Gestão de riscos: modelos de referência

Nesta seção encontra-se síntese de alguns dos principais modelos de gestão de riscos conhecidos:

• COSO-IC (COSO I)
• COSO-ERM (COSO II)
• ISO 31000:2009
• INTOSAI – Guias GOV 9100 e GOV 9130
• KING III - King Code of Governance Principles
• The Institute of Internal Auditors (IIA) – As Três Linhas de Defesa
• O Livro Laranja
• Política de Gestão de Riscos do Governo da Austrália
• Ferma - Padrão de Gestão de Riscos
• ISACA/Cobit 5
• Acordos de Basileia I e II e III

COSO-IC (COSO I)

Em 1992, o Committee of Sponsoring Organizations of the Treadway Commission – COSO publicou o guia Internal Control - integrated  framework (COSO-IC ou COSO I), com o objetivo de orientar as organizações quanto a princípios e melhores práticas de controle interno, em especial para assegurar a produção de relatórios financeiros confiáveis e prevenir fraudes.

Nesse modelo, controle interno é definido como um “processo projetado e implementado pelos gestores para mitigar riscos e alcançar objetivos”.  Por sua vez, risco é definido como “a possibilidade de ocorrência de um evento que possa afetar o alcance dos objetivos” (COSO, 1992). Ou seja, para o COSO-IC, o controle interno é um processo que tem por objetivo mitigar riscos, com vistas ao alcance dos objetivos.

O modelo do COSO-IC é representado por um cubo no qual as três faces visíveis representam: i) tipos de objetivos; ii) níveis da estrutura organizacional e iii) componentes.

Os tipos de objetivos que o COSO-IC foca são os operacionais do negócio, assegurar relatórios financeiros confiáveis e assegurar conformidade legal/regulatória. A visão relativa à estrutura organizacional busca atingir a organização como um todo, abarcando unidade, departamento, divisão, etc., ou seja, do maior ao menor nível.  O modelo concentra-se nos seguintes componentes: ambiente de controle, análise de riscos, atividades de controle, informação e comunicação e monitoração.

Em resumo, as perspectivas mostradas nas três faces do cubo do COSO-IC podem ser entendidas como o conjunto de atividades, recursos e viabilizadores críticos para o processo de controle interno a ser aplicado na instituição em todos os níveis, com vistas a assegurar o alcance de certos tipos de objetivos normalmente existentes nas organizações. Apesar da avaliação de riscos ser um componente do modelo, todo foco está no processo de controle interno da organização, e não estão contempladas todas as atividades e outros aspectos importantes para a realização de um processo completo de gestão de riscos. Em outras palavras, o COSO-IC, é um modelo de controle interno que utiliza práticas de avaliação de riscos, não tendo sido elaborado com o objetivo de ser um modelo de gestão de riscos em sentido estrito.

O COSO-IC é o framework mais utilizado pelas companhias que possuem ações em bolsa nos Estados Unidos, com vistas ao atendimento da secção 404 da lei norte-americana Sarbanes-Oxley, que trata de assegurar a efetividade dos controles internos sobre relatórios financeiros (USA, 2002). Apesar desse uso especializado, o modelo pode ser aplicado também na avaliação dos controles internos relacionados com as operações, conformidade legal/regulatória e outros objetivos.

Em 2013, uma versão atualizada do COSO-IC foi publicada, na qual destacam-se as seguintes modificações: facilitada a verificação de conformidade com a Lei Sarbanes-Oxley, generalização do objetivo relatórios financeiros para relatórios da gestão em geral e explícita articulação de 17 princípios associados aos componentes do sistema de Controle Interno. A entidade responsável pelo modelo recomenda que as organizações usuárias do COSO-IC passem a utilizar essa nova versão, já que a anterior foi considerada obsoleta a partir de 15 de dezembro 2014.

COSO-ERM (COSO II)

Em 2004, o COSO publicou o Enterprise Risk Management - integrated framework (COSO-ERM ou COSO II), documento que ainda hoje é tido como referência no tema gestão de riscos corporativos.

