top of page

ANÁLISE

Âncora 1

COSO II, ERM, 2004
se adapta ao Mundo VICA -
mudando seu Framework
para o nível Estratégico

Prof. Dr. Antonio Celso Ribeiro Brasiliano, CIGR, CRMA, CES, DEA, DSE, MBS

Doutor em Science et Ingénierie de L’Information et de L’Intelligence Stratégique, pela

Université East Paris - Marne La Vallée – Paris – França, é presidente da Brasiliano INTERISK.

abrasiliano@brasiliano.com.br

Ao longo da última década, o COSO II, 2004, denominado de ERM – Enterprise Risk Management, ou Gestão Integrada de Riscos ganhou ampla aceitação pelas organizações em seus esforços para gerenciar riscos corporativos. No entanto, também durante esse período, o mundo tornou-se VICA, volátil, incerto, complexo e ambíguo, fazendo com que os riscos fossem interconectados, interdependentes e em tempo real.

1. Introdução

 

Este cenário ficou mais complexo e estratégico o gerenciamento de riscos corporativos, fazendo com que os conselhos de administração tivessem maior responsabilidade e conscientização na supervisão sobre a gestão de riscos corporativos, pedindo relatórios de riscos aprimorados os seus executivos.

O COSO - Committee of Sponsoring Organizations of the Treadway Commission, instituição sem fins lucrativos, criada desde 1985, com o objetivo atual de desenvolvimento de estruturas abrangentes e orientação sobre controle interno, gerenciamento de riscos corporativos e dissuasão de fraude, projetada para melhorar nas organizações o desempenho, supervisão e reduzir a extensão da fraude, resolveu, tendo em vista todo este contexto do mundo VICA, realizar uma revisão radical, em relação a publicação de 2004.

Nesta revisão, 2017, o COSO ERM Enterprise Risk Management – Alinhando Riscos com Estratégia e Desempenho, novo nome recebido, deu um enorme salto qualitativo em termos de estar agora integrado de forma direta e clara com a estratégia e os objetivos de negócio da empresa. Ou seja, não há como a empresa realizar seu Planejamento Estratégico sem levar em consideração mais os riscos que podem afetar tanto as estratégias como seus objetivos.

Desta forma o COSO ERM - Enterprise Risk Management - Alinhando Riscos com Estratégia e Desempenho, reconhece a crescente importância da conexão entre a estratégia e o desempenho da empresa. O conteúdo atualizado oferece uma perspectiva sobre conceitos e aplicações do gerenciamento de riscos corporativos, sob a ótica da integração destas áreas.

Além disso, mudou o Framework. O famoso “cubo”, com a visão tridimensional, com oito fases, não mais existe. Ficou reduzida, mas muito melhor alinhada com as questões estratégicas, em cinco componentes e vinte princípios, dos quais 45% destes princípios são ligados diretamente a integração entre riscos e a estratégia corporativa.   

Isto significou que o gestor de riscos tem que possuir competências da visão holística da empresa, pois faz com que haja, no novo framework, a revisão de estratégias corporativas com seus riscos e a tomada de decisões. A atualização do Framework do COSO ERM - Enterprise Risk Management - Alinhando Riscos com Estratégia e Desempenho fornece:

  • Maior visibilidade do papel do gerenciamento de riscos corporativos ao estabelecer e executar a estratégia;

  • Melhora o alinhamento entre desempenho e gerenciamento de riscos corporativos;

  • Acomoda expectativas de governança e a supervisão;

  • Reconhece a globalização dos mercados e das operações e a necessidade de aplicar uma abordagem comum, embora personalizada,
    entre as geografias;

  • Apresenta novas formas de ver o risco para a definição e a consecução de objetivos no contexto de uma maior complexidade empresarial;

  • Expande relatórios para atender às expectativas de maior transparência das partes interessadas;

  • Acomoda tecnologias em evolução e o crescimento da análise de dados no suporte à tomada de decisões.


Ele também define, conceitua componentes e princípios, e fornece orientação para todos os níveis de gerenciamento de riscos corporativos, envolvidos na concepção, implementação e operacionalização da gestão de riscos.

