uma
área povoada ou ambientalmente sensível, poderá haver novas restrições de transporte por
todo o setor capazes de afetar a logística de embarque de mercadorias da entidade. Se uma
entidade de capital aberto for vista como uma empresa de pouca transparência, requisitos mais
rígidos de elaboração e apresentação de informações poderão ser estabelecidos por parte dos
órgãos reguladores para todas as empresas de capital aberto. A revelação de que pacientes
estão sendo tratados de forma precária em uma unidade de saúde pode levar à estipulação de
requisitos de cuidados à saúde adicionais para todas as unidades de saúde. E um ambiente
mais competitivo pode fazer com que os indivíduos tomem decisões que não estão alinhadas
ao apetite a riscos da entidade, fazendo, assim, com que suas exposições ao risco aumentem.
Cada uma dessas mudanças poderá exigir que a organização examine minuciosamente o
desenho e a aplicação de seu gerenciamento de riscos corporativos.
A identificação das mudanças substanciais, a avaliação de seus efeitos e a resposta às mudanças

são processos iterativos que podem afetar vários componentes do gerenciamento de riscos
corporativos. Pode ser útil realizar uma análise após o fim de um evento de risco para avaliar
quão bem a organização respondeu a ele e analisar quais lições poderiam ser aplicadas a futuros
eventos.
espaço
Princípio 16: Avalia os Riscos e o Desempenho
A organização avalia o desempenho da entidade e os riscos.

Muito do foco do gerenciamento de riscos corporativos é na gestão de riscos — pela redução do
tipo e do valor do risco a níveis aceitáveis ou pela busca de novas oportunidades de maneira
apropriada à medida que elas surgem. Com o tempo, uma entidade pode não executar suas
práticas de maneira tão eficiente quanto desejado, levando à concretização do risco e à
diminuição do desempenho. De tempos em tempos, a organização pode querer analisar suas
competências e práticas de gerenciamento de riscos corporativos. As observações podem
relacionar-se a premissas incorretas, práticas implementadas, competências da entidade ou
fatores culturais. Às vezes, no entanto, o desempenho é afetado por causa da natureza do risco,
que uma organização não pode prever com total precisão. Na análise do desempenho, as
organizações procuram responder às seguintes perguntas:
•A entidade tem desempenhado conforme esperado e alcançado sua meta? A organização

identifica variações que ocorreram e analisa o que pode ter contribuído para que elas
acontecessem. Isso pode implicar o uso de medições de objetivos ou outras métricas-chave.
Por exemplo, considere uma entidade que assumiu o compromisso de abrir cinco escritórios
novos anualmente como forma de prestar suporte à sua estratégia de crescimento a longo prazo
para aumentar sua presença em todo o país. A organização determinou que ela continuaria a
alcançar sua estratégia abrindo somente três escritórios e assumiria mais riscos do que o
almejado se ela abrisse sete ou mais escritórios. A organização, consequentemente, monitora
o desempenho e determina se a entidade abriu o número de escritórios previsto e como é o
desempenho desses novos escritórios. Se o crescimento estiver abaixo do planejado, a
organização pode precisar reavaliar a estratégia.
•Quais riscos estão ocorrendo que podem estar afetando o desempenho? A análise do
desempenho confirma se os riscos foram previamente identificados ou se riscos novos e
emergentes ocorreram. A organização também analisa se os atuais níveis de risco estão nos
limites de tolerância. Por exemplo, a análise do desempenho ajuda a confirmar que o risco de
atrasos devido a exigências adicionais de alvarás para construção ocorreu e afetou o número de
novos escritórios abertos, e se o número de escritórios a serem abertos está dentro da faixa de
desempenho aceitável.
•A entidade estava assumindo riscos suficientes para atingir sua meta? Quando uma
entidade não tiver cumprido sua meta, ela precisará determinar se isso aconteceu devido a
riscos que estavam impactando a consecução da meta ou se os riscos assumidos eram
insuficientes para prestar suporte ao alcance da meta. Usando o mesmo exemplo, supõe-se
que a entidade abra somente três escritórios. Nesse caso, a administração observa que as
equipes de planejamento e logística estão operando abaixo da capacidade e que outros recursos
reservados para prestar suporte à abertura de novos escritórios não foram utilizados. A
entidade assumiu riscos insuficientes, apesar de ter alocado recursos.
•A estimativa da quantidade de riscos foi precisa? Quando o risco não tiver sido avaliado com
precisão, a organização se pergunta por quê. Para responder a essa pergunta, a organização
deve contestar o entendimento do contexto dos negócios e as premissas que serviram de base
para a avaliação inicial. Ela deve também determinar se informações novas que ajudariam a
aperfeiçoar a avaliação foram disponibilizadas. Por exemplo, suponha uma entidade que abra
cinco escritórios e observa que a quantidade de riscos estimada estava muito baixa em
comparação com os tipos e a quantidade de riscos que ocorreram (por exemplo, mais
problemas, atrasos, e eventos inesperados do que inicialmente previsto).
Se uma organização determina que o desempenho não se enquadra em sua variação aceitável ou
que o desempenho almejado resulta em um perfil de risco diferente do esperado, ela poderá
precisar:
•Avaliar os objetivos de negócio: Uma organização pode escolher mudar ou abandonar um

objetivo de negócio se o desempenho da entidade não tiver sido alcançado dentro da variação
aceitável.
•Avaliar a estratégia: Caso o desempenho da entidade resulte em um desvio substancial do perfil

de risco previsto, a organização pode escolher reavaliar sua estratégia. Neese caso, ela pode
optar por reconsiderar estratégias alternativas avaliadas anteriormente ou por identificar novas
estratégias.
•Avaliar a cultura: Uma organização pode querer analisar a cultura e estipular se está adotando
as medidas de uma maneira consciente dos riscos. A organização sente-se confortável em
assumir riscos suficientes para ser bem-sucedida ou tem a tendência de assumir uma
quantidade exagerada de riscos e enfrentar resultados negativos?
•Analisar o desempenho almejado: Uma organização pode optar por revisar o nível do
desempenho almejado para refletir um entendimento melhor da razoabilidade dos potenciais
resultados do desempenho e a gravidade correspondente dos riscos para o objetivo de negócio.
•Reavaliar a gravidade dos resultados de risco: Uma organização pode realizar novamente a
avaliação de riscos enfocando aqueles que sejam relevantes, e os resultados poderão mudar
com base nas mudanças ocorridas no contexto dos negócios, na disponibilidade de novos
dados ou informações que permitam uma avaliação mais precisa ou nas contestações das
premissas que serviram de base para a avaliação inicial.
•Avaliar como os riscos são priorizados: Uma organização pode aproveitar a oportunidade para
aumentar ou diminuir a prioridade dos riscos identificados para prestar suporte à realocação de
recursos. A mudança reflete uma avaliação revisada dos critérios de priorização previamente
aplicados.
•Analisar as respostas ao risco: Uma organização pode considerar alterar ou adicionar repostas
para alinhar o risco com o desempenho almejado e com o seu perfil de risco. No caso de
riscos que são reduzidos em termos de gravidade, a organização poderá transferir recursos para
outros riscos ou objetivos de negócio. No caso de riscos que aumentam em termos de
gravidade, a organização poderá reforçar as respostas com processos, profissionais,
infraestrutura ou outros recursos adicionais. Como parte da análise das respostas aos riscos, a
organização poderá também considerar o monitoramento de atividades desenvolvidas e
implementadas como parte dos controles internos.26
•Analisar o apetite a riscos: Medidas corretivas são geralmente tomadas para manter ou restaurar
o alinhamento entre o perfil de risco e o apetite a riscos da entidade, podendo também
estender-se ao processo de revisão. No entanto, essa medida requer avaliação e aprovação do
conselho ou de outro órgão de supervisão de riscos.
A extensão de quaisquer medidas corretivas deve estar alinhada à magnitude do desvio no

desempenho, à importância do objetivo de negócio e aos custos e aos benefícios associados à
alteração das respostas ao risco. Considere, por exemplo, um varejista de pequeno porte que
adquire uma parte significativa de seus estoques de produtores locais. O varejista monitora os
resultados financeiros de sua loja semanalmente e percebe que as mercadorias produzidas
localmente não são suficientemente lucrativas para atender às suas metas financeiras. Ela então
decide revisar seu objetivo de negócio que consiste em adquirir produtos localmente e começa a
importar mercadorias menos caras para aprimorar seu desempenho financeiro. O varejista então
reconhece que essa mudança pode afetar outros riscos, como os de logística, flutuações cambiais
e tempo para lançamento no mercado.
Quando o monitoramento feito reiteradamente identifica novos riscos que não foram
identificados por meio das práticas de identificação de riscos da organização ou quando o risco
real for inconsistente com as classificações de gravidade, a administração deverá determinar se
uma avaliação das práticas de gerenciamento de riscos corporativos se faz necessária. Uma
discussão mais detalhada sobre a análise das práticas de avaliação de riscos pode ser encontrada
no Princípio 17.
Considerando as Competências da Entidade

Parte do monitoramento do desempenho é avaliar as competências da organização e seu efeito
sobre o desempenho. Se as metas de desempenho não estiverem sendo atingidas, o motivo disso
seriam competências insuficientes? Se as metas estiverem sendo ultrapassadas, o motivo disso
seria a necessidade de uma medida corretiva? A organização deve responder a essas perguntas.
Uma medida corretiva pode incluir a realocação de recursos, a análise dos objetivos de negócio
ou a exploração de estratégias alternativas (veja o Exemplo 9.1).
Exemplo 9.1: Análise das Competências da Entidade
No caso de um governo local, a economia é consideravelmente respaldada pelo turismo. Os

funcionários do governo da cidade entendem os níveis de turismo mínimos, almejados e
máximos necessários para respaldar seus objetivos financeiros. Especificamente
estipularam quanta receita pode ser gerada pelo turismo de acordo com métricas como
reservas de hotel e taxas de ocupação. Eles constataram que um índice de ocupação de 50%
(que seria sua meta) proporciona à cidade a receita suficiente para respaldar seu orçamento
operacional anual e financiar outros programas. No entanto, uma taxa de ocupação maior do
que 85% aumenta os riscos relativos ao uso do sistema de transporte público, às solicitações
da presença de agentes de segurança e à pressão sobre os recursos naturais. A cidade detecta
os padrãos do turismo para tomar decisões conscientes dos riscos a respeito da
agressividade das suas futuras campanhas de marketing e a respeito do gerenciamento ativo
dos riscos influenciados pela atividade turística.
A capacidade de obtenção de recursos da entidade também influencia as decisões sobre medidas

corretivas. Para os objetivos de negócio que afetam a entidade como um todo, a organização
pode optar por revisar o objetivo, em vez de assumir os custos da aplicação de respostas ao risco
adicionais. Sempre que desvios significativos em relação à tolerância ocorrerem ou quando o
desempenho prejudicar a consecução da estratégia da entidade, a organização pode revisar a
estratégia.
26
Informações adicionais sobre as atividades de monitoramento são discutidas em Controles Internos – Estrutura Integrada.
espaço
Princípio 17: Busca Melhorias no Gerenciamento de

Riscos Corporativos
A organização busca melhorias no gerenciamento de riscos
corporativos.
Buscando Melhorias
Até as entidades com um gerenciamento de riscos corporativos adequado podem ser ainda mais
eficientes. Ao incorporarem avaliações contínuas às práticas de negócio, as organizações podem
identificar sistematicamente potenciais melhorias no gerenciamento de riscos corporativos.
Avaliações separadas também podem ser úteis.27 A busca de um melhor gerenciamento de riscos
corporativos deve ocorrer na entidade como um todo (veja o Exemplo 9.2).
Exemplo 9.2: Aprimoramento contínuo
Uma agência governamental aprender que têm práticas mais robustas para o
estabelecimento e a implantação de competências de governança e para a incorporação da
cultura desejada. De maneira alternativa, as práticas da organização de estabelecer e
implementar competências de informação e comunicação apresentam oportunidades de
melhoria. Embora a administração monitore as oportunidades de melhoria para todos os
componentes do gerenciamento de riscos corporativos, ela enfica o desenvolvimento das
práticas de informação e comunicação;
A administração busca melhorias contínuas por toda a entidade (áreas, unidades operacionais e
divisões) para aumentar a eficiência e a utilidade do gerenciamento de riscos corporativos em
todos os níveis. As oportunidades de reavaliar e aumentar a eficiência e a utilidade podem
ocorrer em qualquer uma das seguintes áreas:
•Nova tecnologia: Uma nova tecnologia pode oferecer uma oportunidade de aumentar a
eficiência. Por exemplo, uma entidade que utiliza dados de satisfação dos clientes acha que
eles são volumosos para serem processados. Para aumentar a eficiência, ela implementa uma
nova tecnologia de coleta de dados que indica os pontos-chave dos dados de modo rápido e
preciso.
•Deficiências históricas: O monitoramento pode identificar deficiências históricas ou as causas

de falhas anteriores, e essas informações podem ser utilizadas para aprimorar o gerenciamento
de riscos corporativos. Por exemplo, a administração de uma entidade observa que foram
observadas deficiências ao longo do tempo em relação a avaliações de riscos. Embora a
administração tenha compensado essas deficiências, a organização decide aprimorar suas
práticas de avaliação de riscos para reduzir o número de deficiências e aperfeiçoar o
Mudança organizacional: Ao buscar um aprimoramento contínuo, a organização pode identificar

a necessidade de mudanças organizacionais, como uma mudança no modelo de governança.
Por exemplo, a área de gerenciamento de riscos corporativos prestava contas diretamente ao
diretor financeiro (CFO), mas, quando a entidade reorganizou seu grupo estratégico, ela
decidiu realinhar a responsabilidade pelo gerenciamento de riscos corporativos com esse grupo
que foi reorganizado.
•Apetite a riscos: A análise do desempenho esclarece os fatores que afetam o apetite a riscos da
entidade. Ela também proporciona à administração a oportunidade de aprimorar seu apetite a
riscos. Por exemplo, a administração pode monitorar o desempenho de um novo produto
dentro de um período de um ano e avaliar a volatilidade do mercado. Se a administração
determinar que o mercado está demonstrando um bom desempenho e uma volatilidade menor
do que a prevista inicialmente, a organização poderá responder aumentando seu apetite a
riscos para iniciativas semelhantes futuras.
•Categorias de Risco: Uma organização que busca por melhorias continuamente pode identificar
padrões à medida que os negócios passam por mudanças, o que pode fazer com que ela revise
suas categorias de risco. Por exemplo, as categorias de risco de uma entidade não incluem
riscos cibernéticos, mas, agora que a entidade decidiu oferecer vários produtos e serviços on-
line, ela está revisando as categorias para incluir riscos cibernéticos permitindo, assim, um
mapeamento preciso da estratégia.
•Comunicações: A análise do desempenho pode identificar os processos de comunicação que

estão desatualizados ou funcionando de modo insatisfatório. Por exemplo, ao monitorar o
desempenho, uma organização descobre que os e-mails não estão tendo êxito em comunicar
suas iniciativas. Em resposta a isso, a organização decide dar destaque às suas iniciativas por
meio de um blog e um feed de mensagens instantâneas para atrair sua força de trabalho em
constante transformação.
•Comparação de pares: A análise das outras empresas que atuam no mesmo segmento pode
ajudar a organização a determinar se ela está operando fora dos limites do desempenho
setorial. Por exemplo, uma prestadora global de serviços de entrega de encomendas descobriu
durante um processo de avaliação e comparação com outras empresas do mesmo setor que
suas operações na Ásia apresentavam um desempenho significativamente abaixo do
desempenho da sua maior concorrente. Por conseguinte, ela está planejando avaliar e, se
necessário, revisar sua estratégia para aumentar sua competitividade e, consequentemente, seu
desempenho na Ásia.
•Índice da Mudança: A administração considera o índice de evolução ou mudança do contexto

de negócio. Por exemplo, uma entidade em um setor onde a tecnologia está mudando
rapidamente ou onde a mudança organizacional ocorre com frequência pode ter oportunidades
mais recorrentes para aumentar a eficiência e a utilidade do gerenciamento de riscos
corporativos, mas uma entidade que atua em um setor com um ritmo menor de mudanças na
tecnologia provavelmente terá menos oportunidades.
27
Os leitores poderão também querer analisar a discussão sobre as atividades de monitoramento em Controles Internos –
Estrutura Integrada.
espaço
Princípio 18: Alavanca a Informação e a Tecnologia
A organização utiliza ao máximo os sistemas de informação e de

tecnologia da entidade para prestar suporte ao gerenciamento de
riscos corporativos.
Colocando as Informações Relevantes em Uso

