Conhecimento & Insights > Wiki BPM > Riscos e Controles

Modelos de Referência e Legislações para Gestão de Riscos

 

Por se tratar de uma disciplina em consolidação, não existe um consenso amplo do que pertence, ou não, ao “guarda-chuva” da gestão de riscos. Por esse motivo, as iniciativas de gestão de riscos costumam se estruturar a partir de modelos de referência ou legislações específicas. Esses documentos são entendidos enquanto guias e orientações para a implantação da gestão de riscos em uma organização sendo, portanto, importantes direcionadores do desenvolvimento da disciplina de gestão de riscos. Serão apresentados agora os principais Modelos de referências e legislações de Gestão existentes.

2.1. COSO Internal Control – Integrated Framework

2.1.1 O COSO

O COSO (The Committee of Sponsoring Organizations of the Treadway Commission) foi fundado em 1985 nos Estados Unidos a partir de uma iniciativa independente do setor privado norte-americano para estudar as causas  de relatórios financeiros fraudulentos e desenvolver recomendações para: companhias públicas e seus auditores independentes; SEC (Securities and Exchange Commission) e outros órgãos reguladores; e, instituições educacionais.

Em 1992, o COSO lançou o COSO Internal Control Framework, que se tornou uma referência mundial para o estudo e aplicação dos Controles Internos. Em 2004, o COSO lançou o Enterprise Risk Management Framework com a intenção de trazer um guia mais abrangente segundo o conceito de Gestão de Riscos corporativos.

2.1.2 A abordagem de controles internos

O foco do framework é a implantação de um sistema de controles internos. Neste sentido, a definição de controles internos adotada é “um processo, efetuado pelo board de diretores, gerentes ou outras pessoas de uma entidade, projetado para prover segurança razoável quanto ao alcance de objetivos nas seguintes categorias:

  • efetividade e eficiência de operações;
  • confiabilidade de reportes financeiros;
  • atendimento a leis e regulamentações aplicáveis”.

 

 

 

De acordo com o documento, os controles internos de uma organização poderiam ser considerados efetivos quando o board de gerentes possui segurança razoável de que:

  • eles entendem o quanto os objetivos operacionais da entidade estão sendo alcançados;
  • relatórios financeiros publicados estão sendo preparados de forma confiável;
  • leis e regulamentações aplicáveis estão sendo atendidas.

 

 

 

Finalmente, observa-se que o COSO não apresenta uma definição claro do termo “risco”, embora este seja utilizado de forma recorrente ao longo de todo o documento.

2.1.3 Os componentes do controle interno

A implantação de controles internos, segundo o COSO IC, consiste em cinco componentes:

Ambiente de Controle – o ambiente de controle define o tom da organização, influenciando a consciência de controles de seu pessoal. Ele é a fundação para os outros componentes provendo disciplina e estrutura. Dentro do ambiente de controles estão questões como integridade, valores éticos e competência das pessoas; filosofia de gestão e operação; a forma de delegação de autoridade e responsabilidade, organização e desenvolvimento de pessoal; e a atenção e direção dada pelo board.

Avaliação de Risco – todas as organizações enfrentam riscos de diferentes fontes que precisam ser avaliados. Uma pré-condição para a avaliação do risco é o estabelecimento de objetivos, desdobrados em diferentes níveis e consistentes entre si. A avaliação de riscos consiste na identificação e análise de riscos relevantes para o alcance dos objetivos, formando a base para determinar como a incerteza do negócio deve ser gerenciada. São necessários ainda mecanismos para lidar com as constantes mudanças no ambiente onde a organização se insere.

Atividades de Controle – as atividades de controle são as políticas e procedimentos que asseguram que diretrizes gerenciais sejam seguidas e que as ações necessárias sejam tomadas para alcançar o atingimento dos objetivos. Atividades de controle acontecem por toda a organização, em todos os níveis e funções e incluem atividades como aprovações, autorizações, verificações, reconciliações, revisões de desempenho operacional, segurança de ativos e segregações de funções.

Informação e comunicação – informações pertinentes devem ser coletadas e comunicadas no tempo e na qualidade esperados para que decisores possam assumir suas responsabilidades. Sistemas de informações fornecem informações operacionais, financeiras e legais que permitem aos gestores conduzirem o negócio de forma eficaz. Eles são capazes de lidar com informações internas e externas fornecendo apoio aos tomadores de decisão e relatórios para partes interessadas. As informações devem fluir em todas as direções e sentidos dentro de uma organização. Todos na organização devem estar cientes da importância dos controles internos e entender seus próprios papéis para o funcionamento dos mesmos.

Monitoração – Sistemas de controles internos precisam ser monitorados através de um processo que avalie seu desempenho ao longo do tempo. Isto pode ser obtido através de monitoração constante e/ou avaliações periódicas.


2.2 COSO Enterprise Risk Management – Integrated Framework

2.2.1 A necessidade de expansão do conceito de Controle Interno

Motivado pela ampla aplicação do COSO Internal Control, o COSO iniciou em 2001 um novo projeto para a elaboração de um segundo Framework. Este novo documento teria o objetivo de expandir o escopo do Controle Interno para a Gestão de Riscos corporativos, em inglês Enterprise Risk Management (ERM). Nessa época, o Internal Control – Integrated Framework já estava se apresentando como um sucesso, sendo amplamente aceito como referência em Controles Internos e usado na implantação de diversos Sistemas de Controle.

A despeito do seu sucesso, a necessidade de ampliação da idéia de Controles Internos já se havia feito sentir. Tornava-se necessário balancear os riscos assumidos com o retorno e as oportunidades de crescimento que eles traziam para a organização. A nova estrutura de Gestão de Riscos deveria capacitar a organização para atuar em um ambiente em que mudanças ocorrem de forma acelerada. Além disto,a capacidade de compreender a incerteza e gerir o seu impacto sobre o negócio estava se tornando um inestimável diferencial competitivo. De forma geral, pode-se dizer que este novo Framework, deveria apoiar as organizações a tirar o maior proveito possível da sua infra-estrutura de Controles Internos e Gestão de Riscos.

