Estrutura do COSO na gestão de riscos

Por Eduardo Person Pardini

No início de setembro a organização COSO – The Comitee of Sponsoring Organizations (organização privada criada nos EUA em 1985 para prevenir e evitar fraudes nos procedimentos e processos internos das empresas) publicou a atualização de sua estrutura de gerenciamento de riscos corporativos, publicado originalmente em 2004.

Nesta última década o mercado e o ambiente de negócios sofreram modificações profundas, fazendo com que este paradigma de boas práticas precisasse passar por uma revisão de forma a ter uma visão mais alinhada às necessidades atuais das corporações.

Como o próprio COSO reconhece, a gestão de riscos tem se aperfeiçoado nos últimos anos, entretanto, o aumento da volatilidade e complexidade das operações (globalizadas ou não) têm desafiado as empresas a contar com uma estrutura flexível e muito mais adaptável às mudanças, dando sustentabilidade e perenidade, mitigando os riscos de reputação, confiança e relevância operacional.

A transparência e a responsabilidade pela prestação de contas (accountability) são atributos de governança que devem estar presentes nas agendas de qualquer Conselho e Executivo, os quais têm a responsabilidade de fortalecê-los em todas as camadas organizacionais.

Em tese esta atualização não altera o conceito do gerenciamento de riscos, contudo, expande o alcance e a visão de riscos. Um dos direcionadores é o fortalecimento da integração do Conselho, Executivos e Stakeholders, facilitando desta forma o entendimento de que o gerenciamento de riscos, se utilizado de forma mais abrangente e compreensiva, auxilia e apoia a empresa na obtenção de vantagem competitiva.

Nesta nova visão, o Conselho deve expandir sua responsabilidade de supervisão para o processo de gerenciamento de riscos tornando-o mais efetivo.

Na atual estrutura o Conselho utiliza os resultados da gestão de riscos para supervisionar a operação, agora ele precisa estar mais integrado ao processo de gerenciamento de identificação, avaliação e tratamento dos riscos corporativos.

A alta gestão tem como responsabilidade definir o apetite ao risco, além de supervisionar para que este apetite seja base para a definição da estratégia da organização.

A gestão de riscos tem contribuído na identificação e avaliação dos riscos estratégicos, entretanto, as maiores causas de desgaste dos valores criados se dá pelo não alinhamento da estratégia com a missão, visão e valores da corporação, por isto a ênfase neste quesito.

A gestão de riscos na definição da estratégia (alinhada à missão, valores e visão determina que o sucesso, para um desempenho operacional gerador de riqueza) acontece através da integração equilibrada de todos os departamentos e funções.

Semelhante à estrutura do COSO controles Internos, esta nova visão estabelece vinte princípios organizados entre os cinco componentes inter-relacionados. Estes princípios cobrem todo o entendimento entre as atividades de governança e monitoramento, auxiliando as corporações nas ações necessárias para estarem aderentes a esta melhor prática.

Eles são gerenciáveis e descrevem práticas que podem ser aplicadas de maneiras distintas para diferentes organizações, independentemente do seu tamanho, tipo ou setor.

A adesão a esses princípios fornece à administração e ao Conselho uma razoável certeza de que a organização entendeu e se esforça para gerenciar os riscos associados à sua estratégia e objetivos de negócios.

O desafio para as empresas é que continuaremos a enfrentar um futuro de grande volatilidade, complexidade e ambiguidade, de forma que a gestão de riscos tem um papel primordial em auxiliar e apoiar a empresa a atravessar este período, prospectando e gerenciando as ameaças existentes que possam impactar o desempenho, a sustentabilidade e a perenidade da organização.

Quando olhamos para o futuro, vemos uma série de tendências que poderão afetar as maneira em como as organizações serão gerenciadas com consequências ao processo de gerenciamento de riscos. A organização COSO aponta três destas tendências que devem ser observadas de perto:
• Lidar com o aumento e a proliferação de dado;
• Entender o impacto de novas tecnologias como a inteligência artificial e automação, no ambiente corporativo;
• Gerenciar o custo da governança, entre eles co custo do gerenciamento de riscos, dos processos de compliance e da gestão de controles internos em comparação com o retorno obtido.

Esta atualização é muito recente e meu objetivo foi de uma maneira objetiva, abordar os principais pontos que devem ser considerados na aplicação desta melhor prática.

Este artigo não tem a pretensão de ser uma posição final, muito pelo contrário, tem como objetivo fomentar a reflexão sobre o tema.

*Eduardo Person Pardini – Sócio principal, responsável pelos projetos de governança, gestão de riscos, controles internos e auditoria interna da Crossover Consulting & Auditing. É diretor executivo e instrutor certificado do Internal Control institute – chapter Brasil, palestrante e instrutor do IIA Brasil.