As organizações utilizam ao máximo as informações relevantes quando colocam em prática o
gerenciamento de riscos corporativos. "Informações relevantes" são simplesmente informações
que ajudam as organizações a ser mais ágeis em sua tomada de decisões, o que lhes proporciona
uma vantagem competitiva. As organizações utilizam as informações para prever situações que
possam atrapalhar a consecução da estratégia e dos objetivos de negócio. As informações de
risco são mais do que um repositório de dados históricos sobre o risco. Elas precisam respaldar o
entendimento e a elaboração de um perfil de risco completo atual e em evolução.
As organizações analisam quais informações estão disponíveis para a administração, quais

sistemas e tecnologia de informação estão sendo utilizados para capturar as informações (que
podem ser mais do que o realmente necessário) e o custo da obtenção de tais informações. A
administração e outros funcionários podem então identificar como as informações respaldam as
práticas de gerenciamento de riscos corporativos, as quais podem incluir o seguinte:
• Para as práticas de governança e relacionadas à cultura, a organização pode precisar de

informações sobre as normas de conduta e sobre o desempenho individual em relação àquelas
normas. Por exemplo, empresas de serviços profissionais têm normas de conduta específicas
para ajudá-las a manter relacionamentos independentes com clientes. O treinamento anual dos
funcionários reforça essas normas, e a administração coleta informações testando o
conhecimento dos funcionários para estipular se entendem o que se espera deles.
• Relativamente às práticas de definição dos objetivos e da estratégia, a organização pode

precisar de informações sobre as expectativas das partes interessadas a respeito do apetite a
riscos. As partes interessadas, como os investidores e os clientes, podem demonstrar suas
expectativas por meio de conference calls com analistas, publicações em blogs, termos e
condições contratuais etc. Esses meios proporcionam informações relevantes sobre os tipos e
a quantidade de riscos que uma entidade está disposta a aceitar e a estratégia que ela busca.
• Relativamente às práticas relacionadas ao desempenho, as organizações podem precisar de

informações sobre os concorrentes para avaliar as mudanças na quantidade de riscos. Por
exemplo, uma grande imobiliária residencial pode avaliar o risco de perder participação de
mercado para empresas menores que prestam serviços especializados nesse segmento. As
informações de que precisam são os modelos de cálculo da comissão dos concorrentes e
planos de marketing online. Caso as taxas de comissão dos concorrentes sejam baixas e
agressivas, e sua presença online seja difundida, a empresa grande poderá reavaliar sua
capacidade de atingir as metas de vendas.
• Relativamente às práticas de análise e de revisão, as organizações poderão precisar de

informações sobre as tendências emergentes no gerenciamento de riscos corporativos. Elas
podem coletar informações relevantes por meio de participação em conferências sobre
gerenciamento de riscos corporativos e monitoramento de blogs específicos do setor.
A velocidade na qual os dados são gerados é tão alta que geralmente é um desafio para a
administração processar esses dados e transformá-los em informações úteis. Os sistemas de
informação podem ajudar as entidades a enfrentar esse desafio. No entanto, o foco não deve ser
na criação de sistemas de informação novos e separados ou mesmo de fluxos separados para o
gerenciamento de riscos corporativos. É normalmente mais eficiente para uma organização
alavancar os sistemas de informação existentes para capturar o que for necessário para o
entendimento do risco, para tomar decisões conscientes do risco e para atender às exigências de
Para serem úteis, as informações devem estar disponíveis aos tomadores de decisão quando for
necessário. É também crucial que as informações sejam de alta qualidade. Caso os dados
subjacentes sejam imprecisos ou incompletos, a administração pode não ser capaz de fazer
julgamentos ou estimativas razoáveis nem tomar decisões acertadas.28 Para manter informações
de alta qualidade, as organizações implementam sistemas de gerenciamento de dados e
estabelecem políticas de gerenciamento das informações com responsabilidades e
responsabilizações claras.
Informações em Evolução
Os dados transformados em informações podem originar-se tanto de fontes estruturadas quanto
de fontes não estruturadas. Os dados estruturados normalmente referem-se a informações que são
altamente organizadas e que podem ser buscadas imediatamente (por exemplo, arquivos de bases
de dados, índices públicos ou planilhas). Ao contrário, dados não estruturados não seguem um
padrão pré-definido, nem são organizados (por exemplo, mensagens de e-mail, fotos, vídeos,
documentos de processamento de textos). Várias pesquisas estimaram que hoje os dados não
estruturados ultrapassam os dados estruturados em mais de 80%.
Historicamente a análise de dados dependeu de padrões pré-definidos para a conversão dos

dados em informações. Agora, avanços na computação cognitiva, tais como a inteligência
artificial,29 data mining e a aprendizagem por máquinas conseguem coletar, converter e analisar
grandes volumes de dados não estruturados, transformando-os em informações que ajudam as
organizações a tomar melhores decisões de negócio. Esses avanços, juntamente com a análise
humana, permitem à administração ter maiores insights. O Exemplo 10.1 ilustra a aplicação das
informações não estruturadas.
Exemplo 10.1: A Utilização de Informações não Estruturadas para a Tomada de Decisões
Um varejista que atua no mercado de consumo utiliza a inteligência artificial para obter
mais informações sobre como melhorar a experiência do cliente. Dessa maneira, a
administração consegue obter insights sobre os consumidores por meio das mídias sociais,
tais como os hábitos de compra, incluindo os padrões e preferências históricos. Os insights
podem ser utilizados para diminuir o risco de falta ou excesso de estoques, já que eles
proporcionam à administração uma visão melhor dos níveis corretos de estoque. Esse
gerenciamento aprimorado dos estoques reduz os custos operacionais e com recursos,
melhorando a experiência do cliente.
Em suma, os avanços na análise de dados podem ajudar as organizações a evitar o “excesso de

informações” e utilizar a grande quantidade de dados agora disponível para seu proveito. Elas
podem conseguir detectar correlações no desempenho de negócios que não são imediatamente
óbvias com uma abordagem mais tradicional à análise de dados. Ou elas podem conseguir
identificar as tendências prováveis de desempenho mais cedo. Eles podem mesmo ser capazes de
avaliar detalhadamente as premissas-chave incorporadas à estratégia, as quais por sua vez
fornecem insights adicionais sobre decisões a respeito de estratégias alternativas, de objetivos de
negócio e da definição de metas de desempenho. Com mais informações relativas à tomada de
decisões, a organização diminui a dependência da experiência e do julgamento individuais para
tomar aquelas decisões.
Fontes de Dados
Os dados transformados em informações tornam-se conhecimento (por exemplo, a análise de
comentários postados nas mídias sociais detecta possíveis riscos à marca da entidade). Assim, as
exigências de dados devem ser baseadas nas exigências de informações. O Exemplo 10.2 ilustra
como a empresa estipula que precisa de dados para fornecer informações de compliance a uma
parte interessada externa.
Exemplo 10.2: A Determinação das Exigências de Informação
A estratégia de uma empresa farmacêutica é expandir sua participação de mercado

desenvolvendo um novo medicamento direcionado a uma população específica. Para que
seu produto novo seja aprovado a organização deve fornecer aos órgãos reguladores
informações que atendam a requisitos de compliance específicos, tais como conclusões
acerca da segurança do medicamento. Essas conclusões baseiam-se em vários dados, como
perfil demográfico da população submetida ao teste, quantidade de efeitos colaterais,
duração dos estudos e tipo de aplicação. Os dados são capturados a partir do feedback de
pacientes internos e por meio do monitoramento das conversas nas mídias sociais.
Os dados podem ser coletados de várias fontes e de diversas formas. A Figura 10.1 relaciona
exemplos de dados estruturados e não estruturados.
Figura 10.1: Fontes de Dados Internos
Fontes Exemplos de Dados Estruturados Não

Estruturados
Reuniões do conselho e da Ata das reuniões e observações sobre as 

administração possíveis transações
Pesquisa de satisfação do Feedback de clientes prioritários sobre as  

cliente interações com os funcionários
Atividades de due O número de funcionários aumenta e 

diligence diminui devido a acordos de
reestruturação
Email Informações sobre a tomada de decisões 

e sobre o desempenho da entidade
Relatórios e estudos Mudanças populacionais nos mercados 

geopolíticos produzidos emergentes
pelo governo
Relatórios do fabricante Interesse emergente nos produtos 

enviados de um concorrente
Relatórios de marketing Número de visitas ao website, duração 

de serviços de em uma página e conversão para
rastreamento de websites compras de clientes
Metadados Detalhes sobre o conteúdo dos arquivos  

de vídeo, incluindo detalhes técnicos e
descrições dos textos das cenas
Índices públicos Dados do índice de escassez de água para 

um fabricante de bebidas ou uma
empresa agrícola considerando novos
locais
Mídias sociais e blogs Feedback e contagem de comentários  

positivos e negativos a respeito do novo
produto de uma empresa
Categorizando as Informações de Risco
As organizações podem classificar as informações que elas captam utilizando categorias de
riscos comuns.30 Essas categorias podem ser organizadas por áreas funcionais, tais como
auditoria interna, gerenciamento de informações ou gerenciamento dos riscos operacionais. Elas
também podem basear-se no tamanho, escala e complexidade da entidade.
A utilização de um conjunto comum de categorias ajuda as organizações a agregar informações

de risco para determinar se há algum possível impacto das concentrações de risco na entidade.
Tal estrutura de categorias também as ajuda a avaliar os riscos que afetam a estratégia e os
objetivos de negócio da entidade. Além disso, serve como base para a elaboração de respostas
consistentes ao risco corporativo e para a elaboração e apresentação de informações.
Gerenciando de Dados
Os dados devem ser bem gerenciados para proporcionar as informações corretas e respaldar
decisões conscientes dos riscos. Isso exige a obtenção e a preservação da qualidade dos dados e
ao mesmo tempo a permissão que diferentes tecnologias troquem e usem esses dados. O
gerenciamento de dados eficaz considera três elementos-chave: governança dos dados e das
informações, processos e controles e arquitetura.
•A governança dos dados e das informações ajuda a disponibilizar dados padronizados e de alta
qualidade aos usuários finais de modo tempestivo, verificável e seguro. A governança
também ajuda a padronizar a arquitetura de dados, autorizar normas, atribuir responsabilidades
e manter a qualidade. Além disso, ela define funções e responsabilidades claras para os
responsáveis pelos dados e pelas informações sobre riscos.
•Os processos e controles ajudam a entidade a reforçar a confiabilidade dos dados, permitindo
correções conforme necessário. Por exemplo, as organizações podem ter um processo para
identificar exemplos e padrões de dados tanto de baixa quanto de alta qualidade, e se os dados
são relevantes para atender às exigências. Ou podem ser capazes de identificar a consistência,
a redundância, a disponibilidade e a precisão dos dados. No entanto, o gerenciamento de dados
requer mais do que o simples uso de processos e controles para garantir sua qualidade. Ele
inclui também evitar primeiramente que problemas de qualidade ocorram.
•A arquitetura de gerenciamento de dados refere-se ao desenho básico da tecnologia. Ela é

composta de modelos, políticas, regras ou normas que estabelecem quais dados são coletados e
como eles são armazenados, organizados, integrados e disponibilizados para uso nos sistemas
e na organização. As organizações implementam normas e estabelecem regras para estruturar
as informações de forma que os dados possam ser lidos, ordenados, indexados, recuperados e
compartilhados com as partes interessadas internas e externas de modo confiável e garantindo
ao final a proteção do seu valor de longo prazo.
Utilizando a Tecnologia para Suportar a Informação
A tecnologia está frequentemente associada aos sistemas de informação. Por outro lado, a
tecnologia normalmente implica mais do que processar, elabora e apresentar dados; ela também
pode ajudar a organização a realizar suas atividades. A robótica utilizada na manufatura, os
aplicativos smart que gerenciam o uso da energia em prédios comerciais e residenciais e os
dispositivos eletrônicos que podem ser implantados no corpo ou utilizados como acessórios
(wearables) são exemplos de como a tecnologia pode ajudar a organização a gerenciar riscos
específicos. O Exemplo 10.3 ilustra como a tecnologia está ajudando tanto a gerenciar o risco
quanto a capturar as informações que ajudam na tomada de decisões.
Exemplo 10.3: Sistemas de Informação
Foi proposto o desafio a uma organização que atua no ramo de saúde de encontrar maneiras
de reduzir os casos de idosos que esquecem de tomar o remédio receitado. Deixar de tomar
uma dose pode reduzir os benefícios do medicamento e aumentar os riscos à saúde do
paciente. Como resposta, a empresa distribuiu wearables aos pacientes que identificam
quando o idoso deixa de tomar o remédio e monitoram a saúde geral de cada paciente. As
informações são relatadas ao prestador de serviços de saúde.
No entanto, a tecnologia pode também colocar novos riscos para a entidade, o que pode afetar
muito a consecução da estratégia e dos objetivos de negócio. A decisão sobre qual tecnologia
deve ser implementada depende de vários fatores, incluindo metas organizacionais, necessidades
do mercado, requisitos competitivos e custos e benefícios associados. Uma organização usa
esses fatores para equilibrar os benefícios da obtenção e do gerenciamento de informações e os
custos da seleção ou do desenvolvimento de tecnologias de suporte.
Mudanças Requeridas
A administração utiliza e elabora sua tecnologia para atender a uma ampla gama de requisitos,
incluindo aqueles decorrentes de mudanças internas e externas. À medida que as entidades
respondem às mudanças no contexto de negócios em que operam e adaptam sua estratégia e seus
objetivos de negócio, elas devem também avaliar suas tecnologias. Por exemplo, as expectativas
em constante mudança por parte dos clientes podem exigir que as organizações mudem a
tecnologia de forma que as informações sejam coletadas de modo mais tempestivo e os
comentários em mídias sociais monitorados de forma mais ativa.
28
Discussões adicionais sobre a qualidade das informações estão disponíveis em Controles Internos – Estrutura Integrada,
especificamente no Princípio 13.
29
A inteligência artificial pode ser definida como a teoria e o desenvolvimento de sistemas computacionais que realizam tarefas
que normalmente exigiriam a inteligência humana, tais como reconhecimento de voz, tomada de decisões, percepção visual e
outros fatores.
30
Algumas organizações referem-se a essas categorias de riscos comuns como “taxonomia de riscos.”
espaço
Princípio 19: Comunica Informações sobre Riscos
A organização usa canais de comunicação para prestar suporte ao

Comunicação com as Partes Interessadas

Vários canais estão disponíveis para que a organização comunique os dados e as informações
sobre os riscos para as partes interessadas internas e externas. Esses canais permitem que as
organizações proporcionem informações relevantes a serem utilizadas na tomada de decisões.
Internamente, a administração comunica a estratégia e os objetivos de negócio da entidade de

modo claro à organização como um todo para que os profissionais em todos os níveis entendam
sua função individual. Especificamente, os canais de comunicação permitem que a
administração transmita:
• A importância, a relevância e o valor do gerenciamento de riscos corporativos.
• As características, os comportamentos almejados e os valores principais que definem a cultura

da entidade.
• A estratégia e os objetivos de negócio da entidade.
• O apetite pelo risco e a tolerância ao risco.
• As expectativas gerais da administração e dos profissionais em relação ao gerenciamento de

riscos e de desempenho corporativos.
• As expectativas da organização em relação a quaisquer questões importantes relativas ao

gerenciamento de riscos corporativos, incluindo casos de deficiências, deterioração ou falta de
adesão.
A administração também comunica as informações sobre a estratégia e os objetivos de negócio

da entidade às partes interessadas e a outras partes externas. O gerenciamento de riscos
corporativos é um tópico-chave nessas comunicações para que as partes interessadas externas
não somente entendam o desempenho em relação à estratégia da entidade, mas também as
medidas tomadas de forma consciente para concretizá-la. A comunicação externa pode incluir a
realização trimestral de reuniões com analistas para discussões sobre desempenho.
Uma entidade com canais de comunicação aberta pode também estar na extremidade receptora
de informações das partes interessadas externas. Por exemplo, os clientes e os fornecedores
podem fornecer inputs sobre a elaboração ou a qualidade de produtos ou serviços, permitindo
que a organização aborde as demandas ou as preferências em constante evolução do consumidor.
As consultas de grupos ambientais sobre as abordagens de sustentabilidade podem fornecer à
organização insights sobre as principais abordagens ou identificar potenciais riscos à sua
reputação. Essas informações podem ser recebidas por meio de comunicações via e-mail, fóruns
públicos, blogs, disque- denúncia e outros canais.
Comunicação com o Conselho