2.2.2 As capacitações a serem construídas através da gestão de riscos corporativos

Em 2004, o COSO finalmente concluiu e publicou o Enterprise Risk Management – Integrated Framework. A nova estrutura do ERM se foca  na realização de um processo degestão de riscos, mais amplo e desdobrado dos objetivos estratégicos e operacionais  em detrimento à simples implantação de um sistema de controles Este processo de gestão de riscos possui os seguintes objetivos:

  • Reduzir perdas e surpresas na operação – Assim como a estrutura de Controles Internos, a nova estrutura de ERM, deveria capacitar a organização para identificar e analisar continuamente os riscos do seu negócio, tornando-se apta a responder aos mesmos de forma pró-ativa. Dessa maneira, a quantidade de incidentes inesperados, bem como as perdas relacionadas,  significativamente mitigada.
  • Alinhar o “apetite a risco” à estratégia da organização – Para maximizar o valor da Gestão de Riscos para os stakeholders da organização (partes interessadas na organização, incluído acionistas, funcionários, clientes, a comunidade onde ela se insere etc.) é necessário que a quantidade total de risco envolvido no seu negócio esteja adequadamente controlada. Muitas oportunidades de criação de valor podem ser perdidas ao se adotar atitudes excessivamente avessas ao risco. Da mesma forma, uma tomada excessiva de riscos por parte da organização, embora possa trazer um grande retorno potencial, irá expor a mesma a um grau de incerteza inaceitável para os seus stakeholders.
  • Melhorar as decisões relacionadas a respostas a risco – A nova estrutura deve capacitar a organização a ir além da pura mitigação do risco, tornando-se capaz de lidar com o mesmo da melhor maneira possível. Para tanto, a decisão pela melhor maneira de se tratar um risco deve ser tomada após o levantamento e análise comparativa de diversas possibilidades de resposta ao risco.
  •  Identificar e gerir múltiplos riscos que atravessam a organização – A nova estrutura deve ir além de mitigar pontualmente cada um dos riscos existentes na organização. Para alcançar os melhores resultados, os riscos precisam ser entendidos e tratados de maneira global. Silos funcionais historicamente afastados como as áreas de marketing, jurídico, finanças, segurança da informação etc. precisam ser quebrados. Os diversos riscos enfrentados pela organização, bem como as opções de tratamento para os mesmos, devem ter o seu efeito analisado de forma coerente ao longo de suas diversas áreas e unidades de negócio.
  • Perseguir oportunidades – A incerteza não deve ser vista apenas como causadora de eventos indesejáveis, mas também como criadora de valiosas oportunidades. Em um ambiente de mudança acelerada, janelas de oportunidades tendem a abrir e fechar rapidamente. A estrutura de ERM deve ajudar a organização a identificar eventos incertos com potencial de geração de valor e comunicar tais descobertas permitindo o aproveitamento dos mesmos.
  • Melhorar a alocação de capital – Invariavelmente, a alocação de capital em uma organização envolve certo grau de risco. Para otimizar essa alocação, faz-se necessária uma análise integrada e coerente ao longo da organização, orientada ao alinhamento entre os riscos envolvidos e o apetite a risco.

2.2.3 A abordagem de gestão de riscos corporativos

O COSO define o risco como a possibilidade de acontecimento de um evento que, ao ocorrer, impactará negativamente no alcance de um objetivo. Simetricamente, a oportunidade seria a possibilidade de acontecimento de um evento que impactaria positivamente no alcance de um objetivo.

2.2.4 Os componentes da gestão de riscos corporativos

O COSO - ERM divide a gestão de riscos corporativos em oito componentes que são integrados ao processo de gestão da organização. A figura do COSO - ERM, a seguir, traduzida apresenta esses oito componentes, além das quatro categorias de objetivos e dos diversos níveis organizacionais em que a Gestão de Riscos corporativos deve ser aplicada.

Figura 2 – Cubo do COSO ERM

  • Ambiente Interno - O ambiente interno da entidade é a fundação para todos os outros componentes da Gestão de Riscos. O ambiente interno estabelece o cenário no qual a estratégia é estabelecida, os objetivos são fixados, as atividades de negócios são definidas e os riscos são identificados, avaliados e tratados. Ele influencia da mesma forma, o desenho e funcionamento de atividades de controle, os sistemas de informação e comunicação e as atividades de monitoramento.
  • Fixação de Objetivos - Com base na estratégia traçada pela empresa, os tomadores de decisão devem estabelecer um conjunto de objetivos que suporte a sua implantação. Esse conjunto de objetivos irá definir como a organização irá realizar a sua missão e visão. Estes objetivos são denominados objetivos estratégicos e estão no topo de uma hierarquia. Cada objetivo estratégico deve ser suportado por objetivos divididos em três categorias.
     Objetivos operacionais se referem à eficácia e eficiência das operações da organização, podendo estar ligados a performance, lucratividade e mitigação de perdas.
    Objetivos de confiabilidade de informação estão ligados à comunicação da informação, financeira ou não, divulgada interna ou externamente pela entidade.
    Os objetivos de conformidade estão ligados a adequação a legislações e normas internas ou externas.
  • Identificação de Eventos - A organização deve constantemente identificar os eventos incertos que, ao ocorrerem, poderão afetar a concretização de seus objetivos. A identificação de eventos deve ocorrer de forma separada da avaliação dos mesmos para garantir que não se deixe de levar em consideração eventos aparentemente irrelevantes, principalmente aqueles que, embora tenham poucas chances de ocorrer, trariam grandes conseqüências. Eventos devem ser distinguidos entre riscos (eventos que impactam negativamente) e oportunidades  (comimpactos positivos).
  • Avaliação de Risco - Cada evento identificado deve ser analisado tanto em relação à sua probabilidade de ocorrência quanto ao seu impacto sobre os objetivos. A organização deve compreender como os diversos eventos de risco identificados se combinam, formando o seu perfil de risco. A Avaliação de Riscos não é uma atividade realizada apenas uma vez, mas um conjunto de atividades inter-relacionadas e realizadas continuamente por toda a organização. Tanto o risco inerente quanto o risco residual devem ser avaliados para cada evento. O primeiro é o risco que existe independentemente de qualquer atitude tomada pela organização para mitigá-lo. O risco residual é o risco resultante tendo-se em vista as respostas a riscos implantadas.
  • Resposta ao Risco - A gestão de risco deve então identificar um conjunto de respostas aos riscos analisados que altere suas probabilidades e/ou impactos de forma a colocá-los dentro dos limites de tolerância definidos. Para tanto, deve-se levar em conta os custos de implantação de cada opção. A resposta escolhida pode ser no sentido de evitar, reduzir, compartilhar ou aceitar o risco.
     Evitar significa deixar de realizar as atividades que geram o risco; reduzir significa reduzir a probabilidade, impacto ou ambos; compartilhar significa passar parte da probabilidade ou impacto para outrem; aceitar significa deixar o risco como está.
  • Atividades de Controle - As atividades de controle são as políticas e procedimentos que ajudam a assegurar que as respostas ao risco estejam sendo executadas de forma adequada. Estas atividades são parte dos processos que permitem às organizações atingirem seus objetivos e normalmente envolvem dois elementos: uma política definindo o que deve ser feito e procedimentos para executar a política.
  • Informação e Comunicação – Informações, tanto de fontes internas quanto externas, devem ser identificadas, capturadas e comunicadas de forma a permitir que as responsabilidades sejam desempenhadas de forma adequada. A comunicação deve ocorrer de baixo para cima, de cima para baixo, através e além das fronteiras de uma organização. O desafio está em organizar um alto volume de dados para que se tenha uma informação de qualidade em tempo hábil para tomada de decisão. Os sistemas de informação normalmente podem desempenhar um papel importante neste sentido. Além disso, é importante que a organização como um todo esteja bem informada a respeito da filosofia, cultura, apetite e tolerância a riscos da mesma, de forma que estas diretrizes e valores sejam desdobradas nas atividades do dia-a-dia.
  • Monitoramento – O monitoramento tem a função de avaliar o funcionamento da gestão de riscos e sua performance ao longo do tempo. O monitoramento pode ser feito através de atividades constantes ou avaliações ’pontuais. A primeira é mais efetiva uma vez que faz parte das atividades diárias enquanto a segunda acontece somente após a ocorrência do fato.

