• O gerenciamento de riscos corporativos tem por finalidade:

a) Alinhar o apetite a risco com a estratégia adotada:

➢ Os administradores avaliam o apetite a risco da organização ao
analisar as estratégias, definindo os objetivos a elas relacionados e
desenvolvendo mecanismos para gerenciar esses riscos

19
• Apetite a riscos – A quantidade total de riscos que uma
companhia ou outra organização está disposta a aceitar na
busca de sua missão (ou visão).
• Tolerância a Riscos – A variação aceitável relativa à realização
de um objetivo.

20
b) Fortalecer as decisões em resposta aos riscos:

➢ O gerenciamento de riscos corporativos possibilita o rigor na

identificação e na seleção de alternativas de respostas aos riscos –
como evitar, reduzir, compartilhar e aceitar os riscos.

21
c) Reduzir as surpresas e prejuízos operacionais (risco residual):

➢ As organizações adquirem melhor capacidade para identificar

eventos em potencial e estabelecer respostas a estes, reduzindo
surpresas e custos ou prejuízos associados.

Risco Residual – É o risco que resta após a

administração ter adotado medidas para alterar a
probabilidade ou o impacto dos riscos.

22
d) Identificar e administrar riscos múltiplos e entre
empreendimentos:
➢ Toda organização enfrenta uma gama de riscos que podem
afetar diferentes áreas da organização. A gestão de riscos
corporativos possibilita uma resposta eficaz a impactos inter
relacionados e, também, respostas integradas aos diversos riscos.

23
e) Aproveitar oportunidades:

➢ Pelo fato de considerar todos os eventos em potencial, a

organização posiciona-se para identificar e aproveitar as
oportunidades de forma pró-ativa.

24
f) Otimizar o capital:

➢ A obtenção de informações adequadas a respeito de riscos

possibilita à administração conduzir uma avaliação eficaz das
necessidades de capital como um todo e aprimorar a alocação desse
capital.

25
• O gerenciamento de riscos contribui para assegurar
comunicação eficaz e o cumprimento de leis e regulamentos,
bem como evitar danos à reputação da organização e suas
consequências, ajudando a organização a atingir seus objetivos
e a evitar os perigos e surpresas em seu percurso.

26
 ATENÇÃO

• Se aplicado forma equivocada o programa de gerenciamento de risco

pode trazer efeitos adversos, expondo a organização a riscos enquanto
passa uma falsa impressão de controle.
• O ERM é composto pelo seguintes componentes:
a) Ambiente de Controle
b) Definição de Objetivos
c) Identificação de Eventos
d) Avaliação de Risco
e) Tratamento dos Riscos
f) Atividades de Controle
g) Informação e Comunicação
h) Monitoramento
28
• A face superior do cubo apresenta os objetivos que devem ser
objeto do gerenciamento de risco; a face frontal representa os
componentes do gerenciamento de riscos, ou, o que é
necessário fazer para atingir os objetivos; a face lateral
representa os níveis da organização objetos da gestão de riscos.
• Observe-se que a visão integrada dos elementos do modelo
demonstra o contexto das ações da direção ao gerenciar os
riscos da organização.
Fonte: CGU

31
Fonte: CGU

32
Fonte: CGU

33
• A rigor, o gerenciamento de riscos corporativos não é um processo
em série pelo qual um componente afeta apenas o próximo.
• É um processo multidirecional e interativo segundo o qual quase
todos os componentes influenciam os outros.

34
• Com maior enfoque em risco, a estrutura de gerenciamento de
riscos corporativos amplia o componente de gerenciamento de
riscos da estrutura de controle interno, criando quatro
componentes:
• fixação de objetivos (que é um pré-requisito do controle
interno), identificação de eventos, avaliação de riscos e
resposta a riscos.