A comunicação efetiva entre o conselho de administração e a administração é essencial para as
organizações concretizarem a estratégia, alcançarem os objetivos de negócio e aproveitarem as
oportunidades dentro do ambiente de negócios. A comunicação dos riscos começa com a
definição clara das responsabilidades pelos riscos: quem precisa saber o que e quando eles
devem agir. As organizações devem examinar sua estrutura de governança de riscos para
garantir que as responsabilidades sejam claramente atribuídas e definidas nos níveis do conselho
e da administração e que a estrutura preste suporte ao diálogo sobre os riscos almejado. A
responsabilidade do conselho é supervisionar e garantir que medidas apropriadas estejam em
vigor para que a administração possa identificar, avaliar e priorizar os riscos e responder a eles
(veja o Exemplo 10.4).
Exemplo 10.4: Comunicação com o Conselho
Uma empresa que tem como objetivo aprimorar sua comunicação sobre riscos optou por
revisar sua estrutura de governança elevando o cargo de seu diretor de riscos para garantir
que eles fossem integrados a todas as discussões sobre a estratégia de negócios. As
questões envolvendo riscos agora são discutidas por todo o conselho. A empresa constatou
que remover os riscos do comitê do conselho e incorporar responsabilidades pelo
gerenciamento de riscos corporativos à equipe de administração integraram melhor as
discussões sobre riscos e sobre a estratégia e tornaram os riscos mais claros.
Para uma comunicação eficaz, o conselho de administração e a administração devem ter um

entendimento compartilhado dos riscos e de seu relacionamento com a estratégia e com os
objetivos de negócio. Além disso, os diretores precisam desenvolver um entendimento em
profundidade sobre o negócio, os fatores que influenciam o valor e os custos, a estratégia e os
riscos associados. Muitos membros do conselho usam visitas ao local de trabalho como um
canal de comunicação para interagir com a administração e com os profissionais e entender as
operações e o gerenciamento.
O conselho e a administração discutem continuamente sobre o apetite a riscos. Como parte de

sua função de supervisão, o conselho garante que as comunicações referentes ao apetite a riscos
permaneçam abertas. Ele pode fazer isso realizando reuniões de conselho trimestrais formais
trimestralmente e convocando reuniões extraordinárias para abordar eventos específicos, como o
terrorismo cibernético, a sucessão do CEO ou as fusões. O conselho e a administração podem
usar a declaração de apetite a riscos como critério, permitindo assim que eles identifiquem
aqueles riscos que estão de acordo com a estratégia ou destoam dela, monitorem o perfil de risco
da entidade e acompanhem a eficácia dos programas de gerenciamento de riscos corporativos.
Dado o forte vínculo com a estratégia, a declaração de apetite a riscos deve ser avaliada à medida
que a estratégia e os objetivos de negócio evoluírem.
A administração fornece quaisquer informações que podem auxiliar o conselho a cumprir suas
responsabilidades pela supervisão dos riscos. Não existe um único método correto de
comunicação com o conselho, mas a relação a seguir apresenta algumas abordagens comuns:
• Abordar os riscos conforme determinado pela estratégia e pelos objetivos de negócio da

entidade.
• Capturar e alinhar as informações em um nível que seja consistente com as responsabilidades

dos diretores pela supervisão dos riscos e com o nível de informações que o conselho
determinou necessário.
• Garantir que os relatórios apresentem o perfil de risco da entidade conforme alinhado com sua
declaração de apetite a riscos e vinculem as informações de riscos comunicadas às políticas de
exposição e de tolerâncias.
• Obter exemplos em que os níveis atuais de desempenho aproximam-se da tolerância da

variação aceitável no desempenho e dos planos que estão sendo executados para gerenciar o
desempenho.
• Oferecer uma perspectiva longitudinal das exposições ao risco, incluindo dados históricos,
explicações sobre as tendências e informações prospectivas explicadas em relação às posições
atuais.
• Atualizar com uma frequência que seja consistente com o ritmo de evolução e o nível de
gravidade dos riscos.
• Usar modelos padronizados para prestar suporte a uma apresentação e a uma estrutura de
informações sobre os riscos que sejam consistentes ao longo do tempo.
A administração não deve subestimar a relevância das comunicações qualitativas abertas com o
conselho. Um diálogo dinâmico e construtivo sobre riscos deve existir entre a administração e o
conselho, incluindo uma disposição para contestar quaisquer premissas que servem de base para
a estratégia e para os objetivos de negócio da entidade. Os conselhos podem fomentar um
ambiente onde a administração se sinta confortável em apresentar as informações sobre os riscos
para o conselho mesmo que ela ainda não possua uma resposta definida para o risco que esteja
sendo planejada ou já esteja sendo executada. A administração pode sentir-se desconfortável em
discutir riscos emergentes com o conselho quando o nível de gravidade desses riscos também for
ambíguo. Ao estar aberto a conversas que ainda não apresentem uma solução final, o conselho
pode estimular a administração a estabelecer um diálogo mais tempestivo e esclarecedor, em vez
de esperar que esses riscos evoluam dentro da entidade.
Métodos de Comunicação
Para que as informações sejam recebidas conforme pretendido, elas devem ser comunicadas de
modo claro. Para terem certeza de que os métodos de comunicação estão funcionando, as
organizações devem avaliá-los periodicamente. Isso pode ser feito por meio de processos
existentes, tais como o estabelecimento das expectativas para o gerenciamento de riscos
corporativos nas metas de desempenho dos funcionários e as avaliações posteriores de
desempenho realizadas periodicamente.
Os métodos variam muito, desde reuniões presenciais e publicações de mensagens na intranet da

entidade até anúncios de novos produtos em convenções setoriais e transmissões globais a
acionistas por meio de mídias sociais e de boletins informativos eletrônicos.
Os métodos de comunicação podem assumir a seguinte forma:
•Mensagens eletrônicas (p.ex., e-mails, mídias sociais, mensagens de texto, mensagens

instantâneas).
•Materiais externos/de terceiros (p.ex., publicações setoriais, comerciais e profissionais,

relatórios da mídia, sites de empresas que atuam no mesmo setor, índices-chave internos e
externos).
•Comunicações informais/verbais (p.ex., discussões e entrevistas individuais).
•Eventos públicos (p.ex., roadshows, reuniões abertas ao público, conferências

setoriais/técnicas).
•Treinamentos e seminários (p.ex., treinamentos presenciais ou on-line, webcasts e outras formas

de vídeo e workshops).
•Documentos internos escritos (p.ex., documentos de briefing, painéis, avaliações de

desempenho, apresentações, questionários e pesquisas, políticas e procedimentos, FAQs).
Além da lista acima, linhas de comunicação à parte serão necessárias quando os canais normais
estiverem inoperantes ou forem insuficientes para comunicar questões que exigem uma maior
atenção. Muitas organizações disponibilizam uma forma de comunicar-se de modo anônimo
com o conselho de administração ou com um representante do conselho — como um canal de
denúncias. Muitas organizações estabelecem também protocolos e políticas de escalonamento
visando a facilitar a comunicação quando existem exceções em normas de conduta ou
comportamentos inapropriados ocorrendo.
espaço
Princípio 20: Elabora Reportes
A organização elabora e apresenta informações sobre riscos, cultura

e desempenho em diversos níveis e por toda a entidade.
Identificando os Usuários do Relatório e de suas Funções

A elaboração e apresentação de informações presta suporte aos profissionais em todos os níveis
para o entendimento das relações entre risco, cultura e desempenho e para a melhoria da tomada
de decisões na definição dos objetivos e da estratégia, na governança e nas operações do dia a
dia. Os requisitos de elaboração e apresentação de informações dependem das necessidades do
usuário do relatório. Os usuários do relatório podem incluir:
• A administração e o conselho de administração com responsabilidades pela governança e pela

supervisão da entidade.
• Os responsáveis pelo gerenciamento de riscos encarregados do gerenciamento eficaz dos riscos

identificados.
• Aqueles que fornecem asseguração e procuram insights sobre o desempenho da entidade e a

eficácia das respostas ao risco.
• Partes interessadas externas (órgãos reguladores, agências de classificação, grupos de

comunidade, entre outros).
• Outras partes que requerem a elaboração e apresentação de informações sobre riscos para que
sejam capazes de cumprir suas funções e responsabilidades.
É importante também entender as estruturas operacionais e de governança dos respectivos

usuários dos relatórios. Cada usuário do relatório exigirá diferentes níveis de detalhes das
informações sobre o desempenho e o risco para que cumpram suas responsabilidades na
entidade. A elaboração e apresentação de informações também deve tornar as inter-relações
entre os usuários mais claras, bem como o respectivo efeito destas por toda a entidade.
As informações sobre os riscos apresentadas em diferentes níveis são comunicadas a todos os

níveis da entidade e circulam para prestar suporte a níveis mais elevados de elaboração e
apresentação de informações. Por exemplo, os relatórios preparados para o conselho prestam
suporte à tomada de decisões em relação ao apetite a riscos e à estratégia da empresa. Os
relatórios da alta administração apresentam um nível mais minucioso e prestam suporte a
decisões acerca do estabelecimento da estratégia e da preparação do orçamento, bem como a
decisões nos níveis de divisão ou de área. O próximo nível de elaboração e apresentação de
informações é ainda mais minucioso e presta suporte aos líderes das divisões e áreas no
planejamento, na preparação do orçamento e nas operações do dia a dia. Esse nível de
elaboração e apresentação de informações deve estar alinhado com os níveis de elaboração e
apresentação de informações da alta administração e do conselho. Em níveis mais elevados, a
elaboração e apresentação de informações sobre riscos inclui a visão do portfolio.
A elaboração e apresentação de informações sobre os riscos pode ser feita por qualquer equipe
dentro da estrutura operacional. As equipes preparam relatórios, divulgando informações de
acordo com suas responsabilidades pelo gerenciamento dos riscos. Por exemplo, as equipes
prepararão as informações sobre os riscos como parte da apresentação do planejamento
financeiro e da preparação do orçamento visando a prestar suporte a pedidos de recursos
adicionais para manter o perfil de risco ou evitar que este se deteriore.
Atributos do Reporte
A elaboração e apresentação de informações reúne informações quantitativas e qualitativas sobre
os riscos, e a apresentação pode variar de bastante simples a mais complexa, dependendo do
porte, do escopo e da complexidade da entidade. As informações sobre os riscos prestam suporte
à administração nas tomadas de decisões, muito embora a administração precise ainda realizar
julgamentos na busca pelos objetivos de negócio e no contexto empresarial.
Ao divulgar informações, o histórico pode transmitir informações significativas e úteis, mas a

ênfase em uma visão prospectiva é mais vantajosa. Ter conhecimento dos processos de ponta a
ponta adotados para concretizar a missão e a visão da entidade, bem como do ambiente de
negócios em que ela opera, pode ajudar a administração a conectar as informações históricas às
possíveis informações a respeito de alertas antecipados. A análise dos dados de um alerta
antecipado das tendências-chave, dos riscos emergentes e das mudanças principais em relação ao
desempenho pode requerer tanto informações internas como informações externas.
Tipos de Reporte
A elaboração e apresentação de informações sobre riscos podem incluir alguns dos itens a seguir
ou todos eles:
•A visão do portfolio de riscos descreve a gravidade dos riscos no nível da entidade que poderá
impactar a consecução da estratégia e dos objetivos de negócio da entidade. A elaboração e
apresentação de informações da visão do portfolio destaca as maiores ameaças para a entidade,
as interdependências entre riscos específicos e as oportunidades. A visão do portfolio de
riscos geralmente pode ser encontrada na elaboração e apresentação de informações da
administração e do conselho.
•A visão do perfil dos riscos, semelhante à visão de carteira, descreve a gravidade dos riscos, mas
enfoca diferentes níveis dentro da entidade. Por exemplo, o perfil de risco de uma divisão ou
de uma unidade operacional pode ser apresentado na elaboração e apresentação de
informações sobre riscos para a administração ou para certas áreas da entidade.
•A análise das causas-raiz permite que os usuários entendam as premissas e as mudanças que
serviram de base para as visões da carteira e do perfil dos riscos.
•A análise de sensibilidademede a sensibilidade das mudanças em premissas-chave incorporadas

à estratégia e o potencial impacto sobre a estratégia e os objetivos de negócio.
•A análise de riscos novos, emergentes e em constante mudança apresenta uma visão prospectiva
para prever as mudanças no universo de riscos, os efeitos sobre os requisitos e a alocação de
recursos e o desempenho previsto da entidade.
Os indicadores-chave e as medidas-chave de desempenho descrevem a tolerância e os potenciais

riscos associados à estratégia e aos objetivos de negócio da entidade.
•A análise de tendências mostra as movimentações e as mudanças na visão do portfolio dos

riscos, no perfil de risco e no desempenho da entidade.
A divulgação de incidentes, violações e prejuízos proporciona insights sobre a eficácia das

respostas ao risco.
•O monitoramento dos planos e das iniciativasde gerenciamento de riscos corporativos

proporciona um resumo do plano e das iniciativas referentes ao estabelecimento ou à
manutenção das práticas de gerenciamento de riscos corporativos. Investimentos em
recursos, bem como a urgência com a qual as iniciativas são concluídas, podem também
refletir o compromisso com o gerenciamento de riscos corporativos e com a cultura por parte
dos líderes organizacionais como forma de responder aos riscos.
A elaboração e apresentação de informações sobre os riscos é complementada por comentários e

análises de especialistas no assunto. Por exemplo, especialistas em compliance, em questões
jurídicas e em tecnologias geralmente apresentam comentários e análises sobre a gravidade do
risco, a eficácia das respostas ao risco, os fatores que influenciam mudanças em análises de
tendências e os avanços e as oportunidades setoriais que a entidade pode ter.
Reportes para o Conselho

No nível do conselho, é muito provável que existam tanto a elaboração e apresentação formais de
informações como o compartilhamento informal de informações. Por exemplo, o conselho pode
ter discussões informais sobre a possibilidade de uma estratégia e as implicações de estratégias
alternativas enquanto utiliza perfis de risco e outras análises para prestar suporte às discussões.
A elaboração e apresentação formais de informações desempenha uma função mais importante
quando o conselho exerce outras responsabilidades, o que pode incluir uma análise dos riscos
associados à execução da estratégia, uma avaliação do apetite a riscos ou a supervisão das
práticas de gerenciamento de riscos corporativos utilizadas pela administração.
Existem várias formas pelas quais a administração pode elaborar e apresentar informações para o
conselho, mas é essencial que o foco dessa elaboração e apresentação seja o vínculo entre a
estratégia, os objetivos de negócio, o risco e o desempenho. A elaboração e apresentação de
informações para o conselho é o nível mais elevado de elaboração e apresentação de informações
e inclui a visão do portfolio. A elaboração e apresentação de informações para o conselho deve
estimular discussões sobre o desempenho da entidade na consecução da sua estratégia e de seus
objetivos de negócio e o impacto de potenciais riscos associados à consecução desses objetivos.
Reporte e Cultura
A cultura de uma entidade é baseada em comportamento e em postura, e mensurá-los geralmente
consiste em uma tarefa bem complexa. A elaboração e apresentação de informações sobre a
cultura da entidade podem ser incorporadas a:
• Análises dos dados das tendências culturais.
• Processos para comparação de indicadores de desempenho com outras entidades ou normas.
• Esquemas de remuneração e a possível influência sobre a tomada de decisões.
• Análises das "lições aprendidas".
• Avaliações de tendências comportamentais.
• Pesquisas sobre posturas de risco e conscientização sobre os riscos.
Indicadores-chave
Os indicadores-chave são utilizados para prever a manifestação de um risco. Eles normalmente
são quantitativos, mas podem também ser qualitativos. Os indicadores-chave são comunicados
aos níveis da entidade que estiverem mais bem posicionados para gerenciar o desencadeamento
de um risco quando necessário. Eles devem ser comunicados juntamente com os indicadores-
chave de desempenho com o objetivo de demonstrar a inter-relação entre o risco e o
desempenho. Os indicadores-chave prestam suporte a uma abordagem proativa de gestão de
desempenho (veja o Exemplo 10.5).
Exemplo 10.5: Utilização dos Indicadores-Chave
Uma agência governamental quer reter os profissionais competentes. O objetivo de negócio

que presta suporte à retenção de indivíduos competentes tem como meta manter índices de
rotatividade abaixo de 5% por ano. Um indicador-chave seria um percentual de
profissionais que poderá se aposentar dentro de cinco anos. Qualquer índice mais alto do
que 5% indica que o risco associado à meta está potencialmente se manifestando. Um
indicador-chave de desempenho é o índice de rotatividade real. Os indicadores-chave de
desempenho baseiam-se no desempenho histórico, e embora o entendimento de tal
desempenho possa estabelecer uma referência, a tendência de alta do índice não
necessariamente identificaria a manifestação de um risco.
Os indicadores-chave de risco e os indicadores-chave de desempenho podem ser refletidos em

uma única medida. Por exemplo, em uma empresa de produção, o volume de produção e seus
patamares podem ser analisados do ponto de vista de riscos. O volume de produção acima da
meta pode ser considerado um risco potencial em termos de qualidade, já o volume de produção
abaixo da meta pode indicar um risco potencial em termos de atrasos dos fornecedores, escassez
de mão de obra ou tempo de inatividade dos equipamentos.
Os indicadores-chave são comunicados juntamente com as correspondentes metas e variações

aceitáveis. Saber a posição da entidade no espectro cultural independentemente do fato de ser
avessa a riscos ou agressiva em termos de riscos, ajudará a determinar os indicadores-chave e os
indicadores-chave de desempenho que são monitorados, bem como a variação aceitável no
desempenho.
Frequência e Qualidade do Reporte

