O gerenciamento de riscos corporativos (ERM) é um processo de negócios contínuo que avalia, identifica e planeja riscos para a saúde financeira e operacional de uma organização, ao mesmo tempo que visa oportunidades de mercado. Frequentemente parte da estratégia de Governança, Risco e Conformidade (GRC) de uma organização, os riscos podem incluir amplamente preocupações internas, como a cultura da empresa, bem como fatores externos, como regulamentos de privacidade de dados como GDPR e CCPA, desastres, uma pandemia ou ataque de segurança cibernética.
Uma estratégia de negócios proativa que é empregada na maioria dos setores de negócios, o ERM tem uma abordagem holística para avaliar e gerenciar riscos em toda a organização e fornece um processo estruturado para o gerenciamento desses riscos. Além de evitar ameaças potenciais, o ERM também pode fornecer vantagens competitivas.
Objetivos do Gerenciamento de Risco Corporativo
O ERM visa atender aos objetivos organizacionais em vez de apenas detalhar problemas potenciais. É a implementação de uma série de ações e atividades que orientam como uma organização irá avaliar e controlar os riscos.
Os gerentes de risco empregam uma combinação de políticas, práticas e procedimentos para criar estruturas de gerenciamento de risco, começando com três etapas principais:
- Estabelecer a governança de risco dirigida por um conselho de administração que garante que as decisões sejam tomadas em linha com os objetivos e estratégias da organização, uma equipe de gerentes seniores com foco na gestão de risco com supervisão do Conselho e uma equipe de gestão de risco independente que é responsável pela execução de planos de negócios alinhados com a estrutura de gerenciamento de risco da organização
- Avaliação do nível de risco que uma organização está preparada para aceitar antes que uma ação seja tomada
- Implementação de técnicas de gestão de risco que medem os riscos em produtos e negócios e que garantem a conformidade com as políticas e diretrizes de uma organização
Estruturas de gerenciamento de risco empresarial
Nos últimos anos, várias estruturas de ERM surgiram, cada uma fornecendo abordagens variadas para identificar, analisar e gerenciar riscos corporativos. Aqui estão três das estruturas de ERM mais populares:
- ARENA (O Comitê de Organizações Patrocinadoras). Estabelecido em 1985, o COSO é uma iniciativa conjunta entre cinco associações dos EUA: American Accounting Association (AAA), American Institute of Certified Public Accountants (AICPA), Financial Executives International (FEI), The Institute of Internal Auditors (IIA) e o Institute of Management Accountants (IMA) para combater a fraude corporativa. O objetivo do COSO é fornecer liderança inovadora lidando com três assuntos inter-relacionados: gerenciamento de risco corporativo, controle interno e prevenção de fraude. A estrutura COSO ERM tem cinco componentes:
-
- Governança e cultura
- Estratégia e objetivos
- atuação
- Revisão e revisão
- Informação, comunicação e relatórios
- ISO 31000 é um grupo de padrões de gerenciamento de risco estabelecido pela The International Organization for Standardization. Como um conjunto de diretrizes, a ISO 31000 fornece princípios, uma estrutura e um processo de gestão de riscos, com o objetivo de aprimorar a identificação de oportunidades e ameaças e as melhores práticas de alocação e uso de recursos para gestão de riscos.
- The Casualty Actuary Society s (CAS) Enterprise Risk Management Committee estabelecido para definir ERM em 2003 com uma abordagem dupla para conceituar uma estrutura: definir o tipo de risco seguido por um processo de gerenciamento de risco que identifica, analisa, integra e prioriza os riscos antes de implementar estratégias de gerenciamento de risco ao lado monitoramento contínuo e revisão do processo para identificar o que funciona e o que não funciona.