Quadro 2 – Normas sobre gestão de riscos
Norma Ano de Publicação Observação
Norma australiana e neozelandesa AS/NZS 4360
Publicada em 1995 e revisada em 1999
Foi a primeira norma de âmbito mundial sobre sistemas de gestão de riscos empresariais. A norma propõe um processo estruturado para o gerenciamento de diversos tipos de riscos, dentre os quais se destacam os relacionados à segurança, ao meio ambiente e à qualidade de produtos e serviços; os riscos financeiros e os riscos relacionados a seguros e a políticas públicas.
Norma sobre Gestão
de Riscos do Canadá Publicada em 1997 N/A
Norma da Grã-
Bretanha Publicada em 2000 N/A
Norma do Japão Publicada em 2001 N/A
ISO/IEC Guide 73, Risk Management -
Vocabulary - Guidelines for use in
standards Publicado em 2002, pela International Organization for Standardization (ISO), e pela International Electrotechnical Commission (IEC),
ambas com sede em Genebra, na
Suíça
O ISO Guide 73 define 29 termos da gestão de riscos, os quais foram agrupados nas seguintes categorias: a) Termos básicos;
b) Termos relacionados a pessoas ou organizações afetadas por riscos;
c) Termos relacionados à avaliação de riscos, e d) Termos relacionados ao tratamento e controle de
riscos.
Destaca-se o fato de a referida norma possuir seu equivalente na versão brasileira, sob a denominação NBR ISSO Guia 73.
FONTE: DE CICCO, 01/2003.
Por fim, corroborando a crescente importância da gestão de riscos, merece destaque a Norma de Gestão de Riscos desenvolvida pela Federation of European Risk Management Associations (FERMA, 2002), no ano de 2002. Referida norma é o produto do trabalho das principais organizações de gestão de riscos do Reino Unido, a saber: The Institute of Risk Management (IRM), The Association of Insurance and Risk Managers (AIRMIC) e The National Forum for Risk Management in the Public Sector (ALARM).
3.2 Gerenciamento de Riscos Empresariais
Uma organização empresarial é um sistema vivo, cujo objetivo principal é a geração de riqueza sob a forma de retorno do capital investido pelo acionista. Para a concretização de tal mister, é estabelecida uma estratégia que, para sua consecução, são necessárias atividades corporativas, as quais trazem consigo uma gama de riscos.
Os riscos corporativos se originam de processos internos ou externos à empresa, podendo representar perigos ou oportunidades, logo, o risco deve ser caracterizado não apenas como uma ameaça ao alcance dos objetivos de negócio de uma empresa, mas, igualmente, como uma oportunidade para a agregação de valor ao negócio.
Para tanto, os riscos necessitam ser adequada e conscientemente gerenciados - como um meio de gestão da própria estratégia da organização.
A gestão de riscos pode ser compreendida como um “processo através do qual as organizações analisam metodicamente os riscos inerentes às respectivas atividades, com o objetivo de atingirem uma vantagem sustentada em cada atividade individual e no conjunto de todas as atividades” (FERMA, 2002).
Segundo Brito (2000, p.23), “A gestão do risco é o processo através do qual as diversas exposições ao risco são identificadas, mensuradas e controladas.”
Em uma definição mais abrangente, a Australian Standard AS/NZS 4360-1999 (apud Brasil, p.7) define o gerenciamento de riscos como “a cultura, os processos e a estrutura que são direcionados ao efetivo gerenciamento de potenciais oportunidades e efeitos adversos.”
A gestão de riscos, enquanto processo pró-ativo, permite que os riscos sejam antecipadamente identificados e tratados, de forma a proporcionar razoável segurança quanto à sua eliminação ou redução de eventuais impactos, em caso de sua materialização.
Os riscos são, na verdade, o reflexo de condições que propiciam sua ocorrência, sendo tais condições os denominados fatores de riscos.
Neste contexto, o gerenciamento de riscos se presta a controlar, em maior ou menor grau, os fatores de riscos, de forma a evitar ou diminuir a ocorrência de riscos. O gerenciamento dos riscos aumenta a probabilidade de êxito e reduz a probabilidade de incertezas no âmbito empresarial.
3.2.1 Evolução do Gerenciamento de Riscos
Não obstante o fato de os riscos, em um contexto geral, propiciarem potenciais perdas significativas às organizações, até meados da década de 1980, a preocupação com a gestão de riscos se concentrava apenas no risco de crédito.
Os sistemas de gestão de riscos empresariais tornaram-se mais robustos em meados de 1990, quando passaram a contemplar, além do risco de crédito, o risco de mercado.
Finalmente, a partir de 1990, fatores como as crises financeiras com impactos globais (México, em 1994; Ásia, em 1997; Rússia, em 1998; Brasil, em 1999); atentados terroristas nos EUA, em 2001 e Argentina, em 2002; constantes mudanças e inovações nos mercados financeiros; desastres financeiros decorrentes de deficiências nos controles de riscos empresariais e as pressões exercidas por órgãos reguladores, levaram as organizações a se preocuparem com a gestão de outros riscos, com destaque aos riscos operacional e estratégico. (GOULART, 2003).