A administração trabalha em estreita colaboração com os usuários dos relatórios para identificar
quais informações são necessárias, com que frequência eles precisam dos relatórios e suas
preferências em termos de apresentação dos relatórios. A administração é responsável pela
implementação de controles adequados para que a elaboração e a preparação de informações seja
precisa, clara e completa.
A frequência da elaboração e apresentação de informações deve ser proporcional à gravidade e à

prioridade do risco. A elaboração e apresentação de informações deve permitir que a
administração determine os tipos e a quantidade de riscos assumidos pela organização, sua
adequação contínua, bem como a conveniência das respostas ao risco existentes. Por exemplo,
as mudanças nos preços de ações ou os preços da concorrência nos setores hoteleiro e aéreo
podem ser comunicados diariamente, de modo proporcional às potenciais mudanças nos riscos.
Por outro lado, a elaboração e apresentação de informações sobre riscos decorrentes do progresso
da organização rumo a projetos e iniciativas estratégicos a longo prazo podem ser feitas mensal
ou trimestralmente.
espaço
•Contexto de negócios: Tendências, eventos, relacionamentos e outros fatores que podem
influenciar, esclarecer ou mudar a estratégia e os objetivos de negócio atuais e futuros da
organização.
•Objetivos de Negócio: Medidas mensuráveis que a organização adota para alcançar sua
estratégia.
•Valores Principais: As convicções e os ideais da entidade em relação ao que é bom ou ruim,

aceitável ou inaceitável, que influenciam o comportamento da organização.
•Cultura: As atitudes, os comportamentos e o entendimento do risco, tanto os positivos como os

negativos, que influenciam as decisões da administração e dos profissionais e refletem a
missão, a visão e os valores principais da organização.
•Dados: Os fatos brutos que podem ser coletados em conjunto para serem analisados, utilizados
ou usados como referência.
•Gerenciamento de Riscos Corporativos: A cultura, as competências e as práticas, integradas à

definição da estratégia e à sua execução, nas quais as organizações se baseiam para gerenciar
os riscos da geração, da preservação e da realização do valor.
•Entidade: Qualquer tipo de órgão com fins lucrativos, sem fins lucrativos ou governamental.
Uma entidade pode ser de capital aberto, privada, constituída com base em estrutura
cooperativa ou qualquer outro formato jurídico.
•Ambiente Externo: Qualquer coisa fora da entidade influencia a capacidade de concretizar a

estratégia e de alcançar os objetivos de negócio.
•Partes Interessadas Externas: Quaisquer partes que não estejam diretamente envolvidas nas
operações da entidade, mas são impactadas pela entidade, influenciam diretamente o ambiente
de negócios ou a reputação, a marca e a confiabilidade da entidade.
•Evento: Um acontecimento ou um conjunto de acontecimentos.
•Estrutura: Os cinco componentes consistem em (1) Governança e Cultura; (2) Definição dos
Objetivos e da Estratégia; (3) Consecução dos Objetivos e da Estratégia; (4) Análise e
Revisão; (5) Informação, Comunicação, e Elaboração e Apresentação de Informações.
•Impacto: O resultado ou o efeito de um risco. Pode existir um leque de possíveis impactos

associados a um risco. O impacto de um risco pode ser positivo ou negativo em relação à
estratégia ou aos objetivos de negócio da entidade.
•Informações: Dados processados, organizados e estruturados a respeito de um fato ou de uma
circunstância específicos.
•Controles Internos: Um processo, realizado pelo conselho de administração, pela

administração e por outras equipes de profissionais da entidade, elaborado para proporcionar
uma asseguração razoável de que os objetivos relacionados a operações, compliance e
elaboração e apresentação de informações serão alcançados. (Para mais discussões, consulte
a publicação Controles Internos — Estrutura Integrada.)
•Ambiente Interno: Qualquer coisa fora da entidade influencia a capacidade de concretizar a

estratégia e de alcançar os objetivos de negócio.
•Partes Interessadas Internas: As partes que trabalham dentro da entidade, como os

funcionários, a administração e o conselho.
•Probabilidade: A possibilidade de um determinado evento ocorrer.
•Missão: O propósito principal da entidade, que estabelece o que ela quer alcançar e por que ela
existe.
•Estrutura Operacional: A maneira pela qual a entidade organiza e conduz suas operações
diárias.
•Oportunidade: Uma ação ou possível ação que gera ou altera as metas ou as abordagens de
geração, de preservação e de realização de valor.
•Organização: O termo usado para descrever, de modo coletivo, o conselho de administração, a

administração e os demais profissionais de uma entidade.
•Sustentabilidade Organizacional: A capacidade de uma entidade de resistir ao impacto de

eventos de grande escala.
•Gerenciamento do desempenho: A mensuração dos esforços para concretizar a estratégia e os

objetivos de negócio ou ir além deles.
•Visão do portfolio: Uma visão composta dos riscos que a entidade enfrenta, o que posiciona a
administração e o conselho para que eles avaliem os tipos, a gravidade e as interdependências
dos riscos e como eles podem afetar o desempenho da entidade relativo à sua estratégia e aos
seus objetivos de negócio.
•Práticas: Os métodos e as abordagens utilizados dentro de uma entidade para gerenciar os

riscos.
•Expectativa Razoável: A quantidade de riscos em relação à consecução da estratégia e dos

objetivos de negócio que é adequada para a entidade em questão, reconhecendo que ninguém é
capaz de prever riscos com exatidão.
•Risco: A possibilidade de eventos ocorrerem e afetarem a consecução da estratégia e dos
objetivos de negócio. OBSERVAÇÃO: O termo “riscos” (plural) refere-se a um ou mais
possíveis acontecimentos que podem afetar a consecução dos objetivos. O termo “risco”
(singular) refere-se a todos os possíveis acontecimentos que podem afetar de maneira coletiva
a consecução dos objetivos.
•Apetite a riscos: Os tipos e a quantidade de riscos, em um nível abrangente, que uma

organização está disposta a aceitar em sua busca pelo valor.
•Capacidade para o Risco: A quantidade máxima de riscos que uma entidade é capaz de
absorver durante seus esforços de consecução da estratégia e dos objetivos de negócio.
•Inventário dos Riscos: Todos os riscos que poderiam afetar uma entidade.
•Perfil de Risco: Uma visão composta dos riscos assumidos em um nível específico da entidade
ou dos aspectos do negócio que posicionam a administração para que esta analise os tipos, a
gravidade e as interdependências dos riscos e como eles podem afetar o desempenho
relativamente à estratégia e aos objetivos de negócio.
•Gravidade: A mensuração de algumas considerações, tais como a probabilidade e o impacto

dos eventos ou o tempo necessário para recuperar-se de tais eventos.
•Partes interessadas: As partes que têm uma participação presente ou futura em uma entidade.
•Estratégia: O plano da organização para alcançar sua missão e sua visão e aplicar seus valores
principais.
•Tolerância: Os limites da variação aceitável no desempenho em relação ao alcance dos

•Incerteza: A condição de não saber como possíveis eventos poderão ou não poderão
manifestar-se.
•Visão: As aspirações da entidade em relação ao seu estado futuro ou o que ela visa a alcançar
ao longo do tempo.
Anexos
espaço
por:
•American Accounting Association
•American Institute of Certified Public Accountants
•Financial Executives International
•Institute of Management Accountants
•The Institute of Internal Auditors

© 2017 Todos os direitos reservados. Nenhuma parte desta publicação poderá ser reproduzida, distribuída, transmitida ou exibida
em qualquer forma ou por qualquer meio sem permissão por escrito do COSO.
espaço

Comissão Treadway
Membros do Conselho
Presidente do COSO The Institute of Internal Auditors (IIA) Financial Executives International (FEI)

American Institute of American Accounting Institute of Management
Certified Public Accountants Association Accountants
PwC — Autor
Líder do Trabalho e Líder Sócio-líder do Projeto Diretor-líder do Projeto
Global e na região da Ásia, Américas e e Líder Global e na região da Ásia, Américas e e Líder Global
Pacífico Pacífico da Estrutura
da prática de da prática de Riscos e Regulamentações e da Metodologia de
Advisory Washington DC, EUA Risco
Nova York, EUA Colúmbia Britânica,
Canadá


espaço
Agradecimentos
O Conselho do COSO e a PwC reconhecem com gratidão que muitos indivíduos dedicaram seu
tempo e seus esforços participando do projeto e contribuindo com vários aspectos dele. O
Conselho do COSO e a PwC também reconhecem os esforços consideráveis das organizações do
COSO e seus membros que responderam a pesquisas, participaram de oficinas e de reuniões e
forneceram comentários e feedback por meio da elaboração desta estrutura.
Conselho Consultivo
Douglas J. Anderson Mark Beasley Margaret Boissoneau
The Institute of Internal Auditors Universidade do Estado da United Technologies
(IIA) Carolina do Norte Corporation
Diretor-Superintendente da Professor de Gerenciamento de Liaison de Operações de
CAE Solutions Riscos Corporativos e Diretor Gerenciamento de Projetos
da Iniciativa de Gerenciamento
de Riscos Corporativos na
Deloitte
Anthony J. Carmello Suzanne Christensen James Davenport

Ernst & Young Invesco Ltd. Zurich Insurance Company
Sócio, Serviços de Advisory Responsável pela área de Líder Global de Riscos e
Riscos Corporativos Controles
James DeLoach Karen Hardy David J. Heller

Protiviti Inc. Departamento de Comércio Edison International
Diretora-superintendente dos Estados Unidos Vice-presidente de
Diretor-Adjunto de Gerenciamento de Riscos
Gerenciamento de Riscos Corporativos e Auditor Geral
Bailey Jordan Jane Karli James Lam

Grant Thornton LLP Athene USA James Lam & Associates
Sócio, Serviços de Advisory Diretora de Operações de Presidente
Investimento
David Landsittel Lee Marks Deon Minnaar

Ex-presidente do COSO First Data Corporation KPMG LLP Americas
Gerenciamento de Riscos Sócio-líder das Américas
Corporativos para o Gerenciamento de Riscos
Corporativos/Governança, Risco
e Compliance
Jeff Pratt Henry Ristuccia Paul Sobel

Microsoft Deloitte & Touche LLP Georgia-Pacific LLC
Gerente Geral, Gerenciamento de Sócio, Líder Global - Vice-presidente/Diretor de
Riscos Corporativos Governança, Risco e Auditoria
Compliance
Patrick Stroh Paul Walker William Watts

Mercury Business Advisors Inc. St. John’s University, Tobin Crowe Horwath LLP
Presidente College of Business Sócio responsável
James J. Schiro / Líder da pela área de Serviços de Riscos
Zurich de Negócios
em Gerenciamento de Riscos
Corporativos
Observadores
Jennifer Bayuk James Dalkin Carol Fox
Citi Government Accountability Risk
Diretora-superintendente Office (equivalente à Management Society (RIMS)
Representante da International Controladoria Geral da União Diretora, Riscos Estratégicos
Systems Audit & no Brasil) e Corporativos
Controls Association, Diretor da
ISACA Equipe de Gestão Financeira
e Asseguração
Harrison Greene Horst Kreisel Jeff Thompson

Federal Deposit Institut der Wirtschaftsprüfer Institute of Management
Insurance Corporation Diretor de Gestão de Projetos Accountants
Diretor-adjunto de contabilidade Presidente e CEO
Vincent Tophoff
International Federation
of Accountants
Gerente Técnico Sênior
Sócios, Líderes e Staff da PwC

Julie Bogas Lillian Borsa Angela Calapa Juan Carlos
Sócio Líder Diretora Simon
EUA EUA EUA Sócio
México
Rick Crethar Symon Dawson David Fisher Tobias Flath

Sócio Sócio Líder Gerente Sênior
Austrália Grã-Bretanha EUA Alemanha
Peter Frank Dimitriy Goloborodskiy Rob Gormly Carmen Le

Líder Sócio Líder Grange
EUA EUA EUA Sócio
África do Sul
Christof Menzies Gonzalo Nunez Jason Pett Marcel

Sócio Sócio Sócio Prinsenberg
Alemanha México EUA Diretora-
superintendente
Países Baixos
Jerri Ribeiro Jonathan Riva Nicole Salimbeni David Sapin

Sócio Sócio Sócio Líder
Brasil Canadá Austrália EUA
Manuel Seiferth Dietmar Serbee Laurie Schive Stephen Soske

Gerente do Projeto Líder Diretora Sócio
Alemanha EUA EUA EUA
Christina Stecker Olivier Sueur Kuntal Sur Alywin Teh

Sócio Diretora Sócio Sócio
Alemanha Países Baixos Índia Cingapura
Steven van Agt Kosta Weber Andrew Wilson Stephen
Diretora Diretora-superintendente Sócio Zawoyski
Países Baixos Países Baixos Austrália Sócio
EUA
Outras contribuições
A PwC deseja agradecer Geoffrey
Albutt, Catherine Jordan, Mark Tan,
Armando Urunuela e Karen Vitale
pelas contribuições à elaboração da
Estrutura.
espaço
Conteúdo
A. Histórico do Projeto e Abordagem de Análise da Estrutura
C. Papeis e Responsabilidades do Gerenciamento de Riscos Corporativos
espaço
A. Histórico do Projeto e Abordagem de Análise

da Estrutura
Histórico do Projeto
Em outubro de 2014, o Committee of Sponsoring Organizations of the Treadway Commission
(COSO) (Comitê de Entidades Patrocinadoras da Comissão Treadway) anunciou que iria revisar
e atualizar a versão de 2004 da publicação Enterprise Risk Management–Integrated Framework
Gerenciamento de Riscos Corporativos - Estrutura Integrada (estrutura original). A Estrutura
original é amplamente aceita e utilizada pela administração e pelos conselhos para aprimorar a
capacidade da organização de gerenciar a incerteza e considerar quanto risco deve ser aceito à
medida que ela persegue o objetivo de aumentar o valor gerado para as partes interessadas.
Desde 2004, a complexidade dos riscos mudou, novos riscos significativos surgiram e os
conselhos intensificaram tanto a conscientização como a supervisão em relação ao
gerenciamento de riscos enquanto solicitavam uma melhor elaboração e apresentação de
informações sobre riscos. As atualizações da Estrutura refletem conceitos e aplicações atuais e
em desenvolvimento de maneira que as organizações em todo o mundo consigam obter mais
valor do gerenciamento de riscos corporativos. Especificamente, ela agora proporciona mais
insights sobre a estratégia e o papel do gerenciamento de riscos corporativos na definição e na
execução da estratégia, aumenta o alinhamento entre o desempenho organizacional e o
gerenciamento de riscos corporativos e reflete as expectativas em relação à governança e à
supervisão.
A PwC foi autora da publicação e liderou o projeto de atualização, preparando documentos

relacionados e reportando-se ao Conselho de Administração do COSO. A equipe de projeto da
PwC inclui pessoal sênior, muitos dos quais participaram de projetos COSO anteriores e
proporcionam um entendimento aprofundado da Estrutura original e outros que oferecem
perspectivas atuais de mercado para essa revisão. Para obter visões de uma ampla gama de
profissionais do mercado, o Conselho do COSO montou um Conselho Consultivo representando
a indústria, a comunidade acadêmica, os órgãos governamentais e organizações sem fins
lucrativos, convidando Observadores a comparecer às reuniões do Conselho Consultivo.
Abordagem de Análise da Estrutura

A equipe de projeto da PwC considerou de maneira cuidadosa os méritos do feedback e as
opiniões recebidas ao longo do projeto. Os membros da equipe analisaram e adotaram inputs que
ajudaram na elaboração de um documento relevante, lógico e consistente internamente em todas
as fases do projeto. Essas fases incluem:
•Análise e Previsão: Por meio da análise do conhecimento disponível sobre o assunto, pesquisas
globais, mesas-redondas abertas ao público e fóruns, esta fase identificou os desafios atuais
para as organizações que estão implementando o gerenciamento de riscos corporativos. A
equipe de projeto da PwC analisou informações e várias fontes de input, identificando
questões e preocupações críticas. O COSO lançou uma pesquisa global, disponível para o
público em geral, para obter inputs sobre a Estrutura original, solicitando quase 900 respostas.
•Construção e Elaboração: A equipe de projeto da PwC elaborou uma versão preliminar

Enterprise Risk Management–Aligning Risk with Strategy and Performance,1 Gerenciamento
dos Riscos Corporativos - Alinhamento do Risco com a Estratégia e com o Desempenho, que
foi analisada pelo Conselho Consultivo e pelos Observadores do COSO, assim como outros
usuários-chave para colher sugestões e reações. A equipe de projeto da PwC realizou inúmeras
reuniões de grupo e individuais para obter feedback sobre as outras abordagens que estão
sendo consideradas para elaborar a Estrutura. Essas reuniões, realizadas na América do Norte,
Europa, Ásia e Austrália incluíam membros do conselho, diretores de risco, diretores
financeiros, diretores de auditoria e outros membros seniores da administração.
•Exposição Pública: Com a assistência e supervisão do Conselho do COSO, a PwC preparou

versões preliminares de esclarecimentos e questionários online para facilitar a análise pelo
público em geral. A equipe de projeto da PwC realizou várias reuniões e apresentações em
conferências para obter inputs adicionais. O Anexo B mostra um resumo dos comentários
públicos e a resposta da Equipe de Projeto.
•Finalização: A equipe de projeto da PwC analisou todos os comentários recebidos e aprimorou

os vários documentos com as modificações necessárias. O Conselho do COSO considerou se a
publicaçãoEnterprise Risk Management–Integrating with Strategy and Performance
Gerenciamento de Riscos Corporativos Integração à Estratégia e ao Desempenho era
razoável, lógica e útil para o gerenciamento de entidades de todos os tipos e tamanhos, e a
equipe de projeto da PwC finalizou o documento para ser aprovado pelo Conselho do COSO.
1
Esse título foi utilizado ao longo de toda a fase de exposição pública, e depois o nome do documento foi alterado para
Enterprise Risk Management–Integrating with Strategy and Performance.
espaço

