O COSO ERM e a evolução da regulação da gestão de riscos sobre a estratégia no TCU

por Joel Solon Farias Azevedo
Fundador da ProValore

Comecemos recuperando algumas premissas básicas da governança:

1.     A governança é responsabilidade do órgão máximo da organização, normalmente o conselho de administração;
2.     Todos os demais conselhos de governança são apenas consultivos e se reportam ao órgão máximo;
3.     A auditoria é vinculada ao órgão órgão máximo para que possa atuar com autonomia e independência;
4.     As mais diversas partes interessadas da organização devem atuar em todos os níveis da governança.

A evolução na regulação

O TCU já definiu e pacificou um modelo de governança que está consolidado no último no seu último levantamento de governança em 2018. Este modelo evolutivo é baseado no COSO ERM, de 2017, abaixo representado.

Veja bem que a entrada é aceitação de riscos e aproveitamento de oportunidades, do modo previsto na Política de gestão de riscos do TCU.
A segunda maior preocupação é escolher alguns poucos e bons objetivos REALMENTE estratégicos.
A terceira principal preocupação é garantir o alinhamento estratégico. A gente sabe que uma única decisão desalinhada da estratégia pode destruir anos de trabalho sério em uma organização. Veja mais aqui:

A conexão entre riscos estratégicos, gestão de portfólio e governança corporativa

A quarta preocupação é fazer os ajustes necessários à execução da estratégia definida, de forma dinâmica, por meio da gestão dinâmica dos portfolios.
A quinta é o gerenciamento efetivo dos riscos decorrentes da estratégia escolhida, com foco no aproveitamento de oportunidades.
A sexta está relacionada em medir REALMENTE os ganhos no desempenho e o alcance dos objetivos estratégicos por meio do alcance das metas associadas.
Aqui tem um outro grande risco: o desempenho organizacional é medido no alcance dos seus objetivos. O desempenho da estratégia da sua organização NÃO é medido no Prêmio X ou no Prêmio Y, que avalia coisas muito dissociadas da sua estratégia.

O COSO é composto de 20 princípios organizados em 5 componentes inter-relacionados

O COSO é um modelo evolutivo e não um modelo de piso, e portanto o seu nível de implementação e de eficácia na organização também serve de avaliação de maturidade.

Vejamos o ponto a ponto:

A governança define e reforça a importância do gerenciamento estratégico de riscos na organização. A cultura se reflete na tomada de decisões e inclui valores éticos e comportamento organizacional responsável. Tanto a governança quanto a cultura são mandatórias para um gerenciamento estratégico de riscos eficaz.

Componente: Governança e cultura

1. Supervisão e fiscalização dos riscos pelo conselho: O conselho deve fiscalizar a estratégia e executar as responsabilidades de governança de forma a apoiar os administradores em alcançar a estratégia e os objetivos do negócio;
2. Estabelecimento de estruturas operacionais: A organização estabelece estruturas organizacionais adequadas ao alcance dos objetivos estratégicos;
3. Define a cultura desejada: A organização define os comportamentos desejáveis que caracterizam a cultura desejada;
4. Demonstra comprometimento com valores chave: A organização demonstra compromisso com os valores chave da instituição;
5. Atrai, desenvolve e mantém indivíduos capazes: A organização se compromete em captar e desenvolver o capital humano alinhado com a estratégia e os objetivos do negócio;

Componente: Estratégia e definição de objetivos

Gerenciamento de riscos corporativos, estratégia e definição de objetivos trabalham juntos em um processo de planejamento estratégico. O apetite a risco é estabelecido e alinhado com a estratégia; os objetivos do negócio colocam a estratégia em prática enquanto servem de base para identificar, avaliar e responder aos riscos e aproveitar as oportunidades.

6. Análise do contexto do negócio: A organização considera o potencial efeito do risco do negócio no mapeamento de riscos;
7. Define o apetite a risco: A organização define o apetite a risco no contexto de criar, preservar e realizar valor.
8. Avalia alternativas de estratégia: A organização avalia alternativas de estratégia e potencial impacto no perfil de riscos.
9. Formula objetivos do negócio: A organização considera os riscos e oportunidades e estabelece os objetivos estratégicos e garante o desdobramento e alinhamento estratégico do maior ao menor nível organizacional.

Componente: Desempenho

Riscos que possam impactar no atingimento da estratégia e objetivos do negócio devem ser identificados e avaliados. Os riscos devem ser priorizados por severidade no contexto do apetite a risco. A organização seleciona então as respostas a riscos e elabora um portfólio com a quantidade de risco que resolveu assumir.  O resultado desse processo é relatado às principais partes interessadas.

10. Identifica riscos: A organização identifica os riscos que impactam o desempenho da estratégia e dos objetivos do negócio;
11. Avalia a severidade dos riscos: A organização avalia a severidade dos riscos;
12. Prioriza riscos: A organização prioriza os riscos e oportunidades que receberão investimento;
13. Implementa respostas a riscos: A organização identifica e seleciona respostas aos riscos priorizados e os implementa;
14. Desenvolve um portfólio: A organização desenvolve e mantém um portfólio de riscos estratégicos.

Componente: Análise e revisão

O gerenciamento de riscos estratégicos eficaz fornece a visão sobre a relação entre risco e desempenho e como os riscos estratégicos estão afetando o desempenho e os próprios riscos. Este gerenciamento é dinâmico com reuniões ordinárias e extraordinárias do conselho para fazer as revisões necessárias e decidir sobre as repriorização das ações estratégicas nos processos e projetos.