2.3 SOX e o controle sobre os relatórios financeiros

Entre as legislações relacionadas à Gestão de Riscos, a Lei norte-americana Sarbanes-Oxley (normalmente chamada de SOX) certamente merece destaque. Publicada em 30 de julho de 2002, ela vem obrigando todas as empresas cujas ações são negociadas na NYSE (bolsa de valores de Nova York) a revisar sua estrutura de Controles Internos. Esforços esses de tamanha magnitude que por vezes colocam em dúvida a relação custo-benefício da conformidade para com a lei. Muitas empresas inclusive abandonaram a bolsa de Nova York devido aos custos estimados para compliance com a SOX.

2.3.1 A necessidade de recuperar a confiança dos investidores

Para compreender o que motivou a promulgação da SOX é necessário voltar ao cenário do mercado de ações norte-americano logo após a virada do século. Uma série de escândalos estourou nos anos de 2001 e 2002, envolvendo grandes empresas tidas como sólidas e exemplos de administração ousada e eficiente. Uma mensagem de insegurança foi passada aos investidores: os dados divulgados pelas empresas norte-americanas não eram plenamente confiáveis. Dessa forma, investir no mercado de ações estava se mostrando um negócio muito mais arriscado do que o esperado.

Entre as empresas envolvidas com tais escândalos destacam-se a  Enron e WorldCom devida à magnitude do seu envolvimento. A Enron simplesmente encerrou suas operações enquanto a WorldCom chegou a pedir falência embora esteja hoje se recuperando com a marca MCI,. Entre outras empresas envolvidas com escândalos contábeis, podemos citar Xerox, Bristol-Myers Squibb, Merck, Tyco e a ImClone.

Foi nesse contexto conturbado que, em 30 de julho de 2002, foi promulgada uma das mais importantes legislações do mundo corporativo norte-americano nos últimos 50 anos – A Lei de Sarbanes-Oxley que tinha como grande objetivo , estabelecer novas práticas de governança corporativa capazes de restaurar a confiabilidade do mercado de ações norte-americano.. Seu nome se refere ao senador Paul Sarbanes (democrata) e o deputado Michael Oxley (republicano), dois líderes políticos que tiveram um importante papel na sua promulgação.

2.3.2 Os requisitos da SOX

A lei SOX se dirige a todas as empresas com ações negociadas nas bolsas de valores de Nova Iorque (NYSE – New York Stock Exchange). Ela se divide em onze capítulos sendo que três seções merecem destaque especial: a 302, 404 e 906. A seguir veremos uma rápida descrição do conteúdo de cada capítulo para então nos atermos ao significado específico das seções 302, 404 e 906..

Capítulo I – Estabelece a PCAOB  (Public Company Accounting Oversight –Conselho de administração), uma entidade privada sem fins lucrativos encarregada de supervisionar o trabalho de auditoria das empresas de capital aberto. É formada por um conselho de cinco membros a serem indicados pela SEC. Entre as suas responsabilidades vale citar: o registro das empresas de auditoria independente autorizadas a operar nos EUA; o estabelecimento de padrões para o desempenho dos serviços prestados por tais empresas; realização de inspeções em tais empresas; a condução de investigações envolvendo tais empresas, e quando necessário, o estabelecimento de punições sobre as mesmas, bem como sobre sócios e gestores envolvidos.

Capítulo II – Visa assegurar a independência das empresas que realizam auditoria externa. Para isso, este capítulo impõe medidas que limitam a ocorrência de conflitos de interesse que ameacem a independência do trabalho de tais empresas. O capítulo proíbe que as empresas de auditoria prestem, ao mesmo tempo, uma série de outros serviços como os de consultoria. Além de outras imposições, este capítulo também estabelece o rodízio do sócio responsável pela conta a cada cinco anos e estabelece que a auditora se reporte ao comitê de auditoria no lugar da diretoria financeira.

Capítulo III – Trata do aumento da responsabilidade corporativa. Este capítulo obriga a criação de comitês de auditoria e regulamenta as suas atividades, incluindo a recepção de denúncias de irregularidades encontradas pelas auditorias interna e externa. Além disso, a seção 302 obriga o CEO (Chief Executive Officer – presidente da empresa) e o CFO (Chief Financial Officer – diretor financeiro da empresa), ou pessoa que execute função similar, a assinar um certificado se responsabilizando pessoalmente pelo conteúdo de relatórios financeiros publicados. Essa certificação será tratada na discussão mais aprofundada das seções 302, 404 e 906.

Capítulo IV – Regula a melhoria da qualidade dos relatórios de divulgação financeira. Este capítulo obriga a divulgação de quaisquer correções materiais (por material pode-se entender algo que possa impactar significativamente a opinião de um investidor razoável) feitas pelos auditores independentes. Além disso, o capítulo restringe empréstimos a executivos, estabelece o cadastro dos diretores e principais acionistas junto à SEC. Outra exigência é o estabelecimento e divulgação de um código de ética ou, quando aplicável,a divulgação de que o mesmo não existe. As empresas também ficam obrigadas a divulgar se possuem ou não um especialista financeiro participando do comitê de auditoria. Outra imposição é a divulgação, em tempo real e em linguagem que possa ser entendida por pessoas leigas (ou em “plain English”), de quaisquer fatos relevantes que venham a ocorrer, deixando claro o impacto dos mesmos sobre a situação da empresa. A seção 404 estabelece uma avaliação dos Controles Internos da empresa e será discutida em mais detalhes mais a frente quando abordarmos as seções 302, 404 e 906. Finalmente, o capítulo também responsabiliza a SEC por realizar revisões mais profundas dos relatórios periódicos publicados pelas empresas.

