ISO 31000: A nova perspectiva de encarar a gestão · PDF filelegislação,...
Transcript of ISO 31000: A nova perspectiva de encarar a gestão · PDF filelegislação,...
www.igrisc.org | Jan/Fev/Mar 2013 | edição 2
ISSN: 2182-794X
Origem e Evolução da Gestão de Risco
ISO 31000: A nova perspectiva de encarar a gestão empresarial Capítulo II
Revista Electrónica Gestão de Risco e Crise | edição 2 | 2
Sumário Editorial
Gestão de Risco
Origem e Evolução da Gestão de Risco……………………………………………………………….…………………………..………….……..………..4
ISO 31000: A nova perspectiva de encarar a gestão empresarial
Parte 1: Capítulo II - Cronologia de legislação, normas e padrões que antecederam a 31000…....9
1999: AS/NZS 4360:1999…….……………………………………………………………………………………………….………………..………..10
2002: FERMA……………………….…….……………………………………………………………………………………………….………………..………..12
2002: Sarbanes-Oxley…….…….…………..……………………………………………….………………………………….………………..………..13
A Revista Electrónica Gestão de Risco e Crise é uma publicação trimestral do IGRISC Rua do Pinhal, n.º 74 4405-892 Vila Nova de Gaia 224043555
Director | António de Vasconcelos Lourenço
Conselho Consultivo Redactorial | Rui Bertuzi, Fernando Casal
Revisão | Egídio Rodrigues, Ana Isabel Lourenço
Execução Gráfica | IGRISC
Secretariado | Cecília Príncipe
Colaboradores desta edição | António de Vasconcelos Lourenço, Ana Isabel Lourenço, Cecília Príncipe
Instituto de Gestão de Risco e de Crise | www.igrisc.org [email protected]
ISSN | 2182 – 794X44874 – 3584
As opiniões expressas e ou artigos assinados apenas vinculam os seus autores.
ISO 31000: A nova perspectiva de encarar a
gestão empresarial
Revista Electrónica Gestão de Risco e Crise | edição 2 | 3
Editorial
Após o sucesso alcançado com a primeira edição desta revista, foram
efectuados mais de 100 downloads do nosso site, cá estamos de novo
imbuídos do mesmo espírito, com que encetamos e encaramos este
desafio.
Com o estabelecimento de uma grave crise económica e financeira,
nacional, europeia e quase global, de cujo declínio não se vislumbram
horizontes, por mais que as opiniões de uma plêiade de optimistas
(principalmente aqueles que as arrostam no sentido de mero acto de fé),
sejam estes políticos, banqueiros, economistas, comentadores, adivinhos ou, até mesmo,
milagreiros, reclamem e auspiciem a inversão da curva de recessão económica, cabe, na minha
opinião, aos gestores e empreendedores um papel importante na alavancagem da economia,
tanto mais que estes baseiam o seu modo de ser e actuar numa perspectiva realista de afrontar
soluções, com inovação, criatividade, empenho, planeamento, liderança e controlo dos
objectivos que se propuseram e que são resultantes do seu modo empírico de estar.
No actual contexto, tenho a plena convicção que à gestão de risco e de crise cabe um papel
determinante no entendimento e resolução dos problemas e fenómenos actuais, que flagelam a
sociedade actual, quer estes sejam encarados de forma societal, política, empresarial ou
doméstica.
Para finalizar, espero e desejo que a revista continue a superar as expectativas dos seus leitores
e possa contar futuramente com a participação e colaboração de todos os interessados na
divulgação desta temática.
António de Vasconcelos Lourenço
Director
Nota: o director não se expressa em concordância com o novo acordo ortográfico por questão de objecção de consciência.
Revista Electrónica Gestão de Risco e Crise | edição 2 | 4
O primeiro estudo de risco é atribuído a Bernoulli, eminente matemático e físico suíço, que em 1738
propôs uma nova teoria para a dimensão de risco, na obra intitulada Specimen theoriae novae de
mensura sortis, com o intuito de minimizar o risco de propagação de uma série de eventos, através
de métodos estatísticos e probabilísticos.
