Por Assizio Oliveira
Em meu livro Controle Interno e Gestão de Riscos no Mercado Segurador Brasileiro – Conceitos, Regulamentos, Práticas e Auditoria, lançado em setembro de 2014 pela Escola Nacional de Seguros – Funenseg, dediquei um capítulo especial sobre as origens, razões e referências desse importante segmento da Administração para o crescimento sustentável e a perenidade das companhias de seguro e de resseguro. Dentre as referências tratadas, e considerado o caminho escolhido pelo CNSP e pela Susep em seus regulamentos a respeito do assunto, discorri a respeito do framework COSO – Committee of Sponsoring Organizations of the Treadway Commission, em especial sobre os elementos que o formam:
- Ambiente de Controle
- Estabelecimento de Objetivos
- Identificação de Riscos
- Avaliação de Riscos
- Resposta aos Riscos
- Atividades de Controle
- Informação & Comunicação
- Monitoramento
Dada sua simplicidade conceitual e lógica, quiçá suas mais importantes virtudes, a estrutura do COSO persistia desde 1992, vinte e dois anos que, sob a ótica da dinâmica e da velocidade do mundo dos negócios, são, senão uma eternidade, uma longuíssima existência. As lições que resultaram dessas mais de duas décadas levaram o Conselho Diretor do COSO a se debruçar sobre a sua atualização, o que veio a dar origem ao chamado COSO 2013, que enfim entrou em vigor em dezembro de 2014.
Nessa nova versão, além de sabiamente manter a estrutura básica dos componentes já citados, que continua a lhe dar sustentação e fácil compreensão, foram editados dezessete princípios, que, embora intrínsecos na versão anterior do COSO, precisavam ser mais bem elucidados a bem da boa e adequada gestão de riscos, da correta abordagem da evolução ocorrida nos últimos vinte anos no modo de se operacionalizar os negócios e atividades empresariais e, é forçoso admitir, da necessidade de se estar preparado para eventos econômicos adversos e suas consequências, a exemplo dos perigosos e traiçoeiros vagalhões gerados em 2008, que ainda teimam em açoitar as praias da economia mundial e local, por aqui indevidamente subestimados e tratados como “marolinhas” passageiras. Nada mais maléfico para a sustentabilidade da empresa e do mercado que a prepotência e a certeza de que se está imune a riscos, a crises e a desvios de conduta.
Distribuídos pelos dezessete princípios do COSO 2013, cada um deles diretamente relacionado com um dos elementos básicos de sua estrutura, estão questões vitais como:
- Integridade, ética, padrões de conduta, repressão e punibilidade dos que se desviam dos padrões estabelecidos
- Reforço dos órgãos de governo para que exerçam, de fato, sua função de supervisores de estratégias, negócios e atitudes pessoais
- Estabelecimento claro de responsabilidades, consubstanciadas em segregação de funções, alçadas e limites de autorização
- Garantia da escolha das pessoas certas para cada uma das funções, com planos de sucessão bem definidos, e equilíbrio na avaliação de performances, que não deve se limitar ao atingimento de metas financeiras, mas se estender, com igual peso, à fiel observância de aspectos do controle interno
- Incremento da compreensão do risco, pelo correto entendimento dos quesitos da tolerância, da persistência, da duração e dos fatores internos e externos
- Foco nos objetivos empresariais e na salvaguarda dos ativos
- Preocupação com o crescente fenômeno do outsourcing, inclusive com o potencial de fraudes externas
- Transposição do modelo de data center para o modelo de infraestrutura de TI e a preocupação com a governança de TI
- Aumento da qualidade e da transparência das informações
- Incremento da importância dos meios de monitoramento, diretos e indiretos, contínuos e periódicos.
Há boa chance de que o regulador venha a acompanhar a atualização do COSO 2013 e de que estabeleça a obrigatoriedade da implementação de modelos mais transparentes, sofisticados e eficazes de governança, de gestão de riscos, de controle e de supervisão.
Em especial, com relação ao tema Gestão de Riscos e sua efetiva integração ao Sistema de Controles Internos, já há movimentos bem adiantados que devem vir a exigir das seguradoras e resseguradoras a implementação de uma estrutura voltada especificamente a essa atividade, que deve funcionar como um detalhamento das generalidades a respeito tratadas nas Circulares Susep 249 e 280 de 2004. É quase certo que não ficarão de fora a especificação de aspectos como:
- Apetite de risco
- Perfil e nível de risco
- Resposta a (ou tratamento de) riscos
- Categoria de riscos
- Controle e monitoramento de riscos
- Qualificação e quantificação de riscos
- Processos prioritários/mandatórios
- Riscos decorrentes de mudanças relevantes
- Políticas e conscientização sobre riscos
- Organização, recursos, processos, métodos e ferramentas
- Figura do Gestor de Riscos
- Auditoria interna da Gestão de Riscos
Por isso, vale a pena não deixar para a última hora e antecipar diagnósticos, identificar gaps e adotar as medidas de criação ou de melhoria que se impõem.
Fonte: Artigo publicado originalmente na revista Opinião.Seg nº 10, Maio de 2015, pág. 26.