Conforme observado no Anexo A, uma versão preliminar da Estrutura foi emitida para que
fossem comentada pelo público de 15 de junho a 30 de setembro de 2016. Houve bastante
interesse pela versão preliminar das explicações, mostrado pelos quase 10.000 downloads2 da
Estrutura em vários segmentos e por entidades de todos os tipos. Muito do interesse foi
internacional: 46% dos downloads ocorreram fora da América do Norte.
Foram recebidas 48 cartas com comentários do público e mais de 200 respostas foram dadas à
pesquisa online sobre a versão preliminar das explicações. As cartas com comentários do público
geraram mais de 1.600 comentários e a pesquisa online resultou em mais de 400 respostas livres
a respeito de muitos aspectos do documento atualizado. Todos os comentários foram
considerados nas revisões posteriores da Estrutura.
Além do feedback gerado pelo COSO, a equipe de projeto da PwC solicitou feedback do público
por meio de mais de quarenta reuniões, conferências e seminários durante o período de
exposição pública. Além disso, ela preparou uma série de vídeos, artigos sobre assuntos-chave
(por exemplo o gerenciamento do risco e do desempenho para respaldar a estratégia) e posts nas
mídias sociais, o que gerou mais de dois milhões e oitocentas mil impressões e mais de três mil
interações diretas do público.
Este anexo resume os comentários mais significativos e as modificações resultantes para a

Estrutura do período de exposição pública. Muitos respondentes deram seu apoio aos esforços do
COSO para atualizar a Estrutura de modo a enfatizar a importância da consideração do risco
tanto no planejamento estratégico quando no desempenho geral, adicionar cinco componentes do
gerenciamento de riscos corporativos e enfatizar como a integração do gerenciamento de riscos
corporativos ao negócio pode melhorar a tomada de decisões.
No entanto, houve visões divergentes a respeito de determinadas atualizações da Estrutura,

incluindo as definições de risco e de gerenciamento de riscos corporativos, a ligação com a
tomada de decisões, a viabilidade dos perfis de risco e a relação entre controles internos e
Alguns respondentes procuraram obter mudanças fundamentais na Estrutura, ao passo que outros
reconheceram que a Estrutura permanece relevante e útil atualmente para os conselhos e para a
administração de entidades, independentemente do tipo ou tamanho. Esses respondentes pediram
que somente áreas específicas fossem atualizadas, conforme discutido detalhadamente abaixo.
Estruturação do Documento: Componentes e Princípios

No geral, os respondentes apoiaram a atualização do título original da Estrutura, Enterprise Risk
Management–Aligning Risk with Strategy and Performance Gerenciamento dos Riscos
Corporativos - Alinhamento do Risco com a Estratégia e com o Desempenho. Eles reconheceram
os benefícios de uma estrutura de componentes e princípios de modo a proporcionar clareza para
a integração do gerenciamento de riscos corporativos ao planejamento estratégico e à tomada de
decisões no dia a dia. Alguns sugeriram que os cinco componentes da Estrutura poderiam ser
mais bem alinhados com um modelo comum de negócios de desenvolvimento, implementação,
análise e revisão. Além disso, outros notaram que o uso da palavra "execução" no componente
Risco em Execução não ficava bem na tradução para a língua de outros países. Alguns
respondentes mostraram preocupação a respeito do número de princípios, dizendo que vinte e
três não eram práticos para o gerenciamento de uma entidade, sugerindo um número menor. Por
fim, outros sugeriram mudanças para alinhar ou conciliar os princípios da Estrutura com outras
estruturas e padrões.
Considerando o apoio geral à integração do gerenciamento de riscos corporativos ao

estabelecimento da estratégia por meio do desempenho, o título foi modificado para the title was
revised to Enterprise Risk Management–Integrating with Strategy and Performance
Gerenciamento dos Riscos Corporativos Integração à Estratégia e ao Desempenho. A Estrutura
mantém os cinco componentes, mas os renomeia e rearranja para um melhor alinhamento com
um modelo de negócios típico: Governança e Cultura; Definição dos Objetivos e da Estratégia;
Desempenho; Análise e Revisão; e Informação, Comunicação e Elaboração & Apresentação de
Informações.
Com relação aos princípios, alguns foram reunidos em um só. Especificamente, dois princípios
do componente de Governança e Cultura foram juntados em um só para enfocar valores básicos.
Além disso, no componente de Definição dos Objetivos e da Estratégia, os princípios "Analisa o
Risco enquanto Estabelece os Objetivos de Negócio" e "Define a Variação Aceitável no
Desempenho" foram juntados em um só, "Formula os Objetivos de Negócio", que enfoca o
estabelecimento de objetivos e a utilização da tolerância para entender o impacto do risco sobre a
consecução daqueles objetivos. Por último, no componente Informação, Comunicação e
Elaboração & Apresentação de Informações, os princípios "Utiliza Informações Relevantes" e
"Utiliza ao Máximo os Sistemas de Informação" foram juntados em um só para enfocar o suporte
dado pelas informações e pela tecnologia para as práticas de gerenciamento de riscos
corporativos.
Alguns respondentes também mostraram preocupação a respeito do tamanho do documento e da

complexidade da linguagem. Especificamente, eles pediram um uso maior de linguagem simples
para tornar certos termos técnicos acessíveis a um público maior.
Essas preocupações foram abordadas por meio da fusão dos princípios, conforme discutido
acima. Além disso, a Estrutura foi revisada para diminuir o tamanho das orações de modo a
facilitar a leitura. Especificamente, a ferramenta de medição de possibilidade de leitura Flesch-
Kincaid foi utilizada para identificar áreas de melhorias assim como confirmar a clareza de
normas e estruturas similares. Dada a complexidade de determinados assuntos, a Estrutura geral
permanece um documento abrangente para elaborar e esclarecer os conceitos de maneira
suficiente.
Definição do Gerenciamento de Riscos Corporativos e dos Riscos
Os respondentes deram várias sugestões para alterar as definições de risco e de gerenciamento de
riscos corporativos, incluindo o alinhamento das definições a outras estruturas e normas. As
sugestões para a definição do risco variaram, desde incluir somente o impacto, separar o risco em
acontecimentos adversos (ameaças) e oportunidades e enfocar as incertezas.
Alguns respondentes expressaram uma preferência pela definição de 2004 de gerenciamento de

riscos corporativos, particularmente o uso do apetite a riscos, papeis e responsabilidades, e um
foco em processos, em oposição a práticas. Outros preferiram a definição contida nas versão
preliminar das explicações e solicitaram a incorporação da tomada de decisões a ela. Houve
também solicitações para abreviar a definição pela remoção da expressão "criação, preservação e
realização de valor" e pelo estabelecimento de uma separação clara entre o gerenciamento de
riscos e o gerenciamento de riscos corporativos.
Depois de uma revisão e análise cuidadosas das definições de outras normas e estruturas,
decidiu-se que as definições da versão preliminar das explicações seria mantida. O Conselho do
COSO considera que tais definições refletem melhor a visão atual de risco e do gerenciamento
de riscos corporativos do COSO, alinhando-se com outras estruturas e thought leadership do
COSO.
A Integração do Gerenciamento de Riscos Corporativos e o Impacto

sobre a Tomada de Decisões
Vários respondentes mostraram seu apoio à integração do gerenciamento de riscos corporativos
às atividades do negócio principal, em oposição a uma abordagem mais baseada em processos.
Alguns consideram o gerenciamento de riscos corporativos mais como uma função (por
exemplo, a segunda linha de defesa), e não uma competência. Como parte da integração do
gerenciamento de riscos corporativos, os respondentes solicitaram uma discussão ampliada sobre
a tomada de decisões por toda a Estrutura, incluindo o papel do viés e do apetite a riscos, além de
uma conexão mais forte com a cultura.
Considerando o foco nas competências e nas práticas, em oposição a uma função específica, a
Estrutura apresenta uma discussão limitada sobre os modelos de linhas de defesa. Uma discussão
mais detalhada sobre os papeis e responsabilidades está incluída no Anexo C.
A Estrutura agora inclui um novo capítulo, “A Integração do Gerenciamento de Riscos

Corporativos,” que enfoca como o gerenciamento de riscos corporativos integra-se à definição da
estratégia por meio do desempenho, e o valor da integração para a entidade, tal como uma
melhor tomada de decisões. O novo capítulo e cada princípio na Estrutura aprimoram a discussão
a respeito da tomada de decisões e do impacto do viés da administração.
A Relação entre o Gerenciamento de Riscos Corporativos e os
Controles Internos
Houve feedbacks diferentes a respeito da relação entre o gerenciamento de riscos corporativos e
os controles internos. Alguns respondentes solicitaram uma explicação a respeito dos aspectos
estruturais das duas estruturas (por exemplo, onde há sobreposição) e os vínculos conceituais
desses dois tópicos. Alguns sugeriram que o COSO unisse as duas estruturas em uma só,
enquanto outros preferiram duas estruturas separadas e distintas. Outros sugeriram incluir toda a
conversa sobre controles internos na Estrutura, em vez de fazer referência aos Controles Internos
– Estrutura Integrada.
A nova Estrutura agora esclarece a relação entre o gerenciamento de riscos corporativos e os

controles internos, identificando exemplos em que ela faz uso de conceitos estipulados na
publicação Controles Internos – Estrutura Integrada. Pelo fato de a publicação Controles
Internos – Estrutura Integrada ser utilizada como uma norma regulatória e para impedir que haja
um aumento não intencional do escopo da estrutura para aplicação das normas regulatórias, o
Conselho do COSO decidiu manter duas estruturas separadas e distintas. Dessa forma, o
Conselho do COSO não incluiu componentes nesta atualização que são comuns a ambas as
estruturas (por exemplo, atividades de controle) para evitar a repetição e estimular os usuários a
familiarizar-se com elas. No entanto, alguns conceitos lançados na publicação Controles Internos
– Estrutura Integrada, tais como a governança do gerenciamento de riscos corporativos, são
trabalhados de maneira mais detalhada nesta Estrutura. Essas adições limitaram a capacidade de
encurtar este documento.
Discussão sobre a Estratégia

Os respondentes expressaram apoio geral à ênfase na estratégia em toda a Estrutura. Alguns
pediram esclarecimentos sobre a transição do planejamento da estratégia para a execução e
quando revisar a estratégia. Uns poucos eram da opinião de que os objetivos antecedem à
estratégia e outros solicitaram a substituição da estratégia por objetivos estratégicos. Havia uma
variedade de opiniões a respeito da inclusão da definição da missão, da visão e dos valores
principais no escopo do gerenciamento de riscos corporativos.
A Estrutura mantém o foco atual na “possibilidade de a estratégia não alinhar-se, nas implicações
da estratégia escolhida, além dos riscos à execução da estratégia” já que eles fornecem uma
análise mais detalhada da importância da integração do gerenciamento de riscos corporativos à
definição da estratégia. A Estrutura agora esclarece como o gerenciamento de riscos corporativos
é aplicada à estratégia e ao desempenho. Ela permanece vinculada à missão, à visão e aos
valores principais pelo fato de proporcionar o suporte do tipo e do valor do risco aceitáveis.
Além disso, a Estrutura mantém a relação hierárquica entre a estratégia e os objetivos de
negócio, e a terminologia da estratégia versus os objetivos estratégicos, já que ambos são
consistentes com estruturas frequentemente utilizadas de estratégia e de negócios.
Papel da Cultura
De maneira geral, houve forte apoio à inclusão e ao papel proeminente da cultura na versão
preliminar das explicações. Alguns respondentes sugeriram expandir ainda mais a discussão a
respeito do espectro cultural e enfatizar as relações com o gerenciamento do desempenho, com a
conduta e com os incentivos. Alguns sugeriram que a cultura não é parte da definição do
gerenciamento de riscos corporativos, ao passo que outros sugeriram que as entidades têm de
fato uma cultura e o risco é parte dele. Alguns queriam uma discussão sobre o risco de fraude já
que ele relaciona-se à cultura.
A Estrutura foi revisada para reunir os Princípios 4, 5, e 6 no novo Princípio 4, Demonstra

Comprometimento com os Valores Principais. Esse princípio enfatiza a relação entre o
gerenciamento de riscos corporativos e os valores principais estabelecidos pelo conselho e pela
administração da entidade. Além disso, a Estrutura revisada é aprimorada com exemplos de
como a cultura influencia as práticas de gerenciamento de riscos corporativos e a tomada de
decisões, incluindo a influência do viés da administração. Ela não inclui discussões sobre o risco
de fraude, já que isso é abordado na publicaçãoControles Internos – Estrutura Integrada.
Apetite pelo risco e tolerância ao risco

Vários respondentes adotaram uma visão do apetite a riscos centrada no risco, em oposição a
uma visão centrada nos objetivos. Os comentários relacionados tiveram como foco a definição de
limites para riscos específicos ou grupos de riscos comuns (por exemplo, risco de crédito) e
reforçaram a visão do gerenciamento do risco por meio de grupos diferenciados. Além disso,
vários respondentes solicitaram que a discussão sobre o apetite a riscos seja revisada para torná-
lo mensurável em relação a riscos específicos em vez de focado na tomada de decisões. Outros
solicitaram um diagrama visual, demonstrando a hierarquia do apetite a riscos e a tolerância.
A Estrutura mantém o uso do apetite a riscos no desenvolvimento da estratégia e dos objetivos de

negócio e a ênfase em como ele é utilizado na tomada de decisões. Foi adicionado um diagrama
para esclarecer a relação entre apetite a riscos, tolerância e limites, e fatores impulsionadores, e
como esses elementos aplicam-se à estratégia, aos objetivos e aos riscos específicos.
Os respondentes também questionaram o uso da variação aceitável no desempenho no lugar da

tolerância ao risco. Especificamente, alguns expressaram veementemente o desejo de voltar a
usar a tolerância ao risco da Estrutura de 2004, enquanto outros observaram o uso da variação
aceitável no desempenho como uma melhoria. A Estrutura final revisou o uso da variação
aceitável no desempenho para tolerância e melhorou a discussão sobre como a tolerância é ligada
aos objetivos da entidade, adotando uma visão centrada nos objetivos.
Avaliação e Perfis de Risco

Uma parte do feedback teve como alvo as práticas de avaliação de riscos técnicos, incluindo o
uso de perfis de risco. Especificamente, vários respondentes solicitaram uma discussão mais
detalhada dos métodos de avaliação de riscos quantitativos (por exemplo, modelagem,
simulações, árvores de decisão) e outras ferramentas práticas. Alguns mostraram preocupação a
respeito do valor dos mapas de calor, argumentando que eles normalmente são centrados no
risco, não refletindo de maneira precisa a relação do risco com o desempenho. Vários notaram a
ausência de discussão sobre a distribuição dos resultados, ao passo que muito questionaram a
inclusão das avaliações de riscos inerentes.
A Estrutura final revisou o Princípio 11, Avalia a Gravidade do Risco, para enfocar de maneira
mais explícita o impacto na consecução da estratégia e dos objetivos de negócio. Ela também
esclarece como os mapas de calor podem ser utilizados para delinear o risco no contexto dos
objetivos. Além disso, foi adicionada uma discussão sobre abordagens quantitativas às
avaliações de risco.
Alguns respondentes questionaram a aplicação prática dos perfis de risco, enquanto outros
observaram que limitar o perfil de risco a um gráfico pode ser muito prescritivo. Aqueles que
apoiam os perfis de risco observaram que estes oferecem uma explicação eficaz da relação entre
risco, metas de desempenho, capacidade de risco e apetite pelo risco.
A Estrutura final mantém o uso de perfis de risco já que eles proporcionam à administração uma
visão de como o risco tem impacto sobre o desempenho e como o apetite pelo risco pode ser
utilizado para tomar decisões. Foram feitas melhorias para esclarecer o gráfico de perfis de risco
em diferentes tipos de objetivos de negócio e como os perfis de risco podem ser utilizados com
dados quantitativos e qualitativos.
Informação e Tecnologia
Alguns respondentes solicitaram uma discussão detalhada sobre informação e tecnologia; outros
questionaram se o gerenciamento de dados e a tecnologia estavam no escopo do gerenciamento
de riscos corporativos. Vários enfocaram a elaboração e apresentação de informações de uma
perspectiva centrada no risco em oposição a um ponto de vista de negócios.
A Estrutura tem agora um componente revisado de Informação, Comunicação e Elaboração &