15. Avaliação substancial de mudanças: A organização identifica e avalia mudanças de cenários e nos riscos e oportunidades que podem afetar positiva ou negativamente a estratégia e os objetivos do negócio;
16. Rever risco e desempenho: As respostas aos riscos devem ser avaliadas dinamicamente para garantir que estão dando o resultado esperado. A tarefa de avaliar a efetividade das respostas aos riscos é atribuição dos gestores de riscos nomeados especificamente para este fim;
17. Busca o aperfeiçoamento constante no gerenciamento de riscos estratégicos: A organização deve ter um plano evolutivo para o gerenciamento de riscos estratégicos e avaliar constantemente o nível de maturidade. Tal processo merece auditoria externa periódica e qualificada de forma a garantir a evolução.

Componente: Informação, comunicação e divulgação

O processo de gerenciamento de riscos requer um processo contínuo de obtenção e compartilhamento de informações relevantes aos resultados. Tais informações devem fluir naturalmente, verticalmente e horizontalmente na organização de forma a alcançar todos os seus públicos e todas as partes interessadas.

18. Otimizar os sistemas de informações gerenciais: A organização investe e garante sistemas de informações gerenciais capazes de entregar informação qualificada e tempestiva capaz de apoiar e melhorar a qualidade da decisão. Entrega também ferramentas efetivas de apoio ao gerenciamento estratégico de riscos;
19. Comunica informações sobre os riscos: A organização se utiliza de múltiplos canais para informar os resultados do gerenciamento estratégico de riscos a todas as suas partes interessadas externas e internas;
20. Comunicação de risco, cultura e desempenho: A organização reporta nos relatórios de riscos todas as informações necessárias para apoiar a tomada de decisões e habilitar o conselho, administração e demais partes interessadas para cumprir suas responsabilidades no gerenciamento de riscos.

Este é o décimo terceiro artigo de uma série destinada a entender a necessidade urgente de investir na evolução da governança e na gestão nas organizações e, assim, aumentar a sua eficácia e geração de valor.

No primeiro artigo da série – Governança pública – dicas de sucesso – falamos da necessidade de se ter um calendário anual de governança que privilegie o pensamento estratégico integrado em detrimento da lógica orçamentária inercial e continuísta, tão precária.

No segundo artigo da série – Governança pública – saiba a diferença entre governança e gestão – apontamos item a item as diferentes responsabilidades: da governança com o direcionamento estratégico e monitoramento dos resultados, e da gestão com a execução da estratégia definida e negociada.

No terceiro artigo da série – Dez práticas de sucesso na governança da gestão de pessoas – apontamos os diferenciadores da gestão do conhecimento da organização, que está nas pessoas que a compõem, e a necessidade de alinhamento do desenvolvimento do conhecimento com a estratégia e os objetivos da organização.

No quarto artigo da série – A governança e a gestão ativa dos riscos como oportunidades – tratamos do gerenciamento de risco como a permanente análise de cenários visando aproveitar ao máximo as oportunidades trazidas pelo ambiente externo.

No quinto artigo da série – Planejamento da força de trabalho – tratamos do planejamento e otimização da força de trabalho, o mais crítico de todos os recursos: a alocação ótima das pessoas e da sua inteligência e conhecimento às atividades desempenhadas pelas organizações.

No sexto artigo da série – A política de gestão de riscos do Tribunal de Contas da União – tratamos da adoção pelo TCU de uma política de gestão de riscos simples e efetiva e alinhada com as melhores práticas de auditoria mundiais, fazendo referência explicita ao tratamento das incertezas e aproveitamento das oportunidades.

No sétimo artigo da série – TCU – Resultados do Levantamento Integrado de Governança Organizacional Pública – ciclo 2017 – tratamos da avaliação do método e dos resultados do primeiro levantamento integrado de todas as governanças, realizado pelo TCU.

No oitavo artigo da série – TCU – Referencial básico de gestão de riscos – tratamos da adoção pelo Tribunal de Contas da União de um Referencial Básico de Gestão de Riscos – que privilegia a gestão dos riscos estratégicos e sobre os resultados sobre os riscos operacionais.

No nono artigo da série – Gestão estratégica de riscos: 5 dicas de sucesso – tratamos da importância da gestão estratégica dos riscos, principalmente da gestão dos riscos sobre os resultados.

No décimo artigo da série – Os desafios da governança pública – tratamos das barreiras e desafios à ativação da governança e do controle externo e social na organização brasileira.

No décimo primeiro artigo da série – A conexão entre riscos estratégicos, gestão de portfólio e governança corporativa – tratamos do risco combinado da governança fraca com a decisão monocrática invadindo a competência do conselho superior nas decisões estratégicas, que podem tanto levar a organização para o futuro ou condená-la ao passado.

No décimo segundo artigo da série – Auditoria interna e consultoria interna – tratamos da regulação do TCU para estruturar o modelo de três linhas de defesa na organização, a partir da responsabilização da auditoria interna em seu papel e suas responsabilidades, que vão muito além daquele controle interno ineficiente com foco restrito à conformidade.

Melhore os resultados da sua organização com o nosso apoio especializado:

Veja nossas opções de treinamento e desenvolvimento profissional e gerencial
Veja nossa abordagem e nossos diferenciais na consultoria e sugestões de projetos para melhoria de resultados 

Baixe agora o eBook gratuito:
Estratégias para a Transformação Digital 2024
e receba semanalmente as melhores dicas de gestão.

Não fazemos spam! Leia nossa política de privacidade para mais informações.