Mais tarde, Henri Fayol, no princípio do século passado, identificou a Gestão de Risco (GR) como uma
das seis principais funções na gestão de uma empresa, a que chamou de função segurança (Fayol,
1916). No entanto, os estudos de Fayol não foram amplamente aplicados e muitos anos passaram
até que a GR tivesse lugar.
Os primeiros desenvolvimentos em GR tiveram lugar nos Estados Unidos da América, no período
compreendido entre 1955 e 1960 (Mehr & Hedges, 1963), que nesse tempo tinha por principal
objectivo a utilização de técnicas para reduzir os custos dos seguros e, neste sentido, GR significava
procurar a melhor oferta para cobertura de seguros.
Nos anos 90, a evolução do contexto económico e financeiro das empresas (principalmente as norte-
americanas), fez com que a GR fosse considerada no âmbito de gestão empresarial, na perspectiva
de volatilidade de negócio e dos resultados financeiros, assim como também, na perspectiva de
optimização dos resultados das empresas (Doherty, 2000).
No início do ano 2000, vários autores começam a falar sobre gestão integrada de risco (também
Origem e evolução da Gestão de Risco António de Vasconcelos Lourenço | Licenciado em Marketing e Relações Públicas, Doutorando em Ciências Empresariais, especialidade em Gestão e membro da direcção do IGRISC Ana Isabel Lourenço | Licenciada em Línguas e Literaturas Modernas, Pós-graduada em Educação Especial e membro da mesa da assembleia-geral do IGRISC
Revista Electrónica Gestão de Risco e Crise | edição 2 | 5
chamada de gestão de risco empresarial ou holística), definida por DeLoach (2000) como sendo um
método que incorpora a estratégia, processos, pessoas, tecnologias e know-how, cuja finalidade é a
avaliação e gestão de ameaças e oportunidades, que as empresas enfrentam na sua criação de valor.
Entretanto, especialmente nestas últimas duas décadas, tem havido uma proliferação de tipos de
riscos, modelos, métodos e técnicas, especialmente desenvolvidas para um largo espectro de áreas,
de cuja análise podemos classificar em 10 grandes grupos:
A GREST é definida como sendo a implementação de um processo
contínuo e integrado de identificação e avaliação de riscos
estratégicos que podem ser considerados como sendo obstáculos
à obtenção de objectivos financeiros e operacionais de uma
organização ou empresa (Chatterjee et al., 2003; Miller, 1992).
Campo de aplicação: todo o tipo de empresas.
A GRF pode ser definida como a prática de criação de
valor económico numa empresa através de técnicas
financeiras e metodologias para gerir a exposição ao
risco, quer estes sejam interpretados, ou não, como
riscos estratégicos (Crockford, 1986).
Campo de aplicação: sector financeiro.
É definida como um processo realizado pelos gestores de
uma empresa, aplicado de modo estratégico e transversal
a todos os sectores da mesma, desenvolvido para
identificar potenciais eventos que possam afectar a sua
identidade, no sentido de prover uma segurança razoável,
relativa à realização dos seus objectivos (COSO 2004, II).
Campo de aplicação: indústria e serviços.
Revista Electrónica Gestão de Risco e Crise | edição 2 | 6
É um processo de gestão de puro risco (entendido
como um risco que pode ser segurado) numa
empresa, baseado na observação de eventos
prejudiciais que tenham já acontecido, cuja
aplicação é efectuada através de um prémio ou
taxa baseada na experiência e competência do
assessor (Gahin, 1967).
Campo de aplicação: seguradoras.
A GRP é entendida como um processo de gestão
sistemático durante o ciclo de vida de qualquer projecto
que envolva a definição de objectivos, identificação de
fontes de incerteza e sua análise, através da formulação
de respostas de gestão, de modo ao desenvolvimento
de um balanço aceitável entre riscos e oportunidades
(Verbano & Venturini, 2011).
Campo de aplicação: consultores e empresas que
trabalham com projectos.