Capítulo V – Visa tratar de conflitos de interesses subjacentes a avaliações de analistas financeiros sobre empresas de capital aberto. Possui apenas uma seção que trata de um código de conduta para a função de analista financeiro e requer a divulgação de quaisquer conflitos de interesse.

Capítulo VI – Define a atuação da SEC, seus poderes e responsabilidades, além do orçamento previsto para a mesma.

Capítulo VII – Visa restaurar a confiança sobre o mercado de ações norte-americano por meio de estudos e investigações a serem realizados pela controladoria geral norte-americana a respeito dos seguintes temas: fusão de grandes empresas de auditoria independente; atuação das empresas de rating; envolvimento de profissionais com os esquemas de fraudes contábeis ocorridos nos anos de 1998 a 2001; atuação dos bancos de investimentos.

Capítulo VIII – Trata de punições aos praticantes de fraudes corporativas. O capítulo aborda particularmente os seguintes assuntos: destruição, falsificação ou alteração de documentos relevantes às investigações federais; recorrência na prática de crimes corporativos; prescrição de crimes corporativos; obstrução à justiça em casos de crimes corporativos; proteção a empregados que denunciem crimes corporativos; crimes contra acionistas de empresas de capital aberto.

Capítulo IX – Trata do aumento da penalidade para crimes de “colarinho branco”. Os crimes tratados neste capítulo são: tentativas e conspirações de crimes classificados como de “colarinho branco”; crimes por correio ou telefone; e crime de violação do direito de aposentadoria do empregado. Além disso, o capítulo também trata de diretrizes para sentenças relacionadas a esses crimes. A seção 906 penaliza os executivos que derem declarações falsas ao assinarem a certificação prevista na seção 302. A seção 906 será discutida mais a frente juntamente com as seções 302 e 404.

Capítulo X – Obriga o CEO a assinar a declaração de imposto de renda da empresa.

Capítulo XI – Estabelece procedimentos relacionados a fraudes corporativas, entre eles: multa e pena de até 20 anos pela alteração ou destruição de arquivos; congelamento de contas de empresas por meio de requisição da SEC; veto, por parte da SEC, à participação de executivos envolvidos em fraudes em conselhos e diretorias de companhias abertas; multa e pena de até 10 anos de prisão para retaliação a denunciantes de fraudes corporativas.

2.3.3 seções 302, 404 e 906

Dentre todas as seções da lei Sarbanes-Oxley, as seções 302, 404 e 906 merecem destaque devido ao esforço com o qual as empresas precisam arcar para garantir o compliance com elas.

Seção 302 - A seção 302 exige que o CEO e o CFO da empresa (ou pessoa com função equivalente) assinem um certificado pré-formatado pela SEC. Esse certificado deve acompanhar determinados relatórios financeiros já publicados obrigatoriamente pelas empresas de capital aberto. No texto do certificado, os assim chamados certifying officers (executivos que assinam o certificado) afirmam terem revisado os relatório e que, baseado em seus conhecimentos, o mesmo não contém nenhuma declaração não verdadeira que possa ser considerada material e que os dados apresentados representam de forma correta e justa as condições financeiras, bem como os resultados operacionais da empresa.

O certificado também afirma que os executivos se responsabilizam por estabelecer e manter controles e procedimentos de divulgação que assegurem que todas as informações materiais sejam adequadamente reportadas a eles (certifying officers). Indo além, os certifying officers afirmam terem testado tais controles e procedimentos até 90 dias antes da publicação dos relatórios.

No parágrafo seguinte, os executivos afirmam terem reportado aos auditores independentes, bem como ao comitê de auditoria, todas as deficiências significativas relacionadas ao desenho ou operação dos Controles Internos que possam comprometer a contabilização e reporte dos dados financeiros. Além das deficiências e fragilidades, os certifying officers afirmam reportar aos auditores independentes e ao comitê de auditoria qualquer fraude (mesmo que imaterial) que envolva a administração ou os Controles Internos da empresa.

Por fim, os certifying officers devem afirmar terem incluído a necessidade ou não de se realizar mudanças importantes relacionadas aos Controles Internos, incluindo nelas as medidas corretivas para as fragilidades materiais encontradas.

Essa certificação precisa ser realizada trimestralmente por empresas norte-americanas e anualmente por empresas estrangeiras.

Seção 906 – Essa seção obriga os certifying officers a assinar uma outra certificação. Em seu conteúdo, eles asseguram (de forma semelhante à 302) a confiabilidade dos dados disponibilizados no relatório publicado. Adicionalmente, ao assinarem a certificação da 906, eles assumem responsabilidade criminal sobre a mesma.
Embora a garantia dada na certificação exigida pela seção 906 seja englobada pelas garantias dadas na certificação da 302, a 906 se diferencia pela responsabilidade criminal a qual os certifying officers ficam expostos.

Seção 404 – Esta seção é responsável pela maior parte dos custos relacionados ao compliance com a SOX. Ela responsabiliza a gerência da empresa por manter uma estrutura de Controles Internos sobre os reportes financeiros. Em relação a essa estrutura, a gerência também deve realizar uma avaliação trimestral da mesma e publicá-la em um relatório de Controles Internos. Além disso, essa avaliação precisa ser analisada e atestada por uma empresa de auditoria independente.

Um detalhe importante é que a SEC optou por não exigir que uma avaliação completa dos Controles Internos fosse realizada trimestralmente. Essa avaliação completa deve ser realizada apenas ao final do ano fiscal. Já a avaliação trimestral deve tratar apenas de mudanças na estrutura de controles capazes de afetar de forma material o Controle Interno sobre os relatórios financeiros.

 

2.4 O Banco Central e a estruturação da gestão de riscos no sistema bancário brasileiro

2.4.1 O Banco Central do Brasil

O Banco Central do Brasil foi criado em 31 de dezembro de 1964, como o órgão regulador máximo do sistema financeiro nacional. A sua principal função é a de primar pela estabilidade e eficiência do sistema financeiro nacional. Para isso, diversas competências lhe são delegadas. Uma delas é controlar a quantidade de dinheiro em circulação na economia a partir de atribuições como emissão de moeda, negociação de títulos da dívida pública, manutenção da taxa de juros, exigindo dos bancos depósitos compulsórios, entre outras. Outra competência do Banco Central é funcionar como o banco dos bancos, podendo ajudar bancos em dificuldade emprestando-lhes dinheiro a juros baixos. Ele também é responsável por controlar a taxa de câmbio (valor da moeda nacional frente a moedas estrangeiras) estando ainda  apto a negociar ouro e moeda estrangeira.

Entretanto, a competência do Banco Central que mais se relaciona ao estudo de Controles Internos é a de regulador do funcionamento das instituições financeiras no Brasil. Cabe ao Banco Central autorizar, regular e fiscalizar o funcionamento das instituições financeiras no território nacional e, quando necessário, penalizá-las.