2. Riscos e seu papel na definição da estratégia
COSO, COSO ERM, Atualização COSO, Brasiliano,

Figura 1 – Definição dos objetivos estratégicos alinhados com a Missão, Visão e Valores, visando a Performance
Fonte: COSO ERM Enterprise Risk Management, Integrating with Strategy and Performance Executive Summary, 2017

O COSO ERM - Enterprise Risk Management - Alinhando Riscos com Estratégia e Desempenho, 2017, possui dois frameworks, o primeiro, Figura 1, demonstra a importância de ter uma definição de objetivos estratégicos alinhados com a missão, visão e valores da empresa para o fortalecimento de seu desempenho, o qual pode ser afetado devido a existência dos seguintes pontos:

 

a. Possibilidade da estratégia não estar alinhada com a missão e visão da organização. Normalmente a gestão de riscos verifica se a empresa conta com objetivos estratégicos ou se os eventos que possam impactar a realização dos objetivos são conhecidos. A visão agora avaliar se a estratégia está alinhada com a visão, missão e valores da organização.

 

b. Outro ponto importante neste quesito é avaliar se a estratégia escolhida é alinhada com o apetite a risco, com os recursos requeridos e com o retorno almejado.

 

A falta deste alinhamento potencializa o risco da empresa de não criar valor às partes relacionadas, além do que, pode comprometer sua operacionalidade e desgastar o valor existente.

 

A alta gestão tem como responsabilidade definir o apetite a risco, além de supervisionar para que este apetite a risco seja base para a definição da estratégia da organização.

 

A gestão de riscos tem contribuído na identificação e avaliação dos riscos estratégicos, entretanto, as maiores causas de desgaste dos valores criados, se dá pelo não alinhamento da estratégia com a missão, visão e valores da empresa, por esta razão a importância dada nesta questão na revisão do COSO ERM 2017.

 

A gestão de risco da empresa não cria a estratégia da organização, mas informa para alta administração e Conselho de Administração sobre os riscos associados às estratégias alternativas consideradas e, em última análise, com a estratégia adotada. A organização precisa avaliar como a estratégia escolhida pode afetar seu perfil de risco, especificamente os tipos e a quantidade de risco que está potencialmente exposta.

 

Ao avaliar os riscos potenciais que podem surgir da estratégia, o gerenciamento de riscos também considera as incertezas e pressupostos críticos que fizeram subjacentes à estratégia escolhida. O gerenciamento de risco da empresa fornece informações valiosas sobre como as mudanças sensíveis às premissas são; ou seja, se eles teriam pouco ou grande efeito na realização da estratégia.

 

Existe sempre riscos na execução da estratégia, que toda organização deve considerar. Aqui, o foco é entender a estratégia estabelecida e quais são estes riscos e sua relevância. Às vezes, os riscos tornam-se suficientemente importantes para que uma organização deseje revisitar sua estratégia e considerar revisá-la ou selecionar uma com um perfil de risco mais adequado.

 

O risco para a estratégia de execução também pode ser visto através da lente dos objetivos de negócios. Os objetivos são a base sobre a qual os riscos são identificados e avaliados.

 

Algumas organizações poderão realizar o gerenciamento de riscos corporativos através do modelo de cadeia de valor. Neste modelo, a organização analisa onde e como ele pode criar valor para obter uma vantagem competitiva. As organizações podem criar valor através de diferentes partes da cadeia de valor.

 

Uma entidade pode criar valor com capacidades de distribuição superiores, outra através do marketing e outra através da sua capacidade de entregar produtos inovadores repetidamente. Depende do tamanho e perfil da empresa e do segmento em que está inserida.

 

Neste caso, o gerenciamento de riscos corporativos, integrado com o planejamento estratégico, vai se adaptar a metodologia e ferramenta utilizadas para a construção da sua vantagem competitiva, cadeia de valor, curva de valor, balanced scored card - BSC, CANVAS, entre outras.

3. Risco versus Desempenho

O perfil de risco de uma empresa fornece uma visão composta do risco em um determinado nível ou aspecto do modelo de negócios. Essa visão composta permite que a administração considere o tipo, gravidade e interdependências dos riscos, e como eles podem afetar o desempenho em relação à estratégia e aos objetivos de negócios.

 

Esta relação entre risco e desempenho raramente é linear e individual. É exponencial neste mundo VICA. Mudanças incrementais em metas de desempenho nem sempre resultam em mudanças de riscos correspondentes e, portanto, a ilustração de um único ponto nem sempre é útil. Uma representação mais realista do perfil de risco, algumas vezes representada graficamente, ilustra a quantidade agregada de risco associada a diferentes níveis de desempenho. Essa representação considera o risco como um contínuo de resultados potenciais ao longo dos quais a organização deve equilibrar a quantidade de risco para a empresa e o desempenho desejado.

