Em 2017, o COSO liberou a atualização do modelo de gestão de riscos corporativos.
Em 2017, o COSO – The Comitee of Sponsoring Organizations – liberou a atualização do modelo de gestão de riscos corporativos, com uma abordagem que integra riscos à estratégia e performance das organizações. Dentre outras coisas, esta atualização aproxima a gestão de riscos dos executivos e da alta administração das empresas, que tinham suas expectativas frustradas pelo desalinhamento entre as suas necessidades e a entrega recebida.
Apesar da atualização do COSO, o insucesso da implantação de riscos corporativos está mais relacionado a erros e incompreensões do que o próprio modelo em si. Algumas causas encontradas:
- Ao contrário do mercado financeiro, o mercado corporativo não possui uma taxonomia clara de riscos, muito menos padrões de avaliação de criticidade. Neste sentido, a gestão de riscos é vista como um processo de escopo obscuro, pouco pragmática e, às vezes, com foco único na listagem de riscos;
- O modelo do COSO – ERM foi derivado do conhecido cubo do modelo do COSO – controles internos. Por conta disso, alguns modelos de riscos corporativos são implantados no nível operacional com foco em identificar riscos nos processos e propor controles para tratá-los, fazendo com que os executivos perdessem o interesse pelas constatações levantadas, pois os riscos operacionais, por mais relevantes que sejam, não auxiliam a pensar a estratégia e performance da organização;
- Muitas empresas implementam a gestão de riscos corporativos sob a liderança da auditoria interna, misturando as linhas de defesa e dando um caráter fiscalizatório para um processo estratégico da organização. Planos de auditoria com foco nos riscos operacionais são traçados e testes dos controles são realizados, reforçando o caráter operacional do processo;
- Alguns executivos entendem que gerenciam seus principais riscos e não precisam de um modelo de gestão de riscos corporativos. O foco principal são os riscos financeiros, operacionais (inclusive os de TI) e regulatórios. Porém, estes riscos não estão integrados à estratégia e performance da organização.
O novo modelo faz reflexões acertadas sobre equívocos de interpretação do antigo modelo (COSO 2004). Dentre eles, identifica que o “gerenciamento de riscos corporativos não é uma lista de riscos” e “vai além do controle interno”.
Modelos de avaliação de riscos corporativos vencedores devem passar por uma reflexão sobre a missão e visão da organização, a relação delas com a estratégia definida, os objetivos e metas de performance das áreas e a oscilação aceita para essas metas. Metodologias como cadeia de valor, análise SWOT, Value at Risk, metas SMART, dentre outras que suportam o planejamento estratégico, são insumos valiosos para os riscos corporativos.
A implantação de riscos corporativos bem-sucedida deve desdobrar o tratamento dos riscos em planos de ação geralmente multidisciplinares (entre áreas), com resultados diretamente atrelados às metas de performance.
Por último, mas não menos importante, a governança sobre os riscos deve ocorrer junto ao conselho de administração, com participação intensa dos altos executivos (presidente e diretores), que precisam estar alinhados ao propósito do modelo, que é a criação e preservação de valor da organização.
Ao cumprir esta agenda, o modelo de riscos corporativos atende às expectativas da organização e de seus líderes e, principalmente, traz resultados efetivos para o negócio.