Esse modelo, como o próprio nome revela, foi projetado com o objetivo de orientar as organizações no estabelecimento de um processo de gestão de riscos corporativos e na aplicação de boas práticas sobre o tema.

Vale lembrar que o COSO-ERM é uma evolução do COSO-IC, ou seja, abrange todo o escopo do modelo anterior e incorpora ferramentas complementares, como se vê na seguinte afirmação: “[o modelo COSO-ERM] não pretende substituir o modelo do controle interno [COSO-IC], mas sim incorporá-lo" (COSO, 2004).

De acordo com o COSO-ERM, a gestão de riscos corporativos é:

Processo que permeia toda a organização, colocado em prática pela alta administração da entidade, pelos gestores e demais colaboradores, aplicado no estabelecimento da estratégia e projetado para identificar possíveis eventos que possam afetar a instituição e para gerenciar riscos de modo a mantê-los dentro do seu apetite de risco, com vistas a fornecer segurança razoável quanto ao alcance dos objetivos da entidade (COSO, 2004, tradução livre).

Importante observação derivada da definição acima é que o processo corporativo de gestão de riscos previsto no COSO-ERM, além de ser aplicável na realização normal das atividades - operacionais, administrativas e de suporte - deveria ser aplicado também nas atividades de planejamento voltadas à definição da estratégia da organização. Isso fica ainda mais evidente quando se observa que a perspectiva do cubo do COSO-ERM relativa aos objetivos inclui um novo tipo de objetivo a ser assegurado e que não era listado no COSO-IC, qual seja, a categoria dos objetivos estratégicos.

Na perspectiva do cubo do COSO-ERM que trata dos componentes do modelo, observa-se que a atividade “análise de riscos”, anteriormente prevista no COSO-IC, foi substituída e complementada pelas seguintes atividades: identificação de eventos, avaliação de riscos e, por fim, resposta a riscos. Essas atividades devem considerar o apetite de risco e os níveis de tolerância a riscos definidos pela organização:

Risk Response – Management selects risk responses – avoiding, accepting, reducing, or sharing risk – developing a set of actions to align risks with the entity’s risk tolerances and risk appetite (COSO, 2004).

Característica marcante do COSO-ERM é a previsão, como parte do modelo, de um componente relacionado com a definição de objetivos, como se vê na figura do cubo que representa aquele modelo e também nas seguintes afirmações:

An appropriate process for objective setting is a critical component of enterprise risk management… Enterprise risk management ensures that executive management has in place a process to set objectives and that the chosen objectives support and align with the entity’s mission and are consistent with its risk appetite (COSO, 2004)

O COSO-ERM introduz conceitos interessantes como apetite a risco e tolerância a riscos. O primeiro refere-se ao montante de risco que a organização dispõe-se a aceitar na criação de valor. O segundo trata do nível de variação aceitável no alcance de um certo objetivo.

Em resumo, verifica-se que o modelo COSO-ERM, ao orientar a aplicação de um processo de gestão de riscos corporativos, incorpora e aprimora o modelo COSO-IC pela inclusão de componentes e elementos adicionais que asseguram a realização de todas as atividades necessárias a tal mister.

Vale lembrar ainda a relação existente entre controle interno, gestão de riscos corporativos e a governança corporativa, como bem definido na versão 2013 do COSO Internal Control —Integrated Framework:

Enterprise risk management is broader than internal control, elaborating on internal control and focusing more directly on risk. Internal control is an integral part of enterprise risk management, while enterprise risk management is part of the overall governance process (COSO, 2013).

ISO 31000:2009

A norma técnica ISO 31000:2009 resultou de esforço da International Organization for Standardization (ISO) para criar um padrão internacional para a gestão de riscos corporativos, tendo sido publicada no Brasil sob o nome ABNT NBR ISO 31000:2009 Gestão de riscos – Princípios e diretrizes. Essa norma aprimora os conceitos, as diretrizes e as práticas recomendadas em normas técnicas que a precederam, como a AS/NZS 4360 e tem como objetivo oferecer recomendações para o planejamento, implantação e execução de um processo de gestão de riscos abrangendo toda a organização.