Apresentação de Informações para diminuir o foco nos sistemas de informação e enfatizar mais o
papel mais importante dos dados e da tecnologia em evolução como parte do gerenciamento de
riscos corporativos. Especificamente, foram adicionadas informações a respeito de como a
entidade gerencia e analisa dados, e sobre o uso da tecnologia em evolução para gerenciar dados
de maneira mais eficiente e eficaz. A Estrutura agora também destaca a elaboração e
apresentação de informações com base nos objetivos para apoiar a administração na tomada de
decisões.
Orientações
Alguns respondentes solicitaram orientações sobre como uma empresa pode aplicar os conceitos
discutidos na Estrutura. Especificamente, eles pediram mais exemplos, incluindo estudos de caso
integrais ou reduzidos, ferramentas para ajudar na avaliação do gerenciamento de riscos
corporativos (por exemplo, modelos de maturidade), além de orientações gerais de
implementação (por exemplo, relatórios de risco).
A título de resposta, o Conselho do COSO e a equipe de projeto da PwC concordaram em

elaborar um documento separado com exemplos sobre a aplicação da Estrutura, Gerenciamento
de Riscos Corporativos – Integração à Estratégia e ao Desempenho: Rol de Exemplos. Este
documento ilustra a aplicação de todos os princípios na Estrutura a todos os diferentes setores,
entidades, independentemente do tamanho e tipos, além de práticas reais e esperadas das
empresas.
2
Downloads do sítio na internet COSO.org
espaço
C. Papeis e Responsabilidades do
Gerenciamento de Riscos Corporativos
Em uma entidade, todos compartilham responsabilidades pelo gerenciamento de riscos
corporativos. O líder da entidade (i.e., diretor-executivo (CEO) ou presidente) é o principal
responsável e deve assumir a responsabilidade pela consecução da estratégia e dos objetivos de
negócio da entidade. Essa pessoa deve também obter um entendimento profundo dos fatores que
poderão impedir a consecução da estratégia. Cabe aos demais gerentes "viver na prática" os
comportamentos alinhados à cultura da entidade, supervisionar o gerenciamento de riscos
corporativos, utilizar ao máximo as ferramentas dos sistemas de informação e monitorar o
desempenho. Os demais profissionais são responsáveis por entender as normas e os
comportamentos culturais, os objetivos de negócio em sua área e as práticas de gerenciamento de
riscos corporativos relacionadas, bem como por ter uma postura que esteja alinhada a todos esses
fatores. O conselho de administração supervisiona os riscos à consecução da estratégia.
Este anexo analisa as abordagens que uma organização pode adotar para atribuir funções e
responsabilidade pelo gerenciamento de riscos corporativos e fornece orientações sobre as
funções e as responsabilidades do conselho de administração, do diretor-executivo (CEO), do
diretor de riscos (CRO), da administração e do auditor interno. As informações são apresentadas
de acordo com um “modelo de linhas de responsabilização.”
O modelo de linhas de responsabilização oferece à organização uma abordagem equilibrada de

gerenciamento de riscos e de aproveitamento de oportunidades, tudo isso enquanto permite uma
tomada de decisões baseada em riscos isenta de vieses. No entanto, não existe uma abordagem
única para uso desse modelo, tampouco detalhes prescritivos sobre o número de linhas de
responsabilização necessário. Alguns setores oferecem orientações específicas sobre a
implementação de um modelo de responsabilização, mas as organizações devem analisar alguns
fatores, como seu porte, sua estratégia e seus objetivos de negócio, sua cultura organizacional e
suas partes interessadas externas. Organizações individuais podem estabelecer papeis em várias
linhas diferentes de responsabilização com orientações e supervisão regulatória específica.
Independentemente do número de linhas de responsabilização, as funções, as responsabilidades e
as responsabilizações são definidas de forma que permitam uma "propriedade" clara da estratégia
e do risco que se enquadre na estrutura de governança e na cultura da entidade.
Conselho de Administração e Comitês Dedicados

Entidades diferentes estabelecerão estruturas de governança diferentes, como um conselho de
administração, um conselho supervisor, administradores e/ou sócios e comitês dedicados. Na
Estrutura (Capítulos de 5 a 9), essas estruturas de governança são geralmente designadas como
“conselho de administração.”
O conselho de administração é responsável por supervisionar a cultura, as competências e as
práticas de gerenciamento de riscos corporativos. Dessa forma, os membros do conselho devem
ser objetivos, capazes e questionadores. Eles devem ter conhecimento e expertise técnicos
relevantes para as operações e o ambiente da entidade e devem dedicar o tempo necessário para
cumprir suas responsabilidades e responsabilizações pela supervisão dos riscos do dia a dia. Em
alguns países, o conselho tem responsabilidade legal pela supervisão. A Figura C.1 relaciona as
práticas de supervisão do gerenciamento de riscos corporativos típicas do conselho.
Figura C.1: Atividades de Supervisão do Conselho
Componente do Gerenciamento Atividades de Supervisão de Risco do Conselho

de Riscos Corporativos
Governança e Cultura  Avalia a adequação da estratégia da entidade, o alinhamento à

missão, à visão e aos valores principais, além do risco inerente à
estratégia.
 Define o papel e a estrutura de governança de risco do conselho
incluindo os subcomitês da entidade.
 Colabora com a administração para definir a adequação do
 Supervisiona as avaliações da cultura da entidade e garante que a
administração solucione as discrepâncias observadas.
 Promove uma mentalidade de conscientização sobre riscos que
alinha a maturidade da entidade à sua cultura.
 Supervisiona o alinhamento do desempenho dos negócios, da
assunção de riscos e dos incentivos/remuneração para atingir o
equilíbrio entre a consecução da estratégia de longo e de curto
prazo.
 Desafia os possíveis vieses e as tendências organizacionais da
administração, desempenhando seu papel de supervisão
independente e imparcial.
 Entende a estratégia, o modelo operacional, o setor e as questões e
desafios que afetam a entidade.
 Entende como o risco é monitorado pela administração
Definição dos Objetivos e da  Estabelece as expectativas para a integração do gerenciamento de
Estratégia riscos corporativos aos processos de gerenciamento estratégico,
incluindo o planejamento da estratégia, a alocação de capital etc.
 Discute e entende o apetite por riscos e considera se ele se alinha às
expectativas.
 Participa de discussões com a administração para entender as
mudanças no contexto dos negócios que possam impactar a
estratégia e sua ligação com riscos novos, emergentes ou recém-
revelados.
 Estimula a administração a pensar sobre os riscos inerentes à
estratégia e que são subjacentes às premissas do negócio.
 Exige que a administração demonstre um entendimento da
capacidade da entidade de assumir riscos para enfrentar ocorrências
Figura C.1: Continuação
Componente do Gerenciamento Atividades de Supervisão de Risco do Conselho

de Riscos Corporativos
Desempenho  Analisa a estratégia e as premissas subjacentes da entidade

relativamente à visão da carteira de riscos
 Estabelece expectativas a respeito da elaboração e apresentação
de informações sobre o risco, incluindo as métricas de risco
relatadas ao conselho com relação ao apetite por riscos da
entidade e às divulgações externas da elaboração e da
apresentação de informações sobre riscos corporativos.
 Entende como a administração identifica e comunica os riscos
mais graves conforme expressos pela visão da carteira da
entidade.
 Analisa e entende os riscos mais significativos, incluindo riscos
emergentes, além de mudanças significativas na visão da carteira
de riscos e especificamente quais respostas a administração está
dando e quais providências está tomando.
 Entende os cenários plausíveis que poderiam alterar a visão da
carteira.
Análise e Revisão  Pergunta à administração sobre qualquer risco expresso no
desempenho real (tanto positivo quanto negativo)
 Pergunta à administração sobre os processos de gerenciamento de
riscos corporativos e desafia a administração a demonstrar a
adequação e o funcionamento desses processos.
Informação, Comunicação,  Identifica as informações, os dados subjacentes e os formatos
Elaboração e Apresentação (gráficos, tabelas, curvas de risco e outros elementos visuais)
de Informações necessários para a supervisão do conselho
 Acessa informações internas e externas e insights conducentes a
uma supervisão eficaz dos riscos.
 Obtém input da equipe de auditoria interna, de auditores externos
e de outras partes independentes relativamente às percepções e
às premissas da administração
O conselho de administração pode escolher gerenciar suas responsabilidades pela supervisão de

riscos em um nível que englobe todo o conselho ou poderá atribuir tarefas específicas a comitês
dedicados com um foco claro em áreas de risco. Quando um comitê específico não tiver sido
estabelecido para a supervisão de riscos, as responsabilidades serão cumpridas pelo próprio
conselho.
Os comitês no nível do conselho podem incluir o seguinte:

•Comitê de auditoria: Estabelece a importância da supervisão de riscos. Os órgãos responsáveis
pela elaboração de normas regulatórias e profissionais geralmente exigem o uso de um comitê
de auditoria, que, às vezes, é chamado de comitê de auditoria e de risco. A função e o escopo
de autoridade de um comitê de auditoria podem variar de acordo com a jurisdição regulatória
da entidade, as normas setoriais ou outras variáveis. Embora a administração seja responsável
por garantir que as demonstrações financeiras sejam confiáveis, um comitê de auditoria eficaz
desempenha uma função de supervisão de riscos essencial. O conselho de administração,
geralmente por intermédio de seu comitê de auditoria, tem autoridade para questionar a alta
administração sobre como ela está cumprindo suas responsabilidades pelo gerenciamento de
riscos corporativos, além de ter responsabilidade por tal questionamento.
•Comitê de Risco: Estabelece a supervisão direta do gerenciamento de riscos corporativos. O

comitê de risco tem como foco os riscos aos quais a entidade como um todo está exposta em
áreas não financeiras que ultrapassam a autoridade do comitê de auditoria e seus recursos
disponíveis (p.ex., operações, obrigações, crédito, mercado, tecnologia).
•Comitê de remuneração: Estabelece e supervisiona os acordos de remuneração para o diretor-

executivo (CEO) e para outros executivos, conforme apropriado, para motivar sem conceder
incentivos por assunção de riscos indevida. Ele também supervisiona se a administração está
equilibrando as medidas, os incentivos e as recompensas de desempenho com as pressões
geradas pela estratégia e pelos objetivos de negócio da entidade, bem como ajudando a
estruturar os modelos de remuneração sem enfatizar os resultados a curto prazo de modo
indevido em relação ao desempenho a longo prazo.
•Comitê de indicação/governança: Fornece input e supervisiona a seleção de candidatos para os

cargos de direção e de membro da administração. Ele regularmente avalia e indica integrantes
para o conselho de administração; faz recomendações em relação à composição, às operações
e ao desempenho do conselho; supervisiona o processo de planejamento de sucessão para o
diretor-executivo (CEO) e outros executivos-chave e desenvolve processos e estruturas de
supervisão. Ele também promove orientações e treinamentos direcionados aos diretores e
avalia os processos e as estruturas de supervisão (p.ex., avaliações do conselho/comitê).
A Administração e as Três linhas de Responsabilização

A administração é responsável por todos os aspectos de uma entidade, incluindo o gerenciamento
de riscos corporativos. As responsabilidades atribuídas aos vários níveis da administração são
descritas neste documento.
Diretor executivo (CEO)

O diretor-executivo (CEO) é responsável pelo conselho de administração e pela cultura,
competências e práticas de gerenciamento de riscos corporativos exigidas para a consecução da
estratégia e dos objetivos de negócio da entidade. (Em entidades privadas e sem fins lucrativos,
este cargo pode ter um nome diferente, mas normalmente as responsabilidades são as mesmas.)
Mais do que qualquer outro indivíduo, o CEO estabelece a postura dos administradores e dos
gestores, juntamente com os valores explícitos e implícitos, os comportamentos e as normas que
definem a cultura da entidade.
As responsabilidades do CEO para com o gerenciamento de riscos corporativos incluem:
• Proporcionar liderança e direcionamento aos membros seniores da administração e moldar os

valores principais, as normas, as expectativas em relação a competências, a estrutura
organizacional e a responsabilização da entidade.
• Avaliar as estratégias alternativas, escolher uma estratégia e definir objetivos de negócio que
considerem prestar suporte às premissas relacionadas ao contexto dos negócios, aos recursos e
às competências de acordo com o apetite a riscos da entidade.
• Manter uma supervisão dos riscos enfrentados pela entidade (p.ex., orientar toda a
administração e os demais profissionais da entidade para que identifiquem, avaliem e
priorizem os riscos que poderão impedir a capacidade da entidade de executar sua estratégia e
alcançar seus objetivos de negócio e para que respondam a tais riscos e os comuniquem de
forma pró-ativa).
• Guiar o desenvolvimento e o desempenho do processo de gerenciamento de riscos corporativos

por toda a entidade e delegar tarefas a vários níveis da administração em diferentes níveis da
entidade.
• Comunicar as expectativas (p.ex., integridade, competência, políticas-chave) e requisitos de

informação (p.ex., os tipos de sistemas de planejamento e de elaboração e apresentação de
informações que a entidade irá utilizar).
Diretor de Riscos
Uma das funções mais proeminentes no gerenciamento de riscos corporativos é a de diretor de
riscos. Esse cargo tem a tarefa de supervisionar o gerenciamento de riscos corporativos como
uma segunda linha de responsabilização. Ele normalmente deve ter acesso razoavelmente direto
ao CEO ou à autoridade com acesso para abordar questões ou tipos de risco específicos. Uma
alternativa a ter um diretor de riscos (CRO) é atribuir as responsabilidades subjacentes a outro
membro da administração, geralmente na segunda linha de responsabilização.
As organizações desenvolvem o papel e as responsabilidades do CRO da maneira que mais bem

atende às necessidades do gerenciamento de riscos corporativos eficaz. Algumas entidades
optam por alinhar a função de diretor de riscos (CRO) com a função de diretor de estratégia
(CSO) para que a estratégia e o risco sejam gerenciados em conjunto sob a responsabilidade do
diretor-executivo (CEO). Outras delegam a responsabilidade pelo gerenciamento de riscos
corporativos às áreas de primeira linha, incluindo líderes de unidades operacionais e funcionais,
deixando a responsabilidade de segunda linha a cargo do diretor de riscos (CRO). Essas
entidades geralmente alinham os profissionais das divisões, das unidades operacionais e das
áreas com o diretor de riscos (CRO) para prestar suporte aos esforços de gerenciamento de riscos
corporativos por toda a entidade.
O CRO normalmente é responsável por:
• Auxiliar o conselho de administração e a administração no cumprimento de suas respectivas

responsabilidades pela supervisão dos riscos.
• Estabelecer práticas de gerenciamento de riscos corporativos contínuas adequadas às

necessidades da entidade.
• Estabelecer e manter relações com os responsáveis pelo gerenciamento de riscos pela entidade
como um todo.
• Supervisionar a responsabilidade pelo gerenciamento de riscos corporativos de acordo com as

respectivas linhas de responsabilização.
• Avaliar as operações do gerenciamento de riscos corporativos em cada unidade operacional.
• Comunicar-se com a administração por meio de um fórum, como o comitê de gerenciamento de

riscos corporativos, sobre a situação do gerenciamento de riscos corporativos, o que inclui
discutir sobre os riscos graves e os riscos emergentes.
• Promover o gerenciamento de riscos corporativos para o diretor-executivo (CEO) e para os

líderes das unidades operacionais e auxiliar na integração de práticas aos planos de negócio e à
• Desenvolver as competências organizacionais de forma alinhada à maturidade e à adequação do

• Direcionar as exposições ao risco identificadas ou emergentes aos próximos níveis, que seriam
a alta administração e o conselho.
Administração
A administração abrange o CEO e os membros seniores que lideram as principais unidades
operacionais e as áreas viabilizadoras de negócios. Cada uma dessas funções de administração
pode ter responsabilidades e responsabilizações diferentes de acordo com as linhas do modelo de
responsabilização, dependendo da entidade. Por exemplo, um diretor de tecnologia (CTO) pode
exercer uma função de segunda linha em uma empresa de serviços financeiros, mas em uma
empresa de tecnologia esse mesmo cargo poderia desempenhar uma função de primeira linha.
Algumas entidades menores podem combinar os papeis, com uma pessoa tendo
responsabilidades por uma ou mais funções. Exemplos de administração para uma entidade
maior de capital aberto ou de capital fechado, uma entidade empresarial menor e uma entidade
governamental podem ser observados na Figura C.2.
Figura C.2: Funções gerenciais em diferentes entidades
Grande Entidade Pública/Privada Pequena Entidade de Negócios Entidade Governamental
 Diretor-executivo e Presidente  Presidente  Secretário

 Diretor administrativo  Diretor financeiro/Vice-  Secretário-assistente/Vice-
 Diretor de auditoria presidente financeiro/Chefe diretor/Subsecretário
 Diretor de Compliance de finanças/ Controller  Diretor financeiro
 Diretor de dados  Diretor de operações  Diretor de informações
 Diretor financeiro  Diretor de gerenciamento de  Diretor de recursos
 Diretor de recursos humanos riscos/Líder de humanos
 Diretor de informações gerenciamento de riscos  Chefe de gabinete
 Diretor de inovação  Gerente geral/Vice-  Vice-secretário
 Diretor jurídico presidente de operações assistente/Vice-diretor
 Diretor de marketing  Gerente/Diretor de recursos assistente
 Diretor operacional humanos  Diretor de gerenciamento
 Diretor de riscos  Gerente de TI de riscos/Líder de
 Diretor de estratégia  Gerente de marketing gerenciamento de riscos
 Diretor jurídico
 Inspetor geral
Em algumas entidades, o CEO estabelece um comitê de gerenciamento de riscos corporativos

composto de membros seniores da administração, incluindo gerentes de áreas, como o diretor-
financeiro, o diretor de auditoria, o diretor de informações, entre outros. Os exemplos de
funções e responsabilidades de tal comitê incluem:
• Assumir a responsabilidade geral pelo gerenciamento de riscos corporativos, incluindo os

processos usados para identificar, avaliar e priorizar os riscos, bem como para responder a tais
riscos e divulgá-los.
• Comunicar o processo de gerenciamento de riscos corporativos ao CEO e ao conselho.
• Considerar e discutir os riscos emergentes.
• Definir funções, responsabilidades e responsabilizações nos diferentes níveis da administração.
• Fornecer políticas, metodologias e ferramentas a unidades operacionais para identificar, avaliar

e gerenciar riscos.
• Avaliar o perfil de risco da entidade.
• Avaliar a variação aceitável no desempenho e tomar providências quando apropriado.
A gestão também orienta o desenvolvimento e a implementação de práticas de gerenciamento de

riscos corporativos em suas respectivas unidades funcionais ou operacionais e verifica se tais
práticas são aplicadas de modo consistente.
Dependendo de quantos níveis de gestão existirem na entidade, gerentes de subunidades ou
profissionais com cargo de supervisão de nível mais baixo são diretamente envolvidos na
execução das políticas e dos procedimentos em um nível detalhado. É responsabilidade deles
executar o processo de gerenciamento de riscos corporativos que a alta administração elaborou e
implementou. Cada gerente presta contas ao próximo nível superior relativamente à sua parte de
gerenciamento de riscos corporativos. O CEO é responsável em ultima análise perante o
conselho de administração, e este presta contas às partes interessadas externas, tais como
acionistas ou outros proprietários da entidade.
Primeira linha: Negócio principal

