Notícias

Estrutura do COSO gestão de riscos - Conhecendo os principais pontos da atualização.
Publicada em 15/10/2017 por Crossover, por Eduardo Person Pardini


No inicio de setembro a organização COSO publicou a atualização de sua estrutura de gerenciamento de riscos corporativos a qual foi originalmente publicada no ano 2004.

Nesta ultima década o mercado e o ambiente de negócios sofreu modificações profundas, fazendo com que este paradigma de boas práticas tenha uma visão mais alinhada com as necessidades atuais das corporações.

Como a própria organização COSO reconhece, a gestão de riscos tem se aperfeiçoado nas últimos anos, entretanto, o aumento da volatilidade e complexidade das operações globalizadas ou não, tem desafiado as empresas a contar com uma estrutura flexível e muito mais adaptável as mudanças de forma a dar sustentabilidade e perenidade,  mitigando os riscos de reputação, confiança e relevância operacional.

A transparência e a responsabilidade pela prestação de contas (accountability) são atributos de governança que devem estar presentes nas agendas de qualquer Conselho e Executivo, os quais têm a responsabilidade de fortalecê-los em todas as camadas organizacionais.

Em tese esta atualização não altera o conceito do gerenciamento de riscos, contudo, expande o alcance e a visão de riscos.  Um dos direcionadores é o fortalecimento da integração do Conselho, Executivos e Stakeholders, facilitando desta forma o entendimento de que o gerenciamento de riscos, se utilizado de forma mais abrangente e compreensiva, auxilia e apoia a empresa na obtenção de vantagem competitiva.

Nesta nova visão, o Conselho deve expandir sua responsabilidade de supervisão para o processo de gerenciamento de riscos tornando-o mais efetivo. Na atual estrutura o Conselho utiliza os resultados da gestão de riscos para supervisionar a operação, agora ele precisa estar mais integrado com o processo.

Esta visão acima vem de encontro com a posição de nossa empresa, além disto, a organização COSO traz para reflexão alguns tópicos, os quais venho constantemente abordando nos projetos de implantação e/ou nos programas de capacitação em gestão de riscos, que são:

  1. Gestão de riscos não é uma função ou tão pouco um departamento. É parte integrante da cultura e da prática de gestão. Não é mais alguma coisa que o gestor deve realizar, mas sim o que ele deve observar em sua responsabilidade diária de gestão,
  2. Gestão de riscos é mais do que uma atividade de relacionar riscos, ou criar um inventário de riscos,
  3. A visão de riscos deve ser uma prática de gestão que integra a estratégia com operação,
  4. Como resposta ao risco endereça muito mais do que somente controles internos, sua visão deve ser mais abrangente,
  5. O processo de gerenciamento de riscos é um sistema integrado de monitoramento, aprendizado e melhoria de desempenho; não é um simples processo de check-list de atividades e nem se resume em uma matriz de riscos,
  6. E pode ser adotado por empresas de todos os setores e tamanhos.

Observem que estes pontos acima não são nenhuma novidade para as organizações que efetivamente se utilizam desta ferramenta para a gestão estratégica de seus negócios, mas para as corporações que estão em processo de implantação ou ainda não entenderam a real valia de uma efetiva gestão de riscos, possibilita uma mudança neste posicionamento, permitindo uma compreensão profunda da aplicação deste processo de identificação, avaliação e tratamento dos riscos.

Uma das novidades desta atualização é que a estrutura de gerenciamento de riscos não é mais demonstrada em forma de cubo, mas sim, demonstrado através de duas figuras as quais são demonstradas a seguir.

Riscos e seu papel na definição da estratégia

A primeira figura demonstra a importância de ter uma definição de objetivos estratégicos alinhados a missão, visão e valores da organização para o fortalecimento de seu desempenho, o qual pode ser afetado devido a existência dos seguintes pontos:

  1. Possibilidade da estratégia não estar alinhada com a missão e visão da organização. Normalmente a gestão de riscos verifica se a empresa conta com objetivos estratégicos ou se os eventos que possam impactar a realização dos objetivos são conhecidos. A visão agora avaliar se a estratégia esta alinhada com a visão, missão e valores da organização.
  2. Outro ponto importante neste quesito é avaliar se a estratégia escolhida é alinhada com o apetite a risco, com os recursos requeridos e com o retorno almejado.

A falta deste alinhamento potencializa o risco da empresa não criar valor às partes relacionadas, além do que, pode comprometer sua operacionalidade e desgastar o valor existente.

A alta gestão tem como responsabilidade definir o apetite a risco, além de supervisionar para que este apetite a risco seja base para a definição da estratégia da organização.

Como descrito no sumario executivo, a gestão de riscos tem contribuído a na identificação e avaliação dos riscos estratégicos, entretanto, as maiores causas de desgaste dos valores criados, se da pelo não alinhamento da estratégia com a missão, visão e valores da corporação, por isto a ênfase acima neste quesito.

 

Gestão de riscos corporativos integrados

A segunda figura demonstra também a importância da utilização da gestão de riscos na definição da estratégia alinhada à missão, valores e visão, e determina que o sucesso para um desempenho operacional gerador de riqueza acontece através da integração e equilíbrio de todos os departamentos e funções.

