Modelos de Gestão de Risco

Os modelos de gestão de riscos e suas aplicações se diversificam em função do escopo de risco e contexto organizacional. Dentre os modelos mais conhecidos, podemos citar a norma australiana-neozelandesa AS/NZS 4.360, que foi referência no processo de gerenciamento de riscos na administração pública em diversos países (PONTE, 2005; HOLLÓS; PEDERSOLI JR., 2009); o Modelo desenvolvido pelo Canadian Centre of Management Development (Centro Canadense para o Desenvolvimento da Gestão) para o setor público; o modelo de gestão de risco do desenvolvido pelo Project Management Institute (PMI), difundido na publicação PMBOK (Project Management Body of Knowledge); o modelo de gestão de risco corporativo COSO ERM (COSO II), desenvolvido com base nas referências do Committee of Sponsoring Organizations (Comitê das Organizações Patrocinadoras); o modelo Brasiliano, que é um modelo de Gestão Integrada de Riscos Corporativos, desenvolvido a partir da ISO 31000 e do COSO II (BRASILIANO, 2016), e o modelo desenvolvido pela International Organization for Standartization (ISO) em 2009, conhecido por ISO 31000, que foi atualizado em 2018.

A seguir serão explicitados os modelos mais utilizados no setor público (STJ, 2016; CGU, 2018; MPG, 2017) para a elaboração de estruturas e adaptação

de metodologias para a gestão de riscos, a partir dos quais algumas técnicas serão tomadas como referência no desenvolvimento deste estudo.

2.2.3.1 Gestão de Risco segundo o COSO II

O Committee of Sponsoring Organizations (COSO) é o Comitê das Organizações Patrocinadoras da Comissão Nacional sobre Fraudes em Relatórios Financeiros, é uma entidade privada sem fins lucrativos, criado em 1985, para o aperfeiçoamento da qualidade de relatórios financeiros e estudar as causas da ocorrência de fraudes nestes relatórios. O COSO subsidiou a elaboração da publicação COSO Report, conhecido como COSO I, publicado em 1998, que se tornou uma referência mundial ao uniformizar definições de controle interno e propor uma estrutura de gerenciamento. A partir da experiência do COSO I, em 2004 o Comitê das Organizações Patrocinadas lançou o COSO ERM (Enterprise Risk Management – Integrated Framework), ou COSO II, para auxiliar empresas e instituições a incorporar políticas e regras para a gestão de riscos (CRC, 2012; MENEZES; LIBONATI; NEVES, 2015).

A premissa inerente a esse modelo é que toda organização existe para gerar valor às partes interessadas. As incertezas representam riscos e oportunidades, com potencial para destruir ou agregar valor, e o desafio de seus administradores é determinar até que ponto aceitar essa incerteza, assim como definir como essa incerteza pode interferir no esforço para gerar valor às partes interessadas (COSO, 2007).

Esse modelo sugere que o processo de gestão de riscos seja conduzido pela alta administração, devendo ser aplicado no estabelecimento de estratégias e critérios para identificar em toda a organização eventos em potencial capazes de afetá-la, de modo a administrar os riscos e mantê-los compatível com o apetite de risco da organização e garantir que os objetivos sejam atingidos (COSO, 2007).

O Enterprise Risk Management (ERM) é um termo usado para descrever um processo de gerenciamento de risco aplicado em toda a organização e integrado aos processos de planejamento e desempenho organizacional (ARMIC, 2018). Embora o COSO ERM tenha sido desenvolvido para aplicação na iniciativa privada,

no Brasil instituições públicas têm buscado referências neste modelo para elaboração de suas estruturas de gerenciamento de risco como o STJ (2016), MPG (2017), e o CGU (2018).

2.2.3.2 Gestão de Risco segundo o Orange Book

O guia The Orange Book: Management of Risk, Principles and Concepts (Gerenciamento de Riscos, Princípios e Conceitos) foi produzido e publicado pelo HM Treasury em 2004, instituição governamental responsável pelas finanças no Reino Unido, com objetivo de orientar o Programa de Gerenciamento de Riscos do Governo do Reino Unido (MIRANDA, 2017).

O Guia fornece princípios e uma estrutura de gestão e avaliação de riscos que pode ser aplicada em vários níveis, desde o desenvolvimento de uma política de risco estratégica em toda a organização até o gerenciamento de um projeto ou operação em particular, com finalidade de apoiar os objetivos. Esse modelo considera que a gestão do risco não é um processo linear, visto que é o balanceamento de vários elementos que, interligados interagem entre si, e que precisam estar em equilíbrio uns com os outros para que a gestão de riscos seja eficaz. O modelo de gerenciamento de riscos apresentado pelo Orange Book inclui a identificação, avaliação de riscos, e o tratamento dos riscos, onde a comunicação e a aprendizagem não vista como uma etapa distinta do processo de gerenciamento, mas perpassa todo o processo (UK, 2004).

2.2.2.3 Gestão de Risco segundo a ISO 31000

A ISO 31000 foi elaborada pelo Technical Committee Risk Management (ISO/TC 262) da International Organization for Standardization (Organização Internacional de Padronização – ISO), sendo a ABNT NBR ISO 31000:2018 a adoção idêntica da estrutura e de seu conteúdo técnico, elaborada pela comissão de Estudo Especial de Gestão de Ricos da ABNT. Este documento fornece diretrizes sobre o gerenciamento de riscos enfrentados pelas organizações, cuja a aplicação pode ser adaptada para qualquer contexto organizacional, visto que possui uma

abordagem de gerenciamento que pode ser utilizada para qualquer tipo de risco, não apenas a um setor específico ou indústria (ABNT NBR ISO 31000, 2018).

A gestão de riscos baseada no modelo ISO 31000, apresenta princípios e diretrizes genéricas que podem sem ser aplicadas por qualquer organização “pública, privada ou comunitária, associação, grupo ou indivíduo” (MIRANDA, 2017, p. 58). Neste modelo a gestão de risco é vista como parte integrante de todas as atividades organizacionais, compreendendo uma abordagem adaptativa, inclusiva de todos as partes interessadas, e dinâmica em relação as mudanças de contexto. Além disso, baseia-se em informações e busca contemplar fatores humanos e culturais, num processo contínuo de aprendizagem (ABNT NBR ISO 31000, 2018).

A gestão de risco envolve ainda, a aplicação sistemática de políticas, procedimentos e técnicas para avaliar riscos que pode ser aplicada em diversos tipos de organizações, tanto públicas, como privadas, cujo o modelo está ilustrado na Figura 2.

Figura 2 - Processo de gestão de riscos

O processo de avaliação de riscos inclui as etapas de identificação dos riscos, análise dos riscos e a avaliação dos riscos. Com intuito de explicitar o contexto da gestão e identificação de riscos, no próximo item serão descritos os principais elementos que compõem o processo de gestão de riscos e suas finalidades.