A Metodologia de Gestão de Risco ERM

A estrutura COSO (2004) é caracterizada por integrar três dimensões inter-relacionadas, sendo a primeira destinada a identificar os componentes de controlo, a segunda os objectivos da organização e a terceira destina-se às unidades organizacionais. Podemos representar graficamente pela Figura 3.3, quer na versão original à esquerda, quer na versão traduzida e adaptada para português à direita. As suas dimensões representam:

- A frente do cubo, refere-se à primeira dimensão e representa os oito componentes de controlo;

- O topo do cubo, relativo à segunda dimensão, representa os objectivos da organização;

- A lateral, refere-se à terceira dimensão e representa as unidades organizacionais.

Fonte: COSO 2004 Fonte: Traduzida do COSO 2004

Figura 3.3 – Estrutura Tridimensional do COSO - ERM

A primeira dimensão, contem os oito componentes de controlo a seguir discriminados: - Ambiente interno – compreende as características e o ambiente interno da

organização perante a gestão de risco, nomeadamente, qual a filosofia de gestão de risco, qual a cultura de risco, qual o perfil de risco da organização, quais os valores éticos e integridade da administração e colaboradores;

- Definição dos objectivos – compreende a definição dos limites do perfil de risco da organização, até que nível são os riscos aceitáveis, e de acordo com os objectivos da mesma (estratégicos, tácticos, comunicação e conformidade); - Identificação dos eventos (acontecimentos) – compreende a identificação dos

acontecimentos internos ou externos que influenciam o cumprimento dos objectivos de uma organização, de forma a classificá-los, desde riscos a oportunidades;

- Avaliação do risco – compreende a avaliação dos riscos através da sua probabilidade de ocorrência e do seu impacto, para se determinar a forma como podem ser geridos; O perfil de risco da organização advém do risco que a mesma está disposta a aceitar, pelo que é necessário avaliar o risco inerente e o risco residual;

- Resposta ao risco – compreende a selecção dos riscos que a organização entende aceitar, os que pretende evitar, os que procura partilhar e reduzir, tomando medidas diferentes de acordo com a tolerância ou apetência ao risco;

- Actividade de controlo – compreende os procedimentos e medidas necessárias para assegurar que as respostas aos riscos são efectivamente aplicadas;

- Informação e comunicação – compreende a identificação e o tratamento das informações relevantes e a sua comunicação oportuna e eficaz na organização; - Monitorização – compreende o acompanhamento contínuo das actividades de

controlo, conjugadas com avaliações independentes efectuadas pelos auditores internos;

Relativamente à componente monitorização e, como se trata de um processo de melhoria contínua, apesar de ser o último elo da cadeia deste processo, é também o primeiro a gerar novas identificações de riscos, o que implica um ambiente pró-activo.

De acordo com o guia de monitorização dos sistemas de controlo interno divulgado pelo COSO (2008), a monitorização eficaz e eficiente está em planear e executar procedimentos de controlo dos riscos relevantes para os objectivos da organização. A Figura 3.4, ilustra um modelo de monitorização que pode ajudar a criar um processo de implementação desta componente. Este modelo reforça a importância da compreensão dos riscos e da sua relação com o controlo de riscos.

Fonte: Adaptado de Pickett (2005) Ordenar Riscos Identificação Informação Perceber e ordenar os riscos para os objectivos da organização Identificação controlos chave no sistema de controlo interno referentes riscos acima Identificação da

informação que indica claramente que o sistema de controlo é eficiente Desenvolver e implementar processos (custo-benefício) p/ recolher e avaliar informações Implemantar Monitorização Identificação Controlos

Fonte: Adaptado do COSO (2008:12) Internal Control - Integrated Framework Guidance on Monitoring Internal Control Systems

De acordo com COSO (2007) a Gestão de Risco Empresarial é um processo dinâmico e interactivo, pois quase todos os componentes se interligam e influenciam os outros.

Quanto à segunda dimensão da estrutura COSO, os objectivos são os seguintes:

- Estratégicos, são normalmente fixados no médio/longo prazo e estão relacionados com a missão da organização;

- Tácticos ou operacionais, são fixados no curto prazo e reflectem a combinação de factores de eficácia e de eficiência, para alcançar os objectivos estratégicos; - De comunicação, que estão relacionados com a segurança com que a organização

divulga a informação, ou seja, os documentos relativos à situação e evolução económica, financeira e social da organização devem reflectir de forma verdadeira e justa a realidade;

- De regularidade e conformidade legal, estão relacionados com a obrigatoriedade das organizações cumprirem com as leis e regulamentos a que estão obrigados. A terceira dimensão da estrutura COSO, resulta da aplicação dos componentes mencionados na primeira dimensão, na conquista dos objectivos referidos na segunda dimensão, a toda a organização ou aos seus vários níveis: ao nível de organização como um todo; ao nível de uma divisão, operacional de trabalho ou geográfica; ao nível de uma unidade de negócio, por produto ou por cliente; ou ao nível de uma subsidiária.

Resumindo, desenvolver um processo formal de gestão de risco reduz o tempo de reacção das empresas, cria uma cultura de risco positiva e melhora continuamente o processo de mitigação de risco. (Castanheira e Rodrigues 2006a: 61)

Segundo Silva (2005), interessa elencar os componentes da gestão de risco e a forma como o auditor interno, actuando em qualquer forma de organização, pode acrescentar valor à organização.

Segundo Silva (2005), perante o ambiente externo em que vivemos, o método de gestão adequado para as organizações atingirem os seus objectivos é o da gestão do risco, pois trata da componente incerteza, que está associada ao vector que melhor caracteriza o actual

estado da economia mundial, a progressiva e rápida globalização. Assim, a adopção da gestão do risco obriga os profissionais de auditoria interna a adaptarem-se a um novo paradigma, o risco passa a constituir o vector da sua actividade.

Estão assim elencados os fundamentos do ERM, que visam em última instância acrescentar valor às organizações, através de uma gestão dos riscos oportuna e eficaz.