Em 1998, o Banco Central publicou a resolução 2554 que determinava que todas as instituições bancárias constituíssem um Sistema de Controles Internos. Esta foi a primeira de uma série de quatro resoluções do Banco Central com a finalidade de instaurar uma infra-estrutura abrangente de Controles Internos e Gestão de Riscos em todas as instituições financeiras que compõem o sistema financeiro brasileiro. Abaixo, pode-se observar a evolução das legislações emitidas pelo banco Central que dizem respeito à Gestão de Controles Internos Gestão e Riscos:

Tabela 2 – Resoluções relacionadas a Controles Internos e Gestão de Riscos

Resolução 2554 (1998)
Dispõe sobre a implantação e implementação de Sistema de Controles Internos.
Resolução 3056 (2002)
Dispõe sobre a auditoria interna das instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
Resolução 3380 (2006)
Dispõe sobre a implantação e implementação de estrutura de gerenciamento de risco operacional
Resolução 3490 (2007)
Dispõe sobre a apuração do Patrimônio de Referência Exigido (em outras palavras, sobre a manutenção de capital econômico para mitigação do risco operacional dos bancos)

 

2.4.2 Contexto e motivações para as resoluções

A publicação das Resoluções 2554, 3056, 3380 e 3490 (respectivamente anexos 1, 2,3 e 4) representa um esforço contínuo do Banco Central do Brasil em promover e difundir o uso de práticas modernas de Controle Interno e Gestão de Riscos operacionais nos bancos em território nacional. Dessa maneira, o Banco Central faz com que o setor financeiro nacional acompanhe o desenvolvimento dessas práticas ao redor do mundo, aumentando sua estabilidade e confiabilidade em relação a perdas operacionais.

Para compreender o que motivou esse esforço do Banco Central, precisamos nos voltar para a realidade das instituições financeiras na década de 90 e nos primeiros anos do século XXI. Ela é marcada por diversas perdas operacionais, com conseqüências severas para os bancos responsáveis e para as economias dos países envolvidos. A expectativa de crescimento da ocorrência e impacto de perdas operacionais cresce ainda mais, devido às mudanças ocorridas no ambiente interno e externo das instituições financeiras como: aumento da complexidade do portfólio de serviços, mobile banking e e-commerce, integração entre mercados de capitais, gripe aviária, práticas de outsourcing etc.;

A despeito de tudo isso, a grande maioria das instituições financeiras nacionais – da forma como estavam organizadas antes da chegada das resoluções do Bacen – de fato não possuíam mecanismos e ferramentas adequadas para lidar com esse novo cenário, marcado pela necessidade de melhor compreensão e tratamento dos riscos operacionaisVale ainda ressaltar que a estabilidade das instituições financeiras, ao contrário de outras indústrias, é imperativa para o desenvolvimento de um país, influenciando as atividades de todas as instituições públicas e empresas privadas que se relacionam neste tecido econômico, político e social. Dessa forma, regular o funcionamento dessas instituições, embora não receba o mesmo espaço na mídia que outras responsabilidades do Banco Central, é igualmente essencial para a manutenção do sistema financeiro nacional.

A resolução 2554 (de 1998) não chega a definir o que é risco, embora use este termo. Esta  resolução determina que os sistemas de Controles Internos incluam “meios de identificar e avaliar fatores internos e externos que possam afetar adversamente a realização dos objetivos da instituição”. Nesse contexto, um Sistema de Controles Internos deve assegurar o cumprimento dos objetivos (incluindo entre eles o compliance com as leis e regulamentações aplicáveis) através da identificação dos riscos, implantação de atividades de controle, acompanhamento sistemático das atividades da organização e correção dos desvios encontrados. Vale ressaltar a semelhança conceitual entre essa abordagem e a visão de um sistema de controles internos apresentada pelo COSO Internal Control.

A resolução 3056 não vai muito além disso; na verdade ela é apenas um complemento do artigo da 2554 que determina que o Sistema de Controles Internos deve ser acompanhado por uma auditoria interna.

Já a norma 3380, acompanhando o acordo de Basiléia II define o risco (no caso, o risco operacional) como: “a possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos”. Alguns exemplos de eventos de risco operacional (muito próximos às categorias do acordo de Basiléia II) são:
“I - fraudes internas;
II - fraudes externas;
III - demandas trabalhistas e segurança deficiente do local de trabalho;
IV - práticas inadequadas relativas a clientes, produtos e serviços;
V - danos a ativos físicos próprios ou em uso pela instituição;
VI - aqueles que acarretem a interrupção das atividades da instituição;
VII - falhas em sistemas de tecnologia da informação;
VIII - falhas na execução, cumprimento de prazos e gerenciamento das atividades na instituição”

Em relação a como uma organização deve lidar com riscos, a resolução determina que as instituições implantem estruturas de risco operacional cujo escopo deve abranger: “identificação, avaliação, monitoramento, controle e mitigação do risco operacional”. Essa visão abrange, por tanto, a compreensão de como o risco se manifesta na organização e o seu controle. É uma visão bem próxima àquela apresentada no capítulo 2 - Aspectos conceituais do Controle Interno.

A última resolução é a 3490. Essa tem um escopo limitado à exigência de que os bancos observem um capital econômico mínimo condizente com as operações que realiza, especificando ainda como este capital deve ser calculado.

2.4.3 Requisitos de cada resolução

Cada uma das quatro resoluções apresentadas descreveum conjunto de requisitos de Controle Interno e Gestão de Riscos operacionais que uma instituição financeira deve possuir. Abaixo apresentamos com mais detalhes as exigências de cada uma das resoluções:

2554 – Implantação de estruturas de Controles Internos e Auditoria interna

Esta resolução responsabiliza a diretoria da instituição por implantar a estrutura de Controles Internos e manter um ambiente de controle adequado. Além disso, ela determina que esse Sistema de Controles Internos seja adequadamente comunicado aos funcionários. A estrutura de Controles Internos deve seguir os seguintes requisitos:

  • Definir responsabilidades dentro da instituição;
  • Definição de objetivos, identificação e avaliação de riscos;
  • Segregar atividades de forma a impedir o conflito de interesses;
  • Assegurar a comunicação a todos os funcionários de toda a informação necessária para o cumprimento de suas responsabilidades;
  • Realização de testes periódicos sobre a segurança da informação;
  • Monitoração da eficácia dos controles e correção de deficiências;
  • Relatórios semestrais a serem enviados ao conselho de administração ou, caso a instituição não possua um, à diretoria e à auditoria externa da instituição. Esses relatórios devem conter os resultados dessa monitoração, bem como as recomendações de follow-up das deficiências encontradas e a manifestação dos responsáveis sobre o andamento da correção das deficiências reportadas em relatórios anteriores. Esses relatórios devem permanecer durante cinco anos à disposição do Banco Central;
  • Revisão e atualização periódica dos Controles Internos.