O processo de gestão de riscos preconizado na ISO 31000:2009 não difere muito do que já era previsto em normas técnicas regionais que a antecederam e contempla as seguintes fases ou atividades: estabelecimento do contexto, identificação, análise, avaliação e tratamento de riscos, comunicação e consulta, monitoramento e análise crítica. As maiores novidades da norma são a redefinição do conceito de risco e a explicitação de onze princípios para a gestão de riscos, bem como de cinco atributos para aprimorar a gestão de riscos.

Os princípios da gestão de risco eficaz elencados na ISO 31000:2009 são os seguintes: i) A gestão de riscos cria e protege valor; ii) A gestão de riscos é parte integrante de todos os processos organizacionais; iii) A gestão de riscos é parte da tomada de decisões; iv) A gestão de riscos aborda explicitamente a incerteza; v) A gestão de riscos é sistemática, estruturada e oportuna; vi) A gestão de riscos baseia-se nas melhores informações disponíveis; vii) A gestão de riscos é feita sob medida; viii) A gestão de riscos considera fatores humanos e culturais; ix) A gestão de riscos é transparente e inclusiva; x) A gestão de riscos é dinâmica, iterativa e capaz de reagir a mudanças; e xi) A gestão de riscos facilita a melhoria contínua da organização (ABNT, 2009).

Também em 2009, a ISO publicou versão atualizada – e compatível com a ISO 31000 – do guia ISO Guide 73 - Risk Management Vocabulary, instrumento importante para a sedimentação de uma linguagem comum e padronizada relativa ao tema.

INTOSAI – Guias GOV 9100 e GOV 9130

A Organização Internacional de Entidades Fiscalizadoras Superiores (INTOSAI) publicou, em 2004, o guia GOV 9100 – Guidelines for Internal Control Standards for the Public Sector, com o objetivo de prover um modelo de controle interno no setor público e fornecer uma base contra a qual o controle interno pode ser avaliado, aplicável a todos os aspectos relacionados com o funcionamento de uma organização pública.

Em 2007, a INTOSAI publicou o guia complementar GOV 9130 – Guidelines for Internal Control Standards for the Public Sector – Further Information on Entity Risk Management, com recomendações adicionais ao guia GOV9100. O documento preconiza um modelo para a aplicação da gestão de riscos no setor público e provê uma base contra a qual a gestão de riscos pode ser avaliada.

Esses guias foram baseados, respectivamente, no modelo COSO-IC e COSO-ERM anteriormente citados, com algumas modificações, especialmente adaptações de linguagem e de contexto, de forma a adequar o uso ao setor público.

KING III - King Code of Governance Principles

King III é um modelo de governança corporativa originado na África do Sul e que tem boa aceitação internacional, entre outras razões, por sua elaboração ter contado com a consultoria de Sir Adrian Cadbury, responsável pelo conhecido "Cadbury Report" (CADBURY, 1992). Um dos capítulos do documento que formaliza o modelo trata especificamente da "Governança dos riscos".

A África do Sul exige aplicação do código de práticas King III em todas as empresas que negociam ações na bolsa de valores de Johannesburg. Entretanto, a conformidade é exigida na forma "apply or explain", ou seja, os dirigentes têm a liberdade de aplicar as recomendações de forma diferente da proposta no modelo, ou aplicar práticas alternativas, sempre no melhor interesse da sua organização. Caso isso ocorra, eles precisam explicar, formalmente, as razões que os levaram a agir de forma diversa da recomendada.

Esse modelo prevê a realização obrigatória de ao menos uma avaliação de riscos por ano na organização, devidamente documentada. Outra característica peculiar do modelo é a explícita incorporação de elementos de governança dos riscos de Tecnologia de Informação no sistema de governança de riscos corporativo: “The risk committee should ensure that IT risks are adequately addressed” (IODSA, 2009).