Definida como um processo contínuo que envolve a gestão
do planeamento, concepção, operação e evolução de um
sistema de engenharia, em ordem a identificar e escolher
as respostas adequadas aos problemas dos diferentes
factores de risco, através de um sistema sistémico e
proactivo (Patè-Cornell, 1990).
Campo de aplicação: consultores e empresas de produção.
Revista Electrónica Gestão de Risco e Crise | edição 2 | 7
Pode ser definida como uma colaboração entre
parceiros de toda a cadeia de fornecedores, com o
objectivo de desenvolver um processo de gestão de
risco partilhado, em ordem a lidar com os riscos e
incertezas, resultantes de actividades logísticas e
recursos (Norman & Lindroth, 2002).
Campo de aplicação: empresas de distribuição.
Definida como uma aproximação holística e
flexível de uma parte integral de governo de
uma comunidade, envolvendo uma série de
acções e ferramentas, expressamente
orientadas para reduzir os riscos de desastre
em regiões de risco, reduzindo a
sua propagação através da manutenção dos
processos, estruturas e rigor, típicos de uma
gestão de risco (Tatano, 2003).
Campo de aplicação: governamental.
Entendida como uma aproximação para melhorar a qualidade dos
cuidados de saúde, com especial ênfase na identificação das
circunstâncias que podem colocar os pacientes em risco de dano, e
neste sentido, actuar na prevenção ou controlo destes riscos, com
o objectivo de melhorar a segurança e a qualidade dos cuidados
dos pacientes, e a redução de custos de tais riscos para os
prestadores de cuidados de saúde (Walshe & Dineen, 1998).
Campo de aplicação: empresas de cuidados de saúde.
Revista Electrónica Gestão de Risco e Crise | edição 2 | 8
A GRI é definida como um processo contínuo que
permite a uma organização cumprir a sua missão,
através de uma melhor segurança dos sistemas que
armazenam, processam ou transmitem a informação
organizacional, com base na documentação
resultante do desempenho da gestão de risco
(Stoneburner, G., Goguen, A. & Feringa, A., 2002).
Campo de aplicação: todo o tipo de empresas.
Referências bibliográficas
Chatterjee, S., Wiseman, R., Fiegenbaurn, A. & Dever, C. (2003). Integrating behavioral and economic concepts of risk into
strategic management: The twain shall meet. Long Range Planning, 36, 61-79.
COSO II (2004). Enterprise risk management: Integrated Framework 2004. Acedido em 2012, Agosto 2, em
http://www.coso.org/documents/ COSO_ERM_ExecutiveSummary.pdf
Crockford, N. (1986). An introducing to risk management (2nd ed.). Crambridge: Woodhead-Faulkner.
DeLoach, J. (2000). Enterprise-wide Risk Management: Strategies for linking Risk and Opportunity. Houston: Arthur Andersen.
Doherty, N. (2000). Integrated Risk Management: Techniques and Strategies for Managing Corporate Risk. McGraw Hill.
Fayol, H. (1916). Administration industrielle et générale; prévoyance, organisation, commandement, coordination, controle.
Paris: H. Dunod et E. Pinat.
Gahin, F. (1967). A theory of pure risk management in the business firm. Journal of Risk and Insurance, 34(1), 121-129.
Mehr, R., & Hedges, B. (1963). Risk Management in Business Enterprise. Homewood, IL.
Miller, K. (1992). A Framework for integrated risk management in International Business. Journal of International Business
Studies, 23(2), 311-331.
Norman, A. & Lindroth, R. (2002). Supply chain risk management: Purchasers 'vs planners' views on sharing capacity
investment risks in the telecom industry. Paper presented at the 11th International Annual IPSERA Conference: Twente
University.
Patè-Cornnel, M. (1990). Organizational aspects of engineering system safety: The case of offshore platforms. Science 250,
1210-1217.
Stoneburner, G., Goguen, A. & Feringa, A. (2002). Risk Management Guide for Information Technology. NIST:Gaithersburg.
Tatano, Y. (2003). Characteristics of disaster risk and its management. Journal of Research Institute of Science and Technology
for Society, 1, 141-148.
Verbano, C. & Venturini, K. (2011). Development paths of risk management: approaches, methods and fields of application.
