ISO 31000: A nova perspectiva de encarar a gestão · PDF filelegislação,...

www.igrisc.org | Jan/Fev/Mar 2013 | edição 2

ISSN: 2182-794X

Origem e Evolução da Gestão de Risco

ISO 31000: A nova perspectiva de encarar a gestão empresarial Capítulo II

Revista Electrónica Gestão de Risco e Crise | edição 2 | 2

Sumário Editorial

Gestão de Risco

Origem e Evolução da Gestão de Risco……………………………………………………………….…………………………..………….……..………..4

ISO 31000: A nova perspectiva de encarar a gestão empresarial

Parte 1: Capítulo II - Cronologia de legislação, normas e padrões que antecederam a 31000…....9

1999: AS/NZS 4360:1999…….……………………………………………………………………………………………….………………..………..10

2002: FERMA……………………….…….……………………………………………………………………………………………….………………..………..12

2002: Sarbanes-Oxley…….…….…………..……………………………………………….………………………………….………………..………..13

A Revista Electrónica Gestão de Risco e Crise é uma publicação trimestral do IGRISC Rua do Pinhal, n.º 74 4405-892 Vila Nova de Gaia 224043555

Director | António de Vasconcelos Lourenço

Conselho Consultivo Redactorial | Rui Bertuzi, Fernando Casal

Revisão | Egídio Rodrigues, Ana Isabel Lourenço

Execução Gráfica | IGRISC

Secretariado | Cecília Príncipe

Colaboradores desta edição | António de Vasconcelos Lourenço, Ana Isabel Lourenço, Cecília Príncipe

Instituto de Gestão de Risco e de Crise | www.igrisc.org [email protected]

ISSN | 2182 – 794X44874 – 3584

As opiniões expressas e ou artigos assinados apenas vinculam os seus autores.

ISO 31000: A nova perspectiva de encarar a

gestão empresarial

mailto:[email protected]


Editorial

Após o sucesso alcançado com a primeira edição desta revista, foram

efectuados mais de 100 downloads do nosso site, cá estamos de novo

imbuídos do mesmo espírito, com que encetamos e encaramos este

desafio.

Com o estabelecimento de uma grave crise económica e financeira,

nacional, europeia e quase global, de cujo declínio não se vislumbram

horizontes, por mais que as opiniões de uma plêiade de optimistas

(principalmente aqueles que as arrostam no sentido de mero acto de fé),

sejam estes políticos, banqueiros, economistas, comentadores, adivinhos ou, até mesmo,

milagreiros, reclamem e auspiciem a inversão da curva de recessão económica, cabe, na minha

opinião, aos gestores e empreendedores um papel importante na alavancagem da economia,

tanto mais que estes baseiam o seu modo de ser e actuar numa perspectiva realista de afrontar

soluções, com inovação, criatividade, empenho, planeamento, liderança e controlo dos

objectivos que se propuseram e que são resultantes do seu modo empírico de estar.

No actual contexto, tenho a plena convicção que à gestão de risco e de crise cabe um papel

determinante no entendimento e resolução dos problemas e fenómenos actuais, que flagelam a

sociedade actual, quer estes sejam encarados de forma societal, política, empresarial ou

doméstica.

Para finalizar, espero e desejo que a revista continue a superar as expectativas dos seus leitores

e possa contar futuramente com a participação e colaboração de todos os interessados na

divulgação desta temática.

António de Vasconcelos Lourenço

Director

Nota: o director não se expressa em concordância com o novo acordo ortográfico por questão de objecção de consciência.


O primeiro estudo de risco é atribuído a Bernoulli, eminente matemático e físico suíço, que em 1738

propôs uma nova teoria para a dimensão de risco, na obra intitulada Specimen theoriae novae de

mensura sortis, com o intuito de minimizar o risco de propagação de uma série de eventos, através

de métodos estatísticos e probabilísticos.