Risco, risco x desempenho, risk profile, COSO, COS ERM,

Figura 2 – Perfil do Risco x Desempenho
Fonte: COSO ERM Enterprise Risk Management, Integrating with Strategy and Performance Exposição Pública, Draft 2016

Na Figura 2 cada barra representa o perfil de risco para um ponto específico de desempenho. A linha de alvo vertical representa o nível de desempenho escolhido pela empresa como parte da definição de estratégia, que é comunicada através de um objetivo comercial e objetivo.

 

4. APETITE AO RISCO

O apetite de risco é parte integrante da gestão de riscos corporativos. Ele orienta as decisões sobre os tipos e a quantidade de risco que uma organização está disposta a aceitar na busca de valor. A primeira expressão de apetite de risco é a missão e a visão de uma empresa.

O apetite de risco não é estático, deve mudar ao longo do tempo de acordo com a mudança das capacidades de gerenciamento de risco e do contexto de mercado. Além disso, o processo de seleção de estratégia e desenvolvimento de apetite de risco não é linear, com um sempre precedendo o outro. Muitas empresas desenvolvem estratégia e apetite de risco em paralelo, refinando cada um ao longo do processo de estabelecimento de estratégias.

Também não há um apetite de risco universal que se aplique a todas as organizações. Algumas empresas consideram o apetite de risco em termos qualitativos, enquanto outros preferem termos quantitativos, com frequência focando no equilíbrio do crescimento, retorno e risco. Seja qual for a abordagem para descrever o apetite de risco, ele deve refletir a cultura da empresa.

 

A melhor abordagem para uma empresa é aquela que alinha, com a análise de riscos, qualitativo ou quantitativo, com sua estratégia. Desenvolver as declarações de apetite de risco é um exercício para encontrar um compromisso entre riscos e oportunidades.

 

Cabe à gerência desenvolver a declaração de apetite de risco. Algumas organizações podem considerar um termo geral como "baixo apetite" claro, enquanto outros podem encontrar uma declaração tão vaga e difícil de se comunicar e implementar em toda a entidade. É comum que as declarações de apetite de risco se tornem mais precisas à medida que as organizações se tornam mais experientes no gerenciamento de riscos corporativos. Também é comum que as organizações desenvolvam uma série de expressões de "subnível" em cascata da declaração de apetite de risco abrangente. Essas declarações de nível mais baixo oferecem mais precisão e usam termos como "alvos", "intervalos", "pisos" ou "tetos". Essas declarações possuem como parâmetros:

 

  1. Estratégicos: Considerando questões como os novos produtos para perseguir ou evitar, o investimento em investimentos e a atividade de fusão e aquisição.

  2. Financeiros: considerando questões como a variação máxima aceitável no desempenho financeiro, retorno sobre ativos ou retorno do capital ajustado ao risco, rating de dívida alvo e índice de endividamento / capital próprio.

  3. Operacionais: considerando questões como gerenciamento de capacidade, requisitos ambientais, metas de segurança, metas de qualidade e concentrações de clientes.

 

A figura a seguir mostra o perfil de risco como uma área em azul, preenchendo o espaço em todo o eixo de desempenho das barras de perfil de risco individuais.

Uma linha que mostra o apetite de risco também foi adicionada.

apetite de risco, capacidade de risco, COSO, COS ERM, Risco, Risk, Target,

Figura 3  – Apetite de Risco e Capacidade de Risco

Fonte: COSO ERM Enterprise Risk Management, Integrating with Strategy and Performance Exposição Pública, Draft 2016

No COSO ERM, 2004, havia a indicação também do alinhamento da estratégia com o apetite ao risco, mas não era de forma enfática. Nesta revisão faz parte do 8o Princípio (Definição do Apetite ao Risco), dentro do 2o componente (Risco, Estratégia e Definição de Objetivos).

 

Em qualquer descrição do perfil de risco, as empresas podem traçar a capacidade de risco, como na Figura 3, que é a quantidade máxima de riscos que a organização pode absorver na busca de seus objetivos estratégicos.

 

A capacidade de risco deve ser considerada ao estabelecer o apetite de risco, pois geralmente uma organização se esforça para manter o apetite de risco dentro de sua capacidade. Não é típico que uma organização estabeleça o apetite de risco acima de sua capacidade de risco, mas em situações raras, uma organização pode aceitar a ameaça de insolvência e falha em uma direção estratégica, entendendo que o sucesso pode criar um valor considerável.

 

É uma questão de decisão, ousadia e apetite ao risco, mas parametrizado e, principalmente, sabendo das consequências se der errado.