The Institute of Internal Auditors (IIA) – As Três Linhas de Defesa

O guia Declaração de Posicionamento do IIA:  As Três Linhas de Defesa no Gerenciamento Eficaz de Riscos e Controles, publicado originalmente em 2012, tem por objetivo prover um modelo simples e efetivo para o esclarecimento dos papéis e responsabilidades essenciais no gerenciamento de riscos e controle.

O IIA constata que as organizações contam com diversos atores desempenhando atividades relacionadas à gestão de riscos, como auditores internos, especialistas em gestão de riscos, executivos de compliance, analistas de qualidade, investigadores de fraude e outros profissionais de riscos e controle. Portanto, responsabilidades claras devem ser definidas para que cada grupo de profissionais entenda os limites de suas responsabilidades e como seus cargos se encaixam na estrutura geral de riscos e controle da organização, de modo a evitar debates desnecessários sobre as competências e áreas de atuação de cada um.

No modelo das Três linhas de Defesa proposto pelo IAA, o controle da gerência é a primeira linha de defesa no gerenciamento de riscos. As diversas funções de controle de riscos e supervisão de conformidade (área de risco, comitê de risco, etc.) estabelecidas pela gerência são a segunda linha de defesa, enquanto a avaliação independente, feita pela auditoria interna, é a terceira linha de defesa (IIA, 2012).

Para o IIA, as três linhas devem existir de alguma forma, separadas e claramente identificadas, em todas as organizações, não importando o tamanho ou a complexidade do negócio, pois isso assegura a efetividade do gerenciamento de riscos.

O modelo ressalta que o alto nível de independência da auditoria interna não está disponível nas outras linhas de defesa, nem mesmo na segunda. Para manter essa independência, não é aconselhável que se atribua à auditoria interna responsabilidades de gestão, como por exemplo, coordenar ou gerenciar o processo de gestão de riscos da organização.

A principal função da auditoria interna é prover avaliações independentes sobre a eficácia da governança, do gerenciamento de riscos e dos controles internos, incluindo a forma como a primeira e a segunda linhas de defesa alcançam os objetivos de gerenciamento de riscos e controle.

O Livro Laranja

O guia The Orange Book Management of Risk - Principles and Concepts foi publicado em 2004 pelo HM Treasury, órgão governamental responsável pelo tesouro ou finanças do Reino Unido. Trata-se de versão aprimorada de guia semelhante publicado em 2001, que teve grande aceitação nos órgãos públicos britânicos, os quais iniciavam, à época, a implantação de seus processos de gestão de riscos.

Esse guia provê um modelo de gestão de riscos que pode auxiliar no desenvolvimento de uma política institucional sobre o tema, além de ser aplicável em diversos níveis, desde a organização como um todo, até projetos ou operações.

Entre os aspectos realçados nessa versão do Orange Book está a necessidade de comunicação, revisão e melhoria contínua do processo implantado. Também se enfatiza a necessidade de considerar os relacionamentos de interdependência que a organização mantém com outras instituições ou, nos termos definidos pelo guia, a organização estendida (UK, 2004).

O modelo define que a aceitação de riscos deve considerar critérios definidos pelos administradores, os quais podem ser (UK, 2004):

1. apetite de risco corporativo - montante de risco considerado aceitável, definido pela alta administração e que, na verdade, pode constituir-se de mais de uma declaração, pois constata-se que pode ser definido por categorias;
2. apetite de risco delegado - semelhante ao anterior, mas definido no âmbito das unidades e divisões organizacionais, de acordo com alçadas pré-definidas; e
3. apetite de risco de projeto - semelhante ao primeiro, mas definido para um projeto específico.

Essa estrutura de apetites em cascata permitiria ao gestor aceitar, em certos casos, até mesmo altos riscos, como deixa explícito o exemplo citado no guia de um projeto considerado especulativo, com altos riscos, mas também com possibilidade de altos retornos.

Política de Gestão de Riscos do Governo da Austrália

O governo da Austrália instituiu recentemente um guia geral para a gestão de riscos, denominada Australian Government Department Commonwealth Risk Management Policy. Essa política faz parte dos esforços para aprimorar os níveis de accountability dos órgãos e entidades governamentais por meio do foco em seus objetivos, riscos e controles internos (AUSTRALIA, 2014).