 

 

 

 

 

 

 

 

Além disso, uma auditoria interna deve examinar a estrutura de Controles Internos. Para tanto, a instituição financeira deve possuir uma área de auditoria interna ou contratar um auditor independente devidamente registrado na Comissão de Valores Mobiliários (CVM). Essa auditoria deve se reportar diretamente ao Conselho de Administração ou, na ausência deste, à diretoria.

3056 – Abertura irrestrita ao Banco Central dos “papéis de trabalho, relatórios e quaisquer documentos elaborados pela auditoria interna”

Esta resolução trata apenas de uma modificação em um dos requisitos da resolução 2554, exigindo que a documentação utilizada pela auditoria interna esteja disponível ao Banco Central.

3380 – Implantação de estrutura de Gestão de Riscos operacionais

A resolução determina que as instituições financeiras implantem uma estrutura de Gestão de Riscos operacionais, seguindo os seguintes requisitos:

  • Um dos diretores da entidade deve ser indicado como responsável pela gestão de risco operacional. Essa responsabilidade não precisa ser exclusiva;
  • Executar um processo de Gestão de Riscos composto das atividades de identificação, avaliação, monitoramento, controle e mitigação do risco operacional;
  • Tratar dos riscos relacionados a serviços terceirizados;
  • Deve haver uma área específica na instituição responsável pela gestão dos riscos operacionais;
  • Construir uma base de perdas internas;
  • Elaborar um relatório anual de deficiências de Controles Internos a ser revisado pela diretoria da instituição e pelo conselho de administração (se a instituição possuir um). Eles, por sua vez, ficam responsáveis por reportar-se a respeito do follow-up adequado dessas deficiências;
  • Realizar anualmente testes de controles;
  • Possuir uma política de risco operacional a ser revisada e aprovada anualmente pela diretoria. Essa política deve abranger os papéis e responsabilidades ligados à gestão de risco operacional, não só em todos os níveis da instituição (ou seja, incluindo desde responsabilidades e papéis operacionais até os estratégicos) como dos seus prestadores de serviço;
  • Elaboração de um plano de continuidade de negócios;
  • Implantar manter e divulgar um processo de comunicação e informação;
  • Inclusão das deficiências capazes de impactar de forma relevante os relatórios contábeis ou operações da instituição nos “Relatórios de Avaliação de Qualidade e Adequação do Sistema de Controles Internos”. Esses relatórios são elaborados pela auditoria independente e são exigidos por outras legislações;
  • Publicação anual de um relatório de acesso público contendo a descrição da estrutura de risco operacional. O conselho administrativo ou, caso a instituição não possua uma, a diretoria deve assumir a responsabilidade pelas informações contidas neste relatório. Além disso, um resumo das informações deste relatório deve ser publicado junto às demonstrações contábeis semestrais da instituição juntamente com uma indicação da localização do relatório original.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3490 – Manutenção de capital econômico mínimo

Esta resolução trata do cálculo do capital econômico mínimo exigido das instituições financeiras. A resolução apresenta uma fórmula matemática para esse cálculo, que envolve diversos tipos de exposições a risco por parte da instituição financeira. Não cabem aqui, entretanto, maiores discussões sobre este cálculo. Para um maior esclarecimento, sugere-se a consulta direta a resolução.

 

2.5 A AS/NZS 4360 e o processo de Gestão de Riscos

2.5.1 A Standards Australia e a Standards New Zealand

A Standards Australia é uma companhia limitada formada por 72 membros. Cada um desses membros é uma organização que representa um grupo com interesse no desenvolvimento de normas técnicas. Fundada em 1922, a Standards Australia participou em 1947 como membro fundador da ISO e em 1950 recebeu uma “Carta Real” para desenvolver normas para a Australia. Atualmente, possui uma equipe de mais de 100 pessoas e mais de 1300 comitês técnicos trabalhando para o desenvolvimento de normas. O número de normas publicadas já passa de 6000. As atividades comerciais da Standards Australia ficam a cargo de uma outra empresa, a SAI GLOBAL.

A Standards New Zealand é o braço operacional do Standard Council, uma entidade governamental autônoma. Formada em 1932, hoje a Standards New Zealand possui um catálogo de mais de 3000 normas publicadas.

Em 1995, a Standards Australia e a Standards New Zealand publicaram em conjunto a norma AS/NZS 4360 sobre Gestão de Riscos, na época, a primeira norma desenvolvido neste tema.

2.5.2 A abordagem da AS/NZS 4360

A Gestão de Riscos é definida pela AS/NZS 4360 da seguinte forma: “a cultura, os processos e as estruturas dirigidas à concretização de oportunidades e à gerência   de efeitos adversos”.. É importante notar que essa definição não permite que se possa separar com exatidão o que faz parte da Gestão de Riscos daquilo que não faz.

Essa fusão da Gestão de Riscos com a gestão mais ampla da organização é corroborada no prefácio da norma em trechos como: “Para ser efetiva, a Gestão de Riscos precisa se tornar parte da cultura de uma organização. Ela deve ser incorporada à filosofia, prática e processos de negócio da organização, no lugar de ser vista como uma atividade separada.”

A AS/NZS 4360 propõe um processo a ser aplicado por todas as organizações para executar a Gestão de Riscos. Tal processo é o elemento central da norma sendo que quase a totalidade do seu conteúdo trata dele.

2.5.3 O processo de gestão de riscos

O processo de Gestão de Riscos é descrito pela AS/NZS 4360 de forma genérica. Ele foi elaborado para ser aplicável à Gestão de Riscos em diversos contextos, abrangendo atividades (tanto as rotineiramente realizadas quanto as novas), projetos, tomadas de decisões etc. Assim, pode-se esperar que o processo, conforme descrito pela norma, possa ser executado tanto por um indivíduo, gerindo os riscos de segurança de seu computador pessoal, quanto por uma empresa multinacional que procura assegurar o sucesso da execução do seu planejamento estratégico.

No total, o processo conta com 7 elementos. Cada elemento recebe uma explicação conceitual, além de uma orientação concisa para a sua execução. A seguir cada um desses elementos é brevemente descrito. A figura abaixo, retirada do documento original da norma, apresenta os elementos do processo de Gestão de Riscos presentes na norma AS/NZS 4360.