Journal of Risk Research, 14(5), 519-550.
Walshe, K. & Dineen, M. (1998). Clinical risk management: Making a difference?. University of Birmingham.
Revista Electrónica Gestão de Risco e Crise | edição 2 | 9
Introdução
Na continuação do estudo apresentado na edição número 1 desta revista, sobre a cronologia relativa à
legislação, normas e padrões da gestão de risco que antecederam a família da norma ISO 31000, nesta
edição continuamos a divulgação do estudo, situando a cronologia entre os anos de 1999 e 2002, com
especial ênfase para a Norma AS/NZS 4360:1999, Norma FERMA e Lei Sarbanes-Oxley, as quais são
prevalecentes para o período em análise.
Neste sentido, a Norma AS/NZS 4360:1999 vai servir de ponto de partida para a futura ISO 31000,
enquanto a Norma FERMA servirá de modelo para a gestão de risco de seguros e, por sua vez, a Lei
Sarbanes-Oxley enceta os primeiros passos no sentido de tentar debelar as insolvências fraudulentas
que têm origem em grandes empresas norte-americanas.
Conforme já mencionado na edição anterior, este estudo não tem a pretensão de indicar toda a
cronologia disponível, mas sim apresentar uma perspectiva histórica dos marcos regulatórios, mais
importantes, da normalização da gestão de risco.
ISO 31000: A Nova Perspectiva de Encarar a Gestão Empresarial
Parte I: Cronologia de legislação, normas e padrões que antecederam a 31000
Capítulo II – AS/NZS 4360:1999 | FERMA | Sarbanes-Oxley
António de Vasconcelos Lourenço | Licenciado em Marketing e Relações Públicas, Doutorando em Ciências Empresariais, especialidade em Gestão e membro da direcção do IGRISC Cecília Príncipe | Licenciada em Gestão de Empresas, especialista em gestão financeira e membro da direcção do IGRISC
Revista Electrónica Gestão de Risco e Crise | edição 2 | 10
1999 AS/NZS 4360:1999 – Australia / New Zealand Risk Management Standard
Graças aos bons resultados alcançados com a Norma anterior, AS/NZS
4360, o comité técnico começou a trabalhar em indústria específica,
manuais e/ou orientações, para a aplicação do processo de temáticas, tais
como: o risco de seguro, o sector público, sector terciário, meio ambiente,
gestão de continuidade de negócios, saúde e outros. Uma consequência
deste trabalho foi a decisão de rever a própria norma, em 1998, resultando
na sua reedição como AS / NZS 4360:1999.
Embora a edição original da Norma AS/NZS 4360 fosse desenvolvida a partir
de anteriores ideias e processos de gestão de risco, esta edição
subsequente, agrega o contexto de "comunicar e consultar" e uma série de
manuais sobre aspectos da gestão de risco. Na Figura 1 é representado o
processo de gestão de risco desta Norma.
Fonte: Adaptado da Norma AS/NZS 4360:1999
Figura 1. Processo de gestão de risco – Norma AS/NZS 4360:1999
COSO I 1992
AS/NZS 4360 1995
AS/NZS 4360 1999
FERMA; SOx
2004
2002
EURO -SOx 2003
AS/NZS 4360 2004
COSO II
ISO 1947
Revista Electrónica Gestão de Risco e Crise | edição 2 | 11
A AS/NZS 4360:1999 enfatiza a necessidade de estabelecer os contextos de gestão estratégica,
organizacional e de risco, assim como, o desenvolvimento de um conjunto de critérios para avaliação
de risco e para a definição da estrutura, separando a actividade ou projecto num conjunto de
elementos, mas nunca sugere o propósito de impor a uniformidade dos sistemas. O seu principal
objectivo, deve ser ajudar e motivar a acutilância dos interessados para a gama de possibilidades e
auxiliá-los em melhores decisões (Edwards & Bowen, 2005).
Como se pode verificar na Tabela 1, surge pela primeira vez nesta Norma, muito embora como
exemplo identificativo, uma escala genérica de cinco níveis para a probabilidade de ocorrência de um
evento de risco, assim como também, para as consequências e impacto, estes mostrados na Tabela 2.