Os riscos aos quais estão expostas as organizações efetivamente subsistem e muitas vezes se complementam, sendo coerente que sua gestão também ocorra de forma integrada ou, em outras palavras, que passe a ter uma abordagem holística dentro da empresa.
Os últimos anos presenciaram um vasto leque de instrumentos de gestão de riscos, paralelamente a uma mudança cultural, onde os riscos passaram a ser gerenciados de forma conjunta, ao que se convencionou chamar de gerenciamento integrado de riscos ou Enterprise Risk Management - ERM, ou ainda Enterprise-Wide Risk Management - EWRM. O conceito de ERM apresenta-se em maiores detalhes na seção 3.3.2 Enterprise Risk Management.
Ressalta-se que a citada mudança cultural na gestão de riscos empresariais também se verifica no fato de no passado existir uma conduta predominantemente reativa, enquanto na atualidade se constata uma forte tendência para a prevenção dos riscos, com base em uma gestão pró-ativa. Tal situação advém da crescente crença acerca de ser a gestão de riscos um instrumento de competitividade (com o acréscimo de diferenciais e agregação de valor por parte da empresa que o pratica) e uma questão de sobrevivência da atividade empresarial.
FONTE: Adaptado de DELOITTE TOUCHE TOHMATSU. Metodologia de auditoria com foco em riscos, 2003b, p.6.
Figura 1 - Evolução da Gestão de Riscos
3.3 Gestão de Riscos e Controles Internos
Drucker (1998) declara que a definição do propósito e da missão da organização é fundamental ao estabelecimento de objetivos, ao desenvolvimento de estratégias, à concentração de recursos e ao trabalho, capazes de fazer com que o negócio seja gerido com desempenho.
Neste sentido, o controle é a ferramenta que assegura a efetiva realização ou reavaliação das estratégias, dos objetivos e das metas, quando não da própria missão da empresa, ao permitir a identificação do nível de aderência, por parte de todos os níveis hierárquicos, à consecução dos objetivos de negócio. O princípio do controle permite identificar se um trabalho está sendo realizado conforme as normas estabelecidas e o respectivo plano delineado.
A importância da existência de controles para a gestão empresarial evidencia-se, conforme menciona Santos (2004), por meio de um estudo realizado em princípios de 1980,
Meados 1980 Meados 1990 Após 1990 EWRM
por consultores gerenciais, que concluíram que o fracasso na implementação de estratégias, da ordem de 90%, devia-se à carência de controles.
Gestão de riscos e controles são duas faces da mesma moeda, não sendo possível dissociá-los, em especial quando o risco em questão é o operacional, cujos fatores de risco estão associados à falhas diversas nas operações e atividades empresariais.
Uma adequada gestão de riscos exige, igualmente, um adequado sistema de controles internos, assim, os controles são processos realizados por todos os integrantes da organização, independentemente de seu nível na estrutura, de forma a proporcionar o sucesso empresarial.
Inicialmente os controles internos foram percebidos como algo relacionado somente às funções contábeis e financeiras e, por conseguinte, interessando apenas a contadores e auditores (ATTIE, 1998).
Contudo, na atualidade, o uso do termo controle interno perpassa por toda a organização, como uma forma de assegurar os processos contábeis, operacionais e de gestão, sendo tal entendimento corroborado pela definição atribuída pelo Comitê de Procedimentos de Auditoria do Instituto Americano de Contadores Públicos Certificados, qual seja:
O controle interno compreende o plano de organização e o conjunto coordenado de métodos e medidas adotados pela empresa, para proteger o seu patrimônio, verificar a exatidão e fidedignidade de seus dados contábeis, promover a eficiência operacional e encorajar a adesão à política traçada pela administração. (BERGAMINI JR., 2005, p.182).
A tradução de métodos e medidas, conforme definição do Comitê de Procedimentos de Auditoria do Instituto Americano de Contadores Públicos Certificados, pode ser entendida pelos seguintes componentes de controles internos, expostos por Duarte Jr. at al (2001a):
(i) Políticas e procedimentos claramente definidos; (ii) Sistemas de alçadas e limites;
(iii) Definições de autorizações;
(iv) Procedimentos de conciliações periódicas; (v) Controle de acesso físico;
(vi) Controle de acesso lógico;
(vii) Atribuição e definição de responsabilidades; (viii) Elaboração de plano de contingência; (ix) Formalização de registros;
(x) Monitoramento;
(xi) Segregação de funções;
(xii) Treinamento do corpo funcional, dentre outros.
Os tipos e finalidades de controles internos são muitos, podendo haver adaptações e especificidades de empresa para empresa, de segmento para segmento, contudo, há alguns que são considerados clássicos, a exemplo dos ora citados.
O Comitê da Basiléia (BASLE COMMITTEE ON BANKING SUPERVISION, 1997), por sua vez, menciona que a finalidade dos controles internos é assegurar que os negócios de um banco sejam conduzidos de forma prudente e de acordo com políticas e estratégias estabelecidas pelo conselho de diretores; que as transações somente sejam efetuadas mediante autorização competente; que os ativos sejam protegidos e os exigíveis controlados; que a contabilidade e outros registros forneçam informações completas, precisas e oportunas; e que a administração seja capaz de identificar, avaliar, administrar e controlar os riscos do negócio.