35
• Ambiente de controle
 O ambiente interno é moldado pela história e cultura da organização e, por
sua vez, molda, de maneira explícita ou não, a cultura de riscos da
organização e a forma como eles são encarados e gerenciados (tom da
organização), influenciando a consciência de controle das pessoas.
 É a base para todos os outros componentes do sistema, provendo disciplina
e estrutura. Os fatores que compõem o ambiente interno incluem
integridade, valores éticos e competência das pessoas, maneira pela qual a
gestão delega autoridade e responsabilidades, estrutura de governança e
organizacional, o “perfil dos superiores” (ou seja, a filosofia da direção e o
estilo gerencial), as políticas e práticas de recursos humanos etc.
• Fixação de Objetivos
 Os objetivos devem ser definidos a priori para que seja possível identificar
os riscos a eles associados. A explicitação de objetivos, alinhados à missão e à
visão da entidade, é necessária para permitir a identificação de eventos que
potencialmente impeçam sua consecução.
 Definir os objetivos é, assim, uma pré-condição para identificação dos
eventos de risco e para avaliação e definição de estratégias para gerenciá-los
(resposta a riscos).
 O gerenciamento de riscos corporativos assegura que a administração
disponha de um processo implementado para estabelecer os objetivos que
propiciem suporte e estejam alinhados com a missão da organização e sejam
compatíveis com o seu apetite a riscos. 37
• Identificação de Eventos
 Todos os processos de uma organização têm algum risco associado,
inerente a sua própria natureza, assim, a identificação de eventos consiste em
determinar e catalogar esses riscos, nos diversos níveis da organização. Ou
seja, mapear a existência de situações que possam impedir o alcance dos
objetivos fixados ou a não existência de situações consideradas necessárias
para se chegar a tais objetivos ao nível da organização, de suas unidades de
negócio, processos e atividades.
 Os eventos são divididos em internos e externos que influenciam o
cumprimento dos objetivos de uma organização devem ser identificados e
classificados entre riscos e oportunidades. 38
 O processo de identificação de eventos de risco pode abranger tanto
riscos negativos, tidos como ameaças, cujas consequências são perdas,
como os riscos positivos, vislumbrados como oportunidades, cujas
consequências são ganhos que façam a organização a alcançar seus
objetivos aquém das expectativas, estes levando a organização a
alcançar resultados superiores aos obtidos atualmente ou além das
expectativas.
 Essas oportunidades são canalizadas para os processos de
estabelecimento de estratégias da administração ou de seus objetivos.
• Avaliação de Riscos
 Os riscos são analisados, considerando-se a sua probabilidade e o
impacto como base para determinar o modo pelo qual deverão ser
administrados.
 O objetivo da avaliação é formar uma base para o desenvolvimento de
estratégias (resposta a risco) de como os riscos serão administrados, de
modo a diminuir a probabilidade de ocorrência e/ou a magnitude do
impacto.
 Esses riscos são avaliados quanto à sua condição de inerentes e
residuais, por meio de análises qualitativas e quantitativas, ou da
combinação de ambas.

40
→Risco inerente é o risco do negócio, do processo ou da atividade,
independente dos controles adotados.
→ Risco residual é o risco que remanesce após a mitigação por
controles.
• Resposta a Risco
 É o processo de desenvolver e determinar estratégias para gerenciar os
riscos identificados.
 A administração escolhe as respostas aos riscos - evitando, aceitando,
reduzindo ou compartilhando – desenvolvendo uma série de medidas
para alinhar os riscos com a tolerância e com o apetite a risco.

42
• O tratamento dos riscos inicia-se pelo dilema básico: evitar ou
aceitar o risco.
➢ Evitar o Risco: decisão de não se envolver ou agir de forma a se
retirar de uma situação de risco. Exemplo: uma organização decide se
desfazer de uma unidade de negócios.
➢ Aceitar o Risco: neste caso, apresentam-se quatro alternativas: reter,
reduzir, transferir/compartilhar ou explorar o risco.

43
 Avaliação de Risco

Identificar riscos de
negócio relevantes Decidir sobre ações em
para os objetivos da resposta a esses riscos
organização

Estimar a significância Avaliar a probabilidade

dos riscos de sua ocorrência
 Resposta aos Riscos

Evitar Reduzir Compartilhar Aceitar

• Suspensão das • Adoção de • Redução da • Não adotar
atividades. procedimentos probabilidade medidas
de controle ou do impacto. mitigadoras.
para minimizar
a probabilidade
e/ou o impacto
do risco.
 Planilha de riscos

Alto Impacto / Alto Impacto /

Baixa Probabilidade Alta Probabilidade
Compartilhar Evitar
Compartilhar
Reduzir

Baixo Impacto / Baixo Impacto /

Baixa Probabilidade Alta Probabilidade

Aceitar Reduzir

Probabilidade
• Atividades de Controle
 São as políticas e procedimentos estabelecidos e implementados para
assegurar que as respostas aos riscos sejam executadas com eficácia.
 As atividades de controle devem estar distribuídas por toda a organização,
em todos os níveis e em todas as funções.
 Elas incluem uma gama de controles preventivos e detectivos, como
procedimentos de autorização e aprovação, segregação de funções
(autorização, execução, registro e controle), controles de acesso a recursos e
registros, verificações, conciliações, revisões de desempenho, avaliação de
operações, de processos e de atividades, supervisão direta etc.
 As ações corretivas são um complemento

47
• Informações e Comunicações
 Todos na organização devem receber mensagens claras quanto ao seu papel e ao
modo como suas atividades influenciam e se relacionam com o trabalho dos
demais na consecução dos objetivos fixados.
 A importância do controle interno para a gestão das organizações está no seu
potencial informativo para suporte ao processo decisório. A habilidade da
administração de tomar decisões apropriadas é afetada pela qualidade da
informação, que deve ser útil, isto é, apropriada, tempestiva, atual e precisa.
 As informações relevantes são identificadas, colhidas e comunicadas de forma e
no prazo que permitam que cumpram suas responsabilidades.
 A comunicação eficaz também ocorre em um sentido mais amplo, fluindo em
todos níveis da organização.
48
• Monitoramento
 Monitorar diz respeito a avaliar, certificar e revisar a estrutura de gestão de
riscos e controles internos para saber se estão sendo efetivos ou não.
 Tem, portanto, o objetivo de avaliar a qualidade da gestão de risco e dos
controles internos ao longo do tempo, buscando assegurar que estes
funcionam como previsto e que são modificados apropriadamente, de acordo
com mudanças nas condições que alterem o nível de exposição a riscos.
 O monitoramento é realizado através de atividades gerenciais contínuas
ou avaliações independentes ou de ambas as formas.