Figura 3: Processo de Gestão de Riscos da AS/NZS 4360

  • Comunicação e Consulta – É o primeiro elemento apresentado pela AS/NZS 4360. A comunicação deve ocorrer em paralelo com todas as demais atividades, fornecendo inputs para sua execução, além de reportar o andamento da Gestão de Riscos. A idéia por trás da consulta é que os diversos stakeholders (internos e externos) possuem visões particulares sobre cada risco e sobre a melhor forma de tratamento dos mesmos. Para assegurar esse elemento, a norma AS/NZS ressalta a importância de se desenvolver um plano de comunicação para a Gestão de Riscos ainda durante o estágio inicial de desenvolvimento.
  • Estabelecer o Contexto – Esta etapa se inicia com a compreensão e definição do ambiente onde a organização opera e incluindo: o funcionamento da organização bem como os seus objetivos e metas; as atividades, ou partes da organização que serão objeto da Gestão de Riscos; os critérios a serem empregados na avaliação dos riscos;
  • Identificar Riscos – Nesta Os riscos a serem geridos (tanto positivos quanto negativos) são identificados e registrados. A identificação dos riscos deve ser estruturada de forma sistemática e abrangente para assegurar que nenhum risco importante fique de fora do resto do processo. Para tanto, diversas técnicas de naturezas muito diferentes podem ser aplicadas. Além de listar os eventos de risco propriamente ditos, essa etapa do processo deve se ocupar da compreensão das causas e cenários capazes de concretizá-los.
  • Análisar Riscos – Cada risco identificado deve ser analisado em relação a sua probabilidade e impacto. Os controles existentes devem ser levados em consideração para a análise, mesmo que eles não tenhamsido, originalmente,  implantados com esse objetivo. Duas listas ilustrativas são apresentadas: uma contendo fontes de informação e a outra com técnicas de análise de riscos.
  • Avaliar Riscos – É realizado a partir da comparação entre os riscos analisados com os critérios de risco o efeito esperado sobre os objetivos e metas da organização. O propósito dessa etapa do processo é decidir quais riscos precisam ser tratados e fornecer uma base para a priorização desses tratamentos.
  • Tratar Riscos – As diversas opções de tratamento devem ser identificadas e analisadas para, então, priorizá-las e compor o plano de tratamento. O documento descreve quatro opções genéricas de tratamento para riscos positivos (oportunidades) e faz o mesmo para riscos negativos. As opções são: alterar a conseqüência, alterar a probabilidade, reter o risco (ou oportunidade) residual e, por último, (no caso de oportunidades) perseguir ativamente ou (para ameaças) evitar o risco não executando a atividade da qual ele se origina. Ao analisar as possíveis respostas, deve-se contextualizá-las analisando os custos e benefícios diretos e indiretos, tangíveis e intangíveis, e levando em consideração tanto a visão dos diversos stakeholders quanto a maneira como cada reposta, se implementada, pode influenciar outras. Por fim, o plano de tratamento deve ser integrado aos processos de gestão e orçamento da organização.
  • Acompanhamento e monitoração – O acompanhamento e monitoração deve ocorrer continuamente, assegurando que o processo de Gestão de Riscos continue adequado ao longo do tempo. Como formas de realizar esta etapa do processo, são destacados: revisões de monitoramento contínuo; análises do progresso do plano de tratamento e revisões dos resultados do processo de gestão riscosincluindo: eventos ocorridos, planos de tratamento implementados e os seus resultados.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2.6 A ISO 31000 – a norma ISO para Gestão de Riscos

2.6.1 A ISO

A ISO (International Organization for Standardization) é a maior desenvolvedora e publicadora de normas técnica internacionais. Fundada em 1947 em Genebra, Suíça, a ISO se constitui atualmente de uma rede que integra instituições de padronização de 157 países. A coleção de normas técnicas internacionais da ISO gira em torno de 14000 documentos. Através de suas atividades, a ISO procura contribuir para o desenvolvimento econômico e social das seguintes maneiras: facilitação do comércio global; fomento ao uso racional dos recursos naturais, à qualidade e à segurança; ajudando a proteger o meio-ambiente e os consumidores; e, disseminação global de tecnologias e de boas práticas.

Entre os membros da ISO, podem-se encontrar tanto instituições governamentais quanto provenientes do setor privado. Dessa forma, a ISO consegue representar um consenso não só entre países como também entre diversos interesses ligados a necessidades de mercado e questões sociais mais amplas.

A ISO publicou o ISO guide 73, um guia de vocabulário com a definição dos principais termos ligados à Gestão de Riscos. Além desse documento, também está em desenvolvimento a norma ISO 3100 . Essa norma irá prover uma orientação genérica para a implementação da Gestão de Riscos por organizações das mais diversas naturezas, ou mesmo por indivíduos. Vale ressaltar que a ISO 31000 não deve ser utilizada com propósitos contratuais ou para certificação.

Apesar da norma ainda estar em desenvolvimento, a discussão sobre ISO 31000 aqui apresentada foi feita com base na versão Draft N 47 da norma ISO 31000. Vale ressaltar que a versão Draft N 47 já está razoavelmente madura, o que assegura que as discussões feitas a seguir não se tornarão defasadas.

A ABNT (Associação Brasileira de Normas Técnicas) toma parte do desenvolvimento da ISO 31000, possuindo um comitê especial.

 

2.6.2 A abordagem da ISO 31000 para gestão de riscos

A ISO 31000 não trás nenhum conteúdo inédito ao tratar do que é um risco. Segundo ela, os riscos estão em todas as atividades da organização. Eles variam em natureza e complexidade, além de possuir uma grande gama de impactos heterogêneos.

A ISO Guide 73 é utilizada como referência para todos os termos da ISO 31000. Em relação ao termo risco, a ISO Guide 73 apresenta duas definições distintas. A primeira é: “efeito da incerteza sobre os objetivos”; e a segunda é: “algo que pode acontecer ou vir a existir ou se efetivar e, ao fazer isso, afeta o atingimento de objetivos”. Ambas as definições apresentam as características de impacto e probabilidade. Um ponto interessante é que o impacto é, em ambos os casos, mensurados diretamente sobre os objetivos; esta é uma abordagem bastante prática que deixa claro que um risco não faz sentido algum fora de um contexto bem definido. Sobre a diferença entre as duas definições, pode-se dizer que a primeira refere-se ao risco como a própria variação do alcance dos objetivos devido às incertezas (uma determinada perda ou ganho incerto), enquanto a segunda vê o mesmo como aquilo que materializa essa variação (um evento incerto que gera uma perda ou ganho).

A ISO Guide 73 define a Gestão de Riscos como: “a cultura (crenças valores e comportamentos), processos e estruturas de uma organização que são direcionados para a concretização de ganhos potenciais ao mesmo tempo em que evitam ou limitam perdas”. Essa definição, idêntica à definição apresentada pela AS/NZS 4360, retrata a Gestão de Riscos como tudo aquilo em uma organização que ajuda a concretizar os possíveis ganhos ou evitar a materialização de possíveis perdas. É uma definição bem pouco precisa.

