No ano de 1992 o COSO (Committee of Sponsoring Organizations of the Treadway Commission) publicou a obra intitulada “Controle Interno – Estrutura Integrada” (Internal Control – Integrated Framework), modelo global para o estudo, desenvolvimento, implantação, implementação e acompanhamento dos controles internos nas organizações, permitindo assim uma visão e análise de toda a estrutura interna de governança. Em 2017 foi publicada a atualização do modelo, dessa vez intitulado COSO ERM (Enterprise Risk Management), alinhando riscos com estratégia e desempenho

Nessa mesma esteira, a ISO (International Organization for Standardization) 31000 foi publicada em 2009, determinando princípios, framework de trabalho e indicando processos e procedimentos para a gestão dos diversos tipos de risco, não importando o tipo e tamanho da empresa. Posteriormente ela foi atualizada e complementada com outras instruções complementares para a formação da estrutura de controles de riscos.

É importante destacarmos que a busca pelo aprimoramento gerencial, promovida pelo COSO e pela ISO tem o mesmo objetivo e linha de trabalho: ambas buscam criar métodos globais e gerais para a estruturação da Governança Corporativa nas organizações. Para isso, vemos que COSO e ISO constantemente reveem as suas orientações, atualizando-as para que acompanhem as exigências mercadológicas e governamentais dos países.

A necessidade de uma estrutura de gerenciamento de riscos corporativos, capaz de fomentar a cultura de controles através da adoção de princípios e conceitos fundamentais, com uma linguagem comum, direcionamento e orientação claros, tornou a Estrutura Integrada de Controles uma necessidade para as empresas. O COSO e a ISO expõe em suas orientações que o “Gerenciamento de Riscos Corporativos – Estrutura Integrada” visa o aperfeiçoamento das organizações e de suas atuações, otimizando processos, abrindo oportunidades, diminuindo prejuízos e conscientizando-as sobre as suas responsabilidades sociais e operacionais.

O Gerenciamento de Riscos Corporativos e a sua Estrutura Integrada trabalham na amplitude e aprimoramento dos controles internos das organizações, focando suas atenções para a Governança Corporativa e o campo do gerenciamento de riscos, mirando o aperfeiçoamento de processos e a correção de falhas.

A premissa basilar do gerenciamento de riscos corporativos é que toda organização está exposta a riscos, de diferentes tipos e amplitudes. O Gerenciamento adequado classifica os riscos identificados dentro da régua de tolerância. Enquanto os riscos de menor expressão demanda apenas atenção, os riscos que ultrapassam os limites de aceitação exigem tratamentos específicos, conforme a estratégia que será definida pela empresa e seus gestores.

Alinhar o apetite das organizações aos riscos do negócio e ao plano de negócios é crucial para a efetividade e eficácia dos controles, e é isso que a COSO ERM e a ISO 31000 buscam demonstrar. Para o alinhamento, é importante que os gestores de cada área saibam avaliar o apetite aos riscos e as estratégias vigorantes, de forma a adequar as ferramentas e controles aos objetivos da empresa seus resultados.

O ERM direciona as organizações para a melhora da identificação de eventos potencialmente danosos, com antecedência e precaução, estabelecendo respostas antecipadas e acertivas, contingenciando valores e vigiando ou reduzindo prejuízos.

O ERM destaca ainda a importância de se identificar e administrar riscos múltiplos. Na maioria das vezes os riscos são interligados e afetam diferentes áreas da empresa. O aprimoramento da gestão de riscos possibilita a análise do macro cenário de riscos, adequando as respostas para a cadeia completa de eventos.

Enquanto o tratamento individual e sem estratégia dos riscos traz reflexos em outras áreas ou procedimentos, o gerenciamento de riscos e mapeamentos possibilita a adoção do tratamento mais adequado, evitando assim o efeito cascata, que é quando um tratamento afeta a cadeia produtiva e cria problemas em outras áreas.

Uma vez identificados e mensurados os riscos, torna-se possível o controle do cenário e a identificação de oportunidades. Risco não é sinônimo de prejuízo. A identificação e mensuração adequadas permitem que a organização aproveite oportunidades que antes não eram percebidas, aumentando consequentemente o seu leque de atuação e a possibilidade de lucro.

O mapeamento e gerenciamento de riscos também produz a otimização do capital empregado nas organizações. A coleta de informações e o mapeamento adequados dos riscos possibilitam à administração conduzir a alocação eficaz do capital da empresa, melhorando os gastos e priorizando investimentos.

O tema é extenso e denso, possibilitando inúmeros debates e aprofundamentos, mas convém destacarmos 8 (oito) dos componentes que integram a Estrutura Integrada de Controles e seus pontos mais relevantes:

1) Ambiente Interno: filosofia de Gerenciamento de Riscos; apetite aos riscos; Conselho de Administração; integridade e valores éticos; compromisso com a competência; estrutura organizacional; atribuições de autoridades e responsabilidades; normas reguladoras de recursos humanos;

2) Fixação de Objetivos: objetivos estratégicos; objetivos correlatos; objetivos selecionados; apetite e tolerância aos riscos;

3) Identificação de Eventos: eventos e cenários; fatores influenciadores; técnicas de identificação de eventos e cenários; interdependências; diferenciação entre riscos e oportunidades;

4) Avaliação de Riscos: riscos inerentes e riscos residuais; probabilidade X impacto; avaliação e mensuração; relação entre eventos;

5) Resposta aos Riscos: avaliação de cenários e tratamentos; seleção dos tratamentos escolhidos; mensuração dos riscos dentro do plano de negócios;

6) Atividades de Controle: integração dos controles com as respostas aos riscos; tipificação dos controles; políticas e procedimentos; controles sistêmicos e de informações;

7) Informação e Comunicação: registros de informações; comunicações;

8) Monitoramento: atividades cíclicas; avaliações independentes; relato de deficiências.

Os componentes supra indicados são apêndices dos princípios fundamentais de gerenciamento de riscos. Eles não representam pré-requisitos de aderência ao programa, mas sim componentes relevantes para a correta estruturação.

Cumpre por fim destacarmos que a política de gerenciamento de riscos de uma organização representam o alicerce de cada organização. Podemos verificar o grau de maturidade da empresa quando analisamos a forma pela qual ela se preocupa e gerencia os riscos do seu negócio. Quanto maiores forem os controles, maior será a maturidade da empresa e mais sólidos serão os seus resultados.