Nível Tipo Descrição A
Quase certo Previsto ocorrer na maioria das circunstâncias
B Provável
Provavelmente ocorrerá na maioria das circunstâncias
C Possível Pode ocorrer em algum momento
D Improvável
Poderá ocorrer em algum momento
E Raro
Pode ocorrer apenas em circunstâncias excepcionais
Nível Tipo Descrição 1 Insignificante Sem feridos e com baixa perda financeira
2 Menor
Primeiros socorros resolvidos no local e com média perda financeira
3 Moderado Tratamento médico requerido no local, com necessidade de resolução externa e com alta perda financeira
4 Elevado Lesões extensas, perda de capacidade de produção temporária e com grande perda financeira
5 Catastrófico
Morte ou incapacidade permanente com enorme perda financeira
Esta Norma reconhece que o projecto e a implementação de qualquer sistema devem ser
influenciados pelas diferentes necessidades das organizações, ao nível dos seus objectivos específicos,
produtos e serviços, e os processos e práticas que emprega. Também reconhece, que identificar fontes
de risco e áreas de impacto fornece uma estrutura para identificação e análise de risco, uma vez que
devido ao número potencialmente grande de fontes e impactos, o desenvolvimento de uma lista genérica
de risco deve concentrar-se em actividades de identificação e contribuir para a sua gestão mais eficaz.
Assume-se na Norma, que os fabricantes e tomadores de risco também devem ser gestores de risco.
Tabela 1. Níveis de probabilidade de ocorrência de risco
Fonte: Adaptado da norma AS/NZS 4360:1999
Tabela 2. Níveis de consequência e impacto de ocorrência de risco
Fonte: Adaptado da norma AS/NZS 4360:1999
Revista Electrónica Gestão de Risco e Crise | edição 2 | 12
2002 F E R M A : A R i s k M a n a g e m e n t S t a n d a r d
Tradução dos autores: 1 Instituto de Gestão de Risco; 2 Associação de Gestores de Seguros e Risco; 3 Fórum Nacional de Gestão de Risco no
Sector Público; 4 Federação Europeia de Associações de Gestão de Risco.
As principais organizações de gestão de risco do
Reino Unido, The Institute of Risk Management
(IRM) 1, The Association of Insurance and Risk
Managers (AIRMIC) 2 e The National Forum for
Risk Management in the Public Sector (ALARM) 3,
criaram em conjunto uma Norma de gestão de
risco, a qual veio a ser adoptada em 2002 pela
Federation of European Risk Management
Associations (FERMA) 4.
Esta Norma estabelece um processo
estratégico, começando com os objectivos
globais de uma organização e suas aspirações,
através da identificação, avaliação e mitigação
de riscos e, finalmente, a transferência de
alguns desses riscos para uma seguradora
(Moeller, 2009).
Na Figura 2 podemos observar o processo de
gestão de risco desta Norma.
“Esta Norma estabelece um processo estratégico, começando com os objectivos globais
de uma organização e suas aspirações, através da identificação, avaliação e mitigação
de riscos e, finalmente, a transferência de alguns riscos para uma seguradora”
Figura 2. Processo de gestão de risco – Norma FERMA
Fonte: Adaptado da Norma FERMA
Revista Electrónica Gestão de Risco e Crise | edição 2 | 13
2002 L e i : S a r b a n e s - O x l e y
Como se pode verificar no modelo, um aspecto
muito interessante desta Norma é que cada
elemento é formalmente constituído como
estando sujeita a auditoria.
Para a FERMA, a gestão de risco deve ser
integrada na cultura da organização com uma
Em resposta aos escândalos corporativos do
início do século XXI (Enron, Xerox, AOL, Arthur
Andersen, entre muitas), surge em 2002, nos
Estados Unidos, a lei Sarbanes-Oxley, conhecida
por lei “SOx”. Formulada por dois congressistas
americanos, Paul Sarbanes (democrata) e
Michael Oxley (republicano), enfatizou o papel
fundamental dos controlos internos e fez com
que boas práticas de gestão empresarial se
transformassem em exigência legal. A SOx foi
aprovada e promulgada pelo Congresso
Americano, em Julho de 2002, e aplicou-se a
todas as empresas americanas e estrangeiras
que possuíam títulos e acções negociados em
bolsas americanas.