Mais tarde, Henri Fayol, no princípio do século passado, identificou a Gestão de Risco (GR) como uma

das seis principais funções na gestão de uma empresa, a que chamou de função segurança (Fayol,

1916). No entanto, os estudos de Fayol não foram amplamente aplicados e muitos anos passaram

até que a GR tivesse lugar.

Os primeiros desenvolvimentos em GR tiveram lugar nos Estados Unidos da América, no período

compreendido entre 1955 e 1960 (Mehr & Hedges, 1963), que nesse tempo tinha por principal

objectivo a utilização de técnicas para reduzir os custos dos seguros e, neste sentido, GR significava

procurar a melhor oferta para cobertura de seguros.

Nos anos 90, a evolução do contexto económico e financeiro das empresas (principalmente as norte-

americanas), fez com que a GR fosse considerada no âmbito de gestão empresarial, na perspectiva

de volatilidade de negócio e dos resultados financeiros, assim como também, na perspectiva de

optimização dos resultados das empresas (Doherty, 2000).

No início do ano 2000, vários autores começam a falar sobre gestão integrada de risco (também

Origem e evolução da Gestão de Risco António de Vasconcelos Lourenço | Licenciado em Marketing e Relações Públicas, Doutorando em Ciências Empresariais, especialidade em Gestão e membro da direcção do IGRISC Ana Isabel Lourenço | Licenciada em Línguas e Literaturas Modernas, Pós-graduada em Educação Especial e membro da mesa da assembleia-geral do IGRISC


chamada de gestão de risco empresarial ou holística), definida por DeLoach (2000) como sendo um

método que incorpora a estratégia, processos, pessoas, tecnologias e know-how, cuja finalidade é a

avaliação e gestão de ameaças e oportunidades, que as empresas enfrentam na sua criação de valor.

Entretanto, especialmente nestas últimas duas décadas, tem havido uma proliferação de tipos de

riscos, modelos, métodos e técnicas, especialmente desenvolvidas para um largo espectro de áreas,

de cuja análise podemos classificar em 10 grandes grupos:

A GREST é definida como sendo a implementação de um processo

contínuo e integrado de identificação e avaliação de riscos

estratégicos que podem ser considerados como sendo obstáculos

à obtenção de objectivos financeiros e operacionais de uma

organização ou empresa (Chatterjee et al., 2003; Miller, 1992).

Campo de aplicação: todo o tipo de empresas.

A GRF pode ser definida como a prática de criação de

valor económico numa empresa através de técnicas

financeiras e metodologias para gerir a exposição ao

risco, quer estes sejam interpretados, ou não, como

riscos estratégicos (Crockford, 1986).

Campo de aplicação: sector financeiro.

É definida como um processo realizado pelos gestores de

uma empresa, aplicado de modo estratégico e transversal

a todos os sectores da mesma, desenvolvido para

identificar potenciais eventos que possam afectar a sua

identidade, no sentido de prover uma segurança razoável,

relativa à realização dos seus objectivos (COSO 2004, II).

Campo de aplicação: indústria e serviços.


É um processo de gestão de puro risco (entendido

como um risco que pode ser segurado) numa

empresa, baseado na observação de eventos

prejudiciais que tenham já acontecido, cuja

aplicação é efectuada através de um prémio ou

taxa baseada na experiência e competência do

assessor (Gahin, 1967).

Campo de aplicação: seguradoras.

A GRP é entendida como um processo de gestão

sistemático durante o ciclo de vida de qualquer projecto

que envolva a definição de objectivos, identificação de

fontes de incerteza e sua análise, através da formulação

de respostas de gestão, de modo ao desenvolvimento

de um balanço aceitável entre riscos e oportunidades

(Verbano & Venturini, 2011).

Campo de aplicação: consultores e empresas que

trabalham com projectos.

Definida como um processo contínuo que envolve a gestão

do planeamento, concepção, operação e evolução de um

sistema de engenharia, em ordem a identificar e escolher

as respostas adequadas aos problemas dos diferentes

factores de risco, através de um sistema sistémico e

proactivo (Patè-Cornell, 1990).