A administração é responsável por identificar e gerenciar o desempenho e os riscos decorrentes
de práticas e sistemas pelos quais ela é responsável. A primeira linha também é responsável
pelos riscos inerentes à estratégia e aos objetivos de negócio. Como os principais responsáveis
pelos riscos, os membros da administração definem os objetivos de negócio, estabelecem a
variação aceitável no desempenho, treinam os profissionais e reforçam as respostas ao risco. Em
suma, a primeira linha implementa e executa as tarefas do dia a dia para gerenciar o desempenho
e os riscos assumidos visando a executar a estratégia e a alcançar os objetivos de negócio.
Segunda Linha: Áreas de Apoio

As áreas de apoio (também mencionadas como áreas viabilizadoras de negócios) incluem a
administração e os profissionais responsáveis pela supervisão do desempenho e do
gerenciamento de riscos corporativos. Elas fornecem orientações sobre os requisitos de
desempenho e de gerenciamento de riscos corporativos e avaliam a adesão às normas definidas.
Cada uma dessas áreas tem algum grau de independência em relação à primeira linha de
responsabilização, estimulando esta última a gerenciar o desempenho e a assumir riscos
prudentes para a consecução da estratégia e dos objetivos de negócio. Em algumas entidades,
equipes independentes sem níveis de subordinação separados e distintos podem representar um
certo grau de desafio. Essas áreas organizacionais ou unidades operacionais prestam suporte à
entidade por meio de conhecimento especializado, como expertise técnica em gerenciamento de
riscos, finanças, gestão de qualidade de produtos/serviços, tecnologia, compliance, questões
jurídicas, recursos humanos, entre outros. Como áreas da gestão, elas podem intervir
diretamente na modificação e no suporte da primeira linha como forma de responder
adequadamente ao risco.
As responsabilidades de segunda linha geralmente incluem:
• Prestar suporte às políticas de gerenciamento, definir funções e responsabilidades e estabelecer

metas de implementação.
• Fornecer orientações sobre o gerenciamento de riscos corporativos.
• Prestar suporte à administração na identificação de tendências e de riscos emergentes.

• Auxiliar a administração no desenvolvimento de processos e respostas a riscos para gerenciar
riscos e questões.
• Fornecer orientações e treinamentos sobre os processos de gerenciamento de riscos

corporativos.
• Monitorar a adequação e a eficácia das respostas ao risco, a precisão e a integridade da

elaboração e da apresentação de informações e a solução tempestiva de deficiências.
• Direcionar as exposições ao risco identificadas ou emergentes aos próximos níveis, que são a
alta administração e o conselho para que eles tenham conhecimento delas e tomem
providências.
Existem vários métodos para alcançar a objetividade nessas duas linhas de responsabilização.
Por exemplo, uma empresa pode contar com equipes de gerenciamento de riscos corporativos
incorporadas à primeira linha, mas com uma função de risco de segunda linha à parte. Outra
empresa pode distribuir amplamente suas equipes de gerenciamento de riscos pelas duas linhas
de acordo com a complexidade e a natureza do negócio. Essas e outras abordagens podem
funcionar desde que não haja restrições a uma supervisão imparcial.
Terceira linha: Áreas de Asseguração

As áreas de asseguração, mais conhecidas como auditoria interna, geralmente representam a
última linha de responsabilização, realizando as auditorias ou as avaliações das práticas de
gerenciamento de riscos corporativos, identificando questões e oportunidades de melhorias,
fazendo recomendações e mantendo o conselho e a diretoria executiva atualizados a respeito de
assuntos que exigem resolução. Dois fatores diferenciam a última linha de responsabilização das
demais: o alto nível de independência e objetividade (viabilizado por uma subordinação direta ao
conselho) e a autoridade para avaliar e fazer recomendações para a administração sobre a
elaboração e a eficácia operacional da entidade de modo geral.
Auditores Externos
Os auditores externos proporcionam à administração e ao conselho de administração uma visão
única, independente e objetiva que pode contribuir para a consecução da estratégia e dos
objetivos de negócio de uma entidade.
Em uma auditoria externa, o auditor expressa uma opinião sobre a apresentação adequada das
demonstrações financeiras em conformidade com os princípios contábeis geralmente aceitos,
contribuindo, assim, para os objetivos de elaboração e apresentação externa das informações
financeiras da entidade. O auditor que conduz a auditoria das demonstrações financeiras pode
contribuir com esses objetivos fornecendo informações úteis à administração a respeito do
cumprimento das responsabilidades pelo gerenciamento de riscos corporativos. Tais
informações incluem:
• As constatações de auditoria, as informações analíticas e as recomendações de medidas
necessárias para o alcance dos objetivos de negócio estabelecidos.
• As constatações referentes às deficiências no gerenciamento de riscos corporativos e nos

controles internos que cheguem ao conhecimento do auditor e as recomendações de melhorias.
Essas informações frequentemente estão relacionadas não somente à elaboração e à apresentação

de informações, mas também à estratégia, às operações e às práticas de compliance, podendo ser
importantes para a consecução dos objetivos de negócio da entidade. As informações são
comunicadas à administração e, dependendo de sua relevância, ao conselho de administração ou
ao comitê de auditoria.
É importante reconhecer que uma auditoria de demonstrações financeiras, por si só, normalmente
não inclui um foco significativo no gerenciamento de riscos corporativos. Tampouco resulta na
formação de opinião pelo auditor sobre o gerenciamento de riscos corporativos da entidade. No
entanto, quando leis ou regulamentações exigem que o auditor avalie as afirmações da empresa
em relação aos controles internos sobre a elaboração e a apresentação de informações financeiras
e a base de suporte para tais afirmações, o escopo do trabalho direcionado a essas áreas será
abrangente e informações e asseguração adicionais serão obtidas.
espaço

Introdução aos Perfis de Risco
O perfil de risco de uma entidade proporciona uma visão abrangente do risco relacionado a uma
estratégia específica ou a um objetivo de negócio em um determinado nível da entidade (por
exemplo, o nível geral da entidade, o nível da unidade de negócios, o nível funcional) ou a um
aspecto do modelo de negócios (por exemplo, produto, serviço ou localização geográfica). Esses
perfis de risco reúnem várias considerações importantes no gerenciamento de
• As premissas que servem de base para a avaliação de risco para uma determinada estratégia ou
um determinado objetivo de negócio.
• O nível de confiança com o qual a avaliação foi realizada e a possibilidade de riscos

desconhecidos.
• Quando medidas corretivas são necessárias para a definição da estratégia, dos objetivos de
negócio, das metas de desempenho ou das respostas ao risco.
Para desenvolver um perfil de risco, a organização determina o relacionamento entre o nível de

desempenho para uma estratégia ou um objetivo de negócio e a quantidade de riscos prevista.
Em um gráfico de riscos, o desempenho é representado no eixo x e o risco no eixo y (Figura
D.1). A linha resultante é geralmente designada como "curva de risco" ou "perfil de risco".
Figura D.1: Perfil do Risco
Cada ponto de dados é representado considerando a quantidade de riscos observada que

corresponde ao alcance de um objetivo de negócio ou à execução de uma estratégia. À medida
que o desempenho muda, a organização identifica como a quantidade de riscos pode mudar. O
risco pode mudar em virtude de mudanças na execução e no contexto de negócio.
Tanto a abordagem quantitativa como a abordagem qualitativa podem ser usadas para representar
pontos. Se a organização dispuser de dados suficientes sobre uma estratégia ou um objetivo de
negócio, ela poderá usar uma abordagem mais quantitativa, como modelagem probabilística ou
análise de regressão. Quando os dados não estiverem disponíveis ou quando os objetivos de
negócio forem menos importantes, a organização poderá preferir usar uma abordagem
qualitativa, como a realização de entrevistas, workshops com facilitadores ou benchmarking.
O Exemplo D.1 mostra como uma entidade representou seu perfil de risco.
Definição dos Objetivos, da Estratégia e dos Riscos
Incorporação do Apetite a riscos
Usando um perfil de risco, a organização pode descrever seu apetite a riscos em relação a uma
estratégia ou a um objetivo de negócio propostos. Na Figura D.2, o apetite a riscos é
representado como uma linha horizontal paralela ao eixo x (desempenho). O gradiente da linha
indica que o apetite a riscos permanece consistente para todos os níveis de desempenho em um
certo momento. O eixo y (risco) usa a mesma métrica ou demonstração de apetite a riscos
conforme é mencionado na declaração de apetite a riscos de uma entidade. Por exemplo, o eixo
y pode representar receitas a descoberto, valor a descoberto ou outra métrica.
Figura D.2: Perfil de Risco com o Apetite de Risco
A seção da curva partindo do ponto de interseção (Ponto A), onde ela continua acima da linha do
apetite a riscos, indica um nível de desempenho que excede o apetite da entidade e em que o
risco torna-se um fator perturbador.
As organizações podem querer também incorporar uma linha paralela adicional acima do apetite
a riscos para indicar a capacidade da entidade de assumir riscos, conforme apresentado na Figura
D.3.
Figura D.3: Perfil de Risco com Capacidade de
Risco
Utilização de Perfis de Risco para Analisar Estratégias Alternativas

As organizações podem desenvolver perfis de riscos potenciais como parte da análise de
estratégias alternativas. Para cada estratégia, uma organização pode preparar um perfil de risco
que reflita os tipos e a quantidade de riscos previstos. Esses perfis de risco prestam suporte ao
processo de seleção de estratégia destacando as diferenças no risco previsto para diferentes
estratégias.
A Figura D.4 mostra como os perfis podem ser comparados. A Alternativa A mostra uma curva
menos inclinada, indicando que a entidade enfrenta menos riscos incrementais à medida que o
desempenho aumenta. Isso significa que a interseção da curva de risco e do apetite a riscos está
mais à direita, indicando uma maior oportunidade de desempenho antes de a entidade exceder o
apetite. As entidades estabelecidas operando em mercados maduros e estáveis ou com partes
interessadas que preveem perfis de risco mais baixos podem buscar estratégias semelhantes à
Alternativa A.
Figura D.4: Perfis de Risco de Estratégias Alternativas
Por outro lado, as entidades que assumem riscos, como startups ou investidoras de risco, poderão
explorar estratégias mais típicas da Alternativa B. Nesse caso, a entidade buscaria um
desempenho mais agressivo em troca da assunção de riscos maiores.
As técnicas quantitativas e qualitativas são utilizadas para elaborar o perfil de riscos potenciais e
podem ser as mesmas ferramentas que são então utilizadas para dar suporte aos processos de
identificação e de avaliação de riscos. Isso inclui uma análise e uma modelagem quantitativas
quando houver dados suficientes para tal. Quando os dados não estiverem disponíveis, um
número maior de técnicas qualitativas poderá ser utilizado.
Análise dos Riscos no Estabelecimento de Objetivos de Negócio e na Definição de

Metas de Desempenho
Quando uma organização seleciona uma estratégia, ela realiza uma análise similar para
estabelecer os objetivos de negócio. As organizações que se deparam com objetivos alternativos
buscam entender a forma e a altura de uma curva para um objetivo de negócio potencial.
Primeiramente, a organização define uma meta de desempenho para os seus objetivos de

negócio. A meta de desempenho é determinada em relação ao apetite a riscos e à estratégia
selecionada. Em um perfil de risco, a meta mostra o desempenho almejado e a quantidade de
riscos correspondente (veja a Figura D.5).
Figura D.5: Perfil de Risco com Metar de
Desempenho
Além disso, ela mostra a distância entre a quantidade de riscos e o apetite a riscos aceitos.
Quanto mais agressiva for a entidade, menor será a distância entre a interseção da meta de
desempenho e a curva de risco (Ponto A), e entre a interseção da meta de desempenho e o apetite
a riscos (Ponto B).
Utilização dos Perfis de Risco para Demonstrar a Variação Aceitável no Desempenho

A organização em seguida determina a variação aceitável no desempenho em ambos os lados da
meta. Isso é mostrado nas figuras por meio das linhas pontilhadas paralelas à meta de
desempenho. A variação que fica aquém do piso da faixa de desempenho e a variação que
excede o teto da faixa de desempenho são definidas para refletir o apetite a riscos da entidade.
Não há necessidade de elas serem equidistantes da meta de desempenho. Quanto mais próximas
da meta de desempenho as variações forem definidas, menor será o apetite a riscos. No entanto,
ao definir as variações de forma mais próxima ao desempenho, a administração analisa as
ponderações relativas aos recursos adicionais necessários para gerenciar a variabilidade.
Identificação dos Riscos no Desempenho

As organizações identificam e avaliam os riscos para os objetivos de negócio e a estratégia
escolhida. Quaisquer potenciais riscos identificados como parte do processo de seleção são o
ponto de partida para a identificação e a avaliação dos riscos na execução. Esse processo gera
um perfil dos riscos reais para cada objetivo de negócio e estratégia geral — um que confirme os
riscos previstos ou um que indique os riscos adicionais.
Os riscos adicionais podem ser identificados por uma série de razões. A organização pode ter
concluído uma análise mais rigorosa após a seleção de um objetivo de negócio ou pode ter obtido
acesso a mais informações, dando-lhe maior confiança em relação ao seu entendimento do perfil
de risco, ou pode ter determinado a necessidade de atualizar a lista de riscos esperados devido à
ocorrência de mudanças no contexto de negócios.
Os resultados do processo de identificação de riscos, o universo de riscos, constituem a base a

partir da qual uma organização é capaz de elaborar um perfil de risco mais confiável.
Utilização de Perfis de Risco ao Avaliar os Riscos

Os riscos identificados e incluídos em um perfil de risco são avaliados com o objetivo de
entender o nível de gravidade relativamente à consecução da estratégia e dos objetivos de
negócio da entidade. A avaliação que a administração realiza da gravidade do risco pode enfocar
diferentes pontos do perfil de risco para diferentes finalidades:
• Confirmar que o desempenho da entidade está dentro da variação aceitável.
• Confirmar que o risco está de acordo com o apetite a riscos.
• Comparar a gravidade de um risco em vários pontos da curva.
• Avaliar o ponto de disrupção na curva, no qual a quantidade de riscos tenha excedido

consideravelmente o apetite a riscos da entidade e impacte seu desempenho ou a consecução
da estratégia e dos objetivos de negócio.
O perfil de risco na Figura D.6 representa a quantidade de riscos em um período de tempo

presumido. Para incorporar o tempo ao perfil de risco, a administração deve definir a meta de
desempenho com referência ao período.
Figura D.6: Avaliando o Uso do Risco com o Perfil
do Risco
Ao avaliar a distância da curva em relação ao eixo x, a administração analisa a quantidade

agregada de riscos conhecidos (riscos existentes, emergentes e novos) e desconhecidos. A
quantidade de riscos desconhecidos pode ser estimada com diferentes níveis de confiança
dependendo do tipo do objetivo de negócio, da experiência e do conhecimento da organização,
além dos dados disponíveis. Quando a quantidade de riscos desconhecidos for potencialmente
grande (p.ex., desenvolvimento de novas tecnologias), a distância entre a curva de risco e o eixo
x geralmente será maior para indicar um risco maior. Para objetivos de negócio em ambientes
mais desenvolvidos com dados de desempenho, conhecimento e experiência significativos, a
quantidade de riscos desconhecidos poderá ser considerada bem menos significativa, e a
distância entre a curva de risco e o eixo x será consequentemente menor. A distância da curva
em relação ao eixo x também demonstra como múltiplos riscos impactam o mesmo objetivo de
negócio.
A organização pode escolher usar diferentes métodos de avaliação para diferentes pontos da
curva de risco. Quando a variação aceitável no desempenho for o foco, a análise de dados de
risco poderá ser uma abordagem adequada. Quando da análise das seções extremas da curva,
workshops de análises de cenários poderão ser eficazes na determinação da altura e da forma da
curva.
Em relação à análise de estratégias alternativas e à identificação de riscos, a administração usa

abordagens quantitativas e qualitativas, ou uma combinação de ambas, para avaliar os riscos e
desenvolver um perfil de risco. As avaliações qualitativas são úteis quando os riscos não forem
suscetíveis à quantificação ou quando a obtenção de dados suficientes para quantificação não for
viável nem eficiente em termos de custo-benefício. Por exemplo, uma renomada empresa de
tecnologia está analisando se deve lançar um produto novo que atualmente não está disponível
no mercado. Ao elaborar um perfil do risco associado ao lançamento da P&D do novo produto,
a administração baseia-se em seu próprio conhecimento do negócio e na expertise de seus
engenheiros para determinar a altura e a forma da curva.
Para riscos que são mais facilmente quantificáveis, ou quando um detalhamento ou uma exatidão
maiores forem necessários, é mais apropriada a utilização de uma abordagem de modelagem de
probabilidade (p.ex., cálculo do valor a descoberto ou dos fluxos de caixa a descoberto). Por
exemplo, quando a mesma empresa de tecnologia avalia o risco da manutenção de operações em
um país estrangeiro, ela utiliza a modelagem ao elaborar a curva para identificar pontos
suficientes, estipulando a gravidade da sua exposição cambial.
Utilização de Perfis de Risco ao Priorizar os Riscos