A SOx obriga as empresas a reestruturarem
processos para aumentar os controlos, a
segurança e a transparência na condução dos
negócios, na administração financeira, nos
registos contabilísticos e na gestão e divulgação
das informações.
política eficaz e um programa conduzido pela
direcção de topo.
Deve ser um processo contínuo e em constante
desenvolvimento aplicado à estratégia da
organização e à implementação dessa mesma
estratégia.
“ A SOx obriga as empresas a reestruturarem processos para aumentar os controlos, a
segurança e a transparência na condução dos negócios, na administração financeira,
nos registos contabilísticos e na gestão e divulgação das informações”
Ainda, prevê a criação nas empresas de
mecanismos de auditoria e segurança confiáveis,
definindo regras para a criação de comités
encarregados de supervisionar as suas
actividades e operações, formados em boa parte
por membros independentes, com o intuito
explícito de evitar a ocorrência de fraudes e criar
meios de identificá-las quando ocorrem,
reduzindo os riscos nos negócios e garantindo a
transparência na gestão (Fletcher & Plette, 2008).
A SOx exige que tanto a administração da
empresa como o auditor externo sejam
explicitamente responsáveis por estabelecer e
monitorizar a eficácia dos controlos internos em
relação aos relatórios financeiros e a divulgação
de informações (Parodi, 2010).
As empresas de auditoria aumentam muito o
grau de responsabilidade sobre os seus actos,
assim como também, no que concerne à
regulamentação sobre as modalidades destes
Revista Electrónica Gestão de Risco e Crise | edição 2 | 14
Conclusão parcial
Com o limiar do século XXI, a gestão de risco sofre um
grande incremento no interesse da sua aplicação,
passando a ser implementada pelas organizações e
empresas, como forma de obtenção dos seus
objectivos globais e específicos.
No entanto, somente mercê dos grandes escândalos
corporativos que levaram à insolvência de grandes
empresas de renome mundial é que existiu a necessidade de implementação de leis que viessem
regular a exposição ao risco e, neste sentido, estava dado um passo definitivo para o desenvolvimento
e aplicação da gestão de risco nas empresas, quer do sector público, quer do sector privado.
Nas próximas edições, continuaremos a abordagem da cronologia.
Bibliografia
Australian and New Zealand Standard AS/NZS 4360:1999 Risk Management
FERMA (2002): A Risk Management Standard, AIRMIC, ALARM, IRM. London
United States Public Law 107-204:2002
Referências bibliográficas
Edwards, P. & Bowen, P. (2005). Risk Management in Project Organizations. Oxford: Elsevier.
Fletcher, W. & Plette, T. (2008). The Sarbanes-Oxley Act: Implementation, Significance and Impact. New York: Nova Science
Publishers.
Holt, M. (2008). The Sarbanes-Oxley Act: Costs, benefits and business impacts. London: Elsevier.
Moeller, R. (2009). COSO Enterprise Risk Management: Understanding the New Integrated ERM Framework. New Jersey: John
Wiley.
Parodi, L. (2010). Fraudes Contábeis e Externas. Acedido em 2012, Julho 30, em <http://www.fraudes.org/
showpage1.asp?pg=312>.
prestadores de serviços e sobre os limites de
actuação (serviços que podem e não podem ser
prestados) e, também, a gestão de eventuais
conflitos de interesses.
Esta lei serviu de base para regulamentações
locais em todo o mundo, colocando em destaque
toda a metodologia que a área da auditoria vinha
desenvolvendo para aprimorar os controlos
internos. A SOx sugere e recomenda, na
secção 404, que o modelo de controlos
internos a ser utilizado pelas empresas seja
baseado no COSO, para que possam ser
implementadas as regras definidas nesta lei
(Holt, 2008).