Eduardo-Person-Pardin.png

Eduardo Person Pardini

É sócio principal, responsável pelos projetos de governança, gestão de riscos, controles internos e auditoria interna da Crossover Consulting & Auditing. É diretor executivo do Internal Control Institute - Chapter Brasil, palestrante e instrutor do IIA Brasil.

artigos colunistasLeia todos os artigos


Estrutura do COSO gestão de riscos - Conhecendo os principais pontos da atualização

Voltar

No início de setembro a organização COSO publicou a atualização de sua estrutura de gerenciamento de riscos corporativos a qual foi originalmente publicada no ano 2004.

Nesta última década o mercado e o ambiente de negócios sofreu modificações profundas, fazendo com que este paradigma de boas práticas tenha uma visão mais alinhada com as necessidades atuais das corporações.

Como a própria organização COSO reconhece, a gestão de riscos tem se aperfeiçoado nos últimos anos, entretanto, o aumento da volatilidade e complexidade das operações globalizadas ou não, tem desafiado as empresas a contar com uma estrutura flexível e muito mais adaptável às mudanças de forma a dar sustentabilidade e perenidade, mitigando os riscos de reputação, confiança e relevância operacional.

A transparência e a responsabilidade pela prestação de contas (accountability) são atributos de governança que devem estar presentes nas agendas de qualquer Conselho e Executivo, os quais têm a responsabilidade de fortalecê-los em todas as camadas organizacionais.

Em tese esta atualização não altera o conceito do gerenciamento de riscos, contudo, expande o alcance e a visão de riscos. Um dos direcionadores é o fortalecimento da integração do Conselho, Executivos e Stakeholders, facilitando desta forma o entendimento de que o gerenciamento de riscos, se utilizado de forma mais abrangente e compreensiva, auxilia e apoia a empresa na obtenção de vantagem competitiva.

Nesta nova visão, o Conselho deve expandir sua responsabilidade de supervisão para o processo de gerenciamento de riscos tornando-o mais efetivo. Na atual estrutura o Conselho utiliza os resultados da gestão de riscos para supervisionar a operação, agora ele precisa estar mais integrado com o processo.

Esta visão acima vem de encontro com a posição de nossa empresa, além disto, a organização COSO traz para reflexão alguns tópicos, os quais venho constantemente abordando nos projetos de implantação e/ou nos programas de capacitação em gestão de riscos, que são:

a. Gestão de riscos não é uma função ou tão pouco um departamento. É parte integrante da cultura e da prática de gestão. Não é mais alguma coisa que o gestor deve realizar, mas sim o que ele deve observar em sua responsabilidade diária de gestão,

b. Gestão de riscos é mais do que uma atividade de relacionar riscos, ou criar um inventário de riscos,

c. A visão de riscos deve ser uma prática de gestão que integra a estratégia com operação,

d. Como resposta ao risco endereça muito mais do que somente controles internos, sua visão deve ser mais abrangente,

e. O processo de gerenciamento de riscos é um sistema integrado de monitoramento, aprendizado e melhoria de desempenho; não é um simples processo de check-list de atividades e nem se resume em uma matriz de riscos,

f. E pode ser adotado por empresas de todos os setores e tamanhos.

Observem que estes pontos acima não são nenhuma novidade para as organizações que efetivamente se utilizam desta ferramenta para a gestão estratégica de seus negócios, mas para as corporações que estão em processo de implantação ou ainda não entenderam a real valia de uma efetiva gestão de riscos, possibilita uma mudança neste posicionamento, permitindo uma compreensão profunda da aplicação deste processo de identificação, avaliação e tratamento dos riscos.

Uma das novidades desta atualização é que a estrutura de gerenciamento de riscos não é mais demonstrada em forma de cubo, mas sim, demonstrado através de duas figuras as quais são demonstradas a seguir.

Riscos e seu papel na definição da estratégia

imagem pardini 18092017

Esta primeira figura demonstra a importância de ter uma definição de objetivos estratégicos alinhados a missão, visão e valores da organização para o fortalecimento de seu desempenho, o qual pode ser afetado devido a existência dos seguintes pontos:

a. Possibilidade da estratégia não estar alinhada com a missão e visão da organização. Normalmente a gestão de riscos verifica se a empresa conta com objetivos estratégicos ou se os eventos que possam impactar a realização dos objetivos são conhecidos. A visão agora avaliar se a estratégia esta alinhada com a visão, missão e valores da organização.

b. Outro ponto importante neste quesito é avaliar se a estratégia escolhida é alinhada com o apetite a risco, com os recursos requeridos e com o retorno almejado.

A falta deste alinhamento potencializa o risco da empresa não criar valor às partes relacionadas, além do que, pode comprometer sua operacionalidade e desgastar o valor existente.

A alta gestão tem como responsabilidade definir o apetite a risco, além de supervisionar para que este apetite a risco seja base para a definição da estratégia da organização.

Como descrito no sumário executivo, a gestão de riscos tem contribuído  na identificação e avaliação dos riscos estratégicos, entretanto, as maiores causas de desgaste dos valores criados, se dá pelo não alinhamento da estratégia com a missão, visão e valores da corporação, por isto a ênfase acima neste quesito.