 

5. NOVO FRAMEWORK: Gestão de Riscos Alinhado à Estratégia e Desempenho
ERM, Enterprise Risk Management,

Figura 4 – FRAMEWORK REVISADO 2017 – COSO ERM Enterprise Risk Management, Integrado à Estratégia e Desempenho

Fonte: COSO ERM Enterprise Risk Management, Integrating with Strategy and Performance Executive Summary, 2017

A Figura 4, mostra o novo Framework revisado em 2017, com o nome  COSO ERM Enterprise Risk Management – Integrado à Estratégia e Desempenho, ressaltando a importância da utilização da gestão de riscos na definição da estratégia alinhada à missão, valores e visão, e determina que o sucesso para um desempenho operacional gerador de riqueza acontece através da integração e equilíbrio de todos os departamentos e funções com foco em riscos.

 

Esta é a diferença primordial em relação ao COSO II, ERM – 2004, embora desse uma importância à estratégia, através de um dos objetivos da empresa – Estratégicos - não era seu foco principal. Podemos observar na Figura 5 abaixo, através do antigo “cubo” que com as oito fases, ele cobria toda a corporação, mas não dava ênfase e foco na interconectividade entre riscos e a estratégia e seus objetivos de negócio. Passa a ser condição “sine qua non” a interação entre o planejamento estratégico e a área de riscos corporativos, fato que não existia. Primeiro se fazia o Planejamento Estratégico, não se discutiam riscos, para depois haver a identificação dos riscos estratégicos.

 

Com o novo Framework do COSO ERM 2017, há a necessidade primordial das três linhas de defesa entenderem muito bem os preceitos estratégicos da organização, pois todas as ações e objetivos cascateados estarão embasadas em riscos x estratégia x objetivos de negócio x desempenho.

COSO II,

Figura 5 – FRAMEWORK do COSO ERM Enterprise Risk Management, 2004. Visão tridimensional com os quatro objetivos da empresa descendo na vertical, os variados níveis da corporação penetrando pela horizontal na lateral e as oito fases entrando na horizontal pela frente. 

 

Fonte: COSO ERM Enterprise Risk Management, 2004

Fases COSO ERM, Conteúdo COSO ERM, COSO II

Figura 6 – Fases e Conteúdo que o COSO ERM Enterprise Risk Management, 2004 deveria cobrir.

Fonte: Notas de Aulas do Curso de MBA Gestão de Riscos Corporativos de Brasiliano, Antonio Celso Ribeiro. 2007.  

A Figura 6 nos fornece uma ideia do conteúdo que o COSO II, ERM, 2004, sugeria que fosse executado quando da sua operacionalização.

 

Podemos notar que até cita a questão do alinhamento dos objetivos de Gestão de Riscos com os Objetivos Estratégicos, mas nada enfático em realizar a completa integração.

 

Agora a estratégia, os objetivos de negócio e os riscos são irmãos siameses, estão agrupados, não podendo mais haver hiato, com o risco da empresa ver materializado rupturas que podem descontinuar seu negócio.  

 

Por esta razão no framework COSO ERM Enterprise Risk Management – Integrado à Estratégia e Desempenho, na revisão 2017, houve a integração de fases, hoje chamadas de componentes, que são cinco.

Estes cinco componentes cobrem todo o entendimento entre as atividades de governança, estratégia, desempenho, análise e revisão e monitoramento, auxiliando as corporações se prepararem para estarem aderentes a esta melhor prática. O COSO ERM Enterprise Risk Management – Integrado à Estratégia e Desempenho, 2017, Sumário Executivo, define os cinco componentes como:

1. Governança e Cultura: A governança estabelece o tom da organização, reforçando sua importância e estabelecendo a responsabilidade pela supervisão da operação pela alta gestão, incluindo a supervisão do gerenciamento de riscos corporativos. A cultura estabelece os valores éticos, o comportamento desejado e a compreensão dos riscos da entidade.

2. Estratégia e definição de objetivos: O gerenciamento de riscos corporativos, a estratégia e o estabelecimento de objetivos atuam juntos no processo de planejamento estratégico. O apetite a risco é estabelecido e alinhado com a estratégia. Os objetivos de negócio colocam a estratégia em pratica, enquanto serve de base para identificar, avaliar e tratar os riscos.