O modo como as organizações priorizam os riscos pode afetar o perfil de risco para uma
estratégia ou um objetivo de negócio. Os exemplos a seguir mostram como os critérios de
priorização (consulte o Princípio 14) são incorporados ao perfil de risco:
•A adaptabilidade influencia a altura e a forma da curva de risco refletindo a relativa facilidade

com a qual a organização pode mudar e mover-se ao longo da curva.
•A complexidade de um risco geralmente irá fazer com que a curva de risco suba para refletir um
risco maior.
•A velocidade poderá afetar a distância na qual a variação aceitável no desempenho é definida

em relação à meta. (Observe que a velocidade do risco também reflete a terceira dimensão de
tempo e, dessa forma, não é refletida na curva de risco.)
•A persistência, que não foi apresentada na curva de risco por estar relacionada a uma terceira
dimensão, pode ser refletida no processo de diminuição da variação aceitável no desempenho
conforme a entidade reconhece o efeito contínuo sobre o desempenho.
•A recuperação, o tempo necessário para retornar ao nível de variação aceitável, é considerada

parte da persistência. O modo como a entidade se recupera irá moldar a curva de risco fora da
variação aceitável no desempenho e a facilidade relativa com a qual a entidade pode mover-se
ao longo da curva.
Muitas organizações escolhem usar a gravidade como um critério de priorização. Por exemplo,
considere os perfis de risco na Figura D.7. Se fosse solicitado a uma organização que ela
priorizasse os riscos no Perfil de Risco A em comparação com os riscos no Perfil de Risco B, ela
poderia muito bem selecionar o Risco #3 no Perfil de Risco A como o mais importante devido à
sua gravidade absoluta (uma perspectiva centrada no risco). No entanto, se a organização fosse
visualizar o Perfil de Risco A da perspectiva do objetivo de negócio, ela poderia ver que a
entidade ainda está de acordo com seu apetite a riscos em relação à meta de desempenho
específica. Na verdade, tanto o Perfil de Risco A como o Perfil de Risco B apresentam a mesma
gravidade de risco em relação às suas respectivas metas de desempenho. Consequentemente, a
gravidade de um risco (p.ex., o Risco #3 no Perfil de Risco A) não deve ser a única base de
priorização em relação a outros riscos.
Figura D.7: Utilizando Perfis de Risco para Comparar Riscos Impactando Objetivos
Utilização de Perfis de Risco ao Analisar as Respostas ao Risco

Assim que a organização elaborar um perfil de risco, ela poderá determinar se respostas
adicionais ao risco são necessárias. A altura e a forma da curva de risco podem ser afetadas
dependendo da resposta ao risco escolhida (veja o Princípio 15):
•Aceite: Nenhuma medida adicional é tomada para afetar a gravidade do risco, e o perfil de risco
não sofre alterações. Essa resposta é adequada quando o desempenho da entidade e o risco
correspondente estiverem abaixo da linha do apetite a riscos e dentro dos parâmetros que
indicam uma variação aceitável no desempenho.
•Recusa: Uma medida é tomada para remover o risco, o que pode significar suspender uma linha
de produção, recusar-se a expandir por um novo mercado geográfico ou vender uma divisão.
A opção pela recusa sugere que a organização não é capaz de identificar uma resposta que
poderia reduzir o impacto do risco a um nível aceitável de gravidade. A remoção de um risco
geralmente direcionará a curva para baixo e/ou para a esquerda com a intenção de ter o
desempenho almejado à esquerda da inserção da curva de risco e do apetite a riscos.
•Busca: Uma medida é tomada e ela aceita o risco maior associado ao alcance de um
desempenho maior. Isso pode envolver a adoção de estratégias de crescimento mais
agressivas, a expansão de operações ou o desenvolvimento de novos produtos e serviços. Ao
escolher explorar o risco, a administração entende a natureza e a extensão de quaisquer
mudanças necessárias para alcançar o desempenho almejado, ao mesmo tempo que não excede
o risco residual almejado. Aqui a curva de risco não pode mudar, mas a meta pode ser
definida em um ponto mais alto, e consequentemente, definindo a meta em um ponto diferente
da curva de risco.
•Redução: Uma medida é tomada para reduzir a gravidade do risco. Isso envolve qualquer uma
das diversas decisões de negócio diárias que reduzem o risco residual para o perfil de risco
residual e o apetite a riscos almejados. O objetivo da resposta ao risco é mudar a altura e a
forma da curva, ou de seções aplicáveis da curva para permanecer de acordo com o apetite a
riscos estabelecido para a entidade. Por outro lado, para os riscos que já estão de acordo com o
apetite, a resposta por meio de redução pode estar relacionada à redução na variabilidade de
desempenho por meio da utilização de recursos adicionais. A redução eficaz de um risco seria
ver uma diminuição da inclinação da curva de risco nas seções impactadas pela resposta ao
risco.
•Compartilhamento: Uma medida é tomada para reduzir o nível de gravidade de um risco

transferindo ou de qualquer outra forma compartilhando uma parte do risco. Técnicas comuns
incluem a terceirização para prestadoras de serviços especializados, a aquisição de produtos de
seguros e a participação em operações de hedging. Da mesma forma que a resposta por meio
de redução, o compartilhamento de riscos diminui o risco residual de maneira consistente com
o apetite a riscos da entidade. Uma seção da curva de risco pode sofrer alterações, embora toda
a curva de risco provavelmente compartilhe semelhanças com uma curva em que o risco não
tenha sido compartilhado.
•Avaliação do objetivo de negócio: A organização opta por avaliar e potencialmente revisar o

objetivo de negócio em decorrência da gravidade dos riscos e da variação aceitável no
desempenho identificadas. Isso poderá ocorrer quando outras categorias de respostas ao risco
não representarem os planos de ação almejados para a entidade.
•Avaliação da estratégia: A organização opta por avaliar e potencialmente revisar a estratégia

dado o nível de gravidade dos riscos identificados e o apetite a riscos da entidade. Do mesmo
modo que acontece com a avaliação dos objetivos de negócio, isso poderá ocorrer quando
outras categorias de respostas ao risco não representarem os planos de ação almejados para a
entidade. As revisões de uma estratégia ou a adoção de uma nova estratégia também requerem
que um novo perfil de risco seja elaborado.
A Figura D.8 mostra como um perfil de risco mudou após a aplicação de uma resposta ao risco,
como celebrar um contrato de seguro. Por exemplo, fruticultores podem adquirir um seguro
relacionado ao clima contra inundações ou tempestades que fariam com que seus níveis de
produção caíssem, ficando abaixo de um determinado volume mínimo. A curva de risco para
níveis de produção é menos inclinada para os resultados cobertos pelo seguro.
Figura D.8: Efeito da Resposta ao Risco
Elaboração de uma Visão do portfolio

Depois de selecionar as respostas ao risco, a administração elabora uma visão composta do risco
residual (p. ex., depois da avaliação e da implementação da resposta ao risco). Essa visão
composta forma uma visão de toda a carteira de riscos que a entidade enfrenta.
Ao passo que a visão do portfolio representa a visão do risco naquele nível, a administração pode
escolher representar aquela visão por meio de uma ampla gama de óticas. As Figuras D.9 e D.10
illustram duas alternativas para a visualização do perfil de risco. A primeira, a Figura D.9, ilustra
um perfil de risco ligado à estratégia e aos objetivos de negócio. A segunda, a Figura D.10,
ilustra o perfil de risco relacionado à visão do portfolio de objetivos da entidade.
Uma organização pode escolher como representar a carteira, a depender de como o desempenho
está articulado e de quem está participando. Por exemplo, o diretor financeiro pode enfocar uma
visão que expressa a gravidade do risco em relação ao desempenho financeiro. O diretor
operacional pode enfocar uma visão que expressa a gravidade do risco em relação ao
desempenho operacional. E o diretor de recursos humanos pode enfocar uma visão que expressa
a gravidade do risco em relação à cultura e à alocação de recursos. Contudo, cada uma dessas
visões baseia-se em um entendimento compartilhado do risco aos objetivos de negócio.
Por meio da visão do portfolio, a organização identifica os riscos que são graves no nível da
entidade. A Figura D.9 mostra a visão do portfolio de riscos.
Figura D.9: Visualização do Portfolio Utilizando Objetivos no Nível da Entidade
Ao preparar uma visão do portfolio, a organização pode também escolher elaborar um perfil de
risco que proporciona um contexto adicional à visão do portfolio. A Figura D.10 ilustra o perfil
de risco de dois objetivos no nível da entidade. O primeiro gráfico ilustra como o risco à
consecução do objetivo um (no nível atual de desempenho) está de acordo com o apetite a riscos
e a capacidade para o risco (e conforme mostrado em verde na Figura D.9). O segundo gráfico
ilustra como o risco à consecução do objetivo dois da entidade está acima do apetite a riscos, em
que pese estar de acordo com a capacidade de assumir riscos (mostrado em vermelho na Figura
D.9). Essas duas perspectivas são refletidas acima na Figura D.9.
Figura D.10: Relacionando o Perfil do Risco
ao Objetivo da Entidade
Uma organização normalmente utiliza tanto técnicas qualitativas quanto técnicas quantitativas ao
elaborar essa visão. As técnicas qualitativas, por sua vez, incluem análise de cenário e
benchmarking. As técnicas quantitativas incluem a modelagem da regressão e outros meios de
análise estatística para entender a sensibilidade da carteira a grandes mudanças e impactos.
Essas mudanças podem ser representadas como mudanças na curva ou no gradiente de risco.
A análise pode também identificar o ponto da curva onde a mudança se torna uma disrupção para
o desempenho da entidade. Por exemplo, utilizando o objetivo da entidade um, uma organização
identifica que uma queda de mais de 25% em um índice específico representa uma mudança
disruptiva em que a entidade excede seu apetite a riscos e afeta a consecução da estratégia. Isso
é representando no ponto em que o gradiente da curva aumenta significativamente (Ponto A).
Além disso, a organização determina que uma queda de 50% impactaria o desempenho a ponto
de fazer com que a entidade excedesse sua capacidade de assumir riscos, ameaçando sua
viabilidade. Isso é representado no ponto onde a curva de risco atravessa a linha da capacidade
de gerenciamento do risco (Ponto B).
Ao aplicar o teste de estresse, a análise do cenário ou outros exercícios analíticos, uma

organização pode evitar grandes surpresas e prejuízos, bem como pode responder de modo mais
eficaz e eles. Ao analisar o efeito de mudanças hipotéticas na visão do portfolio, a organização
identifica potenciais novos riscos emergentes ou em constante mudança e avalia a adequação das
respostas ao risco existentes. O propósito desses exercícios é que a administração seja capaz de
avaliar a capacidade adaptativa da entidade. Eles também ajudam a administração a contestar as
premissas que serviram de base para a seleção da estratégia e para a avaliação do perfil de risco
da entidade.
Monitoramento do desempenho do gerenciamento de riscos

As organizações podem usar representações gráficas para entender como o risco está afetando o
desempenho. Como mostrado na Figura D.11, a administração analisa o perfil de risco para
determinar se o nível atual do risco de desempenho é maior ou menor do que o esperado ou
conforme o esperado comparativamente aos resultados da avaliação de risco. Adicionalmente, a
administração analisa se a mudança no desempenho gerou novos fatores que influenciam a forma
da curva. Com base nessa análise, a administração pode tomar medidas corretivas.
• A organização tem desempenhado conforme esperado e alcançado sua meta? Usando o perfil
de risco, a organização avalia o desempenho definido e determina se as metas foram
alcançadas ou se ocorreram variações. O Ponto B na figura mostra uma organização que não
atingiu o desempenho planejado (Ponto A), mas permanece dentro da variação aceitável.
• Quais riscos estão ocorrendo que podem estar afetando o desempenho? Ao avaliar o
desempenho, a organização observa quais riscos ocorreram ou estão ocorrendo atualmente. O
monitoramento confirma se os riscos foram previamente identificados ou se riscos novos e
emergentes ocorreram. Em outras palavras, os riscos que foram identificados e avaliados e
que influenciam a forma e a altura da curva de risco são consistentes com o que é observado
na prática?
• A entidade estava assumindo riscos suficientes para atingir sua meta? Quando uma entidade
não atinge sua meta, ela busca entender se os riscos que ocorreram estão afetando a
consecução dessa meta ou se os riscos assumidos foram insuficientes para prestar suporte à
consecução da meta. Dado o real desempenho da entidade, conforme apresentado na figura,
o Ponto B também indica que mais riscos poderiam ter sido assumidos pela entidade para que
ela alcançasse sua meta.
• A estimativa do risco foi precisa? Nos casos em que o risco não tenha sido avaliado de modo
preciso, a organização busca entender o motivo. Ao analisar a avaliação da gravidade, a
organização contesta o entendimento do contexto de negócios, as premissas que serviram de
base para a avaliação inicial e se informações novas foram disponibilizadas para ajudar a
aprimorar os resultados da avaliação. O Ponto C na figura indica quando uma entidade
enfrentou mais riscos do que o previsto para um determinado nível de desempenho.
Figura D.11: Utilizando Perfis de Risco para

Monitoramento do Desempenho
Com os resultados das atividades de monitoramento, a organização pode determinar o plano de

ação mais adequado.
espaço
espaço acima da contracapa

Coso 2017

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Coso 2017

Enviado por

Direitos autorais:

Formatos disponíveis

Número ISBN do eBook: 978-1-94549-886-2

Comitê de Organizações Patrocinadoras da Comissão Treadway

O Cenário de Risco em constante transformação

Uma Estrutura Focada

Uma análise do Futuro

Committee of Sponsoring Organizations of the Treadway Commission

Aplicação da Estrutura: Contextualização

2. Entendendo os Termos: Risk and Enterprise Risk Management

3. Estratégia, Objetivos do Negócio, e Performance

4. Integrando Enterprise Risk Management

7. Estratégia e Objetivos- Configurações

10. Informação, Comunicação e Reporte

O Gerenciamento de Riscos Corporativos Afeta o Valor

Missão, Visão, e Valores Fundamentais

O Gerenciamento de Riscos Corporativos Afeta a Estratégia

O Gerenciamento de Riscos Corporativos é Vinculado ao Negócio

O Gerenciamento de Riscos Corporativos e a Capacidade de Adaptar-se, Sobreviver, e

2. |Entendendo os Termos: Riscos e Gerenciamento de Riscos Corporativos

Definição de Riscos e Incertezas

Definição do Gerenciamento de Riscos Corporativos

O Desenvolvimento das Competências

3. Estratégia, Objetivos do Negócio, e Desempenho

Gerenciamento de Riscos Corporativos e Estratégia

4. Integração do Gerenciamento de Riscos Corporativos

Em Prol da Integração Total

A Abordagem da Integração na Estrutura

Componentes e Princípios do Gerenciamento de Riscos Corporativos

Avaliação do Gerenciamento de Riscos Corporativos

Habilidades, Experiências, e Conhecimento do Negócio

Adequando o Gerenciamento de Riscos Corporativos

Princípio 2: Estabelece Estruturas Organizacionais

Estrutura Operacional e Níveis de Subordinação

Estruturas de Gerenciamento de Riscos Corporativos

O Gerenciamento de Riscos Corporativos dentro da Entidade em Evolução

Princípio 3: Estipula a Cultura Desejada

Cultura e Comportamento Desejados

O alinhamentos dos valores principais, da tomada de decisões e do comportamentoMudança

Uma Cultura em Mudança

Princípio 4: Demonstra Compromentimento com os Valores Essenciais

Refletindo Valores Essenciais em toda a Organização

Incorporação de uma Cultura Consciente dos Riscos

Uma Comunicação Aberta e sem Retaliação

Resposta aos Desvios em Relação aos Valores Essenciais e aos Comportamentos

Estabelecimento e Avaliação de Competências

Atração, Desenvolvimento e Retenção de Indivíduos

Recompensando pelo Desempenho

Preparando para a Sucessão

7. Definição dos Objetivos e da Estratégia

Princípio 6: Analisa o Contexto dos Negócios

Entendimento do Contexto dos Negócios

Considerando o Ambiente Externo e as Partes Interessadas Externas

Considerando o Ambiente Interno e as Partes Interessadas Internas

Como o Contexto dos Negócios Afeta o Perfil de Risco

Princípio 7: Define o Apetite a Risco

Aplicando o Apetite a Riscos

Determinando o Apetite a Riscos

Articulação do Apetite a Riscos

Utilizando o Apetite a Riscos

Princípio 8: Avalia as Estratégias Alternativas

A importância do Alinhamento da Estratégia

Entendimento das Implicações da Estratégia Escolhida

Alinhando da Estratégia com o Apetite a Riscos

Realizando Alterações na Estratégia