49
• O primeiro modo é realizado pelo próprio corpo gerencial da entidade e
deve distinguir-se claramente da avaliação das operações.
• Consiste em identificar informações que irão indicar se o processo de gestão
de riscos e controles internos está funcionando eficazmente, por meio de
análises de variância, comparações de informações provindas de fontes
diversas etc., com a devida consideração em relação a mudanças de
processos, alterações no volume de transações, dentre outros fatores que
necessitam de atenção dado o seu potencial de alterar o nível de exposição
a riscos da entidade e de seus processos de negócio.
• No segundo modo, o monitoramento é realizado mediante
autoavaliação, pela própria equipe responsável pelo processo ou
por unidade de controle interno, podendo ainda ser executado por
auditoria interna ou externa.
• Todas as deficiências (condição, real ou potencial, que possa afetar o
alcance de objetivos) ou oportunidades para fortalecer o controle
interno (aumentar as probabilidades de alcance dos objetivos), devem
ser comunicadas às pessoas que podem adotar as ações necessárias.
Em 2017 o COSO publicou o modelo de gestão de riscos Enterprise Risk
Management—Integrating with Strategy and Performance (Gerenciamento de
Riscos Corporativos integrado com a Estratégia e o Desempenho), buscando
ressaltar a importância de considerar os riscos tanto no estabelecimento da
estratégia quanto na condução do desempenho.
A primeira parte da publicação oferece uma perspectiva dos conceitos atuais e
em desenvolvimento e aplicações do gerenciamento de riscos corporativos.
A segunda parte da publicação apresenta 20 princípios organizados em 5
componentes inter-relacionados:
• Governança e cultura
• Estratégia e definição de objetivos
• Performance ou desempenho
• Análise do desempenho e revisão
• Informação, comunicação e divulgação
1. Governança e cultura: A Governança define o tom da organização, reforçando a
importância e estabelecendo responsabilidades de supervisão do gerenciamento de
riscos corporativo. A cultura perpassa por valores éticos, comportamentos desejáveis
e entendimento do risco na entidade.
2. Estratégia e definição de objetivos: Gerenciamento de Riscos Corporativos,
estratégia e definição de objetivos trabalham juntos em um processo de planejamento
estratégico. O apetite a risco e estabelecido e alinhado com a estratégia; os objetivos
do negócio colocam a estratégia em prática enquanto servem de base para identificar,
avaliar e responder a risco.
3. Performance ou desempenho: Riscos que possam impactar no atingimento da
estratégia e objetivos do negócio devem ser identificados e avaliados. Os riscos devem
ser priorizados por severidade no contexto do apetite a risco. A organização seleciona
então as respostas a riscos e elabora um portfólio com a quantidade de risco que
resolveu assumir. O resultado desse processo é relatado às principais partes
interessadas.
4. Análise e revisão: Por meio da revisão do desempenho da entidade a
organização pode considerar quão bem os componentes do
gerenciamento de riscos corporativos estão funcionando ao longo do
tempo e avaliar quais revisões são necessárias.
5. Informação, comunicação e divulgação: Gerenciamento de Riscos
Corporativos requer um processo contínuo de obtenção e
compartilhamento necessário de informação, de fontes tanto internas
quanto externas, que circula por toda a organização.
Governança e cultura Estratégia e definição de Performance ou Análise do desempenho Informação, comunicação e
objetivos desempenho e revisão divulgação

1. Fiscalização dos riscos 6. Análise do contexto 10. Identifica Riscos 15. Avaliação substancial 18. Impulsionar sistemas de
pela diretoria do negócio de mudanças informação

2. Estabelecimento de 7. Define o apetite a 11. Avalia a 16. Rever risco e 19. Comunica informações
estruturas operacionais risco severidade dos desempenho sobre os riscos
riscos
3. Define a cultura 8. Avalia alternativas de 12. Prioriza riscos 17. Persegue 20. Comunicação de risco,
desejável estratégia aperfeiçoamento no cultura e desempenho
gerenciamento de riscos
corporativos
4. Demonstra 9. Formula objetivos do 13. Implementa
comprometimento com negócio respostas a riscos
valores chave
5. Atrai, desenvolve e 14. Desenvolve um
mantém indivíduos portfólio
capazes