O que é o COSO e o Novo Guia sobre ERM – Enterprise Risk Management

27.05.2020 – O COSO – Committee of Sponsoring Organizations of the Treadway Commission (Comitê das Organizações Patrocinadoras da Comissão Treadway) é uma organização privada, sem fins lucrativos, criada em 1985, nos Estados Unidos, para apoiar a Comissão Nacional de Relatórios Financeiros Fraudulentos; uma iniciativa independente do setor privado que estudou os fatores causais que poderiam levar a relatórios financeiros fraudulentos. O comitê ainda desenvolveu recomendações para empresas públicas e seus auditores independentes, para a SEC – Securities and Exchange Commission (a Comissão de Valores Mobiliários norte-americana) e outros reguladores, além de instituições de ensino.

O primeiro presidente da Comissão Nacional foi James C. Treadway Jr., vice-presidente executivo e conselheiro geral da Paine Webber Incorporated e ex-comissário da Comissão de Valores Mobiliários (SEC) dos EUA. Daí, vem o nome popular “Comissão Treadway”. Atualmente, o presidente do COSO é Paul J. Sobel.

O COSO tem o propósito de aperfeiçoar os relatórios financeiros das organizações, estabelecendo padrões e boas-práticas em 3 áreas distintas:

1. Gerenciamento de Riscos Corporativos (ERM)

2. Controles Internos

3. Dissuasão e Combate a Fraudes

Em 2020, o COSO mostrou-se bastante ativo, apesar da pandemia causa pela Covid-19 e lançou o novo guia sobre ERM – “ERM Guidance: Creating and Protecting Valued” em 04 de fevereiro de 2020 e o novo guia sobre apetite de risco – “Risk Appetite – Critical to Success“. Um aspecto interessante dos padrões e boas práticas estabelecidas pelo COSO é que suas publicações são gratuitas, prestando um serviço de excelência na moralização e aperfeiçoamento de boas práticas financeiras no mercado; não apenas americano, mas global.

Neste artigo, iremos nos referir ao ERM Guidance: Creating and Protecting Valued, focando nos pontos relevantes, sendo o primeiro deles a definição do que é ERM e do que não é ERM:

ERM É:	ERM NÃO É:
Um processo dinâmico e contínuo	Uma atividade separada, não coordenada ou não integrada às atividades de definição de estratégia
Uma maneira de ajudar a criar e preservar valor	Uma função ou departamento separado da equipe
Inclusão de práticas que a gerência implementa para gerenciar riscos	Uma lista de tarefas ou tarefas
Um processo que pode ser usado por organizações de qualquer tamanho	Aplicável apenas a grandes empresas públicas
Um auxílio para tomar melhores decisões	Simplesmente uma lista, inventário de riscos ou ainda um exercício exclusivamente quantitativo

O segundo ponto relevante refere-se aos benefícios do ERM integrado nos processos existentes na organização, incluindo a definição de estratégia, governança, gerenciamento de performance e controles internos, que passam a ser listados a seguir:

• Aumentar o leque de oportunidades considerando os aspectos positivos e negativos do risco;
• Aumentar resultados e vantagens positivas, enquanto reduz surpresas negativas;
• Responder mais proativamente aos riscos, ao invés de adotar respostas reativas;
• Aumentar a capacidade de identificar e gerenciar riscos em toda a organização;
• Reduzir a variabilidade de desempenho;
• Melhorar a implantação de recursos; e
• Manter conversas e diálogos mais ricos e robustos entre a gerência e a diretoria sobre riscos.

O terceiro ponto relevante do novo guia são os fatores de sucesso, que passam a ser listados adiante:

1. Comece no topo; o suporte da diretoria e da gerência é necessária;
2. O papel e o objetivo do ERM devem ser entendido e comunicado;
3. O ERM deve ser integrado à estrutura e cultura da organização;
4. O ponto de partida é focar inicialmente na organização as principais estratégias e objetivos de negócios;
5. Os principais riscos são os eventos e resultados relacionados às principais estratégias;
6. Comece com ações simples e construa de forma incremental; e
7. Alavanque recursos existentes e atividades de gerenciamento de risco.

O quarto ponto relevante do guia, descreve os passos iniciais para implementar um processo de ERM incluindo uma metodologia básica, processo e estruturas relacionadas para ajudar na identificação de estratégias-chave e os riscos relacionados:

PASSOS	DESCRIÇÃO
Passo 1	Buscar envolvimento e supervisão da diretoria e da alta gerência
Passo 2	Identificar e eleger um líder para impulsionar o processo de ERM
Passo 3	Estabelecer um grupo de trabalho de gestão
Passo 4	Inventariar as práticas de gerenciamento de risco existentes na organização
Passo 5	Conduzir uma avaliação inicial das principais estratégias e riscos estratégicos relacionados
Passo 6	Desenvolver um plano de ação consolidado e comunicá-lo à diretoria e à gerência
Passo 7	Desenvolver e / ou aprimorar relatórios de risco
Passo 8	Desenvolver a próxima fase dos planos de ação e comunicações contínuas

E, finalmente, o quinto ponto relevante do guia trata da implementação continuada do processo de ERM, observando os seguintes aspectos:

Governança e Cultura

1. Desenvolvimento de políticas corporativas e de gestão e práticas para ERM;
2. Análise e consideração da necessidade de recursos humanos, incluindo o conjunto de habilidades necessárias e
   capacidades técnicas ou quantitativas;
3. Um processo mais formal para reforçar a cultura de risco
   através de comunicações e treinamento contínuos.

Estratégia e Objetivos

1. Maior integração dos processos de ERM no planejamento e nos processos de orçamento anual da organização;
2. Integração mais formal ao processo de desenvolvimento da estratégia;
3. Discussão e articulação adicionais do apetite de risco da organização.

Performance

1. Expansão e aprimoramentos adicionais aos processos de avaliação de risco;
2. Processo mais formal para priorizar e avaliar a gravidade dos riscos;
3. Atualizações na resposta a riscos e planos de ação.

Revisão

1. Considerações de mudanças organizacionais significativas;
2. Desenvolvimento de processos de desempenho, como um balanced scorecard e mapas de estratégia, para avaliar o desempenho e os benefícios dos processos de ERM;
3. Desenvolvimento de um contínuo processo de aperfeiçoamento mais formal.

Informação, Comunicação e Reporte

1. Consideração dos possíveis usos ou aplicação de novas tecnologias;
2. Consideração ou desenvolvimento de novas fontes e análise de dados;
3. Desenvolvimento de um programa de educação continuada
   para diretores e executivos;
4. Desenvolvimento de uma educação contínua em ERM e
   treinamento para os gestores;
5. Considerações sobre o uso da tecnologia e inteligência artificial para monitoramento aprimorado de riscos.