Ao tratar do que significa gerir riscos, o texto da ISO 31000 diminui essa imprecisão. Ele dá destaque à visão da Gestão de Riscos como um processo que apóia a tomada de decisão, fornecendo-lhe informações a respeito dos eventos incertos que afetem os objetivos. A ISO  31000  também deixa claro que a Gestão de Riscos deve envolver métodos sistemáticos que contemplem a execução deste processo e o registro e reporte dos seus resultados.

Em relação à implementação da Gestão de Riscos, deve-se levar em conta como se dá a governança e gestão da organização, além de sua cultura e filosofia. O escopo da Gestão de Riscos pode variar bastante, abrangendo desde áreas, funções, projetos ou níveis organizacionais específicos até a organização como um todo.A Gestão de Riscos deve então ser moldada, portanto, de acordo com seu contexto.

Vale ressaltar a necessidade de que haja uma homogeneidade na Gestão de Riscos dentro de uma mesma organização, mesmo que ela se dê em diversos contextos diferentes. Dessa maneira, a gestão dos riscos de cada atividade, projeto etc. deve ser alinhada, apoiando os objetivos mais gerais.

2.6.3 O Conteúdo da ISO 31000

Por admitir uma grande variabilidade prática na Gestão de Riscos, a ISO 31000 se propõe a fornecer uma orientação genérica para a implementação da Gestão de Riscos, cobrindo os seus elementos mais essenciais. Essa orientação é de grande valor para assegurar que, não obstante o escopo em que a Gestão de Riscos se dê, a mesma seja eficaz e coerente dentro de uma mesma organização.

Essa orientação genérica dada pela norma é realizada a partir da apresentação de três conteúdos distintos: uma lista de princípios para Gestão de Riscos, uma orientação para o desenvolvimento e manutenção de um framework para Gestão de Riscos e um processo de Gestão de Riscos.

2.6.4 Princípios da Gestão de Riscos

Trata-se de uma lista onze de princípios, os quais a Gestão de Riscos deve seguir para maximizar a sua eficácia. A saber, os princípios são os seguintes:

  • A Gestão de Riscos deve criar valor
  • A Gestão de Riscos deve ser parte integrante dos processos de uma organização
  • A Gestão de Riscos deve ser parte da tomada de decisão
  • A Gestão de Riscos deve abordar explicitamente a incerteza
  • A Gestão de Riscos deve ser sistemática e estruturada
  • A Gestão de Riscos deve se basear na melhor informação disponível
  • A Gestão de Riscos deve ser “feita sob medida”
  • A Gestão de Riscos deve levar em consideração os fatores humanos
  • A Gestão de Riscos deve ser transparente e inclusiva
  • A Gestão de Riscos deve ser dinâmica iterativa e responder a mudanças
  • A Gestão de Riscos deve ser capaz de melhorar continuamente

 

 

 

 

 

 

 

 

 

2.6.5 Framework para Gestão de Riscos

O sucesso e a sustentabilidade da Gestão de Riscos dependem da maneira como o processo de Gestão de Riscos (que abordaremos mais adiante) é aplicado aos diversos níveis e atividades dentro de uma mesma organização. Para tanto, é necessário que essas aplicações aconteçam de maneira consistente e integrada. A organização deve elaborar um framework para orientar a Gestão de Riscos assegurando a sua integração. A figura a seguir, retirada do documento original, representa o Framework de Gestão de Riscos.

Figura 4: Framework de Gestão de Riscos da ISO 31000

O framework para Gestão de Riscos não pretende tratar do sistema de gestão como um todo. Na verdade ele se foca especificamente sobre a integração da Gestão de Riscos com o sistema de gestão da organização. Vale lembrar que a ISO publicou diversas outras normas que também tratam do sistema de gestão da organização. Todas elas devendo ser passíveis de integração.

O documento também chama a atenção para os elementos da Gestão de Riscos inclusos em determinadas práticas e processos da organização independentemente da gestão “formal” dos riscos. Esses elementos de Gestão de Riscos devem ser avaliados de forma crítica e integrada ao framework para gestão de risco.

A orientação sobre como construir e manter o framework de Gestão de Riscos é apresentada em cinco etapas. A primeira é o comando e compromisso. Esse componente engloba o esforço da gestão da organização no sentido de comprometê-la para com a Gestão de Riscos.

A segunda etapa é o desenvolvimento do Framework de Gestão de Riscos propriamente dito. Esse framework deve ser elaborado com base na compreensão da organização e do ambiente onde atua sendo materializado em uma política de Gestão de Riscos. Aqui devem ser definidos os objetivos, accountabilities, mecanismos de comunicação interna e externa e recursos a serem alocados à Gestão de Riscos.

A etapa seguinte é a implementação da Gestão de Riscos. Esta etapa é realizada a partir do desenvolvimento e execução de um plano de implementação do framework para Gestão de Riscos, seguida pela implementação do processo de Gestão de Riscos aplicado a todas as atividades, funções e em todos os níveis dentro do escopo definido pelo framework.

O passo seguinte é a monitoração e revisão do framework para Gestão de Riscos. Deve se abranger a medição do progresso da Gestão de Riscos contra aquilo que foi planejado, a adequação da Gestão de Riscos frente às mudanças ocorridas no contexto interno e externo à organização e a efetividade da Gestão de Riscos.

A última etapa é a melhoria contínua do framework para Gestão de Riscos. Esse passo constitui-se na tomada de decisão a respeito de como a Gestão de Riscos deve ser melhorada. Essas decisões devem ter como base os resultados obtidos através da monitoração e revisão do Framework de Gestão de Riscos e servirão de insumo para uma nova realização da etapa de desenvolvimento do framework para Gestão de Riscos (a etapa de comando e compromisso não é repetida). Assim, forma-se um ciclo que assegura a manutenção de um framework de Gestão de Riscos adequado ao longo do tempo.

2.6.6 Processo de Gestão de Riscos

Nessa seção, a ISO orienta organizações a implementar um processo de Gestão de Riscos. Como já foi dito, trata-se de um processo genérico a ser adaptado aos diversos contextos de uma mesma organização onde a Gestão de Riscos deve ser aplicada. Entretanto, o processo descrito na ISO 31000 é muito similar ao processo da AS/NZS 4360 de forma que não faz sentido reproduzir aqui a sua descrição. Para estudar esse processo, recomenda-se a leitura da seção deste wiki que trata especificamente da AS/NZS 4360. A figura a seguir, também retirada do documento original, representa o processo de Gestão de Riscos. Como se pode ver é idêntica à do processo de Gestão de Riscos da AS/NZS 4360.

Figura 5: Processo de Gestão de Riscos da ISO 31000