Semelhante à estrutura do COSO controles Internos, esta nova visão estabelece vinte princípios organizados entre os cinco componentes inter-relacionados. Estes princípios cobrem todo o entendimento entre as atividades de governança e monitoramento, auxiliando as corporações se prepararem para estar aderente a esta melhor prática.

Vamos conhecer primeiro estes cinco componentes ordenadores desta estrutura:

  1. Governança e Cultura: A governança estabelece o “tone of the top”, reforçando sua importância e estabelecendo a responsabilidade pela supervisão da operação pela alta gestão, incluindo a supervisão do gerenciamento de riscos corporativos. A cultura estabelece os valores éticos, o comportamento desejado e a compreensão dos riscos da entidade.
  2. Estratégia e o estabelecimento dos objetivos: O gerenciamento de riscos corporativos, a estratégia e o estabelecimento de objetivos são atividades que devem estar presente no processo de planejamento estratégico. O apetite a risco é estabelecido e alinhado com a estratégia. Os objetivos de negócio colocam a estratégia em pratica, enquanto serve de base para identificar, avaliar e tratar os riscos.
  3. Desempenho: Os riscos que podem afetar a consecução da estratégia e dos objetivos de negócios precisam ser identificados e avaliados. Os riscos são priorizados pela sua magnitude considerando dentro do contexto do apetite ao risco. Com base nisto, a organização seleciona as respostas para o risco e cria uma visão de portfólio considerando a quantidade de risco assumida. Os resultados desse processo são relatados para os principais stakeholders.
  4. Análise e Revisão: Ao analisar o desempenho da entidade, uma organização deve avaliar a efetividade dos componentes do processo de gerenciamento de risco, confirmando se estão funcionando ao longo do tempo e à luz de mudanças significativas, definindo quais serão as revisões necessárias para o fortalecimento da efetividade deste processo.
  5. Informação, comunicação e relatórios: Gerenciamento de risco corporativo requer um processo contínuo de obtenção e compartilhamento de informações necessárias para a gestão da operação, sejam de fontes internas como também, de fontes externas, que flui de cima para baixo e de baixo para cima, através de todas as camadas da organização.

Como comentei acima, para facilitar a aderência operacional a estes cinco componentes, foi definido um conjunto de princípios, os quais abrangem da governança até o monitoramento. Eles são gerenciáveis em tamanho e descrevem práticas que podem ser aplicadas de maneiras distintas para diferentes organizações, independentemente do seu tamanho, tipo ou setor.

A adesão a esses princípios fornece à administração e ao Conselho uma razoável certeza de que a organização entendeu e se esforça para gerenciar os riscos associados à sua estratégia e objetivos de negócios.

Vejamos os princípios para cada um dos componentes:

Governança e Cultura:

  1. Exercitar a responsabilidade de supervisão do Conselho sobre os riscos estratégicos e operacionais,
  2. Estabelecer estruturas operacionais compatíveis com a estratégia
  3. Definir a cultura desejada
  4. Demonstrar compromisso com os Valores Fundamentais da corporação
  5.  Atrair, desenvolver e manter indivíduos capazes para a execução de suas obrigações

 

Estratégia e o estabelecimento dos objetivos:

  1. Analisar o contexto empresarial e de negócio
  2. Definir o apetite ao risco
  3. Avaliar as estratégias alternativas existentes
  4.  Formular os objetivos do negócio alinhado a missão, visão e valores

Desempenho:

  1. Identificar o Risco
  2. Avaliar a magnitude do Risco
  3. Priorizar Riscos
  4. Definir e implementar as respostas aos risco
  5.  Desenvolver a visão de portfólio para riscos

Análise e Revisão:

  1. Avaliar as mudanças significativas
  2.  Revisar riscos e desempenho
  3.  Buscar a melhoria no gerenciamento de riscos empresariais

Informação, comunicação e relatórios:

  1. Alavancar a informação através da tecnologia
  2. Comunicar informações sobre riscos
  3. Elaborar relatórios sobre risco, cultura e desempenho

O desafio para as empresas é que continuaremos a enfrentar um futuro de grande volatilidade, complexidade e ambiguidade, de forma que a gestão de riscos tem um papel primordial de auxiliar a empresa atravessar este período prospectando e gerenciando as ameaças existentes que possam impactar o desempenho da organização.

Quando olhamos para o futuro, vemos uma série de tendências que poderão afetar o processo de gerenciamento de riscos, e a organização COSO aponta quatro destas tendências que devem ser observadas de perto, que são:

  • Lidar com a o aumento e a proliferação de dado,
  • Entender o impacto de novas tecnologias como a inteligência artificial e automação
  • Gerenciar o custo do gerenciamento de riscos, dos processos de compliance e da gestão de controles internos em comparação com o retorno obtido.

Esta atualização é muito recente e meu objetivo foi de uma maneira objetiva, abordar os principais pontos que deve ser considerado, logicamente com base em meu entendimento.

Este artigo não tem a pretensão de ser uma posição final, muito pelo contrário, ele tem como objetivo de fomentar a reflexão sobre o tema. Com o decorrer do tempo esta visão vai se amadurecendo a qual ensejará novos artigos.