O COSO ERM – Uma nova abordagem à gestão do risco empresarial

Foi a partir da década de 90 que os departamentos de Enterprise Risk Management (ERM) foram desenvolvidos em empresas dos EUA e da Europa. As organizações passaram a con- siderar a avaliação do risco um elemento estratégico e que deveria ser considerado aquan- do da tomada de decisões importantes. Esta nova abordagem orientou-se para a gestão de risco do negócio. O ERM transformou a forma como as organizações gerem os riscos dado que este processo permite uma avaliação dos riscos continuada, apresenta as medidas que devem ser tomadas e faz a alocação dos recursos para mitigar esses riscos.

Em 2004 caminhou-se para um novo referencial comum ao nível da gestão de risco, as novas preocupações com a envolvente do ambiente do negócio acrescentaram ao modelo COSO uma estrutura conceptual de gestão de risco empresarial, o já referido anteriormente ERM, com três novos componentes:

 Estabelecimento de objectivos – Os objectivos devem ser consistentes com o “apetite” de risco da instituição e deverão estar também alinhados com a mis- são.

 Identificação de acontecimentos – Existem acontecimentos (internos e exter- nos) que podem colocar em causa os objectivos da instituição, esses aconte- cimentos deverão ser identificados e averiguar se os mesmos provocam risco ou oportunidade.

 Resposta ao Risco – cabe à gestão executiva definir a estratégia de resposta ao risco (evitar, aceitar, reduzir ou partilhar), devem ser definidas as acções para alinhar os riscos com o “apetite” de risco da instituição.

Figura 4.2 - Cubo COSO-ERM Fonte: Rebelo (2012:16)

O ERM integra as práticas e os princípios gerais da gestão empresarial a nível operacional e estratégico, actua transversalmente em toda a organização e desta maneira afasta-se das visões tradicionais da gestão de risco em que cada área da organização geria os seus pró- prios riscos. Uma gestão integrada de gestão de risco permite optimizar o nível de risco que as organizações assumem para atingir os objectivos, Gonçalves (2008) identifica as categorias de objectivos que podem ser ameaçados pelos riscos, são eles os objectivos es- tratégicos, reporte, conformidade e operacionais. Pires (2008:58) considera que «Este novo modelo COSO preconiza a agregação dos riscos e uma visão global dos mesmos a partir do topo, ao contrário de muitas organizações que procedem à gestão do risco ao nível da sub- divisão».

As organizações precisam de identificar e gerir os riscos do negócio, para Beja (2004) o

Risk Management caracteriza-se por um processo metódico e constante, deve ser transver-

sal a toda a organização e constitui uma “ferramenta” que a gestão pode utilizar para su- portar as suas decisões minimizando os riscos, acrescentar valor e introduzir transparência na divulgação da informação a accionistas e stakeholders. A gestão de risco é definida pelo

identificar potenciais eventos que podem afectar a entidade, e gerir os riscos para níveis aceitáveis, fornecendo uma garantia razoável de que os objecti- vos da organização serão alcançados.

A necessidade de um novo rumo, reforça Gonçalves (2008), surge quando se tornou evi- dente que a tradicional abordagem da auditoria ao risco se tornou insuficiente, com uma nova metodologia acrescenta-se uma nova categoria (risco estratégico) aos riscos já consi- derados pelo controlo interno (risco operacional, risco de relato e risco no plano legal e regulamentar) que em conjunto contribuem para garantir a prossecução dos objectivos da organização.

O COSO-ERM para além de centralizar a função de riscos representa um passo a mais na integração da gestão especializada dos diferentes riscos com vista à construção de uma estratégia de cobertura única na organização. Advoga Alves (2009) que o COSO-ERM ajuda as organizações a entender o que é o risco e a sua identificação no seio da empresa, com esta nova abordagem a gestão de risco foca-se numa perspectiva empresarial. A ges- tão de risco constitui um pilar importante no governo das sociedades, Azevedo (2006) de- fende que é necessário correr riscos para criar valor na organização, desta atitude não re- sulta no entanto expor a organização a riscos que a podem colocar em ruptura. A existência de uma gestão integrada e unificadora de risco na organização permite evitar que as acções e actividades de uma determinada área coloque em causa o funcionamento de outra área da organização, a gestão de risco incide sobre vários tipos de riscos como são os casos, por exemplo, dos riscos da actividade operacional, sistemas e tecnologias de informação, das instalações, dos riscos financeiros. Já não basta contratar um seguro para “combater” o risco, agora a gestão de topo tem a responsabilidade de construir uma verdadeira cartogra- fia de riscos e trabalhar para a sua redução, uma organização não pode eliminar totalmente o risco, esta contestação não pode condicionar a coragem de arriscar e inovar para vencer os desafios a longo prazo.

No que concerne às instituições foram tomadas medidas para adaptar o Acordo de Basileia de 2006. O BdP no âmbito da responsabilidade de supervisão produziu o MAR (Modelo de Avaliação de Riscos), não sem antes recolher a opinião, nomeadamente, das instituições sobre o assunto. Os bancos passaram a utilizar métodos de avaliação mais sofisticados em relação ao crédito e ao risco operacional, a sua capacidade de avaliação do risco permite conhecer melhor os seus clientes o que leva a melhores práticas de administrar os seus ac- tivos de uma forma responsável. Beja (2004) menciona que face à evolução deste processo

é do interesse dos bancos acederem a informações transparentes e credíveis de risk mana-

gement, desta forma avaliam melhor os seus clientes e podem ponderar um agravamento

nas condições de financiamento.

4.3 Reformulação no COSO-ERM dá origem ao novo COSO