O objetivo da política é incorporar a gestão de riscos na cultura das instituições governamentais, de modo que o entendimento compartilhado sobre riscos leve a tomadas de decisão bem informadas.

Observe-se que essa política não é de aplicação obrigatória, mas existe recomendação para que cada organização governamental revise e alinhe sua estrutura de gestão de riscos com o modelo nela descrito.

O documento, que é baseado na norma técnica ISO 31000/2009, descreve os seguintes nove elementos-chave:

1. instituir uma política de gestão de riscos;
2. estabelecer um framework para a gestão de riscos;
3. definir as responsabilidades pela gestão de riscos;
4. incorporar a gestão de riscos sistemática nos processos de negócio;
5. desenvolver uma cultura de riscos;
6. comunicar e consultar sobre risco;
7. compreender e gerir o risco partilhado;
8. manter a capacidade de gestão de riscos; e
9. rever e melhorar continuamente a gestão de riscos.

Ferma - Padrão de Gestão de Riscos

O Risk Management Standard é um guia publicado pela Federation of European Risk Management Associations (Ferma) e resulta do esforço conjunto de diversas entidades européias que atuam na promoção do uso da gestão de riscos pelas organizações em geral, inclusive do setor público (FERMA, 2003).

As boas práticas de gestão de riscos contidas no guia da Ferma são bastante similares àquelas prescritas por outros modelos, como os seguintes princípios e orientações, por exemplo:

1. a gestão de riscos aumenta as probabilidades de sucesso no alcance dos objetivos;
2. a gestão de riscos deve ser integrada à cultura da organização, com uma política efetiva direcionada pela alta administração;
3. a organização deve estabelecer critérios contra os quais os riscos são comparados;
4. riscos devem ter proprietários;
5. separação clara de responsabilidades entre gestores, funções de apoio à governança e gestão dos riscos e auditoria interna.

ISACA/Cobit 5

O COBIT é um padrão, modelo ou framework para a governança e gestão de Tecnologia da Informação (TI), desenvolvido pela ISACA[1], publicado inicialmente em 1996. A edição atual, o Cobit 5, disponibilizada em 2012, propõe-se a servir como um modelo completo para a governança e a gestão corporativas de TI, em conformidade com as melhores práticas internacionais, com vistas a apoiar a alta direção e demais gestores na definição e no alcance de objetivos de negócio relacionados com TI.

O modelo Cobit 5 identifica 32 processos de trabalho de gestão de TI e 5 processos afetos à governança de TI em sentido estrito. Um dos processos de governança descrito é o “EDM03 – Garantir a otimização do risco”, cujos responsáveis primários ou accountables identificados em tabelas RACI são as instâncias internas de governança e a alta direção. Esse processo contempla as atividades de avaliar, direcionar e monitorar a gestão de riscos de TI.

Entre os insumos que se recomenda produzir nesse processo citam-se: guias de apetite a risco, níveis de tolerância a risco, políticas de gestão de risco, processo aprovado para gestão de riscos e ajustes corretivos da gestão de riscos. Adicionalmente, é identificado o processo “APO12 – Gerenciar riscos”, tendo como principais responsáveis os dirigentes e gestores da organização, no qual são tratadas as atividades de identificar, analisar, articular e responder aos riscos, bem como manter portfólio de riscos e portfólio de ações de mitigação correspondentes (ISACA, 2012).

Além de descrever os processos EDM03 e APO12 no guia “Cobit 5 Enabling Processes”, a ISACA publicou também o guia “Cobit 5 for Risk”, o qual descreve com maior profundidade práticas e métodos para auxiliar no processo de gestão de riscos de TI como um todo e especialmente nas atividades relacionadas com a análise, avaliação e resposta a riscos. Esse guia também destaca a importância de uma perspectiva denominada função de riscos, que envolve a instituição de uma política e uma estrutura organizacional responsável por implantar e fomentar o processo de gestão de riscos de TI.