Campo de aplicação: consultores e empresas de produção.


Pode ser definida como uma colaboração entre

parceiros de toda a cadeia de fornecedores, com o

objectivo de desenvolver um processo de gestão de

risco partilhado, em ordem a lidar com os riscos e

incertezas, resultantes de actividades logísticas e

recursos (Norman & Lindroth, 2002).

Campo de aplicação: empresas de distribuição.

Definida como uma aproximação holística e

flexível de uma parte integral de governo de

uma comunidade, envolvendo uma série de

acções e ferramentas, expressamente

orientadas para reduzir os riscos de desastre

em regiões de risco, reduzindo a

sua propagação através da manutenção dos

processos, estruturas e rigor, típicos de uma

gestão de risco (Tatano, 2003).

Campo de aplicação: governamental.

Entendida como uma aproximação para melhorar a qualidade dos

cuidados de saúde, com especial ênfase na identificação das

circunstâncias que podem colocar os pacientes em risco de dano, e

neste sentido, actuar na prevenção ou controlo destes riscos, com

o objectivo de melhorar a segurança e a qualidade dos cuidados

dos pacientes, e a redução de custos de tais riscos para os

prestadores de cuidados de saúde (Walshe & Dineen, 1998).

Campo de aplicação: empresas de cuidados de saúde.


A GRI é definida como um processo contínuo que

permite a uma organização cumprir a sua missão,

através de uma melhor segurança dos sistemas que

armazenam, processam ou transmitem a informação

organizacional, com base na documentação

resultante do desempenho da gestão de risco

(Stoneburner, G., Goguen, A. & Feringa, A., 2002).

Campo de aplicação: todo o tipo de empresas.

Referências bibliográficas

Chatterjee, S., Wiseman, R., Fiegenbaurn, A. & Dever, C. (2003). Integrating behavioral and economic concepts of risk into

strategic management: The twain shall meet. Long Range Planning, 36, 61-79.

COSO II (2004). Enterprise risk management: Integrated Framework 2004. Acedido em 2012, Agosto 2, em

http://www.coso.org/documents/ COSO_ERM_ExecutiveSummary.pdf

Crockford, N. (1986). An introducing to risk management (2nd ed.). Crambridge: Woodhead-Faulkner.

DeLoach, J. (2000). Enterprise-wide Risk Management: Strategies for linking Risk and Opportunity. Houston: Arthur Andersen.

Doherty, N. (2000). Integrated Risk Management: Techniques and Strategies for Managing Corporate Risk. McGraw Hill.

Fayol, H. (1916). Administration industrielle et générale; prévoyance, organisation, commandement, coordination, controle.

Paris: H. Dunod et E. Pinat.

Gahin, F. (1967). A theory of pure risk management in the business firm. Journal of Risk and Insurance, 34(1), 121-129.

Mehr, R., & Hedges, B. (1963). Risk Management in Business Enterprise. Homewood, IL.

Miller, K. (1992). A Framework for integrated risk management in International Business. Journal of International Business

Studies, 23(2), 311-331.

Norman, A. & Lindroth, R. (2002). Supply chain risk management: Purchasers 'vs planners' views on sharing capacity

investment risks in the telecom industry. Paper presented at the 11th International Annual IPSERA Conference: Twente

University.

Patè-Cornnel, M. (1990). Organizational aspects of engineering system safety: The case of offshore platforms. Science 250,

1210-1217.

Stoneburner, G., Goguen, A. & Feringa, A. (2002). Risk Management Guide for Information Technology. NIST:Gaithersburg.

Tatano, Y. (2003). Characteristics of disaster risk and its management. Journal of Research Institute of Science and Technology

for Society, 1, 141-148.

Verbano, C. & Venturini, K. (2011). Development paths of risk management: approaches, methods and fields of application.

Journal of Risk Research, 14(5), 519-550.