3. Desempenho/Performance: Os riscos que podem afetar a consecução da estratégia e dos objetivos de negócios precisam ser identificados e avaliados. Os riscos são priorizados pela sua magnitude considerando dentro do contexto do apetite ao risco. Com base nisto, a organização seleciona as respostas para o risco e cria uma visão de portfólio considerando a quantidade de risco assumida. Os resultados desse processo são relatados para os principais stakeholders envolvidos com a supervisão de riscos.

4. Análise e Revisão: Ao analisar sua performance, a organização tem a oportunidade de refletir sobre até que ponto os componentes do processo de gerenciamento de riscos corporativos estão funcionando bem ao longo do tempo e no contexto de mudanças relevantes, e quais correções são necessárias para o fortalecimento da efetividade deste processo.

5. Informação, comunicação e divulgação: Gerenciamento de risco corporativo demanda um processo contínuo de obtenção e compartilhamento de informações precisas, provenientes de fontes internas e externas, originadas das mais diversas camadas e processos de negócios da empresa.

 

Com o objetivo de fornecer um guia de operacionalização, igual ao COSO I Estrutura de Controles Internos, revisão 2013, foram elaborados um conjunto de princípios. Esses princípios abrangem da governança até o monitoramento. Eles são 20 (vinte) e descrevem práticas para serem aplicadas de maneiras distintas para diferentes organizações, independentemente do seu tamanho, tipo ou setor.

 

A adesão a esses princípios fornece à administração e ao Conselho uma razoável certeza de que a organização entendeu e se esforça para gerenciar os riscos associados à sua estratégia e objetivos de negócios. São eles:

 

1. Governança e Cultura:

1.     Exercitar a responsabilidade de supervisão do Conselho sobre os riscos estratégicos e operacionais,

2.     Estabelecer estruturas operacionais compatíveis com a estratégia

3.     Definir a cultura desejada

4.     Demonstrar compromisso com os Valores Fundamentais da corporação

5.      Atrair, desenvolver e manter indivíduos capazes para a execução de suas obrigações

2. Estratégia e o estabelecimento dos objetivos:

6.     Analisar o contexto empresarial e de negócio

7.     Definir o apetite ao risco

8.     Avaliar as estratégias alternativas existentes

9.      Formular os objetivos do negócio alinhado a missão, visão e valores

 

3. Desempenho:

10. Identificar o Risco

11. Avaliar a severidade do Risco

12. Priorizar Riscos

13. Definir e implementar as respostas aos riscos

14. Desenvolver a visão de portfólio para riscos

 

4. Análise e Revisão:

15. Avaliar as mudanças significativas

16. Revisar riscos e desempenho

17. Buscar a melhoria no gerenciamento de riscos empresariais

 

5. Informação, comunicação e relatórios:

18. Alavancar a informação através da tecnologia

19. Comunicar informações sobre riscos

20. Elaborar relatórios sobre risco, cultura e desempenho

 

O desafio para as empresas é que continuaremos a enfrentar um futuro de mundo VICA grande volatilidade, incerteza, complexidade e ambiguidade, de forma que a gestão de riscos tem um papel primordial de auxiliar a empresa atravessar este período prospectando e gerenciando as ameaças existentes que possam impactar o desempenho da organização.

 

5. OLHAR NO FUTURO

 

Quando olhamos para o futuro, vemos uma série de tendências que poderão afetar o processo de gerenciamento de riscos, e a instituição COSO aponta quatro destas tendências que devem ser observadas de perto pelos gestores. São elas:

 

  • Lidar com a o aumento e a proliferação de dados;

  • Entender o impacto de novas tecnologias como a inteligência artificial e automação;

  • Gerenciar o custo do gerenciamento de riscos, dos processos de compliance e da gestão de controles internos em comparação com o retorno obtido;

  • Construir organizações mais fortes, à medida que estas integram e aprimoram o gerenciamento de riscos corporativos com a estratégia e desempenho, fortalecendo de forma direta a resiliência.

 

Ao antecipar riscos que terão maior impacto na empresa, os gestores estarão usando o gerenciamento de riscos corporativos para suportar a pressão das possíveis materializações destes riscos, através de competências criando desta forma novas oportunidades para sua empresa.

 

Este é o nosso grande desafio para o século XXI, operacionalizar a tão chamada Inteligência em Riscos, quando integramos as informações para a análise e daí extraímos a filtragem do que é relevante para a empresa e o seu contexto.

 

A eficácia desta Inteligência em Riscos depende somente de uma boa metodologia com lógica integrada a uma ferramenta de TI no gerenciamento de riscos, fornecendo ao gestor as informações relevantes no tempo e hora correta.

bottom of page