O guia “Cobit 5 for Risk” sugere a classificação dos riscos em categorias como: entrega de valor ou estratégicos, programas/projetos e operacionais. A metodologia para análise, identificação e tratamento dos riscos parte do levantamento de cenários de risco, que devem ser catalogados num Risk Register ou universo de riscos, juntamente com os demais artefatos gerados. Os cenários são submetidos a análise, na qual se consideram os chamados fatores de riscos (ambiente externo e forças e fraquezas do ambiente interno). Na etapa de análise ponderam-se a probabilidade e as consequências, sendo que, para estas são sugeridos alguns tipos de impactos a considerar, como: não alcance de objetivos estratégicos, financeiros, legais/regulatórios, imagem/reputação e operacionais/produtividade. O guia destaca a importância de existirem critérios definidos pela alta direção (apetite de risco e tolerância a riscos) para subsidiar a decisão quanto à adoção de ações de mitigação.

Na análise de um cenário de risco, o guia “Cobit 5 for Risk” concentra a atenção em elementos denominados habilitadores pelo modelo Cobit5. Habilitadores podem ser entendidos como controles existentes, faltantes ou deficientes e que constituem vulnerabilidades. Também devem ser considerados os habilitadores ao se avaliar e selecionar ações de mitigação. Os habilitadores considerados no Cobit5 são: i) Princípios, políticas e modelos; ii) Processos de trabalho; iii) Estruturas organizacionais; iv) Cultura corporativa, ética e comportamento; v) Informação; vi) Serviços, infraestrutura e aplicações; e vii) Pessoas, habilidades e competências.

Embora voltados para a gestão de riscos de TI, subtema especializado da governança, os guias da ISACA demonstram que as atividades de gestão de riscos recomendadas são praticamente as mesmas sugeridas nos demais modelos analisados. Também é reforçada a necessidade de existirem critérios orientadores da gestão de riscos e monitoração da alta direção sobre os resultados alcançados, preferencialmente no escopo de um processo de gestão institucional.

Acordos de Basileia I e II e III

A denominação dos acordos de Basileia deriva da cidade suíça de mesmo nome, a qual sedia o Comitê de Supervisão Bancária de Basileia (BCBS). Essa organização é formada pelas autoridades monetárias de quase 30 países relevantes no cenário econômico mundial, inclusive o Brasil. Os acordos de Basileia constituem uma série de recomendações para assegurar a regulação e a supervisão e buscar maior estabilidade e menor risco nas atividades bancárias. O Comitê não possui autoridade transnacional para fazer valer suas recomendações, portanto os países membros e outros países interessados as implementam por meio de leis e regulamentações nacionais específicas, o que explica a relativa lentidão para sua completa adoção.

O Acordo de Basileia I, de 1988, era primariamente focado em estabelecer limites à atuação dos bancos com base no chamado risco de crédito, o qual decorre da possibilidade da insolvência de clientes. Com base no risco de crédito total do conjunto de ativos, uma reserva de capital e também um limite de alavancagem são calculados para o banco, limitando assim suas operações e o risco que ele representa para o sistema financeiro (BCBS, 1998). 

No Acordo de Basileia II, de 2004, passa-se a considerar no cálculo da reserva de capital não apenas os riscos de crédito, mas também os riscos de mercado e os riscos operacionais. Além disso, o novo acordo aumenta a capacidade de supervisão por parte das autoridades centrais reguladoras e exige maior transparência nos relatórios e publicações destinados ao mercado e ao público em geral (BCBS, 2004).

Os acordos de Basileia têm por alvo o setor bancário, porém certos princípios, regras, mecanismos de controle e metodologias neles definidos podem oferecer insumos para a implantação de um processo de gestão de riscos em organizações que atuam em outras áreas de atividade, inclusive no setor público.

[1] Originalmente conhecida como “Information Systems Audit and Control Association”, a ISACA prefere ser denominada apenas por seu acrônimo, dado que os objetivos atuais da associação são mais abrangentes, conforme informação constante no sítio da entidade.