Walshe, K. & Dineen, M. (1998). Clinical risk management: Making a difference?. University of Birmingham.


Introdução

Na continuação do estudo apresentado na edição número 1 desta revista, sobre a cronologia relativa à

legislação, normas e padrões da gestão de risco que antecederam a família da norma ISO 31000, nesta

edição continuamos a divulgação do estudo, situando a cronologia entre os anos de 1999 e 2002, com

especial ênfase para a Norma AS/NZS 4360:1999, Norma FERMA e Lei Sarbanes-Oxley, as quais são

prevalecentes para o período em análise.

Neste sentido, a Norma AS/NZS 4360:1999 vai servir de ponto de partida para a futura ISO 31000,

enquanto a Norma FERMA servirá de modelo para a gestão de risco de seguros e, por sua vez, a Lei

Sarbanes-Oxley enceta os primeiros passos no sentido de tentar debelar as insolvências fraudulentas

que têm origem em grandes empresas norte-americanas.

Conforme já mencionado na edição anterior, este estudo não tem a pretensão de indicar toda a

cronologia disponível, mas sim apresentar uma perspectiva histórica dos marcos regulatórios, mais

importantes, da normalização da gestão de risco.

ISO 31000: A Nova Perspectiva de Encarar a Gestão Empresarial

Parte I: Cronologia de legislação, normas e padrões que antecederam a 31000

Capítulo II – AS/NZS 4360:1999 | FERMA | Sarbanes-Oxley

António de Vasconcelos Lourenço | Licenciado em Marketing e Relações Públicas, Doutorando em Ciências Empresariais, especialidade em Gestão e membro da direcção do IGRISC Cecília Príncipe | Licenciada em Gestão de Empresas, especialista em gestão financeira e membro da direcção do IGRISC


1999 AS/NZS 4360:1999 – Australia / New Zealand Risk Management Standard

Graças aos bons resultados alcançados com a Norma anterior, AS/NZS

4360, o comité técnico começou a trabalhar em indústria específica,

manuais e/ou orientações, para a aplicação do processo de temáticas, tais

como: o risco de seguro, o sector público, sector terciário, meio ambiente,

gestão de continuidade de negócios, saúde e outros. Uma consequência

deste trabalho foi a decisão de rever a própria norma, em 1998, resultando

na sua reedição como AS / NZS 4360:1999.

Embora a edição original da Norma AS/NZS 4360 fosse desenvolvida a partir

de anteriores ideias e processos de gestão de risco, esta edição

subsequente, agrega o contexto de "comunicar e consultar" e uma série de

manuais sobre aspectos da gestão de risco. Na Figura 1 é representado o

processo de gestão de risco desta Norma.

Fonte: Adaptado da Norma AS/NZS 4360:1999

Figura 1. Processo de gestão de risco – Norma AS/NZS 4360:1999

COSO I 1992

AS/NZS 4360 1995

AS/NZS 4360 1999

FERMA; SOx

2004

2002

EURO -SOx 2003

AS/NZS 4360 2004

COSO II

ISO 1947


A AS/NZS 4360:1999 enfatiza a necessidade de estabelecer os contextos de gestão estratégica,

organizacional e de risco, assim como, o desenvolvimento de um conjunto de critérios para avaliação

de risco e para a definição da estrutura, separando a actividade ou projecto num conjunto de

elementos, mas nunca sugere o propósito de impor a uniformidade dos sistemas. O seu principal

objectivo, deve ser ajudar e motivar a acutilância dos interessados para a gama de possibilidades e

auxiliá-los em melhores decisões (Edwards & Bowen, 2005).

Como se pode verificar na Tabela 1, surge pela primeira vez nesta Norma, muito embora como

exemplo identificativo, uma escala genérica de cinco níveis para a probabilidade de ocorrência de um

evento de risco, assim como também, para as consequências e impacto, estes mostrados na Tabela 2.