Gestão de riscos corporativos integrados

imagem pardini 18092017 1

Esta outra figura demonstra também a importância da utilização da gestão de riscos na definição da estratégia alinhada à missão, valores e visão, e determina que o sucesso para um desempenho operacional gerador de riqueza acontece através da integração e equilíbrio de todos os departamentos e funções.

Semelhante à estrutura do COSO controles Internos, esta nova visão estabelece vinte princípios organizados entre os cinco componentes inter-relacionados.

Estes princípios cobrem todo o entendimento entre as atividades de governança e monitoramento, auxiliando as corporações se prepararem para estar aderente a esta melhor prática.

Vamos conhecer primeiro estes cinco componentes ordenadores desta estrutura:

1. Governança e Cultura: A governança estabelece o “tone of the top”, reforçando sua importância e estabelecendo a responsabilidade pela supervisão da operação pela alta gestão, incluindo a supervisão do gerenciamento de riscos corporativos. A cultura estabelece os valores éticos, o comportamento desejado e a compreensão dos riscos da entidade.

2. Estratégia e o estabelecimento dos objetivos: O gerenciamento de riscos corporativos, a estratégia e o estabelecimento de objetivos são atividades que devem estar presente no processo de planejamento estratégico. O apetite a risco é estabelecido e alinhado com a estratégia.

Os objetivos de negócio colocam a estratégia em pratica, enquanto serve de base para identificar, avaliar e tratar os riscos.

3. Desempenho: Os riscos que podem afetar a consecução da estratégia e dos objetivos de negócios precisam ser identificados e avaliados. Os riscos são priorizados pela sua magnitude considerando dentro do contexto do apetite ao risco. Com base nisto, a organização seleciona as respostas para o risco e cria uma visão de portfólio considerando a quantidade de risco assumida. Os resultados desse processo são relatados para os principais stakeholders.

4. Análise e Revisão: Ao analisar o desempenho da entidade, uma organização deve avaliar a efetividade dos componentes do processo de gerenciamento de risco, confirmando se estão funcionando ao longo do tempo e à luz de mudanças significativas, definindo quais serão as revisões necessárias para o fortalecimento da efetividade deste processo.

5. Informação, comunicação e relatórios: Gerenciamento de risco corporativo requer um processo contínuo de obtenção e compartilhamento de informações necessárias para a gestão da operação, sejam de fontes internas como também, de fontes externas, que flui de cima para baixo e de baixo para cima, através de todas as camadas da organização.

Como comentei acima, para facilitar a aderência operacional a estes cinco componentes, foi definido um conjunto de princípios, os quais abrangem da governança até o monitoramento. Eles são gerenciáveis em tamanho e descrevem práticas que podem ser aplicadas de maneiras distintas para diferentes organizações, independentemente do seu tamanho, tipo ou setor.

A adesão a esses princípios fornece à administração e ao Conselho uma razoável certeza de que a organização entendeu e se esforça para gerenciar os riscos associados à sua estratégia e objetivos de negócios.

Vejamos os princípios para cada um dos componentes:

Governança e Cultura:

1. Exercitar a responsabilidade de supervisão do Conselho sobre os riscos estratégicos e operacionais
2. Estabelecer estruturas operacionais compatíveis com a estratégia
3. Definir a cultura desejada
4. Demonstrar compromisso com os Valores Fundamentais da corporação
5. Atrair, desenvolver e manter indivíduos capazes para a execução de suas obrigações

Estratégia e o estabelecimento dos objetivos:

6. Analisar o contexto empresarial e de negócio
7. Definir o apetite ao risco
8. Avaliar as estratégias alternativas existentes
9. Formular os objetivos do negócio alinhado a missão, visão e valores

Desempenho:

10. Identificar o Risco
11. Avaliar a magnitude do Risco
12. Priorizar Riscos
13. Definir e implementar as respostas aos risco
14. Desenvolver a visão de portfólio para riscos

Análise e Revisão:

15. Avaliar as mudanças significativas
16. Revisar riscos e desempenho
17. Buscar a melhoria no gerenciamento de riscos empresariais

Informação, comunicação e relatórios:

18. Alavancar a informação através da tecnologia
19. Comunicar informações sobre riscos
20. Elaborar relatórios sobre risco, cultura e desempenho

O desafio para as empresas é que continuaremos a enfrentar um futuro de grande volatilidade, complexidade e ambiguidade, de forma que a gestão de riscos tem um papel primordial de auxiliar a empresa atravessar este período prospectando e gerenciando as ameaças existentes que possam impactar o desempenho da organização.

Quando olhamos para o futuro, vemos uma série de tendências que poderão afetar o processo de gerenciamento de riscos, e a organização COSO aponta quatro destas tendências que devem ser observadas de perto, que são:

  • Lidar com a o aumento e a proliferação de dado,
  • Entender o impacto de novas tecnologias como a inteligência artificial e automação
  • Gerenciar o custo do gerenciamento de riscos, dos processos de compliance e da gestão de controles internos em comparação com o retorno obtido.

Esta atualização é muito recente e meu objetivo foi de uma maneira objetiva, abordar os principais pontos que deve ser considerado, logicamente com base em meu entendimento.

Este artigo não tem a pretensão de ser uma posição final, muito pelo contrário, ele tem como objetivo de fomentar a reflexão sobre o tema. Com o decorrer do tempo esta visão vai se amadurecendo a qual ensejará novos artigos.

(18.09.2017)

Crossover logo