Por fim, uma visão contemporânea sobre controles internos e sobre gestão de riscos pode ser percebida pela seguinte colocação:
Um dos temas comuns de muitos dos recentes pronunciamentos sobre controle interno é o de que em vez do controle interno ser considerado um fim em si mesmo, ele tem como seu principal alvo a gerência de riscos. Isto sugere que com um rigoroso sistema de gerência de risco corporativo, um sistema eficaz de controle interno deveria decorrer. [...] o controle interno é visto como um processo corporativo essencial e não como alguma “melhor prática” externa à qual se deve aderir [...] (MARSHALL, 2002, p.29).
3.3.1 Controles Internos e COSO
Conforme menção da Deloitte Touche Tohmatsu (2003a, p.8), a definição de controles internos mais amplamente aceita foi desenvolvida pelo Committee of Sponsoring Organizations of the Treadway Commission - COSO (comissão que assessora a Security and Exchange Commission - SEC e mantém estreito relacionamento com as “Big Four”, representadas pelas quatro principais empresas de auditoria independente do mundo).
O COSO publicou, em 1992, o Internal Control - Integrated Framework (ou simplesmente COSO, como é habitualmente chamado), que representa um protocolo que “constitui um modelo de controle que deve ser adaptado às peculiaridades de cada empresa, de modo a resultar em uma metodologia de avaliação dos controles internos” (BERGAMINI JR., 2005, p.168). O COSO é o framework para avaliação de controles internos9 de maior aceitação nos EUA, cujas diretrizes definem controles internos como sendo:
[...] um processo - efetuado pelo Conselho de Administração, administradores, e outras pessoas da companhia - que fornece razoável segurança quanto ao alcance de objetivos nas seguintes categorias.
Eficácia e eficiência das operações: endereça os objetivos de negócios
básicos da empresa, incluindo performance e metas estratégicas e a salvaguarda dos recursos.
Confiabilidade dos relatórios financeiros: contempla a preparação de
relatórios financeiros confiáveis e outras informações financeiras.
Cumprimento de leis e regulamentos aplicáveis [compliance]: contempla
leis e regulamentos os quais a empresa está sujeita, visando evitar prejuízos à sua reputação ou outras conseqüências negativas. (PWC, 2002, p.11).
O COSO identifica cinco componentes de controle interno que necessitam estar alinhados e integrados, de forma a atingir os objetivos de controle da empresa, quais sejam:
9
Ressalta-se a existência de outras estruturas para a avaliação de controles internos, podendo ser citadas: a) CoCo - modelo de controles desenvolvido pelo Criteria of Control Committee of Canadian Institute of
Chartered Accountants;
b) Turnbull Report - desenvolvido pelo Committee on Corporate Governance of the Institute of Chartered Accountants in England & Wales, em parceria com a London Stock Exchange;
c) ACC - Australian Criteria of Control - emitido pelo Institute of Internal Auditors - Austrália; e d) King Report - expedido pelo King Committee on Corporate Governance, na África do Sul.
Ambiente de Controle: estabelece a base para a existência de uma estrutura de controles internos, relacionando-se a conceitos como conduta, atitude, consciência, competência e estilo. Grande parte de sua força é extraída da conduta estabelecida pelo Conselho de Administração e pelos executivos da companhia.
Avaliação de Riscos: envolve a identificação e a análise, pela Administração, dos riscos mais relevantes para a obtenção dos objetivos do negócio. No decorrer de uma avaliação de riscos, cada objetivo operacional, do nível mais alto ao mais baixo, é documentado e então cada risco que possa prejudicar ou impedir o alcance do objetivo é identificado e priorizado.
Atividades de Controle: são desenvolvidas para direcionar especificamente cada objetivo de controle, visando atenuar os riscos identificados anteriormente. As atividades de controle são políticas, procedimentos e práticas adotados para assegurar que os objetivos operacionais sejam atingidos e as estratégias para atenuar riscos sejam executadas.
Informação e Comunicação: fornecem suporte aos controles internos, transmitindo diretrizes do nível da administração para os funcionários, em um formato e uma estrutura de tempo que lhes permitem executar suas atividades de controle com eficácia.
Monitoramento: é o processo para estimar e avaliar a qualidade dos controles internos durante avaliações contínuas e especiais. O monitoramento pode incluir tanto a supervisão interna como externa dos controles internos pela administração, pelos funcionários, ou pelas partes externas.
O COSO utiliza-se de um cubo tridimensional, conforme figura 2, para ilustrar o relacionamento existente entre seus cinco componentes e os objetivos de controle, a saber, as operações, a emissão de relatórios financeiros e o atendimento a leis e regulamentos. A terceira face do cubo demonstra que o controle interno é aplicável a todas as unidades e atividades desenvolvidas pela organização.
FONTE: Adaptado de DELOITTE TOUCHE TOHMATSU. Metodologia de auditoria com foco em riscos, 2003b, p.9.
Figura 2 - Framework COSO