Nível Tipo Descrição A

Quase certo Previsto ocorrer na maioria das circunstâncias

B Provável

Provavelmente ocorrerá na maioria das circunstâncias

C Possível Pode ocorrer em algum momento

D Improvável

Poderá ocorrer em algum momento

E Raro

Pode ocorrer apenas em circunstâncias excepcionais

Nível Tipo Descrição 1 Insignificante Sem feridos e com baixa perda financeira

2 Menor

Primeiros socorros resolvidos no local e com média perda financeira

3 Moderado Tratamento médico requerido no local, com necessidade de resolução externa e com alta perda financeira

4 Elevado Lesões extensas, perda de capacidade de produção temporária e com grande perda financeira

5 Catastrófico

Morte ou incapacidade permanente com enorme perda financeira

Esta Norma reconhece que o projecto e a implementação de qualquer sistema devem ser

influenciados pelas diferentes necessidades das organizações, ao nível dos seus objectivos específicos,

produtos e serviços, e os processos e práticas que emprega. Também reconhece, que identificar fontes

de risco e áreas de impacto fornece uma estrutura para identificação e análise de risco, uma vez que

devido ao número potencialmente grande de fontes e impactos, o desenvolvimento de uma lista genérica

de risco deve concentrar-se em actividades de identificação e contribuir para a sua gestão mais eficaz.

Assume-se na Norma, que os fabricantes e tomadores de risco também devem ser gestores de risco.

Tabela 1. Níveis de probabilidade de ocorrência de risco

Fonte: Adaptado da norma AS/NZS 4360:1999

Tabela 2. Níveis de consequência e impacto de ocorrência de risco

Fonte: Adaptado da norma AS/NZS 4360:1999


2002 F E R M A : A R i s k M a n a g e m e n t S t a n d a r d

Tradução dos autores: 1 Instituto de Gestão de Risco; 2 Associação de Gestores de Seguros e Risco; 3 Fórum Nacional de Gestão de Risco no

Sector Público; 4 Federação Europeia de Associações de Gestão de Risco.

As principais organizações de gestão de risco do

Reino Unido, The Institute of Risk Management

(IRM) 1, The Association of Insurance and Risk

Managers (AIRMIC) 2 e The National Forum for

Risk Management in the Public Sector (ALARM) 3,

criaram em conjunto uma Norma de gestão de

risco, a qual veio a ser adoptada em 2002 pela

Federation of European Risk Management

Associations (FERMA) 4.

Esta Norma estabelece um processo

estratégico, começando com os objectivos

globais de uma organização e suas aspirações,

através da identificação, avaliação e mitigação

de riscos e, finalmente, a transferência de

alguns desses riscos para uma seguradora

(Moeller, 2009).

Na Figura 2 podemos observar o processo de

gestão de risco desta Norma.

“Esta Norma estabelece um processo estratégico, começando com os objectivos globais

de uma organização e suas aspirações, através da identificação, avaliação e mitigação

de riscos e, finalmente, a transferência de alguns riscos para uma seguradora”

Figura 2. Processo de gestão de risco – Norma FERMA

Fonte: Adaptado da Norma FERMA


2002 L e i : S a r b a n e s - O x l e y

Como se pode verificar no modelo, um aspecto

muito interessante desta Norma é que cada

elemento é formalmente constituído como

estando sujeita a auditoria.

Para a FERMA, a gestão de risco deve ser

integrada na cultura da organização com uma

Em resposta aos escândalos corporativos do

início do século XXI (Enron, Xerox, AOL, Arthur

Andersen, entre muitas), surge em 2002, nos

Estados Unidos, a lei Sarbanes-Oxley, conhecida

por lei “SOx”. Formulada por dois congressistas

americanos, Paul Sarbanes (democrata) e

Michael Oxley (republicano), enfatizou o papel

fundamental dos controlos internos e fez com

que boas práticas de gestão empresarial se

transformassem em exigência legal. A SOx foi

aprovada e promulgada pelo Congresso

Americano, em Julho de 2002, e aplicou-se a

todas as empresas americanas e estrangeiras

que possuíam títulos e acções negociados em

bolsas americanas.

A SOx obriga as empresas a reestruturarem

processos para aumentar os controlos, a

segurança e a transparência na condução dos

negócios, na administração financeira, nos

registos contabilísticos e na gestão e divulgação

das informações.

política eficaz e um programa conduzido pela

direcção de topo.

Deve ser um processo contínuo e em constante

desenvolvimento aplicado à estratégia da

organização e à implementação dessa mesma

estratégia.

“ A SOx obriga as empresas a reestruturarem processos para aumentar os controlos, a

segurança e a transparência na condução dos negócios, na administração financeira,

nos registos contabilísticos e na gestão e divulgação das informações”

Ainda, prevê a criação nas empresas de

mecanismos de auditoria e segurança confiáveis,

definindo regras para a criação de comités

encarregados de supervisionar as suas

actividades e operações, formados em boa parte

por membros independentes, com o intuito

explícito de evitar a ocorrência de fraudes e criar

meios de identificá-las quando ocorrem,

reduzindo os riscos nos negócios e garantindo a

transparência na gestão (Fletcher & Plette, 2008).

A SOx exige que tanto a administração da

empresa como o auditor externo sejam

explicitamente responsáveis por estabelecer e

monitorizar a eficácia dos controlos internos em

relação aos relatórios financeiros e a divulgação

de informações (Parodi, 2010).

As empresas de auditoria aumentam muito o

grau de responsabilidade sobre os seus actos,

assim como também, no que concerne à

regulamentação sobre as modalidades destes


Conclusão parcial

Com o limiar do século XXI, a gestão de risco sofre um

grande incremento no interesse da sua aplicação,

passando a ser implementada pelas organizações e

empresas, como forma de obtenção dos seus

objectivos globais e específicos.

No entanto, somente mercê dos grandes escândalos

corporativos que levaram à insolvência de grandes

empresas de renome mundial é que existiu a necessidade de implementação de leis que viessem

regular a exposição ao risco e, neste sentido, estava dado um passo definitivo para o desenvolvimento

e aplicação da gestão de risco nas empresas, quer do sector público, quer do sector privado.

Nas próximas edições, continuaremos a abordagem da cronologia.

Bibliografia

Australian and New Zealand Standard AS/NZS 4360:1999 Risk Management

FERMA (2002): A Risk Management Standard, AIRMIC, ALARM, IRM. London

United States Public Law 107-204:2002

Referências bibliográficas

Edwards, P. & Bowen, P. (2005). Risk Management in Project Organizations. Oxford: Elsevier.

Fletcher, W. & Plette, T. (2008). The Sarbanes-Oxley Act: Implementation, Significance and Impact. New York: Nova Science

Publishers.

Holt, M. (2008). The Sarbanes-Oxley Act: Costs, benefits and business impacts. London: Elsevier.

Moeller, R. (2009). COSO Enterprise Risk Management: Understanding the New Integrated ERM Framework. New Jersey: John

Wiley.

Parodi, L. (2010). Fraudes Contábeis e Externas. Acedido em 2012, Julho 30, em <http://www.fraudes.org/

showpage1.asp?pg=312>.

prestadores de serviços e sobre os limites de

actuação (serviços que podem e não podem ser

prestados) e, também, a gestão de eventuais

conflitos de interesses.

Esta lei serviu de base para regulamentações

locais em todo o mundo, colocando em destaque

toda a metodologia que a área da auditoria vinha

desenvolvendo para aprimorar os controlos

internos. A SOx sugere e recomenda, na

secção 404, que o modelo de controlos

internos a ser utilizado pelas empresas seja

baseado no COSO, para que possam ser

implementadas as regras definidas nesta lei

(Holt, 2008).

ISO 31000: A nova perspectiva de encarar a gestão · PDF filelegislação,...

Documents

Transcript of ISO 31000: A nova perspectiva de encarar a gestão · PDF filelegislação,...